Ds 2017:41
En omarbetad domstolsdatalag
Anpassning till EU:s dataskyddsförordning
Justitiedepartementet
SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon:
Webbplats: wolterskluwer.se/offentligapublikationer
För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara på remiss.
Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser
Omslag: Regeringskansliets standard
Tryck: Elanders Sverige AB, Stockholm 2017
ISBN
ISSN
Förord
Chefen för Justitiedepartementet beslutade den 9 september 2016 att ge mig i uppdrag att biträda Justitiedepartementet med att lämna förslag på de författningsändringar som behövs i domstolsdatalagen (2015:728) och domstolsdataförordningen (2015:729) med anledning av EU:s dataskyddsförordning. Jag fick även i uppdrag att ta ställning till om det finns behov av direktåtkomst för t.ex. Kammarkollegiet, länsstyrelserna, Natur- vårdsverket och Havs- och vattenmyndigheten till den s.k. miljöbok som förs vid respektive mark- och miljödomstol och att lämna de författningsförslag som i så fall behövs. Uppdraget fick beteckningen Ju 2016:G.
Kammarrättsassessorn Nina Stierna har sedan den 1 oktober 2016 biträtt mig som sekreterare i uppdraget.
Utredningstiden har, genom beslut den 7 april 2017, förlängts till den 30 september 2017. Samtidigt har jag även fått tilläggs- uppdrag som redovisas i andra promemorior än denna.
Vi får härmed överlämna promemorian En omarbetad domstols- datalag (Ds 2017:41).
Uppdraget är med detta slutfört.
Jönköping i augusti 2017
Peder Liljeqvist
/Nina Stierna
3
Innehåll
Vissa förkortningar ............................................................. |
15 |
|
Sammanfattning ................................................................ |
17 |
|
1 |
Författningsförslag..................................................... |
23 |
1.1Förslag till lag om ändring i domstolsdatalagen
(2015:728) ............................................................................... |
23 |
1.2 Förslag till förordning om ändring i |
|
domstolsdataförordningen (2015:729).................................. |
32 |
1.3Förslag till förordning om ändring i förordningen
(1998:1388) om vattenverksamhet m.m................................ |
36 |
1.4Förslag till förordning om ändring i förordningen
|
(1998:899) om miljöfarlig verksamhet och hälsoskydd |
....... 37 |
2 |
Uppdraget och dess genomförande.............................. |
39 |
2.1 |
Uppdraget................................................................................ |
39 |
2.2 |
Avgränsningar ......................................................................... |
39 |
2.3 |
Uppdragets genomförande..................................................... |
40 |
2.4 |
Promemorians disposition ..................................................... |
41 |
3 |
Gällande rätt............................................................. |
43 |
3.1 |
FN............................................................................................ |
43 |
3.2 |
OECD ..................................................................................... |
43 |
3.3 |
Europarådet ............................................................................. |
44 |
|
|
5 |
Innehållsförteckning |
Ds 2017:41 |
|
3.3.1 |
Europakonventionen .............................................. |
44 |
|
3.3.2 |
Dataskyddskonventionen....................................... |
44 |
3.4 |
EU ........................................................................................... |
|
45 |
|
3.4.1 |
Stadgan..................................................................... |
45 |
|
3.4.2 |
Dataskyddsdirektivet och |
|
|
|
dataskyddsrambeslutet............................................ |
45 |
3.5 |
Svensk rätt............................................................................... |
46 |
|
|
3.5.1 |
Regeringsformen..................................................... |
46 |
|
3.5.2 |
Personuppgiftslagen................................................ |
47 |
|
3.5.3 |
Domstolarnas personuppgiftsbehandling.............. |
47 |
4 |
Nya regelverk för personuppgiftsbehandling.................. |
51 |
|
4.1 |
EU:s dataskyddsreform.......................................................... |
51 |
|
|
4.1.1 |
Dataskyddsförordningen........................................ |
51 |
|
4.1.2 |
2016 års dataskyddsdirektiv.................................... |
52 |
4.2 |
Två nya svenska regelverk...................................................... |
53 |
4.3Avgränsning av domstolsdatalagens
tillämpningsområde................................................................ |
54 |
4.3.1Dataskyddsförordningen eller 2016 års
|
|
dataskyddsdirektiv?................................................. |
54 |
|
4.3.2 |
Bedömning .............................................................. |
55 |
4.4 |
Vilket regelverk är tillämpligt? .............................................. |
57 |
|
5 |
Nationella registerförfattningar.................................... |
59 |
5.1Registerförfattningarnas förenlighet med
|
dataskyddsförordningen ........................................................ |
59 |
5.2 |
Allmänna principer för behandling av personuppgifter....... |
61 |
5.3 |
Bedömning.............................................................................. |
62 |
6 |
Rättslig grund för domstolarnas |
|
|
personuppgiftsbehandling........................................... |
65 |
6.1 |
Dataskyddslagen..................................................................... |
66 |
6
Ds 2017:41 |
Innehållsförteckning |
6.2Myndighetsutövning, uppgift av allmänt intresse eller
|
rättslig förpliktelse? ................................................................ |
67 |
|
|
6.2.1 |
Tidigare förarbeten .................................................. |
67 |
|
6.2.2 |
Uppgift av allmänt intresse ..................................... |
68 |
|
6.2.3 |
Myndighetsutövning ............................................... |
70 |
|
6.2.4 |
Rättslig förpliktelse ................................................. |
71 |
|
6.2.5 |
Bedömning ............................................................... |
72 |
7 |
Lagens syfte och tillämpningsområde .......................... |
77 |
|
7.1 |
Domstol |
................................................................................... |
77 |
|
7.1.1 ........................................ |
Dataskyddsförordningen |
77 |
|
7.1.2 ............................... |
Hyres - och arrendenämnderna |
77 |
7.1.3Hyres- och arrendenämndernas rättsliga
|
ställning .................................................................... |
79 |
7.1.4 |
Bedömning............................................................... |
81 |
7.2 Rättskipande och rättsvårdande verksamhet......................... |
82 |
|
7.2.1 |
Domstolsdatalagen .................................................. |
82 |
7.2.2 |
Tidigare förarbeten.................................................. |
83 |
7.2.3 |
Offentlighets- och sekretesslagen .......................... |
84 |
7.2.4 |
Rättegångsbalken..................................................... |
85 |
7.2.5 |
Ärendelagen ............................................................. |
85 |
7.2.6 |
Innebörden av begreppet rättskipning ................... |
86 |
7.2.7Innebörden av begreppet rättsvårdande
|
|
verksamhet ............................................................... |
87 |
|
7.2.8 |
Bedömning............................................................... |
89 |
7.3 |
Automatiserad behandling och manuella register................. |
90 |
|
8 |
Dömande verksamhet................................................. |
93 |
|
8.1 |
Nuvarande tillsyn över domstolarna...................................... |
94 |
|
|
8.1.1 |
Datainspektionen .................................................... |
94 |
|
8.1.2 |
Justitieombudsmannen och Justitiekanslern ......... |
95 |
8.2Dataskyddsförordningen och 2016 års
dataskyddsdirektiv .................................................................. |
96 |
8.2.1Tolkningen av gemenskapsrättsliga
bestämmelser ........................................................... |
96 |
7
Innehållsförteckning |
Ds 2017:41 |
8.2.2Olika språkliga versioner av
dataskyddsförordningen ......................................... |
97 |
8.2.3Skälen till dataskyddsförordningen och till
|
|
2016 års dataskyddsdirektiv.................................... |
99 |
|
8.2.4 |
Europeiska datatillsynsmannens uppfattning...... |
101 |
8.3 |
Andra rättsakter och |
102 |
|
8.4 |
Bedömning............................................................................ |
104 |
|
9 |
Ändamålsbestämmelser............................................ |
109 |
|
9.1 |
Befintliga ändamålsbestämmelser........................................ |
109 |
|
|
9.1.1 |
Rättslig reglering ................................................... |
109 |
|
9.1.2 |
Tidigare förarbeten ............................................... |
110 |
|
9.1.3 |
Ett uttryckligt angivet och tydligt ändamål......... |
112 |
|
9.1.4 |
Finalitetsprincipen ................................................ |
113 |
9.1.5Precisering av rättslig grund eller
|
|
ändamålsbestämmelser?........................................ |
114 |
|
9.1.6 |
Bedömning ............................................................ |
115 |
9.2 |
Komplettering av ändamålsbestämmelserna....................... |
119 |
|
10 |
Förhållandet till annan lagstiftning ............................ |
123 |
|
10.1 |
Förhållandet till personuppgiftslagen ................................. |
123 |
|
10.2 |
Förhållandet till dataskyddsförordningen .......................... |
124 |
|
10.3 |
Förhållandet till dataskyddslagen ........................................ |
126 |
|
10.4 |
Förhållandet till 2013 års lag................................................ |
127 |
|
10.5 |
Förhållandet till kvarstadsförordningen ............................. |
127 |
|
10.6 |
Befintliga hänvisningar till personuppgiftslagen och |
|
|
|
hänvisningar till dataskyddslagen ........................................ |
129 |
|
|
10.6.1 |
Definitioner........................................................... |
129 |
|
10.6.2 |
Förhållandet till offentlighetsprincipen............... |
129 |
10.6.3Grundläggande krav på behandling av
|
personuppgifter..................................................... |
130 |
10.6.4 |
Behandling av personnummer och |
|
|
samordningsnummer ............................................ |
130 |
10.6.5 |
Information till den registrerade och rättelse ..... |
131 |
8
Ds 2017:41 |
|
Innehållsförteckning |
10.6.6 |
Säkerhet vid behandlingen .................................... |
131 |
10.6.7 Överföring till tredje land..................................... |
132 |
|
10.6.8 |
Personuppgiftsombud och förhandskontroll ...... |
132 |
10.6.9Tillsynsmyndighetens handläggning och
|
|
beslut ...................................................................... |
133 |
|
10.6.10 |
Skadestånd.............................................................. |
138 |
|
10.6.11 |
Förhållandet till tryck- och yttrandefriheten ...... |
138 |
10.7 |
Sanktionsavgifter................................................................... |
139 |
|
11 |
Tillgången till personuppgifter .................................. |
143 |
|
12 |
Personuppgiftsansvar............................................... |
145 |
|
13 |
Dataskyddsombud ................................................... |
147 |
|
13.1 |
Dataskyddsförordningen...................................................... |
147 |
|
|
13.1.1 |
Möjlighet att föreskriva att dataskyddsombud |
|
|
|
ska utses ................................................................. |
147 |
|
13.1.2 |
Dataskyddsombudets ställning, uppgifter |
|
|
|
m.m......................................................................... |
148 |
13.2 |
1995 års dataskyddsdirektiv och personuppgiftslagen ....... |
150 |
|
13.3 |
Domstolsdatalagen ............................................................... |
151 |
|
13.4 |
Domstolarnas uppfattning ................................................... |
153 |
|
13.5 |
Bedömning ............................................................................ |
154 |
|
|
13.5.1 |
Behovet av en analys.............................................. |
155 |
|
13.5.2 |
Dataskyddsombudet – ”internrevisor” med |
|
|
|
något utökat uppdrag ............................................ |
155 |
13.5.3Dataskyddsombud även för den dömande
|
|
verksamheten ......................................................... |
157 |
|
13.5.4 |
Tystnadsplikt för dataskyddsombudet ................ |
161 |
|
13.5.5 |
Anmälan till tillsynsmyndigheten ........................ |
161 |
|
13.5.6 Skyldighet att föra förteckning............................. |
162 |
|
14 |
Upplysningar till allmänheten ................................... |
165 |
|
15 |
Den registrerades rättigheter..................................... |
167 |
9
Innehållsförteckning |
Ds 2017:41 |
15.1 |
Inledande kommentar .......................................................... |
167 |
|
15.2 |
En generell möjlighet till undantag ..................................... |
168 |
|
15.3 |
Information när personuppgifter samlas in från den |
|
|
|
registrerade............................................................................ |
169 |
|
|
15.3.1 |
Domstolsdatalagen................................................ |
169 |
|
15.3.2 |
Dataskyddsförordningen och dataskyddslagen .. |
170 |
|
15.3.3 |
Bedömning ............................................................ |
171 |
15.4 |
Information när personuppgifter samlas in från någon |
|
|
|
annan än den registrerade..................................................... |
173 |
|
|
15.4.1 |
Domstolsdatalagen................................................ |
173 |
|
15.4.2 |
Dataskyddsförordningen...................................... |
174 |
|
15.4.3 |
Bedömning ............................................................ |
174 |
15.5 |
Information efter begäran.................................................... |
176 |
|
|
15.5.1 |
Domstolsdatalagen................................................ |
176 |
|
15.5.2 |
Dataskyddsförordningen och dataskyddslagen .. |
176 |
|
15.5.3 |
Bedömning ............................................................ |
177 |
15.6 |
Rättelse och radering samt rätt att göra invändningar |
|
|
|
och begära begränsning av behandling ................................ |
180 |
|
|
15.6.1 |
Domstolsdatalagen, personuppgiftslagen och |
|
|
|
1995 års dataskyddsdirektiv.................................. |
180 |
|
15.6.2 |
Dataskyddsförordningen...................................... |
181 |
|
15.6.3 |
Bedömning ............................................................ |
184 |
15.7 |
Rätt till skadestånd ............................................................... |
190 |
|
|
15.7.1 |
Domstolsdatalagen och personuppgiftslagen...... |
190 |
|
15.7.2 |
Dataskyddsförordningen...................................... |
190 |
|
15.7.3 |
Dataskyddslagen ................................................... |
192 |
|
15.7.4 |
Bedömning ............................................................ |
192 |
15.8 |
Information om personuppgiftsincident ............................ |
194 |
|
|
15.8.1 |
Dataskyddsförordningen...................................... |
194 |
|
15.8.2 |
Bedömning ............................................................ |
194 |
16 |
Känsliga personuppgifter m.m................................... |
197 |
|
16.1 |
Dataskyddsförordningen och 1995 års |
|
|
|
dataskyddsdirektiv................................................................ |
197 |
10
Ds 2017:41 Innehållsförteckning
16.2 |
Domstolsdatalagen ............................................................... |
198 |
|
|
16.2.1 Rätten att behandla känsliga personuppgifter ..... |
198 |
|
|
16.2.2 |
Sökbegränsningar .................................................. |
200 |
16.3 |
Dataskyddslagen ................................................................... |
201 |
|
16.4 |
2016 års dataskyddsdirektiv ................................................. |
202 |
|
16.5 |
Bedömning ............................................................................ |
203 |
|
|
16.5.1 Rätten att behandla känsliga personuppgifter ..... |
203 |
|
|
16.5.2 Huvudregel för behandling av känsliga |
|
|
|
|
personuppgifter ..................................................... |
206 |
|
16.5.3 Begränsning av behandling av känsliga |
|
|
|
|
personuppgifter ..................................................... |
208 |
|
16.5.4 |
Sökbegränsningar .................................................. |
209 |
17 |
Elektroniskt utlämnande .......................................... |
213 |
|
17.1 |
Proportionalitetsbedömning................................................ |
213 |
|
17.2 |
Utlämnande på medium för automatiserad behandling ..... |
214 |
|
|
17.2.1 Domstolsdatalagen och tidigare förarbeten......... |
214 |
|
|
17.2.2 |
Bedömning............................................................. |
216 |
17.3 |
Direktåtkomst....................................................................... |
217 |
|
|
17.3.1 |
Innebörden av direktåtkomst ............................... |
217 |
|
17.3.2 |
Domstolsdatalagen ................................................ |
219 |
|
17.3.3 |
Tidigare förarbeten................................................ |
220 |
|
17.3.4 |
Bedömning............................................................. |
222 |
18 |
Överklagandebestämmelser ...................................... |
227 |
|
18.1 |
Domstolsdatalagen ............................................................... |
227 |
|
18.2 |
Dataskyddsförordningen och stadgan................................. |
229 |
|
18.3 |
Dataskyddslagen ................................................................... |
230 |
|
|
18.3.1 Överklagande av en myndighets beslut................ |
231 |
|
|
18.3.2 |
Dröjsmålstalan ....................................................... |
231 |
|
18.3.3 Överklagande av tillsynsmyndighetens beslut..... |
232 |
|
|
18.3.4 Beslut om enskilt organs behandling för |
|
|
|
|
arkivändamål .......................................................... |
233 |
|
18.3.5 |
Överklagandebestämmelserna är uttömmande ... |
234 |
11
Innehållsförteckning |
Ds 2017:41 |
18.4 |
Bedömning............................................................................ |
234 |
|
|
18.4.1 Överklagande av tillsynsmyndighetens beslut .... |
235 |
|
|
18.4.2 |
Dröjsmålstalan....................................................... |
236 |
|
18.4.3 Överklagande av beslut som domstol fattar |
|
|
|
|
som personuppgiftsansvarig myndighet.............. |
237 |
|
18.4.4 Andra beslut får inte överklagas........................... |
238 |
|
19 |
Bevarande av personuppgifter ................................... |
239 |
|
19.1 |
Domstolsdatalagen och personuppgiftslagen ..................... |
239 |
|
19.2 |
Dataskyddsförordningen ..................................................... |
241 |
|
19.3 |
Dataskyddslagen................................................................... |
243 |
|
19.4 |
Bedömning............................................................................ |
244 |
|
|
19.4.1 Begreppet arkivändamål av allmänt intresse........ |
245 |
|
|
19.4.2 Arkivering ingår i den rättskipande och |
|
|
|
|
rättsvårdande verksamheten ................................. |
247 |
|
19.4.3 |
Komplettering av domstolsdatalagen................... |
247 |
|
19.4.4 Personuppgifter som behandlats enligt |
|
|
|
|
brottsdatalagen och dess registerförfattning....... |
249 |
|
19.4.5 Hänvisning till dataskyddslagen och |
|
|
|
|
säkerhetsåtgärder................................................... |
250 |
20 |
Föreskriftsrätten ...................................................... |
253 |
|
20.1 |
Domstolsdataförordningen ................................................. |
253 |
|
20.2 |
Bedömning............................................................................ |
253 |
|
21 |
Andra myndigheters direktåtkomst till mark- och |
|
|
|
miljödomstolarnas miljöbok ...................................... |
255 |
|
21.1 |
Miljöboken – en översikt ..................................................... |
255 |
|
|
21.1.1 Rättslig reglering och innehåll.............................. |
255 |
|
|
21.1.2 |
Miljöboken innehåller personuppgifter............... |
256 |
21.2 |
Direktåtkomst ...................................................................... |
257 |
|
21.3 |
Rättslig grund för behandling av personuppgifter i |
|
|
|
miljöboken ............................................................................ |
259 |
|
21.4 |
Vilka myndigheter är aktuella för direktåtkomst? ............. |
264 |
12
Ds 2017:41 |
Innehållsförteckning |
21.5 De aktuella myndigheternas verksamhet relaterat till |
|
miljöboken............................................................................. |
265 |
21.5.1 Ansökan respektive anmälan om |
|
vattenverksamhet................................................... |
265 |
21.5.2Ansökan respektive anmälan om miljöfarlig
|
|
verksamhet ............................................................. |
266 |
|
21.5.3 |
Omprövning av tillstånd ....................................... |
267 |
|
21.5.4 |
Tillsyn och tillsynsvägledning............................... |
267 |
|
21.5.5 |
Samhällsplanering .................................................. |
269 |
21.6 |
De aktuella myndigheternas möjlighet till |
|
|
|
direktåtkomst........................................................................ |
269 |
|
|
21.6.1 |
Proportionalitetsbedömning................................. |
269 |
|
21.6.2 |
Behovet av direktåtkomst ..................................... |
270 |
|
21.6.3 Avvägning mellan behovet och |
|
|
|
|
integritetsskyddet.................................................. |
274 |
21.7 |
Reglering av myndigheternas direktåtkomst ...................... |
280 |
|
|
21.7.1 Direktåtkomsten ryms inte inom de primära |
|
|
|
|
ändamålen............................................................... |
280 |
|
21.7.2 Direktåtkomst är för närvarande inte förenlig |
|
|
|
|
med det sekundära ändamålet............................... |
281 |
|
21.7.3 En ny sekundär ändamålsbestämmelse?............... |
281 |
|
|
21.7.4 Rättsligt stöd för utlämnandet av miljöbokens |
|
|
|
|
personuppgifter ..................................................... |
282 |
|
21.7.5 Bestämmelserna om direktåtkomst bör |
|
|
|
|
kompletteras .......................................................... |
284 |
22 |
Övergångs- och ikraftträdandebestämmelser............... |
287 |
|
22.1 |
Två olika ikraftträdandedatum............................................. |
287 |
|
22.2 |
Befintliga ikraftträdande- och övergångsbestämmelser...... |
289 |
|
22.3 |
Pågående ärenden.................................................................. |
290 |
|
22.4 |
Beslut som har meddelats före ikraftträdandet................... |
291 |
|
22.5 |
Skada som har orsakats före ikraftträdandet....................... |
294 |
|
22.6 |
Sanktioner mot överträdelser som har skett före |
|
|
|
ikraftträdandet....................................................................... |
295 |
13
Innehållsförteckning |
Ds 2017:41 |
23 |
Konsekvenser av förslagen ........................................ |
297 |
23.1 |
Inledning ............................................................................... |
297 |
23.2 |
Tillsynsmyndighetens handläggning och beslut samt |
|
|
sanktionsavgifter................................................................... |
298 |
23.3 |
Dataskyddsombud................................................................ |
299 |
23.4 |
Andra myndigheters direktåtkomst till miljöboken .......... |
300 |
24 |
Författningskommentar ............................................ |
303 |
|
24.1 |
Förslaget till lag om ändring av domstolsdatalagen |
|
|
|
(2015:728) ............................................................................. |
303 |
|
24.2 |
Förslaget till förordning om ändring i |
|
|
|
domstolsdataförordningen (2015:729) ............................... |
310 |
|
24.3 |
Förslaget till förordning om ändring i förordningen |
|
|
|
(1998:1388) om vattenverksamhet m.m. ............................ |
312 |
|
24.4 |
Förslaget till förordning om ändring i förordningen |
|
|
|
(1998:899) om miljöfarlig verksamhet och hälsoskydd ..... |
313 |
|
Bilaga 1 |
Uppdraget..................................................................... |
315 |
|
Bilaga 2 |
Konsoliderade versioner av domstolsdatalagen och |
|
|
|
|
domstolsdataförordningen enligt våra förslag............ |
319 |
Bilaga 3 |
Europaparlamentets och rådets förordning (EU) |
|
|
|
|
2016/679 ....................................................................... |
331 |
14
Vissa förkortningar
1995 års dataskyddsdirektiv |
Europaparlamentets |
och |
|
rådets |
|||||
|
direktiv |
95/46/EG |
av |
|
den |
||||
|
24 oktober 1995 |
om |
skydd |
för |
|||||
|
enskilda personer med avseende på |
||||||||
|
behandling av personuppgifter och |
||||||||
|
om det fria flödet av sådana |
||||||||
|
uppgifter |
|
|
|
|
|
|
|
|
2016 års dataskyddsdirektiv |
Europaparlamentets |
och |
|
rådets |
|||||
|
direktiv (EU) |
2016/680 |
av |
den |
|||||
|
27 april 2016 om skydd för fysiska |
||||||||
|
personer med avseende på behöriga |
||||||||
|
myndigheters |
|
behandling |
|
av |
||||
|
personuppgifter för att förebygga, |
||||||||
|
förhindra, |
utreda, avslöja |
|
eller |
|||||
|
lagföra |
|
brott |
|
eller |
verkställa |
|||
|
straffrättsliga |
påföljder, |
och |
det |
|||||
|
fria flödet av sådana uppgifter och |
||||||||
|
om |
upphävande |
av |
|
rådets |
||||
|
rambeslut 2008/977/RIF |
|
|
|
|||||
a.a. |
anfört arbete |
|
|
|
|
|
|
||
a.prop. |
anförd proposition |
|
|
|
|
||||
dataskyddsförordningen |
Europaparlamentets |
och |
|
rådets |
|||||
|
förordning (EU) 2016/679 av den |
||||||||
|
27 april 2016 om skydd för fysiska |
||||||||
|
personer |
med |
avseende |
|
på |
||||
|
behandling av personuppgifter och |
||||||||
|
om det fria flödet av sådana |
||||||||
|
uppgifter och om upphävande av |
||||||||
|
direktiv |
95/46/EG |
|
(allmän |
|||||
|
dataskyddsförordning) |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
15 |
Vissa förkortningar |
Ds 2017:41 |
dir. |
direktiv |
|
|
|
|
|
|
Ds |
Departementsserien |
|
|
|
|||
EDPS |
Europeiska datatillsynsmannen |
|
|||||
EU |
Europeiska unionen |
|
|
|
|||
Europeiska |
|
unionens |
domstol/ |
||||
|
Europeiska gemenskapernas |
|
|||||
|
domstol |
|
|
|
|
|
|
Europadomstolen |
Europeiska |
|
domstolen |
för |
de |
||
|
mänskliga rättigheterna |
|
|
||||
Europakonventionen |
Europeiska |
|
konventionen |
den |
|||
|
4 november 1950 angående skydd |
||||||
|
för de mänskliga rättigheterna och |
||||||
|
de grundläggande friheterna |
|
|||||
f./ff. |
följande sida/sidor |
|
|
|
|||
FN |
Förenta nationerna |
|
|
|
|||
HFD |
Högsta |
förvaltningsdomstolens |
|||||
|
årsbok |
|
|
|
|
|
|
JK |
Justitiekanslern |
|
|
|
|
||
JO |
Justitieombudsmannen/Riksdagens |
||||||
|
ombudsmän |
|
|
|
|
|
|
MB |
Miljöbalken |
|
|
|
|
|
|
MSB |
Myndigheten |
|
för |
samhällsskydd |
|||
|
och beredskap |
|
|
|
|
||
NJA |
Nytt juridiskt arkiv |
|
|
|
|||
OECD |
Organisationen |
för ekonomiskt |
|||||
|
samarbete och utveckling |
|
|
||||
OSL |
Offentlighets- |
och |
sekretesslagen |
||||
|
(2009:400) |
|
|
|
|
|
|
prop. |
regeringens proposition |
|
|
||||
PuL |
Personuppgiftslagen (1998:204) |
||||||
RF |
Regeringsformen |
|
|
|
|||
RÅ |
Regeringsrättens årsbok |
|
|
||||
SOU |
Statens offentliga utredningar |
|
|||||
TF |
Tryckfrihetsförordningen |
|
|
16
Sammanfattning
Anpassningar till EU:s dataskyddsförordning
EU:s dataskyddsreform innebär att en ny dataskyddsförordning1 kommer att utgöra grunden för generell personuppgiftsbehandling inom EU från och med den 25 maj 2018. Reformen omfattar även ett nytt direktiv med särregler för den personuppgiftsbehandling som utförs av behöriga myndigheter för bl.a. brottsbekämpning, lagföring och straffverkställighet.2 Denna promemoria innehåller förslag till de författningsändringar som behövs i domstols- datalagen (2015:728) och domstolsdataförordningen (2015:729) med anledning av dataskyddsförordningen.
Tillämpningsområdet
Domstolsdatalagen omfattar för närvarande både sådan person- uppgiftsbehandling som kommer att omfattas av dataskydds- förordningens tillämpningsområde och sådan som kommer att omfattas av det nya direktivets tillämpningsområde. För att anpassa domstolsdatalagen till det nya regelverket för personuppgifts- behandling föreslår vi att lagen endast ska gälla för sådan behandling av personuppgifter som omfattas av dataskydds- förordningens tillämpningsområde. I övrigt innebär vårt förslag att lagens tillämpningsområde ska kvarstå oförändrat, med undantag
1Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
2Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
17
Sammanfattning |
Ds 2017:41 |
för den bestämmelse som reglerar förhållandet till lag (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, som ska upphävas.
Dataskyddsförordningen ska tillämpas i Sverige som om den vore nationell rätt, men hindrar inte förekomsten av nationella registerförfattningar. Dessa kommer framöver dock endast att utgöra en komplettering till dataskyddsförordningen, vilket enligt vårt förslag ska klargöras i domstolsdatalagen.
Grundläggande bestämmelser
Den rättsliga grunden för den personuppgiftsbehandling som utförs inom domstolsdatalagens tillämpningsområde utgörs enligt vår bedömning av att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Någon förändring av lagens befintliga ändamålsbestämmelser föranleds enligt vår mening inte av dataskyddsförordningen. Vi föreslår dock en komplettering av dessa bestämmelser i två avseenden. För det första ska det klargöras att personuppgifter som behandlas eller har behandlats för handläggning av mål och ärenden ska få behandlas också om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, förutsatt att de säkerhetsåtgärder som framgår av artikel 89.1 i dataskyddsförordningen vidtas. För det andra ska även personuppgifter som behandlas eller har behandlats med stöd av de författningar som genomför 2016 års dataskyddsdirektiv få behandlas för det nyss nämnda ändamålet samt om det behövs för att fullgöra uppgiftslämnande som sker i enlighet med lag eller förordning. De sistnämnda kompletteringarna har sin grund i att sådan behandling av personuppgifter omfattas av dataskydds- förordningen och inte av 2016 års dataskyddsdirektiv.
Begreppet dömande verksamhet förekommer i olika samman- hang i dataskyddsförordningen. Som exempel kan nämnas att de nationella tillsynsmyndigheterna inte kommer att vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet och att den personuppgiftsbehandling som
18
Ds 2017:41 |
Sammanfattning |
genomförs som en del av domstolarnas dömande verksamhet är undantagen från myndigheters skyldighet att utse dataskydds- ombud (i dag kallat personuppgiftsombud).
Dataskyddsförordningens begrepp dömande verksamhet är unionsrättsligt och innefattar enligt vår bedömning sannolikt all den personuppgiftsbehandling som utförs i det enskilda målet eller ärendet från att detta anhängiggörs vid domstolen tills ett slutligt avgörande har meddelats. Utifrån den bedömningen omfattas en stor del av, men inte hela, den personuppgiftsbehandling som sker inom domstolsdatalagens tillämpningsområde av begreppet. Detta medför en gränsdragningsproblematik, som kommer att få betydelse för regelverket kring domstolarnas personuppgifts- behandling. Exempelvis kommer frågor om tillsynsmyndighetens behörighet att utfärda förelägganden mot domstolarna eller att påföra dem administrativa sanktionsavgifter att avgöras utifrån var gränsen för den dömande verksamheten går. För att bl.a. kompensera tillsynsmyndighetens begränsade behörighet och skapa ett ytterligare skydd för de registrerades personliga integritet föreslår vi att domstolarna, trots dataskyddsförordningens undantag för den dömande verksamheten, även fortsättningsvis ska utse ett eller flera ombud som har hela den rättskipande och rättsvårdande verksamheten som sitt ansvarsområde.
Övriga materiella bestämmelser
Till stora delar föranleder dataskyddsförordningen ingen ändring av domstolsdatalagen. Exempelvis kommer bestämmelserna om behörighetsbegränsningar, personuppgiftsansvar, utlämnande av personuppgifter på medium för automatiserad behandling och direktåtkomst att kunna kvarstå oförändrade. Även vad gäller domstolarnas behandling av känsliga personuppgifter kan nuvarande bestämmelser finnas kvar i princip oförändrade. Dock bör dessa bestämmelser anpassas så att definitionen av känsliga personuppgifter överensstämmer med dataskyddsförordningens begrepp, där sexuell läggning, genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person har tillkommit.
19
Sammanfattning |
Ds 2017:41 |
När dataskyddsförordningen börjar tillämpas ska person- uppgiftslagen (1998:204) upphävas.3 I enlighet med vad som tidigare gällt i förhållande till personuppgiftslagen föreslår vi att domstolsdatalagen ska gälla i stället för den föreslagna lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen), som föreslås komplettera EU:s data- skyddsförordning på ett generellt plan i svensk rätt (se Data- skyddsutredningens betänkande [SOU 2017:39]). Det ska i domstolsdatalagen särskilt anges vilka bestämmelser i data- skyddslagen som ska gälla inom tillämpningsområdet.
Genom hänvisningar till dataskyddslagens bestämmelser kommer stora delar av den tidigare regleringen för personuppgifts- behandling att behållas. Det gäller bl.a. domstolarnas rätt att behandla uppgifter om personnummer och samordningsnummer, begränsningen av den registrerades rätt till registerutdrag för uppgifter i löpande text eller minnesanteckningar och rätten för domstolarna att återanvända personuppgifter i arkiverade mål och ärenden. Även de undantag som för närvarande finns från den registrerades rätt till information vid insamling av personuppgifter samt från rätten till ett s.k. registerutdrag kommer på detta sätt att upprätthållas.
Dataskyddsförordningen innehåller bestämmelser som i vissa fall ger den registrerade rätt till information om en inträffad personuppgiftsincident. För att säkerställa att den registrerade inte genom sådan information får del av uppgifter som det råder sekretess för gentemot honom eller henne, föreslår vi att det införs ett undantag från denna rättighet. Undantaget ska gälla om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade. De undantag från dataskyddsförordningens bestämmelser om den registrerades rättigheter som vi föreslagit får – tillsammans med de undantag som finns i dataskyddsförordningen – till följd att domstolarnas verksamhet kan fortgå även om den registrerade utnyttjar sina rättigheter enligt dataskyddsförordningen. Handläggning av enskilda mål eller ärenden behöver inte avstanna, bevarande och arkivering av processmaterialet kommer att vara möjlig,
3 Se kommittédirektiv till Dataskyddsutredningen (Dir. 2016:15 s. 6).
20
Ds 2017:41 |
Sammanfattning |
personuppgifter i avslutade och arkiverade mål och ärenden kan fortsätta behandlas och allmänhetens tillgång till allmänna handlingar inskränks inte.
Tillsyn och överklagande
Dataskyddsförordningen och förslaget till dataskyddslag kommer att förändra systemet för sanktioner vid otillåten personuppgifts- behandling. Vi föreslår att dataskyddslagens bestämmelser om administrativa sanktionsavgifter mot myndigheter ska gälla även för domstolarna i tillämpliga delar. Detsamma gäller för data- skyddslagens bestämmelser om tillsynsmyndighetens handläggning och beslut. Genom en hänvisning till dataskyddslagen ska det även klargöras att den rätt till skadestånd för registrerade som framgår av dataskyddsförordningen även gäller vid överträdelser av dataskyddslagens (i tillämpliga delar) och domstolsdatalagens bestämmelser.
Domstolsdatalagen ska alltjämt innehålla uttömmande överklagandebestämmelser för tillämpningsområdet. Det kommer att finnas en rätt att överklaga tillsynsmyndighetens beslut, exempelvis vad gäller administrativa sanktionsavgifter eller besked om handläggningen av ett klagomål. Detsamma gäller de beslut som domstolarna fattat i egenskap av personuppgiftsansvariga myndigheter. För dessa överklaganden ska även fortsättningsvis en speciell instansordning gälla för samtliga domstolar utom hyres- och arrendenämnderna.
Direktåtkomst till miljöboken
I vårt uppdrag ingår att ta ställning till t.ex. Kammarkollegiets, länsstyrelsernas, Naturvårdsverkets och Havs- och vatten- myndighetens behov av direktåtkomst till den s.k. miljöbok som förs vid respektive mark- och miljödomstol. Vi har i denna analys även inkluderat Myndigheten för samhällsskydd och beredskap och kommunernas miljönämnder, som har liknande uppgifter på miljöskyddsområdet. Vår bedömning är att de fördelar som direktåtkomst till miljöboken skulle medföra – bl.a. effektivisering och ett upprätthållet skydd för miljön i tillståndsprocessen –
21
Sammanfattning |
Ds 2017:41 |
överväger de begränsade integritetsrisker som åtkomsten innebär. Vi föreslår därför att mark- och miljödomstolarna ska få möjlighet att ge de aktuella myndigheterna sådan direktåtkomst.
För att bl.a. säkerställa att det finns en rättslig grund enligt dataskyddsförordningen för förandet av miljöboken föreslår vi kompletteringar i förordningen (1998:1388) om vattenverksamhet m.m. och förordningen (1998:899) om miljöfarlig verksamhet och hälsoskydd. Vi föreslår vidare att den aktuella direktåtkomsten ska möjliggöras genom att dessa båda förordningar kompletteras med en skyldighet för mark- och miljödomstolarna att efter begäran lämna ut uppgifter i miljöboken till de aktuella myndigheterna. På så sätt kan den personuppgiftsbehandling som myndigheternas direktåtkomst till miljöboken innebär utföras med stöd av domstolsdatalagens befintliga sekundära ändamålsbestämmelse, eftersom behandlingen behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
För att skapa ett ytterligare integritetsskydd föreslår vi att det i domstolsdataförordningen förtydligas att myndigheternas direkt- åtkomst till miljöboken ska omfatta samma typer av personuppgifter som bl.a. Högsta domstolens och Mark- och miljööverdomstolens direktåtkomst till miljöboken.
22
1 Författningsförslag
1.1Förslag till
lag om ändring i domstolsdatalagen (2015:728)
Härigenom föreskrivs i fråga om domstolsdatalagen (2015:728) dels att 12 § ska upphävas,
dels att rubrikerna närmast före 4 och 12 §§ ska utgå,
dels att
dels att det ska införas fyra nya paragrafer, 3 a, 5 a, 17 a och 19 a §§, och närmast före 3 a § en ny rubrik av följande lydelse.
Nuvarande lydelse |
|
|
Föreslagen lydelse |
|
|
||
|
|
|
2 § |
|
|
|
|
Denna |
lag |
gäller |
vid |
Om inte annat anges i 3 §, |
|||
behandling av personuppgifter i |
gäller denna lag vid behandling |
||||||
de allmänna domstolarnas, de |
av personuppgifter i de allmänna |
||||||
allmänna |
|
förvaltnings- |
domstolarnas, |
de |
allmänna |
||
domstolarnas och hyres- och |
förvaltningsdomstolarnas och |
||||||
arrendenämndernas |
rätt- |
hyres- och |
arrendenämndernas |
||||
skipande |
och |
rättsvårdande |
rättskipande |
och |
rättsvårdande |
||
verksamhet. Lagen gäller också |
verksamhet. Lagen gäller också |
||||||
när personuppgifterna |
vidare- |
när personuppgifterna |
vidare- |
||||
behandlas |
i den |
administrativa |
behandlas i |
den |
administrativa |
||
verksamheten för att lämnas ut |
verksamheten för att lämnas ut |
||||||
efter begäran. |
|
|
efter begäran. |
|
|
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är
23
Författningsförslag |
Ds 2017:41 |
tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
|
|
|
|
3 §1 |
|
|
|
|
|
De avvikande |
|
bestämmelser |
Denna lag gäller inte vid |
||||||
som finns i lagen (2013:329) med |
behandling |
av |
personuppgifter i |
||||||
vissa bestämmelser om skydd för |
de allmänna domstolarnas och de |
||||||||
personuppgifter |
vid |
polis- |
allmänna förvaltningsdomstolarnas |
||||||
samarbete |
och |
|
straffrättsligt |
verksamhet |
som |
omfattas |
av |
||
samarbete |
inom |
|
Europeiska |
brottsdatalagens |
|
(2018:xx) |
|||
unionen eller i föreskrifter som |
tillämpningsområde. |
|
|
||||||
regeringen |
har |
|
meddelat i |
|
|
|
|
|
|
anslutning till den lagen, ska |
|
|
|
|
|
||||
tillämpas |
i |
|
stället |
för |
|
|
|
|
|
bestämmelserna i |
|
denna |
lag. |
|
|
|
|
|
|
Detsamma gäller i fråga om |
|
|
|
|
|
||||
Europaparlamentets |
och |
rådets |
|
|
|
|
|
||
förordning (EU) nr 655/2014 av |
|
|
|
|
|
||||
den 15 maj 2014 om inrättande |
|
|
|
|
|
||||
av ett europeiskt förfarande för |
|
|
|
|
|
||||
kvarstad på bankmedel för att |
|
|
|
|
|
||||
underlätta |
gränsöverskridande |
|
|
|
|
|
|||
skuldindrivning |
i |
mål |
och |
|
|
|
|
|
|
ärenden av privaträttslig natur. |
|
|
|
|
|
||||
|
|
|
|
|
Förhållandet till annan |
|
|||
|
|
|
|
|
lagstiftning |
|
|
|
|
|
|
|
|
|
3 a § |
|
|
|
|
|
|
|
|
|
Denna |
lag |
innehåller |
||
|
|
|
|
|
kompletterande |
bestämmelser |
till |
||
|
|
|
|
|
Europaparlamentets |
och rådets |
|||
|
|
|
|
|
förordning |
(EU) |
2016/679 |
av |
|
|
|
|
|
|
den 27 april 2016 om skydd för |
||||
|
|
|
|
|
fysiska personer med avseende på |
||||
|
|
|
|
|
behandling |
av |
personuppgifter |
||
|
|
|
|
|
och om det fria flödet av sådana |
1 Senaste lydelse 2016:759.
24
Ds 2017:41 |
Författningsförslag |
uppgifter och om upphävande av direktiv 95/46/EG.
4 § Om inte något annat anges i
5 §, gäller denna lag i stället för personuppgiftslagen (1998:204).
|
|
|
|
|
|
|
5 §2 |
|
|
|
|
|
När |
|
|
|
personuppgifter |
När |
|
personuppgifter |
|||||
behandlas enligt denna lag, eller |
behandlas enligt denna lag, eller |
|||||||||||
enligt |
föreskrifter |
som |
har |
enligt |
föreskrifter |
som |
har |
|||||
meddelats i anslutning till lagen, |
meddelats i anslutning till lagen, |
|||||||||||
gäller |
följande |
bestämmelser i |
gäller |
följande |
bestämmelser i |
|||||||
personuppgiftslagen (1998:204): |
lagen |
med |
kompletterande |
|||||||||
1. |
3 § om definitioner, |
|
bestämmelser till EU:s data- |
|||||||||
2. |
8 § |
om |
|
förhållandet |
till |
skyddsförordning (2018:xx): |
|
|||||
offentlighetsprincipen, |
|
|
1. 1 kap. 4 § första stycket om |
|||||||||
3. |
9 § om grundläggande krav |
förhållandet till tryck- och |
||||||||||
på behandling av personuppgifter, |
yttrandefriheten, |
|
|
|||||||||
4. |
22 § |
om |
behandling |
av |
2. 3 kap. 13 § om behandling av |
|||||||
personnummer, |
|
|
|
personnummer |
och |
samordnings- |
||||||
5. |
23 |
|
och |
om |
nummer, |
|
|
|
||||
information till den registrerade, |
3. 4 kap. 1 § om användnings- |
|||||||||||
6. |
28 § om rättelse, |
|
|
begränsningar |
för |
arkiverade |
||||||
7. |
30 |
|
och |
31 §§ |
samt |
32 § |
personuppgifter, |
|
|
|
||
första stycket om säkerheten vid |
4. 5 kap. 1 § första stycket och |
|||||||||||
behandling, |
|
|
|
|
5 kap. |
2 § om |
begränsning |
av |
||||
8. |
vissa rättigheter och skyldigheter, |
|||||||||||
personuppgifter till tredjeland, |
5. 6 kap. |
om tillsyns- |
||||||||||
9. |
38, |
40 |
|
och |
41 §§ |
om |
myndighetens handläggning |
och |
||||
personuppgiftsombud m.m., |
|
beslut, |
|
|
|
|
||||||
10. 43 |
och |
44 §§, |
45 § första |
6. 7 kap. 1, |
3 och 4 §§ |
om |
||||||
stycket |
och |
47 § om tillsyn- |
administrativa |
sanktionsavgifter, |
||||||||
smyndighetens befogenheter, och |
och |
|
|
|
|
2 Ändringen innebär bl.a. att andra stycket tas bort.
25
Författningsförslag |
Ds 2017:41 |
11. 48 § om skadestånd. 7. 8 kap. 1 § om skadestånd.
Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.
5 a §
De avvikande bestämmelser som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuld- indrivning i mål och ärenden av privaträttslig natur, ska tillämpas i stället för bestämmelserna i denna lag.
|
7 § |
|
|
|
|
|
|
|
|
Personuppgifter |
som |
Personuppgifter |
|
|
som |
||||
behandlas enligt 6 § får |
även |
behandlas |
eller |
har |
behandlats |
||||
behandlas om det behövs för att |
enligt 6 § får även behandlas om |
||||||||
fullgöra uppgiftslämnande |
som |
det behövs |
|
|
|
|
|
||
sker i överensstämmelse med lag |
1. för |
att fullgöra |
uppgifts- |
||||||
eller förordning. |
|
lämnande |
som sker |
i |
överens- |
||||
|
|
stämmelse |
med |
lag |
eller |
||||
|
|
förordning, eller |
|
|
|
|
|||
|
|
2. för |
|
|
arkivändamål |
av |
|||
|
|
allmänt |
|
intresse, |
vetenskapliga |
||||
|
|
eller |
historiska |
forsknings- |
|||||
|
|
ändamål eller statistiska ändamål |
|||||||
|
|
i enlighet med artikel 89.1 i |
|||||||
|
|
Europaparlamentets |
och |
rådets |
|||||
|
|
förordning (EU) 2016/679. |
|||||||
|
|
Personuppgifter |
får |
även |
|||||
|
|
behandlas för de ändamål som |
|||||||
|
|
framgår |
av |
första |
stycket |
när de |
26
Ds 2017:41 Författningsförslag
|
|
|
|
|
|
behandlas eller |
har behandlats |
||||
|
|
|
|
|
|
med |
stöd |
av |
brottsdatalagen |
||
|
|
|
|
|
|
(2018:xx) eller [namnet på den |
|||||
|
|
|
|
|
|
registerförfattning |
|
|
som |
||
|
|
|
|
|
|
kompletterar |
brottsdatalagen för |
||||
|
|
|
|
|
|
domstolarnas |
|
|
verksamhet] |
||
|
|
|
|
|
|
(2018:xx). |
|
|
|
|
|
Personuppgiftsombud |
|
|
Dataskyddsombud |
|
|
||||||
|
|
|
|
|
10 §3 |
|
|
|
|
|
|
Den personuppgiftsansvarige |
Den personuppgiftsansvarige |
||||||||||
ska utse ett eller flera |
ska utse ett eller flera data- |
||||||||||
personuppgiftsombud. |
|
|
skyddsombud. |
|
|
|
|||||
Den |
personuppgiftsansvarige |
|
|
|
|
|
|
||||
ska |
anmäla |
till |
tillsyns- |
|
|
|
|
|
|
||
myndigheten |
enligt |
person- |
|
|
|
|
|
|
|||
uppgiftslagen (1998:204) när ett |
|
|
|
|
|
|
|||||
personuppgiftsombud |
utses |
eller |
|
|
|
|
|
|
|||
entledigas. |
|
|
|
|
|
|
|
|
|
||
Förteckning |
över |
person- |
Begränsningar |
|
av |
vissa |
|||||
uppgiftsbehandlingar |
|
|
rättigheter och skyldigheter |
||||||||
|
|
|
|
|
11 § |
|
|
|
|
|
|
Den |
som |
är |
person- |
Bestämmelserna |
om |
den |
|||||
uppgiftsombud |
ska |
föra |
en |
registrerades |
rätt |
att |
få |
||||
förteckning över de behandlingar |
information om en person- |
||||||||||
som utförs med stöd av denna lag. |
uppgiftsincident enligt artikel 34 i |
||||||||||
Regeringen eller den myndighet |
Europaparlamentets |
och |
rådets |
||||||||
som |
regeringen |
bestämmer |
kan |
förordning |
(EU) |
2016/679, |
|||||
med stöd av 8 kap. 7 § regerings- |
gäller inte om den person- |
||||||||||
formen meddela närmare före- |
uppgiftsansvarige, |
enligt lag eller |
|||||||||
skrifter om vilka uppgifter en |
annan |
författning |
eller |
enligt |
|||||||
sådan förteckning ska innehålla. |
beslut som har meddelats med |
||||||||||
|
|
|
|
|
|
stöd av författning, inte får lämna |
|||||
|
|
|
|
|
|
ut uppgifter till den registrerade. |
3 Ändringen innebär bl.a. att andra stycket tas bort.
