sou 2017 39

Ny dataskyddslag

Kompletterande bestämmelser till EU:s dataskyddsförordning

Betänkande av Dataskyddsutredningen

Stockholm 2017

SOU 2017:39

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@wolterskluwer.se

Webbplats: wolterskluwer.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2017

ISBN 978-91-38-24607-8

ISSN 0375-250X

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 25 februari 2016 att tillkalla en särskild utredare med uppdrag att föreslå de anpassningar och komplette- rande författningsbestämmelser på generell nivå som den nya data- skyddsförordningen ger anledning till (dir. 2016:15).

Som särskild utredare förordnades samma dag justitierådet Inga- Lill Askersjö.

Som experter att biträda utredningen förordnades den 23 mars 2016 juristen Carolina Brånby, dataskyddschefen Caroline Olstedt Carlström, rättssakkunnige Manne Heimer, rättsliga utredaren Per Kjellsson, chefsjuristen Hans-Olof Lindblom, kammarrättsrådet Elisabet Reimers, doktoranden Daniel Westman samt förbundsjuris- ten Staffan Wikell. Elisabet Reimers entledigades från uppdraget den 15 december 2016.

Som sakkunnig i utredningen förordnades den 1 november 2016 chefsrådmannen Maria Eka, som även har haft ett särskilt uppdrag att bistå sekretariatet med vissa frågor.

Som sekreterare anställdes den 1 mars 2016 juristen Maria Jonsson och den 17 mars 2016 enhetschefen Ulrika Söderqvist. Den 15 oktober 2016 anställdes rättsliga specialisten Jenny Nyman för tiden till och med den 31 mars 2017.

Utredningen, som har tagit sig namnet Dataskyddsutredningen, överlämnar härmed betänkandet Ny dataskyddslag (SOU 2017:39). Experterna och den sakkunniga har deltagit i utredningsarbetet i sådan utsträckning att det har varit motiverat att formulera betän- kandet i vi-form. Uppdraget är härmed slutfört.

Stockholm den 12 maj 2017

Inga-Lill Askersjö

/ Ulrika Söderqvist

Maria Jonsson

Jenny Nyman

Innehåll

Förkortningar.....................................................................

15

Sammanfattning ................................................................

19

Summary ..........................................................................

29

1

Författningsförslag.....................................................

39

1.1Förslag till lag med kompletterande bestämmelser

till EU:s dataskyddsförordning..............................................

39

1.2Förslag till lag om ändring i offentlighets-

och sekretesslagen (2009:400)................................................

51

1.3Förslag till förordning om ändring i arkivförordningen

(1991:446)................................................................................

53

1.4Förslag till förordning med kompletterande

 

bestämmelser till EU:s dataskyddsförordning

...................... 55

2

Vårt uppdrag och arbete .............................................

59

2.1

Uppdraget................................................................................

59

2.2

Avgränsningar .........................................................................

59

2.3

Utredningsarbetet...................................................................

60

3

Gällande rätt.............................................................

63

3.1

Inledning..................................................................................

63

3.2

Internationella överenskommelser ........................................

64

 

3.2.1

Förenta Nationerna.................................................

64

5

Innehåll

SOU 2017:39

 

3.2.2

OECD .....................................................................

64

3.3

Europarätt ...............................................................................

65

 

3.3.1

Europarådet .............................................................

65

 

3.3.2

Europeiska unionen ................................................

66

3.4

Svensk rätt...............................................................................

68

 

3.4.1

Regeringsformen.....................................................

68

 

3.4.2

Dataskyddsdirektivets genomförande ...................

68

4

EU:s dataskyddsreform...............................................

71

4.1

Allmänt om reformen.............................................................

71

4.2

Dataskyddsförordningen .......................................................

72

 

4.2.1

Förordningens syfte................................................

73

 

4.2.2

Tillämpningsområdet..............................................

73

 

4.2.3

Sakliga förändringar ................................................

75

5

Ett nytt svenskt regelverk om dataskydd .......................

77

5.1

Vårt uppdrag ...........................................................................

77

5.2

Överväganden och förslag......................................................

78

 

5.2.1

Personuppgiftslagen,

 

 

 

personuppgiftsförordningen och

 

 

 

Datainspektionens föreskrifter ska upphävas .......

78

5.2.2Ett regelverk som kompletterar dataskyddsförordningen på generell nivå ska

 

 

införas ......................................................................

79

 

5.2.3

Avvikande bestämmelser i annan lag eller i

 

 

 

förordning ska ha företräde....................................

83

6

Behandling av personuppgifter utanför

 

 

dataskyddsförordningens tillämpningsområde ...............

87

6.1

Vårt uppdrag ...........................................................................

87

6.2

Gällande rätt ...........................................................................

87

6.3

Dataskyddsförordningen .......................................................

88

6.4

Överväganden och förslag......................................................

89

6

SOU 2017:39

Innehåll

6.4.1Vad faller utanför unionsrättens

tillämpningsområde? ...............................................

90

6.4.2Ska förordningens bestämmelser göras

 

 

gällande utanför deras tillämpningsområde?

......... 91

 

6.4.3

Vem ska utöva tillsyn? ............................................

93

7

Förhållandet till yttrande- och informationsfriheten.......

95

7.1

Vårt uppdrag............................................................................

95

7.2

Gällande rätt............................................................................

95

7.3

Dataskyddsförordningen........................................................

98

7.4

Våra överväganden och förslag...............................................

98

8

Rättslig grund för behandling av personuppgifter ........

103

8.1

Vårt uppdrag..........................................................................

103

8.2

Dataskyddsförordningen......................................................

103

 

8.2.1

Laglig behandling...................................................

103

 

8.2.2

Begreppet nödvändig.............................................

105

8.2.3Förhållandet mellan artiklarna 5 och 6

i dataskyddsförordningen .....................................

106

8.3 Överväganden och förslag....................................................

108

8.3.1Grunden för behandlingen ska i vissa fall vara

fastställd .................................................................

108

8.3.2Behandling för att uppfylla en rättslig

 

förpliktelse .............................................................

113

8.3.3

Behandling som ett led i myndighetsutövning ....

119

8.3.4Behandling för att utföra uppgifter av allmänt

intresse ...................................................................

122

8.3.5Särskilda bestämmelser som anpassar

 

tillämpningen av dataskyddsförordningen...........

133

8.3.6

Inledande upplysningsbestämmelse .....................

135

8.4 Sammanfattning ....................................................................

135

7

Innehåll

SOU 2017:39

9

Barns samtycke som rättslig grund ............................

137

9.1

Vårt uppdrag .........................................................................

137

9.2

Gällande rätt .........................................................................

137

9.3

Dataskyddsförordningen .....................................................

138

 

9.3.1

Samtycke som rättslig grund för behandling

 

 

 

av personuppgifter ................................................

138

9.3.2Personuppgifter som rör barn förtjänar ett

 

särskilt skydd.........................................................

140

9.3.3

Barns samtycke......................................................

141

9.4 Utgångspunkter för vår bedömning....................................

142

9.4.1

Inledning................................................................

142

9.4.2

Barnets bästa och barnets rätt till integritet ........

142

9.4.3När är artikel 8.1 i dataskyddsförordningen

tillämplig? ..............................................................

144

9.4.4Något om olika åldersgränser i svensk

 

lagstiftning.............................................................

149

9.4.5

Direktreklam till barn ...........................................

151

9.4.6Yttranden till utredningen angående

 

 

åldersgränsen .........................................................

152

9.5

Överväganden och förslag....................................................

153

10

Känsliga personuppgifter ..........................................

161

10.1

Vårt uppdrag .........................................................................

161

10.2

Dataskyddsförordningen .....................................................

161

10.3

Vad betyder kravet på stöd i nationell rätt?........................

162

10.4

Den registrerades samtycke .................................................

166

 

10.4.1

Gällande rätt ..........................................................

166

 

10.4.2

Överväganden........................................................

166

10.5

Arbetsrätt, social trygghet och socialt skydd .....................

167

 

10.5.1

Gällande rätt ..........................................................

167

 

10.5.2

Överväganden och förslag ....................................

167

10.6

Viktigt allmänt intresse ........................................................

171

 

10.6.1

Gällande rätt ..........................................................

171

8

SOU 2017:39 Innehåll

 

10.6.2

Överväganden och förslag.....................................

172

10.7

Hälso- och sjukvård och social omsorg...............................

182

 

10.7.1

Gällande rätt ..........................................................

182

 

10.7.2

Överväganden och förslag.....................................

184

10.8

Folkhälsa................................................................................

186

 

10.8.1

Gällande rätt ..........................................................

186

 

10.8.2

Överväganden ........................................................

187

11

Personuppgifter som rör lagöverträdelser....................

189

11.1

Vårt uppdrag..........................................................................

189

11.2

Gällande rätt..........................................................................

189

11.3

Dataskyddsförordningen......................................................

191

11.4

Överväganden och förslag....................................................

192

12

Personnummer och samordningsnummer...................

197

12.1

Vårt uppdrag..........................................................................

197

12.2

Gällande rätt..........................................................................

197

12.3

Dataskyddsförordningen......................................................

198

12.4

Överväganden och förslag....................................................

199

13

Begränsningar av vissa rättigheter och skyldigheter

 

 

i dataskyddsförordningen .........................................

201

13.1

Vårt uppdrag..........................................................................

201

13.2

Dataskyddsförordningen......................................................

201

13.3

Gällande rätt..........................................................................

203

13.4

Överväganden och förslag....................................................

204

13.4.1Sekretess och tystnadsplikt ska gå före

informationsplikten...............................................

204

13.4.2Löpande text som utgör utkast eller minnesanteckning ska inte omfattas av rätten

till registerutdrag ...................................................

206

13.4.3 Något om rätten att göra invändningar ...............

207

9

Innehåll

SOU 2017:39

13.4.4Regeringen ska få meddela föreskrifter

 

 

om ytterligare undantag........................................

208

14

Arkiv och statistik ....................................................

209

14.1

Vårt uppdrag .........................................................................

209

14.2

Gällande rätt .........................................................................

210

14.3

Dataskyddsförordningen .....................................................

211

 

14.3.1

Direkt tillämpliga bestämmelser ..........................

211

 

14.3.2 Bestämmelser som ger utrymme för nationella

 

 

 

undantag ................................................................

213

14.4

Överväganden och förslag – arkivändamål

 

 

av allmänt intresse ................................................................

214

 

14.4.1

Allmänt intresse ....................................................

214

 

14.4.2 Rättslig grund och tillåten vidarebehandling.......

215

14.4.3Förhållandet till arkivlagstiftningen och

behandling av känsliga personuppgifter...............

220

14.4.4 Lämpliga skyddsåtgärder ......................................

223

14.4.5Undantag från vissa av den registrerades

 

 

rättigheter ..............................................................

228

 

14.4.6 Organ som bör jämställas med myndigheter ......

233

14.5

Överväganden och förslag – statistiska ändamål ................

234

 

14.5.1

Statistik ..................................................................

234

 

14.5.2 Rättslig grund och tillåten vidarebehandling.......

235

 

14.5.3

Känsliga personuppgifter......................................

236

 

14.5.4

Lämpliga skyddsåtgärder ......................................

238

 

14.5.5 Undantag från vissa av den registrerades

 

 

 

rättigheter ..............................................................

240

15

Förhandstillstånd.....................................................

243

15.1

Vårt uppdrag .........................................................................

243

15.2

Gällande rätt .........................................................................

243

15.3

Dataskyddsförordningen .....................................................

244

15.4

Överväganden .......................................................................

244

10

SOU 2017:39 Innehåll

16

Godkännande av certifieringsorgan............................

247

16.1

Vårt uppdrag..........................................................................

247

16.2

Dataskyddsförordningen......................................................

247

16.3

Överväganden .......................................................................

249

 

16.3.1 Certifiering, ackreditering och Swedac ................

249

 

16.3.2 Vår bedömning ......................................................

249

17

Sekretess................................................................

253

17.1

Vårt uppdrag..........................................................................

253

17.2

Allmänt om grundlags- och sekretessregleringen...............

253

17.3

Sekretess hos tillsynsmyndigheten ......................................

255

 

17.3.1

Gällande rätt ..........................................................

255

 

17.3.2

Dataskyddsförordningen ......................................

257

 

17.3.3

Överväganden ........................................................

257

17.4

Tystnadsplikt för dataskyddsombud ...................................

259

 

17.4.1

Gällande rätt ..........................................................

259

 

17.4.2

Dataskyddsförordningen ......................................

259

 

17.4.3

Överväganden och förslag.....................................

260

17.5

Sekretess för uppgifter som behandlas i strid mot

 

 

personuppgiftsregleringen....................................................

263

 

17.5.1

Gällande rätt ..........................................................

263

 

17.5.2

Överväganden och förslag.....................................

265

17.6

Generalklausulen...................................................................

267

 

17.6.1

Gällande rätt ..........................................................

267

 

17.6.2

Överväganden och förslag.....................................

268

17.7

Sekretess för uppgifter i verksamhet för teknisk

 

 

bearbetning och lagring ........................................................

269

 

17.7.1

Gällande rätt ..........................................................

269

 

17.7.2

Överväganden och förslag.....................................

270

18

Sanktioner ..............................................................

273

18.1

Vårt uppdrag..........................................................................

273

18.2

Vad är en sanktion?...............................................................

273

11

Innehåll

SOU 2017:39

18.3

Gällande rätt .........................................................................

274

 

18.3.1

Skadestånd .............................................................

274

 

18.3.2

Straff.......................................................................

275

 

18.3.3

Vite.........................................................................

276

18.4

Dataskyddsförordningen .....................................................

277

 

18.4.1

Skadestånd .............................................................

277

 

18.4.2

Administrativa sanktionsavgifter .........................

278

 

18.4.3

Andra sanktioner...................................................

281

18.5

Sanktionsavgifter inom offentlig sektor .............................

281

 

18.5.1 Vad är en sanktionsavgift?....................................

281

 

18.5.2 Viten och sanktionsavgifter mot det allmänna....

282

 

18.5.3

Överväganden och förslag ....................................

287

18.6

Övriga sanktioner och förbudet mot

 

 

dubbelbestraffning................................................................

291

 

18.6.1

Medlemsstaternas åligganden...............................

291

 

18.6.2

Allmänt om kriminalisering .................................

292

 

18.6.3

Dubbelprövningsförbudet....................................

294

 

18.6.4

Överväganden och förslag ....................................

294

18.7

Betalning och verkställighet.................................................

298

 

18.7.1

Överväganden och förslag ....................................

298

19

Processuella frågor...................................................

299

19.1

Vårt uppdrag .........................................................................

299

19.2

Kapitlets disposition.............................................................

300

19.3

Rättsmedel mot den personuppgiftsansvarige

 

 

eller personuppgiftsbiträdet.................................................

300

 

19.3.1

Gällande rätt ..........................................................

300

 

19.3.2

Dataskyddsförordningen......................................

301

 

19.3.3

Överväganden och förslag ....................................

302

19.4

Klagomål till tillsynsmyndigheten.......................................

305

 

19.4.1

Gällande rätt ..........................................................

305

 

19.4.2

Dataskyddsförordningen......................................

305

 

19.4.3

Överväganden och förslag ....................................

305

12

SOU 2017:39 Innehåll

19.5

En rättssäker handläggning hos tillsynsmyndigheten

........ 308

 

19.5.1

Gällande rätt ..........................................................

308

 

19.5.2

Dataskyddsförordningen ......................................

309

 

19.5.3

Överväganden och förslag.....................................

310

19.6

Gemensamma tillsynsinsatser ..............................................

319

 

19.6.1

Gällande rätt ..........................................................

319

 

19.6.2

Dataskyddsförordningen ......................................

321

 

19.6.3

Överväganden ........................................................

323

19.7

Överklagande av tillsynsmyndighetens beslut....................

324

 

19.7.1

Gällande rätt ..........................................................

324

 

19.7.2

Dataskyddsförordningen ......................................

325

 

19.7.3

Överväganden och förslag.....................................

325

19.8

Överklagande av andra beslut ..............................................

330

 

19.8.1

Överväganden och förslag.....................................

330

19.9

Ideella organisationer som är verksamma inom

 

 

dataskyddsområdet ...............................................................

331

 

19.9.1

Dataskyddsförordningen ......................................

331

 

19.9.2

Överväganden ........................................................

331

19.10

Parallella domstolsförfaranden.............................................

335

 

19.10.1

Dataskyddsförordningen ......................................

335

 

19.10.2

Överväganden ........................................................

