Konstitutionsutskottets betänkande

2017/18:KU23

Ny dataskyddslag

Sammanfattning

Utskottet föreslår att riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning och förslag till lag om ändring i offentlighets- och sekretesslagen.

EU:s dataskyddsförordning, som börjar tillämpas den 25 maj 2018, kommer att utgöra den generella regleringen av personuppgiftsbehandling inom EU. Genom lagförslagen införs vissa allmänna kompletteringar och förtydliganden till dataskyddsförordningens bestämmelser.

Lagförslagen innebär att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning – dataskyddslagen – införs samt att vissa bestämmelser i offentlighets- och sekretesslagen ändras.

Enligt dataskyddslagen ska dataskyddsförordningen, med vissa undantag, gälla även utanför sitt egentliga tillämpningsområde.

Dataskyddslagen ska vara subsidiär i förhållande till annan lag eller förordning och möjliggör därmed avvikande bestämmelser i s.k. register­författningar.

I dataskyddslagen förtydligas bl.a. under vilka förutsättningar vissa personuppgifter får behandlas med stöd av dataskyddsförordningen. Data­skyddslagen innehåller också vissa bestämmelser om begränsning av de registrerades rättigheter samt om skadestånd och överklagande av beslut.

I lagen anges även att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Lagändringarna föreslås träda i kraft den 25 maj 2018.

I betänkandet finns två reservationer (SD) och ett särskilt yttrande (C).

Behandlade förslag

Proposition 2017/18:105 Ny dataskyddslag.

Två yrkanden i en följdmotion.

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Ärendet och dess beredning

Propositionens huvudsakliga innehåll

Utskottets överväganden

Ny dataskyddslag och ändringar i offentlighets- och sekretesslagen

Rätten att bli bortglömd respektive handel med och spridning av personuppgifter

Reservationer

1.Rätten att bli glömd, punkt 3 (SD)

2.Handel med och spridning av personuppgifter, punkt 4 (SD)

Särskilt yttrande

Ny dataskyddslag, punkt 1 (C)

Bilaga 1
Förteckning över behandlade förslag

Propositionen

Följdmotionen

Bilaga 2
Regeringens lagförslag

Utskottets förslag till riksdagsbeslut

1.

Ny dataskyddslag

Riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning.

Därmed bifaller riksdagen proposition 2017/18:105 punkt 1.

2.

Ändringar i offentlighets- och sekretesslagen

Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

Därmed bifaller riksdagen proposition 2017/18:105 punkt 2.

3.

Rätten att bli glömd

Riksdagen avslår motion

2017/18:3998 av Jonas Millard och Fredrik Eriksson (båda SD) yrkande 1.

Reservation 1 (SD)

4.

Handel med och spridning av personuppgifter

Riksdagen avslår motion

2017/18:3998 av Jonas Millard och Fredrik Eriksson (båda SD) yrkande 2.

Reservation 2 (SD)

Stockholm den 12 april 2018

På konstitutionsutskottets vägnar

Andreas Norlén

Följande ledamöter har deltagit i beslutet: Andreas Norlén (M), Björn von Sydow (S), Hans Ekström (S), Annicka Engblom (M), Veronica Lindholm (S), Jonas Millard (SD), Marta Obminska (M), Per-Ingvar Johnsson (C), Agneta Börjesson (MP), Dag Klackenberg (M), Fredrik Eriksson (SD), Tina Acketoft (L), Mia Sydow Mölleby (V), Tuve Skånberg (KD), Laila Naraghi (S), Eva-Lena Gustavsson (S) och Ida Karkiainen (S).

Redogörelse för ärendet

Ärendet och dess beredning

Den 27 april 2016 utfärdades Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad data­skyddsförordningen. Dataskyddsförordningen börjar tillämpas den 25 maj 2018.

I proposition 2017/18:105 Ny dataskyddslag föreslår regeringen att personuppgiftslagen (1998:204) upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning införs. Vidare föreslås att vissa bestämmelser i offentlighets- och sekretesslagen (2009:400) ändras.

Regeringen redovisar i propositionen ärendets beredning fram till dess att propositionen beslutades. Av denna redovisning framgår i huvudsak följande.

I maj 2017 överlämnade Dataskyddsutredningen (Ju 2016:04) betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskydds­förordning (SOU 2017:39). I utredningens uppdrag (dir. 2016:15) ingick att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till.

Betänkandet har remissbehandlats. Remissvaren finns tillgängliga i Justitiedepartementet (Ju2017/04264/L6).

Justitiedepartementet har i en promemoria som kompletterar betänkandet lämnat förslag om den nya lagens territoriella tillämpningsområde. Promemorian har remissbehandlats. Remissvaren finns tillgängliga i Justitie­departementet (Ju2017/06940/L6).

Vissa frågor av övergångskaraktär behandlas i Utredningen om 2016 års dataskyddsdirektivs delbetänkande Brottsdatalag (SOU 2017:29, Ju2017/03283/L4).

Lagrådet har granskat lagförslagen. Regeringen har i allt väsentligt följt Lagrådets förslag. I förhållande till lagrådsremissens lagförslag har vissa språkliga och redaktionella ändringar gjorts.

En förteckning över de behandlade förslagen finns i bilaga 1. Regeringens lagförslag finns i bilaga 2.

En följdmotion har lämnats med anledning av propositionen.

Propositionens huvudsakliga innehåll

I propositionen föreslås att personuppgiftslagen (1998:204), förkortad PUL, upphävs och att en ny lag med kompletterande bestämmelser till EU:s data­skyddsförordning, nedan dataskyddslagen, införs. Vidare föreslås att vissa bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ändras.

Enligt den föreslagna dataskyddslagen ska dataskydds­förordningen, med vissa undantag, gälla även utanför sitt egentliga tillämpningsområde.

Dataskyddslagen föreslås vara subsidiär i förhållande till annan lag eller förordning för att därmed möjliggöra avvikande bestämmelser i s.k. registerförfattningar.

I lagförslaget anges att dataskyddsförordningen och den nya lagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

I dataskyddslagen förtydligas bl.a. under vilka förut­sättningar vissa person­upp­gifter får behandlas med stöd av dataskydds­förordningen.

Dataskyddslagen innehåller också vissa bestämmelser om begränsning av de registrerades rättigheter samt om skadestånd och överklagande av beslut.

Utskottets överväganden

Ny dataskyddslag och ändringar i offentlighets- och sekretesslagen

Utskottets förslag i korthet

Riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning samt förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

Jämför det särskilda yttrandet (C).

Bakgrund

Gällande rätt

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskydds­direktivet). Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet och försvar samt statens verksamhet på straffrättens område. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av person­uppgifter som behandlas inom ramen för polissamarbeten och straffrättsligt samarbete (dataskyddsrambeslutet) är tillämpligt på informationsutbyte över gränserna. Dataskyddsrambeslutet gäller däremot inte för rent nationell personuppgifts­behandling inom exempelvis polisens område. Från data­skyddsrambeslutets tillämpningsområde undantas också personuppgifts­behandling inom området nationell säkerhet. På detta område finns det således inte någon EU-gemensam reglering om behandling av personuppgifter.