27
Författningsförslag |
Ds 2017:41 |
13 § Uppgifter om en person får
inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
|
|
14 § |
|
|
Vid sökning i person- |
Vid sökning i person- |
|||
uppgifter är det förbjudet att |
uppgifter är det förbjudet att |
|||
som sökbegrepp använda uppgifter |
använda sökbegrepp som avslöjar |
|||
som avslöjar |
|
|
känsliga personuppgifter enligt |
|
1. ras eller etniskt ursprung, |
13 §, uppgifter |
om nationell |
||
2. politiska åsikter, |
|
anknytning eller |
uppgifter om |
|
3. religiös |
eller |
filosofisk |
brott eller misstanke om brott. |
|
övertygelse, |
|
|
|
|
4.medlemskap i fackförening,
5.hälsa,
6.sexualliv,
7.nationell anknytning, eller
8.brott eller misstanke om
brott.
Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket.
17 § Direktåtkomst får endast medges
1.en allmän domstol,
2.en allmän förvaltningsdomstol,
3. en |
hyres- |
och |
arrende- |
3. en |
hyres- |
och |
arrende- |
nämnd, eller |
|
|
nämnd, |
|
|
|
|
4. en |
part |
eller |
partens |
4. en |
part |
eller |
partens |
ombud, biträde eller försvarare. |
ombud, biträde eller försvarare, |
||||||
|
|
|
|
eller |
|
|
|
28
Ds 2017:41 |
Författningsförslag |
Direktåtkomst enligt första stycket 4 får endast avse person- uppgifter i partens mål eller ärende.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket och om behörighet och säkerhet vid sådan åtkomst.
5. Havs- |
och |
vatten- |
|
myndigheten, |
Kammarkollegiet, |
||
länsstyrelserna, |
Myndigheten |
för |
|
samhällsskydd |
och |
beredskap, |
|
Naturvårdsverket |
och |
de |
kommunala nämnder som fullgör uppgifter inom miljö- och hälsoskyddsområdet.
17 a §
Direktåtkomst enligt 17 § 4 får endast avse personuppgifter i partens mål eller ärende.
Direktåtkomst enligt 17 § 5 får endast avse personuppgifter i den förteckning som förs över en mark- och miljödomstols av- göranden i frågor som rör miljöbalken eller lagen (1998:812) med särskilda bestämmelser om vattenverksamhet (miljöboken).
Regeringen eller den myndighet
som |
regeringen |
bestämmer |
kan |
|
med |
stöd |
av |
8 kap. |
7 § |
regeringsformen |
meddela |
|||
ytterligare |
föreskrifter |
om |
29
Författningsförslag |
Ds 2017:41 |
|
|
|
|
|
begränsningar av direktåtkomst |
||||||||
|
|
|
|
|
enligt 17 § och om behörighet och |
||||||||
|
|
|
|
|
säkerhet vid sådan åtkomst. |
|
|
||||||
|
|
|
|
19 § |
|
|
|
|
|
|
|
|
|
Tillsynsmyndighetens |
beslut |
Tillsynsmyndighetens |
beslut |
||||||||||
enligt denna lag eller enligt de |
enligt |
Europaparlamentets |
|
och |
|||||||||
bestämmelser |
i |
personuppgifts- |
rådets förordning (EU) 2016/679 |
||||||||||
lagen (1998:204) som anges i 5 § |
och |
enligt |
7 kap. |
1 § |
|
lagen |
|||||||
om annat än föreskrifter får |
(2018:xx) |
med |
kompletterande |
||||||||||
överklagas |
|
till |
|
allmän |
bestämmelser till EU:s data- |
||||||||
förvaltningsdomstol. |
Prövnings- |
skyddsförordning |
får |
överklagas |
|||||||||
tillstånd krävs |
vid |
överklagande |
till allmän förvaltningsdomstol. |
||||||||||
till kammarrätten. |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
Prövningstillstånd |
krävs vid |
|||||||
|
|
|
|
|
överklagande till kammarrätten. |
||||||||
|
|
|
|
|
19 a § |
|
|
|
|
|
|
|
|
|
|
|
|
|
Tillsynsmyndighetens |
beslut |
|||||||
|
|
|
|
|
att avslå en begäran om besked |
||||||||
|
|
|
|
|
enligt |
6 kap. |
5 § |
lagen |
|
(2018:xx) |
|||
|
|
|
|
|
med kompletterande bestämmelser |
||||||||
|
|
|
|
|
till EU:s dataskyddsförordning får |
||||||||
|
|
|
|
|
överklagas till allmän förvaltnings– |
||||||||
|
|
|
|
|
domstol. |
|
|
|
|
|
|
|
|
|
|
|
|
|
Om domstolen bifaller över- |
||||||||
|
|
|
|
|
klagandet, |
|
ska |
den |
|
förelägga |
|||
|
|
|
|
|
tillsynsmyndigheten att inom en |
||||||||
|
|
|
|
|
bestämd tid lämna besked till |
||||||||
|
|
|
|
|
den registrerade i frågan om |
||||||||
|
|
|
|
|
tillsyn kommer att utövas. |
|
|
||||||
|
|
|
|
|
Domstolens |
beslut |
får |
inte |
|||||
|
|
|
|
|
överklagas. |
|
|
|
|
|
|
||
|
|
|
|
20 § |
|
|
|
|
|
|
|
|
|
En hovrätts, |
tingsrätts eller |
En |
hovrätts, |
tingsrätts |
eller |
||||||||
förvaltningsrätts |
beslut |
om |
förvaltningsrätts |
beslut |
|
om |
|||||||
upplysningar enligt 12 § eller om |
registrerades |
rättigheter |
|
enligt |
|||||||||
information till |
den |
registrerade |
artiklarna |
12.5, |
och |
21 i |
30
Ds 2017:41 Författningsförslag
enligt |
26 § |
personuppgiftslagen |
Europaparlamentets |
och |
rådets |
|
(1998:204) och om rättelse och |
förordning (EU) 2016/679, får |
|||||
underrättelse till tredje man enligt |
överklagas till kammarrätt. En |
|||||
28 § |
samma |
lag får |
överklagas |
kammarrätts beslut |
i |
sådana |
till kammarrätten. En kammar- |
frågor får överklagas till Högsta |
|||||
rätts beslut i sådana frågor får |
förvaltningsdomstolen. |
|
||||
överklagas |
till |
Högsta |
|
|
|
förvaltningsdomstolen.
Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas.
|
|
|
22 §4 |
|
Andra beslut än sådana som |
Andra beslut än sådana som |
|||
avses i |
eller i |
47 § |
avses i |
|
personuppgiftslagen |
(1998:204) |
överklagas. |
||
får inte överklagas. |
|
|
|
|
Vid |
överklagande |
av |
|
förvaltningsrättens beslut i frågor som avses i 47 § personuppgifts- lagen krävs prövningstillstånd vid överklagande till kammarrätten.
1.Denna lag träder i kraft den 1 maj 2018 i fråga om 3 och 5 a §§ och i övrigt den 25 maj 2018.
2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av de föreskrifterna.
4 Ändringen innebär bl.a. att andra stycket tas bort.
31
Författningsförslag |
Ds 2017:41 |
1.2Förslag till
förordning om ändring i domstolsdataförordningen (2015:729)
Härigenom föreskrivs i fråga om domstolsdataförordningen (2015:729)
dels att
dels att det ska införas en ny paragraf, 11 b §, av följande lydelse.
Nuvarande lydelse |
|
|
Föreslagen lydelse |
|
|
||||
|
|
|
|
3 § |
|
|
|
|
|
Användningen |
i |
allmän |
Användningen |
i |
allmän |
||||
domstol |
enligt |
15 § första |
domstol |
enligt |
15 § |
första |
|||
stycket 1 |
domstolsdatalagen |
stycket 1 |
domstolsdatalagen |
||||||
(2015:728) av sökbegrepp som |
(2015:728) av sökbegrepp som |
||||||||
avslöjar |
brott |
eller |
misstanke |
avslöjar brott |
eller misstanke |
||||
om brott får inte avse sökning i |
om brott, får inte avse sökning i |
||||||||
personuppgifter |
|
i |
tvistemål. |
personuppgifter i tvistemål. |
|||||
Användningen av sådana sök- |
|
|
|
|
|
||||
begrepp får inte heller avse |
|
|
|
|
|
||||
sökning i personuppgifter i mål |
|
|
|
|
|
||||
eller ärenden som har avgjorts |
|
|
|
|
|
||||
slutligt genom en dom eller ett |
|
|
|
|
|
||||
beslut fem år efter utgången av |
|
|
|
|
|
||||
det kalenderår då avgörandet fick |
|
|
|
|
|
||||
laga kraft. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
I mål eller ärenden som har |
||||
|
|
|
|
|
avgjorts slutligt får användningen |
||||
|
|
|
|
|
av sådana sökbegrepp inte heller |
||||
|
|
|
|
|
avse sökning |
i |
personuppgifter |
||
|
|
|
|
|
fem år efter utgången av det |
||||
|
|
|
|
|
kalenderår |
då |
avgörandet fick |
||
|
|
|
|
|
laga kraft. |
|
|
|
|
|
|
|
|
4 § |
|
|
|
|
|
Personnamn, |
personnummer, |
Vid sökning i personuppgifter i |
32
Ds 2017:41 |
Författningsförslag |
samordningsnummer och andra uppgifter som direkt kan hänföras till en fysisk person som är i livet får inte användas som sökbegrepp vid sökning i personuppgifter i brottmål som har avgjorts slutligt genom en dom eller ett beslut fem år efter utgången av det kalenderår då avgörandet fick laga kraft.
brottmål som har avgjorts slutligt genom en dom eller ett beslut får personnamn, personnummer, samordningsnummer och andra uppgifter som direkt kan hänföras till en fysisk person som är i livet inte användas som sökbegrepp fem år efter utgången av det kalenderår då avgörandet fick laga kraft.
|
|
|
5 § |
|
|
|
|
|
Användningen |
i |
allmän |
Användningen |
i |
allmän |
|||
förvaltningsdomstol enligt |
15 § |
förvaltningsdomstol enligt |
15 § |
|||||
första stycket 2 domstolsdata- |
första stycket 2 domstolsdata- |
|||||||
lagen (2015:728) av sökbegrepp |
lagen (2015:728) av sökbegrepp |
|||||||
som avslöjar hälsa, brott eller |
som avslöjar hälsa, brott eller |
|||||||
misstanke om brott får inte avse |
misstanke om brott får inte avse |
|||||||
sökning i personuppgifter i mål |
sökning i personuppgifter i mål |
|||||||
som handläggs av Migrations- |
som handläggs av Migrations- |
|||||||
överdomstolen |
eller |
av |
en |
överdomstolen |
|
eller |
av |
en |
migrationsdomstol. |
|
|
migrationsdomstol. |
|
|
|||
Användningen |
av |
sådana |
|
|
|
|
|
|
sökbegrepp får inte heller avse |
|
|
|
|
|
|||
sökning i personuppgifter i mål |
|
|
|
|
|
|||
som har avgjorts slutligt genom en |
|
|
|
|
|
|||
dom eller ett beslut tjugo år efter |
|
|
|
|
|
|||
utgången av det kalenderår då |
|
|
|
|
|
|||
avgörandet fick laga kraft. |
|
|
|
|
|
|
|
|
|
|
|
|
I mål eller ärenden som har |
||||
|
|
|
|
avgjorts slutligt får användningen |
||||
|
|
|
|
av sådana sökbegrepp inte heller |
||||
|
|
|
|
avse sökning |
i |
personuppgifter |
||
|
|
|
|
tjugo år efter utgången av det |
||||
|
|
|
|
kalenderår då |
avgörandet |
fick |
||
|
|
|
|
laga kraft. |
|
|
|
|
33
Författningsförslag |
Ds 2017:41 |
11 b §
Direktåtkomst enligt 11 a § får även medges de myndigheter som anges i 17 § 5 domstols- datalagen.
14 §
Domstolsverket får meddela närmare föreskrifter om tillgången till personuppgifter. För tilldelning av behörighet för tillgång till personuppgifter ska det särskilt beaktas att det utöver behovet av
uppgifterna ställs krav på utbildning och erfarenhet. |
|
|
|
||||||||||
Domstolsverket får även meddela |
|
|
|
|
|
||||||||
1. ytterligare föreskrifter |
om |
|
|
|
|
|
|
||||||
vilka uppgifter som en förteckning |
|
|
|
|
|
|
|||||||
enligt |
11 § |
domstolsdatalagen |
|
|
|
|
|
|
|||||
(2015:728) ska innehålla, |
|
|
|
|
|
|
|
||||||
2. föreskrifter |
|
|
om |
1. föreskrifter |
|
|
om |
||||||
begränsningar |
av |
möjligheterna |
begränsningar |
av |
möjligheterna |
||||||||
att lämna ut personuppgifter på |
att lämna ut personuppgifter på |
||||||||||||
medium |
för |
|
automatiserad |
medium |
för |
|
automatiserad |
||||||
behandling, |
|
|
|
|
|
behandling, |
|
|
|
|
|
||
3. ytterligare föreskrifter om |
2. ytterligare föreskrifter om |
||||||||||||
begränsningar |
av |
möjligheterna |
begränsningar |
av |
möjligheterna |
||||||||
att lämna |
ut |
personuppgifter |
att lämna |
ut |
personuppgifter |
||||||||
genom |
direktåtkomst och |
om |
genom direktåtkomst och |
om |
|||||||||
behörighet |
och |
säkerhet |
vid |
behörighet |
och |
säkerhet |
vid |
||||||
sådant utlämnande, |
|
|
sådant utlämnande, |
|
|
||||||||
4. ytterligare föreskrifter om |
3. ytterligare föreskrifter om |
||||||||||||
begränsningar för behandling av |
begränsningar för behandling av |
||||||||||||
personuppgifter som hänför sig |
personuppgifter som hänför sig |
||||||||||||
till ett mål eller ärende som har |
till ett mål eller ärende som har |
||||||||||||
avgjorts slutligt genom en dom |
avgjorts slutligt genom en dom |
||||||||||||
eller ett beslut som har fått laga |
eller ett beslut som har fått laga |
||||||||||||
kraft, och |
|
|
|
|
|
kraft, och |
|
|
|
|
|
||
5. de |
ytterligare |
föreskrifter |
4. de ytterligare |
föreskrifter |
|||||||||
som behövs för verkställighet av |
som behövs för verkställighet av |
||||||||||||
domstolsdatalagen |
(2015:728) |
domstolsdatalagen |
(2015:728) |
||||||||||
och denna förordning. |
|
och denna förordning. |
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
34
Ds 2017:41 |
Författningsförslag |
Denna förordning träder i kraft den 25 maj 2018.
35
Författningsförslag |
Ds 2017:41 |
1.3Förslag till
förordning om ändring i förordningen (1998:1388) om vattenverksamhet m.m.
Härigenom föreskrivs att 8 § förordningen (1998:1388) om vattenverksamhet m.m. ska ha följande lydelse.
8 §1
Mark- och miljödomstolens förteckning över vatten- verksamheter inom domsområdet ska föras i en miljöbok som en vattenbok ska ingå i.
Domstolsverket får meddela föreskrifter om miljöboken.
Denna förordning träder i kraft den 25 maj 2018.
1 Senaste lydelse 2010:961.
36
Ds 2017:41 |
Författningsförslag |
1.4Förslag till
förordning om ändring i förordningen (1998:899) om miljöfarlig verksamhet och hälsoskydd
Härigenom föreskrivs att det i förordningen (1998:899) om miljöfarlig verksamhet och hälsoskydd ska införas en ny paragraf, 48 a §, och närmast före 48 a § en ny rubrik av följande lydelse.
Miljöbok
48 a §
En mark- och miljödomstol ska i den miljöbok som avses i 8 § förordningen (1998:1388) om vattenverksamhet m.m. föra en förteckning över avgöranden som rör miljöfarlig verksamhet enligt miljöbalken och som domstolen meddelar som första instans.
Domstolsverket får meddela föreskrifter om förteckningen.
Mark- och miljödomstolarna är skyldiga att efter begäran lämna ut uppgifter i förteckningen till Havs- och vattenmyndigheten, Kammarkollegiet, länsstyrelserna, Myndigheten för samhällsskydd och beredskap, Naturvårdsverket och de kommunala nämnder som fullgör uppgifter inom miljö- och hälsoskyddsområdet.
Denna förordning träder i kraft den 25 maj 2018.
37
2Uppdraget och dess genomförande
2.1Uppdraget
Mitt uppdrag är att lämna förslag på de författningsändringar som behövs i domstolsdatalagen (2015:728) och domstolsdata- förordningen (2015:729) med anledning av EU:s dataskydds- förordning1. Jag ska även ta ställning till om det finns behov av direktåtkomst för t.ex. Kammarkollegiet, länsstyrelserna, Natur- vårdsverket och Havs- och vattenmyndigheten till den s.k. miljö- bok som förs vid respektive mark- och miljödomstol. Enligt uppdragsbeskrivningen ska jag lämna fullständiga författnings- förslag utifrån de överväganden som görs. Jag ska även belysa vilka konsekvenser de föreslagna ändringarna bedöms få. Om förslagen förväntas leda till kostnadsökningar för det allmänna, ska jag föreslå hur dessa ska finansieras. Den fullständiga uppdrags- beskrivningen framgår av bilaga 1.
Med anledning av tilläggsuppdrag, som inte är av relevans för denna promemoria, har uppdraget förlängts och ska redovisas senast den 30 september 2017.
2.2Avgränsningar
Det ligger inte inom uppdraget att presentera en heltäckande redogörelse för dataskyddsförordningens bestämmelser eller skillnaderna mellan det gamla och det nya regelverket för
1 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
39
Uppdraget och dess genomförande |
Ds 2017:41 |
personuppgiftsbehandling. Eventuella tillämpningsproblem som uppstått till följd av den nuvarande utformningen av domstols- datalagen ligger inte heller inom ramen för uppdraget och kan på grund av den tidsmässiga aspekten inte behandlas av oss.
Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) har vidare i uppdrag att lämna förslag till de författningsförändringar som krävs för att genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Den utredningen ska även föreslå de anpassningar som krävs i domstolsdatalagen och domstolsdataförordningen med anledning av det nya direktivet. Dessa frågor behandlas således inte av oss. Däremot har vi i vår promemoria i vissa avseenden analyserat möjligheten att anpassa den reglering vi föreslår till de författnings- förslag som Utredningen om 2016 års dataskyddsdirektiv lämnar. Detta har i sådant fall skett i ett försök att skapa enhetlighet i domstolarnas personuppgiftsbehandling.
2.3Uppdragets genomförande
Utredningsarbetet har bedrivits på sedvanligt sätt, dock utan särskild expert- eller referensgrupp. I stället har samråd med Domstolsverket skett kontinuerligt under utredningstiden.
Vi har vidare ingått i en informell samordningsgrupp med andra utredningar som haft i uppdrag att anpassa svensk rätt till EU:s dataskyddsreform. Utöver detta samarbete har vi under utredningstiden löpande samrått med Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06).
Den del av arbetet som gäller direktåtkomst till miljöboken har vi samrått med medarbetare vid mark- och miljödomstolen vid Vänersborgs tingsrätt och vid Mark- och miljööverdomstolen. Vi har även haft möten med representanter från de berörda myndigheterna. Vad gäller länsstyrelserna har vi på grund av den korta utredningstiden fått begränsa oss till Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län och Länsstyrelsen i
40
Ds 2017:41 |
Uppdraget och dess genomförande |
Stockholms län. Vi har också, genom ett utskick med riktade frågor, gett de nyssnämnda länsstyrelserna, Kammarkollegiet, Naturvårdsverket, Sveriges kommuner och landsting, Havs- och vattenmyndigheten samt Myndigheten för samhällsskydd och beredskap möjlighet att komma med synpunkter gällande behovet av direktåtkomst.
2.4Promemorians disposition
Promemorian är indelad i 24 kapitel.
I kapitel 1 finns författningsförslagen. Kapitel 2 behandlar uppdraget och dess genomförande. I kapitel 3 redogör vi för gällande internationell och nationell rätt på personuppgiftsområdet.
EU:s dataskyddsreform och dess konsekvenser för domstols- datalagen behandlas i kapitel 4. Därefter följer en bedömning av möjligheten att behålla eller införa nationella registerförfattningar (kapitel 5) och av vilken eller vilka av dataskyddsförordningens s.k. rättsliga grunder som ger stöd för den personuppgiftsbehandling som utförs inom domstolsdatalagens tillämpningsområde (kapitel 6). I kapitel 7 behandlar vi domstolsdatalagens syfte och tillämpningsområde. Därefter gör vi, i kapitel 8, en analys och bedömning av det unionsrättsliga begreppet dömande verksamhet. Kapitel 9 innehåller en bedömning av domstolsdatalagens ändamålsbestämmelser och behovet av att komplettera dessa. Sedan följer i kapitel 10 våra överväganden av lagens förhållande till annan lagstiftning och hur dess befintliga hänvisningar till personuppgiftslagen (1998:204) ska hanteras. I kapitel 11 behandlar vi bestämmelserna om tillgång till personuppgifter för anställda m.fl. och i kapitel 12 personuppgiftsansvaret. Kapitel 13 innehåller våra överväganden vad gäller domstolarnas skyldighet att utse dataskyddsombud även för den dömande verksamheten. Våra överväganden vad gäller domstolsdatalagens bestämmelse om domstolarnas skyldighet att lämna upplysningar om sin personuppgiftsbehandling till allmänheten finns i kapitel 14. Därefter redogör vi, i kapitel 15, för de viktigaste förändringarna dataskyddsförordningen innebär för domstolarna vad gäller de registrerades rättigheter. Där gör vi också en analys av möjligheterna och behovet av att begränsa de registrerades
41
Uppdraget och dess genomförande |
Ds 2017:41 |
rättigheter i vissa fall. Vår bedömning av hur dataskydds- förordningens bestämmelser om behandling av känsliga person- uppgifter påverkar domstolsdatalagen finns i kapitel 16. Därefter följder en bedömning av lagens bestämmelser om elektroniskt utlämnande av personuppgifter (kapitel 17). Förändringar av domstolsdatalagens överklagandebestämmelser behandlas i kapitel 18 och i kapitel 19 behandlas vilka förändringar som krävs för att bevarande och arkivering av personuppgifter fortsatt ska vara tillåtet inom domstolsdatalagens tillämpningsområde. Slutligen behandlas Domstolsverkets föreskriftsrätt i kapitel 20.
Kapitel 21 innehåller våra särskilda överväganden vad gäller andra myndigheters direktåtkomst till den s.k. miljöbok som förs vid respektive mark- och miljödomstol.
I kapitel 22 behandlar vi frågor om ikraftträdande- och över- gångsbestämmelser och i kapitel 23 vilka konsekvenser som följer av våra förslag. I kapitel 24 finns en kort författningskommentar till de författningsändringar som föreslås.
För att läsaren ska få en bättre överblick över hur våra förslag påverkar domstolsdatalagstiftningens innehåll finns i bilaga 2 en sammanställning av hur domstolsdatalagen och domstolsdata- förordningen kommer att se ut i sin helhet om våra förslag genomförs (konsoliderade versioner). Slutligen finns dataskyddsförordningen bifogad som bilaga 3.
42
3 Gällande rätt
3.1FN
Förenta Nationerna (FN) antog år 1948 den allmänna förklaringen om de mänskliga rättigheterna, som inte är formellt bindande för medlemsstaterna. Vidare har det inom FN utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som trädde i kraft 1976. Sverige har anslutit sig till konventionen. I både den allmänna förklaringen och konventionen (artikel 12 respektive artikel 17) finns bestämmelser om rätten till skydd för enskildas privata sfär. Av artikel 29 i den allmänna förklaringen framgår vidare att en person vid utövandet av sina rättigheter och friheter endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
FN:s generalförsamling antog år 1990 riktlinjer om datoriserade register med personuppgifter, som innehåller de grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende sådana register.
3.2OECD
OECD:s (Organisationen för ekonomiskt samarbete och utveckling) råd antog år 1980 riktlinjer i fråga om integritets- skyddet och personuppgiftsflödet över gränserna. Samtidigt utfärdades en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Riktlinjerna gäller för både privat och offentlig sektor, de ska uppfattas som minimiregler och de motsvarar i princip de bestämmelser som finns
43
Gällande rätt |
Ds 2017:41 |
i Europarådets dataskyddskonvention. Samtliga medlemsländer har åtagit sig att följa riktlinjerna.
3.3Europarådet
3.3.1Europakonventionen
Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som lag i Sverige.1 Av 2 kap. 19 § regeringsformen framgår också att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Enligt artikel 8 i Europakonventionen har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentliga myndigheter får inte inskränka denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd, före- byggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter.
3.3.2Dataskyddskonventionen
Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) trädde i kraft år 1985. Samtliga EU:s medlemsstater har ratificerat konventionen, som är bindande.
Konventionen innehåller grundläggande principer för dataskydd som de konventionsanslutna staterna ska beakta i sin nationella lagstiftning. Syftet med konventionen är att säkerställa rätten till personlig integritet i samband med automatiserad behandling av personuppgifter. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av person- uppgifter får inte behandlas genom automatiserad databehandling
1 Lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.
44
Ds 2017:41 |
Gällande rätt |
om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.
Utöver dataskyddskonventionen har det inom Europarådet utarbetats flera icke bindande rekommendationer på dataskydds- området.
3.4EU
3.4.1Stadgan
Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) är en del av EU:s primärrätt och bindande för både EU:s institutioner och medlemsstaterna vid tillämpning av unionsrätten.2 I artikel 7 i stadgan anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i stadgan framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Det framgår också att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har också rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. Enligt artikel 47 i stadgan har var och en vars unionsrättsligt garanterade fri- och rättigheter har kränkts rätt till
ett effektivt rättsmedel inför en domstol.
3.4.2Dataskyddsdirektivet och dataskyddsrambeslutet
Den allmänna regleringen om behandling av personuppgifter inom EU finns för närvarande i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Vi kommer fortsatt i denna promemoria att hänvisa till detta direktiv som 1995 års dataskyddsdirektiv.
2 Se artikel 61.1 i Lissabonfördraget och artikel 51 i stadgan.
45
Gällande rätt |
Ds 2017:41 |
Direktivets syfte är, enligt artikel 1.1, att garantera att medlemsstaterna skyddar fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Av artikel 1.2 framgår vidare att syftet är att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Behandling av personuppgifter på områden som faller eller tidigare föll utanför unionsrätten, till exempel allmän säkerhet och försvar samt statens verksamhet på straffrättens område, omfattas inte av 1995 års dataskyddsdirektiv. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är, enligt artikel 1.2 i beslutet, tillämpligt på personuppgiftsbehandling i form av överföring mellan medlemsstaterna i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Dataskyddsrambeslutet gäller dock inte för nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet. Dataskyddsrambeslutet har genomförts i svensk rätt främst genom lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
3.5Svensk rätt
3.5.1Regeringsformen
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ regerings- formen begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av
46
Ds 2017:41 |
Gällande rätt |
folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
3.5.2Personuppgiftslagen
Sverige har genomfört 1995 års dataskyddsdirektiv främst genom personuppgiftslagen (1998:204), förkortad PuL. Lagen trädde i kraft den 24 oktober 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen följer i princip samma struktur som 1995 års dataskyddsdirektiv och innehåller – liksom direktivet – bestämmelser om bland annat personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade. Personuppgiftslagen gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i de sektorsspecifika s.k. registerförfattningar (eller informationshanteringsförfattningar3) som reglerar myndigheternas personuppgiftsbehandling.
Personuppgiftslagen kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191), som bland annat pekar ut Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bland annat i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.
3.5.3 Domstolarnas personuppgiftsbehandling
För myndigheters behandling av personuppgifter finns, som vi nyss nämnt, en stor mängd registerförfattningar. Syftet med dessa författningar är att anpassa personuppgiftsregleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan verksamhetens
3 Jfr Informationshanteringsutredningens betänkande (SOU 2015:39 s. 967 ff.).
47
Gällande rätt |
Ds 2017:41 |
behov av effektivitet och den enskildes rätt till skydd för sin integritet.
Domstolarnas behandling av personuppgifter reglerades tidigare till stor del av de s.k.
förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,
förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling,
förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling, och
förordningen (2001:642) om registerföring m.m. vid hyres- och arrendenämnder med hjälp av automatiserad behandling.
Domstolsdatalagen och domstolsdataförordningen
Eftersom regleringen i
4 Departementspromemoria med förslag till domstolsdatalag (Ds 2013:10 s. 40).
48
Ds 2017:41 |
Gällande rätt |
verksamhet. För läsarvänlighetens skull kommer vi framöver i denna promemoria att med det generella begreppet domstolar även avse hyres- och arrendenämnderna, om inget annat anges.
Domstolsdatalagen och domstolsdataförordningen gäller även när personuppgifter i den rättskipande och rättsvårdande verksamheten vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Domstolsdatalagen gäller i stället för personuppgiftslagen, men innehåller hänvisningar till de bestämmelser i den lagen som ska gälla inom tillämpningsområdet.
49
4Nya regelverk för personuppgiftsbehandling
4.1EU:s dataskyddsreform
Europeiska kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för person- uppgifter. Reformen omfattar dels en förordning som ersätter 1995 års dataskyddsdirektiv och dels ett nytt direktiv med särregler för personuppgiftsbehandling som utförs för bl.a. brotts- bekämpning, lagföring och straffverkställighet.
4.1.1Dataskyddsförordningen
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Den vedertagna förkortningen för förordningen är GDPR. I likhet med de flesta andra utredningar som nu ser eller har sett över svensk lagstiftning på detta område har vi dock valt att i vår promemoria som kortform för den nya rättsakten använda oss av dataskyddsförordningen.
Av skäl 13 till dataskyddsförordningen framgår att syftet med förordningen bl.a. är att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden.
Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta 1995 års dataskyddsdirektiv och utgöra grunden för generell personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i Fördraget om Europeiska unionens funktionssätt
51
Nya regelverk för personuppgiftsbehandling |
Ds 2017:41 |
ska en
4.1.22016 års dataskyddsdirektiv
Samtidigt med dataskyddsförordningen antogs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. I fortsättningen kommer vi i vår promemoria att kalla detta direktiv för 2016 års dataskyddsdirektiv. Direktivet ska vara genomfört i nationell rätt senast den 6 maj 2018.
Enligt artikel 1.1 i 2016 års dataskyddsdirektiv innehåller direktivet bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Även sådan personuppgifts- behandling som utförs hos behöriga myndigheter för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten ingår i tillämpningsområdet. Av artikel 2.2 d i dataskydds- förordningen framgår att förordningen inte gäller för sådan personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde.
Av artikel 1.2 i 2016 års dataskyddsdirektiv framgår att syftet med direktivet är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av person- uppgifter. Det framgår också att syftet är att säkerställa att det utbyte av personuppgifter som krävs inom unionen mellan behöriga myndigheter varken begränsas eller förbjuds av skäl som
52
Ds 2017:41 |
Nya regelverk för personuppgiftsbehandling |
rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
4.2Två nya svenska regelverk
När dataskyddsförordningen börjar tillämpas ska personuppgifts- lagen upphävas.1 Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) lämnat förslag till en ny lag; lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen). Som framgår av namnet ska denna lag komplettera EU:s dataskyddsförordning på ett generellt plan i svensk rätt. Dataskyddsutredningen har även lämnat förslag till en förordning till dataskyddslagen; förordning med kompletterande bestämmelser till EU:s dataskyddsförordning. I likhet med vad som gäller för personuppgiftslagen föreslås avvikande bestämmelser i annan lag eller förordning ha företräde framför bestämmelserna i dataskyddslagen. Vi kommer i vår promemoria att utgå från det förslag till dataskyddslag som Dataskyddsutredningen har lämnat, trots att detta ännu inte lett till lagstiftning.
Utöver denna generella reglering kommer kompletteringar till bestämmelserna i EU:s dataskyddsförordning att finnas i de sektorsspecifika registerförfattningar som i stor utsträckning reglerar svenska myndigheters personuppgiftsbehandling. Ett omfattande arbete pågår eller har nyligen pågått inom utrednings- väsendet för att, i likhet med det uppdrag vi har fått, anpassa dessa sektorsspecifika författningar till det nya regelverket.
Den personuppgiftsbehandling som sker hos behöriga myndigheter i syfte att bl.a. förebygga, förhindra, utreda, avslöja eller lagföra brott samt verkställa straffrättsliga påföljder kommer dock att styras av 2016 års dataskyddsdirektiv. Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29) föreslagit att detta direktiv ska genomföras i svensk rätt genom en ny generellt tillämplig lag, kallad brottsdatalagen. Denna lag ska enligt utredningens förslag kompletteras av en förordning, kallad brottsdataförordningen.
1 Se kommittédirektiv till Dataskyddsutredningen (Dir. 2016:15 s. 6).
53
Nya regelverk för personuppgiftsbehandling |
Ds 2017:41 |
Även på brottsdatalagens tillämpningsområde finns det en mängd sektorsspecifika registerförfattningar. Det ligger inom Utredningen om 2016 års dataskyddsdirektivs uppdrag att analysera och bedöma i vilken utsträckning dessa register- författningar behöver förändras med hänsyn till direktivets förpliktelser och till den nya ramlagstiftning som brottsdatalagen kommer att utgöra.2
4.3Avgränsning av domstolsdatalagens tillämpningsområde
4.3.1Dataskyddsförordningen eller 2016 års dataskyddsdirektiv?
För många myndigheter får EU:s dataskyddsreform effekten att personuppgiftsbehandlingen i vissa delar av verksamheten tillhör dataskyddsförordningens tillämpningsområde medan den i andra delar av verksamheten tillhör 2016 års dataskyddsdirektivs tillämpningsområde. Dataskyddsförordningen gäller, enligt artikel 2.2 d i förordningen jämförd med artikel 1.1 i direktivet, inte för sådan personuppgiftsbehandling som omfattas av direktivets tillämpningsområde. Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29 s. 155 f.) föreslagit att brottsdatalagen – som ska genomföra direktivet i svensk rätt – ska vara tillämplig vid behandling av personuppgifter som behöriga myndigheter utför för vissa syften. Dessa är bl.a. att förebygga, förhindra eller upptäcka brottslig verksamhet, att utreda eller lag- föra brott samt att verkställa straffrättsliga påföljder. Det avgörande för vilket av regelverken som är tillämpligt för en myndighets personuppgiftsbehandling kommer således att vara för vilket syfte den aktuella behandlingen utförs.
För domstolarnas del resulterar detta i att när de allmänna domstolarna exempelvis hanterar mål och ärenden om lagföring av brott eller verkställighet av straffrättsliga påföljder ska personuppgiftsbehandlingen utföras i enlighet med bestämmelserna i brottsdatalagen och de bestämmelser i registerförfattning som
2 Se kommittédirektiv till Utredningen om 2016 års dataskyddsdirektiv (Dir. 2016:21 s. 9).
54
Ds 2017:41 |
Nya regelverk för personuppgiftsbehandling |
kompletterar denna lag. Personuppgiftsbehandlingen i tvistemål – som enligt vår bedömning ligger utanför brottsdatalagens tillämpningsområde – ska dock utföras i enlighet med dataskyddsförordningen och de bestämmelser i registerförfattning som kompletterar förordningen. Det sistnämnda gäller också den stora merparten av de ärenden som handläggs vid allmän domstol. Vissa av dessa ärenden har av Utredningen om 2016 års dataskyddsdirektiv dock bedömts ligga inom brottsdatalagens tillämpningsområde. Som exempel kan nämnas handläggningen av hemliga tvångsmedel under förundersökning och ärenden enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott.3
Eftersom personuppgiftsbehandling som utförs i syfte att verkställa straffrättsliga påföljder ligger under brottsdatalagens tillämpningsområde kommer denna lag också att tillämpas i delar av de allmänna förvaltningsdomstolarnas verksamhet. Utredningen om 2016 års dataskyddsdirektiv har exempelvis gjort bedömningen att den personuppgiftsbehandling som utförs när frågor prövas enligt lagen (1991:1129) om rättspsykiatrisk vård faller under brottsdatalagens tillämpningsområde. Detsamma gäller de person- uppgifter som behandlas när frågor enligt fängelselagen (2010:610) prövas. För en mer utförlig beskrivning av brottsdatalagens tillämpningsområde hänvisar vi till Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29 kap. 7 och 8).
4.3.2Bedömning
Förslag: Domstolsdatalagen ska inte gälla vid behandling av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet som omfattas av brotts- datalagens tillämpningsområde.
När dataskyddsförordningen börjar tillämpas och brottsdatalagen träder i kraft kommer domstolarna (dock inte hyres- och arrendenämnderna) att behöva förhålla sig till två olika regelverk
3 Se Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29 s. 207 f.).
55
Nya regelverk för personuppgiftsbehandling |
Ds 2017:41 |
för personuppgiftsbehandling. Det ena består av dataskydds- förordningen, domstolarnas registerförfattning samt den nya svenska dataskyddslagen i tillämpliga delar (se avsnitt 4.2). Det andra består av brottsdatalagen med tillhörande brottsdata- förordning och domstolarnas registerförfattning.
Domstolsdatalagen och domstolsdataförordningen omfattar för närvarande all den personuppgiftsbehandling som sker i dom- stolarnas rättskipande och rättsvårdande verksamhet. Detta leder till vissa praktiska problem om dessa författningar nu ska anpassas till både dataskyddsförordningen och brottsdatalagen.
För den del av verksamheten som ligger inom brottsdatalagens tillämpningsområde kommer förekomsten av en generellt tillämplig brottsdatalag förmodligen att leda till att en del av domstols- datalagens bestämmelser blir överflödiga. För den del av verksamheten som faller inom dataskyddsförordningens tillämpningsområde bör domstolsdatalagen enligt vår bedömning i materiellt hänseende snarare kvarstå oförändrad i så stor utsträckning som möjligt.
Dessa praktiska problem skulle eventuellt kunna lösas genom att domstolsdatalagen och domstolsdataförordningen delas in i olika kapitel utifrån tillämpningsområde. Vi anser dock att en sådan lösning riskerar att ytterligare komplicera ett redan svårtillgängligt rättsområde. Domstolsdatalagens förhållande till både dataskydds- förordningen, dataskyddslagen och brottsdatalagen skulle behöva beskrivas i lagen. Vidare skulle det enligt vår bedömning finnas risk för att korshänvisningar och undantag måste användas i stor utsträckning.
Utöver de rent lagtekniska aspekterna skulle bestämmelser med samma lydelse riskera att få olika innebörd, beroende på inom vilken del av verksamheten de tillämpas. I den del av verksamheten där personuppgiftsbehandlingen styrs av 2016 års dataskydds- direktiv skulle bestämmelserna behöva tolkas i ljuset av brottsdatalagen och direktivet. På motsvarande sätt skulle bestämmelserna behöva tolkas i ljuset av dataskyddsförordningen i resterande del av verksamheten.
För att göra regelverket mer lättillgängligt för tillämparen föreslår vi därför, i samråd med Utredningen om 2016 års dataskyddsdirektiv, att domstolsdatalagen och domstolsdata- förordningen fortsättningsvis endast ska reglera den person-
56
Ds 2017:41 |
Nya regelverk för personuppgiftsbehandling |
uppgiftsbehandling i domstolarnas rättskipande och rättsvårdande verksamhet som faller under dataskyddsförordningens tillämpningsområde. Vi kommer i vår promemoria att lämna förslag till förändringar i dessa författningar. Utredningen om 2016 års dataskyddsdirektiv kommer i sitt slutbetänkande att lämna förslag till hur den personuppgiftsbehandling hos domstolarna som faller under direktivets tillämpningsområde ska regleras.
Som vi nämnt ovan avgränsas dataskyddsförordningens materiella tillämpningsområde bl.a. genom att den behandling av personuppgifter som faller under 2016 års dataskyddsdirektiv inte omfattas av förordningen. Domstolsdatalagens tillämpningsområde måste enligt vår mening avgränsas på samma sätt. Mot den bakgrunden och för att tydliggöra förhållandet mellan de två registerförfattningar med tillhörande förordningar som framöver kommer att finnas för domstolarnas verksamhet, föreslår vi att det i domstolsdatalagen upplyses om att den lagen inte gäller vid behandling av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet som omfattas av brottsdatalagens tillämpningsområde. Detta omfattar den personuppgiftsbehandling som utförs med stöd av brottsdatalagen, dess kompletterande registerförfattning för domstolarna och de förordningar som i sin tur kompletterar dessa lagar.4
4.4Vilket regelverk är tillämpligt?
När det vid en domstol uppkommer fråga om vilket av regelverken som är tillämpligt för en viss personuppgiftsbehandling kommer – som vi tidigare nämnt – det avgörande att vara för vilket syfte den aktuella personuppgiftsbehandlingen utförs. För domstolarnas del kommer det enligt vår bedömning främst att behöva avgöras om den aktuella behandlingen utförs i syfte att lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Ledning i denna fråga kan lämpligen hämtas ur Utredningen om 2016 års dataskyddsdirektivs delbetänkande
4 Av Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29 s. 140) framgår att utgångspunkten för den utredningens arbete är att brottsdatalagen ska kompletteras av registerförfattningar. Det finns därmed anledning att anta att en sådan registerförfattning kommer att föreslås även för domstolarnas verksamhet.
57
Nya regelverk för personuppgiftsbehandling |
Ds 2017:41 |
(SOU 2017:29 kap. 7 och 8). Där finns en omfattande analys av brottsdatalagens tillämpningsområde och de gränsdragningsfrågor som kan uppstå vid myndigheters personuppgiftsbehandling.
Om tillämparen i en faktisk situation kommer fram till att syftet med personuppgiftsbehandlingen exempelvis är att lagföra brott, ska domstolsdatalagen inte tillämpas. Skulle tillämparen däremot komma fram till att personuppgiftsbehandlingen inte utförs för något av de syften som ligger inom brottsdatalagens tillämpnings- område, ska dataskyddsförordningen med kompletterande domstolsdatalag (och dataskyddslagen i tillämpliga delar) tillämpas vid behandlingen.
Sammanfattningsvis – och något förenklat – kommer data- skyddsförordningen och domstolsdatalagen som huvudregel att tillämpas vid behandling av personuppgifter i tvistemål och ärenden i allmän domstol samt i mål i allmän förvaltningsdomstol. Hyres- och arrendenämndernas personuppgiftsbehandling faller ute- slutande under dataskyddsförordningens tillämpningsområde.
58
5 Nationella registerförfattningar
5.1Registerförfattningarnas förenlighet med dataskyddsförordningen
När dataskyddsförordningen börjar tillämpas kommer den att vara direkt tillämplig på all personuppgiftsbehandling som i medlems- staterna utförs inom dess materiella och territoriella tillämpnings- område. Personuppgiftslagen kommer då att upphävas.1 Den nya dataskyddslagen kommer dock, enligt Dataskyddsutredningens betänkande (SOU 2017:39), att innehålla en ny generell svensk reglering för personuppgiftsbehandling. Denna lag ska enligt Dataskyddsutredningens förslag, i likhet med personuppgiftslagen, vara subsidiär i förhållande till bestämmelser om behandling av personuppgifter i andra författningar.
När det gäller personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning ger artikel 6.2 i dataskyddsförordningen medlemsstaterna möjlighet att behålla eller införa mer specifika bestämmelser, där bl.a. specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling närmare fastställs. Av skäl 10 till dataskyddsförordningen framgår att möjligheten att specificera bestämmelserna för personuppgiftsbehandling också gäller känsliga personuppgifter.
Även artikel 6.3 andra stycket i dataskyddsförordningen ger medlemsstaterna möjlighet att specificera villkoren för personuppgiftsbehandling. Här anges att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Som exempel nämns de
1 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).
59
Nationella registerförfattningar |
Ds 2017:41 |
allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling. Även förfaranden för behandling nämns. Här ingår åtgärder för att tillförsäkra en laglig och rättvis behandling, t.ex. i de särskilda situationer som framgår av kapitel IX. Det kapitlet reglerar bl.a. förhållandet till yttrande- och informationsfriheten samt offentlighetsprincipen. Även medlemsstaternas rätt att närmare bestämma på vilka villkor nationella identifikationsnummer får behandlas framgår av detta kapitel. Det anges också i artikel 6.3 att unionsrätten eller medlemsstaternas nationella rätt i dessa fall ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Av artikel 4.7 i dataskyddsförordningen framgår att vem som är personuppgiftsansvarig kan föreskrivas i den nationella rätten, om ändamålen och medlen för behandling fastställs av medlemstatens nationella rätt.
I artikel 6.3 andra stycket anges förvisso att de särskilda bestämmelserna ska vara en del av ”den rättsliga grunden”. Dataskyddsutredningen (SOU 2017:39 s. 135) har vad gäller artikel 6 tolkat dataskyddsförordningen på så sätt att med den rättsliga grunden för personuppgiftsbehandling avses någon av de grunder för behandling som anges i artikel 6.1 (se kapitel 6). Den rättsliga grunden skulle med detta synsätt vara exempelvis den bestämmelse i nationell rätt där en myndighets uppgift av allmänt intresse eller dess myndighetsutövande uppdrag fastställs. I svensk rätt är det dock vanligare att denna ”rättsliga grund” inte innehåller bestämmelser om personuppgiftsbehandling. I stället återfinns dessa bestämmelser ofta i sektorsspecifika registerförfattningar. Vi anser att det måste vara möjligt att tolka dataskyddsförordningen så att den ger handlingsutrymme att följa de nationella lag- stiftningstraditionerna på området. Enligt vår mening måste exemplifieringen av frågor som enligt artikel 6.3 andra stycket kan fastställas i den nationella rätten för svensk del därmed kunna ses som en exemplifiering av de bestämmelser som kan förekomma i registerförfattningarna.
60
Ds 2017:41 |
Nationella registerförfattningar |
5.2Allmänna principer för behandling av personuppgifter
Dataskyddsutredningen gör i sitt betänkande (SOU 2017:39 s. 105) bedömningen att de svenska registerförfattningarna framför allt kommer att innehålla en precisering av de allmänna principer för personuppgiftsbehandling som framgår av artikel 5 i data- skyddsförordningen. Dessa principer motsvaras i princip av artikel 6 i 1995 års dataskyddsdirektiv, som införts i svensk rätt genom 9 § PuL. Artikel 5.1 i dataskyddsförordningen lyder i sin helhet som följer.
Artikel 5
1. Vid behandling av personuppgifter ska följande gälla:
a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c)De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
61
Nationella registerförfattningar |
Ds 2017:41 |
f)De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Det är således dessa ovan angivna principer som register- författningarna till stor del är menade att precisera.
5.3Bedömning
Bedömning: Dataskyddsförordningen hindrar inte den typ av nationell registerlagstiftning som domstolsdatalagen utgör.
Dataskyddsförordningen hindrar inte heller att medlems- staterna i registerförfattning inför mer restriktiva bestämmelser för myndigheternas personuppgiftsbehandling än vad som följer av förordningen eller utökar de nationella myndigheternas skyldigheter gentemot de registrerade.
Sammanfattningsvis anser vi att artikel 6.2 och 6.3 i dataskydds- förordningen ger medlemsstaterna möjlighet att i den nationella lagstiftningen närmare precisera hur personuppgifter får behandlas när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Detta kan ske genom exempelvis den typ av registerlagstiftning som domstolsdatalagen utgör. Medlemsstaterna har här enligt vår mening frihet att välja vilket område eller vilken verksamhet en registerförfattning ska reglera, så länge lagstiftningen omfattar sådant som ryms inom begreppen rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning.