336

20

Ikraftträdande- och övergångsbestämmelser ...............

339

20.1

Vårt uppdrag..........................................................................

339

20.2

Ikraftträdande- och övergångsbestämmelser

 

 

i förordningen .......................................................................

339

20.3

Överväganden och förslag....................................................

340

21

Konsekvenser..........................................................

345

21.1

Vårt uppdrag..........................................................................

345

21.2

Förändringar som följer av våra förslag...............................

346

13

Innehåll

SOU 2017:39

21.3

Ekonomiska konsekvenser...................................................

348

 

21.3.1 Ekonomiska konsekvenser för det allmänna.......

348

 

21.3.2 Ekonomiska konsekvenser för enskilda ..............

349

21.4

Konsekvenser i övrigt...........................................................

350

22

Författningskommentar ............................................

353

22.1

Förslaget till lag med kompletterande bestämmelser

 

 

till EU:s dataskyddsförordning ...........................................

353

22.2

Förslaget till lag om ändring i offentlighets-

 

 

och sekretesslagen (2009:400) .............................................

387

Bilagor

 

Bilaga 1 Kommittédirektiv 2016:15 ...............................................

391

Bilaga 2 Dataskyddsförordningen..................................................

417

14

Förkortningar

Artikel 29-gruppen

Artikel 29-arbetsgruppen för skydd

 

av personuppgifter

dataskyddsdirektivet

Europaparlamentets och rådets

 

direktiv 95/46/EG av den

 

24 oktober 1995 om skydd för

 

enskilda personer med avseende på

 

behandling av personuppgifter och

 

om det fria flödet av sådana

 

uppgifter

dataskyddsförordningen

Europaparlamentets och rådets

 

förordning (EU) 2016/679 av den

 

27 april 2016 om skydd för fysiska

 

personer med avseende på

 

behandling av personuppgifter och

 

om det fria flödet av sådana

 

uppgifter och om upphävande av

 

direktiv 95/46/EG (allmän

 

dataskyddsförordning)

dataskyddskonventionen

Europarådets konvention av den

 

28 januari 1981 om skydd för

 

enskilda vid automatisk data-

 

behandling av personuppgifter

dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av

 

den 27 november 2008 om skydd av

 

personuppgifter som behandlas

 

inom ramen för polissamarbete och

 

straffrättsligt samarbete

15

Förkortningar

SOU 2017:39

DIFS

Datainspektionens

 

författningssamling

dir.

direktiv

dnr

diarienummer

Ds

Departementsserien

EU

Europeiska unionen

EU-domstolen

Europeiska unionens domstol/

 

Europeiska gemenskapernas

 

domstol

Europadomstolen

Europeiska domstolen för de

 

mänskliga rättigheterna

Europakonventionen

Europeiska konventionen den

 

4 november 1950 angående skydd

 

för de mänskliga rättigheterna och

 

de grundläggande friheterna

f.

följande sida/sidor

FN

Förenta Nationerna

förordning nr 45/2001

Europaparlamentets och rådets

 

förordning (EG) nr 45/2001 av den

 

18 december 2000 om skydd för

 

enskilda då gemenskapsinstitu-

 

tionerna och gemenskapsorganen

 

behandlar personuppgifter och om

 

den fria rörligheten för sådana

 

uppgifter

HFD

Högsta förvaltningsdomstolens

 

årsbok

JK

Justitiekanslern

JO

Riksdagens ombudsmän

Ju

Justitiedepartementet

kommissionen

Europeiska kommissionen

16

SOU 2017:39 Förkortningar

LOU

lagen (2016:1145) om offentlig

 

upphandling

NJA

Nytt juridiskt arkiv

nya dataskyddsdirektivet

Europaparlamentets och rådets

 

direktiv (EU) 2016/680 av den

 

27 april 2016 om skydd för fysiska

 

personer med avseende på behöriga

 

myndigheters behandling av

 

personuppgifter för att förebygga,

 

förhindra, utreda, avslöja eller

 

lagföra brott eller verkställa

 

straffrättsliga påföljder, och det fria

 

flödet av sådana uppgifter och om

 

upphävande av rådets rambeslut

 

2008/977/RIF

OECD

Organisationen för ekonomiskt

 

samarbete och utveckling

OSL

offentlighets- och sekretesslagen

 

(2009:400)

prop.

regeringens proposition

PUF

personuppgiftsförordningen

 

(1998:1191)

PUL

personuppgiftslagen (1998:204)

rskr.

riksdagsskrivelse

Regeringsrättens årsbok

SOU

Statens offentliga utredningar

17

Sammanfattning

Inledning

EU:s nya dataskyddsförordning ska tillämpas från och med den 25 maj 2018. Dataskyddsförordningen är direkt tillämplig i Sverige men ger utrymme för kompletterande nationella bestämmelser av olika slag.

Vårt övergripande uppdrag har varit att föreslå en ny nationell reglering som på ett generellt plan kompletterar dataskyddsförord- ningen. I vårt uppdrag har däremot inte ingått att se över de s.k. regis- terförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter. Vi har inte heller haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär. Det är därmed bara ett fåtal av alla de frågor som regleras i dataskydds- förordningen som behandlas eller ens nämns i detta betänkande.

Vi har, inom ramen för vårt uppdrag, strävat efter att den person- uppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.

Ett nytt svenskt regelverk om dataskydd

Vi föreslår att personuppgiftslagen (1998:204) och personuppgifts- förordningen (1998:1191) ska upphävas och att de kompletterande bestämmelser som är av generell karaktär samlas i en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande, utan endast utgör komplement till dataskydds- förordningen, bör de benämnas lagen med kompletterande bestäm- melser till EU:s dataskyddsförordning respektive förordningen med

19

Sammanfattning

SOU 2017:39

kompletterande bestämmelser till EU:s dataskyddsförordning. Vi har valt att kalla den nya lagen dataskyddslagen i detta betänkande.

Dataskyddsförordningen ska gälla även i verksamhet som inte omfattas av unionsrätten

Behandling av personuppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. i verksamhet som rör natio- nell säkerhet, omfattas inte av dataskyddsförordningen. Detsamma gäller behandling av personuppgifter i verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd av personupp- gifter anser vi dock att förordningens bestämmelser i tillämpliga delar bör gälla även i dessa fall. Vårt förslag om utsträckt tillämpnings- område hindrar dock inte att det för en viss sådan verksamhet införs en särskild reglering, om det skulle anses mer lämpligt.

Sektorsspecifika bestämmelser ska ha företräde framför dataskyddslagen

De bestämmelser som vi föreslår är av generell karaktär. På vissa områden kommer det att finnas behov av lag- eller förordnings- bestämmelser kring behandling av personuppgifter som avviker från dataskyddslagens reglering. Det kan t.ex. röra sig om bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Vi föreslår att sådana avvikande bestämmelser ska ha företräde framför dataskyddslagen. Det innebär dock inte att de därigenom också får företräde framför dataskyddsförordningen inom det aktuella området. För att en avvikande bestämmelse i exempelvis en registerförfattning ska kunna tillämpas, måste den vara förenlig med dataskyddsförord- ningen och avse en fråga som får särregleras genom nationell rätt.

Annorlunda förhåller det sig när det gäller verksamhet som inte omfattas av unionsrätten, dvs. där dataskyddsförordningen inte är direkt tillämplig men där den har fått ett utsträckt tillämpnings- område genom dataskyddslagen. I det fallet kan det genom ett undantag i lag eller förordning föreskrivas att dataskyddsförord-

20

SOU 2017:39

Sammanfattning

ningen inte ska gälla i verksamheten. Ett sådant undantag kan också ange att endast vissa delar av dataskyddsförordningen inte ska gälla.

Förhållandet till våra grundlagar förändras inte

Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jäm- förelse med hur motsvarande reglering ser ut i övriga Europa. Data- skyddsförordningen inskränker inte möjligheterna att behandla personuppgifter på det grundlagsreglerade området. Det får inte råda någon osäkerhet kring detta, eftersom det skulle kunna få påverkan på vitala och mycket känsliga delar av den opinionsskapande verk- samheten, såsom meddelarfrihet och källskydd. Vi föreslår därför en upplysningsbestämmelse som tydliggör att bestämmelserna i data- skyddsförordningen och i dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet.

Utanför det grundlagsskyddade området föreslår vi att ett undantag från dataskyddsförordningen införs för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för aka- demiskt, konstnärligt eller litterärt skapande. Vissa av dataskydds- förordningens bestämmelser, bland annat de som rör säkerhet för personuppgifter, ska dock tillämpas även i dessa fall.

Utrymmet för att ge offentlighetsprincipen företräde framför per- sonuppgiftsregleringen är tydligt i dataskyddsförordningen. Tryckfri- hetsförordningens reglering om allmänhetens tillgång till handlingar kan alltså fortsätta att tillämpas, även när det gäller allmänna hand- lingar som innehåller personuppgifter.

Barn som har fyllt 13 år ska i vissa fall kunna samtycka till behandling av personuppgifter

Enligt förordningen ska ett barn ha fyllt 16 år för att självt kunna sam- tycka till behandling av personuppgifter vid erbjudandet av informa- tionssamhällets tjänster, t.ex. sociala medier, söktjänster och s.k. appar för smarta enheter. Vi föreslår att denna åldersgräns ska sänkas till 13 år i Sverige. För barn yngre än så krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne.

21

Sammanfattning

SOU 2017:39

Rättsliga förpliktelser, myndighetsutövning och uppgifter av allmänt intresse ska vara särskilt reglerade för att utgöra rättslig grund

Enligt dataskyddsförordningen måste en rättslig förpliktelse, myndig- hetsutövning eller uppgift av allmänt intresse vara fastställd i enlighet med nationell rätt eller unionsrätt för att kunna utgöra rättslig grund för behandling av personuppgifter. Vi föreslår bestämmelser i data- skyddslagen som förtydligar hur dessa företeelser fastställs i enlighet med svensk rätt. En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Med anledning av att vårt uppdrag har omfattat arkivfrågor har vi uppmärksammat att enskilda arkivinstitutioner kan sakna en fast- ställd rättslig grund för behandling av personuppgifter. I avvaktan på den breda översyn av arkivväsendet som regeringen har aviserat, föreslår vi att rättslig grund ska kunna fastställas av Riksarkivet, genom föreskrifter eller beslut i enskilda fall.

Känsliga personuppgifter får behandlas bara om det uttryckligen är tillåtet

Enligt dataskyddsförordningen gäller som huvudregel, liksom tidigare, ett förbud mot behandling av känsliga personuppgifter. Behandling av sådana personuppgifter får ske bara om det finns stöd i någon av förordningens undantagsbestämmelser. Vissa undantag från förbudet följer direkt av förordningen, medan andra förutsätter stöd även i nationell rätt. Vi föreslår att ett sådant stöd ska införas i dataskydds- lagen när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Stödet för behandlingen ska vara förenat med vissa restriktioner.

22

SOU 2017:39

Sammanfattning

Myndigheter ska få behandla känsliga personuppgifter med stöd av ett nytt myndighetsundantag

Myndigheter har ofta berättigade skäl att behandla känsliga person- uppgifter och i många fall sker detta i den registrerades eget intresse. För att säkerställa att nödvändig behandling kan ske även efter det att dataskyddsförordningen börjar gälla bedömer vi att det krävs ett nytt undantag för behandling av känsliga personuppgifter hos myndighe- ter. Vi föreslår att sådan behandling ska få ske

i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller

i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt in- trång i den registrerades personliga integritet.

Vi föreslår också att det vid behandling som sker med stöd av det nya myndighetsundantaget ska vara förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter.

Personuppgifter som rör lagöverträdelser ska få behandlas av myndigheter och annars bara om det uttryckligen är tillåtet

Vi föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel även fortsättningsvis ska få utföras av myndigheter.

För att andra än myndigheter ska få behandla sådana uppgifter föreslår vi att det måste finnas uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Vi föreslår ett sådant stöd i lag när det gäller uppgifter som behandlas för arkivändamål av allmänt intresse, förutsatt att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i arkivlagstiftningen och andra föreskrifter.

23

Sammanfattning

SOU 2017:39

Personnummer får under vissa förutsättningar behandlas även i fortsättningen

Vi föreslår att uppgifter om personnummer eller samordningsnum- mer även fortsättningsvis ska få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Det finns begränsningar för när arkiverade uppgifter och statistikuppgifter får användas för åtgärder mot den registrerade

Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål får enligt vårt förslag inte använ- das för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i fråga om arkiverade uppgifter ska inte gälla för myndigheter. Det ska däremot begränsningen rörande statistikupp- gifter göra.

Rätten till registerutdrag och information m.m. ska i vissa fall vara begränsad

Den registrerades rättigheter stärks genom dataskyddsförordningen. Dessa rättigheter är dock inte ovillkorliga. Vissa viktiga undantag från rättigheterna regleras direkt i förordningen. Vi föreslår där- utöver att rätten till information och s.k. registerutdrag inte ska gälla uppgifter som omfattas av sekretess. Rätten till registerutdrag ska som huvudregel inte heller gälla personuppgifter som finns i löpande text som utgör utkast eller minnesanteckning. Hos Riksarkivet och andra arkivmyndigheter ska rätten till registerutdrag, rättelse m.m. vara begränsad när det gäller personuppgifter som finns i arkiv- material som tagits emot för förvaring av myndigheten.

24

SOU 2017:39

Sammanfattning

Vissa beslut som fattas av en personuppgiftsansvarig myndighet får överklagas till domstol

I likhet med vad som gäller enligt personuppgiftslagen ska vissa beslut som en myndighet fattar i egenskap av personuppgiftsansvarig kunna överklagas till allmän förvaltningsdomstol. Det gäller sådana beslut som myndigheten fattar med anledning av att den registrerade utövar sina rättigheter enligt dataskyddsförordningen. Det kan t.ex. röra sig om avslagsbeslut på begäran om att den registrerade ska få tillgång till sina personuppgifter, att uppgifter ska rättas eller raderas eller att en behandling ska begränsas.

Den registrerade kan begära skadestånd

Den registrerade har enligt dataskyddsförordningen rätt till ersättning från den personuppgiftsansvarige eller ett personuppgiftsbiträde om skada har uppstått på grund av överträdelser av förordningen. Vi före- slår att det i dataskyddslagen förtydligas att denna rätt till skadestånd även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar förordningen.

Datainspektionen ska utöva tillsyn

Datainspektionen ska vara den myndighet som ska utöva tillsyn och övervaka att bestämmelserna i dataskyddsförordningen och data- skyddslagen efterlevs. Inspektionens tillsynsbefogenheter anges i dataskyddsförordningen. Dessa befogenheter ska enligt vårt förslag gälla även vid tillsynen över att dataskyddslagen och annan komplet- terande lagstiftning följs.

Datainspektionens beslut enligt dataskyddsförordningen och data- skyddslagen får överklagas till allmän förvaltningsdomstol.

Datainspektionen ska behandla klagomål inom tre månader

Om en registrerad anser att personuppgifter behandlas på ett sätt som strider mot dataskyddsförordningen kan ett klagomål lämnas in till Datainspektionen. Klagomålet ska behandlas inom tre månader. Om det inte sker får den registrerade enligt vårt förslag begära ett

25

Sammanfattning

SOU 2017:39

besked i frågan om Datainspektionen avser att utöva tillsyn eller inte. Om Datainspektionen behöver mer tid för att behandla klago- målet, får begäran avslås genom ett motiverat beslut. Den registre- rade får överklaga detta beslut till allmän förvaltningsdomstol genom en s.k. dröjsmålstalan.

Sanktionsavgift kan tas ut även av myndigheter som gör fel

Genom dataskyddsförordningen införs en möjlighet för Datainspek- tionen att ta ut en administrativ sanktionsavgift av ett företag eller andra enskilda som bryter mot dataskyddsregleringen. En sådan sank- tionsavgift ska enligt vårt förslag även kunna tas ut av en myndighet.

Vi föreslår inte någon straffbestämmelse motsvarande den som gäller enligt personuppgiftslagen.

Sekretessfrågor

Genom dataskyddsförordningen införs en skyldighet för myndigheter och vissa företag att utse ett dataskyddsombud. Ombudet ska vara bundet av sekretess enligt unionsrätten eller den nationella rätten.

För dataskyddsombud som deltar i det allmännas verksamhet gäller offentlighets- och sekretesslagens bestämmelser om sekretess. För den privata sektorn föreslår vi att tystnadsplikt ska gälla för data- skyddsombud i fråga om sådant som ombudet har fått veta om enskilds personliga eller ekonomiska förhållanden.