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom PUL. PUL följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade.

PUL är tillämplig även utanför EU-rättens område och gäller för både myndigheter och enskilda som behandlar personuppgifter. Lagen är subsidiär, vilket innebär att dess bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller en förordning. Det finns en stor mängd sådana bestämmelser i sektorsspecifika författningar, s.k. register­författningar, som främst reglerar hur olika myndigheter får behandla person­uppgifter.

PUL kompletteras av bestämmelser i personuppgiftsförordningen (1998:1191), förkortad PUF. I 2 § PUF anges att Datainspektionen är tillsyns­myndighet enligt PUL. Enligt 16 § PUF bemyndigas Datainspektionen att meddela närmare föreskrifter om bl.a. i vilka fall behandling av person­uppgifter är tillåten och vilka krav som ställs på den personuppgifts­ansvarige.

EU:s dataskyddsreform – En ny förordning och ett nytt direktiv

I april 2016 antogs en ny allmän dataskyddsförordning[1], som gäller för behandling av personuppgifter generellt, och ett nytt direktiv om skydd för personuppgifter på det brottsbekämpande området[2]. Syftet med det nya regelverket är att modernisera och ersätta reglerna i dataskyddsdirektivet från 1995 och få till stånd en mer enhetlig tillämpning av dataskyddet inom EU.

Dataskyddsförordningen kommer fr.o.m. den 25 maj 2018 att ersätta dataskyddsdirektivet och utgöra den generella regleringen av personuppgifts­behandling inom EU.

Enligt artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat.

Trots att dataskydds­förordningen är direkt tillämplig, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär.

Dataskyddsförordningen

Tillämpningsområdet

Dataskyddsförordningen ska, precis som dataskyddsdirektivet, tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1).

Från dataskyddsförordningens tillämpningsområde undantas behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken (artikel 2.2a och b). Behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller av förordningens bestämmelser (artikel 2.2c). Vidare gäller förordningen inte för sådan behandling av person­uppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder (artikel 2.2d). Sådan behandling regleras i stället genom det nya dataskyddsdirektivet. Slutligen ska förordningens bestämmelser inte tillämpas av EU:s institutioner, organ och byråer (artikel 2.3). Den behandling av personuppgifter som sker där regleras i stället genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Ett förslag till reviderad förordning om skydd för personuppgifter som behandlas av unionens institutioner, organ, kontor och byråer har lagts fram av kommissionen[3].

Dataskyddsförordningen ska tillämpas på behandling av person­uppgifter som sker inom ramen för den verksamhet som bedrivs av en person­uppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte (artikel 3.1). En skillnad jämfört med dataskyddsdirektivet är att förordningen under vissa omständigheter ska tillämpas även på behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen (artikel 3.2). Slutligen ska dataskyddsförordningen också tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten (artikel 3.3).

Sakliga förändringar

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innebär även en rad förändringar. Nedan redogörs för de förändringar som särskilt lyfts fram i propositionen (s. 20 f.).

Den registrerades rättigheter förstärks i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade preciseras och utvidgas och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form (artikel 12). Förordningen innebär även en förstärkning av rätten för den registrerade att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet (artikel 20). Vidare införs i artikel 17 en tydligare rätt till radering (rätten att bli bortglömd).

När informationssamhällets tjänster erbjuds direkt till ett barn, krävs enligt dataskyddsförordningen att samtycke eller godkännande av barnets samtycke i vissa fall inhämtas av den som har föräldraansvar för barnet för att personuppgifter som rör barnet ska få behandlas (artikel 8). Barns särställning och särskilda utsatthet framhålls på flera ställen i förordningen.

Genom artikel 33 i förordningen införs en skyldighet för den personupp­giftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en s.k. personuppgifts­incident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter (artikel 34).

Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter (artikel 35). Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort. Vidare införs det tydligare regler för kommunikation med den registrerade och ansvar för dem som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs (artikel 25).

Genom förordningen införs ett nytt gemensamt system med sanktions­avgifter som ska tas ut vid överträdelser av förordningen (artikel 83). Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, t.ex. genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra och en mekanism för enhetlighet när flera tillsynsmyndigheter är inblandade (kapitel VII, avsnitt 1 och 2). Det införs samtidigt en ny princip om en enda kontaktpunkt, som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater, genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen (kapitel VII, avsnitt3).

Förordningen innehåller även en bestämmelse (artikel 86) om person­uppgiftsbehandling och allmänhetens tillgång till allmänna handlingar. Av bestämmelsen följer bl.a. att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen.

Propositionen

Ett nytt svenskt regelverk om dataskydd

En dataskyddslag införs och personuppgiftslagen upphävs

I propositionen föreslås, som ovan har nämnts, att en ny lag med bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan införs och att PUL upphävs.

Regeringen konstaterar att dataskyddsförordningen ersätter dataskydds­direktivet, som har genomförts i svensk rätt huvudsakligen genom PUL, PUF och Datainspektionens föreskrifter. Det noteras att dataskyddsförordningen inte ska genomföras i svensk rätt, utan att den i stället ska tillämpas direkt av enskilda, myndigheter och domstolar. När dataskyddsförordningen börjar tillämpas kommer således den generella regleringen om behandling av personuppgifter att finnas i dataskyddsför­ordningen. Regeringen anför att det svenska generella regelverket om dataskydd då inte längre kan finnas kvar, eftersom det skulle leda till en otillåten dubbelreglering. Enligt regeringen bör därför PUL upphävas.

I propositionen anges att dataskyddsför­ordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Enligt regeringen bör därför, som ett komplement till förordningen, vissa generella kompletterande bestämmelser till dataskydds­förordningen samlas i en ny övergripande lag om dataskydd (dataskyddslagen).

Regeringen konstaterar att regleringen i dataskyddsförordningen innebär att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska register­författningarna. Anpassningen av sådana sektorsspecifika författningar behandlas inte i det lagstiftningsärende som nu är aktuellt. Inte heller behandlas frågor som rör tillämpningen av dataskyddsförordningens bestämmelser, annat än i samband med resonemang kring behovet och lämpligheten av kompletterande lagstiftning på generell nivå.

Förslaget till en ny dataskyddslag

Som ovan har nämnts, föreslås den nya dataskyddslagen komplettera och förtydliga dataskyddsför­ordningens bestämmelser i vissa avseenden. Nedan redogörs särskilt för vissa bestämmelser i den föreslagna dataskydds­lagen.

Dataskyddslagen ska vara subsidiär

I förslaget till dataskyddslag, 1 kap. 6 §, anges att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från data­skyddslagen, ska den avvikande bestämmelsen tillämpas.

Enligt förslaget ska dataskyddslagen således vara subsidiär i förhållande till avvikande bestämmelser i annan författning. En motsvarande bestämmelse finns i dag i 2 § PUL.