Dataskyddsutredningen gör i sitt betänkande (SOU 2017:39 s. 105) bedömningen att registerförfattningarna framför allt kommer att innehålla en precisering av de allmänna principer för personuppgiftsbehandling som framgår av artikel 5 i dataskydds- förordningen. Det kan vidare nämnas att det är tillåtet för en medlemsstat, som genomför förtydliganden och begränsningar av dataskyddsförordningens bestämmelser genom den nationella
62
Ds 2017:41 |
Nationella registerförfattningar |
rätten, att införliva delar av förordningen i nationell rätt. Detta framgår av skäl 8 till dataskyddsförordningen. Ett direkt åter- givande av de bestämmelser som finns i dataskyddförordningen och som förvisso skulle ha gällt även utan ett sådant återgivande är därmed tillåtet i nationell rätt. Enligt skäl 8 kan syftet med detta bl.a. vara att göra de nationella bestämmelserna begripliga.
Dataskyddsförordningen innehåller inte något förbud mot att personuppgiftsansvariga utökar skyddet för de personuppgifter som behandlas, går utöver sina skyldigheter vad gäller information till de registrerade eller liknande. Dataskyddsförordningen ger vidare, som framgår ovan, möjlighet till nationell specificering vad gäller myndigheternas behandling av personuppgifter. Det är enligt vår mening rimligt att medlemsstaterna vid denna specificering har samma möjlighet att för sina myndigheter föreskriva ett skydd för personuppgifter som går utöver dataskyddsförordningens skyldigheter. I artikel 1.2 i dataskyddsförordningen fastställs vidare att syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter. Mot den bakgrunden bedömer vi att nationell lagstiftning som skapar ett förstärkt skydd för sådana person- uppgifter bör vara förenlig med dataskyddsförordningen. Medlemsstaterna bör således ha möjlighet att införa mer restriktiva bestämmelser för sina myndigheters personuppgiftsbehandling än vad som följer av dataskyddsförordningen. Det bör även vara möjligt för medlemsstaterna att utöka de nationella myndigheternas skyldigheter gentemot de registrerade.
63
6Rättslig grund för domstolarnas personuppgiftsbehandling
Dataskyddsförordningen utgår, liksom 1995 års dataskydds- direktiv, från att varje behandling av personuppgifter måste vila på en rättslig grund. Enligt artikel 6.1 i dataskyddsförordningen får personuppgifter endast behandlas om någon av de rättsliga grunder som räknas upp i artikeln föreligger. Den rättsliga grund som närmast kommer i fråga för domstolarnas personuppgifts- behandling i den rättskipande och rättsvårdande verksamheten är den som framgår av artikel 6.1 e. Enligt denna bestämmelse är personuppgiftsbehandling tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Personuppgifts- behandling är även tillåten om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Detta framgår av artikel 6.1 c.
I artikel 6.3 första stycket finns ett uttryckligt krav på att grunden för personuppgiftsbehandlingen enligt artikel 6.1 c och e – dvs. den rättsliga förpliktelsen, myndighetsutövningen eller uppgiften av allmänt intresse – ska vara fastställd i enlighet med unionsrätten eller den nationella rätten.
Som framgår av ordalydelsen i artikel 6.1 c och e innehåller dessa rättsliga grunder även ett nödvändighetsrekvisit. För att en myndighets personuppgiftsbehandling exempelvis ska vara tillåten enligt artikel 6.1 e måste den vara nödvändig för att myndigheten ska kunna utföra den uppgift av allmänt intresse som den genom författning tilldelats, alternativt nödvändig för att myndigheten ska kunna utföra den myndighetsutövning som den anförtrotts. På samma sätt är en personuppgiftsbehandling laglig enligt
65
Rättslig grund för domstolarnas personuppgiftsbehandling |
Ds 2017:41 |
artikel 6.1 c om den är nödvändig för att fullgöra en rättslig förpliktelse.
Dataskyddsutredningen konstaterar i sitt betänkande (SOU 2017:39 s. 105 f.) att det unionsrättsliga begreppet nödvändig inte har samma strikta innebörd som i svenska språket. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan behandling av personuppgifter, kan behandlingen ur ett unions- rättsligt perspektiv anses vara nödvändig och därmed tillåten enligt artikel 6 om den leder till effektivitetsvinster.1
Alla myndigheter utför en rad administrativa uppgifter som krävs för att myndigheten ska fungera, men som varken direkt eller indirekt kan sägas framgå av uppdraget. Dataskyddsutredningen konstaterar i sitt betänkande (a.a. s. 129) att en myndighet inte kan utföra sina fastställda uppgifter om den inte fungerar och att således även administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion därmed är rättsligt grundade i dataskyddsförordningens mening.
Utöver att personuppgiftsbehandlingen ska vara nödvändig för den rättsliga förpliktelsen, utförandet av uppgiften av allmänt intresse eller myndighetsutövningen, måste behandlingen naturligtvis även utföras i enlighet med de allmänna principer som framgår av artikel 5 i dataskyddsförordningen. Detta innebär bland annat att behandlingen måste vara skälig eller rimlig (korrekthet) i förhållande till den registrerade. Behovet av den konkreta behandlingen måste därmed alltid vägas emot den registrerades intresse av personlig integritet.
6.1Dataskyddslagen
Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att det i dataskyddslagen ska tas in en bestämmelse som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Dataskyddsutredningen har även föreslagit
1 Se SOU 1997:39 s. 359, Dom Huber mot Tyskland,
66
Ds 2017:41 |
Rättslig grund för domstolarnas personuppgiftsbehandling |
att det i dataskyddslagen ska tas in en bestämmelse som tydliggör att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter endast om denna sker enligt lag eller annan författning.
Vidare föreslår Dataskyddsutredningen att dataskyddslagen ska innehålla en bestämmelse som tydliggör att en rättslig förpliktelse utgör en rättslig grund för behandling av personuppgifter endast om förpliktelsen gäller enligt lag eller annan författning, följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
De nyss nämnda bestämmelserna ska, enligt Dataskydds- utredningens förslag, finnas i 2 kap. 2 och 3 §§ dataskyddslagen. Dataskyddsutredningen framhåller i sitt betänkande (SOU 2017:39 s. 112)att den rättsliga grunden inte nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag, men att den däremot måste vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Detta bör enligt vår mening innebära att även exempelvis förordningar som meddelats av regeringen, med stöd av den restkompetens som följer av regeringsformen, kan utgöra den rättsliga grunden för personuppgiftsbehandling. Detsamma bör gälla befogenheter som anges i annan föreskrift än lag eller förordning, förutsatt att föreskriften har meddelats i den ordning som följer av regeringsformens bestämmelser om normgivnings- kompetens.
6.2Myndighetsutövning, uppgift av allmänt intresse eller rättslig förpliktelse?
6.2.1Tidigare förarbeten
När dataskyddsförordningen börjar tillämpas kommer person- uppgifter att få behandlas endast under förutsättning att någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen föreligger. Bestämmelsen i artikel 6.1 motsvarar i stora drag artikel 7 i 1995 års dataskyddsdirektiv, som har genomförts i svensk rätt genom 10 § PUL.
Enligt 2 § domstolsdatalagen gäller den lagen vid behandling av personuppgifter i domstolarnas rättskipande och rättsvårdande verksamhet samt när personuppgifterna vidarebehandlas i den
67
Rättslig grund för domstolarnas personuppgiftsbehandling |
Ds 2017:41 |
administrativa verksamheten för att lämnas ut efter begäran. Enligt 6 § domstolsdatalagen får personuppgifterna behandlas i denna verksamhet endast om det behövs för handläggning av mål och ärenden. De personuppgifter som behandlas enligt 6 § får dock även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Detta framgår av 7 § domstolsdatalagen.
I departementspromemorian med förslag till domstolsdatalag (Ds 2013:10 s. 65) gjordes bedömningen att den personuppgifts- behandling som sker i domstolarnas rättskipande och rättsvårdande verksamhet och inom ramen för handläggning av mål och ärenden eller för uppgiftslämnande som sker i överensstämmelse med lag eller förordning, får anses vara nödvändig för att domstolarna ska kunna fullgöra sina rättsliga förpliktelser eller kunna utföra sina arbetsuppgifter av allmänt intresse. Sådan behandling bedömdes även vara nödvändig som ett led i myndighetsutövningen.
Regeringen har vid domstolsdatalagens tillkomst således ansett att samtliga de rättsliga grunder som numera framgår av artikel 6.1 c och e i dataskyddsförordningen utgör den rättsliga grunden för domstolarnas personuppgiftsbehandling inom domstolsdatalagens tillämpningsområde. Vi kommer i följande avsnitt att göra en kort redogörelse för innebörden av dessa rättsliga grunder. Vi anser också att en förnyad analys av vilken eller vilka av dessa grunder som utgör stödet för domstolarnas personuppgiftsbehandling inom ramen för domstolsdatalagen bör vara av intresse för de personuppgiftsansvariga domstolarna. I vår redogörelse utgår vi i allt väsentligt från den analys av begreppen uppgift av allmänt intresse, myndighetsutövning och rättslig förpliktelse som har gjorts av Dataskyddsutredningen. För den som har behov av en mer utförlig redogörelse hänvisar vi till Dataskyddsutredningens betänkande i denna del.2
6.2.2Uppgift av allmänt intresse
Som framgår av artikel 6.1 e och artikel 6.3 första stycket i dataskyddsförordningen samt 2 kap. 3 § förslaget till dataskydds-
2 SOU 2017:39 kapitel 8.
68
Ds 2017:41 |
Rättslig grund för domstolarnas personuppgiftsbehandling |
lag, är personuppgiftsbehandling laglig om den är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning. Dataskydds- utredningen anser att mycket talar för att begreppet uppgift av allmänt intresse har fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft i svensk rätt.3
Dataskyddsförordningen skiljer sig från 1995 års dataskydds- direktiv på så sätt att en myndighet inte längre kommer att kunna grunda sin personuppgiftsbehandling på en intresseavvägning mellan myndighetens berättigade intresse och den registrerades intressen eller grundläggande rättigheter och friheter. Den bestämmelse i dataskyddsförordningen som reglerar person- uppgiftsbehandling efter en sådan intresseavvägning, artikel 6.1 f, gäller nämligen inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Även myndigheternas utrymme för att grunda personuppgiftsbehandlingen på samtycke från den registrerade kan antas minska genom dataskydds- förordningen. I skäl 43 till förordningen anges att samtycke inte bör utgöra giltig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Dataskyddsutredningen gör bedömningen att begreppet uppgift av allmänt intresse rent språkligt kan antas avse något som är av intresse för eller berör många människor på ett bredare plan. Av skäl 45 till dataskyddsförordningen följer också att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Dataskydds- utredningen gör vidare bedömningen att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse.4
3Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 123).
4A.a. s. 124.
69
Rättslig grund för domstolarnas personuppgiftsbehandling |
Ds 2017:41 |
6.2.3Myndighetsutövning
Enligt artikel 6.1 e och artikel 6.3 första stycket i dataskydds- förordningen samt 2 kap. 3 § förslaget till dataskyddslag, är personuppgiftsbehandling laglig om den är nödvändig som ett led i myndighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning.
Domstolar är en särskild form av myndighet.5 Detta framgår bl.a. direkt av 11 kap. 5 § RF, som stadgar att rättstvister mellan enskilda inte utan stöd av lag får avgöras av andra myndigheter än domstolar.
Dataskyddsutredningen anser att man bör kunna utgå från att det som i Sverige brukar anses vara myndighetsutövning även faller under motsvarande unionsrättsliga begrepp.6 Myndighetsutövning definieras i svensk rätt ofta som ”utövning av befogenhet att bestämma om förmån, rättighet, skyldighet, disciplinär bestraffning eller annat jämförbart förhållande”. Definitionen härstammar från 3 § i 1971 års förvaltningslag.7
Begreppet myndighetsutövning förekommer vidare i bl.a. skadeståndsrättsliga regler. I förarbetena till 3 kap. 2 § skadestånds- lagen (1972:207) anges att myndighetsutövning avser beslut eller åtgärder som är ett uttryck för det allmännas rätt att utöva makt över medborgarna. Karaktäristiskt är att den enskilde står i ett beroendeförhållande till myndigheten, som bestämmer över den enskildes rättigheter och skyldigheter på ett sätt som inte förekommer i privaträttsliga sammanhang.8
Myndighetsutövningen är således ytterst ett uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de högsta statsorganen. Till myndighets- utövning hör först och främst sådan offentlig verksamhet, vari- genom myndigheterna ensidigt bestämmer om enskildas skyldigheter eller om ingrepp i enskildas frihet eller egendom. Hit
5Melin, Våra domstolar Organisation och verksamhet m.m., 2012, s.
6Se Dataskyddsutredningens betänkande SOU 2017:39 s. 119, med hänvisning till Datalagskommitténs betänkande SOU 1997:39 s. 365.
7 |
Holmberg m.fl Grundlagarna, Zeteo, kommentar till 12 kap. 4 § RF samt prop. 1971:30 |
s. 333. |
|
8 |
Jfr prop. 1972:5 s. 498 f. och t.ex. NJA 2013 s. 1210. |
70
Ds 2017:41 |
Rättslig grund för domstolarnas personuppgiftsbehandling |
hör alltså beslut som innebär ålägganden att göra eller underlåta något eller som avser ingrepp i personlig frihet eller egendom, men även rent faktiska åtgärder som innebär sådana ingrepp, vare sig de grundas på formliga beslut eller inte. Så långt kan begreppet myndighetsutövning sägas sammanfalla med begreppet offentlig maktutövning. Men även åtskilliga gynnande beslut faller in under begreppet myndighetsutövning, exempelvis beslut om sociala förmåner, statsbidrag och liknande. Den enskilde står här i ett beroendeförhållande till det allmänna, som ensamt har möjlighet att tillmötesgå hans eller hennes anspråk och därigenom i viss mening kan sägas utöva makt mot honom eller henne. Till myndighetsutövning bör vidare hänföras vissa beslut, vilka till skillnad från de hittills nämnda inte innehåller direkta handlingsmönster utan har indirekta rättsverkningar gentemot den enskilde, t.ex. registreringsbeslut och beslut om utfärdande av legitimationshandlingar samt beslut i samband med obligatorisk kontrollverksamhet.
Utanför begreppet myndighetsutövning faller råd, upplysningar och andra icke bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång mot den enskilde (t.ex. undervisning eller sjukvård). Till myndighetsutövning räknas inte heller sådan verksamhet som stat eller kommun utövar i privaträttsliga former. Gränsdragningen mellan offentligrättsliga och privaträttsliga regler är sålunda av stor vikt när det gäller att bestämma begreppet myndighetsutövning.9
6.2.4Rättslig förpliktelse
Enligt artikel 6.1 c och artikel 6.3 första stycket i dataskydds- förordningen samt 2 kap. 2 § förslaget till dataskyddslag är person- uppgiftsbehandling laglig om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av lag eller annan författning.
Dataskyddsutredningen gör bedömningen att det faktum att den rättsliga förpliktelsen måste ha en legal grund inte innebär att
9 Lundell/Strömberg, Allmän förvaltningsrätt, 26 uppl., s. 20 f.
71
Rättslig grund för domstolarnas personuppgiftsbehandling |
Ds 2017:41 |
förpliktelsen nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt.10
Dataskyddsutredningen konstaterar att även domstolar och statliga myndigheter vid sidan av sina uppgifter och uppdrag kan sägas ha rättsliga förpliktelser och att det inte finns något i artikel6.1 c i dataskyddsförordningen som begränsar tillämpningen till den privata sektorn. Domstolar och myndigheter har också andra författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling, exempelvis när det gäller personal- administration.11 Datainspektionen har vidare ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses i personuppgiftslagen och som motsvaras av dataskyddsförordningens begrepp rättslig förpliktelse.12
6.2.5Bedömning
Bedömning: Den personuppgiftsbehandling som utförs inom domstolsdatalagens tillämpningsområde har en sådan rättslig grund som avses i artikel 6.1 c och e i dataskyddsförordningen, eftersom den är nödvändig för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
De allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna är myndigheter. Deras rättskipande och rättsvårdande uppgift, som innebär att avgöra mål och ärenden, är fastställd genom lag eller annan författning. Den enskilde står vidare i ett uppenbart beroendeförhållande till domstolarna, som har makt att bestämma över den enskildes rättigheter och skyldigheter. Den rättskipande och rättsvårdande
10Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 113 f.).
11A.a. s. 116 f, jfr även SOU 1997:39 s. 363.
12Datainspektionens rapport 2005:3 Övervakning i arbetslivet – Kontroll av de anställdas Internet och
72
Ds 2017:41 |
Rättslig grund för domstolarnas personuppgiftsbehandling |
verksamhet som utförs av domstolarna i mål och ärenden motsvarar enligt vår mening därmed tydligt den beskrivning av myndighetsutövning som framgår av avsnitt 6.2.3.
Vi anser dock att domstolarnas rättskipande och rättsvårdande verksamhet också utgör en uppgift av allmänt intresse. I en rättsstat måste det anses vara av allmänt intresse att rättskipningen utförs på ett rättsäkert sätt av oberoende domstolar. Som framgår ovan har domstolarna uttryckligen anförtrotts detta uppdrag av riksdagen genom de lagar som reglerar deras verksamhet. Eftersom domstolarnas uppgift i denna del således är fastställd i den laga ordning som gäller i Sverige finns det även med detta synsätt en hållbar rättslig grund för personuppgiftsbehandlingen.
Den personuppgiftsbehandling som utförs med stöd av processuella bestämmelser eller för att domstolarna på ett rättsäkert sätt ska kunna genomföra den rättskipande och rättsvårdande uppgift de har anförtrotts, måste enligt vår mening vidare anses vara nödvändig som ett led i domstolarnas myndighetsutövning och för att utföra den uppgift av allmänt intresse som domstolarna anförtrotts. Detta gäller även den personuppgiftsbehandling som utförs för att effektivisera domstolarnas framtida målhantering och skapa en enhetlig rättspraxis, exempelvis i den miljöbok som förs vid samtliga mark- och miljödomstolar.
Det rättsliga stödet för den personuppgiftsbehandling som utförs inom ramen för domstolarnas rättskipande och rättsvårdande verksamhet står enligt vår mening således att finna i artikel 6.1 e i dataskyddsförordningen, eftersom verksamheten utgör både myndighetsutövning och en uppgift av allmänt intresse.
Domstolsdatalagen gäller emellertid även för den del av domstolarnas administrativa verksamhet som innebär att personuppgifter som behandlats för handläggning av mål och ärenden lämnas ut i överensstämmelse med lag eller förordning. Detta framgår bl.a. av den sekundära ändamålsbestämmelsen i 7 §, som behandlas närmare i kapitel 9. Möjligheten att behandla personuppgifter för detta ändamål har dock relevans när det gäller att fastställa den rättsliga grunden för den behandling som utförs inom domstolsdatalagens tillämpningsområde.
Ett utlämnande av personuppgifter med stöd av lag eller förordning innefattar t.ex. sådant utlämnade av uppgifter som sker
73
Rättslig grund för domstolarnas personuppgiftsbehandling |
Ds 2017:41 |
med stöd av tryckfrihetsförordningen. Dataskyddsförordningens bestämmelser om skydd för personuppgifter hindrar inte att en myndighets allmänna handlingar lämnas ut i enlighet med bestämmelser i den nationella lagstiftningen som tillgodoser allmänhetens rätt att få tillgång till allmänna handlingar, såsom den svenska offentlighetsprincipen. Detta framgår av artikel 86 i dataskyddsförordningen.
Datainspektionen har tidigare gjort bedömningen att en myndighets skyldighet enligt offentlighetsprincipen utgör en rättslig skyldighet. Rättslig skyldighet är 1995 års dataskydds- direktivs och personuppgiftslagens motsvarighet till dataskydds- förordningens begrepp rättslig förpliktelse. Mot bakgrund av att myndigheters skyldighet enligt offentlighetsprincipen är en lagreglerad förpliktelse anser vi inte att det finns anledning att göra någon annan bedömning. Den personuppgiftsbehandling som utförs när en domstol lämnar ut uppgifter från den rättskipande och rättsvårdande verksamheten i enlighet med tryckfrihets- förordningen utgör således en sådan rättslig förpliktelse som avses i artikel 6.1 c i dataskyddsförordningen.
Ett utlämnande av uppgifter enligt tryckfrihetsförordningen utgör enligt vår mening dock även en sådan uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Myndigheternas skyldighet att lämna ut handlingar är reglerad i lag och den insyn i myndigheternas verksamhet som offentlighets- principen bidrar till måste anses vara av intresse för allmänheten.
Samma resonemang bör enligt vår mening kunna föras när det gäller annat utlämnade av uppgifter som är reglerat i lag eller förordning. Om lagstiftaren har ansett att en skyldighet att lämna ut uppgifter är av sådan vikt att den ska författningsregleras anser vi att det får förutsättas att det handlar om en sådan uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Enligt vår uppfattning bör det faktum att skyldigheten är författningsreglerad också innebära att den utgör en rättslig förpliktelse enligt artikel 6.1 c i förordningen.
Slutligen kan det övervägas om det i domstolsdatalagen ska tas in en hänvisning till 2 kap. 2 och 3 §§ dataskyddslagen, där dataskyddsförordningens bestämmelser om rättslig grund kommer till tydligt uttryck. Det som talar för att en sådan hänvisning bör göras är att det i annat fall skulle kunna uppstå föreställningar om
74
Ds 2017:41 |
Rättslig grund för domstolarnas personuppgiftsbehandling |
att innehållet i dessa bestämmelser inte är tillämpligt för domstolarnas rättskipande och rättsvårdande verksamhet. Data- skyddslagens krav på rättslig grund för behandlingen är dock endast ett införlivande av en direkt tillämplig bestämmelse i dataskyddsförordningen. Den får således enligt vår mening ses som en upplysningsbestämmelse utan egen rättsverkan. Vi föreslår också att domstolsdatalagen ska innehålla en upplysning om att lagen innehåller kompletterande bestämmelser till dataskydds- förordningen (se avsnitt 10.2). Vidare har lagstiftaren genom domstolsdatalagen gjort de bedömningar som behövs vad gäller den rättsliga grunden för domstolarnas personuppgiftsbehandling. Mot den bakgrunden anser vi att det i domstolsdatalagen inte behöver eller bör tas in en hänvisning till 2 kap. 2 och 3 §§ dataskyddslagen.
Det faktum att domstolarnas personuppgiftsbehandling – såväl inom ramen för den rättskipande och rättsvårdande verksamheten som vid utlämnande i enlighet med lag eller förordning – vilar på flera av de rättsliga grunder som anges i artikel 6.1 i dataskydds- förordningen, innebär naturligtvis inte att personuppgifter får behandlas på vilket sätt som helst i denna verksamhet. Dataskydds- förordningens allmänna principer för personuppgiftsbehandling måste alltid följas (se avsnitt 5.2) och i enlighet med det nödvändighetsrekvisit som finns i artikel 6.1 c och e måste frågan om den enskilda personuppgiften är nödvändig att behandla för utförandet av den aktuella verksamheten avgöras för varje enskild behandling. En annan sak är att vissa kategorier av personuppgifter alltid kommer att vara nödvändiga att behandla för att vissa delar av verksamheten ska kunna utföras rättsäkert. Som exempel kan nämnas att personuppgifter som på ett tillräckligt säkert sätt identifierar parterna alltid kommer att vara nödvändiga att registrera i det enskilda målet eller ärendet.
75
7Lagens syfte och tillämpningsområde
7.1Domstol
7.1.1Dataskyddsförordningen
Begreppet domstol, i den del det har betydelse för domstolarnas registerförfattningar, förekommer i följande bestämmelser i dataskyddsförordningen.
I artikel 9.1 görs ett undantag från förbudet att behandla känsliga personuppgifter bl.a. för det fall personuppgifts- behandlingen är nödvändig som en del av domstolarnas dömande verksamhet.
I artikel 37.1 görs ett undantag från skyldigheten att utse dataskyddsombud om personuppgiftsbehandlingen genomförs som en del av domstolarnas dömande verksamhet.
I artikel 55.3 anges att tillsynsmyndigheterna inte ska vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.
7.1.2Hyres- och arrendenämnderna
Domstolsdatalagen gäller, enligt 2 §, för den behandling av personuppgifter som sker hos de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrende- nämnderna. Lagen gäller vidare främst för den behandling som sker inom ramen för dessa myndigheters rättskipande och rättsvårdande verksamhet. Innebörden av detta begrepp behandlas i avsnitt 7.2.
77
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
Hyres- och arrendenämnderna är myndigheter inom Sveriges domstolar och utför rättsskipande och rättsvårdande verksamhet. Det har emellertid i flera tidigare lagstiftningsärenden bekräftats att nämnderna inte är domstolar utan förvaltningsmyndigheter.1 I förarbetena till domstolsdatalagen redogjordes inte för någon annan uppfattning.2 Fråga uppkommer därmed om hyres- och arrendenämnderna utgör domstolar i dataskyddsförordningens mening.
Hyres- och arrendenämndernas verksamhet
Hyres- och arrendenämndernas verksamhet regleras i lagen (1973:188) om arrendenämnder och hyresnämnder, nedan förkortad nämndlagen. Nämnderna består enligt 2, 3, 5 och 6 §§ nämndlagen i regel av en lagfaren ordförande (hyresråd) och två intresseledamöter, som är väl förtrogna med förhållandena för de två intressen som representeras i tvisten.
Enligt 4 § nämndlagen har hyresnämnderna bl.a. till uppgift att
medla och vara skiljenämnd i hyres- eller bostadsrättstvister,
pröva en rad uppräknade tvister enligt 12 kap. jordabalken, bl.a. tvister om överlåtelse av hyresrätt enligt
pröva tvister om hyresvillkor enligt
pröva tvister om hyresvillkor enligt 3 kap. 14 § lagen (2002:93) om kooperativ hyresrätt,
pröva tvister om medlemskap enligt 2 kap. 10 § bostadsrätts- lagen (1991:614), och
pröva tvister mellan hyresvärd och hyresgästorganisation enligt hyresförhandlingslagen.
1Se t.ex. prop. 1971:30 s. 607, prop. 1973:23 s. 199 och prop. 1974:151 s. 145.
2Se bl.a. Ds 2013:10 s. 45 och prop. 2014/15:148 s. 24.
78
Ds 2017:41 |
Lagens syfte och tillämpningsområde |
Enligt 1 § nämndlagen har arrendenämnderna bl.a. till uppgift att
medla och vara skiljenämnd i arrendetvister,
pröva tvister om förlängning av arrendeavtal vid jordbruks- arrende, bostadsarrende eller fiskearrende, och
pröva frågor enligt lagen (1985:658) om arrendatorers rätt att förvärva arrendeställe.
7.1.3 Hyres- och arrendenämndernas rättsliga ställning
Frågans tidigare behandling
I departementspromemorian ”Effektivare hyres- och arrende- nämnder” (Ds 2016:4 s. 13) beskrivs nämnderna som förvaltnings- myndigheter med domstolsliknande uppgifter.
I förarbetena till dåvarande lagen (1988:205) om rättsprövning av vissa förvaltningsbeslut uttalades att hyres- och arrende- nämndernas funktion, organisation, utredningsmöjligheter och självständiga ställning i allt väsentligt motsvarar vad som brukar utmärka en domstol. Det anfördes att starka skäl därför talar för att likställa nämnderna med domstolar (prop. 1987/88:69 s. 36).
Målutredningen (SOU 2010:44 s.
79
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
konventionen kräver. Målutredningen noterade också att hyres- och arrendenämnderna är opartiska organ som är upprättade med stöd av lag och med lagfarna ordförande samt konstaterade att regeringen anställer hyresråden med fullmakt efter Domar- nämndens förslag och att övriga ledamöter har särskild sakkunskap inom hyres- respektive arrendenämndernas områden. Enligt Målutredningen har nämnderna därför en minst lika kvalificerad sammansättning som tingsrätterna. Utredningen noterade vidare att nämndernas verksamhet i stor utsträckning är sådan att den hade kunnat utföras av tingsrätt samt att också det faktum att besluten överklagas direkt till hovrätt talar för att nämndernas prövning motsvarar en prövning av tingsrätt. Enligt utredningen påminner även nämndernas procedurregler om de vid domstol.3
Som framgår ovan är Europadomstolens domstolsbegrepp vidare än det svenska. Inte heller
I artikel 267 i fördraget om Europeiska unionens funktionssätt
3Jfr Utredningen om hyres- och arrendetvisters betänkande (SOU 2012:82 s.
4Se bl.a. Melin, Våra domstolar, organisation och verksamhet m.m. [2012, Zeteo], s. 40.
80
Ds 2017:41 |
Lagens syfte och tillämpningsområde |
tvingande art, att förfarandet är kontradiktoriskt, att det tillämpar rättsregler och att det har en oberoende ställning.5
7.1.4Bedömning
Bedömning: Hyres- och arrendenämnderna utgör domstolar i dataskyddsförordningens mening.
Hyres- och arrendenämnderna består av kvalificerade ledamöter och har en lagfaren ordförande som utses av regeringen. Av de exempel på hyres- och arrendenämndernas verksamhet som finns i avsnitt 7.1.2 framgår att nämndernas verksamhet i huvudsak består i att lösa tvister mellan enskilda. Processen är således kontra- diktorisk. Besluten är vidare bindande för parterna. Eftersom nämnderna är förvaltningsmyndigheter garanteras deras själv- ständighet i beslutsfattandet vid myndighetsutövning mot enskilda och vid lagtillämpning av 12 kap. 2 § RF. Mot den bakgrunden förefaller nämndernas sammansättning och uppgifter vara väldigt lika domstolarnas. Detta talar för att hyres- och arrendenämnderna bör betraktas som domstolar i unionsrättslig mening och därmed även i dataskyddsförordningens mening.
Av skäl 20 i dataskyddsförordningen framgår vidare att syftet med att begränsa tillsynsmyndigheternas behörighet så att den inte omfattar domstolarnas dömande verksamhet är att säkerställa domstolsväsendets oberoende när det utför sin rättskipande verksamhet, inbegripet när det fattar beslut. Vikten av en oberoende bedömning – som således är skälet till att domstolarnas dömande verksamhet ligger utanför tillsynsmyndigheternas
5Se bl.a. målen Gabalfrisa m.fl.,
6Målen Abrahamsson och Andersson,
7Mål Jia,
8Mål Victoria Film,
81
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
behörighet – gör sig naturligtvis gällande även för hyres- och arrendenämndernas verksamhet.
Mot den bakgrunden bedömer vi att hyres- och arrende- nämnderna utgör domstolar i dataskyddsförordningens mening. När det i dataskyddsförordningen föreskrivs vissa regler för domstolar bör utgångspunkten enligt vår mening därför vara att detta även gäller för hyres- och arrendenämnderna.
7.2Rättskipande och rättsvårdande verksamhet
7.2.1Domstolsdatalagen
Enligt 1 § domstolsdatalagen är syftet med lagen att ge de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin rättskipande och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens syftesbestämmelse har enligt vår mening ingen självständig rättslig betydelse, eftersom tillämpningsområdet beskrivs i 2 § domstolsdatalagen. Vid tillkomsten av domstolsdatalagen gjorde regeringen dock bedömningen att lagens dubbla syfte på detta sätt borde komma till tydligt uttryck (prop. 2014/15:148 s. 29).
Av 2 § första stycket domstolsdatalagen framgår att lagen gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrende- nämndernas rättskipande och rättsvårdande verksamhet. Det anges vidare att lagen också gäller när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.
Dataskyddsförordningen innehåller vissa bestämmelser som omfattar domstolarnas dömande verksamhet, t.ex. artikel 55.3 där undantag från tillsynsmyndighetens behörighet görs för denna verksamhet. Det faktum att begreppet rättskipande och rätts- vårdande verksamhet inte används i dataskyddsförordningen hindrar emellertid inte att tillämpningsområdet för en nationell registerförfattning avgränsas till dessa verksamheter (se avsnitt 5.3).
En analys av begreppet dömande verksamhet finns i kapitel 8. För att kunna relatera detta begrepp till de svenska domstolarnas
82
Ds 2017:41 |
Lagens syfte och tillämpningsområde |
verksamhet krävs enligt vår mening även en analys av innebörden av begreppet rättskipande och rättsvårdande verksamhet. Det är även av intresse vilken del av domstolarnas verksamhet som är rättskipande respektive rättsvårdande och vilka eventuella skillnader som finns mellan dessa verksamheter.
7.2.2Tidigare förarbeten
Begreppet rättskipande och rättsvårdande verksamhet användes redan år 2001 för att avgränsa
I förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 27– 28) gjorde regeringen följande ställningstagande gällande begreppet rättskipande och rättsvårdande verksamhet.
Begreppet rättskipande och rättsvårdande verksamhet inskränker sig i detta sammanhang inte enbart till handläggningsåtgärder som vidtas enligt en processuell bestämmelse, utan är avsett att ha en vidare innebörd. Exempelvis är hanteringen av ansökningsavgifter, liksom omlottning och förtursförklaring av mål, åtgärder som har en omedelbar koppling till mål- och ärendehantering och som därför bör betraktas som en del av den rättskipande och rättsvårdande verksamheten. Detta gäller både insamlandet av personuppgifter och den vidare hanteringen av uppgifterna. Insamling av personuppgifter avseende ombud, tolkar, vittnen och andra aktörer samt den fortsatta hanteringen av dessa uppgifter i samband med registerföring, kallelser och utbetalning av ersättningar är andra exempel på personuppgifts- behandlingar som också är avsedda att rymmas i begreppet rättskipande och rättsvårdande verksamhet. Personuppgifter avseende anställda vid domstolen behandlas enligt regeringens bedömning såväl i den administrativa som i den rättskipande och rättsvårdande verksamheten. I den administrativa verksamheten hanteras sådana personuppgifter exempelvis i samband med löneutbetalning, vid indelning på avdelningar eller enheter och när beredskapslistor upprättas. Sådan behandling är inte avsedd att omfattas av den nya
83
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
lagen. Personuppgifter som avser domstolens anställda behandlas emellertid också i direkt anslutning till hanteringen av mål och ärenden, exempelvis i domar, uppropslistor och förelägganden. Behandlingen av personuppgifter i sådana fall får enligt regeringen anses ske i den rättskipande och rättsvårdande verksamheten. När det gäller nämndemän behandlar domstolarna också personuppgifter i flera olika sammanhang. Insamling av sådana personuppgifter, liksom den fortsatta hanteringen i form av exempelvis behörighetskontroller, kontroll av utdrag ur belastningsregistret, upprättande av adressregister och indelningsbeslut sker i den administrativa verksamheten som styrs av personuppgiftslagen. Samma sak gäller utbetalning av ersättning till nämndemän för deras medverkan i handläggningen. Nämndemäns personuppgifter behandlas emellertid också i direkt anslutning till hanteringen av mål och ärenden, t.ex. vid upprättande av domar. Denna behandling sker i den rättsvårdande och rättskipande verksamheten och i dessa fall blir således domstolsdatalagen tillämplig.
Valet av begreppet rättskipande och rättsvårdande verksamhet i domstolsdatalagen förefaller således ha gjorts främst för att utesluta domstolarnas administrativa verksamhet, såsom personal- och löneadministration eller lokalförsörjningsfrågor, från lagens tillämpningsområde. Någon anledning för lagstiftaren att i anslutning till registerlagstiftningen närmare definiera vilken del av domstolarnas kärnverksamhet som består av rättskipning respektive rättsvård har därför inte funnits.
7.2.3Offentlighets- och sekretesslagen
I offentlighets- och sekretesslagen (2009:400), förkortad OSL, förekommer begreppet rättskipande och rättsvårdande verksamhet i ett flertal bestämmelser. Som exempel kan nämnas att enligt 6 kap. 8 och 9 §§ OSL gäller en särskild instansordning för överklagande av beslut som meddelats av vissa domstolar i deras rättskipande och rättsvårdande verksamhet. Enligt 36 kap. 2 § OSL gäller vidare sekretess i en domstols rättskipande eller rättsvårdande verksamhet under vissa förutsättningar för uppgift om en myndighets eller en enskilds affärs- eller driftsförhållanden. Ett annat exempel är den överföring av sekretess som enligt 43 kap. 2 § OSL i vissa fall gäller när en domstol i sin rättskipande eller rättsvårdande verksamhet får sekretessreglerad uppgift från en domstol eller en annan myndighet.
84
Ds 2017:41 |
Lagens syfte och tillämpningsområde |
Någon redogörelse för skillnaden mellan de två begreppen lämnas inte i förarbetena till OSL. Det framkommer dock att det samlade begreppet ”rättskipande och rättsvårdande verksamhet” valts för att utesluta domstolarnas rent administrativa verksamhet från bestämmelsernas tillämpningsområde.9
7.2.4Rättegångsbalken
Inom juridiken har man traditionellt skilt mellan stridig och frivillig rättsvård. Den stridiga rättsvården har sedan länge betecknats som rättskipning. Ett exempel på begreppet rätt- skipning är det primära tillämpningsområdet för rättegångsbalken, vilket består av tvistemåls- och brottmålsrättegångar i allmän domstol.10 Ärendeutredningen (SOU 2007:65 s. 116) menade i sitt betänkande att utgångspunkten i mål som handläggs enligt rättegångsbalken regelmässigt är ett rättsförhållande som uppstått före processen och att det typiskt sett gäller för domstol att ta ställning till vad som förekommit i förfluten tid.
7.2.5Ärendelagen
För de ärenden i allmän domstol som ska tas upp av en tingsrätt men inte ska handläggas enligt rättegångsbalken gäller lagen (1996:242) om domstolsärenden, nedan förkortad ärendelagen. Detta framgår av 1 § ärendelagen, där det också framgår att de ärenden som handläggs enligt lagen kallas rättsvårdsärenden. Ärendeutredningen (SOU 2007:65 s. 116) menade att ärendelagens primära tillämpningsområde är den s.k. frivilliga rättsvården, där processen i allmänhet inte fokuserar på vad som redan förevarit.
De ärenden som avgörs med stöd av de processuella reglerna i ärendelagen är bl.a.
associationsärenden; exempelvis näringsförbud enligt lagen (2014:836) om näringsförbud och dödande av handling i
9Jfr prop. 1979/80:2 Del A s. 299.
10Se Fitger, Lagen om domstolsärenden, (1 augusti 2004, Zeteo), kommentaren till 1 § samt Ärendeutredningens betänkande (SOU 2007:65 s. 116).
85
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
samband med utmätning och konkurs enligt lagen (2011:900) om dödande av förkommen handling,
ärenden med anknytning till föräldrabalken; exempelvis handläggning av ärenden om adoption enligt 4 kap., förordnande av förvaltare och god man enligt 11 kap. och överklagande av överförmyndarens beslut enligt 20 kap.,
ärenden med anknytning till äktenskapsbalken; exempelvis förordnande av bodelningsförrättare enligt 17 kap.,
disciplinärenden; exempelvis överklagande av ett beslut om disciplinpåföljd enligt lagen (1994:1811) om disciplinansvar inom totalförsvaret m.m.,
exekutionsrättsliga ärenden; exempelvis överklagande av
Kronofogdemyndighetens |
beslut |
enligt |
18 kap. |
1 § |
utsökningsbalken, överklagande av |
Kronofogdemyndighetens |
beslut om avräkning enligt lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter samt överklagande av Kronofogdemyndighetens beslut om arbetsgivares kvittningsrätt enligt lagen (1970:215) om arbetsgivares kvittningsrätt,
felparkeringsärenden; exempelvis överklagande av Polis- myndighetens beslut att avslå begäran om ändring i betalningsansvar enligt lagen (1976:206) om felparkeringsavgift,
kallelser på okända borgenärer; exempelvis överklagande av Kronofogdemyndighetens eller Bolagsverkets beslut i fråga om kungörelse enligt lagen (1981:131) om kallelse på okända borgenärer.
7.2.6Innebörden av begreppet rättskipning
Rättsskipning innefattar allmän domstols handläggning av mål i enlighet med de processuella reglerna i rättegångsbalken. Utifrån den traditionella definitionen av rättskipning såsom stridig rättsvård, måste begreppet rättskipning enligt vår mening också innefatta de allmänna förvaltningsdomstolarnas handläggning av mål i enlighet med förvaltningsprocesslagen (1971:291) med anledning av överklagande av beslut fattade av förvaltnings-
86
Ds 2017:41 |
Lagens syfte och tillämpningsområde |
myndigheter. Även i dessa fall rör det sig om stridig rättsvård, dock ”slits tvisten” i den stora merparten av målen mellan en myndighet och en eller flera fysiska eller juridiska personer.
Även i de fall mål i förvaltningsrätt inleds genom en ansökan har målen karaktären av en tvåpartsprocess, där olika intressen står mot varandra. Som exempel kan nämnas en leverantörs ansökan om överprövning av en offentlig upphandling enligt 20 kap. 4 § lagen (2016:1145) om offentlig upphandling. Ett annat exempel är Skatteverkets ansökan om betalningssäkring för att säkerställa betalning av skatter m.m. enligt lagen (1978:880) om betalningssäkring för skatter, tullar och avgifter eller om betalningsskyldighet för företrädare för juridiska personer (s.k. företrädaransvar) enligt 59 kap. 16 § skatteförfarandelagen (2011:1244). Ytterligare ett exempel är ansökan om utdömande av vite enligt viteslagen (1985:206).
Vidare måste en socialnämnds ansökan om att en person ska vårdas med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall, anses ingå i begreppet rättskipning. Det rör sig här om mycket ingripande beslut för enskilda personer och en förutsättning för att ansökan ska bifallas är att vården inte kan ges på frivillig väg. Motsvarande gäller ansöknings- eller anmälningsförfarandet enligt lagen (1991:1128) om psykiatrisk tvångsvård respektive lagen (1991:1129) om rättspsykiatrisk vård.
Även hyres- och arrendenämndernas verksamhet bör utifrån den traditionella definitionen av begreppet utgöra rättskipande verksamhet. Som framgår av exemplen i avsnitt 7.1.2 består nämndernas verksamhet i huvudsak i att lösa tvister mellan enskilda.
7.2.7Innebörden av begreppet rättsvårdande verksamhet
Begreppet rättsvård förefaller traditionellt sett ha ansetts innefatta den ärendehantering som sker i allmän domstol. Efter Ärendeutredningens betänkande flyttades år 2011 vissa otvistiga ärenden, som huvudsakligen avser s.k. frivillig rättsvård, över till
87
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
förvaltningsmyndighet.11 Syftet med detta var att renodla domstolarnas verksamhet till att avse endast dömande uppgifter. Ärendeutredningen gjorde i sitt betänkande en i princip heltäckande kartläggning av de ärendetyper som hanteras av allmän domstol. I enlighet med Ärendeutredningens uppdrag att renodla domstolarnas verksamhet får det förutsättas att de ärenden som nu kvarstår hos domstolarna har sådan karaktär att en domstolsprövning anses viktig. Skälen till detta kan bl.a. vara rättssäkerhetsaspekter eller att ärendena har bedömts kräva sådana rättsliga överväganden som lämpar sig bäst för domstol.12
Som åskådliggjorts i exemplen i avsnitt 7.2.5 är de ärenden som alltjämt handläggs av allmän domstol av mycket olika karaktär. I vissa fall liknar de den tvåpartsprocess mellan myndighet och enskild som avgörs genom de allmänna förvaltningsdomstolarnas rättskipning. Som exempel kan nämnas ärenden om fel- parkeringsavgift och disciplinärenden. I andra fall rör det sig om en regelrätt ansökan, men där en bedömning av enskildas intressen måste göras av domstolen. Detta gäller exempelvis adoptions- ärenden, där domstolen ska ta hänsyn till barnets bästa. Ett annat exempel är en överförmyndarnämnds ansökan om förvaltare för en enskild, som kan resultera i ett mycket ingripande beslut för den enskilde.
Vi bedömer att de s.k. rättsvårdsärenden som numera handläggs av de allmänna domstolarna har större likheter med den rättskipning som sker i de allmänna domstolarna och de allmänna förvaltningsdomstolarna än med den ärendehandläggning som sker hos förvaltningsmyndigheterna. Vår bedömning i denna del har betydelse för tolkningen av dataskyddsförordningens begrepp ”dömande verksamhet” (se avsnitt 8.4).
11 Exempelvis flyttades ärenden om dödande av förkommen handling över till Kronofogdemyndigheten, ansvarig inskrivningsmyndighet respektive Bolagsverket (se 4 § lagen (2011:900) om dödande av förkommen handling). Ett annat exempel är handläggningen av ärenden om registrering av äktenskapsförord och bodelning, som flyttades över till Skatteverket (se 7 kap. 3 § och 9 kap. 1 ÄktB).
12 Jfr SOU 2007:65 s. 24 och prop. 2010/11:119 s. 1.
88
Ds 2017:41 |
Lagens syfte och tillämpningsområde |
7.2.8Bedömning
Förslag: Om inte annat anges i den bestämmelse som reglerar avgränsningen mot den personuppgiftsbehandling som faller under 2016 års dataskyddsdirektivs tillämpningsområde, ska domstolsdatalagen även fortsättningsvis gälla vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet samt när person- uppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.
Medlemsstaternas har, enligt artikel 6.2 i dataskyddsförordningen, möjlighet att utarbeta eller behålla registerförfattningar. Inom ramen för denna möjlighet bör medlemsstaterna kunna bestämma tillämpningsområdet för registerförfattningarna på ett sätt som är lämpligt, så länge förordningens allmänna principer för behandling av personuppgifter följs (se avsnitt 5.3).
Regeringen har i tidigare förarbeten gjort bedömningen att domstolsdatalagens syfte bör komma till tydligt uttryck (prop. 2014/15:148 s. 29). Dataskyddsförordningen föranleder inte heller någon ändring av den inledande syftesbestämmelsen i 1 § domstolsdatalagen. Denna bör därför kvarstå i sin nuvarande lydelse.
Den verksamhet som omfattas av tillämpningsbestämmelsen i 2 § första stycket domstolsdatalagen är vidare väl definierad i förarbetena. Eftersom dataskyddsförordningen inte föranleder någon ändring av tillämpningsområdet i denna del bör domstolsdatalagen även framöver gälla vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet samt när person- uppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.
Vi har dock, i avsnitt 4.3.2, föreslagit att domstolsdatalagen inte ska gälla vid behandling av personuppgifter i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet som omfattas av brottsdatalagens tillämpningsområde. För att underlätta för tillämparen har vi föreslagit att detta klargörs
89
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
redan i domstolsdatalagens inledande bestämmelser om tillämpningsområdet.
7.3Automatiserad behandling och manuella register
Bedömning: Dataskyddsförordningen föranleder ingen ändring av domstolsdatalagens bestämmelse om att lagen endast gäller för sådan personuppgiftsbehandling som är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Domstolsdatalagen är enligt 2 § andra stycket tillämplig på personuppgiftsbehandling som är ”helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier”. Avgränsningen av domstolsdatalagens tillämpningsområde motsvarar i denna del därmed personuppgiftslagens tillämpnings- område så som det beskrivs i 5 §.
Dataskyddsförordningens materiella tillämpningsområde fram- går av artikel 2.1 och beskrivs som “behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. Förordningens tillämpningsområde är därmed något annorlunda beskrivet än domstolsdatalagens tillämpningsområde. Tillämpningsområdet för 2016 års data- skyddsdirektiv beskrivs på liknande sätt i artikel 2.2.
Av skäl 15 till dataskyddsförordningen, där förordningens tillämpningsområde berörs, framgår att ”skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av deras personuppgifter…”. I skälen används således begreppet ”automatiserad” i stället för ”på automatisk väg”. De två uttrycken kan därmed inte gärna uppfattas som annat än synonyma. Någon begreppsskillnad mellan förordningens ”på automatisk väg” respektive domstolsdatalagens ”automatiserad” finns enligt vår bedömning därmed inte.
90
Ds 2017:41 |
Lagens syfte och tillämpningsområde |
Begreppet automatiserad har använts i personuppgiftslagen under lång tid och är väl inarbetat även i de svenska registerförfattningarna.13 Vi anser att det inte finns någon risk för att domstolsdatalagens tillämpningsområde misstolkas om begreppet får kvarstå. Mot den bakgrunden anser vi att begreppet automatiserad bör kvarstå i domstolsdatalagen.