Konsekvenser

Dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till konsekvenser, både för det allmänna och för enskilda. Vi har dock inte haft i uppgift att bedöma eller redovisa dessa konse- kvenser. I vårt uppdrag ingår däremot att bedöma konsekvenserna av våra förslag, i den mån dessa medför förändringar jämfört med vad som gäller i dag.

Våra förslag innebär att Riksarkivet, Datainspektionen och de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Vi

26

SOU 2017:39

Sammanfattning

bedömer dock att kostnadsökningarna för berörda aktörer inte kom- mer att bli större än att de ryms inom de befintliga anslagen.

Våra förslag medför inga nya kostnader eller ökad administrativ börda för enskilda.

Vi anser att förslagen stärker skyddet för enskildas personliga integritet.

27

Summary

Introduction

The EU’s new General Data Protection Regulation begins to apply on 25 May 2018. The General Data Protection Regulation will be directly applicable in Sweden, but it provides scope for supplemen- tary national provisions of various kinds.

Our overarching remit was to propose a new national regulation that supplements the General Data Protection Regulation at a general level. However, our remit did not include reviewing the ‘register statutes’ or other sector-specific regulations on the processing of personal data. Nor did our remit include analysing or describing any changes that the General Data Protection Regulation in itself entails. Therefore, only a few of all the issues regulated in the General Data Protection Regulation are dealt with or even mentioned in this report.

Within the framework of our remit, we have endeavoured to ensure that the personal data processing currently permitted is able to continue as far as possible. Our work was therefore not intended to broaden or restrict the possibilities of processing personal data, other than in cases where the General Data Protection Regulation requires such a change.

A new Swedish regulatory framework on data protection

We propose that the Personal Data Act (1998:204) and the Personal Data Ordinance (1998:1191) should be repealed and that the supple- mentary provisions of a general nature should be collected in a new overall act and ordinance on data protection. To emphasise the fact that the statutes are not comprehensive and that they are simply a supplement to the General Data Protection Regulation, they should

29

Summary

SOU 2017:39

be named the Act containing supplementary provisions to the EU General Data Protection Regulation and the Ordinance containing supplementary provisions to the EU General Data Protection Regu- lation. In this report, we have chosen to refer to the new act as the

Data Protection Act.

The General Data Protection Regulation also to apply to activities not covered by EU law

The processing of personal data carried out as part of an activity not covered by EU law, e.g. activities concerning national security, is not covered by the General Data Protection Regulation. The same applies to the processing of personal data in activities covered by the EU Common Foreign and Security Policy. However, to ensure that there is sufficient protection of personal data in each activity, we consider that the relevant parts of the Regulation’s provisions should apply in these cases as well. Yet our proposal on expanding the field of appli- cation would not preclude the introduction of a separate regulation for a certain activity of this kind, if deemed more appropriate.

Sector-specific provisions to take precedence over the Data Protection Act

The provisions we propose are of a general nature. In certain areas, there will be a need for provisions in acts or ordinances concerning processing of personal data that deviate from the regulations in the Data Protection Act. That may include provisions specifying the legal basis for a public authority’s processing of personal data, restrictions on the right to process sensitive personal data in a certain activity or special procedural rules. We propose that such deviating provisions should take precedence over the Data Protection Act. However, this does not mean that they would thus also take precedence over the General Data Protection Regulation within the area in question. In order for a deviating provision in, for example, a register statute to be applied, it has to be compatible with the General Data Protection Regulation and refer to an issue that is allowed to be subject to special rules in national law.

30

SOU 2017:39

Summary

The situation is different with regard to activities that are not covered by EU law, i.e. when the General Data Protection Regulation is not directly applicable but it has been given a broader field of application through the Data Protection Act. In such cases, it may be prescribed through an exemption in an act or ordinance that the General Data Protection Regulation does not apply to that specific activity. Such an exemption may also state that only certain parts of the General Data Protection Regulation do not apply.

No changes in relation to our constitution

Our detailed Fundamental Law on Freedom of Expression and Free- dom of the Press Act are unique compared with corresponding regulations in the rest of Europe. The General Data Protection Act does not limit the possibilities of processing personal data in the area governed by the constitution. There must be no uncertainty about this, since such uncertainty could have an impact on vital and very sensitive parts of opinion-making activities, such as freedom of communication and protection of sources. We therefore propose an information provision to make clear that the provisions of the General Data Protection Regulation and the Data Protection Act must not be applied to the extent that they contravene the consti- tutional provisions on freedom of the press and freedom of expres- sion.

Beyond the area protected by the constitution, we propose that an exemption from the General Data Protection Regulation be intro- duced for the processing of personal data that occurs for journalistic purposes or for academic, artistic or literary expression. However, some of the provisions in the General Data Protection Regulation, including those concerning the security of personal data, should be applied in these cases as well.

The scope for allowing the principle of public access to official documents to take priority over the personal data regulations is clear in the General Data Protection Regulation. This means that the rules contained in the Freedom of the Press Act on public access to docu- ments can continue to be applied, also when it comes to official documents that contain personal data.

31

Summary

SOU 2017:39

Children who are 13 and above in certain cases to be able to consent to the processing of their personal data

Under the General Data Protection Regulation, a child must be 16 to be able to give their own consent to the processing of personal data in relation to offers of information society services, such as social media, search engines and apps for smart devices. We propose that this age limit be lowered to 13 in Sweden. For younger children, con- sent must be given by a custodial parent or the child’s consent must be approved by the custodial parent.

Legal obligations, exercise of official authority and tasks carried out in the public interest

to be subject to separate regulations to form a legal basis

Under the General Data Protection Regulation, a legal obligation, the exercise of official authority or tasks carried out in the public interest must be laid down by national law or EU law to be able to form a legal basis for the processing of personal data. We propose provisions in the Data Protection Act that clarify how these phenomena are established in line with Swedish law. Under Swedish law, a legal obligation is established if it applies under an act or other statute or follows from collective agreements or decisions issued pursuant to an act or other statute. Exercise of official authority is established under Swedish law through an act or other statute. Under Swedish law, a task carried out in the public interest is established if it follows from an act or other statute or from collective agreements or decisions issued pursuant to an act or other statute.

Because our remit covered archive issues, we have drawn attention to the fact that private archive institutions might lack an established legal basis for processing personal data. Pending the broad review of the archive system that the Government has announced, we propose that it should be possible for the National Archives to establish a legal basis through regulations or decisions in individual cases.

32

SOU 2017:39

Summary

Sensitive personal data may be processed only if explicitly permitted

Under the General Data Protection Regulation, the general rule, as before, is that processing of sensitive personal data is prohibited. Processing of such personal data may only be carried out if there is support for this in one of the Regulation’s exemption clauses. Certain exemptions from the general rule follow directly from the Regu- lation, whereas others require support in national law as well. We propose that this kind of support be introduced in the Data Pro- tection Act with regard to necessary processing of personal data in the area of employment law, health and medical care, social care, archive activities and statistics activities. Support for processing must be linked to certain restrictions.

Authorities to be able to process sensitive personal data under a new authority exception

Authorities often have legitimate reasons for processing sensitive personal data, and in many cases this is done in the data subject’s own interests. To ensure that the necessary processing can be carried out even after the General Data Protection Regulation begins to apply, we consider that there is a need for a new exception regarding the processing of sensitive personal data held by authorities. We propose that such processing may be carried out:

in running text if the data was provided in a matter or is required to deal with a matter;

if the data was provided to the authority and processing is required by law; or

in individual cases, if it is absolutely necessary for the purpose of the processing and the processing does not entail an improper intrusion on the personal privacy of the data subject.

We further propose that when carrying out processing under the new authority exception, using search terms that reveal sensitive personal data it is to be prohibited.

33

Summary

SOU 2017:39

Personal data that concerns criminal offences to be processed by authorities and otherwise only if explicitly permitted

We propose that authorities should continue to be able to process personal data that concerns criminal convictions and offences or coercive measures under criminal law.

For actors other than authorities to be able to process such data, we propose that there must be explicit support in an act or ordinance or in regulations or administrative orders issued by the Swedish Data Protection Authority. We propose that support of this kind be laid down in law with regard to data processed for archiving purposes in the public interest, provided that the processing is carried out as a result of the obligations to protect and preserve documents specified in archive legislation and other provisions.

Under certain circumstances, personal identity numbers to continue to be processed

We propose that data concerning personal identity numbers or coor- dination numbers may continue to be processed when clearly justi- fied with respect to the purpose of the processing, the importance of positive identification or some other significant reason.

There are restrictions on when archived data and statistics may be used for measures against a data subject

Under our proposal, personal data processed exclusively for archiv- ing purposes in the public interest or for statistical purposes may not be used to take action in matters concerning the data subject unless there are exceptional grounds for doing so with respect to the person’s vital interests.

Regarding archived data, this restriction will not apply to authori- ties. However, the restriction regarding statistical data will apply to authorities.

34

SOU 2017:39

Summary

In some cases, the right to access to the personal data and information, etc. to be restricted

The rights of data subjects are strengthened under the General Data Protection Regulation. However, these rights are not unconditional. Certain important exceptions from the rights are regulated directly in the Regulation. In addition, we propose that the right to information and access to the personal data should not apply to data that is subject to secrecy regulations. As a general rule, the right to access to the personal data should not apply to personal data contained in running texts that constitute rough drafts or notes. Furthermore, the right to access to the personal data, rectification, etc. is to be rest- ricted as regards personal data contained in archive material received for storage by the National Archives and other archiving authorities.

Certain decisions taken by an authority acting as controller of personal data may be appealed to a court of law

As is the case with the provisions of the Personal Data Act, it will be possible to appeal certain decisions taken by an authority in its capa- city as controller of personal data to an administrative court. This applies to decisions taken by the authority in response to data sub- jects exercising their rights under the General Data Protection Regu- lation. For example, this may concern the rejection of a request by a data subject to obtain access to the personal data, that data be recti- fied or erased, or that the processing be restricted.

The data subject may seek compensation

Under the General Data Protection Regulation, the data subject is entitled to compensation from the controller or processor for damage suffered as a result of an infringement of the Regulation. We propose that the Data Protection Act should clarify that this right to compensation also applies to infringements of the Data Protection Act and other legislation that supplements the Regulation.

35

Summary

SOU 2017:39

Swedish Data Protection Authority to exercise supervision

The Swedish Data Protection Authority will be the authority tasked with supervising and monitoring compliance with the provisions of the General Data Protection Regulation and the Data Protection Act. The Authority’s supervisory powers are specified in the General Data Protection Regulation. Under our proposal, these powers should also apply to supervising compliance with the Data Protection Act and other supplementary legislation.

A decision taken by the Swedish Data Protection Authority under the General Data Protection Regulation and the Data Protection Act may be appealed to an administrative court.

Swedish Data Protection Authority to consider complaints within three months

Should a data subject consider that personal data is processed in a manner that contravenes the General Data Protection Regulation, they may lodge a complaint with the Swedish Data Protection Authority. Complaints are to be considered within three months. If this does not happen, under our proposal the data subject may request an indication as to whether or not the Swedish Data Protec- tion Authority intends to exercise supervision. If the Swedish Data Protection Authority needs more time to consider the complaint, the request may be rejected through a reasoned decision. The data sub- ject may appeal this decision to an administrative court by submitting a claim of delay.

Administrative fines may also be imposed on authorities that make errors

The General Data Protection Regulation provides the Swedish Data Protection Authority with the option of imposing administrative fines on an enterprise or other private party that violates data protec- tion regulations. Under our proposal, it will also be possible to impose administrative fines on an authority that violates the General Data Protection Regulation.

36

SOU 2017:39

Summary

We do not propose a penalty provision similar to that under the Personal Data Act.

Confidentiality issues

The General Data Protection Regulation introduces an obligation on authorities and certain other bodies to designate a data protection officer. This officer is to be bound by secrecy or confidentiality under EU law or national law.

Data protection officers who participate in public authority activi- ties must abide by the confidentiality provisions of the Public Access to Information and Secrecy Act. Regarding the private sector, we propose that confidentiality should apply to data protection officers where the officer has gained knowledge of a private party’s personal or financial circumstances.

Consequences

The directly applicable provisions of the General Data Protection Regulation will have consequences for both public institutions and private parties. However, it was not our task to assess or report on these consequences. Nonetheless, our remit does include assessing the consequences of our proposals insofar as they entail changes compared with what currently applies.

Our proposals entail a few more duties being assigned to the National Archives, the Swedish Data Protection Authority and the administrative courts. Our assessment, however, is that the increased costs to relevant actors will not exceed the scope of their existing appropriations.

Our proposals do not entail any new costs or increased adminis- trative burden to private parties.

In our view, the proposals strengthen protection for the perso- nal privacy of individuals.

37

1 Författningsförslag

1.1Förslag till

lag med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

1 § Denna lag kompletterar Europaparlamentets och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direk- tiv 95/46/EG (allmän dataskyddsförordning), nedan kallad data- skyddsförordningen.

Termer och uttryck som används i denna lag har samma bety- delse som i dataskyddsförordningen.

2 § Bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i denna lag ska i tillämpliga delar gälla även vid behand- ling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdel- ning V kapitel 2 i fördraget om Europeiska unionen.

Avvikande bestämmelser i annan författning

3 § Om en annan lag eller en förordning innehåller någon bestäm- melse som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.

39

Författningsförslag

SOU 2017:39

Förhållandet till tryck- och yttrandefriheten

4 § Bestämmelserna i dataskyddsförordningen och i denna lag ska inte tillämpas i den utsträckning det skulle strida mot bestämmel- serna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Bestämmelserna i kapitel II och III, artiklarna 24–30 och 35–43 och kapitel V i dataskyddsförordningen samt i 2–5 kap. denna lag ska inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litte- rärt skapande.

Organ som ska jämställas med myndigheter

5 § Vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket ska andra organ än myndigheter jämställas med myndighe- ter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekre- tesslagen (2009:400) gäller i organets verksamhet.

Tystnadsplikt för dataskyddsombud

6 § Den som utsetts till dataskyddsombud enligt artikel 37 i data- skyddsförordningen får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och ekonomiska förhållanden.

I det allmännas verksamhet tillämpas offentlighets- och sekre- tesslagen (2009:400) i stället för första stycket.

2 kap. Rättslig grund

1 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

2 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om

40

SOU 2017:39

Författningsförslag

barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Rättslig förpliktelse

3 § Personuppgifter får behandlas med stöd av artikel 6.1 c i data- skyddsförordningen om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som

1.gäller enligt lag eller annan författning,

2.följer av kollektivavtal, eller

3.följer av beslut som har meddelats med stöd av lag eller annan författning.

Uppgift av allmänt intresse och myndighetsutövning

4 § Personuppgifter får behandlas med stöd av artikel 6.1 e i data- skyddsförordningen om behandlingen är nödvändig

1.för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller

2.som ett led i den personuppgiftsansvariges myndighetsutöv- ning enligt lag eller annan författning.

Enskilda arkiv

5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna hand- lingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkivändamål av allmänt intresse.

41

Författningsförslag

SOU 2017:39

3 kap. Vissa kategorier av personuppgifter

Känsliga personuppgifter

1 § Utöver vad som framgår av artikel 9.2 a, c, d, e eller f i data- skyddsförordningen får sådana särskilda kategorier av personupp- gifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga per- sonuppgifter) behandlas om förutsättningarna i någon av 2–8 §§ är uppfyllda.

Arbetsrätt

2 § Känsliga personuppgifter får med stöd av artikel 9.2 b i data- skyddsförordningen behandlas om det är nödvändigt för att den per- sonuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten.

Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten finns en skyldighet att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Myndigheters behandling i vissa fall

3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i data- skyddsförordningen behandlas av en myndighet

1.i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

2.om uppgifterna har lämnats till myndigheten och behand- lingen krävs enligt lag, eller

3.i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

4 § Vid behandling som sker enbart med stöd av 3 § får en myn- dighet inte använda sökbegrepp som avslöjar känsliga personupp- gifter.

42

SOU 2017:39

Författningsförslag

Hälso- och sjukvård och social omsorg

5 § Känsliga personuppgifter får med stöd av artikel 9.2 h i data- skyddsförordningen behandlas om behandlingen är nödvändig av skäl som hör samman med

1.förebyggande hälso- och sjukvård och yrkesmedicin,

2.bedömningen av en arbetstagares arbetskapacitet,

3.medicinska diagnoser,

4.tillhandahållande av hälso- och sjukvård eller behandling,

5.social omsorg, eller

6.förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.

Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är upp- fyllt.

Arkiv

6 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse även i andra fall än de som avses i första stycket.

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra enskilda organ än de som omfattas av bestämmel- serna om allmänna handlingar och sekretess i tryckfrihetsförord- ningen och offentlighets- och sekretesslagen (2009:400) får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.

Statistik

7 § Känsliga personuppgifter får med stöd av artikel 9.2 j i data- skyddsförordningen behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där

43

Författningsförslag

SOU 2017:39

behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Bemyndigande

8 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till ett viktigt allmänt intresse.

Personuppgifter som rör lagöverträdelser

Behandling under kontroll av myndighet

9 § Personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndig- heter.

10 § Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

Arkiv

11 § Behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Bemyndigande

12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i 9 §.

44

SOU 2017:39

Författningsförslag

Personnummer och samordningsnummer

13 § Uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hän- syn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

14 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.

4 kap. Användningsbegränsningar

Arkiverade personuppgifter

1 § Personuppgifter som behandlas enbart för arkivändamål av all- mänt intresse får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i första stycket hindrar dock inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.

Statistikuppgifter

2 § Personuppgifter som behandlas enbart för statistiska ändamål får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registre- rades vitala intressen.

5 kap. Begränsningar av vissa rättigheter och skyldigheter

Information och tillgång till personuppgifter

1 § Den registrerades rätt till information och tillgång till person- uppgifter enligt artiklarna 13–15 i dataskyddsförordningen gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

Om den personuppgiftsansvarige inte är en myndighet gäller undantaget i första stycket även för uppgifter som hos en myndighet

45

Författningsförslag

SOU 2017:39

skulle ha varit sekretessbelagda enligt offentlighets- och sekretess- lagen (2009:400).

2 § Bestämmelsen om den registrerades rätt till tillgång till person- uppgifter i artikel 15 i dataskyddsförordningen gäller inte person- uppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Undantaget i första stycket gäller inte om personuppgifterna

1.har lämnats ut till tredje part,

2.behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller,

3.har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning.

Bemyndigande

3 § Regeringen får meddela föreskrifter om ytterligare begräns- ningar av vissa rättigheter och skyldigheter enligt artikel 23 i data- skyddsförordningen.

6 kap. Tillsynsmyndighetens handläggning och beslut

Befogenheter

1 § De

befogenheter som tillsynsmyndigheten har enligt arti-

kel 58.1,

58.2 och 58.3 i dataskyddsförordningen gäller även vid

tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Ansökan hos allmän förvaltningsdomstol

2 § Om tillsynsmyndigheten vid handläggningen av ett ärende fin- ner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet, får tillsynsmyndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas.

Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.

Prövningstillstånd krävs vid överklagande till kammarrätten.

46

SOU 2017:39

Författningsförslag

Kommunikation

3 § Innan tillsynsmyndigheten fattar ett beslut som avses i arti- kel 58.2 i dataskyddsförordningen, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av bety- delse för beslutet, om det inte är uppenbart obehövligt.

Om saken är brådskande får myndigheten, i avvaktan på ytt- randet, besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskydds- förordningen. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.

Delgivning

4 § Ett beslut som avses i 3 § första stycket ska delges, om det inte är uppenbart obehövligt. Delgivning enligt 34–37 §§ delgiv- ningslagen (2010:1932) får användas endast om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt hål- ler sig undan.

Besked angående handläggningen av ett klagomål

5 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet, ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked.

Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran om besked kom in till myndig- heten.

Om tillsynsmyndigheten har avslagit en begäran om besked enligt första stycket, har den registrerade inte rätt till ett nytt besked i ärendet förrän tidigast tre månader efter det att myndighetens beslut meddelades.

47

Författningsförslag

SOU 2017:39

7 kap. Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas.

Vid överträdelser som avses i artikel 83.4 i dataskyddsförord- ningen ska avgiften bestämmas till högst 10 000 000 kronor och annars till högst 20 000 000 kronor.

2 § Sanktionsavgift får tas ut vid överträdelser av artikel 10 i data- skyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.

3 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § inom fem år från den dag då överträdelsen ägde rum.

4 § En sanktionsavgift som beslutats enligt dataskyddsförordningen eller denna lag tillfaller staten.

8 kap. Skadestånd och rättsmedel

Skadestånd

1 § Rätten till ersättning enligt artikel 82 i dataskyddsförord- ningen gäller även vid överträdelser av bestämmelser i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

2 § Beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsför- ordningen som har meddelats av en myndighet i egenskap av per- sonuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Första stycket gäller inte beslut av riksdagen, regeringen,

Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

48

SOU 2017:39

Författningsförslag

Dröjsmålstalan

3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 6 kap. 5 § får överklagas till allmän förvaltningsdomstol.

Om domstolen bifaller överklagandet, ska den förelägga tillsyns- myndigheten att inom en bestämd tid lämna besked till den registre- rade i frågan om tillsyn kommer att utövas.

Domstolens beslut får inte överklagas.

Överklagande av tillsynsmyndighetens beslut

4 § Tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt 7 kap. 1 och 2 §§ denna lag får överklagas till allmän förvalt- ningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av beslut i enskilda fall

5 § Beslut enligt 2 kap. 5 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 10 § denna lag får överklagas till allmän förvaltningsdom- stol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

6 § Andra beslut enligt denna lag än de som avses i 2–5 §§ och 6 kap. 2 § får inte överklagas.

1.Denna lag träder i kraft den 25 maj 2018.

2.Genom lagen upphävs personuppgiftslagen (1998:204).

3.Den upphävda lagen gäller dock fortfarande i den utsträckning som det i en annan lag eller förordning finns bestämmelser som inne- håller hänvisningar till den lagen.

4.Äldre föreskrifter gäller fortfarande för ärenden hos Data- inspektionen som har inletts men inte avgjorts före ikraftträdandet.

5.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.

49

Författningsförslag

SOU 2017:39

6.Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

7.Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.

50

SOU 2017:39

Författningsförslag

1.2Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 10 kap. 27

§, 21 kap. 7 § och 40 kap.

5 § samt rubriken närmast före 21 kap. 7

§ offentlighets- och sekre-

tesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

 

10 kap.

 

27 §1

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretess- belagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte hel-

Första stycket gäller inte hel-

ler om utlämnandet strider mot

ler om utlämnandet strider mot

lag eller förordning eller föreskrift

lag eller förordning.

som har meddelats med stöd av

 

personuppgiftslagen (1998:204).

 

21 kap.

Behandling i strid med person-

Behandling i strid med data-

uppgiftslagen

skyddsregleringen

Sekretess gäller för person- uppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).

7 §

Sekretess gäller för person- uppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med

Europaparlamentets och rådets förordning (EU) 2016/679 av den

1 Senaste lydelse 2013:795.

51

Författningsförslag SOU 2017:39

 

 

 

27 april 2016 om skydd för fysiska

 

 

 

personer med avseende på behand-

 

 

 

ling av personuppgifter och om det

 

 

 

fria flödet av sådana uppgifter och

 

 

 

om

upphävande

av

direktiv

 

 

 

95/46/EG

(allmän

dataskydds-

 

 

 

förordning),

i

den

ursprungliga

 

 

 

lydelsen, eller lagen (2018:xx) med

 

 

 

kompletterande

bestämmelser till

 

 

 

EU:s dataskyddsförordning.

 

 

40 kap.

 

 

 

 

 

 

 

5 §

 

 

 

 

 

Sekretess

gäller i

verksamhet

 

Sekretess gäller för uppgift om

för enbart

teknisk

bearbetning

en enskilds personliga eller ekono-

eller teknisk lagring för någon

miska förhållanden

i verksamhet

annans räkning av personupp-

för

enbart

teknisk

bearbetning

gifter som avses i personuppgifts-

eller teknisk lagring för någon

lagen (1998:204) för uppgift om en

annans räkning av sådana person-

enskilds personliga eller ekono-

uppgifter som avses i artikel 4.1 i

miska förhållanden.

 

Europaparlamentets och rådets för-

 

 

 

ordning (EU) 2016/679 av den

 

 

 

27 april 2016 om skydd för fysiska

 

 

 

personer med avseende på behand-

 

 

 

ling av personuppgifter och om det

 

 

 

fria flödet av sådana uppgifter och

 

 

 

om

upphävande

av

direktiv

 

 

 

95/46/EG

(allmän

dataskydds-

 

 

 

förordning).

 

 

 

 

Denna lag träder i kraft den 25 maj 2018.

52

En arkivmyndighet behöver inte lämna bekräftelse, tillgång till personuppgifter och information enligt artikel 15 i Europaparla- mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportio- nerligt stor arbetsinsats.
7 b §
En arkivmyndighet behöver inte rätta eller komplettera person- uppgifter enligt artikel 16 i förord- ning (EU) 2016/679, när det gäller personuppgifter i arkivmate-
53

SOU 2017:39

Författningsförslag

1.3Förslag till

förordning om ändring

i arkivförordningen (1991:446)

Regeringen föreskriver i fråga om arkivförordningen (1991:446) dels att 7 a och 20 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 7 b, 7 c och 7 d §§, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 a §2

En arkivmyndighet behöver inte lämna besked och informa- tion enligt 26 § personuppgifts- lagen (1998:204) när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbets- insats.

2 Senaste lydelse 2001:556.

Författningsförslag

SOU 2017:39

rial som tagits emot för förvaring av myndigheten.

7 c §

En arkivmyndighet behöver inte begränsa behandlingen av personuppgifter enligt artikel 18 i förordning (EU) 2016/679, när det gäller personuppgifter i arkiv- material som tagits emot för förva- ring av myndigheten.

7 d §

Rätten att göra invändningar enligt artikel 21 i förordning (EU) 2016/679 gäller inte vid en arkivmyndighets behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av arkivmyndigheten.

20 §3

I 22 a § förvaltningslagen

(1986:223) finns bestämmelser om överklagande hos allmän för- valtningsdomstol. Andra beslut än beslut enligt 7 a § får dock inte överklagas.

I 22 a § förvaltningslagen

(1986:223) finns bestämmelser om överklagande hos allmän för- valtningsdomstol. Andra beslut än beslut enligt 7 a, 7 b, 7 c och 7 d §§ får dock inte överklagas.

Denna förordning träder i kraft den 25 maj 2018.

3 Senaste lydelse 2001:556.

54

SOU 2017:39

Författningsförslag

1.4Förslag till

förordning med kompletterande bestämmelser till EU:s dataskyddsförordning

Regeringen föreskriver följande.

Inledande bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen.

Kompletterande bestämmelser finns också i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning, nedan kallad dataskyddslagen.

Termer och uttryck som används i denna förordning har samma betydelse som i dataskyddsförordningen och dataskyddslagen.

2 § Denna förordning är meddelad med stöd av

3 kap. 12 § dataskyddslagen i fråga om 4 § och 5 § första stycket,

3 kap. 10 § dataskyddslagen i fråga om 5 § andra stycket,

2 kap. 5 § och 3 kap. 6 § dataskyddslagen i fråga om 6 §, och

8 kap. 7 § regeringsformen i fråga om övriga bestämmelser.

Tillsynsmyndighet

3 § Datainspektionen är tillsynsmyndighet enligt dataskyddsför- ordningen och dataskyddslagen.

Personuppgifter som rör lagöverträdelser

4 § Personuppgifter som rör fällande domar i brottmål, lagöver- trädelser som innefattar brott eller straffprocessuella tvångsmedel får behandlas av andra än myndigheter om

55

Författningsförslag

SOU 2017:39

1.behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall,

2.behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller

3.behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

5 § Datainspektionen får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fäl- lande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.

Datainspektionen får även i enskilda fall besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.

Enskilda arkiv

6 § Riksarkivet får meddela föreskrifter om behandling av person- uppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlig- hets- och sekretesslagen (2009:400). Sådana föreskrifter får även avse behandling av känsliga personuppgifter.

Riksarkivet får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkiv- ändamål av allmänt intresse. Sådana beslut får även avse behandling av känsliga personuppgifter.

7 § Innan Riksarkivet meddelar föreskrifter eller fattar beslut enligt 6 § ska Datainspektionen ges tillfälle att yttra sig över Riksarkivets förslag.

Verkställighet av beslut om sanktionsavgift

8 § Sanktionsavgifter ska betalas till X-myndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning.

56

SOU 2017:39

Författningsförslag

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

9 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom tio år från det att beslutet fick laga kraft.

10 § Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften återbetalas. För sanktionsavgift som återbetalas utgår ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den återbetalas.

Övriga verkställighetsföreskrifter

11 § Datainspektionen får meddela närmare föreskrifter om

1.klagomål till tillsynsmyndigheten, och

2.begäran om besked rörande handläggningen av klagomål.

1.Denna förordning träder i kraft den 25 maj 2018.

2.Genom förordningen upphävs personuppgiftsförordningen (1998:1191).

3.Den upphävda förordningen gäller dock fortfarande i den utsträckning som det i en annan lag eller förordning finns bestäm- melser som innehåller hänvisningar till den förordningen.

4.Äldre föreskrifter gäller fortfarande för ärenden som har inletts hos Datainspektionen före ikraftträdandet men ännu inte har avgjorts.

5.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.

57

2 Vårt uppdrag och arbete

2.1Uppdraget

Vårt uppdrag har varit att föreslå de anpassningar och kompletteran- de författningsbestämmelser som den nya dataskyddsförordningen ger anledning till på generell nivå, samt att upphäva den nuvarande generella personuppgiftsregleringen.

I kommittédirektiven beskrivs vilken reglering som måste antas på nationell nivå, dvs. behövliga författningsförslag. Uppräkningen av dessa punkter är avsedd att vara uttömmande. Dessutom beskrivs i direktiven ett antal frågor där vi ska lämna lämpliga författnings- förslag. I dessa fall finns det i dataskyddsförordningen inget krav på nationell reglering, men möjligheten finns. Utredningens direktiv finns i bilaga 1.

2.2Avgränsningar

Vårt uppdrag har varit omfattande, samtidigt som de i direktiven givna tidsramarna måste hållas. Vi har mot den bakgrunden ansett det nödvändigt att tolka vårt uppdrag tämligen strikt och inte ta oss an uppgifter som inte klart framgår av de direktiv som lämnats till oss.

Utgångspunkten för vårt arbete har varit att endast utreda och lämna förslag till de anpassningar av nationell rätt som dataskydds- förordningen ger anledning till på ett generellt plan. I detta arbete har vi strävat efter att sådan personuppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behand- ling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring. Vi har inte haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär

59

Vårt uppdrag och arbete

SOU 2017:39

för möjligheten att behandla, och skyldigheten att skydda, person- uppgifter. Det har inte heller varit vår uppgift att bedöma konsekven- serna av förordningens direkt tillämpliga bestämmelser eller av de förändringar som dessa innebär.

I uppdraget har inte ingått att överväga eller lämna förslag till grundlagsändringar. Uppdraget har inte heller omfattat att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bland annat finns i de särskil- da registerförfattningarna. Vi har således inte utrett frågor som endast rör vissa typer av verksamheter. Några av de frågor som beskrivs i kommittédirektiven och som behandlats i vår utredning är dock av relevans enbart för den offentliga sektorn, men då på ett generellt plan. Flertalet frågor rörande tillsynsmyndigheten har inte ingått i vår utredning, utan har i stället omhändertagits av Utredningen av till- synen över den personliga integriteten (Ju 2015:02).

Efter det att våra direktiv beslutades har regeringen gett en särskild utredare i uppdrag att bland annat analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas, utöver den generella reglering som vi kommer att föreslå, och att analysera vilka anpassningar av lagen (2003:460) om etikpröv- ning av forskning som avser människor som behöver göras. Utred- ningen har tagit namnet Forskningsdatautredningen (U 2016:04). Vi har i samråd med Forskningsdatautredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautred- ningen är bäst lämpad att göra den analys och de överväganden som krävs. Vi har därför avstått från att i vårt arbete behandla frågan om behandling av personuppgifter för forskningsändamål.

2.3Utredningsarbetet

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna expertgruppsammanträden. Utredningen har sammanträtt med de förordnade experterna och den sakkunniga vid sammanlagt elva till- fällen. Utredningsarbetet har även i övrigt bedrivits i nära samarbe- te med experterna och den sakkunniga.