Begränsningen i den föreslagna bestämmelsen till avvikande bestämmelser i lag och förordning innebär att myndighetsföreskrifter inte ska ha företräde framför dataskyddslagen.

I författningskommentaren anges att förslaget innebär en möjlighet att avvika från dataskyddslagen och inte en möjlighet att införa bestämmelser som avviker från dataskyddsförordningen (prop. s. 187).

Regeringen utvecklar skälen för förslaget i avsnitt 5.1.3 och anför att dataskyddslagen kommer att innehålla endast övergripande och generella bestämmelser samt att de flesta bestämmelser som kompletterar dataskydds­förordningen kommer att finnas i någon annan författning. Enligt regeringen krävs det enligt 8 kap. 2 § första stycket 2 och 3§ regeringsformen bemyndiganden i lag för att anslutande föreskrifter ska kunna meddelas av regeringen eller av en förvaltnings­myndighet.

När det däremot gäller sektors­specifika författningar som enbart rör behandling av personuppgifter som utförs av statliga myndigheter som lyder under regeringen förhåller det sig annorlunda enligt regeringen. Regeringen anser att sådana föreskrifter som direkt eller indirekt rör behandling av personuppgifter kan, med undantag för de fall som avses i 2 kap. 6 § andra stycket regeringsformen, meddelas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen. Regeringen konstaterar att det i dag finns ett stort antal förordningar av detta slag. Vidare kan enligt regeringen sektorsspecifika föreskrifter som reglerar kommunala myndigheters eller enskilda organs behandling av personuppgifter meddelas med stöd av bemyndiganden i annan lag än dataskyddslagen.

I sitt yttrande över förslaget till bestämmelsen i 1 kap. 6 § dataskyddslagen anförde Lagrådet i huvudsak att det av lagrådsremissen inte framgick i vilken omfattning det var tänkt att det skulle förekomma förordnings­bestämmelser på området. Enligt Lagrådet redovisades det inte heller några överväganden om hur den föreslagna regleringen i 1 kap. 6 § dataskyddslagen förhöll sig till den formella lagkraftens princip enligt 8 kap. 18 § regeringsformen. Den omständigheten att PUL innehåller en subsidiaritets­bestämmelse och att det i dag förekommer förordningar som rör behandling av personuppgifter borde enligt Lagrådet inte vara tillräckligt för att begränsa den formella lagkraftens princip. Lagrådet anförde även att skälen för en ordning som innebär att föreskrifter i förordning ska gälla framför dataskyddslagens bestämmelser fick övervägas vidare under den fortsatta beredningen.

I propositionen utvecklar regeringen sina överväganden i dessa avseenden. Regeringen anför att som Lagrådet påpekade innebär en ordning enligt vilken föreskrifter i förordning ska gälla framför dataskyddslagens bestämmelser att räckvidden av den formella lagkraftens princip enligt 8 kap. 18 § regeringsformen begränsas. Enligt regeringen är det emellertid på dataskyddsområdet en väl etablerad ordning att även föreskrifter på förordningsnivå kan ges företräde framför den generella regleringen om skydd för personuppgifter. Regeringen konstaterar att en förutsättning för detta givetvis är att föreskrifterna har beslutats med stöd av regeringens restkompetens eller med stöd av ett bemyndigande i lag. Vidare kommer det enligt regeringens bedömning även i fortsättningen att finnas ett stort behov av både lagar och förordningar som innehåller bestämmelser som rör behandling av personuppgifter. Det anförs att dessa bestämmelser i första hand kommer att komplettera dataskyddsförordningen men att de i vissa fall kan avse frågor som också regleras i dataskyddslagen. Regeringen gör mot denna bakgrund bedömningen att såväl lagar som förordningar som avviker från dataskyddslagen bör ha företräde framför bestämmelserna i dataskyddslagen, på motsvarande sätt som har gällt i förhållande till PUL. I sammanhanget noterar regeringen att den bestämmelse om subsidiaritet som föreslås i dataskyddslagen kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § PUL, även om dess innebörd är densamma. Detta beror enligt regeringen på att dataskyddslagen, till skillnad mot PUL, inte är heltäckande utan endast reglerar vissa frågor.

Regeringen föreslår sammanfattningsvis att dataskyddslagen ska vara subsidiär.

Dataskyddsförordningens materiella tillämpningsområde utsträcks

Som ovan har framgått, har dataskyddsförordningen i likhet med dataskydds­direktivet ett begränsat materiellt tillämpningsområde. Förordningen ska således inte tillämpas på bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken (artikel 2.2 a och 2.2 b). Enligt 1 kap. 2 § i förslaget till dataskyddslag ska dock bestämmelserna i dataskyddsför­ordningen och dataskydds­lagen gälla även vid sådan behandling av personuppgifter. Genom den föreslagna paragrafen, som saknar motsvarighet i PUL, utsträcks det materiella tillämpningsområdet för data­skydds­förordningens bestämmelser, i den mån dessa kan tillämpas i rent nationella sammanhang. Av författningskommentaren framgår bl.a. att förslaget innebär att dataskyddsförordningens bestämmelser ska gälla som svensk rätt även vid personuppgiftsbehandling som utförs i sådan verksamhet som enligt artikel 2.2 a och 2.2 b i dataskyddsförordningen är undantagen från förordningens tillämpningsområde (se prop. s. 183 f.).

Det utsträckta tillämpningsområdet föreslås emellertid inte gälla i verksamhet som omfattas av lagen om behandling av personuppgifter i Försvarsmaktens försvarsunder­rättelseverksamhet och militära säkerhets­tjänst, lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunder­rättelse- och utvecklingsverksamhet eller 6 kap. polisdatalagen (se 1 kap. 3 § i förslaget till dataskyddslagen). Förslaget i denna del innebär att dataskyddsför­ordningens och dataskyddslagens bestämmelser inte ska gälla i nu nämnd verksamhet.

Som skäl för förslaget om en utvidgad tillämpning av bestämmelserna i dataskydds­förordningen anger regeringen i huvudsak följande (se prop. avsnitt 6.1.1). När dataskydds­direktivet genomfördes i svensk rätt gjordes PUL generellt tillämplig eftersom det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Den lösningen ansågs också garantera att behovet av särregler i förhållande till PUL alltid skulle noga övervägas i den ordning som krävs för författningsgivning. Dessa skäl är enligt regeringens bedömning fortfarande giltiga. Till detta kommer enligt regeringen dels att det är svårt att bedöma närmare var gränserna för unions­rättens tillämpnings­område går, dels att Sverige till följd av internationella konventions­åtaganden måste införa en reglering om dataskydd för det område som inte skulle omfattas av det nya EU-regelverket när PUL upphävs.

Regeringen anser därför att dataskyddsförordningens tillämpnings­område bör utvidgas i den utsträckning och med de undantag som framgår av förslaget.

Enligt förslaget bör hänvisningen till dataskyddsför­ordningen i denna del vara statisk, dvs. avse den ursprungliga lydelsen av förordningen.