I artikel 4.6 i dataskyddsförordningen framgår att med register i förordningens mening avses ”en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Samma definition finns i artikel 3.6 i 2016 års dataskyddsdirektiv. Någon saklig skillnad mellan dataskyddsförordningens ”register” och domstolsdatalagens ”strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” finns enligt vår uppfattning inte, eftersom den avslutande bisatsen i dataskyddsförordningens definition inte ändrar avgränsningen av definitionen i sak.
Trots de något olika uttrycken i dataskyddsförordningen respektive domstolsdatalagen gör vi bedömningen att förordningens materiella tillämpningsområde i denna del stämmer överens med domstolsdatalagens nuvarande tillämpningsområde.
Vid införandet av personuppgiftslagen gjordes bedömningen att begreppet register är otidsenligt (prop. 1997/98:44 s. 39). Mot den bakgrunden valde lagstiftaren att inte använda det begreppet. I stället användes i personuppgiftslagen den längre beskrivning av begreppet register som nu också används i domstolsdatalagen.
När dataskyddsförordningen börjar tillämpas kommer de svenska registerförfattningarna att utgöra en komplettering till förordningen. Man skulle därför kunna argumentera för att begreppet register bör användas även i domstolsdatalagen. Detta skulle kunna undanröja risken för missförstånd och skilda tolkningar av begreppet. Definitionen av register i artikel 4.6 i dataskyddsförordningen innehåller vidare, som vi pekat på ovan, ytterligare beskrivningar av begreppet än ”tillgänglighet enligt särskilda kriterier”. En användning av samma begrepp i
13 Se bl.a. 1 kap. 2 § andra stycket polisdatalagen (2010:361) och 1 kap. 2 § andra stycket kustbevakningsdatalagen (2012:145).
91
Lagens syfte och tillämpningsområde |
Ds 2017:41 |
domstolsdatalagen skulle innebära att man inte tappar delar av definitionen.
Utredningen om 2016 års dataskyddsdirektiv har dock i sitt betänkande (SOU 2017:29) föreslagit att uttrycket ”strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” ska användas i brottsdatalagen i stället för begreppet register. Det är enligt vår mening värdefullt att, så långt det är möjligt, använda samma begrepp i alla de svenska författningar som rör personuppgifts- behandling. Brottsdatalagen och dess kompletterande register- författning kommer vidare att vara tillämplig på den del av domstolarnas verksamhet som styrs av 2016 års dataskyddsdirektiv, (se kapitel 4). Det uttryck som föreslagits för brottsdatalagen är dessutom väl inarbetat i svensk rätt genom bl.a. personuppgifts- lagen och registerförfattningar. Mot den bakgrunden bedömer vi att domstolsdatalagens tillämpningsområde kan och bör kvarstå oförändrat i denna del.
92
8 Dömande verksamhet
Begreppet dömande verksamhet förekommer i tre olika sammanhang i dataskyddsförordningen.
I artikel 9.1 görs undantag från förbudet att behandla känsliga personuppgifter bl.a. för det fall personuppgiftsbehandlingen är nödvändig som en del av domstolarnas dömande verksamhet.
I artikel 37.1 görs undantag från skyldigheten att utse data- skyddsombud om personuppgiftsbehandlingen genomförs som en del av domstolarnas dömande verksamhet.
I artikel 55.3 anges att de nationella tillsynsmyndigheterna inte ska vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet.
De svenska domstolarnas rättskipande och rättsvårdande verksamhet anses omfatta domstolarnas kärnverksamhet. I denna kärnverksamhet ingår handläggningen av mål och ärenden, men även de andra arbetsuppgifter som har anknytning till denna handläggning (se vidare avsnitt 7.2.2). I motsats till den vida innebörden av rättskipande och rättsvårdande verksamhet kan begreppet dömande verksamhet i svenskt språkbruk te sig relativt snävt. Det ligger nära till hands att – utifrån ordalydelsen – i begreppet endast innefatta den del av domstolarnas verksamhet som innebär att domar eller beslut utformas och meddelas. Frågan uppkommer om dataskyddsförordningens begrepp ska ges denna snäva innebörd, eller om det även omfattar ytterligare delar av den rättskipande och rättsvårdande verksamheten.
Vi anser att det inom ramen för vårt uppdrag finns anledning att göra en bedömning av dataskyddsförordningens begrepp dömande verksamhet. Det handlar om ett begrepp som inte har sin motsvarighet i 1995 års dataskyddsdirektiv och som kommer att ha
93
Dömande verksamhet |
Ds 2017:41 |
stor betydelse för bl.a. tillsynen av domstolarnas verksamhet. Detta får i sin tur genomslag när det gäller dataskyddsombudets arbets- uppgifter (se avsnitt 13.5.3) och den information som i vissa fall ska lämnas till de registrerade (se avsnitt 15.3.3).
Vi kommer därför i detta kapitel att ge en bild av de faktorer som vi anser bör vägas in när begreppet ska fastställas. För att kunna ta ställning till hur de frågor som påverkas av begreppet ska bedömas kommer vi också att göra en bedömning av begreppets innebörd utifrån dessa faktorer. Den slutliga definitionen av begreppet och var gränsen går för tillsynsmyndighetens behörighet över domstolarnas verksamhet får dock slutligt avgöras av unionsrättslig praxis.
8.1Nuvarande tillsyn över domstolarna
8.1.1Datainspektionen
Enligt artikel 55.3 i dataskyddsförordningen utesluts domstolarnas dömande verksamhet från tillsynsmyndigheternas behörighet att utöva tillsyn. I 1995 års dataskyddsdirektiv finns inte någon mot- svarande bestämmelse. Datainspektionens tillsyn av domstolarnas verksamhet begränsas dock för närvarande av bestämmelsen i 11 kap. 3 § RF, som ger uttryck för principen om domstolarnas självständighet i dömandet. Enligt denna bestämmelse får ingen myndighet, inte heller riksdagen, bestämma hur en domstol ska döma i det enskilda fallet eller hur en domstol i övrigt ska tillämpa en rättsregel i ett särskilt fall.
I rättsfallet HFD 2014 ref. 32 uttalade Högsta förvaltnings- domstolen att bestämmelsen i 11 kap. 3 § RF inte omfattar sådana beslut som en domstol fattar i den egna verksamheten avseende domstolens administration. Högsta förvaltningsdomstolen bedömde därefter att det inte fanns hinder för Datainspektionen att utöva tillsyn över den behandling av personuppgifter som skett genom att en domstol publicerat uppropslistor på den egna webbplatsen.
Den slutsats som kan dras av Högsta förvaltningsdomstolens resonemang är att den administrativa verksamhet som sker inom en domstol inte omfattas av skyddet i 11 kap. 3 § RF. Vidare innebär åtminstone den behandling av personuppgifter som består av att en
94
Ds 2017:41 |
Dömande verksamhet |
domstol offentliggör uppropslistor på internet ett led i den administrativa verksamheten och inte den dömande. Om detta även gäller själva framtagandet av uppropslistor med hjälp av domstolarnas verksamhetsstöd framgår inte av rättsfallet. Utifrån Högsta förvaltningsdomstolens hänvisning till förordningen (1996:381) med tingsrättsinstruktion gällande tingsrätts skyldighet att upprätta uppropslistor kan man dock förutsätta att så är fallet.
Datainspektionen har vidare år 2014 utfört tillsyn gentemot fyra domstolar med inriktning på ”allmänhetens terminaler”, som gav allmänheten möjlighet att söka i verksamhetsregistret vid den domstol där terminalen var belägen.1 Datainspektionens ansåg att innehållet i allmänhetens terminal innebar att domstolarna behandlade personuppgifter i strid med 9 § första stycket f PuL. Domstolarna förelades av Datainspektionen att inrätta behandlingen av personuppgifter i allmänhetens terminal på så sätt att endast de uppgifter behandlades som var nödvändiga med hänsyn till ändamålet med behandlingen, vilket var att tillgodose allmänhetens intresse av att ta del av allmänna handlingar.
Det faktum att Datainspektionen har ansett sig behörig att utöva tillsyn gentemot domstolarna vad gäller allmänhetens terminal tyder på att Datainspektionen anser att ett elektroniskt utlämnade av uppgifter till allmänheten genom egen sökning, inte omfattas av det grundlagsstadgade skyddet för domstolarnas oberoende.
8.1.2Justitieombudsmannen och Justitiekanslern
Även Justitieombudsmannen (JO) och Justitiekanslern (JK) utövar tillsyn över domstolarna. JO:s tillsynsuppgift preciseras i 13 kap. 6 § RF och utgör tillsyn över tillämpningen i offentlig verksamhet av lagar och andra föreskrifter. JK:s tillsynsuppdrag omfattar, enligt 1 § lagen (1975:1339) om Justitiekanslerns tillsyn, tillsyn över att de som utövar offentlig verksamhet efterlever lagar och andra författningar samt i övrigt fullgör sina åligganden.
1 Datainspektionens beslut den 30 september 2014 mot Attunda tingsrätt (Dnr
95
Dömande verksamhet |
Ds 2017:41 |
Både JO och JK får väcka åtal och inleda disciplinförfaranden mot bl.a. domare. Som framgår av de nyss citerade bestämmelserna innefattas även själva dömandet i JO:s och JK:s tillsyn.2 Tillsynen avser alltså inte bara t.ex. ordning, handläggning, process och liknande. När det gäller dömandet iakttar JO och JK ändå vissa begränsningar. Den viktigaste är att domstolarnas bedömningar i rättsfrågor och bevisfrågor så gott som aldrig granskas. Här gäller dock enligt praxis ett undantag för bedömningar som är uppenbart oriktiga. Mot sådana anser sig både JO och JK kunna ingripa. För JK:s del sammanhänger detta delvis med myndighetens verksamhet som reglerare av skadeståndsanspråk som riktas mot staten. Enligt 3 kap. 2 § skadeståndslagen ska staten ersätta skador som vållas genom fel eller försummelse vid statens myndighetsutövning. Bedömningar i rättsfrågor och bevisfrågor anses normalt vara felaktiga i bestämmelsens mening endast om de är uppenbart oriktiga.3 Det betyder att JK för att kunna avgöra skadestånds- ärenden ibland måste ta ställning till om en domstols bedömning har varit uppenbart oriktig.4
8.2Dataskyddsförordningen och 2016 års dataskyddsdirektiv
8.2.1Tolkningen av gemenskapsrättsliga bestämmelser
För att åstadkomma en enhetlig rättstillämpning har unionsrätten i stor utsträckning behövt utveckla sina egna rättsliga begrepp. I
2Ett konkret exempel på att JO utövat tillsyn över utformning av domar och beslut när det gäller personuppgiftsbehandling är JO 1998/99 s. 184. JO uttalade här att uppgift om diagnos inte borde ha lämnats i en dom som meddelats av Länsrätten i Gotlands län i ett mål enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.
3Se bl.a. NJA 2003 s. 285; jfr dock NJA 2007 s. 584.
4Göran Lambertz, Tillsynen över domstolarna, publicerad i festskriften Regeringsrätten 100 år, 2009, s. 254 f.
5Bernitz, Kjellgren, Europarättens grunder, upplaga 5, 2014 s. 190.
96
Ds 2017:41 |
Dömande verksamhet |
Till en början ska hänsyn tas till att gemenskapsrättens bestämmelser är avfattade på flera språk och att de olika språk- versionerna är lika giltiga. En tolkning av en gemenskapsrättslig bestämmelse kräver följaktligen en jämförelse av de olika språkversionerna. Vidare ska det, även om de olika språk- versionerna helt överensstämmer med varandra, beaktas att gemenskapsrätten använder en egen, särskild terminologi. Det ska för övrigt understrykas att de rättsliga begreppen inte nödvändigtvis har samma innehåll i gemenskapsrätten och i de olika nationella rättsordningarna. Slutligen måste varje gemenskapsrättslig bestämmelse sättas in i sitt sammanhang och tolkas mot bakgrund av gemenskapsrätten som helhet, med hänsyn tagen till gemenskapsrättens syften och dess utvecklingsstadium vid den tidpunkt då den ifrågavarande bestämmelsen ska tillämpas.6
8.2.2Olika språkliga versioner av dataskyddsförordningen
I den engelska versionen av dataskyddsförordningen har i samtliga fall begreppet courts acting in their judicial capacity valts för att beskriva det som i den svenska versionen kallas för domstolarnas dömande verksamhet. I den tyska versionen har uttrycket Gerichten die im Rahmen ihrer justiziellen Tätigkeit handeln valts.
I Maastrichtfördraget används engelskans judicial och tyskans justiziell för det svenska ordet rättsligt. Exempel på detta är det
6Dom CILFIT mot Ministerio della Sanità,
7Dom Pie Optiek,
97
Dömande verksamhet |
Ds 2017:41 |
engelska respektive tyska ordvalet för svenskans civil- respektive straffrättsligt samarbete inom den tidigare tredje pelaren i Maastrichtfördraget.8 Engelskans judicial capacity skulle dock även kunna översättas till rättskipande verksamhet. Exempel på detta finns i artikel 46 c i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Här används engelskan judicial capacity när den svenska versionen använder begreppet rättskipande funktion.
I den franska versionen av dataskyddsförordningen används genomgående uttrycket les juridictions dans l'exercice de leur fonction juridictionnelle.
Vi anser att såväl det engelska som det tyska och franska ordvalet närmast kan översättas till domstolarnas rättsliga verksamhet alternativt domstolarnas rättskipande verksamhet. Språkligt sett förefaller dessa begrepp enligt vår mening vara vidare än den traditionella svenska synen på begreppet domstolarnas dömande verksamhet (jfr avsnitt 8.1).
Av skäl 20 i dataskyddsförordningen framgår vidare att syftet med att begränsa tillsynsmyndigheternas behörighet vad gäller domstolarnas dömande verksamhet är att säkerställa oberoendet i den rättskipande verksamheten. I den engelska versionen av data- skyddsförordningen har här begreppet the judicial tasks valts. I den tyska versionen används begreppet gerichtlichen Aufgaben och i den franska versionen missions judiciaires9. Samtliga dessa begrepp kan enligt vår mening närmast översättas till svenskans rättslig uppgift/verksamhet. Vi kan också konstatera att den engelska versionen använder ordet judicial för både svenskans dömande och svenskans rättskipande. Vid en studie av dataskyddsförordningens olika språkliga versioner anser vi därmed sammanfattningsvis att det finns stöd för en vidare tolkning än den traditionellt svenska av det som i den svenska versionen kallas dömande verksamhet.
8Avdelning VI, artikel K1.6 och artikel K1.7 i Maastrichtfördraget om Europeiska unionen.
9I avdelning VI, artikel K1.6 och artikel K1.7. I Maastrichtfördraget används det franska begreppet coopération judiciaire för de svenska begreppen (civil- och straff)rättsligt samarbete.
98
Ds 2017:41 |
Dömande verksamhet |
8.2.3Skälen till dataskyddsförordningen och till 2016 års dataskyddsdirektiv
I 2016 års dataskyddsdirektiv begränsas tillsynsmyndighetens behörighet på samma sätt som i dataskyddsförordningen. Enligt artikel 45.2 i direktivet ska medlemsstaterna ”föreskriva att varje tillsynsmyndighet inte ska vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet”. Enligt samma artikel får medlemsstaterna ”föreskriva att deras tillsynsmyndighet inte ska vara behörig att utöva tillsyn över andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet”. Av skäl 80 i direktivet framgår följande gällande bestämmelsen i artikel 45.2.
(80) Detta direktiv är visserligen tillämpligt på nationella domstolars och andra rättsliga myndigheters verksamheter, men tillsyns- myndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter inom ramen för domstolars dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga uppgifter. Detta undantag bör vara inskränkt till rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med medlemsstaternas nationella rätt kan medverka. Medlemsstaterna bör också kunna föreskriva att tillsynsmyndigheten inte ska vara behörig att övervaka andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet, exempelvis allmänna åklagarmyndigheter. Under alla omständigheter är domstolarnas och andra oberoende rättsliga myndigheters efterlevnad av bestämmelserna i detta direktiv alltid föremål för en oberoende kontroll i enlighet med artikel 8.3 i stadgan.
Under lagstiftningsärendet gällande dataskyddsförordningen föreslog Europaparlamentet efter första behandlingen att förordningens skäl skulle motsvara den skrivning som senare fastställdes för skäl 80 i 2016 års dataskyddsdirektiv.10 Under lag- stiftningsärendets gång ändrades dock lydelsen av dataskydds- förordningens skäl. Av skäl 20 i förordningen framgår numera följande.
10 Position of the European Parliament adopted at first reading on 12 March 2014 with a view to the adoption of Regulation (EU) No .../2014 of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).
99
Dömande verksamhet |
Ds 2017:41 |
(20) Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling av uppgifter.
Av skälen till både 2016 års dataskyddsdirektiv och dataskydds- förordningen framgår således att syftet med att begränsa tillsynsmyndighetens behörighet på det sätt som gjorts är att säkerställa domstolarnas oberoende. I direktivet uttrycks det som ska skyddas som domarnas oberoende när de utför sina rättsliga uppgifter. I förordningen används i stället ordvalet domstols- väsendets oberoende när det utför sin rättsskipande verksamhet. Vi anser att det ordval som gjorts i båda fallen talar för att dataskydds- förordningens och direktivets begrepp dömande verksamhet är avsett att ha en vidare innebörd och innefatta fler delar av domstolarnas kärnverksamhet än endast utformandet av beslut eller domar. För denna slutsats talar även valet att lägga till besluts- fattandet som ett exempel på dömande verksamhet i skäl 20 i dataskyddsförordningen.
Vad gäller dataskyddsförordningens undantag från skyldigheten att utse dataskyddsombud framgår av skäl 97 i förordningen att myndigheter bör utse dataskyddsombud, med ”undantag för domstolar eller oberoende rättsliga myndigheters behandling av personuppgifter som en del av deras dömande verksamhet”. Vi anser att det faktum att även andra myndigheter än domstolar anses kunna bedriva dömande verksamhet tyder på att begreppet är avsett att ha en vid omfattning.
100
Ds 2017:41 |
Dömande verksamhet |
8.2.4Europeiska datatillsynsmannens uppfattning
Under lagstiftningsarbetets gång inom EU har Europeiska datatillsynsmannen, förkortad EDPS, framfört sin uppfattning om bland annat undantaget för domstolarnas dömande verksamhet från tillsynsmyndighetens behörighet. Dokumentet Opinion of the European Data Protection Supervisor on the data protection reform package den 7 mars 2012 innehåller EDPS rekommendationer efter det första utkastet till 2016 års data- skyddsdirektiv och dataskyddsförordningen. EDPS efterlyste här bättre vägledning i skälen angående vad som anses ingå i den dömande verksamhet som är undantagen från tillsynsmyndighetens behörighet. EDPS menade vidare att han tolkar att undantaget för dömande verksamhet innefattar more particularly the processing of personal data in judicial proceedings on individual cases. On the other hand, the data protection principles – including supervision – should remain applicable, for instance, to processing of personal data by the registry, publication of public reports of proceedings, and publication of judicial decisions.11
Det förslag som då fanns från kommissionen var vad gäller artikel 55.3 i dataskyddsförordningen i stort sett identiskt med den slutliga versionen. Förslaget till det som nu är skäl 20 i data- skyddsförordningen motsvarade dock inte den ordalydelse som därefter valdes. Förslaget till skäl hade dock stora likheter med de skäl (80) som nu återfinns i 2016 års dataskyddsdirektiv. I den slutliga versionen av dataskyddsförordningen har dock förstärkningsorden tagits bort. Strikt inskränkt till genuint rättsliga verksamheter i domstolsmål anges numera endast som inskränkt till rättsliga verksamheter i domstolsmål.
EDPS gav vidare den 28 oktober 2015 rekommendationer inför utformandet av 2016 års dataskyddsdirektiv.12 EDPS konstaterade här att möjligheten att undanta domstolarnas dömande verksamhet från tillsyn väcker stora frågor angående bestämmelsens tolkning och räckvidd.13 EDPS anförde också att han anser att kriteriet för
11Se punkterna
12Opinion 6/2015 A further step towards comprehensive EU data protection EDPS recommendations on the Directive for data protection in the police and justice sectors.
13”The possibility to exclude the courts, acting in their judicial capacity, from supervision raises serious issues of interpretation and scope. We, therefore, recommend – with a reference to recital 55 of the proposal of the Commission – to keep the term “genuine” judicial activities
101
Dömande verksamhet |
Ds 2017:41 |
att undanta domstolars personuppgiftsbehandling bör vara om behandlingen äger rum inom ramen för the judicial activity snarare än att gränsen ska gå mellan olika kategorier av personuppgifts- ansvariga. Som exempel på judicial activity nämns rättegångar, rättsliga förfaranden och rättsliga aktiviteter i domstolsmål (trial, judicial proceeding, judicial activities in court cases) eller att behandlingen sker inom ramen för andra aktiviteter där domare är involverade med stöd av nationell lag.14
Det ovan sagda visar enligt vår mening att EDPS förespråkar en relativt snäv tolkning av begreppet dömande verksamhet. Exempelvis verkar EDPS inte anse att den personuppgifts- behandling som sker när personuppgifter registreras i det automatiserade verksamhetsstödet tillhör den dömande verksamheten. Det bör dock tilläggas att den åsikt EDPS gett uttryck för inte avspeglas i de slutliga versionerna av vare sig dataskyddsförordningen eller 2016 års dataskyddsdirektiv. I stället har de förstärkningsord som skulle kunna tala för en snäv tolkning av undantaget tagits bort i de slutliga versionerna. För dataskydds- förordningens del har exemplifieringen i skäl 20 enligt vår mening snarare öppnat upp för en vidare tolkning av begreppet dömande verksamhet. Vi tänker här på det faktum att beslutsfattandet snarast framstår som ett exempel på vad som ingår i denna verksamhet.
8.3Andra rättsakter och
EDPS har till uppgift att övervaka gemenskapsinstitutionernas behandling av personuppgifter.
which was deleted by the Council. The rationale for the Article 44(2) exemption seems to be, as emphasized by the recital, “to safeguard the independence of judges in the performance of their judicial tasks.” (Se s. 8).
14 ”The EDPS considers that the criterion for exempting from or including in the supervision by DPAs the data processing activity should be, respectively, whether the processing of personal data takes place in the context of the judicial activity (“trial”, judicial proceeding, judicial activities in court cases) or in the context of other activities where judges might be involved in accordance with national law, rather than being based on the distinction tout court between categories of data controllers, namely the court, on the one side, and the public prosecutor – as example of “other judicial authority”– on the other side”. (Se fotnot 23).
102
Ds 2017:41 |
Dömande verksamhet |
45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.
De utlåtanden (s.k. opinions) som EDPS har framställt angående
Även vad gäller allmänhetens rätt till tillgång till unionens institutioners handlingar finns undantag för
Närmare bestämmelserna för unionsmedborgarnas tillgång till institutionernas handlingar finns i förordning. Vad gäller Europaparlamentet, rådets och kommissionens handlingar regleras detta i Europaparlamentet och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar. EU- domstolen har i de förenade målen Sverige m.fl. mot API och kommissionen,16 som gällde tillämpning av förordning (EG) nr 1049/2001, uttalat att undantaget för domstolens verksamhet innebär att dömande verksamhet som sådan är utesluten från tillämpningsområdet.
15Brev från
16Dom Sverige m.fl. mot API och kommissionen,
103
Dömande verksamhet |
Ds 2017:41 |
egenskaper. De utgör nämligen till sin natur mer en del av domstolens dömande verksamhet än av kommissionens förvaltningsverksamhet”. Domstolen menade vidare att den dömande verksamheten är avslutad när förfarandet har avslutats.
8.4Bedömning
Bedömning: Det unionsrättsliga begreppet dömande verksamhet innefattar sannolikt all den personuppgiftsbehandling som utförs i det enskilda målet eller ärendet från att detta anhängiggörs vid domstolen tills ett slutligt avgörande har meddelats. Denna bedömning innebär att en stor del av, men inte hela, de svenska domstolarnas rättskipande och rätts- vårdande verksamhet omfattas av begreppet.
Utifrån hur Datainspektionens tillsyn sker i dag kan man sluta sig till att upprättandet av uppropslistor och tillgängliggörandet av uppgifter om domstolens registrerade mål för allmänheten inte har ansetts vara undantagna från tillsyn med hänsyn till bestämmelsen i 11 kap. 3 § RF om domstolarnas oberoende. Anledningen till detta torde vara att dessa verksamheter inte har ansetts utgöra en del av domstolarnas dömande verksamhet så som begreppet tillämpats i Sverige. Någon ledning gällande förordningens begrepp dömande verksamhet är dock enligt vår mening svår att hämta från Datainspektionens nuvarande tillsynsområde, eftersom ställnings- tagandena endast har sitt ursprung i den svenska grundlagens princip om domstolarnas oberoende. Eftersom JO:s och JK:s tillsyn till viss del omfattar domstolarnas dömande verksamhet är det enligt vår mening även vanskligt att leta efter en avgränsning mellan domstolarnas dömande och övriga verksamhet i dessa myndigheters tillsyn.
Vi anser att det ställningstagande som nu ska göras i stället måste ha sin utgångspunkt i en tolkning av dataskydds- förordningen och ett eventuellt unionsrättsligt begrepp. Detta stämmer enligt vår mening väl överens med den praxis gällande tolkningen av gemenskapsrättsliga bestämmelser som utvecklats av
104
Ds 2017:41 |
Dömande verksamhet |
Utifrån en studie av de engelska, franska och tyska versionerna av förordningen uppfattar vi att undantaget från tillsyns- myndigheternas behörighet omfattar domstolarnas rättsliga eller rättskipande verksamhet. Även i skälen till 2016 års dataskydds- direktivs bestämmelse om tillsynsmyndighetens behörighet anges att det är domstolarnas rättsliga uppgifter som är undantagna från tillsyn. Dataskyddsförordningens skäl 20 anger vidare att det är oberoendet i den rättskipande verksamheten som ska säkerställas genom att tillsynsmyndighetens behörighet begränsas. För svensk del förefaller den rättsliga eller rättskipande verksamheten omfatta betydligt mer än den dömande verksamheten.
Som tidigare konstaterats (avsnitt 7.2.7) anser vi vidare att de ärenden som numera finns kvar på allmän domstol har större likheter med de allmänna förvaltningsdomstolarnas och de allmänna domstolarnas rättskipning än med ärendehanteringen hos förvaltningsmyndigheterna. Mot den bakgrunden är det vår uppfattning att inte bara det område som traditionellt sett har ansetts utgöra rättskipning – utan även den ärendehantering som har ansetts utgöra rättsvårdande verksamhet – kan omfattas av begreppet dömande verksamhet.
Frågan är därefter vilka delar av den rättskipande och rätts- vårdande verksamheten som ingår i den dömande verksamheten. Dataskyddsförordningens skäl 97 talar enligt vår mening för en vid tolkning av begreppet, eftersom även andra rättsliga myndigheter än domstolarna anses kunna utföra dömande verksamhet.
Vi anser att begreppet dömande verksamhet sannolikt omfattar betydligt mer än endast utformandet av beslut och domar. För detta talar bl.a. den möjlighet som dataskyddsförordningen enligt skäl 20 ger medlemsstaterna att anförtro tillsynen över domstolarnas behandling av personuppgifter i den dömande verksamheten till särskilda organ inom rättsväsendet. Att ett sådant tillsynsorgan skulle ha som enda uppgift att övervaka den person- uppgiftsbehandling som utförs vid utformandet av domar och beslut förefaller föga ändamålsenligt.
Ytterligare stöd för att det unionsrättsliga begreppet dömande verksamhet omfattar det stora flertalet av de åtgärder som utförs inom domstolarnas kärnverksamhet finns i
105
Dömande verksamhet |
Ds 2017:41 |
avgörande Sverige m.fl. mot API och kommissionen.17 EU- domstolen bedömde här att en partsinlaga var del av den dömande verksamheten och att den dömande verksamheten avslutas när förfarandet har avslutats. Målet rörde förvisso frågan om allmänhetens tillgång till institutioners handlingar. Den beskrivning som
För den europeiska datatillsynsmannen (EDPS) gäller vidare i princip samma undantag i tillsynsbehörigheten som enligt data- skyddsförordningen kommer att gälla för de nationella tillsyns- myndigheterna. EDPS har inte behörighet att övervaka den behandling av personuppgifter som sker i
Vad gäller begreppet dömande verksamhet relaterat till de svenska domstolarnas verksamhet gör vi följande bedömning.
Den dömande uppgift som svenska domstolar har anförtrotts påbörjas enligt vår mening när ett mål eller ett ärende anhängiggörs. De processuella bestämmelserna styr därefter hur målet handläggs fram till dess att ett slutligt avgörande fattas. Handläggningen i sig innefattar en rad beslut. Vissa av dessa dokumenteras i verksamhetsstödet såsom ”ej slutliga beslut”. Det kan handla om avvisning av bevisning, förordnanden av offentliga biträden eller interimistiska beslut. Att denna typ av beslut, liksom domstolens slutliga avgörande av saken, hör till den dömande verksamheten förefaller för oss tämligen självklart.
Handläggningen av ett mål innefattar dock inte endast dessa ej slutliga beslut. Mer frekvent förekommande är de otaliga beredningsbeslut, som endast kommer till uttryck genom själva
17 Dom Sverige m.fl. mot API och kommissionen,
106
Ds 2017:41 |
Dömande verksamhet |
beredningsåtgärden. Exempel på detta är kommunicering, remisser och kallelser. Det kan också handla om förelägganden till en part om viss komplettering, där en underlåtenhet att komma in med uppgifter kan leda till rättsförlust för parten. Tanken att dessa beslut skulle ligga utanför domstolarnas dömande verksamhet ter sig främmande för oss.
Mot denna bakgrund anser vi att en rimlig tolkning av dataskyddsförordningens begrepp dömande verksamhet ur ett unionsrättsligt perspektiv är att begreppet innefattar all den personuppgiftsbehandling som sker i det enskilda målet eller ärendet från att målet eller ärendet anhängiggörs vid domstolen tills att ett slutligt avgörande har meddelats. Eftersom begreppet med denna tolkning endast omfattar de enskilda målen bör dock exempelvis upprättandet av uppropslistor och praxissamman- ställningar – som ju görs i den rättskipande och rättsvårdande verksamheten – falla utanför begreppsramen. Sammanfattningsvis innebär vår bedömning att den dömande verksamheten innefattar en stor del av, men inte hela, domstolarnas rättskipande och rättsvårdande verksamhet. Som vi tidigare påpekat får dock gränsen mellan den dömande verksamheten och övrig rättskipande och rättsvårdande verksamhet slutligen avgöras av rättspraxis.
Enligt vårt synsätt kommer dataskyddsförordningen sannolikt att påverka den svenska tillsynsmyndighetens möjlighet att bedriva tillsyn över domstolarnas kärnverksamhet. Vi vill dock avslutningsvis tydliggöra att oavsett vilken bedömning som görs gällande gränsdragningen mellan domstolarnas dömande och övriga verksamhet är det vår uppfattning att dataskyddsförordningens principer och bestämmelser ska följas i all personuppgiftsbehandling som sker i domstolarna. Det framgår nämligen klart av skäl 20 i dataskyddsförordningen att förordningen gäller även i domstolarnas verksamhet. Att den nationella tillsynsmyndigheten inte är behörig att utöva tillsyn över vissa delar av domstolarnas personuppgiftsbehandling är en annan fråga.
107
9 Ändamålsbestämmelser
9.1Befintliga ändamålsbestämmelser
9.1.1Rättslig reglering
Av artikel 5.1 b i dataskyddsförordningen framgår att person- uppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Detta kallas för ändamåls- begränsning och det senare ledet benämns ofta finalitetsprincipen (se avsnitt 9.1.4). Motsvarande bestämmelse finns i artikel 6.1 b i 1995 års dataskyddsdirektiv och har införts i svensk rätt genom 9 § första stycket c och d PuL. Domstolsdatalagen hänvisar till personuppgiftslagens bestämmelser genom 5 § första stycket 3.
Registerförfattningarnas ändamålsbestämmelser brukar delas upp i primära och sekundära ändamål. Bestämmelserna om primära ändamål tillgodoser behovet av att behandla personuppgifter i myndighetens egen verksamhet och anger för vilka ändamål myndigheten får samla in personuppgifter. Uttrycket insamling ska här ses i en vid bemärkelse och omfattar inte bara de situationer då uppgifter lämnas till en domstol efter domstolens egen begäran. Även andra situationer som innebär att en domstol får tillgång till personuppgifter omfattas, exempelvis genom att en enskild lämnar in ett överklagande. De primära ändamålen ger även rättsligt stöd för vidarebehandling av uppgifterna i form av exempelvis lagring och utlämning. Bestämmelser om sekundära ändamål medger inte insamling utan reglerar hur personuppgifter som redan har samlats in och behandlas i verksamheten får vidarebehandlas.1
1 Se förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 38 ff.).
109
Ändamålsbestämmelser |
Ds 2017:41 |
Domstolsdatalagens primära ändamålsbestämmelse finns i 6 § och innebär att domstolarna får behandla personuppgifter för handläggning av mål och ärenden. För att ytterligare begränsa den behandling som är tillåten inom ramen för detta ändamål anges att personuppgifter får behandlas endast om det behövs för handläggning av mål och ärenden.
Det enda uttryckliga sekundära ändamålet anges i 7 § domstols- datalagen och innebär att domstolarna även får behandla sådana personuppgifter som behandlats för handläggning av mål och ärenden för att fullgöra uppgiftslämnande som sker i överens- stämmelse med lag eller förordning. Även den sekundära ändamåls- bestämmelsen innehåller en begränsning genom att person- uppgifter för detta ändamål får behandlas endast om det behövs.
Av förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 104) framgår att lagens ändamålsbestämmelser utgör en uttömmande reglering av för vilka ändamål personuppgifter får behandlas i domstolarnas och nämndernas rättskipande och rätts- vårdande verksamhet.
9.1.2Tidigare förarbeten
I förarbetena till domstolsdatalagen angav regeringen att domstolsdatalagens primära ändamålsbestämmelse är tänkt att ha en vid innebörd och gjorde följande uttalande gällande tolkningen (prop. 2014/15:148 s. 39 f.).
Domstolarna behöver samla in och vidarebehandla personuppgifter i de fall då handläggningen av mål och ärenden kräver det. /…/ Vilka uppgifter som domstolarna ska samla in i mål och ärenden och hur de fortsatt ska hanteras inom ramen för handläggning av mål och ärenden är frågor som således styrs främst av processrätten och som inte ska regleras genom domstolsdatalagen eller andra personuppgifts- bestämmelser. Detta gör att det varken är möjligt eller lämpligt att i domstolsdatalagen i detalj ange för vilka ändamål personuppgifter ska få samlas in och vidarebehandlas. I domstolsdatalagen bör det därför anges att domstolarna får behandla (dvs. samla in eller vidarebehandla) personuppgifter om det behövs för handläggning av mål och ärenden. En sådan bestämmelse är tillräckligt flexibel för att domstolarnas organisation och arbetssätt ska kunna fortsätta att utvecklas och för att domstolarna ska kunna hantera nya måltyper. Samtidigt innebär bestämmelsen ett skydd mot integritetskränkning genom att bestämmelsen inte medger behandling av personuppgifter som inte är
110
Ds 2017:41 |
Ändamålsbestämmelser |
befogad i domstolarnas verksamhet. Avsikten är inte att en bestämmelse med det beskrivna innehållet ska tolkas alltför snävt. /…/ bedömningen av om en viss behandling är nödvändig ska göras i förhållande till mål- och ärendehandläggningen i stort och inte i förhållande till handläggningen av ett specifikt mål eller ärende. Sökning efter tidigare avgöranden och hantering av sådana avgöranden kommer således att rymmas inom vad som är tillåtet enligt ändamålsbestämmelserna, oavsett om åtgärderna sker i syfte att underlätta praxisdiskussioner, domskrivningsarbete eller annat kompetensutvecklingsarbete.
Samtliga
2Se 2 § 3 förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, 2 § 2 förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling, 2 § 3 förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling och 2 § 2 förordning (2001:642) om registerföring m.m. vid hyres- och arrendenämnderna med hjälp av automatiserad behandling.
3Se förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 38 ff.).
111
Ändamålsbestämmelser |
Ds 2017:41 |
personuppgifter fick behandlas för planering, uppföljning och utvärdering av verksamheten skulle utgå.
Vad gäller domstolsdatalagens sekundära ändamålsbestämmelse framgår av förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 41 f.) följande.
En allmän förutsättning för sådan behandling som sker för utlämnande till andra bör vara att uppgiftslämnandet sker i överenstämmelse med lag eller förordning, dvs. med stöd av bestämmelser som påbjuder eller tillåter utlämnande. När bestämmelser som påbjuder eller tillåter utlämnande har införts får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, och att man vid denna avvägning funnit att uppgiften ska eller får lämnas ut, jfr propositionen Patientdatalag m.m. (prop. 2007/08:126 s. 60). Bestämmelser av detta slag som berör domstolarnas verksamhet finns i många olika sammanhang, vilket framgår av det följande. För det första är domstolarna enligt olika författningsbestämmelser skyldiga att på begäran lämna ut uppgifter. Domstolarna är t.ex. enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) skyldiga att på begäran av en annan myndighet lämna uppgifter som domstolen förfogar över under förutsättning att uppgifterna inte är sekretessbelagda och att det inte skulle hindra arbetets behöriga gång. För det andra är domstolarna enligt bestämmelser i olika författningar skyldiga att lämna uppgifter till utpekade myndigheter. Genom de reformer som följer av RIF- samarbetet kommer en del av denna hantering att bli helt automatiserad. /…/ För det tredje bör de situationer beaktas i vilka det inte finns någon skyldighet att lämna uppgifter men där det ändå kan anses påbjudet eller önskvärt att en domstol lämnar uppgifter till andra domstolar, myndigheter eller andra utomstående. Det kan t.ex. vara fråga om en åtgärd som vidtas för att fullgöra serviceskyldigheten gentemot enskilda enligt 4 § förvaltningslagen (1986:223).
9.1.3Ett uttryckligt angivet och tydligt ändamål
Av artikel 6.3 andra stycket i dataskyddsförordningen framgår att den nationella rätten kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen och att dessa bestämmelser kan innehålla bland annat de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål samt ändamålsbegränsningar. Detta ger enligt vår mening stöd för förekomsten av både primära och sekundära ändamålsbestämmelser i nationella registerförfattningar.
112
Ds 2017:41 |
Ändamålsbestämmelser |
Ändamålet med personuppgiftsbehandlingen måste vara uttryckligt angivet och tillräckligt tydligt. Detta framgår av de allmänna principer som gäller enligt artikel 5.1 b i dataskydds- förordningen och skäl 39 till förordningen. Om ändamålen med personuppgiftsbehandlingen inte har en viss grad av precision är det vidare svårt att bedöma om behandlingen uppfyller den princip om uppgiftsminimering som framgår av artikel 5.1 c i dataskydds- förordningen. Enligt denna princip ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål som de samlades in för. En bedömning av om en uppgift är nödvändig för ett visst ändamål eller hur relevant uppgiften är för ändamålet, är svår att göra om ändamålet inte är tillräckligt tydligt angivet.4
9.1.4Finalitetsprincipen
Av intresse för ändamålsbestämmelserna är finalitetsprincipen, som kommer till uttryck i artikel 5.1 b och artikel 6.4 i dataskydds- förordningen. Principen återfinns också i artikel 6.1 b i 1995 års dataskyddsdirektiv och har införts i svensk rätt genom 9 § d PuL.
Enligt artikel 5.1 b i dataskyddsförordningen ska – som vi tidigare nämnt – personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Av bestämmelsen framgår också att personuppgifterna inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Det framgår emellertid även att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenliga med de ursprungliga ändamålen.
Av artikel 6.4 i dataskyddsförordningen framgår vilka faktorer som kan vara av betydelse för att fastställa om en personuppgifts- behandling för andra ändamål är förenlig med det ändamål som de samlades in för. De faktorer som anges i artikel 6.4
a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.
4 Jfr Socialdatautredningens betänkande (SOU 1999:109 s. 156).
113
Ändamålsbestämmelser |
Ds 2017:41 |
b)Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgifts- ansvarige.
c)Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.
d)Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.
e)Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
Av skäl 50 till dataskyddsförordningen framgår dock också att om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som ”förenlig och laglig”. Tillåtligheten av en vidarebehandling kan således säkerställas genom nationell lagstiftning som reglerar när sådan vidarebehandling ska vara tillåten (jfr artikel 6.3 andra stycket i dataskyddsförordningen och avsnitt 5.1). En sådan nationell reglering ersätter således, enligt vår mening, den prövning som annars ska göras enligt artikel 6.4 i dataskyddsförordningen av om ändamålet är förenlighet med det ursprungliga.5
9.1.5Precisering av rättslig grund eller ändamålsbestämmelser?
Utredningen om 2016 års dataskyddsdirektiv har i sitt delbetänkande (SOU 2017:29 s. 241 ff.) gjort bedömningen att tillåtna rättsliga grunder för behandling och ändamålsbestämmelser ibland har blandats samman.6 Detta kan enligt den utredningen leda till att tillämparen förväxlar rättslig grund med ändamål och godtar ett i författning angivet allmänt ändamål som ett särskilt och
5Jfr förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 104).
6Se även informationshanteringsutredningens slutbetänkande (SOU 2015:39).
114
Ds 2017:41 |
Ändamålsbestämmelser |
tillräckligt preciserat ändamål. Som ett exempel nämns bestämmelsen i 2 kap. 7 § polisdatalagen. Här anges att Polis- myndigheten får behandla personuppgifter för att utföra vissa av sina arbetsuppgifter, t.ex. om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller för att utreda eller beivra brott. Utredningen ifrågasätter om sådana bestämmelser utgör ändamålsbestämmelser eller om de i stället bör betraktas som en precisering av den rättsliga grunden. Vi är i detta avseende inte av någon annan uppfattning.
Man kan ställa sig frågan om de ändamålsbestämmelser som finns i 6 och 7 §§ domstolsdatalagen snarare utgör en precisering av den rättsliga grund som domstolarnas rätt till personuppgifts- behandling inom domstolsdatalagens tillämpningsområde vilar på. Den myndighetsutövning eller uppgift av allmänt intresse (jfr artikel 6.1 e i dataskyddsförordningen) som har anförtrotts domstolarna utgörs ju av den rättskipande och rättsvårdande verksamheten, som ytterligare kan brytas ner till handläggning av mål och ärenden. På samma sätt bör det utlämnande som sker i enlighet med lag eller förordning utgöra en uppgift av allmänt intresse eller en rättslig förpliktelse (jfr artikel 6.1 c och e i dataskyddsförordningen).
Den verksamhet som domstolarna har ålagts att utföra är emellertid relativt begränsad och tydligt avgränsad. Detta får enligt vår mening till följd att den rättsliga grunden och de ändamål som personuppgifter behandlas för ligger varandra nära. Vi anser därför att det inte finns något principiellt hinder mot att behålla de ändamål för behandling som nu finns i domstolsdatalagen.
9.1.6Bedömning
Bedömning: Dataskyddsförordningen föranleder ingen ändring vad gäller förekomsten av ändamålsbestämmelser i domstols- datalagen. Det är inte heller nödvändigt att ytterligare precisera de befintliga ändamålen för behandling.
Vi anser att de tillåtna ändamålen för personuppgiftsbehandling bör framgå av domstolsdatalagen. Skälen för detta är följande.
115
Ändamålsbestämmelser |
Ds 2017:41 |
Enligt domstoldatalagens primära ändamålsbestämmelse får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Som framgår av tidigare förarbeten till domstolsdata- lagen skiljer domstolarnas personuppgiftsbehandling sig från många andra myndigheters, eftersom det finns annan lagstiftning som i stor utsträckning reglerar vilka personuppgifter som ska behandlas vid handläggningen av mål och ärenden (se avsnitt 9.1.2).7 Som vi konstaterat i avsnitt 9.1.4 är den verksamhet som domstolarna har ålagts att utföra dessutom relativt begränsad och tydligt avgränsad. På dessa sätt skiljer sig domstolarnas verksamhet från t.ex. de brottsbekämpande myndigheternas, där mer över- gripande ändamål riskerar att leda till att personuppgifter behandlas i strid med kraven på ändamålsbegränsning och uppgifts- minimering (artikel 5.1 b och c).
Vi anser också att en lagreglering av personuppgifts- behandlingens ändamål ger en tydlighet för både de registrerade och de tjänstemän vid domstolarna som ska behandla person- uppgifterna. Eftersom domstolsdatalagens ändamålsbestämmelser dessutom är avsedda att vara uttömmande kommer det inte att vara upp till enskilda tjänstemän att bedöma om en behandling för andra ändamål är förenlig med det ursprungliga. Detta utgör enligt vår mening i sig ett skydd för de registrerades integritet.
Enligt artikel 5.1 b i dataskyddsförordningen måste ändamålen med personuppgiftsbehandlingen vara uttryckligt angivna. För det fall det i domstolsdatalagen inte anges för vilka ändamål person- uppgifter får behandlas måste ändamålet för varje behandling framgå på något annat sätt. Vad gäller handläggningen av de specifika målen och ärendena torde ändamålet med behandlingen förvisso framgå av sammanhanget, t.ex. prövning av saken X på talan av klaganden Y. Det kan dock inte uteslutas att det för vissa av de övriga arbetsuppgifter som ingår i det vidare begreppet handläggning av mål och ärenden (se avsnitt 9.1.2) skulle krävas en dokumentation av ändamålet med personuppgiftsbehandlingen, t.ex. ett angivande av vad det specifika syftet är med en viss rättsfallssammanställning eller med en viss specifik statistik- sammanställning. En sådan ordning skulle enligt vår mening utgöra
7 Jfr även Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 703.
116
Ds 2017:41 |
Ändamålsbestämmelser |
en större administrativ belastning för domstolarna än den nuvarande.
Frågan är då om det finns anledning att se över ändamåls- bestämmelsernas utformning eller om de redan nu är så specifikt och uttryckligt angivna som kan krävas (jfr artikel 5.1 b i dataskyddsförordningen)
Som framgår ovan innehåller 1995 års dataskyddsdirektiv samma reglering om ändamålet för personuppgiftsbehandling som dataskyddsförordningen. Domstolsdatalagens nuvarande ändamåls- bestämmelse har således bedömts utifrån samma krav som nu återfinns i dataskyddsförordningen. Detta innebär att regeringen i och med införandet av domstolsdatalagen måste ha bedömt att de ändamål som anges i lagens 6 och 7 §§ är så uttryckligt angivna och tydliga som krävs enligt unionsrätten.
De mål och ärenden som handläggs av de aktuella domstolarna inom ramen för den rättskipande och rättsvårdande verksamheten är vidare av mycket olika karaktär. Av förarbetena till domstols- datalagen (prop. 2014/15:148 s. 39 f.) framgår också att begreppet handläggning av mål och ärenden syftar till mål- och ärende- handläggningen i stort. Vi anser att det inte finns något i bestämmelsens ordalydelse som talar mot en sådan tolkning, eftersom det inte framgår att det endast är handläggningen av det enskilda målet eller ärendet som avses. Ändamålet, dvs. handläggningen av mål och ärenden, måste därmed anses rymma alla de åtgärder som vidtas inom ramen för domstolarnas rätt- skipande och rättsvårdande verksamhet. Det handlar om vitt skilda åtgärder såsom kommunicering, sökning i verksamhetsstöd för att svara på parters frågor, framställning av databaser som miljöboken, sammanställning av underlag för praxisdiskussioner och författande av föredragningspromemorior, rättsutredningar, domar m.m. Därutöver pågår naturligtvis kontinuerligt en planering och upp- följning av verksamheten. Domstolsdatalagens primära ändamåls- bestämmelse måste även anses rymma den behandling av personuppgifter som sker då domstolarna lämnar ut respektive tar del av personuppgifter genom den direktåtkomst som är tillåten mellan domstolarna enligt 17 § domstolsdatalagen (se vidare avsnitt 17.3.2). Domstolsdatalagens ändamålsbestämmelse rymmer således en mängd olika arbetsuppgifter som innefattar behandling av personuppgifter.