Utredaren och sekreterarna samrådde med Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) den 15 april 2016 inför pla-

60

SOU 2017:39

Vårt uppdrag och arbete

neringen av utredningsarbetet. Utredarna har därefter samrått vid flera tillfällen. Sekreterarna har haft fortlöpande kontakter med var- andra i för utredningarna gemensamma frågor. Den mycket begrän- sade tiden för vårt utredningsarbete har dock inte lämnat utrymme för att i tillräcklig utsträckning ta del av Utredningens om 2016 års dataskyddsdirektiv förslag och texter. Det kan därför finnas oavsikt- liga skillnader mellan utredningarnas syn på likartade frågor.

Parallellt med vår utredning har ett flertal andra utredningar också haft i uppdrag att anpassa svensk rätt till dataskyddsrefor- men. Vi har tillsammans med dessa andra utredningar ingått i en informell samordningsgrupp. Under utredningstiden har det hållits nio möten i denna samordningsgrupp. Vi har löpande under utred- ningstiden delat våra texter med samordningsgruppen, men har däremot inte haft tid att ta del av de andra utredningarnas texter. Det kan därför även i förhållande till dessa utredningar finnas oav- siktliga skillnader i synen på likartade frågor.

Vid sidan av samarbetet med Utredningen om 2016 års data- skyddsdirektiv och inom samordningsgruppen har vi dessutom löpande under utredningsarbetet samrått och haft kontakter med bland andra Utredningen om tillsynen över den personliga integri- teten (Ju 2015:02) och Utredningen om kameraövervakningslagen

– brottsbekämpning och integritetsskydd (Ju 2015:14).

Den 24 oktober 2016 närvarade vi vid konferensen Nordic Privacy Arena, som anordnades av organisationen Forum för dataskydd. Vi har även deltagit i ett seminarium i riksdagen den 8 december 2016 om ”Åldersgräns för sociala medier – skydd eller begränsning av barn och ungas rättigheter?”, som anordnades av organisationen Surfa lugnt. Vi har också deltagit i ett nordiskt samrådsmöte i Köpenhamn den 12 december 2016, anordnat av Nordiska ministerrådet. Vidare har vi under utredningstiden haft en dialog med Riksarkivet om frå- gor som rör behandling av personuppgifter för arkivändamål.

Slutligen har vi gett Statens medieråd och Barnombudsmannen tillfälle att lämna yttranden när det gäller frågan om barns samtycke till personuppgiftsbehandling vid erbjudandet av informationssam- hällets tjänster direkt till barn. Svar har inkommit från båda dessa myndigheter.

61

Vårt uppdrag och arbete

SOU 2017:39

62

3 Gällande rätt

3.1Inledning

Begreppet personlig integritet används i vardagligt tal vanligen för att beteckna individens värde och värdighet. Begreppet finns både i grundlag och i vanlig lag. Någon allmängiltig definition av begreppet har dock inte slagits fast i lagstiftningen. I ett försök att ändå beskriva vad som kan anses vara kärnan i rätten till personlig integritet har regeringen uttalat att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara till- försäkrad och där ett oönskat intrång bör kunna avvisas.1

I dagens samhälle behandlas stora mängder personuppgifter elektroniskt av både privata och offentliga aktörer. Det är nödvändigt för att företag ska kunna bedriva en konkurrenskraftig affärsverk- samhet och för att offentliga organ ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt. Denna hantering är dock förenad med påtagliga risker. Om de personuppgifter som samlats in utnyttjas för andra syften än avsett eller annars behandlas på ett otillbörligt sätt, eller om uppgifterna på grund av säkerhetsbrister hamnar i fel händer, kan det leda till allvarlig skada för enskildas personliga integri- tet. För att skydda enskildas integritet har det därför ansetts finnas ett behov av bestämmelser som bland annat begränsar hur, när och varför personuppgifter får behandlas och som reglerar hur otillåten behand- ling ska förhindras och beivras.

I detta kapitel beskrivs kortfattat den övergripande rättsliga regle- ringen till skydd för den personliga integriteten, i den mån denna reglering är av relevans med avseende på behandling av person- uppgifter.

1 Prop. 2009/10:80 s. 175, och prop. 2005/06:173 s. 15. För en genomgång av integritetsbegrep- pet i tidigare utredningsarbete, se SOU 2016:7 s. 69 f.

63

Gällande rätt

SOU 2017:39

3.2Internationella överenskommelser

3.2.1Förenta Nationerna

Förenta Nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bin- dande för medlemsstaterna, men ses som ett uttryck för sedvane- rättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen må utsättas för godtyckligt ingri- pande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I artikel 29 anges att en person endast får underkastas sådana in- skränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalför- samlingen 1966 och trädde i kraft 1976. Sverige anslöt sig till konventionen 1971. I artikel 17 återupprepas vad som anges i arti- kel 12 i den allmänna förklaringen.

FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas i strid med FN:s stadga.

3.2.2OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat riktlinjer i fråga om integri- tetsskyddet och personuppgiftsflödet över gränserna. Riktlinjerna antogs 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att betrakta riktlinjerna i nationell lagstiftning. Riktlinjerna reviderades år 2013. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna.

64

SOU 2017:39

Gällande rätt

Riktlinjerna ska uppfattas som minimiregler och motsvarar i princip de bestämmelser som finns i Europarådets dataskyddskon- vention, se nedan. De är tillämpliga på behandling av personupp- gifter inom både den privata och den offentliga sektorn.

3.3Europarätt

3.3.1Europarådet

Europakonventionen

Sedan den 1 januari 1995 är den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande frihe- terna (Europakonventionen) inkorporerad i svensk rätt och gäller som lag2. Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespon- dens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den all- männa säkerheten, landets ekonomiska välstånd eller till före- byggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. EU- domstolen har slagit fast att bestämmelserna i artikel 8 i Europa- konventionen har viss betydelse vid bedömningen av nationella regler som tillåter behandling av personuppgifter.3 Vidare har Europa- domstolen slagit fast att artikel 8 i Europakonventionen ålägger staten såväl en negativ förpliktelse att avstå från att göra intrång i rätten till respekt för privat- och familjelivet som en positiv för-

2Lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna, prop. 1993/94:117.

3Dom Österreichischer Rundfunk m.fl., C-465/00, C-138/01 och C-139/01, EU:C:2003:294.

65

Gällande rätt

SOU 2017:39

pliktelse att skydda enskilda mot att andra enskilda handlar på ett sätt som innebär integritetsintrång.4

Dataskyddskonventionen

Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen, antogs av Europarådets ministerkommitté 1981. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen.

Konventionens syfte är att säkerställa respekten för grundläg- gande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personupp- gifter. Konventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgifts- behandling i allmän och enskild verksamhet. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av personuppgifter får inte behandlas genom automatiserad data- behandling om inte den nationella lagstiftningen ger ett ändamåls- enligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott. En översyn av konventionen pågår för närvarande inom Europarådet.

Det har inom Europarådet även utarbetats flera rekommen- dationer på dataskyddsområdet. Dessa är dock, till skillnad från dataskyddskonventionen, inte bindande.

3.3.2Europeiska unionen

Stadgan

Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlems- stater Europeiska unionens stadga om de grundläggande rättig- heterna. Som en följd av Lissabonfördraget, som trädde i kraft år

4 Se t.ex. Airey mot Irland, nr 6289/73, dom den 9 oktober 1979, X och Y mot Nederländerna, nr 8978/80, dom den 26 mars 1985, K.U. mot Finland, nr 2872/02, dom den 2 december 2008 och Söderman mot Sverige, nr 5786/08, dom den 12 november 2013.

66

SOU 2017:39

Gällande rätt

2009, är stadgan rättsligt bindande för EU-institutionerna och medlemsstaterna när dessa tillämpar unionsrätten.

I artikel 7 i stadgan anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Dataskyddsdirektivet och dataskyddsrambeslutet

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avse- ende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, till exempel allmän säkerhet och försvar samt statens verksamhet på straffrättens område. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är, som namnet antyder, tillämpligt på informationsutbyte över gränserna. Data- skyddsrambeslutet gäller däremot inte för rent nationell person- uppgiftsbehandling inom exempelvis polisens område. Från data- skyddsrambeslutets tillämpningsområde undantas också person- uppgiftsbehandling inom området nationell säkerhet. På detta områ- de finns det således inte någon EU-gemensam reglering avseende behandling av personuppgifter.

67

Gällande rätt

SOU 2017:39

3.4Svensk rätt

3.4.1Regeringsformen

Svensk grundlag ger ett grundläggande skydd för den personliga integriteten, utöver det som följer av att lag eller annan föreskrift inte får meddelas i strid med Europakonventionen. Enligt mål- sättningsstadgandet i 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt för den enskilda männi- skans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. I 2 kap. 4 och 5 §§ regeringsformen finns bestämmelser om absolut skydd mot allvarliga fysiska integritetsintrång, bland annat döds- och kroppsstraff. Enligt 2 kap. 6 § första stycket regeringsformen är var och en därutöver skyddad gentemot det allmänna mot bland annat påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § regerings- formen. I bestämmelsen anges att var och en gentemot det all- männa är skyddad mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ regeringsformen begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begräns- ningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

3.4.2Dataskyddsdirektivets genomförande

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestäm- melserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskydds- direktivets struktur och innehåller liksom direktivet bestämmelser

68

SOU 2017:39

Gällande rätt

om bland annat personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registre- rade.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar per- sonuppgifter. Personuppgiftslagen är samtidigt subsidiär, vilket inne- bär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i sektorsspecifika författningar som främst reglerar hur olika myndigheter får behandla personuppgifter.

Personuppgiftslagen kompletteras också av bestämmelser i per- sonuppgiftsförordningen (1998:1191), förkortad PUF, som bland annat pekar ut Datainspektionen som tillsynsmyndighet. Datainspek- tionen bemyndigas i förordningen att meddela närmare föreskrifter om bland annat i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.

69

4 EU:s dataskyddsreform

4.1Allmänt om reformen

I artikel 16 i fördraget om Europeiska unionens funktionssätt, som trädde i kraft år 2009 genom Lissabonfördraget, anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Vidare anges att Europaparlamentet och rådet i enlighet med det ordi- narie lagstiftningsförfarandet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpnings- område, samt om den fria rörligheten för sådana uppgifter.

Bestämmelsen ger unionen befogenhet att anta rättsakter om skydd för personuppgifter inom hela tillämpningsområdet för unions- rätten, med vissa särbestämmelser för den gemensamma utrikes- och säkerhetspolitiken avseende behandling av personuppgifter i med- lemsstaterna. EG:s befogenheter på området omfattade endast den första pelaren. Genom Lissabonfördraget har således befogenheterna att anta rättsakter till skydd för den personliga integriteten utvidgats.

Kommissionen lade fram sitt förslag till en reformerad dataskydds- reglering i EU år 2012. Förslaget avsåg dels en förordning med all- männa EU-regler om skydd av personuppgifter som skulle ersätta dataskyddsdirektivet, och dels ett direktiv med regler om skydd av personuppgifter som behandlas i samband med förebyggande, utred- ning, avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet som skulle ersätta dataskyddsrambeslutet.1 En politisk

1 Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (all- män uppgiftsskyddsförordning) (COM[2012] 11 final av den 25 januari 2012) och Förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (COM[2012] 10 final av den 25 januari 2012).

71

EU:s dataskyddsreform

SOU 2017:39

överenskommelse om regleringen kunde nås den 15 december 2015. Enligt kommissionens pressmeddelande efter den politiska överens- kommelsen var syftet med reformen i huvudsak att stärka enskildas befintliga rättigheter och se till att enskilda får mer kontroll över sina personuppgifter, men också att harmonisera EU:s regler om skydd av personuppgifter och därmed skapa affärsmöjligheter och främja inno- vation.2

4.2Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning). I dagligt tal används ofta den vedertagna engelska för- kortningen, GDPR. Vi har dock valt att i detta betänkande benämna den nya rättsakten dataskyddsförordningen eller kort och gott förord- ningen.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra den gene- rella regleringen av personuppgiftsbehandling inom EU. Enligt arti- kel 288 andra stycket i fördraget om Europeiska unionens funktions- sätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direktiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författ- ningsbestämmelser. Detta innebär att dataskyddsförordningen är direkt tillämplig.

Även om dataskyddsförordningen är direkt tillämplig, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestäm- melser av olika slag. Förordningen har därmed i vissa delar en direk- tivliknande karaktär. I skälen till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess

2 Europeiska kommissionens pressmeddelande den 15 december 2015 ”Överenskommelse om kommissionens reform av EU:s uppgiftsskydd stärker den digitala inre marknaden”.

72

SOU 2017:39

EU:s dataskyddsreform

bestämmelser genom medlemsstaternas nationella rätt, kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de per- soner som de tillämpas på, införliva delar av förordningen i nationell rätt.

4.2.1Förordningens syfte

I skälen till förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skälen förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida kon- kurrensen och hindra myndigheterna från att fullgöra sina skyldig- heter enligt unionsrätten.

För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgif- ter inom den inre marknaden behövs, enligt skälen till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekono- miska aktörer och som ger fysiska personer i alla medlemsstater sam- ma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhet- lig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mel- lan tillsynsmyndigheterna i olika medlemsstater effektivt.

4.2.2Tillämpningsområdet

Dataskyddsförordningen ska, precis som dataskyddsdirektivet, till- lämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

Från dataskyddsförordningens tillämpningsområde undantas be- handling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av personuppgifter som utförs av

73

EU:s dataskyddsreform

SOU 2017:39

en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller förord- ningens bestämmelser. Vidare gäller förordningen inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behöriga myndigheters behandling av person- uppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, som ersätter dataskyddsrambeslutet. Slutligen ska förordningens bestämmelser inte tillämpas av EU:s institutioner, organ och byråer. Den behandling av personuppgifter som sker där regleras i stället genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar per- sonuppgifter och om den fria rörligheten för sådana uppgifter. Ett förslag till reviderad förordning om skydd för personuppgifter som behandlas av unionens institutioner, organ, kontor och byråer har lagts fram av kommissionen.3

Dataskyddsförordningen ska tillämpas på all behandling av per- sonuppgifter som sker inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte. En skillnad jämfört med dataskyddsdirektivets ordalydelse är att förordningen under vissa omständigheter ska tillämpas även på behandling av personuppgifter som utförs av en personuppgifts- ansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befin- ner sig i unionen, under förutsättning att behandlingen har anknyt- ning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen. Slutligen ska dataskyddsförordningen också tillämpas på behandling av personuppgifter som utförs av en

3 COM (2017) 8 final, 2017/0002 (COD).

74

SOU 2017:39

EU:s dataskyddsreform

personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

4.2.3Sakliga förändringar

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innebär även en rad förändringar. Några av dessa förtjänar att nämnas särskilt.

Den registrerades rättigheter har förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den informa- tion som ska tillhandahållas den registrerade har preciserats och ut- vidgats och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leve- rantör av elektroniska tjänster, s.k. dataportabilitet. Vidare har en tydligare rätt till radering (”rätt att bli bortglömd”) införts.

Det införs ett krav på att i vissa fall inhämta samtycke från vårdnadshavare eller godkännande av barnets samtycke när infor- mationssamhällets tjänster erbjuds direkt till ett barn. Barns särställ- ning och särskilda utsatthet poängteras på flera ställen i förordningen.

Genom förordningen införs en skyldighet för den personupp- giftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter.

Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter. Den allmänna anmälningsskyldigheten till tillsyns- myndigheten tas däremot bort. Vidare blir det tydligare regler för kommunikation och ansvar hos de som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs.

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Även på andra sätt innebär förord- ningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreg- lerna inom EU, till exempel genom åtgärder som godkännande av

75

EU:s dataskyddsreform

SOU 2017:39

uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs samtidigt en ny princip om en enda kontaktpunkt, som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det kommer även att införas ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förord- ningen även i enskilda fall.

Förhållandet till offentlighetsprincipen

Utrymmet för att ge offentlighetsprincipen företräde framför per- sonuppgiftsregleringen har blivit tydligare i förordningen, genom en uttrycklig och direkt tillämplig bestämmelse i artikel 86. Av bestäm- melsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller person- uppgifter.

76

5Ett nytt svenskt regelverk om dataskydd

5.1Vårt uppdrag

Dataskyddsförordningen kommer att utgöra den generella regleringen av personuppgiftsbehandling inom EU. Detta innebär att personupp- giftslagen och anslutande föreskrifter måste upphävas. Vårt övergri- pande uppdrag är att föreslå en ny nationell reglering som på ett gene- rellt plan kompletterar förordningen. En lag som kompletteras av bestämmelser i en nationell förordning samt en viss föreskriftsrätt för tillsynsmyndigheten kan enligt kommittédirektiven vara en lämplig utgångspunkt.