Dataskyddsregleringen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrande­frihetsgrundlagen

Enligt artikel 9 i dataskyddsdirektivet ska medlemsstaterna, med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, besluta om undantag och avvikelser från delar av direktivet endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. Vid genomförandet av dataskyddsdirektivet gjorde regeringen bedömningen att tryckfrihetsför­ordningen och yttrandefrihetsgrundlagen inte behövde ändras (prop. 1997/98:44 s. 50). I 7 § första stycket PUL infördes en upplysnings­bestämmelse som anger att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det innebär bl.a. att de grundlagsskyddade rättigheterna att framställa och sprida yttranden samt meddelar- och anskaffarfriheten undantas från PUL:s tillämpningsområde.

I dataskyddsförordningen regleras förhållandet till yttrande- och informationsfriheten i artikel 85.1. Där framgår att medlemsstaterna i sin nationella lagstiftning ska förena rätten till integritet i enlighet med förordningen med rätten till yttrande- och informationsfrihet, inbegripet personuppgiftsbehandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Vid behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 föreskriva om undantag eller avvikelser från i artikeln angivna delar av förordningens bestämmelser, om det är nödvändigt för att förena rätten till integritet med yttrande- och informations­friheten.

I regeringens förslag till dataskyddslag finns en bestämmelse, 1 kap. 7 § första stycket, som anger att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihets­förordningen eller yttrandefrihetsgrundlagen. Enligt författningskommentaren tydliggör bestämmelsen att tryckfrihetsförordningen och yttrandefrihets­grundlagen har företräde framför dataskyddsförordningens och dataskyddslagens bestämmelser (se prop. s. 187).

Två remissinstanser, Datainspektionen och Kommerskollegium, ifråga­sätter förslagets förenlighet med EU-rätten.

Enligt Datainspektionen ger dataskydds­förordningen inte utrymme för ett sådant generellt undantag i nationell rätt som föreslås i 1 kap. 7 § första stycket dataskyddslagen. Datainspektionen invänder således mot att det i dataskydds­lagen anges att grundlagsbestämmelserna i tryckfrihetsför­ordningen och yttrandefrihets­grundlagen ska ha företräde framför dataskydds­förordningen. Vidare framhåller Datainspektionen att myndigheten tidigare påpekat de risker som grundlagsskyddet medför för integritetsskyddet, särskilt när det gäller personuppgiftsbehandling på internet som omfattas av utgivnings­bevis för databaser.

Kommerskollegium ifrågasätter upplysnings­bestämmelsens breda formulering och menar att den kan strida mot principen om EU-rättens företräde.

Enligt regeringens bedömning ger regleringen i artikel 85 i dataskydds­förordningen ett något större utrymme för undantag än dataskyddsdirektivet, bl.a. genom att det inte längre krävs att behandling ska ske uteslutande för journalistiska ändamål för att undantag ska kunna göras. Därutöver konstaterar regeringen att skäl 153 i förordningen anger att begreppet yttrandefrihet måste ges en bred tolkning för att beakta vikten av rätten till yttrandefrihet i varje demokratiskt samhälle. Regeringen bedömer mot denna bakgrund, till skillnad från de två nämnda remissinstanserna, att den unionsrättsliga dataskydds­regleringen även fortsättningsvis ger utrymme för bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihets­grundlagen.

Regeringen framhåller även att den i propositionen Ändrade mediegrund­lagar (prop. 2017/18:49) gör bedömningen att det med hänsyn till skyddet för den personliga integriteten finns skäl att begränsa grundlags­skyddet för vissa söktjänster som innehåller personuppgifter av särskilt integritetskänslig karaktär. I proposition 2017/18:49, som behandlas i konstitutions­utskottets betänkande 2017/18:KU16, föreslår regeringen därför att det införs bestämmelser i tryckfrihetsförordningen och yttrande­frihets­grundlagen som ger utrymme för att under vissa förutsättningar i lag föreskriva om förbud mot att offentliggöra sådana personuppgifter, om de är tillgängliga på ett sätt som innebär särskilda risker för intrång i enskildas personliga integritet.

Regeringen diskuterar också frågan om det alls finns något behov av en sådan bestämmelse i dataskyddslagen som föreslås i 1 kap. 7 § första stycket dataskyddslagen (se prop. 2017/18:105 s. 42). Som utredningen och flera remissinstanser konstaterar är det enligt regeringen angeläget att dataskydds­förordningens och dataskyddslagens bestämmelser inte ger upphov till osäkerhet kring möjligheterna till personuppgiftsbehandling på det grundlagsskyddade området. Regeringen anför att en sådan osäkerhet skulle kunna påverka vitala delar av opinionsskapande verksamhet som är av grundläggande betydelse för demokratin och som skyddas genom bl.a. censurförbudet och meddelarfriheten. Vidare anger regeringen att som utredningen konstaterar innebär det förhållandet att den unionsrättsliga dataskyddsregleringen är en direkt tillämplig förordning, som dessutom kan leda till kännbara sanktionsavgifter, ett än större behov av ett förtydligande av förhållandet till tryck- och yttrandefrihetsregleringen. Regeringen instämmer därför i utredningens bedömning att det bör införas en bestämmelse som tydliggör att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsregleringen om tryck- och yttrandefrihet.

Regeringen konstaterar vidare att dataskyddsförordningen innehåller en bestämmelse, artikel 86, som reglerar förhållandet till offentlig­hetsprincipen. Där anges att personuppgifter i allmänna handlingar som förvaras av en myndighet, ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med medlemsstatens nationella lagstiftning för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd för personuppgifter i enlighet med förordningen.

Enligt regeringen innebär förordningens artikel 86 till sin ordalydelse en något mer omfattande reglering än motsvarande bestämmelse i person­uppgiftslagen (8 § PUL), eftersom även offentliga organ och privata organ som förvarar allmänna handlingar för utförande av en uppgift av allmänt intresse omfattas. Regeringen anför att det framgår av skäl 154 i förordningen framgår att allmänhetens rätt att få tillgång till handlingar kan betraktas som ett allmänt intresse och att handlingarna bör kunna lämnas ut offentligt om utlämning föreskrivs i den nationella lagstiftningen. Vidare anges att den nationella rätten bör sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från den offentliga sektorn med rätten till skydd för personuppgifter samt att nationell lagstiftning därför får innehålla föreskrifter om den nödvändiga sammanjämkningen med rätten till skydd för personuppgifter enligt förordningen.

Enligt regeringens bedömning ger regleringen i förordningen ett ännu tydligare stöd än dataskyddsdirektivet för att den EU-rättsliga dataskydds­regleringen inte inkräktar på den grundlagsreglerade offentlighets­principen. Regeringen anför att den nödvändiga sammanjämkning som avses i dataskyddsförordningen i svensk rätt kommer till uttryck bl.a. genom bestämmelserna i offentlighets- och sekretesslagen, som är resultatet av noggranna avvägningar mellan allmänhetens intresse av insyn i det allmännas verksamhet och den enskildes behov av skydd för sin personliga integritet.