117
Ändamålsbestämmelser |
Ds 2017:41 |
Mot bakgrund av den diversifierade verksamhet som omfattas av domstolsdatalagens primära ändamålsbestämmelse måste en ändamålsbestämmelse som är avsedd att träffa hela denna verksamhet enligt vår mening ha en vid formulering. Vi anser därför att domstolsdatalagens primära ändamålsbestämmelse är så specifik och tydlig som kan krävas i denna verksamhet. Enligt vår uppfattning vore det vidare olämpligt att i ett försök att skapa tydlighet ändra bestämmelsens lydelse. En exemplifiering av de arbetsuppgifter som omfattas av den primära ändamåls- bestämmelsen skulle enligt vår mening i stället riskera att göra lagstiftningen ofullständig och skapa förvirring gällande tillåtlig- heten av de arbetsuppgifter som inte nämns.
Det får dock inte glömmas bort att personuppgiftsbehandlingen måste behövas för att vara tillåten. Frågan om huruvida behandlingen av en viss personuppgift är adekvat, relevant och inte för omfattande i ett enskilt ärende eller för en enskild arbetsuppgift (jfr artikel 5.1 c i dataskyddsförordningen) får enligt vår mening bedömas utifrån det enskilda ärendets eller arbetsuppgiftens karaktär. Samma sak gäller när personuppgifter behandlas i den del av den rättskipande eller rättsvårdande verksamheten som inte direkt rör ett enskilt mål eller ärende.
Enligt domstolsdatalagens sekundära ändamålsbestämmelse får personuppgifter som samlats in för att de behövs för handläggning av mål och ärenden även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Enligt artikel 6.3 andra stycket i dataskydds- förordningen är det möjligt att i nationell rätt reglera för vilka ändamål uppgifter får lämnas ut. Som framgår av tidigare förarbeten till domstolsdatalagen (prop. 2014/15:148 s.
Vi anser att domstolsdatalagens sekundära ändamåls- bestämmelse medverkar till att ge en heltäckande bild av vilken personuppgiftsbehandling som är tillåten inom domstolarnas rättskipande och rättsvårdande verksamhet. Bestämmelsen innebär också att det inte råder några tvivel om att det utlämnande av
118
Ds 2017:41 |
Ändamålsbestämmelser |
personuppgifter som sker med stöd av annan lag eller förordning är tillåtet även enligt dataskyddsförordningen.
Sammantaget gör vi bedömningen att någon förändring av domstolsdatalagens ändamålsbestämmelser inte behöver eller bör göras. Vissa redaktionella ändringar behöver dock göras av dessa bestämmelser till följd av dataskyddsförordningens bestämmelser om behandling av personuppgifter för arkivändamål. Dessa förändringar behandlas i avsnitt 19.4.
9.2Komplettering av ändamålsbestämmelserna
Förslag: Personuppgifter ska få behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning när de behandlas eller har behandlats med stöd av brottsdatalagen eller dess kompletterande registerförfattning för domstolarna.
I föreslaget till 2 kap. 21 § brottsdatalagen finns en upplysning om att dataskyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför brotts- datalagens tillämpningsområde. Utredningen om 2016 års data- skyddsdirektiv har i sitt delbetänkande (SOU 2017:29 s. 292) vidare gjort bedömningen att dataskyddsförordningen – och inte brottsdatalagen – är tillämplig när sådana behöriga myndigheter som avses i brottsdatalagen behandlar personuppgifter för att tillhandahålla dessa till andra myndigheter, om ändamålet med behandlingen ligger utanför brottsdatalagens tillämpningsområde.
Mot den bakgrunden måste enligt vår mening utlämnade enligt lag eller förordning av personuppgifter som domstolarna har behandlat för handläggning av mål och ärenden med stöd av brottsdatalagen eller dess kompletterande registerförfattning för domstolarna alltjämt regleras av domstolsdatalagen. Lagens sekundära ändamålsbestämmelse bör således omfatta även sådan personuppgiftsbehandling, förutsatt att utlämnandet inte sker med stöd av brottsdatalagen. Som exempel på ett utlämnande av personuppgifter som kommer att omfattas av domstolsdatalagen kan nämnas när en allmän domstol lämnar ut handlingar i ett brott- mål enligt tryckfrihetsförordningen. Eftersom det ligger inom
119
Ändamålsbestämmelser |
Ds 2017:41 |
Utredningen om 2016 års dataskyddsdirektivs uppdrag att analysera tillämpningsområdet för direktivet, hänvisar vi till den utredningens betänkande för en mer ingående beskrivning av vilka utlämnanden av personuppgifter som inte omfattas av brotts- datalagen och dess registerförfattningar.
Utlämnande av personuppgifter som har behandlats i domstolarnas verksamhet med stöd av brottsdatalagen och dess kompletterande registerförfattning utförs i domstolarnas rättskipande och rättsvårdande verksamhet, vilket förvisso utgör den yttre ramen för domstolsdatalagens tillämpningsområde. Vi har emellertid föreslagit att domstolsdatalagens tillämpningsområde ska avgränsas på så sätt att lagen inte omfattar den personuppgiftsbehandling i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet som omfattas av brottsdatalagens tillämpningsområde (se avsnitt 4.3). Mot den bakgrunden bedömer vi att det krävs en förändring av domstols- datalagens sekundära ändamålsbestämmelse för att den ska omfatta även utlämnande av personuppgifter som har behandlats för handläggning av mål och ärenden med stöd av brottsdatalagen och dess registerförfattning.
Domstolsdatalagens sekundära ändamålsbestämmelse innebär att de uppgifter som har behandlats enligt den primära ändamåls- bestämmelsen – dvs. för handläggning av mål och ärenden inom domstolsdatalagens tillämpningsområde – får lämnas ut i överens- stämmelse med lag eller förordning. Personuppgifter i den del av domstolarnas verksamhet som omfattas av brottsdatalagen har förvisso också behandlats för handläggning av mål och ärenden. Detta har dock inte skett enligt domstolsdatalagen, utan enligt brottsdatalagen och dess kompletterande registerförfattning. För att den sekundära ändamålsbestämmelsen ska omfatta även utlämnande av uppgifter som primärt har behandlats med stöd av brottsdatalagen bedömer vi därmed att den måste kompletteras. Vi föreslår att detta sker genom ett tillägg, där det framgår att personuppgifter även får behandlas för de angivna sekundära ändamålen när de behandlas eller har behandlats med stöd av brottsdatalagen eller dess kompletterande registerförfattning för domstolarna. Den avgränsningsbestämmelse mot brottsdatalagens tillämpningsområde som vi har föreslagit kommer att medföra att tillägget till de sekundära ändamålen endast innefattar den
120
Ds 2017:41 |
Ändamålsbestämmelser |
personuppgiftsbehandling som inte ska ske med stöd av brottsdatalagen. Vår bedömning av rätten att för arkivändamål behandlar personuppgifter som primärt har behandlats med stöd av brottsdatalagen finns i avsnitt 19.4.
121
10Förhållandet till annan lagstiftning
10.1Förhållandet till personuppgiftslagen
Förslag: Domstolsdatalagens bestämmelse om hur lagen förhåller sig till personuppgiftslagen ska upphävas och samtliga hänvisningar till personuppgiftslagen utgå.
Enligt 4 § domstolsdatalagen gäller den lagen i stället för person- uppgiftslagen, om inte annat anges i 5 §. Den senare bestämmelsen innehåller i sin tur hänvisningar till de bestämmelser i person- uppgiftslagen som gäller när personuppgifter behandlas enligt domstolsdatalagen eller enligt föreskrifter som har meddelats i anslutning till lagen.
När dataskyddsförordningen börjar tillämpas kommer person- uppgiftslagen att upphävas.1 Domstolsdatalagens bestämmelse om hur lagen förhåller sig till personuppgiftslagen måste därmed upp- hävas och samtliga hänvisningar till personuppgiftslagen utgå. I avsnitt 10.6 redogör vi för innehållet i domstolsdatalagens befintliga hänvisningar till personuppgiftslagen och gör en bedömning av om dessa ska ersättas.
1 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).
123
Förhållandet till annan lagstiftning |
Ds 2017:41 |
10.2Förhållandet till dataskyddsförordningen
Förslag: Det ska framgå av domstolsdatalagen att lagen inne- håller kompletterande bestämmelser till dataskydds- förordningen.
Bedömning: Hänvisningarna till personuppgiftslagen bör inte ersättas med hänvisningar till motsvarande bestämmelser i dataskyddsförordningen.
När dataskyddsförordningen börjar tillämpas kommer den att vara direkt tillämplig på all personuppgiftsbehandling som sker inom dess materiella och territoriella tillämpningsområde i medlems- staterna. Dataskyddsförordningens bestämmelser kommer därmed att gälla på domstolsdatalagens tillämpningsområde oberoende av om förhållandet till förordningen regleras i domstolsdatalagen. För att underlätta för tillämparen anser vi dock att det bör införas en upplysningsbestämmelse i domstolsdatalagen som klargör att lagen innehåller kompletterande bestämmelser till dataskydds- förordningen.
Innehållet i flera av personuppgiftslagens bestämmelser kommer framöver att återfinnas i dataskyddsförordningen (se avsnitt 4.1.1). Det kan därmed ligga nära till hands att ersätta domstolsdatalagens hänvisningar till personuppgiftslagen med hänvisningar till dataskyddsförordningens bestämmelser. Hänvisningar till endast vissa av förordningens bestämmelser – som dessutom är förhållandevis komplexa – riskerar dock enligt vår mening att skapa otydlighet för tillämparen. Det finns även en risk för miss- uppfattningen att de bestämmelser i dataskyddsförordningen som domstolsdatalagen inte hänvisar till inte är tillämpliga. Vi anser därför att det i domstolsdatalagen inte bör införas några hänvisningar till enskilda bestämmelser i dataskyddsförordningen endast i upplysningssyfte.
Hänvisningsteknik
Vi föreslår i vår promemoria att vissa bestämmelser i domstolsdatalagen ska innehålla hänvisningar till bestämmelser i
124
Ds 2017:41 |
Förhållandet till annan lagstiftning |
dataskyddsförordningen, t.ex. när det finns möjlighet och anledning att göra undantag från dataskyddsförordningens bestämmelser (se bl.a. kapitel 15). Sådana hänvisningar kan vara antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser
Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 80 f.) gjort bedömningen att den föreslagna dataskyddslagens hänvisningar till dataskyddsförordningen ska vara dynamiska. Undantaget är en bestämmelse som rör behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde. Vi anser att även de hänvisningar till dataskyddsförordningen som görs i domstolsdatalagen bör omfatta eventuella framtida ändringar av dataskyddsförordningen och således vara dynamiska. Skälen till detta är följande.
I vårt förslag till ändring av 7 § domstolsdatalagen finns en hänvisning till artikel 89.1 i dataskyddsförordningen. Hänvisningen har föreslagits för att klargöra att sådana säkerhetsåtgärder som framgår av den senare bestämmelsen krävs för att bl.a. behandling för arkivändamål ska vara tillåten. Eftersom sådana säkerhets- åtgärder är ett krav som framgår av dataskyddsförordningen bör hänvisning enligt vår mening gälla även för det fall förordningen ändras i denna del.
Den föreslagna 11 § domstolsdatalagen innehåller undantag från den registrerades rätt att enligt dataskyddsförordningen få information om en personuppgiftsincident. Vi anser att undantaget bör gälla även om det genomförs mindre ändringar i dataskydds- förordningen. Skulle större ändringar genomföras kan valet av en dynamisk hänvisning dock innebära att en översyn av den svenska regleringen behöver göras.
Den föreslagna ändringen av 13 § domstolsdatalagen hänvisar till den definition av begreppet känsliga personuppgifter som finns i dataskyddsförordningen. Hänvisningen föreslås bl.a. för att anpassa domstolsdatalagen till dataskyddsförordningens terminologi. Det ter sig enligt vår mening därmed naturligt att en eventuell ändring av dataskyddsförordningen begrepp får genomslag även i domstolsdatalagen.
125
Förhållandet till annan lagstiftning |
Ds 2017:41 |
De föreslagna ändringarna av 19 och 20 §§ domstolsdatalagen innebär att vissa beslut enligt dataskyddsförordningen får över- klagas. För att överklaganderätten inte ska gå förlorad om data- skyddsförordningens bestämmelser ändras i denna del bör hänvisningen enligt vår mening omfatta dataskyddsförordningen vid varje givet tillfälle.
10.3Förhållandet till dataskyddslagen
Förslag: Domstolsdatalagen ska inom sitt tillämpningsområde gälla i stället för den föreslagna dataskyddslagen.
Det ska i domstolsdatalagen särskilt anges vilka bestämmelser i dataskyddslagen som ska gälla på domstols- datalagens tillämpningsområde.
Dataskyddslagen kommer enligt Dataskyddsutredningens föreslag att innehålla de författningsbestämmelser som på ett generellt plan kompletterar dataskyddsförordningen.2 Dataskyddsutredningen föreslår att dataskyddslagen, i likhet med personuppgiftslagen, ska vara subsidiär i förhållande till bestämmelser om behandling av personuppgifter i andra författningar. Liksom vad som för närvarande gäller i förhållande till personuppgiftslagen, anser vi att domstolsdatalagen helt ska ersätta dataskyddslagen inom sitt tillämpningsområde. På detta sätt blir regleringen tydlig och bestämmelserna i domstolsdatalagen måste inte först jämföras med bestämmelserna i dataskyddslagen för att det ska kunna fastställas vilka bestämmelser som är tillämpliga i ett enskilt fall.3 Vi föreslår därför att det i domstolsdatalagen ska införas en bestämmelse som reglerar att den lagen gäller i stället för dataskyddslagen, om inte annat anges. Det ska i samband med den bestämmelsen hänvisas till de bestämmelser i dataskyddslagen som ska gälla på domstolsdatalagens tillämpningsområde.
2Se Dataskyddsutredningens betänkande (SOU 2017:39).
3Jfr förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 29).
126
Ds 2017:41 |
Förhållandet till annan lagstiftning |
10.4Förhållandet till 2013 års lag
Förslag: Domstolsdatalagens bestämmelse om förhållandet till lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och föreskrifter som har meddelats i anslutning till den lagen ska upphävas.
Utredningen om 2016 års dataskyddsdirektiv har i sitt betänkande (SOU 2017:29) föreslagit att lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag) ska upphävas. Detta gäller även de bestämmelser i svensk rätt som hänvisar till den lagen.4 I enlighet med denna bedömning föreslår vi att domstolsdatalagens bestämmelse om hur lagen förhåller sig till 2013 års lag och föreskrifter som har meddelats i anslutning till den lagen ska upphävas.
10.5Förhållandet till kvarstadsförordningen
Bedömning: Dataskyddsförordningen föranleder ingen ändring av domstolsdatalagens bestämmelse om förhållandet till Europaparlamentets och rådets förordning (EU) nr 655/2014.
Den 15 maj 2014 antogs Europaparlamentets och rådets förordning (EU) nr 655/2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel i mål och ärenden av privaträttslig natur, den s.k. kvarstadsförordningen. Förordningen trädde i kraft den 17 juli samma år och började tillämpas fullt ut den 18 januari 2017. Genom kvarstadsförordningen skapas ett självständigt unions- rättsligt förfarande för kvarstad på bankmedel. Förordningen reglerar förfarandet för att meddela ett beslut om kvarstad och för verkställighet av beslutet. Syftet är att underlätta för de fordringsägare inom EU som är verksamma i den gränsöver- skridande handeln att driva in sina fordringsanspråk över gränserna.
4 Se SOU 2017:29 s. 145 f. för de överväganden som gjorts i denna del.
127
Förhållandet till annan lagstiftning |
Ds 2017:41 |
Detta ska ske genom att gäldenärerna förhindras att snabbt flytta sina bankmedel från en medlemsstat till en annan i syfte att undkomma verkställighet.5
Av artikel 48 d i kvarstadsförordningen framgår att förordningen inte påverkar tillämpningen av direktiv 95/46/EG (1995 års dataskyddsdirektiv), om inte annat föreskrivs i artiklarna 14.8 eller 47. I artikel 47 i förordningen finns vissa bestämmelser om skydd för personuppgifter. Enligt artikel 14.8 i förordningen inskränks den registrerades rätt att få information om att hans eller hennes personuppgifter har lämnats ut i vissa fall.
Enligt 3 § andra meningen domstolsdatalagen ska de avvikande bestämmelser som finns i kvarstadsförordningen tillämpas i stället för bestämmelserna i domstolsdatalagen. Av förarbetena till bestämmelsen (prop. 2015/16:148 s. 49) framgår att kvarstads- förordningens bestämmelser om uppgiftsskydd har företräde framför bestämmelserna i domstolsdatalagen. Vidare har bedömningen gjorts att det bör införas en hänvisning till kvarstads- förordningen i domstolsdatalagen för att uppmärksamma detta förhållande.
I artikel 48 d i kvarstadsförordningen regleras således förhållandet mellan den förordningen och 1995 års dataskydds- direktiv, som upphör att gälla när dataskyddsförordningen börjar tillämpas. Enligt artikel 94 i dataskyddsförordningen ska dock hänvisningar till 1995 års dataskyddsdirektiv ses som hänvisningar till dataskyddsförordningen. Mot den bakgrunden anser vi att 3 § andra meningen domstolsdatalagen – som reglerar förhållandet mellan den lagen och kvarstadsförordningen – i materiellt hänseende kan kvarstå oförändrad. Vi har dock föreslagit att nuvarande 3 § första meningen domstolsdatalagen ska utgå (se föregående avsnitt) och en delvis ny disposition och struktur i rubriksättningen. Detta medför vissa redaktionella ändringar i lagtexten.
5 Se förarbetena till domstolsdatalagen (prop. 2015/16:148 s. 11).
128
Ds 2017:41 |
Förhållandet till annan lagstiftning |
10.6Befintliga hänvisningar till personuppgiftslagen och hänvisningar till dataskyddslagen
10.6.1Definitioner
I 5 § första stycket 1 domstolsdatalagen finns en hänvisning till 3 § PuL, som behandlar definitioner. När dataskyddsförordningen börjar tillämpas kommer de definitioner som är aktuella för domstolsdatalagen att finnas i artikel 4 i dataskyddsförordningen. Mot bakgrund av vårt ställningstagande om hänvisningar till enskilda bestämmelser i dataskyddsförordningen anser vi att någon hänvisning till dataskyddsförordningens bestämmelse inte bör göras i denna del.
10.6.2Förhållandet till offentlighetsprincipen
I 5 § första stycket 2 domstolsdatalagen finns en hänvisning till 8 § PuL. Första stycket i sistnämnda bestämmelse behandlar förhållandet till offentlighetsprincipen. Vad gäller andra stycket, som bl.a. behandlar arkivering, finns våra överväganden i kapitel 19.
När dataskyddsförordningen börjar tillämpas kommer förhållandet mellan offentlighetsprincipen och regelverket för personuppgiftsbehandling inom dataskyddsförordningens tillämpningsområde att regleras direkt av artikel 86 i förordningen. I denna artikel anges att personuppgifter i allmänna handlingar som förvaras av en myndighet, ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller organet omfattas av. Det anges vidare att syftet är att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskydds- förordningen.
Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 130) gjort bedömningen att artikel 86 i dataskyddsförordningen innebär att den svenska offentlighetsprincipen har företräde framför dataskyddsförordningen avseende bl.a. handlingar som förvaras hos myndigheter och andra offentliga organ. Frågan om offentlighetsprincipens förhållande till regelverket kring
129
Förhållandet till annan lagstiftning |
Ds 2017:41 |
personuppgiftsbehandling regleras därmed fullt ut genom data- skyddsförordningen. Mot bakgrund av vårt tidigare ställnings- tagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelse inte bör göras i denna del.
10.6.3Grundläggande krav på behandling av personuppgifter
I 5 § första stycket 3 domstolsdatalagen finns en hänvisning till 9 § PuL, vars första stycke behandlar grundläggande krav på behandling av personuppgifter. Vad gäller andra, tredje och fjärde stycket, som bl.a. behandlar arkivering, finns våra överväganden i kapitel 19.
Artikel 5 i dataskyddsförordningen innehåller de grundläggande principer för behandling av personuppgifter som kommer att gälla när förordningen börjar tillämpas (se vidare avsnitt 5.2). Mot bakgrund av vårt tidigare ställningstagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelse inte bör göras i denna del.
10.6.4Behandling av personnummer och samordningsnummer
Förslag: Uppgifter om personnummer eller samordnings- nummer ska även fortsättningsvis få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regleringen ska genomföras genom en hänvisning i domstolsdatalagen till den föreslagna bestämmelsen i 3 kap. 13 § dataskyddslagen.
I 5 § första stycket 4 domstolsdatalagen finns en hänvisning till 22 § PuL. Enligt den bestämmelsen får uppgifter om person- nummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. I förarbetena till domstolsdatalagen (prop. 2014:15:148 s. 51) har regeringen gjort bedömningen att 22 § PuL
130
Ds 2017:41 |
Förhållandet till annan lagstiftning |
innebär en flexibel reglering som är väl avpassad för att förhindra omotiverad behandling av personnummer och samordnings- nummer även i domstolarnas verksamhet.
Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att 3 kap. 13 § dataskyddslagen ska innehålla en bestämmelse som till sin lydelse helt motsvarar 22 § PuL. Vi föreslår att det i domstolsdatalagen införs en hänvisning till dataskyddslagens bestämmelse i denna del. På så sätt behålls den reglering av användandet av personnummer och samordnings- nummer som för närvarande anses vara ändamålsenlig i domstolarnas verksamhet.
10.6.5Information till den registrerade och rättelse
I 5 § första stycket 5 och 6 domstolsdatalagen finns hänvisningar till 23,
10.6.6Säkerhet vid behandlingen
I 5 § första stycket 7 domstolsdatalagen finns en hänvisning till 30 och 31 §§ och till 32 § första stycket PuL. Dessa bestämmelser reglerar hur ett personuppgiftsbiträde får behandla person- uppgifter, den personuppgiftsansvariges ansvar för att lämpliga skyddsåtgärder vidtas och tillsynsmyndighetens rätt att besluta om säkerhetsåtgärder. Innehållet i 30 och 31 §§ PuL återfinns i delar av artikel 28 och delar av artikel 32 i dataskyddsförordningen. Vilka befogenheter tillsynsmyndigheten har regleras i artikel 58 i data- skyddsförordningen. Mot bakgrund av vårt tidigare ställnings- tagande anser vi att någon hänvisning till dataskyddsförordningens bestämmelser inte bör göras i denna del.
131
Förhållandet till annan lagstiftning |
Ds 2017:41 |
10.6.7Överföring till tredje land
I 5 § första stycket 8 domstolsdatalagen finns en hänvisning till 33– 35 §§ PuL, som gäller överföring av personuppgifter till tredje land. Bestämmelser om under vilka förutsättning personuppgifter får överföras till tredje land finns i artikel
10.6.8Personuppgiftsombud och förhandskontroll
I 5 § första stycket 9 domstolsdatalagen finns hänvisningar till 38, 40 och 41 §§ PuL. Dessa bestämmelser reglerar vilka arbets- uppgifter ett personuppgiftsombud har (38 och 40 §§) samt en rätt för regeringen att meddela föreskrifter om att vissa behandlingar av personuppgifter ska anmälas för förhandskontroll till tillsyns- myndigheten (41 §).
I kapitel 13 finns vårt förslag om hur domstolsdatalagens bestämmelser om personuppgiftsombud bör förändras med anledning av dataskyddsförordningen.
I artikel
132
Ds 2017:41 |
Förhållandet till annan lagstiftning |
10.6.9Tillsynsmyndighetens handläggning och beslut
Förslag: Dataskyddslagens bestämmelser om tillsyns- myndighetens handläggning och beslut ska gälla även på domstolsdatalagens tillämpningsområde. Regleringen ska genomföras genom en hänvisning i domstolsdatalagen till de föreslagna bestämmelserna i 6 kap.
I 5 § första stycket 10 domstolsdatalagen finns hänvisningar till 43 och 44 §§, 45 § första stycket och 47 § PuL. Här regleras tillsynsmyndighetens befogenheter att vidta åtgärder mot de personuppgiftsansvariga.
Tillsynsmyndighetens behörighet, uppgifter och befogenheter regleras utförligt i artikel
Enligt det förslag som finns i Dataskyddsutredningens betänkande (SOU 2017:39) kommer dataskyddslagen dock att innehålla vissa kompletterande bestämmelser om tillsyns- myndighetens handläggning och beslut. Dessa finns enligt förslaget i 6 kap. dataskyddslagen. I de följande avsnitten kommer vi att redogöra för dessa bestämmelser och för varje bestämmelse göra en bedömning av om den bör gälla även på domstolsdatalagens tillämpningsområde.
Det finns i detta sammanhang anledning att uppmärksamma att tillsynsmyndigheten, enligt artikel 55.3 i dataskyddsförordningen, inte är behörig att utöva tillsyn över den personuppgiftsbehandling som sker i domstolarnas dömande verksamhet. Enligt vår bedömning omfattar den dömande verksamheten all person- uppgiftsbehandling som sker i det enskilda målet eller ärendet från
133
Förhållandet till annan lagstiftning |
Ds 2017:41 |
att detta anhängiggörs till att ett slutligt avgörande har fattats. Utifrån den definitionen är det endast en relativt liten del av domstolarnas rättskipande och rättsvårdande verksamhet som står under tillsynsmyndighetens tillsyn (se vidare kapitel 8).
Tillsynsmyndighetens befogenheter
Av förslaget till 6 kap. 1 § dataskyddslagen framgår att de befogenheter som tillsynsmyndigheten har enligt artikel
Som framgår av ordalydelsen i den föreslagna 6 kap. 1 § dataskyddslagen ska tillsynsmyndighetens befogenheter gälla oavsett om de kompletterande nationella bestämmelserna finns i dataskyddslagen eller i sektorsspecifika registerförfattningar. Dataskyddsutredningen uttalar i sitt betänkande (SOU 2017:39 s. 311) att det krävs att tillsynsmyndigheten kan vidta samma åtgärder vid sin tillsyn över efterlevnaden av de nationella bestämmelser som kompletterar förordningen, för att dataskydds- förordningens intentioner ska få genomslag.
Att tillsynsmyndigheten har behörighet att övervaka hur dataskyddsförordningens bestämmelser följs i den del av domstolarnas rättskipande och rättsvårdande verksamhet som inte är dömande framgår redan av artikel 57.1 a i dataskydds- förordningen. Enligt den bestämmelsen ansvarar tillsyns- myndigheten på sitt territorium för att övervaka och verkställa tillämpningen av förordningen. Vi anser att det inte finns några bärande skäl mot att tillsynen över den del av domstolarnas verksamhet som inte är dömande sker på samma sätt som för övriga myndigheter. Mot den bakgrunden föreslår vi att det tas in en hänvisning till 6 kap. 1 § dataskyddslagen i domstolsdatalagen. På detta sätt kommer dataskyddsförordningens bestämmelser om utredningsbefogenheter, korrigerande befogenheter samt befogenheter att utfärda tillstånd och ge råd, att gälla även för den
134
Ds 2017:41 |
Förhållandet till annan lagstiftning |
tillsyn som sker av domstolarnas tillämpning av dataskyddslagens (i tillämpliga delar) och domstolsdatalagens bestämmelser.
Ansökan hos förvaltningsrätten
Enligt förslaget till 6 kap. 2 § första stycket dataskyddslagen gäller följande. Om tillsynsmyndigheten vid handläggningen av ett ärende finner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskydds- förordningen i ärendet, får tillsynsmyndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas. Artikel 58.2 i förordningen reglerar tillsynsmyndighetens korrigerande befogenheter, så som att förelägga en personuppgiftsansvarig att radera personuppgifter eller att förbjuda en personuppgiftsansvarig att behandla person- uppgifter.
Enligt förslaget framgår det av 6 kap. 2 § andra stycket dataskyddslagen att tillsynsmyndighetens ansökan i dessa fall ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut. I den föreslagna 8 kap. 6 § dataskyddslagen klargörs att denna typ av beslut kan överklagas och av 6 kap. 2 § tredje stycket dataskyddslagen framgår att det krävs prövningstillstånd vid överklagande till kammarrätten.
Dataskyddsutredningen redogör i sitt betänkande (SOU 2017:39 s. 318 f.) för innebörden av 6 kap. 2 § dataskyddslagen på följande sätt.
Om det finns skäl att ifrågasätta om en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen är giltig, till exempel om ett kommissionsbeslut är förenligt med förordningen och fördragen, kan det vara olämpligt att tillsynsmyndigheten själv fattar beslut om åtgärder enligt artikel 58.2 i dataskyddsförordningen, såsom att den personuppgiftsansvarige ska föreläggas att radera personuppgifter eller att behandling av personuppgifter ska förbjudas. I en sådan situation bör tillsynsmyndigheten i stället kunna ansöka hos allmän förvaltningsdomstol om att åtgärden ska beslutas. Om domstolen i ett sådant mål delar tillsynsmyndighetens tvivel angående giltigheten av den unionsrättsakt som förhindrar eller kräver att åtgärden vidtas, kan domstolen begära ett förhandsavgörande från
135
Förhållandet till annan lagstiftning |
Ds 2017:41 |
skulle därmed inte i sig utgöra något främmande element i svensk processrätt. På detta sätt kan således förordningens krav på rättsmedel för tillsynsmyndigheten uppfyllas, utan att något nytt processuellt institut behöver tillskapas.
De situationer som bestämmelsen i 6 kap. 2 § dataskyddslagen avser att träffa bör rimligen vara sällsynt förekommande. Vi anser dock att det inte finns anledning att ha en annan reglering för den tillsyn som sker över domstolarnas rättskipande och rättsvårdande verksamhet. Det bör därför enligt vår mening införas en hänvisning i domstolsdatalagen till 6 kap. 2 § dataskyddslagen.
Kommunicering och delgivning
Av den föreslagna 6 kap. 3 § dataskyddslagen framgår att innan tillsynsmyndigheten fattar ett beslut enligt artikel 58.2 i data- skyddsförordningen, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet. Undantag görs om det är uppenbart obehövligt. Om saken är brådskande får tillsynsmyndigheten dock, i avvaktan på yttrandet, besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskyddsförordningen. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.
Enligt den föreslagna 6 kap. 4 § dataskyddslagen ska ett beslut enligt 6 kap. 3 § delges, om det inte är uppenbart obehövligt. Delgivning enligt
Bestämmelser om kommunicering och delgivning finns i 46 § PuL, som gäller i samband med att tillsynsmyndigheten beslutar om vite. Dessa bestämmelser motsvarar de föreslagna bestämmelserna i 6 kap. 3 och 4 §§ dataskyddslagen. Person- uppgiftslagens bestämmelser om vite gäller inte på domstolsdata- lagens tillämpningsområde (se 5 § andra stycket domstols-
136
Ds 2017:41 |
Förhållandet till annan lagstiftning |
datalagen) och det har därmed inte funnits någon anledning att ta in en hänvisning till 46 § PuL i domstolsdatalagen.
Enligt artikel 83.5 e och 85.6 i dataskyddsförordningen ska den personuppgiftsansvarige påföras administrativa sanktionsavgifter om denne inte rättar sig efter ett föreläggande som meddelats av tillsynsmyndigheten. Detta innebär att de administrativa sanktions- avgifterna i vissa delar får samma effekt som ett vite. Eftersom administrativa sanktionsavgifter enligt vårt förslag ska få riktas även mot domstolarna (se avsnitt 10.7) finns det anledning att överväga om dataskyddslagens bestämmelser om kommunicering och delgivning ska gälla även vid tillsyn över domstolarna.
Mot bakgrund av att underlåtenheten att följa ett föreläggande kan leda till att administrativa sanktionsavgifter tas ut har Dataskyddsutredningen gjort bedömningen att de processuella skyddsåtgärder som nu kringgärdar tillsynsmyndighetens vitesföre- lägganden bör gälla för alla beslut som myndigheten kan meddela med stöd av artikel 58.2 i dataskyddsförordningen. Mottagaren av tillsynsmyndighetens föreläggande bör därmed som huvudregel, precis som enligt 46 § PuL, både få möjlighet att yttra sig över materialet i ärendet och få del av föreläggandet på något av de sätt som föreskrivs i delgivningslagen (se SOU 2017:39 s. 313 f.).
För det fall tillsynsmyndigheten beslutar om ett föreläggande mot en domstol finns det enligt vår mening inte anledning att ha ett annat förfarande än det som kommer att gälla för andra myndigheter. Vi anser därför att en hänvisning till 6 kap. 3 och 4 §§ dataskyddslagen bör tas in i domstolsdatalagen. Det faktum att de typer av stämningsmannadelgivning som regleras i
Besked angående handläggningen av ett klagomål
Av den föreslagna 6 kap. 5 § dataskyddslagen framgår att om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå
137
Förhållandet till annan lagstiftning |
Ds 2017:41 |
begäran om besked. Sådant besked eller beslut ska meddelas inom två veckor från den dag då begäran om besked kom in till tillsynsmyndigheten. Om tillsynsmyndigheten har avslagit en begäran om besked, får den registrerade ge in en ny begäran om besked i ärendet tidigast tre månader efter det att myndighetens beslut meddelades.
Av Dataskyddsutredningens betänkande (SOU 2017:39 s. 305 ff.) framgår att förslaget till 6 kap. 5 § dataskyddslagen har införts för att uppfylla det krav på effektivt rättsmedel som garanteras genom dataskyddsförordningen. Som vi framfört under föregående rubrik anser vi att det inte finns anledning att ha ett annat förfarande för tillsyn över domstolarna än det som kommer att gälla vid tillsyn över andra myndigheter. Vi anser därför att en hänvisning till 6 kap. 5 § dataskyddslagen bör tas in i domstols- datalagen.
10.6.10 Skadestånd
I 5 § första stycket 11 domstolsdatalagen finns hänvisningar till 48 § PuL, som gäller den registrerades rätt till skadestånd. I avsnitt 15.7 finns en redogörelse för vad som kommer att gälla i denna fråga när dataskyddsförordningen börjar tillämpas. Där finns även våra överväganden av vilka hänvisningar som ska göras till dataskyddslagen i denna del.
10.6.11 Förhållandet till tryck- och yttrandefriheten
Förslag: Bestämmelserna i dataskyddsförordningen, data- skyddslagen och domstolsdatalagen ska inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrande- frihetsgrundlagen. Regleringen ska genomföras genom en hänvisning i domstolsdatalagen till den föreslagna bestämmelsen i 1 kap. 4 § första stycket dataskyddslagen.
Av artikel 85.1 i dataskyddsförordningen följer att medlems- staterna i lag ska förena rätten till integritet i enlighet med
138
Ds 2017:41 |
Förhållandet till annan lagstiftning |
förordningen med bl.a. yttrande- och informationsfriheten. Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att det av 1 kap. 4 § första stycket dataskyddslagen ska framgå att bestämmelserna i den lagen och i dataskydds- förordningen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets- förordningen eller yttrandefrihetsgrundlagen. Bestämmelsen motsvarar den reglering som för närvarande finns i 7 § första stycket PuL, som innebär att bestämmelserna i personuppgiftslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets- förordningen eller yttrandefrihetsgrundlagen. Det finns för närvarande inte någon hänvisning i domstolsdatalagen till den sistnämnda bestämmelsen.
Dataskyddsutredningen har föreslagit att dataskyddslagen ska vara subsidiär till bestämmelser som rör behandling av personuppgifter i annan lag eller författning (1 kap. 3 § dataskyddslagen). Denna reglering innebär att tryckfrihets- förordningen gäller före dataskyddslagen, något som dessutom följer redan av allmänna rättsliga principer om att bestämmelser i vanlig lag inte tar över bestämmelser i grundlag (lex superior). Hur tryckfrihetsförordningens och yttrandefrihetsgrundlagarnas bestämmelser förhåller sig till dataskyddsförordningens bestämmelser är emellertid inte lika självklart. Mot den bakgrunden föreslår vi att det i domstolsdatalagen görs en hänvisning till den föreslagnas 1 kap. 4 § första stycket dataskyddslagen. Hänvisningen ska förstås så att inte bara dataskyddsförordningens och dataskyddslagens, utan även domstolsdatalagens bestämmelser får ge vika för bestämmelserna om tryck- och yttrandefrihet. Bestämmelsens andra stycke, som gäller personuppgifter som behandlas för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande är enligt vår mening inte relevanta för domstolarnas verksamhet.
10.7Sanktionsavgifter
Förslag: Dataskyddslagens bestämmelser om administrativa sanktionsavgifter ska, med undantag för den bestämmelse som
139
Förhållandet till annan lagstiftning |
Ds 2017:41 |
gäller överträdelser av artikel 10 i dataskyddsförordningen, gälla även på domstolsdatalagens tillämpningsområde. Regleringen ska genomföras genom en hänvisning i domstolsdatalagen till de föreslagna bestämmelserna i 7 kap. 1, 3 och 4 §§ dataskyddslagen.
Enligt artikel 83 i dataskyddsförordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra de personuppgiftsansvariga administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. Av artikel 83.7 framgår att varje medlemsstat får fastställa regler för om och i vilken utsträckning administrativa sanktonsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.
Dataskyddsutredningen föreslår i sitt betänkande (SOU 2017:39) att 7 kap.
I den föreslagna 7 kap. 2 § dataskyddslagen anges att sanktions- avgift får tas ut vid överträdelser av artikel 10 i dataskydds- förordningen. Bestämmelsen reglerar även avgiftens storlek i sådana fall. Administrativa sanktionsavgifter får vidare, enligt den föreslagna 7 kap. 3 § dataskyddslagen, inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § dataskyddslagen inom fem år från den dag då överträdelsen ägde rum (se avsnitt 10.6.9 under rubriken Kommunicering och delgivning). Enligt 7 kap. 4 § dataskyddslagen ska sanktionsavgifter som beslutats enligt dataskyddsförordningen eller dataskyddslagen tillfalla staten.
Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 288 ff.) gjort bedömningen att övervägande skäl talar för att administrativa sanktionsavgifter ska kunna påföras statliga och kommunala myndigheter. Som grund för bedömningen framhöll
140
Ds 2017:41 |
Förhållandet till annan lagstiftning |
Dataskyddsutredningen bl.a. den omfattning av känsliga person- uppgifter som hanteras av myndigheter, att enskildas intresse av skydd för den personliga integriteten väger lika tungt vid behandling av personuppgifter i det allmännas verksamhet som i den privata sektorn och att behovet av avskräckande sanktioner inte är mindre när det gäller myndigheternas personuppgifts- behandling.
Vi vill även i detta sammanhang påminna om att tillsyns- myndigheten, enligt artikel 55.3 i dataskyddsförordningen, inte är behörig att utöva tillsyn över den personuppgiftsbehandling som sker i domstolarnas dömande verksamhet. Enligt vår bedömning omfattar den dömande verksamheten all personuppgiftsbehandling som sker i det enskilda målet eller ärendet från att detta anhängiggörs till att ett slutligt avgörande har fattats. Utifrån den definitionen är det endast en relativt liten del av domstolarnas rättskipande och rättsvårdande verksamhet som omfattas av tillsynsområdet och kan ge upphov till sanktionsavgifter (se vidare kapitel 8).
För den del av domstolarnas verksamhet som faller under tillsynsmyndighetens behörighet anser vi även i detta fall att det inte finns anledning att ha ett annat förfarande för tillsyn mot domstolarna än det som kommer att gälla vid tillsyn mot andra myndigheter (jfr avsnitt 10.6.9). Vi anser därför att en hänvisning till 7 kap. 1, 3 och 4 §§ dataskyddslagen bör tas in i domstols- datalagen.
Bestämmelsen i 7 kap. 2 § dataskyddslagen behandlar över- trädelser av artikel 10 i dataskyddsförordningen, enligt vilken behandling av personuppgifter som rör bl.a. fällande domar i brott- mål endast får utföras under kontroll av myndighet. Eftersom domstolarna, i sin egenskap av myndigheter, inte kan göra sig skyldiga till överträdelser av artikel 10 i dataskyddsförordningen bör det enligt vår mening inte göras någon hänvisning till 7 kap. 2 § dataskyddslagen.
Dataskyddslagens föreslagna bestämmelser om sanktions- avgifter gäller endast överträdelser av de bestämmelser i data- skyddsförordningen som anges i artikel
141
Förhållandet till annan lagstiftning |
Ds 2017:41 |
behandla uppgifter om nationella identifikationsnummer (artikel 87) och rätten att behandla personuppgifter i anställnings- förhållanden (artikel 88). Detta innebär enligt vår mening motsatsvis att överträdelser av andra nationella bestämmelser än sådana som införts med stöd av kapitel IX inte träffas av dataskyddsförordningens bestämmelser om sanktionsavgifter. Eventuellt skulle dock överträdelser av nationella bestämmelser som utgör ett förtydligande av dataskyddsförordningens bestämmelser kunna ses som en överträdelse av förordningens bestämmelser och därmed kunna föranleda sanktionsavgift.
Som vi anfört ovan anser vi att tillsynsmyndigheten bör tillämpa samma förfarande vid tillsyn mot domstolarna som mot andra myndigheter, på det område där tillsynsmyndigheten är behörig att utöva tillsyn. Det finns enligt vår mening emellertid inte anledning att utöka tillsynsmyndighetens möjligheter att besluta om sanktionsavgifter för domstolarna. En sådan reglering skulle dessutom enligt vår mening vidare ha en begränsad praktisk betydelse. Anledningen till detta är att tillsynsmyndigheten inte är behörig att utöva tillsyn över domstolarnas dömande verksamhet, vilken enligt vår bedömning omfattar övervägande delen av den personuppgiftsbehandling som sker inom domstolsdatalagens tillämpningsområde (se kapitel 8).
142
11 Tillgången till personuppgifter
Bedömning: Dataskyddsförordningen föranleder ingen ändring av domstolsdatalagens och domstolsdataförordningens bestämmelser om tillgången till personuppgifter för anställda m.fl.
Enligt 8 § första stycket domstolsdatalagen ska tillgången till personuppgifter begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Av andra stycket i samma bestämmelse framgår att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om tillgången till personuppgifter.
Av 2 § domstolsdataförordningen framgår att den person- uppgiftsansvarige ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för tillgång till personuppgifter.
Den personuppgiftsansvarige har, enligt artikel 24.1 och artikel 32 i dataskyddsförordningen, skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätt- hålls. Detta ska, enligt samma bestämmelser, ske bl.a. genom att den personuppgiftsansvarige vidtar lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldig- heter i denna del återfinns även i de allmänna principer för behandling av personuppgifter som framgår av artikel 5.1 f i dataskyddsförordningen.
Vi har gjort bedömningen att sökbegränsningar utgör en säkerhetsåtgärd i dataskyddsförordningens mening (se avsnitt 16.5.4). Detsamma gäller enligt vår uppfattning bestämmelser om behörighetsbegränsningar, tilldelningsstyrning
143
Tillgången till personuppgifter |
Ds 2017:41 |
och andra rutiner som säkerställer att personuppgiftsbehandlingen sker i enlighet med dataskyddsförordningen.
Åtgärder som säkerställer en lämplig säkerhetsnivå ska förvisso vidtas av de personuppgiftsansvariga även utan bestämmelser i registerförfattningar. Bestämmelser om vilka säkerhetsåtgärder som ska vidtas i en viss verksamhet utgör dock enligt vår mening sådana specifika krav på personuppgiftsbehandling som enligt artikel 6.2 i dataskyddsförordningen får fastställas genom nationella registerförfattningar (se kapitel 5).
Att det finns säkerhetsåtgärder för personuppgiftsbehandlingen är vidare en förutsättning för att känsliga personuppgifter ska få behandlas för ett viktigt allmänt intresse med stöd av undantaget i artikel 9.2 g i dataskyddsförordningen. Av avsnitt 16.5.1 framgår att detta undantag har stor betydelse för domstolarnas rättskipande och rättsvårdande verksamhet. Det faktum att en säkerhetsåtgärd kommer till uttryck i en registerförfattning säkerställer enligt vår mening skyddsåtgärden på ett sådant sätt som avses i artikel 9.2 g i förordningen. I avsnitt 20.2 gör vi vidare bedömningen att dataskyddsförordningen inte hindrar att nationella bestämmelser om personuppgiftsbehandling införs i en förordning eller i en myndighetsföreskrift, så länge föreskrifterna tillkommit i laga ordning.
Mot den bakgrunden bedömer vi att bestämmelserna i 8 § domstolsdatalagen och 2 § domstolsdataförordningen är förenliga med dataskyddsförordningen och bör kvarstå i sin nuvarande lydelse.
Vi vill i detta sammanhang betona att förekomsten av behörighetsbegränsningar m.m. i en registerförfattning inte innebär att man kan bortse från de övriga krav på lämpliga säkerhets- åtgärder som dataskyddsförordningen föreskriver. Som ett exempel kan nämnas att det i förordningen ställs krav på att dataskydd byggs in i databehandlingssystem i den utsträckning det är lämpligt med hänsyn till bl.a. kostnader, behandlingens art och omfattning och de risker som behandlingen innebär (artikel 25). Som ett exempel på ett sådant inbyggt dataskydd kan nämnas loggning.
144
12 Personuppgiftsansvar
Bedömning: Dataskyddsförordningen föranleder ingen ändring av domstolsdatalagens bestämmelse om personuppgiftsansvaret.
I artikel 4.7 i dataskyddsförordningen definieras personuppgifts- ansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Enligt samma artikel finns också en möjlighet att i nationell lagstiftning föreskriva vem som är personuppgiftsansvarig för en viss personuppgiftsbehandling. En förutsättning för detta är att ändamålen och medlen för behandlingen bestäms av unions- rätten eller medlemsstaternas nationella rätt. Även i skäl 45 till dataskyddsförordningen framhålls att vem som är personuppgifts- ansvarig kan fastställas i den nationella rätten.
Definitionen av personuppgiftsansvaret i dataskydds- förordningen innebär ingen förändring gentemot tidigare regelverk. Artikel 4.7 i dataskyddsförordningen motsvaras av artikel 2 d i 1995 års dataskyddsdirektiv.
För domstolarnas del har den svenska lagstiftaren dock utnyttjat möjligheten att i nationell registerlagstiftning utpeka vem som är personuppgiftsansvarig. Enligt 9 § domstolsdatalagen är en allmän domstol, en allmän förvaltningsdomstol eller en hyres- och arrendenämnd personuppgiftsansvarig för den behandling av personuppgifter som den domstolen eller nämnden utför.
Vid remitteringen av förslaget till domstolsdatalag framfördes synpunkter på att domstolarnas faktiska möjlighet att påverka om och hur en enskild personuppgiftsbehandling ska företas kan vara begränsade eftersom det är Domstolsverket som utformar datorsystemen. I förarbetena till domstolsdatalagen (prop.
145
Personuppgiftsansvar |
Ds 2017:41 |
2014/15:148 s.
Frågan om vilken eller vilka myndigheter som ska ha person- uppgiftsansvaret för domstolarnas personuppgiftsbehandling inom den rättskipande och rättsvårdande verksamheten har således behandlats genom överväganden i tidigare förarbeten. Data- skyddsförordningen föranleder inte någon ändring av den rådande ordningen, eftersom möjligheten att i bl.a. registerförfattning utpeka vem som är personuppgiftsansvarig kvarstår. Vi föreslår därför inte någon ändring av domstolsdatalagen i denna del.