I kommittédirektiven anges att det vid utförandet av uppdraget är viktigt att – i den mån utrymme finns på nationell nivå – hitta lämp- liga avvägningar mellan skyddet för den personliga integriteten samt myndigheters, företags och enskildas behov av att kunna behandla personuppgifter. I vårt uppdrag ingår dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om be- handling av personuppgifter som bland annat finns i de särskilda registerförfattningarna. Frågan om förhållandet mellan sektorsspeci- fik reglering och den kompletterande reglering som vi föreslår kan däremot aktualiseras. I uppdraget ingår därför att analysera om det finns behov att reglera förhållandet mellan den kompletterande regle- ringen och sektorsspecifika föreskrifter.

77

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

5.2Överväganden och förslag

Utredningens förslag: Personuppgiftslagen och personuppgifts- förordningen ska upphävas. En ny lag och förordning med bestäm- melser som kompletterar dataskyddsförordningen på ett generellt plan ska införas. Termer och uttryck i dessa författningar ska ha samma betydelse som i dataskyddsförordningen. Sektorsspecifika författningsbestämmelser som rör behandling av personuppgifter ska ha företräde framför den nya lagen.

5.2.1Personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter ska upphävas

Dataskyddsförordningen ersätter dataskyddsdirektivet, som på gene- rell nivå har genomförts i svensk rätt genom personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter. Dataskyddsförordningen ska däremot inte implementeras i svensk rätt, utan i stället tillämpas av enskilda, myndigheter och domstolar precis som om dess bestämmelser hade funnits i en svensk författ- ning. När dataskyddsförordningen börjar tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att fin- nas i dataskyddsförordningen. Det svenska generella regelverket om dataskydd kan då inte längre finnas kvar, eftersom det skulle leda till en otillåten dubbelreglering. Många av de bestämmelser som finns i personuppgiftslagen och i personuppgiftsförordningen motsvaras nämligen av direkt tillämpliga bestämmelser i dataskyddsförord- ningen.

Det ankommer på riksdagen att fatta beslut om upphävande av personuppgiftslagen, medan personuppgiftsförordningen bör upp- hävas genom regeringsbeslut. Datainspektionens föreskrifter som ansluter till personuppgiftslagen och personuppgiftsförordningen bör lämpligen upphävas av Datainspektionen, innan personuppgiftsför- ordningen upphör att gälla.

78

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

5.2.2Ett regelverk som kompletterar dataskyddsförordningen på generell nivå ska införas

Den omständigheten att den nya generella unionsrättsakten om data- skydd är en förordning, och inte ett direktiv, innebär omfattande begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd. Dataskyddsförordningen har emellertid i vissa delar en direktivliknande karaktär, på så sätt att ett förhål- landevis stort antal artiklar förutsätter eller medger nationella bestäm- melser som kompletterar eller föreskriver undantag från förord- ningens regler. I skäl 8 till förordningen anges också att om för- ordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlems- staterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de perso- ner som de tillämpas på, införliva delar av förordningen i nationell rätt.

Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser bör samlas i en ny övergripande lag och för- ordning om dataskydd. För att betona att författningarna inte är hel- täckande, utan endast utgör ett komplement till dataskyddsförord- ningen, bör de benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning respektive förordningen med komplet- terande bestämmelser till EU:s dataskyddsförordning. I det följande kallar vi den nya lagen för dataskyddslagen.

Bestämmelser till skydd för den enskildes personliga integritet har vid normgivningen betraktats som offentligrättsliga föreskrifter av den svenska lagstiftaren. Bestämmelserna utgör ett medel för det allmänna att skydda enskilda mot kränkning av deras personliga integritet genom olämplig behandling av personuppgifter. Genom tillsynsmyndigheten övervakar det allmänna att såväl privaträttsliga som offentligrättsliga organ följer regelverket. Eventuella överträ- delser kan beivras genom offentligrättsliga sanktioner, förbud och begränsningar. Den omständigheten att överträdelser även kan föran- leda civilrättsliga sanktioner i form av skadestånd förtar inte regle- ringen dess offentligrättsliga karaktär.1 Riksdagen kan därmed, enligt

1 Prop. 1997/98:44 s. 58 f.

79

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

8 kap. 3 § regeringsformen, delegera sin normgivningskompetens på detta område till regeringen. Bestämmelser som meddelas med stöd av ett sådant bemyndigande kan dock aldrig läggas till grund för behandling som innebär sådan övervakning eller kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § regerings- formen. Sådana betydande intrång i den personliga integriteten om- fattas nämligen av ett särskilt lagkrav, enligt 2 kap. 20 § regerings- formen. De förordningsbestämmelser som vi föreslår är dock inte av denna karaktär.

Termer och uttryck

Många av de termer och uttryck som används i dataskyddsförord- ningen definieras i artikel 4 i förordningen. Andra begrepp definieras visserligen inte, men är av unionsrättslig karaktär och kan inte ges en särskild betydelse i nationell rätt. Termer och uttryck som används i den dataskyddslag och kompletterande förordning som vi föreslår bör därför ha samma betydelse som i dataskyddsförordningen. I öv- rigt innehåller våra författningsförslag inte några termer eller uttryck som kräver en reglerad definition.

Hänvisningsteknik

Den nya lag och förordning med kompletterande bestämmelser till dataskyddsförordningen som föreslås i detta betänkande innehåller hänvisningar till bestämmelser i EU-förordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Dataskyddsförordningen är direkt tillämplig. Handlingsutrymmet för medlemsstaterna när det gäller att införa bestämmelser i nationell rätt på detta område är därmed begränsat. För att säkerställa att ändringar i dataskyddsförordningen får omedelbart genomslag är det lämpligt att hänvisningarna dit görs dynamiska. Detta hindrar emel- lertid inte att dataskyddslagen och den kompletterande förordningen kan komma att behöva ändras om dataskyddsförordningens innehåll ändras. De hänvisningar till dataskyddsförordningen som finns i den

80

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

dataskyddslag och kompletterande förordning som föreslås i detta betänkande är därför med ett enda undantag dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Hänvisning- arna kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen. Det är en hänvisningsteknik som reger- ingen ofta har använt i senare tids propositioner (se t.ex. prop. 2015/16:156 s. 20 f. och 33 f., prop. 2015/16:160 s. 36 f. och 45, prop. 2016/17:22 s. 96 f. och prop. 2016/17:125 s. 50).

Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs. Särskilt bör det enligt Lagrådet belysas hur det nationella regelsystemet faktiskt ändras genom hänvisningen och hur ändringar av rättsakten kan komma att påverka den nationella regleringen.2

Flera av hänvisningarna till dataskyddsförordningen i de bestäm- melser som vi föreslår är av upplysande karaktär. Det gäller främst hänvisningarna i bestämmelserna om rättslig grund, känsliga person- uppgifter och skadestånd. Dynamiska hänvisningar framstår som mest lämpligt i dessa fall. Detsamma gäller hänvisningarna till data- skyddsförordningen avseende betydelsen av de termer och uttryck som används i författningarna. Terminologin som används i den nationella reglering som kompletterar EU-förordningen måste följa den begreppsutveckling som sker inom unionen, även vid en even- tuell ändring av uttryckliga definitioner i dataskyddsförordningen.

Andra hänvisningar till dataskyddsförordningen finns i föreslagna lag- och förordningsbestämmelser som rör bland annat vilka myn- digheter eller andra aktörer som är behöriga att pröva olika frågor eller som har att vidta åtgärder enligt dataskyddsförordningen samt vilka förfarandebestämmelser som ska gälla när förordningen saknar bestämmelser eller hänvisar till att nationell rätt ska tillämpas. Data- skyddsförordningen innebär även att det i svensk rätt måste införas bestämmelser om sanktioner vid överträdelser av förordningen. För- slaget till dataskyddslag innehåller också en bestämmelse om tyst- nadsplikt för den som utsetts till dataskyddsombud enligt data- skyddsförordningen.

Samtliga dessa ovan nämnda författningsförslag avser bestämmel- ser av ett slag som måste finnas i svensk rätt för att Sverige ska upp- fylla sina unionsrättsliga förpliktelser. Statiska hänvisningar till data-

2 Prop. 2015/16:156 s. 34.

81

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

skyddsförordningen i dessa bestämmelser skulle leda till oklarheter och brister, om dataskyddsförordningen skulle komma att ändras utan att den svenska lagstiftaren hinner vidta åtgärder. Den omstän- digheten att somliga förändringar i dataskyddsförordningen ändå skulle kunna föranleda behov av justeringar av svensk rätt, t.ex. röran- de vilken myndighet eller domstol som ska hantera en viss fråga, utgör inte skäl för att välja någonting annat än dynamiska hänvis- ningar i dessa paragrafer.

Vidare förekommer det i våra författningsförslag bestämmelser som föreskriver undantag från dataskyddsförordningens bestämmel- ser. Undantagen avser de registrerades rättigheter å ena sidan och den personuppgiftsansvariges skyldigheter å den andra. Flera av de före- slagna undantag som innehåller hänvisningar till dataskyddsförord- ningen är nära förknippade med den svenska grundlagsregleringen om tryck- och yttrandefrihet och rätt till tillgång till allmänna hand- lingar. Det råder enligt vår mening inget tvivel om att dessa undantag ska gälla, även om dataskyddsförordningens lydelse skulle komma att ändras i någon detalj. Vi föreslår även undantag som motiveras av behovet av en balans mellan det skydd som dataskyddsförordningen ger den registrerade och det skydd som annan lagstiftning ger den personuppgiftsansvariges verksamhet eller tredje parts personliga integritet, t.ex. i form av sekretess. Även i dessa bestämmelser anser vi att dynamiska hänvisningar behövs för att säkerställa att balansen består även vid en eventuell ändring av dataskyddsförordningen.

I ett fall, rörande behandling av personuppgifter utanför data- skyddsförordningens egentliga tillämpningsområde, anser vi dock att det finns skäl att välja en statisk hänvisningsteknik, innebärande att hänvisningen ska avse den ursprungliga lydelsen av dataskyddsförord- ningen. Skälen för detta ställningstagande utvecklas i avsnitt 6.4.2.

Det kan noteras att detta betänkande även innehåller förslag till ändringar i offentlighets- och sekretesslagen (2009:400), innebärande att hänvisningar till dataskyddsförordningen ska införas i vissa bestämmelser. Frågan om hänvisningarnas karaktär i de fallen behand- las i avsnitt 17.

82

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

5.2.3Avvikande bestämmelser i annan lag eller i förordning ska ha företräde

Reglering av behandling av personuppgifter har i Sverige sedan lång tid tillbaka skett i form av en generell lag, kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Vid införlivandet av dataskyddsdirektivet konstaterade Datalagskommit- tén att överväganden avseende de särskilda registerförfattningarna föll utanför deras uppdrag. Samtidigt bedömde kommittén att det även med den nya generella lagstiftningen föreföll nödvändigt att ha sär- regler i vissa fall. Kommittén ansåg därför att den nya lagen om behandling av personuppgifter borde innehålla en bestämmelse som innebär att särregleringen inte berörs.3 Regeringen instämde i denna bedömning.4 Personuppgiftslagen gjordes därför subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § PUL).

I de fall kompletteringar till eller undantag från dataskyddsför- ordningen får och bör göras på generell nivå ingår det i vårt uppdrag att överväga frågan. I några fall ger emellertid förordningen utrymme för undantag eller kompletteringar avseende en särskild typ av verk- samhet, se t.ex. artiklarna 9 och 23. I andra fall ges medlemsstaterna möjlighet att fastställa mer specifika villkor för att anpassa bestäm- melserna i förordningen för att säkerställa en laglig och rättvis be- handling, se t.ex. artikel 6.2 och 6.3 andra stycket. För att lämpliga avvägningar mellan skyddet för den personliga integriteten och beho- vet av att kunna behandla personuppgifter ska kunna göras i dessa situationer krävs överväganden som tar särskild hänsyn till de om- ständigheter som föreligger i en viss typ av verksamhet.

Det ligger inte inom ramen för vårt uppdrag att ta ställning till i vilken mån utrymmet för sektorsspecifik reglering om behandling av personuppgifter bör utnyttjas. Av kommittédirektiven framgår dock inte annat än att regeringen har för avsikt att i vart fall tills vidare hålla fast vid det traditionella systemet för reglering av behandling av per- sonuppgifter i Sverige, dvs. i form av en generell reglering som kom- pletteras av sektorsspecifika författningar med bestämmelser om behandling av personuppgifter.

3SOU 1997:39 s. 205 f.

4Prop. 1997/98:44 s. 40 f.

83

Ett nytt svenskt regelverk om dataskydd

SOU 2017:39

I vissa fall kan lagform krävas enligt 2 kap. 6 och 20 §§ regerings- formen, men många gånger kan sektorsspecifika författningar som rör behandling av personuppgifter beslutas av regeringen, med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regerings- formen eller med stöd av bemyndiganden i lag. Det kommer följakt- ligen även i fortsättningen sannolikt att finnas ett stort antal förord- ningar som innehåller särskilda bestämmelser om behandling av personuppgifter. Bestämmelser i såväl lagar som förordningar bör därför, på motsvarande sätt som gällt hittills, ha företräde framför bestämmelserna i den generella reglering som vi föreslår. Det bör dock tydliggöras i författningstexten att dataskyddslagen är subsidiär endast i förhållande till bestämmelser om sådant som regleras i data- skyddslagen, dvs. som rör behandling av personuppgifter. Det kan t.ex. vara bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Att denna avgränsning gällt även enligt 2 § PUL framgår av förarbetena till den bestämmelsen.5 Eventuella konflikter i rättstillämpningen mellan dataskyddslagens bestämmelser och sådana bestämmelser i andra författningar som avser annat än behandling av personuppgifter ska alltså lösas med hjälp av de allmän- na principerna om till exempel normhierarki, EU-rättens företräde och lex specialis. Om en annan lag eller en förordning innehåller någon bestämmelse om behandling av personuppgifter som avviker från dataskyddslagen, ska däremot den avvikande bestämmelsen till- lämpas.

Det bör betonas att den bestämmelse om subsidiaritet som vi föreslår kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § PUL, även om dess innebörd är densamma. Detta beror på att dataskyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförordningen och reglerar bara vissa frågor. Bestäm- melsen om subsidiaritet kan bara aktualiseras i dessa fall och inte om en bestämmelse i en annan författning rörande behandling av person- uppgifter avser en fråga som inte alls regleras i dataskyddslagen.

Bestämmelsen om att annan lag eller förordning ska ha företräde framför dataskyddslagen utvidgar inte heller utrymmet för att göra

5 Prop. 1997/98:44 s. 114 f.

84

SOU 2017:39

Ett nytt svenskt regelverk om dataskydd

nationella undantag från de direkt tillämpliga bestämmelserna i data- skyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt.

85

6Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

6.1Vårt uppdrag

Dataskyddsförordningen och det nya dataskyddsdirektivet kommer sammantaget att täcka ett något större område än den nuvarande EU- rättsliga regleringen (dataskyddsdirektivet och dataskyddsrambeslu- tet). Utvidgningen görs främst på området som rör brottsbekämp- ning. Det kommer dock fortfarande att finnas ett område som inte täcks av EU-regleringen, och som inte nödvändigtvis kommer att omfattas av någon sektorsspecifik reglering. I vårt uppdrag ingår att undersöka denna fråga närmare och överväga om det finns behov av en generell reglering för sådan personuppgiftsbehandling. Enligt kommittédirektiven skulle en sådan reglering exempelvis kunna inne- bära att förordningen i relevanta delar görs tillämplig även utanför unionsrättens tillämpningsområde.

6.2Gällande rätt

I artikel 3.2 första strecksatsen i dataskyddsdirektivet anges att direk- tivet inte gäller för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i fördraget om Europeiska unionen, och inte under några omstän- digheter behandlingar som rör allmän säkerhet, försvar, statens säker- het (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.