Sammanfattningsvis anser regeringen att det finns ett tydligt behov av att klargöra dataskyddsregelverkets förhållande till grundlagarna. Regeringen föreslår därför att det införs en bestämmelse i dataskyddslagen med innebörden att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Visst undantag från dataskyddsregleringen medges utanför det grundlags­skyddade området

I förslaget till dataskyddslag finns en bestämmelse, 1 kap. 7 § andra stycket, som medger ett visst undantag från förordningens och dataskydds­lagens tillämpning när det gäller sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Förslaget, som har sin grund i artikel 85.2 i dataskyddsförordningen, har utformats med utgångspunkt i bestämmelsen i nuvarande 7 § andra stycket PUL.

I propositionen (s. 44) konstateras att genom artikel 85.2 i förordningen åläggs medlemsstaterna att göra vissa undantag från förordningen för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Undantag får dock bara göras om de är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. I skäl 153 i dataskyddsförordningen anges att undantag särskilt bör gälla vid personuppgiftsbehandling inom det audiovisuella området och i nyhetsarkiv samt pressbibliotek.

Begreppet akademiskt skapande är nytt och definieras inte närmare vare sig i skäl eller i artikeltext. Regeringen anger att utredningen bedömer att begreppet inte torde omfatta forskning, eftersom personuppgiftsbehandling för forskningsändamål är särreglerad på annat sätt i förordningen. Regeringen anför att det i nuläget är svårt att uttala sig närmare om begreppets innebörd och att innebörden av begreppet i stället kommer att få utvecklas i praxis.

Enligt regeringen innebär artikel 85.2 att möjligheterna till undantag från förordningen är något större än de som i dag gäller enligt 1995 års dataskyddsdirektiv. Regeringen delar därför utredningens bedömning att det även fortsättningsvis finns möjlighet att ha ett undantag av det slag som finns i 7 § andra stycket PUL. Enligt regeringen kan det konstateras att betydelsen av opinionsbildning genom alternativa kanaler såsom sociala medier, bloggar och liknande har ökat dramatiskt under senare år. Detta medför enligt regeringen att skälen för ett undantag utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde inte har minskat och inte heller kan förutses göra det framöver. I likhet med utredningen anser regeringen därför att det bör införas ett undantag för behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande i den utsträckning som förordningen tillåter det.

Av den föreslagna bestämmelsen framgår att artiklarna 5–30 och 35–50 i dataskyddsförordningen och 2–5 kap. i dataskyddslagen inte ska tillämpas vid behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför det grundlagsreglerade området.

Den föreslagna bestämmelsen innebär när det gäller dataskyddsför­ordningen att endast förordningens bestämmelser om syfte, tillämpnings­område och definitioner (kapitel I), samarbete med tillsynsmyndigheten och säkerhet för personuppgifter (artiklarna 31–34 i kapitel IV), oberoende tillsynsmyndigheter (kapitel VI), samarbete och enhetlighet (kapitel VII) samt rättsmedel, ansvar och sanktioner (kapitel VIII) är tillämpliga vid behandling för de nämnda ändamålen.

Övriga bestämmelser i förslaget till dataskyddslag

Utöver vad som har redovisats ovan innehåller dataskyddslagen förslag till bestämmelser om bl.a. lagens territoriella tillämpningsområde, tystnadsplikt för dataskyddsombud, rättslig grund för behandling av person­uppgifter, behandling av vissa kategorier av personuppgifter, användnings­begränsningar, begränsningar av vissa rättig­heter och skyldigheter, tillsyns­myndighetens handläggning och beslut samt skadestånd och överklagande.

Förslagen i dessa delar, som behandlas i avsnitt 6.2, 814, 16 och 17 i propositionen, redovisas inte närmare i detta betänkande.

Förslag till ändringar i offentlighets- och sekretesslagen

Hänvisningen till PUL i den s.k. generalklausulen i OSL tas bort

Enligt den s.k. generalklausulen i 10 kap. 27 § första stycket OSL får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Paragrafen reglerar utlämnande av uppgifter som omfattas av sekretess mellan myndigheter i fall då det saknas uttryckliga sekretessbrytande regler.

I bestämmelsens andra och tredje stycke anges när ett utlämnande inte får ske. Således får uppgifter inte lämnas ut bl.a. om utlämnandet skulle strida mot lag eller förordning eller föreskrift som har meddelats med stöd av PUL (10kap. 27 § tredje stycket OSL).

I propositionen föreslås att hänvisningen till föreskrifter som har meddelats med stöd av PUL tas bort. Regeringen anför att hänvisningen till ”lag” i 10kap. 27 § tredje stycket OSL också innefattar EU-förordningar. Enligt regeringen blir därmed innebörden av bestämmelsen att ett utlämnande till en annan myndighet som strider mot dataskyddsförordningen eller dataskydds­lagen inte kan ske med stöd av generalklausulen.

Sekretess ska gälla för personuppgifter om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsregleringen

Enligt 21 kap. 7 § OSL gäller sekretess för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL.

Regeringen konstaterar att bestämmelsen måste ändras eftersom PUL ska upphävas och den generella dataskyddsregleringen i stället kommer att finnas i dataskyddsförordningen och den nya dataskyddslagen. I propositionen föreslås därför att hänvisningen till PUL ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Vidare föreslås en ändring i bestämmelsen som innebär ett förtydligande av att prövningen gäller den behandling som kommer att ske efter ett eventuellt utlämnande.

Förslaget medför att utlämnanden till utländska mottagare som omfattas av dataskyddsförordningens tillämpningsområde också kommer att omfattas av sekretessbestämmelsen. Regeringen anser att denna materiella utvidgning av bestämmelsens tillämpningsområde är rimlig och ligger väl i linje med de grundläggande principerna i dataskyddsförordningen.

Hänvisningen till dataskyddsförordningen i paragrafen föreslås vara statisk, dvs. avse den ursprungliga lydelsen av förordningen. Det medför att lagstiftaren aktivt måste bedöma om eventuella ändringar och tillägg till förordningen ska omfattas av 21 kap. 7 § OSL.

Information om regelverket och dataskyddsreformen samt konsekvenser

Av propositionen framgår att vissa remissinstanser, utan att invända mot utredningens förslag, påpekar att dataskyddsreformen medför att rättsområdet blir mer komplext (prop. s. 23). Regeringen har förståelse för dessa synpunkter. Det förhållandet att personuppgiftslagen ersätts av den mer omfattande regleringen i dataskyddsförordningen och en kompletterande nationell reglering på generell nivå innebär enligt regeringen att regelverket kan uppfattas som mer komplext. Regeringen framhåller dock att den ökade komplexiteten är en följd av att det nya EU-rättsliga regelverket är direkt tillämpligt och att regelverket förutsätter kompletterande nationell reglering. Samtidigt kan det enligt regeringen konstateras att för de allra flesta personuppgiftsansvariga kommer endast dataskyddsförordningen och dataskyddslagen att vara tillämpliga. Regeringen anför att för person­uppgiftsansvariga som har verksamhet i flera medlems­stater finns dessutom stora fördelar med en dataskyddsreglering som är direkt tillämplig i hela EU.