146
13 Dataskyddsombud
Termen dataskyddsombud definieras inte i dataskydds- förordningen. I artikel
13.1Dataskyddsförordningen
13.1.1Möjlighet att föreskriva att dataskyddsombud ska utses
Det personuppgiftsombud som enligt domstolsdatalagen för närvarande ska utses har personuppgiftsbehandlingen inom hela den rättskipande och rättsvårdande verksamheten som sitt ansvars- område. Enligt artikel 37.1 a i dataskyddsförordningen är huvud- regeln att ett dataskyddsombud ska utses när personuppgifts- behandling genomförs av en myndighet. Endast den person- uppgiftsbehandling som sker som en del av domstolarnas dömande verksamhet är undantagen från denna skyldighet.
Av artikel 37.4 i dataskyddsförordningen framgår emellertid att även i andra fall än de som regleras i punkten 1 får den person- uppgiftsansvarige utnämna ett dataskyddsombud. Enligt samma bestämmelse ska ett dataskyddsombud utses om det krävs enligt unionsrätten eller medlemsstaternas nationella rätt. Vi gör bedömningen att detta innebär en möjlighet att i nationell lagstiftning föreskriva att dataskyddsombud ska utses även om det inte är obligatoriskt enligt dataskyddsförordningen.
147
Dataskyddsombud |
Ds 2017:41 |
13.1.2Dataskyddsombudets ställning, uppgifter m.m.
Dataskyddsombudet beskrivs i skäl 97 till dataskyddförordningen som ”en person med sakkunskap i fråga om dataskyddslagstiftning och
I artikel 38 redogörs bl.a. för dataskyddsombudets självständiga ställning gentemot den personuppgiftsansvarige. Som exempel kan nämnas följande. Den personuppgiftsansvarige ska se till att dataskyddsombudet har tillgång till de uppgifter och resurser som krävs för att fullgöra uppdraget och upprätthålla sin sakkunskap (38.2). Vidare ska den personuppgiftsansvarige säkerställa att ombudet inte tar emot instruktioner om hur han eller hon ska utföra sina uppgifter. Ombudet får inte heller avsättas eller bli föremål för sanktioner för att ha utfört sina uppgifter (38.3). Dataskyddsombudet får fullgöra andra uppgifter och uppdrag, men den personuppgiftsansvarige ska se till att dessa inte leder till en intressekonflikt (38.6).
Av artikel 38.5 i dataskyddsförordningen framgår att data- skyddsombudet vid genomförande av sina uppgifter ska vara bundet av sekretess eller konfidentialitet i enlighet med unions- rätten eller medlemsstaternas nationella rätt. Mot den bakgrunden har Dataskyddsutredningen i sitt betänkande (SOU 2017:39)
148
Ds 2017:41 |
Dataskyddsombud |
föreslagit att det i 1 kap. 6 § första stycket dataskyddslagen ska regleras att den som utsetts till dataskyddsombud enligt artikel 37 i dataskyddsförordningen inte obehörigen får röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och ekonomiska förhållanden. Enligt andra stycket i samma bestämmelse ska det enligt utredningens förslag framgå att offentlighets- och sekretesslagen tillämpas i det allmännas verksamhet i stället för första stycket.
Enligt 2 kap. 1 § OSL första stycket är det förbjudet för myndigheter att röja eller utnyttja en uppgift som det råder sekretess för. Detsamma gäller enligt andra stycket för personer som fått kännedom om uppgiften genom att han eller hon för det allmännas räkning deltagit i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund. Dataskyddsutredningen har gjort bedömningen att en myndighets dataskyddsombud i allmänhet får anses delta i verksamheten på ett sådant sätt som avses i 2 kap. 1 § OSL andra stycket och att han eller hon därmed omfattas av den sekretess som gäller för den aktuella myndigheten.1
Artikel 39.1 i dataskyddsförordningen reglerar dataskydds- ombudets uppgifter. Dessa ska enligt bestämmelsen åtminstone vara följande.
a)Informera och ge råd till den personuppgiftsansvarige, person- uppgiftsbiträdet och de anställda om deras skyldigheter enligt dataskyddsförordningen och andra dataskyddsbestämmelser.
b)Övervaka efterlevnaden av dataskyddsförordningen och andra dataskyddsbestämmelser samt efterlevnaden av den person- uppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter. Detta inbegriper ansvarstilldelning, information till och utbildning av personal.
c)På begäran ge råd vad gäller sådana konsekvensbedömningar avseende dataskydd som enligt artikel 35 ska göras om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Dataskyddsombudet ska också övervaka genomförandet av en sådan konsekvensbedömning.
d)Samarbete med tillsynsmyndigheten.
1 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 262).
149
Dataskyddsombud |
Ds 2017:41 |
e)Vara kontaktpunkt för tillsynsmyndigheten i frågor som rör personuppgiftsbehandling. I detta ingår det förhandssamråd som enligt artikel 36 ska genomföras med tillsynsmyndigheten om en konsekvensbedömning enligt artikel 35 visar att behandlingen utan vidtagna åtgärder leder till en hög risk. Vid behov ska samråd även ske i alla andra frågor.
f)Vidare får den registrerade, enligt artikel 38.4 i dataskydds- förordningen, kontakta dataskyddsombudet när det gäller alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt förordningen.
13.21995 års dataskyddsdirektiv och personuppgiftslagen
I artikel 18.2 i 1995 års dataskyddsdirektiv finns bestämmelserna om det nuvarande personuppgiftsombudets (i direktivet benämnt uppgiftsskyddsombudets) arbetsuppgifter. För det fall ett person- uppgiftsombud utses får medlemsstaterna föreskriva att automatiserade behandlingar inte behöver anmälas till tillsyns- myndigheten. Enligt bestämmelsen ska ett personuppgiftsombud på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av direktivet. Ombudet ska också föra ett register över de behandlingar som utförs av den registeransvarige. Syftet är att säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av personuppgiftsbehandling. Enligt artikel 20.2 i 1995 års dataskyddsdirektiv kan personuppgiftsombudet även göra en anmälan till tillsynsmyndigheten om förhandskontroll av personuppgiftsbehandlingar som kan innebära särskilda risker.
1995 års dataskyddsdirektivs bestämmelser om personuppgifts- ombud har genomförts i svensk rätt genom
150
Ds 2017:41 |
Dataskyddsombud |
bestämmelser som gäller för behandlingen av personuppgifter och inte vidtar rättelse efter påpekande. Även i övrigt ska person- uppgiftsombudet samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av person- uppgifter ska tillämpas.
Personuppgiftsombudet ska enligt personuppgiftslagens bestämmelser vidare föra en förteckning över vissa av de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet till tillsyns- myndigheten om ombudet inte hade funnits. Slutligen ska personuppgiftsombudet hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.
13.3Domstolsdatalagen
Enligt 10 § domstolsdatalagen ska den personuppgiftsansvarige utse ett eller flera personuppgiftsombud. Av bestämmelsens andra stycke framgår att den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas. Vidare hänvisas, genom 5 § första stycket 9 domstols- datalagen, till de bestämmelser i personuppgiftslagen (38 och 40 §§) där bl.a. personuppgiftombudets arbetsuppgifter regleras.
Det har, enligt 1995 års dataskyddsdirektiv och personuppgifts- lagen, inte varit obligatoriskt för den som behandlar person- uppgifter att utse ett personuppgiftsombud. En av anledningarna för en personuppgiftsansvarig att utse ett personuppgiftsombud är enligt nuvarande regelverk att den personuppgiftsansvarige då inte behöver anmäla automatiserad behandling av personuppgifter till tillsynsmyndigheten (se 36 och 37 §§ PuL). En förutsättning för att undantaget ska gälla är dock att personuppgiftsombudet för en förteckning över de personuppgiftsbehandlingar som den personuppgiftsansvarige utför. Domstolarna har emellertid, enligt 3 § 3 personuppgiftsförordningen (1998:1191), inte omfattats av skyldigheten att anmäla personuppgiftsbehandlingar till tillsyns- myndigheten. Det har därmed inte av den anledningen funnits anledning att utse personuppgiftsombud för domstolarnas rättskipande och rättsvårdande verksamhet.
151
Dataskyddsombud |
Ds 2017:41 |
I förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 84) konstaterade regeringen att domstolarnas personuppgifts- behandling i den rättskipande och rättsvårdande verksamheten indirekt begränsas av de processuella regelverken och att domstolarna därmed har ett mindre utrymme än exempelvis Polis- myndigheten att styra över vilka personuppgifter som ska samlas in och behandlas på andra sätt inom verksamheten. Mot den bakgrunden gjorde regeringen bedömningen att risken för att det i domstolarnas verksamhet utförs obefogade integritetskänsliga behandlingar avseende personuppgifter är mindre än inom Polismyndigheten.
Regeringen ansåg trots detta att det bör vara obligatoriskt för domstolarna att utse personuppgiftsombud, eftersom det åstadkommer ett förstärkt integritetsskydd (prop. 2014/15:148 s. 91). De fördelar med att utse personuppgiftsombud som nämns i förarbetena är följande. Personuppgiftsombudet torde ofta få särskilda kunskaper om personuppgiftsfrågor och kan då ge god service åt enskilda som behöver hjälp för att kunna ta tillvara sin rätt. Enskilda får vidare genom personuppgiftsombudet en tydlig kontaktpunkt vid varje domstol i frågor som rör bl.a. information om behandlingen och rättelse av felaktiga uppgifter. Person- uppgiftsombudet kan också bidra till kunskapsspridningen inom sin domstol och vara ett stöd för andra medarbetare. Eftersom det inte funnits någon anledning att utforma personuppgiftsombudets arbetsuppgifter och skyldigheter annorlunda än vad som gäller enligt personuppgiftslagen har en hänvisning till personuppgifts- lagens bestämmelser i denna del gjorts.
Av 11 § första stycket domstolsdatalagen framgår att den som är personuppgiftsombud ska föra en förteckning över de behandlingar som utförs med stöd av lagen. Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla. Domstolsverket har fått sådan föreskriftsrätt genom 14 § andra stycket 1 domstolsdataförordningen.
Som nämnts ovan är domstolarna undantagna från skyldigheten att anmäla automatiserad personuppgiftsbehandling till tillsyns- myndigheten (jfr. 36 § första stycket PuL och 3 § 3 personuppgiftsförordningen). Av förarbetena till domstols-
152
Ds 2017:41 |
Dataskyddsombud |
datalagen (prop. 2014/15:148 s. 85 f.) framgår att anledningen till att regeringen ansett att det bör vara obligatoriskt för personuppgiftsombudet att föra en förteckning över domstolens personuppgiftsbehandling är att domstolarna bör föreläggas samma skyldighet att sammanställa och göra tillgänglig den information som en anmälan till tillsynsmyndigheten skulle ha innehållit. För- delen med detta anges vara att såväl den registrerade som andra kan få tillgång till en uppdaterad beskrivning med mer preciserad information om vilka personuppgiftsbehandlingar som sker vid en domstol än vad som kan utläsas ur domstolsdatalagen. Detta uppges vara särskilt värdefullt med tanke på att domstolsdatalagen inte innehåller några uppräkningar av vilka personuppgifts- behandlingar som ska vara tillåtna. Anledning till att skyldigheten att föra förteckningen ålagts personuppgiftsombudet och inte den personuppgiftsansvarige är enligt förarbetena för att skapa likhet med vad som gäller enligt 2 kap. 2 § polisdatalagen (2010:361). I 2 kap. 2 § polisdatalagen görs en hänvisning till de bestämmelser i personuppgiftslagen som bl.a. gäller personuppgiftsombudets skyldighet att föra en sådan förteckning.
13.4Domstolarnas uppfattning
Med anledning av den möjlighet som dataskyddsförordningen ger att trots undantaget för domstolarnas dömande verksamhet utse dataskyddsombud för denna verksamhet (se avsnitt 13.1.1) har vi, via Domstolsverket, efterfrågat domstolarnas uppfattning. Förfrågan skickades ut till samtliga allmänna domstolar, allmänna förvaltningsdomstolar och hyres- och arrendenämnder. Av de 53 domstolar och nämnder som svarade ansåg 19 att dataskydds- ombudets ansvarsområde borde omfatta även den dömande verksamheten, medan 25 hade motsatt uppfattning. Resterande 9 hade ingen uppfattning i frågan eller ansåg att det krävdes ytterligare utredning för att besvara den.
De argument som framfördes för att dataskyddsombud ska utses även för den dömande verksamheten var bl.a. att det är svårt att se en tydlig gräns mellan den dömande verksamheten och övriga verksamheter och att man på detta sätt undviker gränsdragnings- problem. Vidare framfördes att det finns behov av intern
153
Dataskyddsombud |
Ds 2017:41 |
övervakning av personuppgiftsbehandlingen även i den dömande verksamheten och att det är bra om någon upprätthåller kunskap om regelverket. Det framfördes också att det utifrån ett medborgar- och rättsäkerhetsperspektiv är svårt att motivera att det inte ska finnas ett dataskyddsombud för den dömande verksamheten även i framtiden och att det inte finns några bärande skäl för att domstolarna som enda myndighet ska sakna ett dataskyddsombud för sin kärnverksamhet.
De argument som framfördes mot att dataskyddsombud ska utses även för den dömande verksamheten var bl.a. följande. Den dömande verksamhetens speciella karaktär gör det svårt att utöva någon form av tillsyn och det är rimligare att en korrekt behandling av personuppgifter i den dömande verksamheten säkerställs av domarna. Detta skulle upprätthålla självständighet och oberoende. Vidare framfördes att risken för överträdelser är begränsad med hänsyn till att hanteringen av personuppgifter styrs av de processuella regelverken och till att JO och JK utövar tillsyn över domstolarna. Det ansågs vidare att personuppgiftsombudets arbetsuppgifter redan tar mycket tid i anspråk och att det finns en risk för att arbetsuppgiften blir för omfattande. Små domstolar uppgavs också redan i dag ha svårigheter att hitta rätt kompetens för uppdraget.
13.5Bedömning
Förslag: Den personuppgiftsansvariga domstolen ska utse ett eller flera dataskyddsombud för personuppgiftsbehandling inom domstolsdatalagens tillämpningsområde.
Domstolsdatalagens bestämmelse om att den person- uppgiftsansvarige ska anmäla till tillsynsmyndigheten när ett ombud utses eller entledigas ska upphävas.
Domstolsdatalagens bestämmelser om att ombudet ska föra en förteckning över de behandlingar som utförs med stöd av lagen samt regeringens eller myndighets föreskriftsrätt angående innehållet i sådan förteckning ska upphävas.
154
Ds 2017:41 |
Dataskyddsombud |
13.5.1Behovet av en analys
Enligt domstolsdatalagens nuvarande lydelse ska den person- uppgiftsansvarige utse ett eller flera personuppgiftsombud. Som nämnts ovan (avsnitt 13.1.1) gör vi bedömningen att artikel 37.4 i dataskyddsförordningen ger möjlighet att i nationell lagstiftning föreskriva att en personuppgiftsansvarig ska utse dataskyddsombud även då det inte är obligatoriskt enligt dataskyddsförordningen. Mot den bakgrunden anser vi att det finns möjlighet att även när dataskyddsförordningen börjar tillämpas behålla den ordning med personuppgiftsombud (dataskyddsombud) som gäller enligt domstolsdatalagen i dag. Vi anser därför att en analys bör göras av för- och nackdelarna med att föreskriva att ett ombud ska utses även för den dömande verksamheten.
13.5.2Dataskyddsombudet – ”internrevisor” med något utökat uppdrag
Dataskyddsförordningens reglering är mer utförlig än 1995 års dataskyddsdirektivs och personuppgiftslagens reglering vad gäller ombudets kvalifikationer och arbetsuppgifter. Även förhållandet till den personuppgiftsansvarige och dennes skyldigheter gentemot ombudet beskrivs mer detaljerat i förordningen. Frågan är emellertid om detta innebär någon skillnad i sak vad gäller de uppgifter ett dataskyddsombud förväntas utföra.
Enligt personuppgiftslagen ska personuppgiftsombudet se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed. Han eller hon ska också påpeka eventuella brister i behandlingen för den personuppgiftsansvarige. Personuppgiftslagens beskrivning av ombudets arbetsuppgifter är således inte speciellt konkret, vilket naturligtvis öppnar för tolkningar av vad ombudet egentligen ska göra och hur detta ska gå till. Vi kan dock inte se annat än att det i uppgiften att ”se till att personuppgifter behandlas lagligt och korrekt” samt ”påpeka eventuella brister för den personuppgifts- ansvarige” bör ingå många av de uppgifter som ett dataskydds- ombud uttryckligen åläggs enligt dataskyddsförordningen (se avsnitt 13.1.2). Som exempel kan nämnas att informera och ge råd till både den personuppgiftsansvarige och de anställda gällande
155
Dataskyddsombud |
Ds 2017:41 |
dataskyddsbestämmelser, att övervaka hur dessa bestämmelser följs och att medverka i arbetet kring konsekvensbedömningar avseende dataskydd.
Vidare bör en person som ska övervaka personuppgifts- behandlingen på det sätt som beskrivs i personuppgiftslagen enligt vår mening ha de kvalifikationer (t.ex. sakkunskap inom rätts- området) som beskrivs i dataskyddsförordningen för att klara av att genomföra uppdraget på ett tillfredsställande sätt.
I personuppgiftslagen föreskrivs att ombudet ska samråda med tillsynsmyndigheten vid tveksamheter. I dataskyddsförordningen föreskrivs i stället att ombudet ska samråda och samarbeta med tillsynsmyndigheten och vara dess kontaktpunkt. Detta innebär eventuellt att ombudets arbetsuppgifter utökas något genom dataskyddsförordningen. Enligt vår uppfattning lär det utökade ansvaret i sådant fall i huvudsak aktualiseras om Datainspektionen söker kontakt med antingen ombudet eller den person- uppgiftsansvarige.
Av personuppgiftslagen framgår att personuppgiftsombudet självständigt ska utföra sina uppgifter. Dataskyddsförordningen är mycket mer detaljerad i denna del, främst vad gäller den person- uppgiftsansvariges skyldigheter gentemot ombudet. Den personuppgiftsansvarige ska t.ex. se till att ombudet får tillräckliga resurser och inte tar emot instruktioner samt se till att det inte uppstår intressekonflikter med andra uppdrag. Som vi ser det förtydligar dataskyddsförordningens bestämmelser i denna del att det är den personuppgiftsansvarige som ska se till att ombudets självständighet upprätthålls. Vidare specificeras vad som utmärker ett självständigt ombud. Många av de krav som ställs på den personuppgiftsansvarige i denna del ter sig enligt vår mening dock som relativt självklara åtgärder för att upprätthålla ombudets självständighet.
Vissa av de uppgifter som personuppgiftsombudet haft enligt personuppgiftslagen försvinner när dataskyddsförordningen börjar tillämpas. Dataskyddsombudet kommer inte att ha skyldighet att göra en anmälan till tillsynsmyndigheten vid misstanke om att den personuppgiftsansvarige bryter mot dataskyddsbestämmelserna. Inte heller kommer ombudet längre att vara skyldigt att föra en förteckning över vissa av den personuppgiftsansvariges behandlingar. Denna skyldighet kommer i stället att, enligt
156
Ds 2017:41 |
Dataskyddsombud |
artikel 30 i dataskyddsförordningen, ligga på den personuppgifts- ansvarige.
Slutligen beskrivs dataskyddsombudets skyldighet gentemot de registrerade på ett något annorlunda sätt i dataskyddsförordningen. Enligt personuppgiftslagen ska ombudet hjälpa de registrerade att få rättelse. Enligt dataskyddsförordningen (artikel 38.4) ”får den registrerade kontakta dataskyddsombudet” när det gäller frågor kring behandling av dennes personuppgifter eller rörande dennes rättigheter. Ordvalet gör att det kan diskuteras om dataskydds- ombudets skyldigheter att vara de registrerade behjälpliga är lika långtgående som tidigare.
Mot denna bakgrund gör vi bedömningen att dataskydds- ombudets uppgifter enligt dataskyddsförordningen främst innebär ett uppdrag som ”internrevisor” för den personuppgiftsansvariges behandlingar. Beroende på hur uppdraget har utförts tidigare kan det te sig något utökat jämfört med vad som i dag gäller för personuppgiftsombud. Enligt vår bedömning bör det emellertid inte röra sig om några omfattande förändringar i ombudets uppgifter. Det som främst kommer att orsaka merarbete jämfört med i dag är troligtvis i stället det faktum att det införs helt ny och relativt komplicerad lagstiftning på området. Detta, tillsammans med det nya regelverkets komplexitet, talar enligt vår mening dock snarare för att ombudets ”tillsynsområde” ska omfatta domstolarnas hela kärnverksamhet, eftersom intern sakkunskap inom rättsområdet hjälper till att upprätthålla skyddet för de registrerades integritet.
13.5.3Dataskyddsombud även för den dömande verksamheten
Det bör i detta sammanhang återigen uppmärksammas att dataskyddsförordningen inte ger något klart besked om vad som innefattas i domstolarnas dömande verksamhet. Vår bedömning av begreppet är att den dömande verksamheten sannolikt innefattar all den personuppgiftsbehandling som utförs i det enskilda målet eller ärendet från att detta anhängiggörs vid domstolen tills ett slutligt avgörande har meddelats (se avsnitt 8.4).
Eftersom begreppet saknar en klar definition är det för närvarande oklart vilka personuppgiftsbehandlingar som omfattas
157
Dataskyddsombud |
Ds 2017:41 |
av domstolarnas dömande verksamhet och därmed träffas av undantaget att utse dataskyddsombud. Detta innebär enligt vår mening att det finns en risk med att i domstolsdatalagen föreskriva att domstolarna inte behöver utnämna dataskyddsombud för denna verksamhet.
Skulle skyldigheten att utse dataskyddsombud även för den dömande verksamheten kvarstå försvinner gränsdragnings- problemet vad gäller inom vilken verksamhet ombudet ska verka. Dock uppstår ett annat gränsdragningsproblem som dataskydds- ombudet kan komma att behöva ta ställning till. Ombudet ska, enligt artikel 39.1 d och e i dataskyddsförordningen, samarbeta och samråda med tillsynsmyndigheten och fungera som dess kontakt- punkt. Eftersom tillsynsmyndigheten inte har behörighet att utöva tillsyn över den dömande verksamheten (artikel 55.3) kan ombudet enligt vår mening inte heller förväntas samråda m.m. med tillsynsmyndigheten i frågor som gäller denna verksamhet. Att denna gränsdragning läggs på dataskyddsombudet är enligt vår mening inte helt tillfredsställande. Detta är dock ett resultat av den oklarhet som finns i det aktuella regelverket. Med denna oklarhet följer att det är svårt att komma ifrån att det någonstans uppstår ett gränsdragningsproblem.
Vår bedömning av begreppet dömande verksamhet innebär att större delen av domstolarnas kärnverksamhet kommer att vara undantagen från Datainspektionens tillsyn. Mot just den bak- grunden anser vi att det ur ett integritetsperspektiv finns ett än större behov av att domstolarna biträds av en person som har kunskap kring dataskyddsbestämmelserna.
Vi kan vidare konstatera att bland de domstolar som svarat på den förfrågan som Domstolsverket gjort för vår räkning, är fördelningen relativt jämn mellan de som önskar att dataskydds- ombudets ansvarsområde även i framtiden ska omfatta den dömande verksamheten och de som önskar att undantag införs för denna verksamhet. Det som kommit fram i svaren från domstolarna ger inte heller någon entydig bild av hur betungande den nuvarande uppgiften som personuppgiftsombud är på en domstol. Någon domstol har uppgett att arbetsuppgiften tar mycket tid i anspråk, medan en annan har uppgett att åtminstone kontakten med allmänheten för närvarande är mycket sparsam i detta avseende.
158
Ds 2017:41 |
Dataskyddsombud |
Det tyngsta skälet mot dataskyddsombud i den dömande verksamheten är enligt vår mening frågan om domarnas själv- ständighet. Samtliga domare använder emellertid samma verksamhetssystem, med de möjligheter och begränsningar som det innebär. Vi anser inte att domarnas självständighet begränsas av att domstolarna utarbetar riktlinjer för hur personuppgifter bör hanteras i detta verksamhetssystem, och då även i den dömande verksamheten. Även om Domstolsverket har en väsentlig roll i detta arbete kan enligt vår mening ett dataskyddsombud vara den enskilda domstolen behjälplig för att förverkliga de riktlinjer som utarbetats. Ombudet kan också vara ett stöd lokalt för medarbetarna – även domarna – när det gäller personuppgifts- behandling. Det är naturligtvis en känslig arbetsuppgift att som dataskyddsombud ”utöva tillsyn” över domarnas – eventuellt domarkollegors – hantering av personuppgifter. Som dataskydds- ombudets uppgifter beskrivs i dataskyddsförordningen bedömer vi dock att ombudets roll gentemot den personuppgiftsansvarige och dess medarbetare inte är annat än rådgivande. Det anges förvisso att ombudet ska övervaka hur dataskyddsbestämmelserna och den interna strategin för personuppgiftsbehandling följs. Någon sanktionsmöjlighet har dataskyddsombudet emellertid inte. Det kommer inte heller att finnas någon anmälningsskyldighet till tillsynsmyndigheten vid misstänka överträdelser. Tillsyns- myndigheten kommer för övrigt inte heller att vara behörig att utöva tillsyn över den dömande verksamheten, vilket enligt vår uppfattning undantar domarnas alla grundläggande arbetsuppgifter. Det slutliga ansvaret för att personuppgifter behandlas i enlighet med dataskyddsförordningen åligger således, även med ett dataskyddsombud för den dömande verksamheten, den personuppgiftsansvariga domstolen eller den ansvarige domaren.
Även om risken för överträdelser i domstolarnas person- uppgiftsbehandling är liten, anser vi vidare att dataskyddsombudet kan sätta fokus på personuppgiftsfrågor inom den egna domstolen. Sakkunskap om regelverket kring personuppgiftsbehandling kan naturligtvis upprätthållas även utan ett dataskyddsombud. Fördelen med att göra det obligatoriskt att utse dataskyddsombud för samtliga verksamheter är dock att det skapas en lagstadgad skyldighet för domstolarna att se till att det finns kunskap om detta relativt svårtillgängliga rättsområde på den enskilda
159
Dataskyddsombud |
Ds 2017:41 |
domstolen. Risken för överträdelser bör med detta bli än mindre, vilket förstärker skyddet för de enskildas integritet.
En stor del av de personuppgifter som domstolarna behandlar är också av känslig karaktär. För det fall dataskyddsombudets ansvar omfattar även den dömande verksamheten sänder detta signaler till allmänheten om att domstolarna har en medvetenhet kring dessa personuppgifters skyddsvärde.
Sammantaget anser vi att skälen för att låta dataskyddsombudets arbetsuppgifter omfatta även den dömande verksamheten över- väger de som talar mot. Genom att låta ombudet vara behjälpligt även i denna verksamhet undviks större delen av det problem som uppstår på grund av att det inte är klart vilken del av den rättskipande och rättsvårdande verksamheten som utgör dömande verksamhet. Samtidigt bibehålls en naturlig kunskapskälla gällande detta komplexa regelverk lokalt på domstolarna, vilket leder till att skyddet för de enskildas integritet stärks. Mot den bakgrunden föreslår vi att domstolsdatalagens bestämmelse i nuvarande 10 § första stycket, som reglerar att den personuppgiftsansvariga domstolen ska utse ett eller flera personuppgiftsombud, ska finnas kvar. Dock bör ordet personuppgiftsombud ersättas med ordet dataskyddsombud för att anpassa domstolsdatalagen till data- skyddsförordningens begreppsbildning.
För att tydliggöra att det dataskyddsombud som ska utses enligt domstolsdatalagen har samma uppdrag som enligt dataskydds- förordningen skulle man kunna tänka sig att förena domstolsdata- lagens bestämmelse om dataskyddsombud med en hänvisning till förordningen. Enligt vårt förslag ska det emellertid framgå av domstolsdatalagen att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Det framgår enligt vår mening därmed tillräckligt klart att domstolarnas dataskydds- ombud omfattas av artikel
Eftersom dataskyddsombudets uppdrag ska ha samma innehåll som enligt dataskyddsförordningen omfattas även möjligheten i artikel 37.3 att utnämna ett gemensamt dataskyddsombud för flera myndigheter. Detta skulle kunna vara en lösning för de mindre domstolar som anser att uppdraget blir betungande för den som
160
Ds 2017:41 |
Dataskyddsombud |
utses eller som har svårigheter att finna den rätta kompetensen för uppdraget. Ett sådant beslut måste dock enligt vår mening föregås av en lämplighetsbedömning utifrån organisationsstruktur och domstolarnas storlek. Att göra en sådan bedömning ligger inte inom vårt uppdrag. Vi vill dock påminna om att för det fall dataskyddsombudet inte är anställt inom den egna myndigheten måste ett tjänsteavtal tecknas med ombudet (se artikel 37.6 i dataskyddsförordningen).
13.5.4Tystnadsplikt för dataskyddsombudet
I dataskyddsförordningen förutsätts enligt vår mening att dataskyddsombudet är en fysisk person (jfr artikel 37.6 och skäl 97). Om uppdraget även fortsättningsvis utförs av en anställd vid den personuppgiftsansvariga domstolen kommer ombudet att omfattas av den tystnadsplikt som gäller för domstolens anställda enligt offentlighets- och sekretesslagen.
Det finns emellertid inte något som hindrar att en domstol anlitar en utomstående för uppdraget. Vi delar Dataskydds- utredningens bedömning att ett sådant dataskyddsombud får anses delta i domstolens verksamhet på sådant sätt som avses i 2 kap. 1 § OSL och att ombudet därmed omfattas av den sekretess som gäller för personal vid domstolen.2 En förutsättning för detta torde dock vara att dataskyddsombudet är en särskilt förordnad och utpekad person, som med stöd av ett tjänsteavtal utför uppdraget. Vi anser att man bör kunna förutsätta att en domstol som anlitar en utomstående som dataskyddsombud uppfyller dessa krav. Mot den bakgrunden anser vi att det inte finns någon anledning att i domstolsdatalagen införa en hänvisning till regleringen om tystnadsplikt för dataskyddsombud i den föreslagna 1 kap. 6 § dataskyddslagen.
13.5.5Anmälan till tillsynsmyndigheten
Det faktum att samtliga dataskyddsförordningens bestämmelser om dataskyddsombud är tillämpliga för det ombud som utses enligt
2 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 262).
161
Dataskyddsombud |
Ds 2017:41 |
domstolsdatalagen, innebär att vissa bestämmelser i domstols- datalagen bör upphävas.
Enligt nuvarande 10 § andra stycket domstolsdatalagen ska den personuppgiftsansvarige anmäla till tillsynsmyndigheten när ett personuppgiftsombud utses eller entledigas. Den personuppgifts- ansvariges anmälningsskyldighet framgår dock redan av artikel 37.7 i dataskyddsförordningen. Bestämmelsen i domstolsdatalagen bör därför upphävas.
Som vi konstaterat i avsnitt 10.1 måste vidare hänvisningen i 5 § 9 domstolsdatalagen till 38 och 40 §§ PuL om personuppgifts- ombud utgå. Bestämmelser om dataskyddsombudets uppgifter finns i artikel 38.4 och artikel 39 i dataskyddsförordningen. Som vi tidigare konstaterat anser vi att det inte bör införas några hänvisningar till enskilda bestämmelser i dataskyddsförordningen i domstolsdatalagen(avsnitt 10.2).
13.5.6Skyldighet att föra förteckning
Enligt 11 § första stycket domstolsdatalagen ska den som är personuppgiftsombud föra en förteckning över de behandlingar som utförs med stöd av lagen. Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla.
Enligt personuppgiftslagen är den personuppgiftsansvarige i första hand skyldig att anmäla till tillsynsmyndigheten vilka behandlingar som kommer att utföras. Undantag görs dock om det finns ett personuppgiftsombud som för en förteckning över behandlingarna. Dataskyddsförordningens bestämmelser ser något annorlunda ut. Det finns inte längre någon anmälningsskyldighet för personuppgiftsbehandlingar. De uppgifter som åläggs dataskyddsombudet enligt förordningen innefattar inte heller förandet av någon förteckning. I stället har den personuppgifts- ansvarige (och i tillämpliga fall personuppgiftsbiträdet), genom artikel 30 i förordningen ålagts en skyldighet att föra ett register över den personuppgiftsbehandling som utförts under dess ansvar. Vilka uppgifter som ska ingå i registret är relativt utförligt reglerat genom denna bestämmelse (30.1
162
Ds 2017:41 |
Dataskyddsombud |
göras tillgängligt för tillsynsmyndigheten (30.4). Mot bakgrund av att tillsynsmyndigheten inte är behörig att utöva tillsyn över den personuppgiftsbehandling som sker i domstolarnas dömande verksamhet (artikel 55.3) kan man enligt vår mening ifrågasätta om tillsynsmyndigheten har behörighet att begära ut domstolarnas register vad gäller den verksamheten.
Ansvaret för att föra en förteckning över personuppgifts- behandlingar har i dataskyddsförordningen således flyttats över från personuppgiftsombudet till den personuppgiftsansvarige. Att det är den personuppgiftsansvarige som bär ansvaret för att det förs en förteckning som uppfyller dataskyddsförordningens krav medför, enligt vår mening, att en bestämmelse som ålägger dataskyddsombudet en sådan skyldighet blir missvisande. Mot den bakgrunden anser vi att bestämmelsen i 11 § domstolsdatalagen bör upphävas i sin helhet. En följd av detta blir att även Domstolsverkets föreskriftsrätt på området i nuvarande 14 § andra stycket 1 domstolsdataförordningen måste upphävas.
163
14 Upplysningar till allmänheten
Förslag: Bestämmelsen om skyldighet för den personuppgifts- ansvariga domstolen att till var och en som begär det lämna upplysningar om de behandlingar som utförs med stöd av domstolsdatalagen ska upphävas. Detsamma gäller bestämmelsen om rätten att överklaga domstols beslut om att lämna sådana upplysningar.
Av 12 § domstolsdatalagen framgår att den personuppgifts- ansvarige skyndsamt och på lämpligt sätt ska lämna upplysningar om de behandlingar som utförs med stöd av denna lag till var och en som begär det. Upplysningarna ska omfatta de uppgifter som en förteckning enligt 11 § samma lag ska innehålla. Den person- uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.
Bestämmelsen i 12 § domstolsdatalagen infördes för att skapa en skyldighet för domstolarna motsvarande den som gäller enligt 42 § PuL. Syftet var att underlätta för allmänheten att få kunskap om vilka behandlingar som utförs av en domstol.1
Den personuppgiftsansvarige ska enligt artikel 30 i dataskydds- förordningen föra ett register över den personuppgiftsbehandling som utförts under dennes ansvar. Vi har mot den bakgrunden föreslagit att nuvarande 11 § domstolsdatalagen – som reglerar personuppgiftsombudets skyldighet att föra en förteckning över personuppgiftsbehandlingar – ska upphävas (se avsnitt 13.5.6).
Det finns ingen motsvarighet till 42 § PuL i dataskydds- förordningen. Eftersom information till allmänheten om de
1 Se förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 86).
165
Upplysningar till allmänheten |
Ds 2017:41 |
behandlingar som utförs bidrar till att skydda de registrerades integritet, anser vi i och för sig att dataskyddsförordningen inte hindrar att regleringen i nuvarande 12 § domstolsdatalagen kvarstår (jfr avsnitt 5.3).
Enligt vår bedömning måste dock ett register som en personuppgiftsansvarig domstol för i enlighet med artikel 30 i dataskyddsförordningen anses vara upprättat i enlighet med 2 kap. 7 § TF; antingen som en färdigställd administrativ handling enligt första stycket eller som ett register enligt andra stycket 1. Allmänheten kommer därmed ha rätt att få ut dess offentliga innehåll med stöd av tryckfrihetsförordningen. Ett beslut om att avslå en sådan begäran kan överklagas i enlighet med 6 kap.
Beroende på registrets omfattning kan en avgift komma att tas ut när det begärs ut med stöd av tryckfrihetsförordningen. Även med beaktande av detta anser vi att regleringen om upplysningar till allmänheten i 12 § domstolsdatalagen är överflödig och bör utgå. Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) inte föreslagit att någon motsvarande bestämmelse ska finnas i dataskyddslagen. Vi kan inte se någon anledning till att domstolarna i detta avseende skulle ha en längre gående skyldighet än övriga myndigheter. Som en följd av att rätten till upplysningar enligt 12 § utgår måste även rätten att, enligt 20 § domstolsdatalagen, överklaga en domstols beslut om sådana upplysningar utgå.
166
15 Den registrerades rättigheter
15.1Inledande kommentar
Domstolsdatalagen innehåller inga egna bestämmelser om de registrerades rättigheter. I stället hänvisas i 5 § första stycket 5, 6 och 11 domstolsdatalagen till 23,
Dataskyddsförordningens bestämmelser om de registrerades rättigheter finns i artiklarna
Inledningsvis kan vi konstatera att artikel 20, som gäller rätten till dataportabilitet, inte är tillämplig på personuppgiftsbehandling i domstolarnas rättskipande och rättsvårdande verksamhet, eftersom domstolarnas behandling i denna del inte grundar sig på samtycke eller avtal (se artikel 20.1 a). I artikel 22 i dataskyddsförordningen finns vidare bestämmelser om vad som gäller för automatiserade beslut. Inte heller denna bestämmelse är enligt vår mening relevant att kommentera i vår promemoria, eftersom några sådana beslut för närvarande inte förekommer i domstolarnas rättskipande och rättsvårdande verksamhet.
Vad gäller de registrerades resterande rättigheter enligt dataskyddsförordningen är vår avsikt inte att i detta kapitel göra en
1 Se kommittédirektiv till Dataskyddsutredningen (Dir 2016:15 s. 6).
167
Den registrerades rättigheter |
Ds 2017:41 |
heltäckande genomgång. Vårt syfte är i stället att lyfta fram de viktigaste förändringarna för domstolarna.
Det är enligt vår mening vidare av största vikt att domstolarnas handläggning av mål och ärenden inte avstannar. För att denna handläggning ska kunna fortgå måste personuppgifter kunna behandlas utan avbrott i den rättskipande och rättsvårdande verksamheten. Detta gäller inte enbart parternas personuppgifter, utan även de personuppgifter som rör ombud, vittnen, tolkar och andra aktörer. Det är också av stor vikt att de personuppgifter som ingår i processmaterialet kan arkiveras när målet eller ärendet är avgjort. Mot den bakgrunden har vi även för avsikt att i detta kapitel analysera dataskyddsförordningens möjligheter att begränsa de registrerades rättigheter och bedöma behovet av att införa sådana begränsningar.
15.2En generell möjlighet till undantag
De rättigheter som regleras i artiklarna
168
Ds 2017:41 |
Den registrerades rättigheter |
begränsning av de registrerades rättigheter också ske i syfte att säkerställa rättsväsendets oberoende eller rättsliga åtgärder.
De undantag som införs i nationell rätt med stöd av artikel 23.1 i dataskyddsförordningen ska vidare, enligt artikel 23.2, när det är relevant innehålla specifika bestämmelser om bl.a. ändamålen med behandlingen, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk, specificering av den personuppgiftsansvarige, lagringstid och tillämpliga skydds- åtgärder. Detta är bestämmelser som enligt vår bedömning ofta återfinns i svenska registerförfattningar. Som exempel nämns också bestämmelser om de registrerades rätt att bli informerade om begränsningen, såvida detta inte inverkar menligt på begränsningen.
15.3Information när personuppgifter samlas in från den registrerade
15.3.1Domstolsdatalagen
Domstolsdatalagen hänvisar, genom 5 § 5, till 23, 25 och 27 §§ PuL. Enligt 23 § PuL ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av personuppgifter när dessa samlas in från den registrerade själv. Informationen ska lämnas i samband med att uppgifterna samlas in.
I 25 § PuL regleras mer detaljerat vilken information som ska lämnas till den registrerade i en sådan situation. Informationen ska omfatta uppgift om den personuppgiftsansvariges identitet, om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Som exempel på sådan övrig information nämns mottagarna av uppgifterna, skyldigheten att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.
Den personuppgiftsansvariges informationsplikt begränsas dock av 27 § PuL. Här stadgas att bestämmelserna i 23 och 25 §§ PuL inte gäller om det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.
169
Den registrerades rättigheter |
Ds 2017:41 |
Beträffande uttrycket insamling av personuppgifter konstaterade regeringen i förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 39) att detta inte bara avser situationer där uppgifter lämnas till en domstol på begäran av domstolen, utan även andra tillväga- gångssätt genom vilka domstolen får del av personuppgifter. Som exempel nämns när en åklagare skickar in en stämningsansökan eller att en enskild lämnar in ett överklagande.
Regeringen har vidare gjort bedömningen att de registrerade som skickar in uppgifter till domstolarna (exempelvis parterna) i de flesta fall torde känna till vilka uppgifter som kommer att behandlas vid domstolarna eftersom detta framgår direkt av domstolsdatalagen, av den förteckning över personuppgifts- behandlingar som domstolarna är skyldiga att sammanställa och av de processuella regelverk som styr domstolarnas verksamhet. Regeringen menade att domstolarna därför i praktiken sällan torde behöva lämna särskild information till den registrerade även om 23 och 25 §§ PuL görs tillämpliga för domstolarna.2
15.3.2Dataskyddsförordningen och dataskyddslagen
Enligt artikel 13 i dataskyddsförordningen har en registrerad rätt att få relativt utförlig information från den personuppgiftsansvarige när personuppgifterna samlats in från den registrerade själv. Informationen ska bl.a. innefatta den personuppgiftsansvariges identitet och kontaktuppgifter, kontaktuppgifter till dataskydds- ombudet, uppgift om den period under vilken personuppgifterna kommer att lagras eller de kriterier som används för att fastställa denna period, information om rätten att ge in klagomål till tillsyns- myndigheten och om rätten att begära rättelse, radering eller begränsning av behandling av personuppgifterna. Informationen ska lämnas när den personuppgiftsansvarige får personuppgifterna. Den personuppgiftsansvarige behöver dock inte lämna sådan information som den registrerade redan förfogar över.
Enligt Dataskyddsutredningens bestänkande (SOU 2017:39) ska dataskyddslagen i 5 kap. 1 § innehålla en bestämmelse enligt vilken den registrerades rätt till information och tillgång till
2 Se förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 86 f.).
170
Ds 2017:41 |
Den registrerades rättigheter |
personuppgifter enligt artiklarna
15.3.3Bedömning
Förslag: Den registrerades rätt till information enligt artikel 13 i dataskyddsförordningen ska inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Regleringen ska genomföras genom en hänvisning till den föreslagna 5 kap. 1 § första stycket dataskyddslagen.
Artikel 13 i dataskyddsförordningen reglerar vilka uppgifter den personuppgiftsansvarige ska lämna till en registrerad när uppgifter samlats in från den registrerade själv. Exempel på situationer där domstolarna samlar in personuppgifter från den enskilde själv är när domstolen tar emot ansökningar, partsinlagor och svar på förelägganden. I de allmänna förvaltningsdomstolarna förekommer också att enskilda lämnar in överklaganden direkt till domstolen, t.ex. i laglighetsprövningsmål. Även om uppgifterna kommer från en ställföreträdare eller ett ombud som har i uppdrag att företräda den registrerade bör uppgifterna i dessa situationer bedömas ha samlats in från den registrerade själv.3
Artikel 13 i dataskyddsförordningen liknar till sin uppbyggnad 23 och 25 §§ PuL. En avgörande skillnad mellan dataskydds- förordningens och personuppgiftslagens reglering är att förordningen är mycket mer utförlig när det gäller vilken information som ska lämnas till den registrerade. Precis som enligt personuppgiftslagen görs dock undantag från den person-
3 Sören Öman och
171
Den registrerades rättigheter |
Ds 2017:41 |
uppgiftsansvariges informationsskyldighet om den registrerade redan förfogar över den information som ska lämnas.
Vi anser att den registrerade möjligtvis kan anses ha kännedom om vem som är personuppgiftsansvarig och om de ändamål som uppgifterna ska behandlas för, eftersom detta framgår av domstolsdatalagen. Ändamålet framgår enligt vår mening även till viss del av sammanhanget – om uppgifterna samlas in i ett enskilt mål eller ärende är det underförstått att uppgifterna används för handläggning av detsamma. Däremot anser vi inte att den registrerade kan anses känna till exempelvis vem som är domstolens dataskyddsombud eller kriterierna för att fastställa under vilken period uppgifterna kommer att lagras. Även om den registrerades rätt att begära rättelse och radering m.m. framgår av dataskydds- förordningen kan den enskilde enligt vår mening inte heller anses förfoga över denna information. Om tanken vore att bestämmelserna skulle tolkas på detta vis hade någon skyldighet för den personuppgiftsansvarige att lämna information om dessa rättigheter rimligen inte förts in i dataskyddsförordningen.
När domstolarna samlar in personuppgifter från den registrerade själv kan han eller hon enligt vår uppfattning således inte anses förfoga över all den information som ska lämnas enligt artikel 13 i dataskyddsförordningen. Beroende på vilken information som lämnas till de registrerade i nuläget skulle det därmed kunna finnas anledning för domstolarna att se över sina rutiner i denna del. Detta är emellertid ett arbete som sker på verkställighetsnivå och som inte ligger inom ramen för vårt uppdrag att behandla.
Ytterligare en fråga som domstolarna kan komma att behöva ta ställning till i verkställighetsstadiet är i vilka situationer information ska lämnas till den registrerade om rätten att lämna in klagomål till tillsynsmyndigheten. Tillsynsmyndigheten är enligt artikel 55.3 i dataskyddsförordningen inte behörig att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Det är dock för närvarande oklart vilken verksamhet som innefattas i denna dömande verksamhet. Vår bedömning av begreppet är att den dömande verksamheten sannolikt innefattar all den personuppgiftsbehandling som sker i det enskilda målet eller ärendet från att detta anhängiggörs vid domstolen tills ett slutligt avgörande har meddelats. Utifrån den bedömningen skulle
172
Ds 2017:41 |
Den registrerades rättigheter |
domstolarna relativt sällan behöva lämna information om klagorätten till de registrerade. Frågan om vad som innefattas i begreppet dömande verksamhet får dock slutligen avgöras av EU- rättslig praxis (se avsnitt 8.4).
Dataskyddsförordningens bestämmelser skulle enligt vår bedömning sammanfattningsvis kunna innebära att domstolarna behöver utöka den information som ges till de registrerade när personuppgifter samlas in från dem. Endast en ökad administrativ belastning innebär enligt vår mening emellertid inte att det finns möjlighet att begränsa de registrerades rättigheter med stöd av artikel 23 i dataskyddsförordningen. Anledningen är att begränsningen i sådant fall inte görs i syfte att säkerställa viktiga mål av generellt allmänt intresse, rättsväsendets oberoende eller rättsliga åtgärder eller något annat av de syften som räknas upp i artikel 23.1
En hänvisning bör enligt vår mening dock göras i domstolsdatalagen till den föreslagna 5 kap. 1 § dataskyddslagen, som innebär att den rätt till information som den registrerade har enligt bl.a. artikel 13 i dataskyddsförordningen inte gäller uppgifter som, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämnas ut till den registrerade. På detta sätt upprätthålls det förhållande som nu gäller, nämligen att bestämmelser om sekretess eller tystnadsplikt går före den registrerades rätt att få information om behandlingen av hans eller hennes personuppgifter.
15.4Information när personuppgifter samlas in från någon annan än den registrerade
15.4.1Domstolsdatalagen
Enligt 24 § första stycket PuL ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av personuppgifter när uppgifterna samlats in från någon annan källa än den registrerade själv. Enligt 24 § andra stycket behöver information till den registrerade emellertid inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning.
173
Den registrerades rättigheter |
Ds 2017:41 |
I förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 87) gjorde regeringen bedömningen att någon hänvisning till 24 § PuL inte behöver tas in i domstolsdatalagen. Som skäl för detta fram- fördes att det kommer att finnas bestämmelser om registrerandet eller utlämnandet av personuppgifterna i domstolsdatalagen, rättegångsbalken, förvaltningsprocesslagen och övrig lagstiftning som styr domstolarnas verksamhet.