87

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

Personuppgiftslagen är däremot generellt tillämplig, vilket innebär att den också gäller för sådan behandling som faller utanför det nu- varande dataskyddsdirektivets tillämpningsområde. Anledningen till att denna lösning valdes var bland annat att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Vidare ansågs den lösningen garantera att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning.1

Vilka verksamheter som omfattas av gemenskapsrättens tillämp- ningsområde framgår inte av dataskyddsdirektivet, utan följer av fördragen och EU-domstolens praxis. Artikel 3.2 första strecksatsen i dataskyddsdirektivet rörande tillämpningsområdet har kunnat tolkas som att undantagets räckvidd begränsas till den kategori av områden som nämns som exempel i bestämmelsen, det vill säga till sådan verksamhet som väsentligen omfattas av vad man brukade kalla den andra och tredje pelaren. En annan tolkning har varit att bestäm- melsen undantar all verksamhet som inte omfattas av gemenskaps- rätten från tillämpningsområdet för dataskyddsdirektivet.

EU-domstolen har funnit att det är den först nämnda tolkningen av bestämmelsens innebörd som gäller. Domstolen har bland annat uttalat att de verksamheter som nämns som exempel i artikel 3.2 första strecksatsen i dataskyddsdirektivet är avsedda att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori.2

6.3Dataskyddsförordningen

Enligt artikel 2.2 i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som

a)utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b)medlemsstaterna utför när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken,

1Prop. 1997/98:44 s. 40 f.

2Dom Lindqvist, C-101/01, EU:C:2003:596, punkterna 34–35 och 44. Se även EU-dom- stolens tolkning av undantaget som gjordes i dom Österreichischer Rundfunk m.fl., C- 465/00, C-138/01 och C-139/01, EU:C:2003:294.

88

SOU 2017:39 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

c)utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med dennes hushåll, eller

d)utförs av behöriga myndigheter för ändamålen att förebygga, ut- reda, upptäcka eller lagföra brott eller verkställa straffrättsliga på- följder, inkluderande skydd mot samt förebyggande av hot mot allmän säkerhet.

I skäl 16 till dataskyddsförordningen anges verksamhet som rör natio- nell säkerhet som ett exempel på en verksamhet som enligt led a inte omfattas av unionsrättens tillämpningsområde. Sådan behandling av personuppgifter som avses i led d omfattas av det nya dataskydds- direktivets tillämpningsområde.

Förordningen gäller enligt artikel 2.3 inte heller för behandling av personuppgifter som utförs av EU:s institutioner, organ och byråer. Sådan behandling regleras i stället i förordning (EG) nr 45/2001.

6.4Överväganden och förslag

Utredningens förslag: Dataskyddsförordningen och dataskydds- lagen ska i tillämpliga delar gälla även i verksamhet utanför unions- rättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Datainspektionen ska utöva tillsyn även över denna personuppgiftsbehandling.

Dataskyddsförordningen ska inte tillämpas på behandling av person- uppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (artikel 2.2 c i dataskyddsförordningen). Inte heller ska dataskydds- förordningen tillämpas på behandling av personuppgifter som om- fattas av annan unionsrättslig dataskyddsreglering, dvs. det nya data- skyddsdirektivet eller förordning (EG) nr 45/2001. Det finns emel- lertid behandling av personuppgifter som inte omfattas av någon unionsrättslig dataskyddsreglering överhuvudtaget, nämligen behand- ling som utförs antingen som ett led i en verksamhet som inte omfat- tas av unionsrätten, såsom verksamhet rörande nationell säkerhet, eller i en verksamhet som omfattas av den gemensamma utrikes- och

89

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

säkerhetspolitiken (dvs. leden a och b i artikel 2.2 i dataskyddsförord- ningen).

6.4.1Vad faller utanför unionsrättens tillämpningsområde?

EU-domstolens tolkning av undantaget i artikel 3.2 första streck- satsen i dataskyddsdirektivet synes innebära att direktivet i vissa fall ska tillämpas trots att behandlingen av personuppgifter utgör ett led i en verksamhet som i andra sammahang skulle anses falla utanför gemenskapsrättens tillämpningsområde. Det går inte att komma till en annan slutsats än att EU-domstolen ansett att dataskyddsdirek- tivet ska ha ett brett tillämpningsområde. Det finns dock fortfarande ett visst utrymme för olika tolkningar av exakt var gränserna går. Frågan är om artikel 2.2 a i dataskyddsförordningen ska tolkas på samma sätt som EU-domstolen tolkat artikel 3.2 första strecksatsen i dataskyddsdirektivet.

Syftet med dataskyddsförordningen är att säkra en enhetlig och hög skyddsnivå för fysiska personer och att undanröja hinder för flödena av personuppgifter inom unionen. Det finns ingenting i data- skyddsförordningen som antyder att unionslagstiftaren har avsett att inskränka det materiella tillämpningsområdet för dataskyddsförord- ningen jämfört med direktivet. Även det förhållandet att reformen syftar till att personuppgiftsbehandlingen inom unionen ska harmo- niseras talar för att undantaget i artikel 2.2 a i dataskyddsförord- ningen inte bör ges en vidare innebörd än motsvarande bestämmelse i dataskyddsdirektivet.

Sedan dataskyddsdirektivet antogs har fördragen ändrats och inne- håller numera en uttrycklig rättslig grund för antagandet av rättsakter till skydd för personuppgifter. Enligt artikel 16 i fördraget om Euro- peiska unionens funktionssätt har EU tilldelats befogenhet att fast- ställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Jämfört med vad som gällde enligt artikel 100a i fördraget om upprättandet av Europeiska gemenskapen har artikel 16 i fördraget om Europeiska unionens funk-

90

SOU 2017:39 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

tionssätt utvidgat EU:s befogenheter att anta rättsakter för att skydda personuppgifter inom unionen.3

Det faktum att den nya rättsliga grunden för antagandet av unions- rättslig reglering om dataskydd uttryckligen undantar sådan verksam- het som faller utanför unionsrättens tillämpningsområde talar å andra sidan mot att tolka bestämmelsen i artikel 2.2 a i dataskyddsförord- ningen på samma sätt som artikel 3.2 i dataskyddsdirektivet. Därtill kommer att artikel 2.2 i förordningen har en annan utformning än artikel 3.2 i dataskyddsdirektivet. Den exemplifiering som EU-dom- stolen byggt sitt resonemang om vad som faller utanför gemen- skapsrätten på, finns inte i förordningen. Även detta medför att det inte är självklart att bestämmelserna ska tolkas på samma sätt.

Exakt vilka verksamheter som faller utanför unionsrättens tillämp- ningsområde och därmed inte omfattas av förordningens bestäm- melser om behandling av personuppgifter är således oklart, förutom när det gäller sådan verksamhet rörande nationell säkerhet som uttryckligen nämns i skälen. Det är dock enligt vår bedömning rim- ligt att anta att det inom den offentliga sektorn också finns annan verksamhet som på samma sätt som nationell säkerhet kan betraktas som en strikt nationell angelägenhet och därför faller utanför unions- rättens tillämpningsområde även vid en restriktiv tolkning av undan- taget från förordningens tillämpningsområde.

6.4.2Ska förordningens bestämmelser göras gällande utanför deras tillämpningsområde?

Frågan är då om dataskyddsförordningens bestämmelser borde gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och 2.2 b inte omfattas av förordningens tillämpningsområde.

Enligt vår bedömning är det sannolikt bara i den offentliga sektorn som det skulle kunna förekomma verksamhet som faller utanför unionsrättens tillämpningsområde i den mening som avses i arti- kel 2.2 a och där behandling av personuppgifter därmed inte skulle omfattas av dataskyddsförordningens direkt tillämpliga bestämmel- ser. Det är dessutom bara myndigheter och beslutande politiska för-

3 Prop. 2007/08:168 s. 52.

91

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

samlingar som deltar i den gemensamma utrikes- och säkerhetspoli- tiken, som avses i artikel 2.2 b.

Någon unionsrättslig allmänt gällande princip som innebär att en medlemsstat inte, med stöd av sin nationella kompetens, kan utvidga tillämpningsområdet för en EU-förordning finns inte. Det finns alltså inga formella hinder mot att utvidga tillämpningsområdet för data- skyddsförordningens bestämmelser till att omfatta även sådan per- sonuppgiftsbehandling som faller utanför unionsrättens tillämpnings- område.4

När personuppgiftslagen antogs gjordes den generellt tillämplig. Anledningen till att denna lösning valdes var som ovan angetts bland annat att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Dessa motiv är allt- jämt aktuella.

Sverige har vidare, i enlighet med vad som anges i avsnitt 3.2 och 3.3, genom att anta bland annat Europarådets dataskyddskonvention, gjort vissa internationella åtaganden att skydda enskilda individers personliga integritet. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd anser vi att förordningens bestämmelser om behandling av personuppgifter bör utsträckas till att gälla generellt. Vi anser att detta är ett bättre alternativ än att införa en komplett nationell dataskyddsreglering för verksamhet som inte omfattas av förordningens tillämpningsområde. Det skulle leda till att vissa myn- digheter för sin personuppgiftsbehandling skulle tvingas tillämpa två parallella regelverk, förutom eventuellt förekommande sektorsspeci- fika författningar. Dataskyddsförordningen bör därför, i tillämpliga delar, genom dataskyddslagen utsträckas till att gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och b inte omfattas av dataskyddsförordningens tillämpningsområde.

Det är inte möjligt att i nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. Det är därför inte möjligt att göra de bestämmelser som ålägger tillsyns- myndigheterna en skyldighet att samarbeta tillämpliga genom en bestämmelse i dataskyddslagen. Inte heller är det i nationell rätt möj- ligt att ge den europeiska dataskyddsstyrelsen behörighet att t.ex. ut- färda riktlinjer och rekommendationer inom det område där EU inte har befogenheter i enlighet med fördragen. Det är inte heller möjligt

4 Jfr prop. 2010/11:80 s. 59 f.

92

SOU 2017:39 Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

att ge kommissionen rätt att anta delegerade akter. Kapitel VII och kapitel X i dataskyddsförordningen kan därför inte göras tillämpliga genom en reglering i dataskyddslagen. Det kan även i övrigt finnas bestämmelser i dataskyddsförordningen som inte kan tillämpas i rent nationell verksamhet. Det får därför i varje enskilt fall göras en bedömning av om förordningens bestämmelser går att tillämpa.

Sverige har inte överlåtit beslutskompetens till EU inom de om- råden där dataskyddsförordningens bestämmelser ska gälla enligt vårt förslag i denna del. Om förordningen ändras bör därför den svenska lagstiftaren ta ställning till om dessa ändringar ska få genomslag även på de områden som är undantagna från förordningens tillämpnings- område. Hänvisningen till förordningen i den nu aktuella bestämmel- sen i dataskyddslagen bör därför vara statisk, dvs. avse den ursprung- liga lydelsen av förordningen.

I avsnitt 5.2.3 har vi föreslagit att dataskyddslagen ska vara sub- sidiär till avvikande bestämmelser i annan lag eller i förordning. Det är således möjligt att genom sektorsspecifik författning göra undantag från den föreslagna bestämmelsen om utsträckt tillämpning av data- skyddsförordningens bestämmelser.5

6.4.3Vem ska utöva tillsyn?

Utredningen om tillsynen över den personliga integriteten har före- slagit att Datainspektionen ska utses till svensk tillsynsmyndighet enligt dataskyddsförordningen och att detta ska regleras i inspek- tionens myndighetsinstruktion.6 Vi utgår i vårt betänkande från att regeringen kommer att besluta i enlighet med det förslaget. Enligt vår bedömning bör en sådan reglering, uttryckligen eller underförstått, medföra att Datainspektionen ska utöva tillsyn även i fråga om efter- levnaden av bestämmelser i nationella författningar som kompletterar dataskyddsförordningen.

Vi föreslår ovan att dataskyddsförordningens bestämmelser i tillämpliga delar ska gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Det innebär i praktiken att data-

5Jfr 1 kap. 1 § andra stycket lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.

6SOU 2016:65 s. 142 f.

93

Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

SOU 2017:39

skyddsförordningen i dessa delar ska gälla utanför dess egentliga tillämpningsområde. Det är mot denna bakgrund inte självklart att en reglering i myndighetsinstruktionen, som i enlighet med det nämnda förslaget anger att Datainspektionen är tillsynsmyndighet enligt data- skyddsförordningen, även skulle anses omfatta tillsyn över behand- ling av personuppgifter som sker inom det område där förordningen fått utsträckt tillämpningsområde genom dataskyddslagen.

Enligt vår mening bör behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde stå under samma tillsyn som sådan behandling som sker med direkt tillämpning av förordningens bestämmelser. Huvudregeln bör vara att det också är samma myndighet som utövar denna tillsyn. Vi föreslår därför att det i förordningen till dataskyddslagen anges att Datainspektionen är tillsynsmyndighet enligt dataskyddslagen. Av tydlighetsskäl bör denna bestämmelse även informera om att Datainspektionen är till- synsmyndighet enligt dataskyddsförordningen. För det fall att reger- ingen, under beredningen av detta betänkande och av SOU 2016:65, skulle finna att regleringen av Datainspektionens tillsynsansvar i stäl- let ska samlas i myndighetsinstruktionen, kan den bestämmelse som vi föreslår i denna del utgå.

94

7Förhållandet till yttrande- och informationsfriheten

7.1Vårt uppdrag

Regeringen bedömer i kommittédirektiven att det genom dataskydds- förordningens artiklar 85 och 86 blir tydligare än i det nuvarande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefri- hetsgrundlagen. Det ingår därför inte i utredningens uppdrag att överväga eller lämna förslag till grundlagsändringar. I detta samman- hang bör det noteras att det inte heller ingår i utredningens uppdrag att lämna några förslag som rör handlingsoffentligheten eller att när- mare analysera innebörden av artikel 86.

Regeringen menar att det – utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde – även fortsättnings- vis bör finnas behov av bestämmelser som i likhet med 7 § andra stycket PUL balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten.

Vårt uppdrag är därför att analysera hur bestämmelser som balan- serar personuppgiftsskyddet mot yttrande- och informationsfriheten utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde bör utformas.

7.2Gällande rätt

Enligt artikel 9 i dataskyddsdirektivet ska medlemsstaterna besluta om undantag och avvikelser från delar av direktivet med avseende på behandling av personuppgifter som sker uteslutande för journa- listiska ändamål eller konstnärligt eller litterärt skapande, om det är

95

Förhållandet till yttrande- och informationsfriheten

SOU 2017:39

nödvändigt för att förena rätten till privatlivet med reglerna om ytt- randefriheten.

I 7 § första stycket PUL finns en upplysningsbestämmelse om att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfri- hetsförordningen och yttrandefrihetsgrundlagen. Det innebär bland annat att de grundlagsskyddade rättigheterna att framställa och sprida yttranden samt meddelar- och anskaffarfriheten undantas från till- lämpningsområdet.

I förarbetena gjordes den bedömningen att artikel 9 i direktivet tillåter ett hänsynstagande till bland annat konstitutionella traditioner och principer och att direktivet därför inte lägger hinder i vägen för ett generellt undantag från personuppgiftslagens bestämmelser. Regeringen uppmanade vidare till stor försiktighet vid alla ingripan- den som riktar sig mot företeelser som typiskt sett åtnjuter skydd av grundlagarna. Det ansågs att även ingripanden som inte direkt strider mot någon bestämmelse, men som är oförenliga med grundlagarnas syfte, bör underlåtas.1

Lagrådet avstyrkte bestämmelsen i 7 § första stycket med motive- ringen att det fick anses tveksamt om dåvarande EG-domstolen skulle acceptera att de bestämmelser i direktivet som införlivades genom personuppgiftslagen fick vika i vidare mån än vad som framgick av ordalydelsen i direktivets artikel 9.2

I 7 § andra stycket PUL görs undantag från flertalet av lagens bestämmelser vid personuppgiftsbehandling som inte omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen men som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Undantaget innebär i praktiken att bara de bestäm- melser i lagen som rör tillsyn och säkerhet vid behandling ska tilläm- pas.

Frågan om tolkningen av begreppet journalistiska ändamål har prövats i praxis både nationellt och på EU-nivå. I den så kallade Ramsbro-domen (NJA 2001 s. 409) uttalade Högsta domstolen bland annat att undantaget för journalistiska ändamål utgör ett försök att i mer generella termer ge uttryck för en intresseavvägning mellan intresset av skydd för privatlivet och intresset av yttrandefrihet. Att

1Prop. 1997/98:44 s. 50 f.

2Prop. 1997/98:44 s. 236 f.