En tillsynsmyndighet i varje EU-land ska övervaka att de som behandlar personuppgifter följer regelverket för dataskydd. Tillsynsmyndigheten ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter (artikel 52.1). I Sverige föreslås Datainspektionen få det uppdraget.

Regeringen understryker (prop. s. 22 f.) att tillsynsmyndigheten, enligt artikel 57.1 b, har i uppgift att öka personuppgiftsansvarigas och person­uppgifts­biträdens medvetenhet om sina skyldigheter enligt dataskydds­förordningen. Vidare anges i propositionen att det framgår av skäl 132 att medvetandehöjande kampanjer från tillsynsmyndighetens sida bör innefatta särskilda åtgärder riktade dels till personuppgiftsansvariga och person­uppgifts­biträden, inbegripet mikroföretag samt små och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang. Regeringen anför dessutom att tillsynsmyndig­heten, enligt artikel 57.1 b, har i uppgift att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. Vidare har regeringen gett Datainspektionen i uppdrag att förstärka sitt arbete med att underlätta näringslivets anpassning till dataskyddsförordningen och informera om regleringen, för att svenska företag inte ska tappa tempo i sitt digitaliseringsarbete och samtidigt kunna upprätthålla ett gott integritetsskydd (N2016/07306/FÖF).

Datainspektionen har samlat omfattande information om dataskydds­reformen under en särskild flik på sin webbplats. Där finns även bl.a. en introduktionsfilm om förordningen. Myndigheten har också medverkat till att ta fram en guide om de viktigaste grunderna i dataskyddsförordningen. Datainspektionen kommer som framgår även i övrigt att ha till uppgift att hjälpa, vägleda och informera om reglerna för personuppgiftsbehandling och dataskydd.

I propositionen anges även att några myndigheter framhåller behovet av en samlad översyn av registerförfattningarna. Ett par remissinstanser ifrågasätter utredningens strävan att varken utvidga eller inskränka möjligheterna till behandling av personuppgifter annat än när dataskyddsförordningen kräver en sådan förändring. Regeringen konstaterar att den korta tid som står till buds för att anpassa den svenska dataskyddsregleringen till den nya EU-regleringen inte medger mer omfattande nationella reformer på detta område. Det utesluter enligt regeringen inte att vissa sådana övergripande förändringar skulle kunna vara befogade och därför bli föremål för överväganden i ett annat sammanhang (prop. s. 23).

Av avsnitt 19 Konsekvenser i propositionen framgår att dataskydds­reformen kommer att få konsekvenser såväl för det allmänna som för enskilda organ. När det särskilt gäller enskilda organ anges i propositionen bl.a. att det stora flertalet remissinstanser instämmer i utredningens bedömning eller inte kommenterar den. En remissinstans, Företagarna, anser att införandet av dataskyddsför­ordningen kommer att få stora konsekvenser för företag, men att de förslag som utredningen föreslår är en försumbar del av dessa konsekvenser. Företagarna anser att det är viktigt att tillämpningen följs upp så att inte mindre företag slås ut från branscher som har en omfattande behandling av personuppgifter på grund av kraven på konsekvens­bedömningar m.m. Företagarna påpekar vidare att många ideella föreningar kommer att drabbas av ökade krav vad gäller hanteringen av personuppgifter. En annan remissinstans, Småföretagarnas Riksförbund, menar bl.a. att införandet av en ny dataskyddslag är sammankopplat med dataskydds­förordningen, och det finns enligt förbundet en stor oro bland landets små företag när det gäller denna. För att små företag ska kunna säkerställa att de gör rätt uppstår det kostnader för utbildning av personal, utbildning för personuppgiftsbiträde samt översyn av och nya rutiner för register­hantering, vilket enligt förbundet borde ha behandlats i konsekvensavsnittet. Några instanser, bl.a. Svenskt Friluftsliv, Svenska Brukshundklubben och Villaägarnas Riksförbund, anser att det är anmärkningsvärt att lagförslagens inverkan på föreningar och civilsamhället inte nämns av utredningen.

Regeringen anför att det står klart att dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till vissa konsekvenser för det allmänna och för företag, ideella föreningar och andra enskilda organ. Förordningens bestämmelser kan i vissa fall förväntas leda till ökade kostnader för administration och för anpassning av befintliga it-system. Det kommer också att krävas ökade resurser till utbildningsinsatser och eventuellt nyrekryteringar till tjänster som dataskyddsombud. Konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser behandlas dock inte i detta lagstiftningsärende. Vidare anför regeringen att en samlad konsekvens­analys av reformen i sin helhet inte går att utföra i ett enskilt lagstiftnings­ärende. Regeringen konstaterar också att konsekvenserna av dataskyddsför­ordningens direkt tillämpliga bestämmelser inte påverkar behovet, lämpligheten och konsekvenserna av de förslag som lämnas i detta lag­stiftnings­ärende.

Utskottets ställningstagande

Utskottet välkomnar de omfattande informationsåtgärder som har vidtagits och som även fortsatt kommer att vidtas när det gäller det dataskyddsrättsliga regelverket. Utskottet noterar med tillfredsställelse att Datainspektionen redan 2016 påbörjade sitt informationsarbete. Det är enligt utskottet av stor vikt att inte minst företag, ideella föreningar och andra enskilda organ upplyses om regleringen kring personuppgiftsbehandling. Utskottet vill därför i detta sammanhang påminna om att Datainspektionens webbplats innehåller information på en rad punkter inom dessa områden.

Utskottet konstaterar att dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till konsekvenser för såväl det allmänna som för privata företag, ideella föreningar och andra enskilda organ. Utskottet delar regeringens bedömning att en fullständig konsekvensanalys av dataskydds­reformen inte låter sig göras i detta lagstiftningsärende.

Utskottet noterar att av propositionen framgår att flera remissinstanser har efterlyst mer vägledning kring hur dataskyddsförordningens bestämmelser ska tolkas och tillämpas. I propositionen behandlas inte frågor som rör tillämpningen av dataskyddsförordningens bestämmelser, annat än i samband med resonemang kring behovet och lämpligheten av kompletterande lagstiftning på generell nivå. Utskottet framhåller vikten av att regeringen, i den utsträckning är möjligt i förhållande till EU-rätten, säkerställer att regelverket utformas så att dataskyddsregleringens bestämmelser tydliggörs och tillämpningen underlättas för såväl det allmänna som för företag, ideella föreningar och andra enskilda organ.

Utskottet anser att de förslag som lämnas i propositionen framstår som väl avvägda utifrån behovet av de anpassningar och kompletterande författnings­bestämmelser på generell nivå som dataskyddsförordningen ger anledning till. Utskottet ställer sig därför bakom de överväganden som görs i propositionen.

Utskottet föreslår att riksdagen antar regeringens förslag till dataskyddslag och förslag till ändringar i offentlighets- och sekretesslagen (2009:400).