15.4.2Dataskyddsförordningen
Enligt artikel 14 i dataskyddsförordningen ska relativt utförlig information lämnas till den registrerade när den personuppgifts- ansvarige har fått personuppgifterna från någon annan källa än den registrerade själv. Artikel 14.5 c innehåller dock – liksom 24 § PuL
– undantag som innebär att den personuppgiftsansvarige inte behöver lämna sådan information, om den personuppgiftsansvarige har rätt att ta emot eller lämna ut uppgifterna enligt medlems- statens nationella rätt. En förutsättning för att undantaget ska vara tillämpligt är att den nationella rätten fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Någon ledning gällande vilken typ av skyddsåtgärder det kan röra sig om finns inte i skälen till förordningen.
15.4.3Bedömning
Bedömning: Domstolarnas personuppgiftsbehandling i den rättskipande och rättsvårdande verksamheten omfattas av undantaget i artikel 14.5 c i dataskyddsförordningen från skyldigheten att lämna information när personuppgifter har getts in från någon annan än den registrerade själv.
Artikel 14 i dataskyddsförordningen reglerar vilken information som ska lämnas till den registrerade när personuppgifter samlats in från annan än den registrerade själv. För domstolarnas verksamhet är exempel på sådana situationer när den registrerades överklagande kommer in till domstolen från beslutande myndighet eller när överordnad domstol får in den registrerades överklagande från
174
Ds 2017:41 |
Den registrerades rättigheter |
underinstansen. Andra exempel är yttranden som kommer in från den registrerades motpart och sakkunnig- eller vittnesförhör.
Vi anser emellertid att domstolarnas rättskipande och rättsvårdande verksamhet omfattas av undantaget i artikel 14.5 c i dataskyddsförordningen, vilket innebär att domstolarna inte är skyldiga att lämna information till de registrerade i dessa situationer. Skälen för detta är följande.
Som det konstaterades i förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 87) styrs domstolarnas rätt att i den rättskipande och rättsvårdande verksamheten ta emot respektive lämna ut personuppgifter av bl.a. de processuella regelverken. Även utlämnandet av allmänna handlingar, där personuppgifter naturligtvis kan ingå, regleras av svensk lag. Det finns därmed nationella författningar som reglerar domstolarnas rätt att ta emot eller lämna ut de personuppgifter som behandlas inom domstolsdatalagens tillämpningsområde.
Det får enligt vår mening vidare förutsättas att de person- uppgifter som faktiskt behandlas av domstolarna är sådana som domstolen enligt bestämmelser i exempelvis rättegångsbalken, förvaltningsprocesslagen (1971:291), ärendelagen (1996:242) och lagen (1973:188) om arrendenämnder och hyresnämnder får behandla. Det i sig innebär enligt vår mening ett skydd för de registrerades intressen. Domstolsdatalagen innehåller också en mängd bestämmelser som skyddar den registrerades integritet när domstolen behandlar personuppgifter. Som exempel kan nämnas bestämmelser om sökbegränsningar, elektroniskt utlämnande av personuppgifter och tjänstemäns tillgång till personuppgifter. Även förekomsten av ett dataskyddsombud skyddar den registrerades integritet. Enligt vår bedömning finns det därför i nationell rätt ett tillräckligt skydd för den registrerades intressen för att undantaget i artikel 14.5 c i dataskyddsförordningen ska kunna tillämpas av domstolarna. Det behövs enligt vår mening därmed inte någon ytterligare lagstiftningsåtgärd för att domstolarna ska kunna tillämpa undantaget.
175
Den registrerades rättigheter |
Ds 2017:41 |
15.5Information efter begäran
15.5.1Domstolsdatalagen
Domstolsdatalagen hänvisar, genom 5 § första stycket 5, till 26 och 27 §§ PuL. Enligt 26 § första stycket PuL är den personuppgifts- ansvarige skyldig att, efter begäran, en gång per kalenderår lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (ett s.k. registerutdrag). Om sådana uppgifter behandlas ska den registrerade också få information om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.
Enligt 26 § tredje stycket PuL behöver sådan information inte lämnas vad gäller personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnes- anteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål. Inte heller gäller undantaget för löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
Den personuppgiftsansvariges informationsplikt begränsas också av 27 § PuL. Enligt denna bestämmelse gäller inte skyldigheten i 26 § PuL om det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade.
15.5.2Dataskyddsförordningen och dataskyddslagen
Enligt artikel 15 i dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på om person- uppgifter som rör honom eller henne håller på att behandlas. Om så är fallet har den registrerade rätt till relativt utförlig information om behandlingen av dessa personuppgifter. Information ska bl.a. lämnas om ändamålen med behandlingen, vilka kategorier av uppgifter som behandlas, mottagarna av uppgifterna, den period under vilken uppgifterna kommer att lagras eller kriterierna för att
176
Ds 2017:41 |
Den registrerades rättigheter |
fastställa denna period, rätten att begära rättelse eller radering av uppgifterna samt rätten att ge in klagomål till en tillsynsmyndighet. Några undantag från rätten att få information om personuppgifts- behandlingen efter begäran finns inte i artikel 15.
Av artikel 12.5 framgår att utgångspunkten är att information enligt bl.a. artikel 15 ska tillhandahållas kostnadsfritt. Det framgår dock även att om begäran är uppenbart ogrundad eller orimlig, särskilt på grund av deras repetitiva art, får den personuppgifts- ansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Det är den personuppgiftsansvarige som ska visa att en begäran är uppenbart ogrundad eller orimlig. Av skäl 63 till förordningen framgår att de registrerade bör ha rätt att få tillgång till personuppgifter på detta sätt med rimliga intervall.
Enligt Dataskyddsutredningens förslag (SOU 2017:39) ska den nya dataskyddslagen i 5 kap. 2 § innehålla en bestämmelse som motsvarar undantaget i 26 § tredje stycket PuL för personuppgifter i löpande text som inte fått sin slutliga utformning eller som utgör minnesanteckningar. Vidare ska den nya dataskyddslagen, enligt Dataskyddsutredningens förslag, i 5 kap. 1 § innehålla en bestämmelse enligt vilken bl.a. artikel 15 i dataskyddsförordningen inte gäller uppgifter som, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämnas ut till den registrerade.
15.5.3Bedömning
Förslag: Den registrerades rätt till information enligt artikel 15 i dataskyddsförordningen ska inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Regleringen ska genomföras genom en hänvisning till den föreslagna 5 kap. 1 § första stycket dataskyddslagen.
Den registrerade rätt till tillgång till personuppgifter enligt artikel 15 i dataskyddsförordningen ska inte gälla person- uppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller
177
Den registrerades rättigheter |
Ds 2017:41 |
liknande. Undantaget ska inte gälla om personuppgifterna har lämnats ut till tredje part, behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning. Regleringen ska genomföras genom en hänvisning till den föreslagna 5 kap. 2 § dataskyddslagen.
Den information som ska lämnas till den registrerade enligt artikel 15 i dataskyddsförordningen är något mer utförlig än den som i nuläget ska lämnas i enlighet med domstolsdatalagen och personuppgiftslagen. För de informationspunkter som är nya (t.ex. perioden för lagring samt information om möjligheten att begära rättelse och radering) bör det enligt vår mening vara möjligt att ta fram standardiserad information som kan användas vid de flesta förfrågningar. Detta borde innebära att de nya bestämmelserna inte skulle medföra en alltför stor administrativ belastning för domstolarna.
Utredningen om 2016 års dataskyddsdirektiv har i sitt del- betänkande (SOU 2017:29) föreslagit att 4 kap. 7 § brottsdatalagen ska innehålla en bestämmelse som innebär att den person- uppgiftsansvarige får avslå en begäran om viss personrelaterad information, exempelvis vilka personuppgifter om sökanden som behandlas, om den är orimlig eller uppenbart ogrundad. Vidare föreslår utredningen att 4 kap. 12 § brottsdatalagen ska innehålla en bestämmelse som innebär att den personuppgiftsansvarige får ta ut en rimlig avgift eller avslå begäran om någon begär sådan information oftare än en gång per år.4
För att uppnå samstämmighet i de regelverk som ska tillämpas vid personuppgiftsbehandling hos domstolarna vore det önskvärt med en liknande konkretisering av vad som ska anses vara ett rimligt tidsintervall för registerutdrag vad gäller den del av domstolarnas personuppgiftsbehandling som styrs av dataskydds- förordningen. Det faktum att det, enligt artikel 12.5 andra stycket i förordningen, är den personuppgiftsansvarige som ska visa att en begäran är uppenbart ogrundad eller orimlig talar enligt vår mening dock för att vad som är ett rimligt intervall för en begäran måste
4 Se Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29 s. 400 ff.).
178
Ds 2017:41 |
Den registrerades rättigheter |
avgöras i det enskilda fallet. I dataskyddsförordningen anges inte heller uttryckligen att det skulle finnas en möjlighet att i nationell rätt införa bestämmelser som förtydligar vilket tidsintervall för avgiftsfri information som ska anses vara rimligt. Det torde således inte vara fråga om en sådan situation som beskrivs i artikel 6.2 i dataskyddsförordningen eller i dess skäl 8 och som skulle kunna ge möjlighet att precisera eller införliva delar av förordningen i nationell rätt (jfr avsnitt 5.3). Mot den bakgrunden bedömer vi att det inte finns något utrymme för att i domstolsdatalagen införa bestämmelser liknande de som föreslagits för brottsdatalagen.
Som vi nämnt i avsnitt 15.5.2 finns det i artikel 15 i dataskyddsförordningen inte några undantag från rätten att få information om personuppgiftsbehandlingen efter begäran. Vi anser dock att en hänvisning bör göras i domstolsdatalagen till den föreslagna 5 kap. 1 § första stycket dataskyddslagen. Den bestämmelsen innebär att artiklarna
Vi anser vidare att det bör göras en hänvisning i domstolsdatalagen till den föreslagna 5 kap. 2 § dataskyddslagen, som motsvarar 26 § tredje stycket PuL. Genom en sådan hänvisning kommer domstolarnas tjänstemän även framöver att under en rimlig tid få ha sina ofärdiga alster i fred. På samma sätt som i nuläget måste detta enligt vår mening anses vara en rimlig avvägning mellan den registrerades rätt till information och domstolarnas oberoende.
Vid information enligt artikel 15 i dataskyddsförordningen kommer domstolarna, på samma sätt som när information ska lämnas enligt artikel 13 i förordningen, att behöva ta ställning till i vilka situationer information om rätten att lämna in klagomål till tillsynsmyndigheten ska lämnas till den registrerade. För detta resonemang hänvisar vi till avsnitt 15.3.3.
5 Se Dataskyddsutredningens betänkande (SOU 2017:39).
179
Den registrerades rättigheter |
Ds 2017:41 |
Slutligen anser vi att det inte finns anledning att i domstolsdatalagen införa bestämmelser som begränsar den registrerades rättigheter enligt artikel 15 i dataskyddsförordningen ytterligare. Genom de hänvisningar till 5 kap. 1 och 2 §§ data- skyddslagen som vi föreslagit kommer samma undantag som i dag att gälla. Vi kan inte se att det finns några ytterligare behov av att begränsa rättigheterna för att säkerställa viktiga mål av generellt allmänt intresse, rättsväsendets oberoende eller rättsliga åtgärder.
15.6Rättelse och radering samt rätt att göra invändningar och begära begränsning av behandling
15.6.1Domstolsdatalagen, personuppgiftslagen och 1995 års dataskyddsdirektiv
Domstolsdatalagen hänvisar, genom 5 § 6, till 28 § PuL. Enligt denna bestämmelse är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Om den registrerade begär det ska den person- uppgiftsansvarige också underrätta mottagarna av uppgifterna om åtgärden. Detsamma gäller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en sådan underrättelse. Underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
I domstolsdatalagen nämns endast att hänvisningen till 28 § PuL gäller bestämmelsen om rättelse. Av förarbetena till domstols- datalagen (prop. 2014/15:148 s. 92) framgår dock att hänvisningen även avser rätten till blockering och utplåning av personuppgifter.
Domstolsdatalagen hänvisar även, i 5 § 3, till 9 § PuL om grundläggande krav på behandling av personuppgifter. Enligt denna bestämmelse ska den personuppgiftsansvarige se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.
180
Ds 2017:41 |
Den registrerades rättigheter |
Kort kan sägas att rättelse av en personuppgift innebär att en felaktig eller ofullständig uppgift ersätts av en uppgift om de rätta förhållandena eller att uppgifterna annars kompletteras. Med blockering avses en åtgärd som vidtas för att personuppgifterna ska förses med information om att de är spärrade och om anledningen till spärren, för att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF. Utplånande innebär helt enkelt att de aktuella personuppgifterna förstörs så att de inte kan återskapas.6
När personuppgifter behandlas för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning, ska medlemsstaterna enligt artikel 14 a i 1995 års dataskyddsdirektiv tillförsäkra den registrerade rätten att motsätta sig behandling av uppgifter som rör honom eller henne. Rätten ska enligt bestämmelsen gälla om den nationella lagstiftningen inte före- skriver annat. Genom 12 § andra stycket PuL har lagstiftaren gjort den registrerades rätt att motsätta sig behandling mycket begränsad. Enligt denna bestämmelse har den registrerade endast rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen när behandlingen sker för ändamål som gäller direkt marknadsföring eller om behandlingen sker med stöd av samtycke.7
15.6.2Dataskyddsförordningen
Rättelse
Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade. Den registrerade ska även, med beaktande av ändamålet med behandlingen, ha rätt att komplettera ofullständiga person- uppgifter.
6Sören Öman och
7Se förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 64 ff.).
181
Den registrerades rättigheter |
Ds 2017:41 |
Radering
Enligt artikel 17 i dataskyddsförordningen har den registrerade i vissa fall rätt att få sina personuppgifter raderade utan onödigt dröjsmål. Detta motsvarar personuppgiftslagens begrepp utplåning. De situationer som främst är av intresse för domstolarnas rättskipande och rättsvårdande verksamhet är de som framgår av artikel 17.1 a, c och d i förordningen. Led a avser situationen att personuppgifterna inte längre är nödvändiga för de ändamål som de samlats in för eller på annat sätt behandlats för. Led c avser situationen att den registrerade har gjort invändningar mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre än den registrerades skäl för radering. Led d avser situationen att personuppgifterna har behandlats på ett olagligt sätt.
Det finns dock en rad undantag från rätten till radering. De som enligt vår mening främst är av intresse är de som framgår av artikel 17.3 b, d och e i förordningen. Enligt led b har den registrerade inte rätt att få sina personuppgifter raderade om behandlingen av uppgifterna är nödvändig för att uppfylla en rättslig förpliktelse enligt unionsrätten eller en medlemsstats nationella rätt. Rätten till radering gäller inte heller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den registrerade har vidare inte, enligt led d, rätt att få sina personuppgifter raderade om behandlingen är nödvändig för bl.a. arkivändamål av allmänt intresse eller statistiska ändamål, i den utsträckning som raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen. Avslutningsvis gäller inte rätten till radering enligt led e om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Rätt att göra invändningar och begära begränsning av behandling
Om behandlingen av personuppgifter grundar sig på en uppgift av allmänt intresse eller myndighetsutövning har den registrerade, enligt artikel 21.1 i dataskyddsförordningen, rätt att av skäl som
182
Ds 2017:41 |
Den registrerades rättigheter |
hänför sig till hans eller hennes specifika situation göra invändningar mot behandlingen. Om en sådan invändning görs får den personuppgiftsansvarige inte längre behandla person- uppgifterna om denne inte kan visa att det finns avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter. Personuppgifterna får dock fortsätta behandlas bl.a. om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Följden av att intresseavvägningen utfaller till den registrerades fördel blir, åtminstone om den registrerade begär det, att de aktuella personuppgifterna ska raderas. Detta framgår av artikel 17.1 c i dataskyddsförordningen.
Under den tid det tar för den personuppgiftsansvarige att efter en invändning kontrollera om den registrerades skäl mot behandlingen väger tyngre än den personuppgiftsansvariges skäl för att utföra behandlingen ska behandlingen av uppgifterna begränsas i enlighet med artikel 18.1 d.
Den registrerade har, enligt artikel 18.1
Under den tid begränsningen gäller får personuppgifterna, enligt huvudregeln i artikel 18.2, inte behandlas på annat sätt än att de lagras. Förfarandet motsvarar det som i personuppgiftslagen kallas blockering. Undantag finns dock, exempelvis får uppgifterna under begränsningsperioden behandlas för att fastställa rättsliga anspråk eller för skäl som rör ett viktigt allmänintresse för en medlemsstat.
183
Den registrerades rättigheter |
Ds 2017:41 |
Mottagare ska underrättas
Enligt artikel 19 i dataskyddsförordningen ska den personuppgifts- ansvarige underrätta varje mottagare av personuppgifterna om de rättelser, raderingar eller begränsningar av behandling som gjorts. Undantag från denna skyldighet får göras om det visar sig vara omöjligt eller medför en oproportionell ansträngning. Om den registrerade begär det ska den personuppgiftsansvarige även informera den registrerade om vilka mottagarna av personuppgifter är.
15.6.3Bedömning
Bedömning: Det bör inte införas några undantag i domstols- datalagen från dataskyddsförordningens bestämmelser om de registrerades rättigheter i artiklarna
Rättelse
Dataskyddsförordningens bestämmelser om de registrerades rätt att komplettera ofullständiga personuppgifter och få felaktiga personuppgifter rättade (artikel 16) motsvarar vad som, genom domstolsdatalagens hänvisning till 9 och 28 §§ PuL, för närvarande gäller för domstolarnas rättskipande och rättsvårdande verksamhet. Det bör enligt vår mening ligga i domstolarnas intresse att de personuppgifter som behandlas i denna verksamhet är korrekta och fullständiga. Något behov av att på domstolsdatalagens tillämpningsområde införa undantag från dataskyddsförordningens bestämmelse om rättelse finns enligt vår uppfattning därmed inte.
Radering
Dataskyddsförordningens bestämmelser om rätten till radering är mer omfattande än vad som enligt domstolsdatalagen och personuppgiftslagen gäller för domstolarna i dag. Enligt artikel 17.3 b i dataskyddsförordningen gäller dock inte rätten till
184
Ds 2017:41 |
Den registrerades rättigheter |
radering om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning eller för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse. Som vi tidigare konstaterat (avsnitt 6.2.5) anser vi att den personuppgiftsbehandling som sker inom ramen för domstolarnas rättskipande och rättsvårdande verksamhet är nödvändig, som ett led i domstolarnas myndighetsutövning eller för att utföra en uppgift av allmänt intresse. Rätten till radering gäller enligt vår mening därför inte uppgifter i pågående mål eller ärenden. Undantaget i artikel 17.3 b garanterar därmed att handläggningen av öppna mål eller ärenden inte avstannar på grund av dataskydds- bestämmelser.
För arkivering finns dessutom, i artikel 17.3 d i dataskydds- förordningen, ett specifikt undantag från rätten till radering. Enligt denna bestämmelse ska den rätten inte gälla för det fall raderingen sannolikt omöjliggör eller avsevärt försvårar att syftet med den behandling som utförs för arkivändamål av allmänt intresse uppnås. Detta medför enligt vår mening att rätten till radering inte heller gäller personuppgifter som ingår i de handlingar som arkiverats i enlighet med gällande arkivlagstiftning. Vi anser att rätten till radering inte heller gäller för de personuppgifter som finns i avslutade mål och ärenden som ännu inte har arkiverats. Bevarandet av allmänna handlingar är en förutsättning för allmänhetens möjlighet att ta del av dessa handlingar med stöd av tryckfrihetsförordningen, vilket enligt vår mening innebär att ett sådant bevarande är nödvändigt för en uppgift av allmänt intresse.
Eftersom redan befintliga undantag i dataskyddsförordningen enligt vår bedömning således garanterar att personuppgifter i både öppna, avslutade och arkiverade mål och ärenden undantas från rätten till radering anser vi att det inte finns något behov av att i domstolsdatalagen föreskriva ytterligare undantag från denna rättighet.
Avslutningsvis vill vi dock påpeka att vi anser att dataskydds- förordningen inte hindrar domstolarna att radera personuppgifter som behandlats i strid med gällande personuppgiftsbestämmelser. En förutsättning är dock naturligvis att detta är tillåtet enligt det övriga regelverk som styr rätten till radering i verksamhets- systemen, t.ex. svenska processuella regler och arkivregler.
185
Den registrerades rättigheter |
Ds 2017:41 |
Rätt att göra invändningar och begära begränsning av behandling
Den registrerades rätt att enligt artikel 21.1 i dataskydds- förordningen göra invändningar mot att personuppgifter behandlas för myndighetsutövning eller för en uppgift av allmänt intresse, är en utökning jämfört med vad som för närvarande gäller. Som vi tidigare konstaterat anser vi att den personuppgiftsbehandling som sker på domstolsdatalagens tillämpningsområde utgör myndighets- utövning eller en uppgift av allmänt intresse (se avsnitt 6.2.5). Detta innebär att dataskyddsförordningens bestämmelse om rätten att göra invändningar gäller för den behandling av personuppgifter som sker i enlighet med domstolsdatalagen.
Under den tid det tar för domstolen att efter en registrerads invändning bedöma om skälen för behandlingen väger tyngre än den registrerades skäl mot denna, ska behandlingen begränsas enligt artikel 18.1 d och 18.2 i dataskyddsförordningen. Det samma gäller enligt artikel 18.1
En begränsning innebär enligt huvudregeln i artikel 18.2 att personuppgifter inte får behandlas på något annat sätt än att lagras. Undantag görs dock för det fall behandlingen sker för att fastställa rättsliga anspråk eller av skäl som rör ett viktigt allmänintresse för medlemsstaten.
Att handläggningen av mål och ärenden hos domstolarna inte avstannar utgör enligt vår mening ett viktigt allmänintresse. I förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 48) har regeringen vidare gett uttryck för uppfattningen att domstolarnas kärnverksamhet består i att fastslå rättsliga anspråk. Mot den bakgrunden anser vi att undantaget i artikel 18.2 i dataskydds- förordningen är tillämpligt på de personuppgifter som ingår i pågående mål och ärenden. Följden av detta blir att domstolens handläggning av det enskilda målet eller ärendet inte behöver avstanna i väntan på att en intresseavvägning ska göras efter en invändning (artikel 18.1 d). Samma resonemang bör enligt vår
186
Ds 2017:41 |
Den registrerades rättigheter |
mening kunna tillämpas vid en invändning om personuppgifternas riktighet (artikel 18.1 a).
Ändamålet med behandlingen av personuppgifter i domstolarnas mål och ärenden är vidare att handlägga just dessa mål och ärenden. Detta borde enligt vår mening medföra att så länge handläggningen av ett mål eller ärende inte är avslutad, behövs personuppgifterna för ändamålet med behandlingen. Rätten till begränsning av uppgifter som inte längre behövs för ändamålet (artikel 18.1 c) bör därmed ha mycket liten betydelse för domstolarna vad gäller pågående mål och ärenden. Skulle en sådan situation uppkomma gör vi emellertid även här bedömningen att personuppgifterna fortsatt kan behandlas i öppna mål och ärenden med stöd av undantaget för fastställande av rättsliga anspråk eller ett viktigt allmänintresse.
För domstolarna är det vidare i stor utsträckning de processuella regelverken som styr vilka personuppgifter som behöver behandlas i de enskilda målen och ärendena. Vi anser därför att en sådan olaglig behandling av personuppgifter där en begränsning av behandling kan krävas (artikel 18.1 b) bör vara mycket sällsynt förekommande.
Vad gäller avslutade mål och ärenden bör bevarande, och senare även arkivering, vara tillåten även om behandlingen av de aktuella personuppgifterna har begränsats, eftersom ett sådant bevarande respektive arkivering vanligtvis endast innebär att person- uppgifterna lagras. I domstolarnas verksamhetssystem går det emellertid även att söka bland avslutade mål och ärenden, vilket innebär en behandling av personuppgifterna utöver lagringen. Sådana sökningar är oftast ett led i handläggningen av öppna mål eller ärenden, i syfte att exempelvis hitta tidigare liknande avgöranden eller vägledande praxis. Det utgör enligt vår mening ett viktigt allmänintresse att sådana sökningar får göras, eftersom det är ett led i att säkerställa en enhetlig och effektiv rättstillämpning. Det finns därmed undantag som tillåter att sådan behandling får fortsätta även om behandlingen av personuppgifter har begränsats i enlighet med artikel 18.1 i dataskyddsförordningen. Samma resonemang bör enligt vår mening vara tillämpligt vid domstolarnas återanvändande av personuppgifter i arkiverade mål och ärenden (se avsnitt 19.4.5).
187
Den registrerades rättigheter |
Ds 2017:41 |
Även allmänhetens tillgång till allmänna handlingar utgör enligt vår mening ett viktigt allmänintresse. Detta medför att utlämnande av allmänna handlingar – både i pågående och avslutade mål och ärenden – är tillåtet även om behandlingen av personuppgifter har begränsats. Myndigheternas rätt att lämna ut personuppgifter i allmänna handlingar i enlighet med nationell rätt säkerställs för övrigt även genom artikel 86 i dataskyddsförordningen.
Skulle en intresseavvägning efter den registrerades invändning enligt artikel 21.1 i dataskyddsförordningen mot förmodan utfalla till den registrerades fördel, skulle domstolen – enligt huvudregeln i artikel 17.1 c – vara tvungen att radera personuppgifterna. Som ovan nämnts har behandlingen av personuppgifter i domstolarnas rättskipande och rättsvårdande verksamhet i tidigare förarbeten dock bedömts utgöra ett fastställande av rättsliga anspråk. Med stöd av den bedömningen bör undantaget i artikel 21.1 i förordningen garantera att handläggningen vid behov får fortsätta även om intresseavvägningen utfaller till den enskildes fördel. Vi har vidare, under föregående rubrik, gjort bedömningen att undantaget i artikel 17.3 b och d i dataskyddsförordningen medför att personuppgifter som behandlas i domstolarnas rättskipande och rättsvårdande verksamhet – inkluderat de som finns i både avslutade och arkiverade mål och ärenden – inte behöver raderas. Även detta undantag säkerställer därmed att behandlingen av personuppgifter kan fortsätta om en intresseavvägning utfaller till den enskildes fördel.
Vi anser sammanfattningsvis att de undantag som finns i artikel 17.3 b och d, artikel 18.2 samt artikel 21.1 i dataskydds- förordningen garanterar att domstolarnas handläggning av enskilda mål eller ärenden inte avstannar, att bevarande och arkivering av processmaterialet är möjlig och att allmänhetens tillgång till allmänna handlingar inte inskränks. Mot den bakgrunden finns det enligt vår mening inte något egentligt behov av att i domstols- datalagen införa ytterligare inskränkningar av rätten att göra invändningar eller rätten att få personuppgiftsbehandlingen begränsad.
Enligt vårt resonemang blir rätten att göra invändningar och rätten att begära att behandlingen begränsas till stora delar illusorisk vad gäller domstolarnas behandling av personuppgifter. Man skulle kunna argumentera för att det faktum att den
188
Ds 2017:41 |
Den registrerades rättigheter |
registrerades möjligheter att nå reell framgång med en invändning eller en begäran är ytterst små i en viss verksamhet, innebär att det inte skulle finnas möjlighet att införa ett generellt undantag från dessa rättigheter. Skälet till detta skulle i så fall vara att ett sådant undantag inte är nödvändigt för att säkerställa rättsväsendets oberoende, nationella viktiga mål av generellt allmänt intresse eller något annat av de syften som anges i artikel 23.1 i dataskydds- förordningen. Finns det ingen risk för framgång med en invändning eller en begäran, utgör det inget reellt hot mot exempelvis rättsväsendets oberoende. Vi kan emellertid inte med säkerhet slå fast att det inte finns situationer då det kan finnas grund för en invändning eller en begäran. För att garantera att arbetet i domstolarna kan fortsätta ostört, skulle man därför möjligtvis – med stöd av artikel 23.1 i dataskyddsförordningen – kunna föreskriva ett uttryckligt undantag från rätten enligt artiklarna 18.1 och 21.1 att göra invändningar mot att person- uppgifter behandlas och rätten att begära att behandlingen begränsas. Vi stannar emellertid vid bedömningen att en reglering som inskränker de registrerades rättigheter inte bör införas utan sakliga skäl bara för att – sannolikt i ringa omfattning – minska den administrativa bördan med att hantera invändningar eller krav på begränsningar.
Mot denna bakgrund är det vår uppfattning att en bedömning av om behandlingen ska begränsas får göras i varje fall där frågan aktualiseras enligt bestämmelserna i dataskyddsförordningen. Även intresseavvägningen mellan domstolens skäl för behandlingen och den registrerades skäl mot denna, får enligt vår mening göras varje gång en registrerad gör en invändning mot behandlingen i enlighet med artikel 21 i dataskyddsförordningen. En annan sak är att bedömningen och intresseavvägningen i det stora flertalet fall borde kunna göras relativt standardiserat.
Underrättelse till mottagarna
Dataskyddsförordningens bestämmelser om underrättelse till mottagarna av personuppgifter vid rättelse, radering eller begränsning av behandling motsvarar vad som, genom en hänvisning till 28 §§ PuL, för närvarande gäller inom domstols-
189
Den registrerades rättigheter |
Ds 2017:41 |
datalagens tillämpningsområde. Någon anledning att införa undantag från denna rättighet i domstolsdatalagen har inte kommit fram.
15.7Rätt till skadestånd
15.7.1Domstolsdatalagen och personuppgiftslagen
Enligt artikel 22 i 1995 års dataskyddsdirektiv ska medlemsstaterna föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling. Direktivet har i denna del genomförts i svensk rätt genom 48 § PuL. Domstolsdatalagen hänvisar, genom 5 § 11, till denna bestämmelse.
Enligt 48 § PuL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med person- uppgiftslagen har orsakat. Domstolsdatalagens hänvisning till bestämmelsen innebär enligt förarbetena till den lagen (prop. 2014/15:148 s. 92 f.) att skadeståndsansvaret även gäller vid personuppgiftsbehandling som skett i strid med domstolsdata- lagens bestämmelser. I samma förarbeten framhäver regeringen att det är principiellt viktigt att den som drabbas av skada eller kränkning på grund av att personuppgifter behandlas i strid med domstolsdatalagen, på ett rimligt sätt kan kompenseras genom skadestånd.
15.7.2Dataskyddsförordningen
Enligt artikel 79.1 i dataskyddsförordningen har alla registrerade rätt till ett effektivt rättsmedel om de anser att deras rättigheter enligt förordningen har åsidosatts som en följd av att deras personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen. Enligt bestämmelsen gäller detta utöver rätten att lämna in ett klagomål till tillsynsmyndigheten. Om den person- uppgiftsansvarige – eller personuppgiftsbiträdet – är en myndighet som agerar inom ramen för sin myndighetsutövning ska sådan
190
Ds 2017:41 |
Den registrerades rättigheter |
talan, enligt artikel 79.2 i dataskyddsförordningen, väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige, eller personuppgiftsbiträdet, är etablerad.
Rätten till ett effektivt rättsmedel garanteras även av EU:s stadga om de grundläggande rättigheterna. Enligt artikel 47 i stadgan har var och en vars unionsrättsligt garanterade fri- och rättigheter kränkts rätt till ett effektivt rättsmedel inför en domstol. Stadgan ger, enligt artikel 8.1, rätt till skydd av person- uppgifter. Som en konkretisering av denna rättighet anges i artikel 8.2 att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av en legitim och lagenlig grund. Var och en ska dessutom har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dessa uppgifter. Enligt artikel 8.3 ska en oberoende myndighet kontrollera att dessa regler efterlevs.
Enligt artikel 82 i dataskyddsförordningen har varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Enligt bestämmelsen är ansvaret solidariskt om flera personuppgifts- ansvariga eller personuppgiftsbiträden har medverkat vid samma behandling. Det finns även en uttrycklig regressrätt mellan de ansvariga i en sådan situation. Den personuppgiftsansvarige – eller personuppgiftsbiträdet – ska dock undgå ansvar om denne visar att den inte på något sätt är ansvarig för den händelse som orsakat skadan.
I skäl 146 till dataskyddsförordningen förtydligas att behandling som strider mot dataskyddsförordningen även omfattar bl.a. behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. Detta innebär enligt vår mening att även överträdelser av bestämmelser i de registerförfattningar som behålls eller införs i svensk rätt med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen (se kapitel 5) omfattas av förordningens bestämmelse om skadeståndsansvar.8
8 Se även Dataskyddsutredningens betänkande (SOU 2017:39 s. 304 f.).
191
Den registrerades rättigheter |
Ds 2017:41 |
15.7.3Dataskyddslagen
Dataskyddsutredningen har i sitt betänkande föreslagit att dataskyddslagen ska innehålla en bestämmelse som innebär att rätten till ersättning enligt artikel 82 i dataskyddsförordningen även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Bestämmelsen beskrivs i Dataskyddsutredningens betänkande (SOU 2017:39 s. 304) som en upplysningsbestämmelse och finns i förslaget till 8 kap. 1 § dataskyddslagen.
15.7.4Bedömning
Förslag: Rätten till ersättning enligt artikel 82 i dataskydds- förordningen ska gälla även vid överträdelser av bestämmelser i dataskyddslagen och domstolsdatalagen med tillhörande föreskrifter. Regleringen ska genomföras genom en hänvisning till den föreslagna 8 kap. 1 § dataskyddslagen.
Tillsynsmyndigheten har, enligt artikel 55.3 i dataskydds- förordningen, inte behörighet att utöva tillsyn över den person- uppgiftsbehandling som sker i domstolarnas dömande verksamhet. Detta innebär att den dömande verksamheten är undantagen från en del av det skydd för den personliga integriteten som garanteras genom dataskyddsförordningen (se vidare avsnitt 8.4). Mot den bakgrunden är frågan om rätten till ett effektivt rättsmedel i högsta grad aktuell för domstolarnas personuppgiftsbehandling.
Vid genomförandet av 1995 års dataskyddsdirektiv bedömdes att personuppgiftslagens skadeståndsbestämmelse – tillsammans med tillsynsmyndighetens möjlighet till vitesföreläggande – utgjorde en effektiv och tillräcklig sanktion.9 Dataskydds- utredningen har i sitt betänkande (SOU 2017:39 s. 304) vidare gjort bedömningen att den registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgifts- biträde tillgodoses i svensk rätt genom möjligheten att vid allmän
9 Prop. 1997/98:44 s. 107.
192
Ds 2017:41 |
Den registrerades rättigheter |
domstol föra talan om ersättning för den skada som en behandling av personuppgifter i strid med förordningen har gett upphov till.
Enligt vårt förslag kommer den registrerade att ha möjlighet att överklaga vissa beslut som fattats av en domstol i dess egenskap av personuppgiftsansvarig (se avsnitt 18.4.4). Dataskyddsförordningens skadeståndsbestämmelse omfattar dessutom även överträdelser av domstolsdatalagens bestämmelser. Man skulle dock kunna ifrågasätta hur den rätt till kontroll av en oberoende myndighet som framgår av artikel 8.3 i stadgan förhåller sig till det faktum att tillsynsmyndigheten inte kommer att vara behörig att utöva tillsyn över domstolarnas dömande verksamhet.
Avsikten med att begränsa tillsynsmyndighetens behörighet är emellertid att säkerställa domstolarnas oberoende (jfr skäl 20 till dataskyddsförordningen). Enligt artikel 47 i stadgan har den vars unionsrättsligt garanterade fri- och rättigheter kränkts rätt att få sin sak prövad inför en oavhängig och opartisk domstol. Data- skyddsförordningens begränsning av tillsynsmyndighetens behörighet bidrar således till att medlemsstaterna kan uppfylla de skyldigheter de har enligt artikel 47 i stadgan. Samtidigt finns det uppenbarligen en konflikt mellan begränsningen och rätten till kontroll av en oberoende myndighet vad gäller skyddet av personuppgifter. Som framgår av avsnitt 8.1.2 har emellertid både Justitieombudsmannen och Justitiekanslern möjlighet att utöva en ganska vittgående tillsyn över domstolarna. Mot den bakgrunden anser vi att den svenska lagstiftningen uppfyller de krav som ställs i artikel 8 i stadgan. Vi anser även att den registrerades rätt till ett effektivt rättsmedel när personuppgiftsbehandling skett på domstolsdatalagens tillämpningsområde tillgodoses genom data- skyddsförordningens skadeståndsbestämmelse i kombination med rätten att överklaga vissa beslut som fattats av den personuppgifts- ansvariga domstolen.
Som nämnts ovan kommer dataskyddsförordningens bestämmelser om skadestånd även utan hänvisning till förordningen att gälla även för överträdelse av domstolsdatalagens bestämmelser. Det framgår enligt vår mening dock inte tydligt av artikel 82 i dataskyddsförordningen att skadeståndsansvaret även omfattar överträdelser av de nationella registerförfattningarnas bestämmelser. Vi anser därför att det finns anledning att göra en hänvisning i domstolsdatalagen till den föreslagna 8 kap. 1 §
193
Den registrerades rättigheter |
Ds 2017:41 |
dataskyddslagen om skadestånd. På detta sätt kommer det att stå fullständigt klart att dataskyddsförordningens bestämmelser om skadestånd gäller även vid överträdelser av domstolsdatalagens bestämmelser.
15.8Information om personuppgiftsincident
15.8.1Dataskyddsförordningen
Om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgifts- ansvarige utan onödigt dröjsmål informera den registrerade om incidenten. Detta framgår av artikel 34.1 i dataskyddsförordningen. I artikel 34.3
15.8.2Bedömning
Förslag: Den registrerades rätt att få information om en person- uppgiftsincident enligt artikel 34 i dataskyddsförordningen ska inte gälla om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade.
Den personuppgiftsansvariges skyldighet att, enligt artikel 34 i dataskyddsförordningen, informera den registrerade om en inträffad personuppgiftsincident innebär en utökning jämfört med vad som för närvarande gäller. Vi anser att det finns anledning att införa en bestämmelse i domstolsdatalagen som innebär att
194
Ds 2017:41 |
Den registrerades rättigheter |
sekretess eller tystnadsplikt går före den registrerades rätt att få information om en sådan incident. Bakgrunden till detta är följande.
I vissa typer av mål som handläggs hos domstolarna råder det sekretess gentemot en av parterna om att ett sådant mål överhuvudtaget finns registrerat vid den aktuella domstolen. Som exempel kan nämnas de allmänna förvaltningsdomstolarnas mål om betalningssäkring enligt 46 kap. skatteförfarandelagen (2011:1244). I dessa mål gäller sekretess enligt 17 kap. 2 § OSL normalt för uppgifter om identiteten på den part som tvångsåtgärden riktar sig mot, i vart fall till dess domstolen meddelar dom eller beslut i målet. En annan ordning skulle kunna innebära att syftet med betalningssäkringen går förlorat.
Undantagen i artikel 34.3 i dataskyddsförordningen innefattar inte situationer där det råder sekretess eller tystnadsplikt för vissa personuppgifter. Dataskyddsförordningens bestämmelse om information till den registrerade vid en personuppgiftsincident skulle därmed kunna innebära att den registrerade indirekt får information om att han eller hon är motpart i ett mål om exempelvis betalningssäkring.
Mot den bakgrunden föreslår vi att det i domstolsdatalagen införs en bestämmelse med innebörden att bestämmelserna om den registrerades rätt att få information om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen inte gäller om den personuppgiftsansvarige, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade.
Vi anser att ett sådant undantag kan göras med stöd av artikel 23.1 f i dataskyddsförordningen, eftersom det görs i syfte att säkerställa skyddet för rättsliga åtgärder. Vi anser vidare att begränsningen är nödvändig för att skydda de intressen som kommer till uttryck i de aktuella sekretessbestämmelserna och att den utgör en rimlig avvägning mellan dessa intressen och de registrerades intresse av skydd för den personliga integriteten. Begränsningen sker därmed, enligt vår mening, med respekt för andemeningen i de grundläggande rättigheter och friheter som kommer till uttryck i stadgan (se avsnitt 3.4.1).
Den föreslagna lydelsen motsvarar den reglering som Dataskyddsutredningen har föreslagit för 5 kap. 1 § dataskydds-
195
Den registrerades rättigheter |
Ds 2017:41 |
lagen, där undantag från rätten att få information om och tillgång till personuppgifter enligt artiklarna
10 Se Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29).
196
16 Känsliga personuppgifter m.m.
16.1Dataskyddsförordningen och 1995 års dataskyddsdirektiv
Behandling av känsliga personuppgifter regleras i artikel 9 i data- skyddsförordningen. Med känsliga personuppgifter menas enligt dataskyddsförordningen personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse, medlemskap i fackförening samt uppgifter om hälsa och en persons sexualliv eller sexuella läggning. Även behandling av biometriska uppgifter för att entydigt identifiera en fysisk person och genetiska uppgifter utgör känsliga personuppgifter. Begreppet känsliga personuppgifter används inte uttryckligen i artikel 9, men förekommer i skäl 10 till dataskyddsförordningen. Det är också väl inarbetat i svensk rätt genom bl.a. 13 § PuL.
Begreppet känsliga personuppgifter har i dataskyddsförordningen utökats i förhållande till hur det såg ut i 1995 års dataskydds- direktiv, genom att uppgifter om en persons sexuella läggning nu uttryckligen ingår i begreppet. Nytt är också att biometriska uppgifter för att entydigt identifiera en fysisk person och genetiska uppgifter utgör känsliga personuppgifter.
Enligt dataskyddsförordningens huvudregel, som framgår av artikel 9.1, är behandling av känsliga personuppgifter förbjuden. Det finns dock en rad undantag från detta förbud. De undantag som främst är intressanta för domstolarnas del framgår av artikel 9.2 f och g.
Enligt artikel 9.2 f är behandling av känsliga personuppgifter tillåten om den är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet. Enligt artikel 9.2 g är behandling av känsliga personuppgifter tillåten om en behandling är nödvändig med
197
Känsliga personuppgifter m.m. |
Ds 2017:41 |
hänsyn till ett viktigt allmänt intresse. Av bestämmelsen framgår vidare att det ”viktiga allmänna intresset” ska framgå av unions- rätten eller medlemsstaternas nationella rätt, som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Även enligt 1995 års dataskyddsdirektiv är huvudregeln att behandling av känsliga personuppgifter är förbjuden. Undantaget i artikel 9.2 f i dataskyddsförordningen har till viss del sin motsvarighet i artikel 8.2 e i 1995 års dataskyddsdirektiv. Här fastställs att behandling av känsliga personuppgifter är tillåten om den rör uppgifter som är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. Bestämmelsen har införts i svensk rätt genom 16 § första stycket c PuL. Det som är nytt för dataskyddsförordningen i denna del är att undantag uttryckligen görs för domstolarnas dömande verksamhet.
Något direkt undantag med hänsyn till viktiga allmänna intressen finns inte i 1995 års dataskyddsdirektiv. Enligt artikel 8.4 har medlemsstaterna dock möjlighet att med hänsyn till ett viktigt allmänt intresse besluta om ytterligare undantag från förbudet att behandla känsliga personuppgifter. Något undantag som skulle kunna träffa domstolarnas rättskipande och rättsvårdande verksamhet har dock inte införts i personuppgiftslagen med stöd av artikel 8.4 i 1995 års dataskyddsdirektiv.
16.2Domstolsdatalagen
16.2.1Rätten att behandla känsliga personuppgifter
Enligt 16 § första stycket c PuL får känsliga personuppgifter behandlas om det är nödvändigt för att kunna fastställa rättsliga anspråk. I förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 48 f.) har regeringen gjort bedömningen att detta undantag innefattar den kärnverksamhet som bedrivs i domstolarna och som kommer till uttryck i domstolsdatalagens ändamålsbestämmelser. Av den anledningen innehåller domstolsdatalagen inte någon bestämmelse som klargör rätten för domstolarna att behandla känsliga personuppgifter.
198
Ds 2017:41 |
Känsliga personuppgifter m.m. |
I nämnda förarbeten görs följande bedömning av domstolarnas behov av att behandla känsliga personuppgifter.
Det stora flertalet känsliga personuppgifter som behandlas i domstol härrör från vad parterna anfört i inlagor och vid domstols- förhandlingar, vilket innebär att det ligger utanför domstolarnas kontroll om en viss uppgift förekommer i verksamheten eller inte. För domstolarnas egen del är det i huvudsak fråga om att använda redan inkomna känsliga personuppgifter vid framställning av olika dokument som är nödvändiga för handläggning och avgörande av mål och ärenden. I fråga om formulerande av domskäl har domstolarna i och för sig en möjlighet att påverka i vilken utsträckning känsliga person- uppgifter återges eller tillförs texten. Det är dock av principiella skäl uteslutet att genom bestämmelser i domstolsdatalagen inskränka domarnas frihet att formulera domskäl i syfte att undvika att känsliga personuppgifter behandlas. /…/ Det finns strängt taget inga skillnader mellan i vilken utsträckning domstolarna behöver behandla känsliga personuppgifter och andra personuppgifter. För att domstolarna ska kunna sköta sin informationshantering elektroniskt måste de också kunna behandla känsliga personuppgifter för att på ett ändamålsenligt sätt vidta de åtgärder som behövs för att handlägga mål och ärenden. Att domstolarna tillåts behandla känsliga personuppgifter som ett led i handläggningen av mål och ärenden, t.ex. genom elektronisk lagring av partsinlagor, domskrivning, expediering av domar osv., bedöms typiskt sett inte medföra särskilt stora risker i integritetshänseende. Domstolarnas hantering av känsliga personuppgifter är i hög grad styrd av de processuella regelverken, vilket innebär att det finns en yttre ram för vad domstolen överhuvudtaget får göra. Mot denna bakgrund anser regeringen att behovet av att kunna behandla känsliga personuppgifter och de effektivitetsvinster som elektronisk hantering medför väger tyngre än den risk för integritetsintrång som en sådan behandling kan innebära. Behandlingen av känsliga personuppgifter bör därför som utgångspunkt vara tillåten och endast begränsas genom den rättsliga ram som föreslås i avsnitt 8, vilken bl.a. består av verksamhetsspecifika ändamålsbestämmelser.
Av 13 § domstolsdatalagen framgår dock att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Av förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 50) framgår att bestämmelsen har införts för att tydliggöra att känsliga personuppgifter inte får användas som enda grund för en behandling av personuppgifter och att det inte är tillåtet att exempelvis föra register över eller på annat sätt göra anteckningar
199
Känsliga personuppgifter m.m. |
Ds 2017:41 |
om enskilda enbart på den grunden att de utifrån t.ex. etniskt ursprung eller hälsa kan hänföras till en viss kategori av människor.
16.2.2Sökbegränsningar
Enligt 14 § första stycket domstolsdatalagen är det vid sökning i personuppgifter förbjudet att som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, sexualliv, nationell anknytning samt brott eller misstanke om brott. Dataskyddsutredningen har i sitt betänkande (SOU 2017:39 s. 179) anfört att en vanligt förekommande skyddsåtgärd i register- författningar är sökbegränsningar. Bestämmelsen i 14 § domstols- datalagen har enligt förarbetena (prop. 2014/15:148 s. 49) också införts för att minimera riskerna för att känsliga personuppgifter missbrukas.
I 14 § andra stycket domstolsdatalagen förtydligas att användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp inte omfattas av förbudet i första stycket. Detta är ett förtydligande av att målgrupps- och måltypskoder får användas som sökbegrepp. Enligt förarbetena till domstolsdatalagen (a.a s. 63) är skälet till detta att sådana koder används i mycket stor utsträckning i domstolarnas dagliga verksamhet och inte anses medföra några särskilda risker i integritetshänseende.
Som bakgrundsinformation kan här nämnas att myndigheter enligt artikel 10 i dataskyddsförordningen får behandla person- uppgifter som rör fällande domar i brottmål. Uppgifter om friande domar och misstanke om brott finns inte särskilt reglerat i data- skyddsförordningen.
I förarbetena till domstolsdatalagen (a.a s. 62) gör regeringen följande bedömning. Det finns integritetsrisker med att tillåta domstolspersonal att använda känsliga sökbegrepp. Domstolens tjänstemäns sökningar begränsas dock redan genom lagens ändamålsbestämmelse och av den bestämmelse i 8 § som innebär att varje tjänsteman endast får ha tillgång till de personuppgifter som behövs för att han eller hon ska kunna fullgöra sina arbets- uppgifter. Därför handlar riskerna främst om att allmänheten med
200
Ds 2017:41 |
Känsliga personuppgifter m.m. |
stöd av offentlighetsprincipen har möjlighet att begära att domstolspersonalen ska använda sökbegrepp för att sammanställa och lämna ut personuppgifter. Ett förbud för tjänstemän att använda vissa sökbegrepp medför att allmänheten inte heller har rätt att begära ut en sammanställning som gjorts utifrån dessa sökbegrepp. Detta framgår av den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket TF.
I nämnda förarbeten framhölls dock också att det finns ett behov av att kunna använda vissa av de integritetskänsliga sök- begreppen i domstolarnas verksamhet. I 15 § domstolsdatalagen finns därför undantag från sökbegränsningarna i 14 §. Undantagen innebär att det är tillåtet att i allmän domstol använda sökbegrepp som avslöjar brott eller misstanke om brott samt att i allmän förvaltningsdomstol använda sökbegrepp som avslöjar hälsa, brott eller misstanke om brott. Sökbegränsningarna gäller inte heller vid sökning i en viss handling eller i ett visst mål eller ärende.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om begränsningar av möjligheten att använda de integritetskänsliga sökbegrepp som tillåtits för allmän domstol och allmän förvaltningsdomstol. Regeringen har utnyttjat denna möjlighet och genom
16.3Dataskyddslagen
Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit att dataskyddslagen ska innehålla bestämmelser om rätten att behandla känsliga personuppgifter. Enligt förslaget ska myndigheter få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (3 kap. 3 § 1). Dataskyddsutredningen föreslår också att myndigheter ska få behandla känsliga person-
201
Känsliga personuppgifter m.m. |
Ds 2017:41 |
uppgifter om de lämnats till myndigheten och behandlingen krävs enligt annan lag (3 kap. 3 § 2). Anledningen till detta anges vara att det utgör ett viktigt allmänintresse att myndigheterna ska kunna sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt. Detta förutsätter att den grundlagsstadgade handlings- offentligheten och andra lagstadgade skyldigheter upprätthålls. Det anges också att viss behandling av känsliga personuppgifter är oundvikligt i myndigheternas verksamhet som en direkt följd av exempelvis tryckfrihetsförordningens, offentlighets- och sekretess- lagens och förvaltningslagens bestämmelser. Sådan behandling bör uttryckligen tillåtas i dataskyddslagen så att det inte råder någon tveksamhet kring lagligheten av behandlingen.1
Utöver detta föreslår Dataskyddsutredningen att myndigheter i enstaka fall ska få behandla känsliga personuppgifter om det är absolut nödvändig för ändamålet med behandlingen och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § 3). En myndighet som behandlar känsliga personuppgifter enbart med stöd av 3 kap. 3 § dataskyddslagen ska enligt Dataskyddsutredningens förslag inte få använda sökbegrepp som avslöjar känsliga personuppgifter (3 kap. 4 §).
16.42016 års dataskyddsdirektiv
Av artikel 10 i 2016 års dataskyddsdirektiv framgår att behandling av känsliga personuppgifter ska vara tillåten endast om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom måste ytterligare krav vara uppfyllda för att behandling av känsliga personuppgifter ska få ske; antingen ska behandlingen vara tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, eller ska behandlingen ske för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller ska behandlingen röra uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. 2016 års dataskyddsdirektiv ger således, genom kravet på absolut nödvändighet, mer begränsade möjligheter att behandla känsliga personuppgifter än dataskydds-
1 Se Dataskyddsutredningens betänkande (SOU 2017:39 s. 176 f.).
202
Ds 2017:41 |
Känsliga personuppgifter m.m. |
förordningen. Direktivet gäller för den behandling av person- uppgifter som sker hos en medlemsstats behöriga myndigheter i syfte att bl.a. förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Detta innebär att det för vissa delar av de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet kommer att finnas restriktivare krav för behandling av känsliga personuppgifter än vad som enligt huvudregeln i den föreslagna dataskyddslagen gäller för myndigheters behandling i ärendehandläggningen.
16.5Bedömning
Förslag: Uppgifter om en person ska inte få behandlas enbart på grund av vad som är känt om personen genom sådana särskilda kategorier av uppgifter som anges i artikel 9.1 i dataskydds- förordningen (känsliga personuppgifter).
Vid sökning i personuppgifter ska det vara förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen samt uppgifter om nationell anknytning eller uppgifter om brott eller misstanke om brott.
Bedömning: Dataskyddsförordningen innebär inte att det behövs någon nationell bestämmelse som ger domstolarnas rätt att behandla känsliga personuppgifter.
Domstolarna bör som huvudregel även fortsättningsvis få behandla känsliga personuppgifter i samma utsträckning som andra personuppgifter.
Utöver vad som framgår av våra förslag föranleder data- skyddsförordningen ingen ändring av domstolsdatalagens och domstolsdataförordningens bestämmelser om sök- begränsningar.
16.5.1Rätten att behandla känsliga personuppgifter
Av artikel 9.2 f i dataskyddsförordningen framgår tydligt att domstolarna får behandla känsliga personuppgifter i sin dömande verksamhet. Vi anser att dataskyddsförordningens begrepp
203
Känsliga personuppgifter m.m. |
Ds 2017:41 |
dömande verksamhet innefattar all den personuppgiftsbehandling som sker i det enskilda målet eller ärendet från att detta anhängiggörs vid domstolen tills ett slutligt avgörande har meddelats. Vår bedömning innebär dock – trots den vida tolkningen av begreppet dömande verksamhet – att undantaget för dömande verksamhet inte omfattar vissa delar av den personuppgiftsbehandling som sker inom domstolsdatalagens tillämpningsområde (se vidare avsnitt 8.4).
Enligt artikel 9.2 f i dataskyddsförordningen gäller undantaget från förbudet att behandla känsliga personuppgifter emellertid även om behandlingen är nödvändig för att fastställa rättsliga anspråk. I tidigare förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 48) har detta undantag ansetts omfatta domstolarnas rätt- skipande och rättsvårdande verksamhet i sin helhet.
Vi anser för vår del att det undantag som med störst säkerhet kan sägas omfatta domstolarnas hela rättskipande och rättsvårdande verksamhet är undantaget för viktiga allmänna intressen i artikel 9.2 g i dataskyddsförordningen. Vi har i avsnitt 6.2.5 gjort bedömningen att hela domstolarnas rättskipande och rättsvårdande verksamhet utgör en uppgift av allmänt intresse. I personuppgiftslagen har undantaget som rör viktiga allmänna intressen (artikel 8.4 i 1995 års dataskyddsdirektiv) utnyttjats bl.a. för att införa regleringen om behandling av känsliga personuppgifter för forsknings- och statistikändamål i 19 § PuL. Med stöd av samma bestämmelse har medlemsstaterna infört undantag för behandling av känsliga personuppgifter i myndigheters verksamhet, på bankområdet och för att främja jämställdhet och social trygghet.2 Att även den uppgift av allmänt intresse som anförtrotts domstolarna kan beskrivas som ”viktig” anser vi mot den bakgrunden vara tämligen självklart.
Artikel 9.2 g i dataskyddsförordningen innehåller vissa krav som måste vara uppfyllda för att undantaget ska bli tillämpligt. För det första ska det viktiga allmänna intresset framgå av unionsrätten eller medlemsstaternas nationella rätt. För det andra ska denna lagstiftning stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och
2 Artikel
204
Ds 2017:41 |
Känsliga personuppgifter m.m. |
innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Domstolarnas rättskipande och rättsvårdande uppgift är fastställd genom författning. Vad gäller de grundläggande principerna för personuppgiftsbehandling motsvarar dataskydds- förordningen till allra största delen 1995 års dataskyddsdirektiv. Mot den bakgrunden anser vi att det får förutsättas att den behandling av personuppgifter som sker inom ramen för domstolarnas rättskipande och rättsvårdande verksamhet är proportionerlig mot syftet med behandlingen och inte oförenlig med det grundläggande skyddet för personuppgifter. Genom domstolsdatalagen finns också bestämmelser som säkerställer skyddet för de registrerades integritet, t.ex. i form av behörighets- och sökbegränsningar.
Enligt domstolsdatalagens sekundära ändamålsbestämmelse får domstolarna vidarebehandla personuppgifter som redan finns i den rättskipande och rättsvårdande verksamheten genom att lämna ut dem. En förutsättning för detta är att uppgiftslämnandet sker i överensstämmelse med lag eller förordning. Även känsliga personuppgifter kan naturligtvis ingå bland de personuppgifter som enligt författning ska lämnas ut.
Den personuppgiftsbehandling som sker med stöd av domstols- datalagens sekundära ändamålsbestämmelse kan enligt vår mening inte anses ske för att den är nödvändig i den dömande verksamheten eller för att fastställa rättsliga anspråk. Dock anser vi att undantaget i artikel 9.2 g i dataskyddsförordningen – viktigt allmänt intresse – är tillämpligt även för denna behandling av känsliga personuppgifter (se avsnitt 6.2.5). Vi har också gjort bedömningen att ett utlämnande av personuppgifter som sker i enlighet med lag eller förordning måste anses vara nödvändigt med hänsyn till ett viktigt allmänt intresse. Det får enligt vår mening vidare förutsättas att ett utlämnande av personuppgifter som föreskrivs i författning är proportionerligt mot syftet med utlämnandet och inte oförenligt med det grundläggande skyddet för personuppgifter. För det fall utlämnandet av känsliga uppgifter sker till annan myndighet finns också ett skydd för uppgifterna eftersom myndigheter enligt Dataskyddsutredningens förslag till dataskyddslag inte får använda sökbegrepp som avslöjar känsliga
205
Känsliga personuppgifter m.m. |
Ds 2017:41 |
personuppgifter. Även de enskilda myndigheternas register- författningar kan, precis som domstolsdatalagen, innehålla skydds- åtgärder i form av bl.a. sökbegränsningar eller behörighets- begränsningar.
Sammanfattningsvis anser vi att samtliga de krav som ställts upp i artikel 9.2 g i dataskyddsförordningen för att känsliga person- uppgifter ska få behandlas med hänsyn till ett viktigt allmänt intresse är uppfyllda för den personuppgiftsbehandling som sker i domstolarnas rättskipande och rättsvårdande verksamhet. Det- samma gäller för den vidarebehandling av dessa personuppgifter som sker genom att de lämnas ut i överensstämmelse med lag eller förordning. Dataskyddsförordningen tillåter enligt vår mening därmed att känsliga personuppgifter behandlas på hela domstols- datalagens tillämpningsområde. Någon nationell bestämmelse som ger domstolarnas rätt att behandla känsliga personuppgifter behövs enligt vår mening alltså inte.
16.5.2Huvudregel för behandling av känsliga personuppgifter
Frågan är då om det i domstolsdatalagen ska införas en bestämmelse som reglerar under vilka övriga förutsättningar domstolarna får behandla känsliga personuppgifter. För det fall ingen bestämmelse införs görs ingen skillnad mellan känsliga personuppgifter och andra personuppgifter. Känsliga person- uppgifter får då, liksom övriga personuppgifter, behandlas om det behövs för handläggningen av mål och ärenden eller om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Detta framgår av domstolsdatalagens ändamålsbestämmelser.
Som framgår av avsnitt 5.3 anser vi inte att det finns något hinder mot att medlemsstaterna inför mer restriktiva bestämmelser för sina myndigheters personuppgiftsbehandling än vad som följer av dataskyddsförordningen. Vi bedömer därmed att det skulle finnas utrymme för att i domstolsdatalagen föreskriva att domstolarna endast får behandla känsliga personuppgifter i den rättskipande och rättsvårdande verksamheten om det är absolut nödvändigt med hänsyn till ändamålet med behandlingen. En sådan reglering skulle motsvara de krav på behandling av känsliga
206
Ds 2017:41 |
Känsliga personuppgifter m.m. |
personuppgifter som föreskrivs i artikel 10 i 2016 års dataskydds- direktiv.
En reglering som innebär att känsliga personuppgifter får behandlas endast om det är absolut nödvändigt medför en särskild restriktivitet i användandet av dessa personuppgifter. Det tydliggör också att de känsliga personuppgifterna har ett särskilt skydds- värde. Ett krav på ”absolut nödvändighet” kommer vidare, enligt förslaget till brottsdatalag, att gälla för stora delar av domstolarnas verksamhet.3 Ytterligare en fördel med ett krav på ”absolut nödvändighet” vore därmed att samma förutsättningar för behandling av känsliga personuppgifter skulle gälla för domstolarna hela kärnverksamhet. Risken för felbedömningar gällande en behandlings tillåtlighet skulle då troligtvis minska.
Huvudregeln för de myndigheter vars personuppgiftsbehandling inte kommer att styras av brottsdatalagen och dess kompletterande registerförfattningar kommer dock att vara att de får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggning av ett ärende. Detta följer av Dataskyddsutredningens förslag till dataskyddslag.4 Hos domstolarna behandlas känsliga person- uppgifter för närvarande till allra största delen i domar eller beslut. Detta sker i löpande text och de känsliga personuppgifter som återges i domen eller beslutet härrör i de allra flesta fall från vad parterna själva har anfört i processen. Hanteringen av känsliga personuppgifter hos domstolarna har därmed stora likheter med den ärendehantering som sker hos förvaltningsmyndigheterna och där huvudregeln ska vara att myndigheterna får behandla känsliga personuppgifter om det är nödvändigt.
Det är obligatoriskt för medlemsstaterna att genomföra 2016 års dataskyddsdirektiv. För den del av domstolarnas verksamhet som är direktivstyrd finns det således inte någon valmöjlighet gällande förutsättningarna att behandla känsliga personuppgifter. Det är vidare rimligt att exempelvis de allmänna domstolarna i sin brott- målshantering har samma begränsningar för behandlingen av känsliga personuppgifter som Åklagarmyndigheten.
3Jfr Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29) och vårt avsnitt 4.3.
4Se Dataskyddsutredningens betänkande (SOU 2017:39).
207
Känsliga personuppgifter m.m. |
Ds 2017:41 |
För de delar av domstolarnas verksamhet där personuppgifts- behandlingen kommer att styras av dataskyddsförordningen är det enligt vår mening dock naturligare att känsliga personuppgifter behandlas enligt den huvudregel som ska gälla för de myndigheter som inte är ”direktivstyrda”.
De allmänna förvaltningsdomstolarna behandlar dessutom en mycket stor mängd känsliga personuppgifter inom ramen för sin målhantering. Samma sak gäller för vissa av de allmänna domstolarnas ärenden, t.ex. ärenden om adoption och förordnande av förvaltare eller god man. Dessa känsliga personuppgifter härrör främst från vad parterna själva anfört i målet eller ärenden. För de allmänna förvaltningsdomstolarna skulle det kunna innebära svårigheter om de inte får behandla känsliga personuppgifter i samma utsträckning som den förvaltningsmyndighet som fattat det överklagade beslutet eller lämnat in en ansökan som ska bedömas av domstolen. Man skulle dock kunna argumentera för att de känsliga personuppgifter som lämnats in av en part i det enskilda målet eller ärendet eller som härrör från den beslutande myndighetens akt är absolut nödvändiga för domstolen att behandla.
Som framgår av förarbetena till domstolsdatalagen (se avsnitt 16.2.1) finns det betänkligheter mot att införa bestämmelser som begränsar domarnas frihet att formulera domar på det sätt de anser lämpligt. Om känsliga personuppgifter får behandlas under samma förutsättningar som andra personuppgifter bidrar detta därmed till att upprätthålla domstolarnas självständighet.
Vi anser mot denna bakgrund att det i domstolsdatalagen inte bör införas bestämmelser som begränsar behandlingen av känsliga personuppgifter till situationer där det är absolut nödvändigt med hänsyn till ändamålet med behandlingen. Känsliga personuppgifter bör även fortsättningsvis som huvudregel få behandlas i samma utsträckning som andra personuppgifter.
16.5.3Begränsning av behandling av känsliga personuppgifter
Av 13 § domstolsdatalagen framgår att känsliga personuppgifter inte får användas som enda grund för behandlingen av personuppgifter. Om en tjänsteman vid en domstol skulle behandla
208
Ds 2017:41 |
Känsliga personuppgifter m.m. |
personuppgifter på detta sätt utan att det behövs för handläggningen av mål och ärenden skulle behandlingen, även utan förtydligandet i 13 §, i och för sig vara oförenlig med domstolsdatalagen. Lagstiftaren har dock bedömt att det ändå finns anledning att tydliggöra denna begränsning. Mot den bakgrunden och då vi anser att dataskyddsförordningen inte hindrar en sådan bestämmelse är det vår bedömning att bestämmelsen ska finnas kvar.
Vilka personuppgifter som hänförs till kategorin känsliga personuppgifter har utökats genom dataskyddsförordningen. Numera ingår även sexuell läggning och genetiska uppgifter i begreppet. Även biometriska uppgifter för att entydigt identifiera en fysisk person har tillkommit.
Vi anser att det är en självklarhet att sexuell läggning bör omfattas av domstolsdatalagens bestämmelse. Det är vidare svårt att förutse hur den tekniska utvecklingen kommer att förändra möjligheten att behandla personuppgifter i domstolarnas verksamhetssystem. Vi gör därför bedömningen att även genetiska uppgifter samt biometriska uppgifter för att entydigt identifiera en fysisk person bör ingå i uppräkningen av de känsliga person- uppgifter som inte får utgöra enda grund för behandlingen. Detta görs enligt vår mening lättast genom en hänvisning till artikel 9.1 i dataskyddsförordningen, där de känsliga personuppgifterna räknas upp. En sådan lagstiftningsteknik används även i Dataskydds- utredningens förslag till dataskyddslag. På detta sätt undviks också användningen av ordet ras i domstolsdatalagen, vilket är i överens- stämmelse med det förslag som nyligen lämnats i betänkandet av Utredningen om transpersoners straffrättsliga skydd m.m. (SOU 2015:103 s. 165 ff.).
16.5.4Sökbegränsningar
Vid domstolsdatalagens tillkomst identifierades ett antal sökbegrepp som bedömdes medföra särskilda integritetsrisker i domstolarnas verksamhet. Utöver känsliga personuppgifter handlar det om uppgifter om nationell anknytning och om brott eller misstanke om brott. Enligt huvudregeln i 14 § domstolsdatalagen är det förbjudet att använda sökbegrepp som avslöjar denna typ av
209
Känsliga personuppgifter m.m. |
Ds 2017:41 |
uppgifter. Genom de undantag som gjorts från förbudet och de tidsmässiga begränsningar som gäller för sökningar på vissa begrepp, måste lagstiftaren ha ansett att de samlade bestämmelserna om sökbegränsningar i domstolsdatalagen och domstolsdataförordningen utgör en rimlig avvägning mellan skyddet för den personliga integriteten och domstolarnas verksamhetsbehov.
Sökbegränsningar utgör en skyddsåtgärd i dataskydds- förordningens mening. Det finns inte någon bestämmelse i data- skyddsförordningen som föranleder ändring vad gäller före- komsten av sökbegränsningar för domstolarna.
Domstolarna behandlar stora mängder känsliga personuppgifter och det finns en möjlighet för allmänheten att med stöd av tryckfrihetsförordningen begära ut sammanställningar av känsliga personuppgifter, om en sådan sammanställning är tillåten att göra för domstolarnas tjänstemän. Utifrån dessa aspekter är det enligt vår mening önskvärt att behålla det skydd för känsliga person- uppgifter som sökbegränsningarna utgör. Samma resonemang gäller naturligtvis för de övriga integritetskänsliga uppgifter som träffas av den nuvarande sökbegränsningen.
Även Dataskyddsutredningen har i sitt betänkande (SOU 2017:39) föreslagit sökbegränsningar för känsliga personuppgifter som en huvudregel för svenska myndigheter. En sökbegränsning för domstolarna skulle därmed följa denna huvudregel.
Nuvarande 14 § första stycket domstolsdatalagen, som anger vilka sökbegrepp som enligt huvudregeln är förbjudna, bör dock ändras med hänsyn till att det i dataskyddsförordningen har tillkommit kategorier av personuppgifter som ska anses vara känsliga. I detta fall görs ändringen enligt vår mening enklast genom en hänvisning till den paragraf i domstolsdatalagen, där det kommer att finnas en hänvisning till dataskyddsförordningens definition av begreppet känsliga personuppgifter (se avsnitt 16.5.3).
Vissa av domstolsdatalagens och domstolsdataförordningens bestämmelser om sökbegränsningar avser hur sökning av person- uppgifter får utföras i de delar av verksamheten där personuppgifts- behandlingen vid handläggning av mål och ärenden faller under brottsdatalagens tillämpningsområde. Ett exempel är 4 § domstols- dataförordningen, som endast gäller möjligheten att söka i person- uppgifter i brottmål. Delar av domstolarnas personuppgifts-
210
Ds 2017:41 |
Känsliga personuppgifter m.m. |
behandling regleras emellertid av dataskyddsförordningen även om personuppgiftsbehandlingen primärt har behandlats för syften som ligger inom brottsdatalagens tillämpningsområde. Det gäller för utlämnande av personuppgifter enligt lag eller förordning som sker utanför brottsdatalagens tillämpningsområde, t.ex. i enlighet med tryckfrihetsförordningen, och för arkivering av personuppgifter (se avsnitt 9.2 och 19.4.4).
De sökbegränsningar som finns i domstolsdatalagen och domstolsdataförordningen i dag har ansetts vara ändamålsenliga för verksamheten. Genom att behålla samtliga dessa sökbegränsningar upprätthålls enligt vår mening integritetsskyddet vid den person- uppgiftsbehandling som utförs vid de nyss nämnda utlämnandena och vid domstolarnas arkivering i all rättskipande och rättsvårdande verksamhet. I den mån sökbegränsningarna träffar personuppgifts- behandlingen i exempelvis brottmål, kommer de att vara tillämpliga endast i de fall behandlingen inte sker med stöd av brottsdatalagen och dess kompletterande registerförfattning, såsom efter arkivläggning av handlingarna i ett mål.
Vi föreslår mindre språkliga anpassningar för de delar av
Avslutningsvis vill vi tillägga att vi inom ramen för vårt uppdrag endast ska föreslå de förändringar i domstolsdatalagen och domstolsdataförordningen som behövs med anledning av dataskyddsförordningen. Eventuella tillämpningsproblem som föranleds av den nuvarande utformningen av dessa författningar ligger därmed utanför vårt uppdrag.
211
17 Elektroniskt utlämnande
17.1Proportionalitetsbedömning
Utlämning på medium för automatiserad behandling och direkt- åtkomst utgör olika sätt att elektroniskt lämna ut uppgifter. I den mån utlämnandet innefattar personuppgifter utgör det en behandling av personuppgifter i dataskyddsförordningens mening.
Dataskyddsförordningen saknar, liksom 1995 års dataskydds- direktiv, särskilda bestämmelser om elektroniskt utlämnande. Upplysningsvis kan sägas att skäl 31 till dataskyddsförordningen innehåller en skrivning om att ”offentliga myndigheters begäranden om att uppgifter ska lämnas ut alltid ska vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman”. Tagen ur sitt samman- hang skulle skrivningen kunna tolkas som ett hinder mot att etablera direktåtkomst mellan myndigheter. Den förekommer dock i samband med ett resonemang om vem som definitionsmässigt ska betraktas som mottagare av personuppgifter i dataskydds- förordningens mening och – indirekt – om möjligheten att göra undantag från viss informationsskyldighet gentemot registrerade.1 Vi anser inte att skrivningen ska ges någon betydelse utanför detta mycket begränsade sammanhang.2
Enligt artikel 24.1 och artikel 32 i dataskyddsförordningen ska den personuppgiftsansvarige dock genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen utförs i enlighet med förordningen och att en lämplig säkerhetsnivå säkerställs. Enligt artikel 5.1 a i förordningen måste en person- uppgiftsbehandling vidare alltid vara korrekt (skälig och rimlig) i
1Jfr artikel 4.9 samt 13.1 e, 14.1 e, 15.1 c och 30.1 d i dataskyddsförordningen.
2Motsatt uppfattning har dock redovisats i eSamverkansprogrammets vägledning ”Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form” s. 22.
213
Elektroniskt utlämnande |
Ds 2017:41 |
förhållande till den registrerade. För att säkerställa att behandlingen av en personuppgift är skälig i förhållande till den registrerade ska det för varje behandling göras en proportionalitets- bedömning. I den bedömningen vägs behovet av den konkreta behandlingen mot den registrerades intresse av personlig integritet. En behandling av personuppgifter som innebär risker för den personliga integriteten får då genomföras endast om fördelarna med behandlingen står i rimlig proportion till riskerna. Säkerhets- åtgärder som minskar riskerna för den personliga integriteten har här stor betydelse.3
Rent allmänt kan nämnas att ett elektroniskt utlämnande av uppgifter anses medföra en större risk för otillbörliga integritets- intrång, eftersom det ger en större möjlighet att bearbeta och sprida informationen jämfört med ett utlämnande som sker i pappersform.4 Detta måste beaktas i den proportionalitets- bedömning som ska göras.
17.2Utlämnande på medium för automatiserad behandling
17.2.1Domstolsdatalagen och tidigare förarbeten
Ett utlämnande på medium för automatiserad behandling kan göras exempelvis genom att information förs över via
3Samma krav gäller enligt artikel 8 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, Europarådets konvention om skydd för enskilda vid automatiska databehandling av personuppgifter, nr 108, samt artikel 7 och 8 i EU:s stadga om de grundläggande rättigheterna (2010/C 83/02), jfr Datainspektionen Vägledning för integritetsanalys, september 2016 och Integritetsskyddskommitténs betänkande (SOU 2007:22 s. 449 f.).
4Jfr departementspromemorian med förslag till domstolsdatalag (Ds 2013:10 s. 119 f.).
5Jfr förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 75).
214
Ds 2017:41 |
Elektroniskt utlämnande |
Domstolsdataförordningen innehåller inga materiella bestämmelser om möjligheten att lämna ut uppgifter på detta sätt. Domstols- verket har emellertid, enligt 14 § andra stycket 2 domstolsdata- förordningen, möjlighet att meddela föreskrifter om begränsning av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling. Domstolsverket har ännu inte utnyttjat denna möjlighet.
I förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 75 ff.) har regeringen sammanfattningsvis gjort följande bedömning av domstolarnas behov av att lämna ut personuppgifter på medium för automatiserad behandling.
Skälen till att domstolarna behöver ha möjlighet att lämna ut uppgifter på medium för automatiserad behandling är flera. Det är dels en förutsättning för att domstolarna ska kunna använda elektroniska akter, för att
Regeringen konstaterar vidare att de risker som finns med ett utlämnande på medium för automatiserad behandling är att det är lättare för mottagaren att sammanställa eller sprida uppgifterna om de lämnas ut elektroniskt. En bestämmelse som innebär att sådant utlämnande får ske endast om det inte är olämpligt innebär att personuppgifternas art, struktur och antal ska beaktas i varje enskilt fall. Personuppgifternas känslighet och säkerheten vid överföringen ska vägas in i denna bedömning. Bestämmelsen innebär att domstolen vid utlämnande ska agera med försiktighet
215
Elektroniskt utlämnande |
Ds 2017:41 |
och med respekt för berördas integritet. Lämplighetsprövningen ser naturligtvis olika ut beroende på om det exempelvis är en myndighet eller en enskild person som är mottagare.
17.2.2Bedömning
Bedömning: Dataskyddsförordningen föranleder ingen ändring av bestämmelsen om utlämnande av personuppgifter på medium för automatiserad behandling eller regeringens och Domstolsverkets föreskriftsrätt på det området.
Enligt 16 § domstolsdatalagen får personuppgifter lämnas ut på medium för automatiserad behandling om det inte är olämpligt. Utgångspunkten är således att ett sådant utlämnande är tillåtet. Mot bakgrund av det stora behov av att lämna ut uppgifter på detta sätt som redovisas av tidigare förarbeten, anser vi att detta är en rimlig utgångspunkt. Bestämmelsen innebär dock att domstolarna vid varje utlämnande måste göra en proportionalitetsbedömning där den enskildes integritetsskydd vägs mot de fördelar som finns med att lämna ut uppgifter på detta sätt.
Inom domstolsdatalagens tillämpningsområde handläggs mål och ärenden av mycket olika karaktär. Därmed varierar också den typ av personuppgifter som behandlas och behovet av integritets- skydd. Det är därför enligt vår mening mest ändamålsenligt att den proportionalitetsbedömning som ska göras vid ett utlämnande av personuppgifter via exempelvis
Nuvarande bestämmelser ger också regeringen och Domstols- verket möjlighet att vid behov ytterligare specificera innebörden av bestämmelsen i 16 § domstolsdatalagen. På detta sätt kan skyddet för den personliga integriteten ytterligare stärkas om det skulle visa sig behövas. I avsnitt 20.2 gör vi bedömningen att dataskydds- förordningen inte hindrar att bestämmelser om personuppgifts- behandling införs i en förordning eller i en myndighetsföreskrift, så länge föreskrifterna tillkommit i laga ordning.
216
Ds 2017:41 |
Elektroniskt utlämnande |
Mot denna bakgrund anser vi att domstolsdatalagens bestämmelse om utlämnande av personuppgifter på medium för automatiserad behandling är förenlig med dataskyddsförordningen och bör finnas kvar oförändrad. Detsamma gäller regeringens och Domstolsverkets föreskriftsrätt på området.
17.3Direktåtkomst
17.3.1Innebörden av direktåtkomst
Direktåtkomst innebär att uppgifter, däribland personuppgifter, elektroniskt görs tillgängliga för en mottagare utanför myndigheten. Högsta förvaltningsdomstolen ansåg i rättsfallet HFD 2015 ref. 61 att det avgörande för om en direktåtkomst kan anses föreligga är om upptagningen redan i och med möjligheten att ta del av den kan anses förvarad hos den mottagande myndig- heten i den mening som avses i 2 kap. 3 § tryckfrihetsförordningen. Enligt denna bestämmelse är så fallet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (se vidare avsnitt 21.2).
Informationshanteringsutredningen har i sitt betänkande med förslag till ny myndighetsdatalag gjort följande sammanfattning av begreppet direktåtkomst (SOU 2015:39 s. 121 ff.).
Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2011/12:45 s. 133). Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte något beslut om utlämnande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall. I förarbetena till 11 kap. 4 § OSL, som alltså reglerar överföring av sekretess vid direktåtkomst, uttalade sig regeringen om hur direktåtkomst bör definieras (prop. 2007/08:160 s. 164). Med en sådan åtkomst avsågs enligt regeringen att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. /.../ Den omständigheten
217
Elektroniskt utlämnande |
Ds 2017:41 |
att direktåtkomst till en viss mängd uppgifter innebär att de handlingar i vilka uppgifterna ingår anses expedierade till den mottagande myndigheten medför alltså i sin tur att handlingarna är att anse som förvarade, och därmed också som huvudregel som inkomna, hos den myndigheten i den mening som avses i 2 kap. 3 och 6 §§ TF. Handlingarna utgör genom direktåtkomsten således allmänna handlingar även hos den mottagande myndigheten. En direktåtkomst till sekretessreglerade uppgifter innebär vidare att det krävs en sekretessbrytande regel för att utlämnandet av uppgifterna inte ska innebära ett brott mot den sekretess som annars gäller.
Direktåtkomst innebär således ett elektroniskt utlämnande, som kan omfatta bland annat personuppgifter. Jämfört med ett elektroniskt utlämnande av uppgifter som sker efter en ”manuell” förfrågan är direktåtkomsten emellertid mycket mer omfattande. Den mottagande myndigheten tillåts ju söka fritt i den informationssamling som direktåtkomsten avser och samtliga handlingar som omfattas av direktåtkomsten anses ha expedierats i samma ögonblick som direktåtkomsten upprättas.6
Integritetsriskerna med direktåtkomst består således i att den mottagande myndigheten på egen hand får söka bland all information som finns i den aktuella informationssamlingen utan att den utlämnande myndigheten har kontroll över vilka uppgifter som lämnas ut. Direktåtkomsten kan också ge möjlighet för personal på den mottagande myndigheten att hämta hem informationen till sitt eget system och bearbeta den där.7 Vidare innebär direktåtkomst att den mottagande myndigheten kan vara skyldig att i enlighet med offentlighetsprincipen lämna ut de personuppgifter som omfattas av direktåtkomsten. Givetvis gäller detta med den begränsning som föreskrivs i offentlighets- och sekretesslagen.
Det bör vidare nämnas att offentlighetsprincipen också omfattar uppgifter som ännu inte sammanställts hos en myndighet, men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder. En sökning är ett exempel på en sådan rutinbetonad åtgärd. Om direktåtkomst tillåter den mottagande myndigheten att göra en viss sökning i värdmyndighetens databas, måste den mottagande myndigheten således göra en sökning och
6Jfr Informationshanteringsutredningens betänkande (SOU 2015:39 s. 136).
7Jfr prop. 2007/08:160 s. 56.
218
Ds 2017:41 |
Elektroniskt utlämnande |
lämna ut de uppgifter sökningen resulterar i om den har fått en begäran om att lämna ut en sammanställning av åtkomliga uppgifter i enlighet med tryckfrihetsförordningen.
17.3.2Domstolsdatalagen
Den yttre ramen för den direktåtkomst som är tillåten i domstolarnas rättskipande och rättsvårdande verksamhet framgår av 17 § domstolsdatalagen. Enligt denna bestämmelse får direkt- åtkomst endast medges en allmän domstol, en allmän förvaltnings- domstol, en hyres- och arrendenämnd samt en part eller partens ombud, biträde eller försvarare. Direktåtkomst som medges part, parts ombud, biträde eller försvarare får endast avse person- uppgifter i partens mål eller ärende.
För att skapa en reglering som är ändamålsenlig över tid framgår av 17 § tredje stycket domstolsdatalagen att regeringen har möjlighet att meddela ytterligare föreskrifter om begränsning av direktåtkomst och om behörighet och säkerhet vid sådan åtkomst.8 Regeringen har även möjlighet att vidaredelegera föreskriftsrätt till myndighet i denna del.
Regeringen har utnyttjat sin föreskriftsrätt genom att i
Direktåtkomst får endast ges vid överklagande, till rättspraxis och i samband med beredskapsverksamhet. För närvarande är det således inte tillåtet för domstolarna att bevilja parter, deras ombud, biträden och försvarare direktåtkomst. För de allmänna förvaltningsdomstolarna kommer samtliga domstolsdata- förordningens bestämmelser om direktåtkomst att börja tillämpas först den 1 januari 2018.
Vid överklagande får direktåtkomst ges både från underrätt till överrätt och från överrätt till underrätt. Direktåtkomst vid över- klagande avser inte bara domar och beslut utan även de person- uppgifter som kan vara registrerade i domstolarnas verksamhets- stöd i de enskilda målen eller ärendena. I mål där särskilda
8 Se förarbetena till domstolsdatalagen(prop. 2014/15:148 s. 68 f.).
219
Elektroniskt utlämnande |
Ds 2017:41 |
rättsmedel åberopas ges samma möjlighet till direktåtkomst som vid överklagande. Direktåtkomst vid överklagande (och särskilda rättsmedel) har en tidsmässig begränsning genom att den endast är tillåten under sex månader efter det att domen eller beslutet fick laga kraft.
Direktåtkomst till domar och beslut för rättspraxis får ges från överrätterna i de allmänna förvaltningsdomstolarna till under- rätterna i samma domstolskedja. På samma sätt får överrätterna i de allmänna domstolarna ge direktåtkomst till underrätterna i den domstolskedjan. Denna möjlighet utnyttjas dock inte av de allmänna domstolarna i dag. I 11 § domstolsdataförordningen finns vidare en uppräkning av vilka uppgifter utöver domar och beslut som direktåtkomst för rättspraxis får avse. Direktåtkomst till rättspraxis har en tidsmässig begränsning som innebär att tillgång endast är tillåten under 20 år efter det att domen eller beslutet fick laga kraft.
Vid beredskapsverksamhet behöver domstolar som samarbetar kunna behandla personuppgifter i de aktuella målen hos de andra domstolarna på samma sätt som i mål som handläggs vid den egna domstolen. Direktåtkomsten vid sådan verksamhet ger tillgång till de personuppgifter som behövs för handläggningen av de aktuella målen. Inom ramen för beredskapsverksamheten prövas vissa frågor som ligger inom ramen för dataskyddsförordningens tillämpningsområde, t.ex. vissa frågor om kontaktförbud avseende gemensam bostad.9
Domstolsverket får, enligt 14 § andra stycket 3 domstolsdata- förordningen, meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter genom direktåtkomst och om behörighet och säkerhet vid sådant utlämnande. Några sådana föreskrifter finns för närvarande inte.
17.3.3Tidigare förarbeten
I förarbetena till domstolsdatalagen (prop. 2014/15:148 s. 67 ff.) gjorde regeringen en avvägning av behovet av direktåtkomst mellan
9 Se 1 § förordning (1988:31) om tingsrätternas beredskap för prövning av häktningsfrågor m.m. samt Utredningen om 2016 års dataskyddsdirektivs delbetänkande (SOU 2017:29 s. 212).
220
Ds 2017:41 |
Elektroniskt utlämnande |
domstolarna och skyddet för den enskildes integritet. Samman- fattningsvis framgår här följande.
Direktåtkomst mellan domstolarna är av stor betydelse för att domstolarna ska kunna bedriva sitt arbete rättssäkert och effektivt. Som exempel nämns bland annat en effektiv återanvändning av personuppgifter hos överrätten när mål har överklagats, möjligheten för överrätten att i ett överklagat mål ta del av ljud- och bildupptagningar som lagras elektroniskt i underrättens dator- system och möjligheten att söka bland avgöranden från en annan domstol i syfte att främja en enhetlig rättstillämpning och effektiv handläggning. Det finns således flera verksamhetsmässiga fördelar med direktåtkomst mellan domstolar. Domstolsdatalagen bör därför inte förhindra ett utlämnande av uppgifter genom direkt- åtkomst.
Regeringen anförde dock även att de integritetsrisker som kan vara förknippade med direktåtkomst måste bemästras och gjorde följande bedömning. Integritetsriskerna består i att person- uppgifter blir tillgängliga vid flera domstolar samtidigt. En viktig utgångspunkt för regleringen är därför att den direktåtkomst som tillåts inte blir mer omfattande än vad som är motiverat. Direktåtkomsten bör alltså anpassas efter de olika behov som finns i domstolarnas verksamhet och som kan försvaras ur ett integritets- perspektiv. Den bör noggrant anpassas efter behoven och begränsas både beträffande vilka kategorier av uppgifter som omfattas och vilka domstolar som ska kunna ha direktåtkomst till dessa kategorier av uppgifter.
Vad gäller direktåtkomst mellan domstolar anförde regeringen följande. Samma skydd kommer att gälla i alla led hos både avsändar- och mottagardomstolen eftersom båda domstolarna omfattas av domstolsdatalagen och tillhörande domstolsdata- förordning. Av 11 kap. 4 § OSL följer att den sekretess som gäller hos den utlämnande domstolen automatiskt förs över till den mottagande domstolen. Den överförda sekretessen blir dock, enligt 11 kap. 8 § OSL, i vissa fall inte lika stark hos den mottagande domstolen. Av integritetsskyddsskäl bör den tillåtna omfattningen av direktåtkomsten vara så preciserad som möjligt med avseende på vilka domstolar som kan tillåtas ha direktåtkomst till vilka personuppgifter. Behoven ser olika ut beroende på vilket behov som föranleder direktåtkomst. Behoven varierar även över tid och
221
Elektroniskt utlämnande |
Ds 2017:41 |
är bl.a. beroende av hur domstolarnas inre och yttre organisation utformas, arbetsrutiner, målsammansättningen i domstolarna och forumregler. Mot den bakgrunden bör den närmare regleringen om direktåtkomst meddelas av regeringen i förordning. För att åstadkomma en restriktiv ram för direktåtkomst bör huvudregeln enligt förordningsbestämmelserna vara att direktåtkomst är förbjuden utom i de fall som specificeras i förordning.
17.3.4Bedömning
Förslag: Dataskyddsförordningen föranleder ingen ändring av domstolsdatalagens och domstolsdataförordningens bestämmelser om direktåtkomst.
Enligt domstolsdatalagens och domstolsdataförordningens bestämmelser är direktåtkomst tillåten vid överklagande, för rätts- praxis och vid beredskapsverksamhet. Domstolsdatalagen ger också en möjlighet för domstolarna att ge parter och deras ombud, biträden och försvarare direktåtkomst, vilket för närvarande dock inte är tillåtet enligt domstolsdataförordningen.
Om en direktåtkomst innefattar personuppgifter innebär den också en behandling av personuppgifter. För den avsändande domstolen består personuppgiftsbehandlingen av att den lämnar ut personuppgifter och för den mottagande domstolen av att den samlar in dem.
Vi vill inledningsvis påpeka att vi anser att den direktåtkomst som är tillåten enligt domstolsdatalagen och de kompletterande reglerna i domstolsdataförordningen är förenlig med domstols- datalagens ändamål. Enligt ändamålsbestämmelsen i 6 § domstols- datalagen får personuppgifter behandlas för handläggning av mål och ärenden. Som framgår av avsnitt 9.1.2 ska ändamåls- bestämmelsen ges en vid innebörd, vilket innebär att det är mål- och ärendehandläggningen i stort som avses. Om en part får tillgång till uppgifter i ett pågående mål eller ärende genom direktåtkomst sker detta inom ramen för handläggningen av det enskilda målet eller ärendet. En överrätt som bereder sig tillgång till de personuppgifter som underrätten har registrerat i ett mål som överklagats gör detta för att kunna handlägga det överklagade målet
222
Ds 2017:41 |
Elektroniskt utlämnande |
på ett rättsäkert sätt. Den underrätt som har avgjort ett mål som överklagats har behov av att bevaka målets handläggning i överrätten och målets utgång för att utvärdera den handläggning och de bedömningar i rättsfrågor som gjorts i det enskilda målet. Underrätterna behöver vidare tillgång till överrätternas avgöranden för att hålla sig uppdaterade gällande rättspraxis, vilket är en förutsättning för en rättsäker hantering av framtida mål och ärenden. Avslutningsvis har naturligtvis de domstolar som deltar i beredskapsverksamhet behov av tillgång till personuppgifter i de mål som beredskapen avser, för att kunna fatta beslut och meddela dom i det enskilda målet. Det bör i detta sammanhang påpekas att det vid direktåtkomst mellan domstolar åligger den mottagande domstolen att se till att dess tjänstemän endast bereder sig tillgång till de personuppgifter de behöver för handläggningen av mål och ärenden. Detta är dock en bedömning som måste göras i varje enskilt fall.
Direktåtkomst regleras inte uttryckligen vare sig i 1995 års dataskyddsdirektiv eller i dataskyddsförordningen. Precis som enligt 1995 års dataskyddsdirektiv är dock en av grundprinciperna för personuppgiftsbehandlingen enligt dataskyddsförordningen att behandlingen ska vara korrekt i förhållande till den registrerade. Korrektheten innefattar att behandlingen ska vara rimlig eller skälig. Vid bedömningen av om en viss direktåtkomst mellan domstolar är förenlig med dataskyddsförordningen måste man således göra en avvägning mellan å ena sidan de effektivitetsvinster och andra fördelar som direktåtkomsten medför för de inblandade domstolarna och parterna och å andra sidan de risker den innebär för den enskildes integritet. För att direktåtkomst ska vara tillåten måste det efter en sådan proportionalitetsbedömning konstateras att fördelarna med behandlingen står i rimlig proportion till riskerna. Av betydelse är också vilka säkerhetsåtgärder som kan vidtas för att minska riskerna för den personliga integriteten.
Dataskyddsförordningens krav på proportionalitet är inte något nytt. Samma principer gäller enligt 1995 års dataskyddsdirektiv. Vid tillkomsten av domstolsdatalagen måste regeringen därför ha gjort bedömningen att fördelarna med den direktåtkomst som tillåts enligt lagen och tillhörande förordning står i rimlig proportion till riskerna. I förarbetena till domstolsdatalagen
223
Elektroniskt utlämnande |
Ds 2017:41 |
redogörs också för den stora nytta – både för verksamheten och för rättssäkerheten – som följer av direktåtkomst.
Vad gäller integritetsriskerna kan sägas att det är oundvikligt att direktåtkomsten avser ett stort antal fysiska personers person- uppgifter eftersom domstolsdatalagen reglerar personuppgifts- behandlingen hos alla allmänna domstolar, alla allmänna förvaltningsdomstolar och alla hyres- och arrendenämnder. Det ligger vidare i det rättskipande och rättsvårdande uppdragets natur att de personuppgifter som behandlas till stor del är av ett känsligt slag. Samtidigt präglas domstolsförfarandet av en stor öppenhet, där exempelvis domar och beslut som absolut huvudregel är offentliga.
Som framgår ovan gäller vid direktåtkomst samma regler för behandlingen av personuppgifter för den mottagande domstolen som för ”värddomstolen” eftersom de båda omfattas av domstolsdatalagen och domstolsdataförordningen. Detta innebär att det skydd i form av ändamålsbegränsningar, behörighets- begränsningar och sökbegränsningar som finns för person- uppgifterna hos värddomstolen även finns hos den mottagande domstolen. Ändamålsbegränsningen och behörighets- begränsningen säkerställer att tjänstemän på den mottagande domstolen endast behandlar de personuppgifter som behövs för arbetsuppgifterna. Sökbegränsningarna innebär ett skydd mot att de anställda på domstolen för egen del gör sökningar som inte är tillåtna. De bidrar dessutom till att de anställda inte får ta fram och sammanställa personuppgifter utifrån de förbjudna sökbegreppen efter begäran från allmänheten, vilket är av minst lika stor betydelse ur integritetssynpunkt. Enligt 11 kap. 4 § OSL förs vidare den sekretess som gäller hos värddomstolen över till den mottagande domstolen vid direktåtkomst. Samtliga dessa omständigheter bidrar till att minska integritetsriskerna för den enskilde.
Mot bakgrund av det skydd för den enskildes integritet som domstolsdatalagen och offentlighets- och sekretesslagen innebär och med hänsyn till att en avsaknad av direktåtkomst skulle innebära stora effektivitets- och rättsäkerhetsförluster, anser också vi att fördelarna med den tillåtna direktåtkomsten överväger de nackdelar i integritetshänseende som den medför. Någon anledning att på grund av dataskyddsförordningen ändra domstolsdatalagens
224
Ds 2017:41 Elektroniskt utlämnande
och domstolsdataförordningens bestämmelser i denna del finns därmed inte.
För det fall direktåtkomsten blir för omfattande kan detta dock utgöra ett problem ur ett integritetsperspektiv. Exempelvis kan en handling i ett mål hos en överrätt – som en underrätt har tillgång till med stöd av 9 § domstolsdataförordningen (direktåtkomst vid överklagande) – begäras ut hos underätten med stöd av tryck- frihetsförordningen. Detta får till följd att underrätten måste göra en sekretessprövning av handlingar som finns i överrättens mål. Av lätt förståeliga skäl är detta inte en lämplig ordning. Av bland annat denna anledning måste ett noggrant övervägande kring vilka handlingar som rent tekniskt ska kunna nås genom direktåtkomst göras.10 Detta är emellertid inte en fråga som det ankommer på oss att utreda.
10 Det bör framhållas att det krävs en sekretessbrytande bestämmelse för att en domstol – genom direktåtkomst eller på annat sätt – ska få föra över annars sekretessbelagda uppgifter till en annan dom