Rätten att bli bortglömd respektive handel med och spridning av personuppgifter

Utskottets förslag i korthet

Riksdagen avslår två motionsyrkanden om tillkännagivande om rätten att bli bortglömd respektive handel med och spridning av personuppgifter.

Jämför reservation 1 (SD) och 2 (SD).

Motionen

Jonas Millard och Fredrik Eriksson (båda SD) begär i motion 2017/18:3998 yrkande 1 ett tillkännagivande om en utredning av regleringen om rätten att bli bortglömd. Motionärerna anser att utredningen bör fokusera på hur regleringen i dataskyddsförordningen om rätten att bli bortglömd kan få en ännu större genomslags­kraft. Utredningen bör enligt motionärerna överväga bl.a. förutsättningarna för att införa en straffsanktionerad skyldighet för samtliga aktörer på internet att radera personuppgifter i vid bemärkelse.

Vidare begär motionärerna ett tillkännagivande om en utredning av hur handeln med och spridningen av personuppgifter kan begränsas ytterligare (yrkande 2). Motionärerna anser att det i princip ska råda ett totalförbud mot handel med person­uppgifter, såvida inte den registrerade har lämnat ett tydligt samtycke i varje enskilt fall. Enligt motionärerna ska utredningen även se över i vilken utsträckning det är möjligt att begränsa spridningen av personupp­gifter, för att säkerställa att personuppgifter inte sprids utanför Sveriges gränser.

Dataskyddsförordningens reglering om rätt till radering
(”rätten att bli bortglömd”)

Av skäl 65 och 66 i dataskyddsförordningen framgår följande.

Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot förordningen eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgifts­ansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personupp­gifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med förordningen. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighets­utövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgiftsansvariga som offentliggjort personupp­gifter är förpliktade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa person­uppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgifts­ansvariga som behandlar personuppgifterna om den registrerades begäran.

Dataskyddsförordningen innehåller en bestämmelse, artikel 17, om rätt till radering (”rätten att bli bortglömd”). I artikel 17.1 anges att den registrerade ska ha rätt att utan onödigt dröjsmål få sina personuppgifter raderade av den personuppgiftsansvarige och att den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter under vissa förutsättningar. Således ska personuppgifterna raderas om något av följande gäller (artikel 17.1 a–f):

      Om uppgifterna inte längre behövs för de ändamål som de samlades in för.

      Om behandlingen grundar sig på den registrerades samtycke och han eller hon återkallar samtycket.

      Om behandlingen sker för direkt marknadsföring och den registrerade motsätter sig att uppgifterna behandlas.

      Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den registrerades intresse.

      Om personuppgifterna har behandlats olagligt.

      Om radering krävs för att uppfylla en rättslig förpliktelse.

      Om personuppgifterna avser barn och har samlats in i samband med erbjudande av informationssamhällets tjänster.

Av artikel 19 i dataskyddsförordningen följer att om uppgifter raderas på den registrerades begäran, måste den personuppgifts­ansvarige också informera varje mottagare till vilken den personuppgiftsansvarige har lämnat ut den registrerades personuppgifter om raderingen. Det gäller dock inte om detta skulle visa sig vara omöjligt eller medföra en oproportionerlig ansträngning. Den registrerade har också rätt att begära att få information om till vem hans eller hennes personuppgifter har lämnats ut.

I artikel 17.2 i dataskyddsförordningen föreskrivs att om den person­uppgiftsansvarige har offentliggjort personuppgifterna och är skyldig att radera personuppgifterna enligt regleringen i artikel 17.1, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

Av bestämmelsen i artikel 17.2 följer alltså att när personuppgifterna har publicerats eller på annat sätt gjorts offentliga (exempelvis i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den registrerades begäran så att även kopior av eller länkar till uppgifterna tas bort.

I artikel 17.3 i dataskyddsförordningen finns undantag från den registrerades rätt till radering (artikel 17.1) och den personuppgiftsansvariges informationsskyldighet (artikel 17.2), bl.a. om personuppgiftsbehandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet, uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller om behandlingen är ett led i myndighetsutövning.

Dataskyddsförordningen om det fria flödet av personuppgifter inom EU

I skäl 3 i dataskyddsförordningen anges att 1995 års dataskyddsdirektiv syftar till att harmonisera skyddet av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna.

I skäl 9 konstateras att målen och principerna för 1995 års direktiv fortfarande är giltiga, men att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Det anförs att skillnader i nivån på skyddet av personuppgifter kan förhindra det fria flödet av personuppgifter och därför kan utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

I skäl 5 anförs att den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande ökning av de gränsöverskridande flödena av personuppgifter. Det konstateras att utbytet av personuppgifter mellan offentliga och privata aktörer, inbegripet fysiska personer, sammanslutningar och företag över hela unionen har ökat. Nationella myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personupp­gifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

I skäl 6 anges bl.a. att tekniken har omvandlat både ekonomin och det sociala livet och bör ytterligare underlätta det fria flödet av personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt som en hög skyddsnivå säkerställs för person­uppgifter.

Enligt skäl 10 bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater för att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen.

I skäl 12 påminns om att i artikel 16.2 i EUF-fördraget[4] bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för personuppgifter.

För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13 i förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgifts­biträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt.

Utskottets tidigare behandling

Utskottet har senast under innevarande riksmöte (bet. 2017/18:KU38 s. 17 f.) behandlat motions­yrkanden om bl.a. offentlighetsprincipen och skyddet av den personliga integriteten, tillgången till uppgifter ur offentliga register samt konsumenters integritet och rättigheter vid internethandel. Utskottet ansåg, i likhet med i ett tidigare ställningstagande (bet. 2016/17:KU15 s. 28), att det är viktigt att värna den personliga integriteten och att den tekniska utvecklingen har medfört nya risker samt att det på många områden krävs noggranna avvägningar mellan olika intressen och skyddet av den personliga integriteten för att en godtagbar balans ska uppnås. Utskottet anförde att pågående beredning av utrednings­förslag inom Regeringskansliet inte borde föregripas och noterade även att regeringen avsåg att genomföra förändringar i Datainspektionens uppdrag och verksamhet. Motionsyrkandena avstyrktes därför. Liberalerna, Sverige­demokraterna och Kristdemokraterna reserverade sig mot vissa motionsyrkanden.

Utskottets ställningstagande

Utskottet anser inte att det finns anledning att föreslå ett tillkännagivande om rätten att bli bortglömd och avstyrker därför motion 2017/18:3998 yrkande 1.

Utskottet anser inte heller att det finns anledning att föreslå ett tillkänna­givande om handel med respektive spridning av personuppgifter. Utskottet avstyrker därför motion 2017/18:3998 yrkande 2.

Reservationer

1.

Rätten att bli glömd, punkt 3 (SD)

av Jonas Millard (SD) och Fredrik Eriksson (SD).

Förslag till riksdagsbeslut

Vi anser att förslaget till riksdagsbeslut under punkt 3 borde ha följande lydelse:

Riksdagen ställer sig bakom det som anförs i reservationen och tillkännager detta för regeringen.

Därmed bifaller riksdagen motion

2017/18:3998 av Jonas Millard och Fredrik Eriksson (båda SD) yrkande 1.

Ställningstagande

Sverigedemokraterna saknade representation i Europaparlamentet och rådet när originalförslaget till EU:s dataskyddsförordning introducerades. Vi har därför inte haft möjlighet att lägga fram ändringsförslag eller reservationer. När slutkompromissen var uppe för beslut i Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor röstade Sverigedemokraterna nej till förordningen.

Medan Sverigedemokraterna ställer sig positiva till en ökad reglering av användningen av personuppgifter är vi oroade över dataskyddsför­ordningens komplexitet när det gäller framför allt små och medelstora företag. Vi ställer oss därutöver kritiska till den maktförflyttning som dataskydds­förordningen och liknande EU-förordningar med tydliga överstatliga och federala inslag innebär och anser bestämt att detta bör motarbetas.

Givet de förutsättningar som antagandet inom EU av dataskydds­för­ordningen innebär motsätter vi oss dock inte regeringens ansatser i nu aktuell proposition. Däremot önskar vi att bygga ut den enligt vad som anförs nedan i denna reservation och i vår reservation 2.

Vi anser att med den ökade internetanvändningen har människors integritet – frivilligt eller ofrivilligt – blivit alltmer exponerad. Vi är trots vårt EU-motstånd därför positivt överraskade över dataskyddsförordningens regler om rätten att bli bortglömd. Vi vill dock se en nationell utredning som enbart fokuserar på hur rätten att bli bortglömd kan få än större genomslagskraft. Till exempel bör en sådan utredning ta ställning till om alla aktörer som befinner sig på internet bör få en ovillkorlig skyldighet att omgående och i ett sammanhang radera samtliga uppgifter de har om en fysisk person. En sådan utredning bör även överväga om ett underlåtande av detta bör kriminaliseras. Rätten att bli glömd måste vara långtgående och omfatta alla former av personuppgifter såväl som övriga data kopplade till enskilda personer. Exempel på sådana data kan vara inlägg på forum och i sociala medier. Även chattloggar och liknande bör omfattas av rätten att bli glömd. För att underlätta polisutredningar kan utredningen se över möjligheten att sådana data sparas krypterat även efter att någon valt att bli bortglömd, men att då endast relevanta rättsvårdande myndigheter genom domstolsbeslut kan få tillgång till informationen.

2.

Handel med och spridning av personuppgifter, punkt 4 (SD)

av Jonas Millard (SD) och Fredrik Eriksson (SD).

Förslag till riksdagsbeslut

Vi anser att förslaget till riksdagsbeslut under punkt 4 borde ha följande lydelse:

Riksdagen ställer sig bakom det som anförs i reservationen och tillkännager detta för regeringen.

Därmed bifaller riksdagen motion

2017/18:3998 av Jonas Millard och Fredrik Eriksson (båda SD) yrkande 2.

Ställningstagande

Vår principiella inställning till dataskyddsförordningen framgår av reservation1. Som där anges, motsätter vi oss inte regeringens ansatser i nu aktuell proposition, men vi anser att en utredning bör utreda också frågor om handel med och spridning av personuppgifter enligt följande.

I dag är det svårt att ens gå online eller registrera sig på sociala medier utan att tvingas gå med på att operatören får rätt att överlåta ens uppgifter till tredje man. En utredning bör även få i uppgift att se över hur handeln med person­uppgifter kan begränsas ytterligare. I princip bör det råda ett totalförbud mot handel med personuppgifter med mindre att varje individ ger sitt samtycke varje gång detta sker. Samtycket måste också vara tydligt, och får inte gömmas i långa avtal som är alltför komplexa och omfattande för att enskilda på ett enkelt sätt ska kunna förstå innebörden av vad de går med på att acceptera.

När det gäller spridning av personuppgifter bör utgångspunkten i stället vara segmentering där servrar som lagrar dessa uppgifter ska finnas i samma land som användarna. Med dataskyddsförordningen vill EU att spridningen av uppgifter inom EU, och till viss del även till tredjeland ska underlättas. Vi är av motsatt uppfattning. I stället bör utredningen se över vilka möjligheter Sverige har att säkerställa hur personuppgifter som regel ska stanna kvar inom landets gränser i så stor utsträckning som möjligt.

Särskilt yttrande

Ny dataskyddslag, punkt 1 (C)

Per-Ingvar Johnsson (C) anför:

För riksdagen, som beslutar om den nya dataskyddslagen, är det angeläget att kunna överblicka konsekvenserna av hela dataskyddslagstiftningen. För de som i sin verksamhet ska tillämpa den och som kan drabbas av mycket höga sanktionsavgifter om reglerna inte följs är det nödvändigt att förstå lagstiftningen. Regeringen anger dock i propositionen att en samlad konsekvensbedömning av dataskyddsreformen inte går att göra i ett enskilt lagstiftningsärende.

I remissvaren över utredningen som ligger till grund för den nya dataskyddslagen har man pekats på att många ideella föreningar kommer att drabbas av lagförslagets ökade krav när det gäller hanteringen av personuppgifter. Detta gäller bl.a. föreningarnas medlemsregister och bearbetning av dessa. Jag anser liksom flera remissinstanser att det är anmärkningsvärt att förslagens inverkan på föreningar och civilsamhället inte har nämnts i utredningsarbetet och inte har belysts i regeringens proposition om en ny dataskyddslag.

I EU:s dataskyddsförordning anges att medlemsstaterna bör anta lagstiftningsåtgärder som fastställer olika undantag som behövs för att skapa balans mellan grundläggande rättigheter, alltså yttrande- och tryckfrihet i förhållande till personlig integritet. Ett sådant undantag finns i dataskyddslagens 1 kap. 7 §, där rätten ges, att för journalistiska ändamål och för akademiskt, konstnärligt eller litterärt skapande använda dataregister med personuppgifter och på olika sätt datamässigt bearbeta dessa registeruppgifter.

Jag anser att dataskyddslagstiftningen skulle behöva tydliggöra vad som är konstnärligt och akademiskt skapande och göra avgränsningar i hur personuppgifter databehandlingsmässigt får användas i dessa verksamheter. Att i lagstiftningen helt överlämna tolkningen av vad som är konstnärligt och akademiskt skapande till rättspraxis skapar en stor osäkerhet.

Bilaga 1

Förteckning över behandlade förslag

Propositionen

Proposition 2017/18:105 Ny dataskyddslag:

1.Riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning.

2.Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

Följdmotionen

2017/18:3998 av Jonas Millard och Fredrik Eriksson (båda SD):

1.Riksdagen ställer sig bakom det som anförs i motionen om rätten att bli glömd och tillkännager detta för regeringen.

2.Riksdagen ställer sig bakom det som anförs i motionen om handel med och spridning av personuppgifter och tillkännager detta för regeringen.

Bilaga 2

Regeringens lagförslag


[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsför­ordning).

[2] Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

[3] COM(2017) 8 final Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut 1247/2002/EG.

[4] Fördraget om Europeiska unionens funktionssätt.