96

SOU 2017:39

Förhållandet till yttrande- och informationsfriheten

uttrycket journalistiska ändamål använts kan enligt domstolen under sådana förhållanden inte antas vara i avsikt att privilegiera etablerade massmedier eller personer som är yrkesverksamma inom sådana medier, utan får antas vara avsett att betona vikten av en fri infor- mationsspridning i frågor av betydelse för allmänheten eller för grup- per av människor och en fri debatt i samhällsfrågor. Ramsbro-domen har i doktrinen ansetts visa att en betydande del av det som sker på internet omfattas av undantaget i 7 § andra stycket PUL.3

I domen i det så kallade Satakunnan-målet4 uttalade EU-dom- stolen att de begrepp som hör samman med yttrandefriheten, där- ibland journalistik, måste tolkas vitt. Domstolen fann därför att den verksamhet som företaget Satakunnan bedrev −dvs. att uppgifter om fysiska personers inkomster och förmögenheter samlades in från offentliga källor, sorterades, publicerades i tryck och distribuerades via en sms-tjänstskulle anses ske uteslutande för journalistiska ändamål om verksamheten endast syftade till att sprida information, åsikter eller idéer till allmänheten. EU-domstolen uttalade vidare att sådan verksamhet inte bara skulle anses förbehållen medieföretag. EU-domstolen överlät dock till den nationella domstolen att avgöra om det i just Satakunnan-fallet var fråga om en verksamhet som endast syftade till att sprida information till allmänheten. Den finska Högsta förvaltningsdomstolen ansåg att så inte var fallet (23.9.2009/ 2303 HFD 2009:82).5

Undantaget för journalistiska ändamål är alltså inte begränsat till journalister eller traditionella massmedier. Även en privatperson kan anses behandla personuppgifter för sådana ändamål, t.ex. på en blogg, förutsatt att uppgifterna inte är av rent privat karaktär.

3Öman och Lindblom, Personuppgiftslagen, (20 december 2016, Zeteo), kommentaren till 7 § PUL. Svahn Starrsjö, Personuppgiftslagen och yttrandefriheten, SvJT 100 år (jubileumsskrift) s. 447.

4Dom Satakunnan Markkinapörssi Oy och Satamedia Oy, C-73/07, EU:C:2008:727.

5Saken är dock fortfarande föremål för prövning, nu i Europadomstolen, Satakunnan Markinnapörsi OY och Satamedia OY v. Finland, nr 931/13, dom den 21 juli 2015, hänskju- ten till Grand Chamber den 14 december 2015.

97

Förhållandet till yttrande- och informationsfriheten

SOU 2017:39

7.3Dataskyddsförordningen

Enligt artikel 85.1 i dataskyddsförordningen ska medlemsstaternas nationella lagstiftning förena rätten till skydd av personuppgifter i enlighet med förordningen med rätten till yttrande- och informa- tionsfrihet, inbegripet personuppgiftsbehandling för journalistiska ändamål samt för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 föreskriva om undantag eller avvikelser från i artikeln angivna delar av förordningens bestämmelser om det behövs för att förena rätten till skydd för personuppgifter med yttrande- och informationsfriheten. Medlemsstaterna ska enligt artikel 85.3 under- rätta kommissionen om de undantagsbestämmelser som de har antagit med stöd av artikel 85.2.

I skäl 153 anges att behandling av personuppgifter endast för journalistiska, akademiska, konstnärliga eller litterära ändamål bör undantas från viss tillämpning för att förena rätten till skydd för per- sonuppgifter med rätten till yttrande- och informationsfrihet som följer av artikel 11 i EU:s stadga om de grundläggande rättigheterna. Av nämnda artikel i stadgan framgår att var och en har rätt till yttrandefrihet, att denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Artikeln slår också fast att mediernas frihet och mångfald ska respekteras.

I förordningens skäl 153 anges också att medlemsstaterna bör anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att balansera de två grundläggande rättigheterna, samt att det bör göras en bred tolkning av vad som innefattas i yttrandefriheten.

7.4Våra överväganden och förslag

Utredningens förslag: En upplysningsbestämmelse som tydliggör att bestämmelserna i dataskyddslagen och dataskyddsförordning- en inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsför- ordningen eller yttrandefrihetsgrundlagen, ska tas in i dataskydds- lagen.

98

SOU 2017:39

Förhållandet till yttrande- och informationsfriheten

Ett undantag för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska också införas. Dataskyddsförordning- ens bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, tillsyn, rätts- medel, ansvar och sanktioner ska dock tillämpas även i dessa fall.

Något om vårt uppdrag

Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jämförelse med hur motsvarande reglering ser ut i övriga Europa. Relationen såväl mellan EU-rätten och de svenska tryck- och ytt- randefrihetsgrundlagarna, som mellan tryck- och yttrandefrihets- grundlagarna och den personliga integriteten, har varit föremål för debatt och en rad utredningar på senare år.6 För en nyligen genom- förd genomgång av EU-rättens förhållande till grundlagsregleringen om tryck- och yttrandefrihet hänvisas till Mediegrundlagskom- mitténs betänkande SOU 2016:58, avsnitt 5.4 och 14.1.

I vår utrednings uppdrag ingår inte att närmare analysera förhål- landet mellan grundlagsskyddet för informations- och yttrande- friheten och rätten till skydd av personuppgifter enligt dataskydds- förordningen. Följaktligen är det inte heller vår uppgift att föreslå bestämmelser som påverkar balansen mellan dessa grundläggande fri- och rättigheter, exempelvis förändrade förutsättningar för jour- nalister, bloggare och innehavare av utgivningsbevis att behandla personuppgifter.

Vårt uppdrag är i stället att analysera hur vi i svensk rätt ska genomföra skyldigheten i förordningens artikel 85 att förena rätten till integritet med yttrande- och informationsfriheten, utan att i sak förändra möjligheterna till behandling av personuppgifter. Uppdraget är begränsat till hur en reglering som balanserar personuppgifts- skyddet mot yttrande- och informationsfriheten utanför tryckfrihets- förordningens och yttrandefrihetsgrundlagens tillämpningsområde

6 Tryck- och yttrandefrihetsberedningen i SOU 2006:96, Yttrandefrihetskommittén i SOU 2012:55 och Mediegrundlagskommittén i SOU 2016:58. Se även Integritet och straff- skydd, SOU 2016:7. Debatt har förts i SvJT på senare tid; se Olle Abrahamsson och Henrik Jermsten i SvJT 2014, s. 201 och 2015, s. 8, Göran Lambertz i SvJT 2014, s. 440 samt Magnus Schmauch i SvJT 2014, s. 520 och 2015, s. 199.

99

Förhållandet till yttrande- och informationsfriheten SOU 2017:39

bör utformas, dvs. en reglering som motsvarar den i 7 § andra stycket PUL.

Utgångspunkter för utredningens överväganden

Som framgår ovan är en utgångspunkt att vi ska undvika att föreslå förändringar i sak när det gäller förutsättningar för personupp- giftsbehandling på det här aktuella området.

Regleringen i förordningen ligger i sak nära den som finns i data- skyddsdirektivet. Förordningens reglering av förhållandet till yttran- de- och informationsfriheten innebär inte några inskränkningar utan ger till sin ordalydelse ett något större utrymme för undantag än direktivet, bland annat på det sättet att det inte längre föreskrivs att behandling ska ske ”uteslutande” för journalistiska ändamål för att undantag ska kunna göras. Undantaget i artikel 85.2 har också fått ett vidare tillämpningsområde genom att akademiskt skapande lagts till. Dessutom uttalas i skäl 153 att begreppet yttrandefrihet ska ges en bred tolkning. I doktrinen har artikel 85 ansetts ge ett relativt stort utrymme för medlemsstaterna att själva välja hur regleringen utfor- mas.7

Mot denna bakgrund är vår bedömning att den reglering vi före- slår kan och bör utformas med den befintliga regleringen i 7 § PUL som förebild.

Behovet av en upplysningsbestämmelse

Som framgår av kommittédirektiven har vi inte i uppdrag att föreslå någon författningsreglering som rör förordningens förhållande till behandling som sker i verksamhet som omfattas av tillämpnings- området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Vi anser dock att det är angeläget att dataskyddsförordningens och dataskyddslagens bestämmelser inte ger upphov till osäkerhet kring möjligheterna till personuppgiftsbehandling på det grundlagsregle- rade området, eftersom det kan påverka vitala och mycket känsliga delar av opinionsskapande verksamhet, såsom meddelarfrihet och

7 Wagner och Benecke, National Legislation within the Framework of the GDPR, European Data Protection Law Review 3/2016, s. 356.

100

SOU 2017:39

Förhållandet till yttrande- och informationsfriheten

källskydd. Det faktum att vi nu har att göra med en direkt tillämplig förordning, där överträdelser kan leda till kännbara sanktionsavgifter, gör det än mer angeläget att regleringen av den grundlagsskyddade verksamheten är så tydlig som möjligt när det gäller förhållandet till tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Den befintliga upplysningsbestämmelsen i 7 § första stycket PUL bedömdes av riksdag och regering som förenlig med dataskydds- direktivets likartade bestämmelser vid införandet av personupp- giftslagen.8 Den har inte varit föremål för domstolsprövning och heller inte ifrågasatts av kommissionen sedan införandet för snart tjugo år sedan. Eftersom förordningen, som nämnts ovan, tycks ge ett ökat utrymme för undantag med hänsyn till yttrande- och infor- mationsfriheten bedömer vi att förordningen inte hindrar att en upp- lysningsbestämmelse motsvarande den i 7 § första stycket PUL införs i dataskyddslagen.

Undantag för journalistiska ändamål m.m.

Ordalydelsen i förordningens artikel 85.2 synes ålägga medlems- staterna att göra vissa undantag från förordningen för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Undantag får dock bara göras om de är nöd- vändiga för att förena rätten till integritet med yttrande- och informa- tionsfriheten. Samma krav på nödvändighet finns i direktivet, och den befintliga bestämmelsen i 7 § andra stycket PUL bedömdes vara nödvändig för att personuppgiftslagens bestämmelser skulle vara för- enliga med yttrande- och informationsfriheten.

Begreppet akademiskt skapande är nytt och definieras inte när- mare i skäl eller artikeltext. Vår bedömning är att det knappast torde vara att likställa med forskning, eftersom forskning är särreglerad på annat sätt i förordningen, exempelvis i artikel 9.2 j och artikel 89. Möjligen skulle behandling i samband med själva färdigställandet och spridningen av texter med vetenskapligt innehåll kunna avses. Inne- börden av begreppet är dock oklar och dess närmare betydelse får utvecklas i praxis.

8 Prop. 1997/98 44 s. 48 f., bet. 1997/98:KU18, rskr.1997/98:180.

101

Förhållandet till yttrande- och informationsfriheten

SOU 2017:39

Undantagsbestämmelsen i 7 § andra stycket PUL har bland annat ansetts tillämplig på journalistisk verksamhet på internet som resul- terar i yttranden som bara sprids där och för kommunikation som inte bedrivs av yrkesverksamma journalister.9 Betydelsen av opinions- bildande genom alternativa kanaler såsom sociala medier, bloggar och liknande har ökat dramatiskt under senare år, vilket innebär att skälen för ett sådant undantag i vart fall inte har minskat. Det ska noteras att viss användning av sociala medier omfattas av det så kallade privat- undantaget, dvs. artikel 2.1 c i dataskyddsförordningen.10

Förordningens artikel 85.2 möjliggör undantag från förordningen i stort sett i samma utsträckning som dataskyddsdirektivet gör. De delar av förordningen som inte räknas upp i artikel 85.2, från vilka undantag alltså inte får göras, är kapitel I om tillämpningsområde och definitioner, kapitel VIII om rättsmedel, ansvar och sanktioner samt kapitel X och XI som innehåller genomförande- och slutbestäm- melser. I linje med de utgångspunkter vi redogjort för ovan menar vi att det är lämpligt att utnyttja möjligheterna till undantag från för- ordningen i väsentligen samma utsträckning som personuppgiftslagen har undantagits i dag. Vi anser därför att undantag från bestämmel- serna i dataskyddslagen och dataskyddsförordningen bör göras så långt förordningen medger, med undantag för de bestämmelser som rör säkerhet för personuppgifter och tillsyn.

Detta innebär enligt vår bedömning att bestämmelserna i förord- ningens kapitel II och III, artiklarna 24–30 och 35–43 och kapitel V i dataskyddsförordningen bör undantas från tillämpning, liksom de delar av dataskyddslagen som har stöd i de bestämmelserna. Kapi- tel IX (bestämmelser om särskilda behandlingssituationer) bedömer vi knappast blir tillämpligt för den behandling som avses här, varför det inte uttryckligen behöver undantas. Detsamma gäller kapitel X (delegerade akter och genomförandeakter) och kapitel XI (slut- bestämmelser).

9Prop. 1997/98:44 s. 52 f. och NJA 2001 s. 409.

10I skäl 18 i dataskyddsförordningen görs vissa uttalanden om privat verksamhet och sociala medier.

102

8Rättslig grund för behandling av personuppgifter

8.1Vårt uppdrag

Enligt artikel 6.3 första stycket i dataskyddsförordningen ska den grund för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten. Enligt kom- mittédirektiven innebär detta att det inte kommer att vara möjligt att endast stödja sig på den generella regleringen i förordningen vid sådan behandling. Vi har därför fått i uppdrag att analysera vad dataskydds- förordningens krav i denna del innebär i fråga om nationell författ- ningsreglering och om det bör införas generella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personuppgifter. Informationshanteringsutredningens förslag till 8 § myndighetsdata- lag1, med beaktande av de synpunkter som framförts vid remiss- behandlingen, är enligt kommittédirektiven en lämplig utgångspunkt.

8.2Dataskyddsförordningen

8.2.1Laglig behandling

Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. Behandling av personuppgifter får därför bara ske under de omständigheter som sär- skilt anges i lagstiftningen. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestäm- melse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

1 SOU 2015:39.

103

Rättslig grund för behandling av personuppgifter

SOU 2017:39

a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.

b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c)Behandlingen är nödvändig för att fullgöra en rättslig förplik- telse som åvilar den personuppgiftsansvarige.

d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning.

f)Behandlingen är nödvändig för ändamål som rör den person- uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (jfr 10 § f PUL). Den möj- ligheten kvarstår däremot för privata aktörer som behandlar person- uppgifter. I andra stycket av artikel 6.1 anges nämligen att led f i förs- ta stycket inte ska gälla för behandling som utförs av offentliga myn- digheter när de fullgör sina uppgifter.

Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behand- ling.

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, dvs. att den är rättsligt grundad, innebär

104

SOU 2017:39

Rättslig grund för behandling av personuppgifter

inte att behandling kan ske av vilka uppgifter som helst eller på val- fritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. I artiklarna 7 och 8 anges närmare villkor för tillämp- ningen av artikel 6.1 a, dvs. den rättsliga grund som utgörs av den registrerades samtycke, se avsnitt 9 avseende barns samtycke. När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) eller personuppgifter som rör lagöver- trädelser anges ytterligare villkor i artiklarna 9 och 10, utöver dem som anges i artikel 6.1, se närmare avsnitt 10 och 11.

Enligt artikel 6.2 i förordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling av per- sonuppgifter för att efterleva artiklarna 6.1 c och 6.1 e. Denna typ av mer specifika nationella bestämmelser förekommer ofta i svenska registerförfattningar och kommer framför allt att utgöra en preci- sering av de allmänna principer för behandlingen som anges i artikel 5 i dataskyddsförordningen.

8.2.2Begreppet nödvändig

För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den vara nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte riktigt denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas.2 Den slutsatsen får stöd av EU-dom- stolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet.3 EU- domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmel-

2SOU 1997:39 s. 361 f.

3Dom Huber mot Tyskland, C-524/06, EU:C:2008:724.

105

Rättslig grund för behandling av personuppgifter

SOU 2017:39

ser. Domen bör kunna utgöra stöd även vid tolkningen av den nya förordningen. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan att personuppgifter behandlas på visst sätt, kan behandlingen anses vara nödvändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster. Det bör noteras att rekvisitet nödvändig inte ska förväxlas med rekvisitet absolut nödvändig, som används i andra sammanhang än rörande rättslig grund, se avsnitt 10.6.2.

8.2.3Förhållandet mellan artiklarna 5 och 6 i dataskyddsförordningen

Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen är uppfylld, omgärdas varje behandling av personuppgifter av mer specifika krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförord- ningen. Artikel 5.1 i dataskyddsförordningen motsvarar i stora drag artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL.

Den första principen som läggs fast i artikel 5.1 (led a) är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Principen om laglighet utgör en hänvisning till de rättsliga grunderna i artikel 6.1. Såvitt avser prin- cipen om korrekthet kan det vid en jämförelse med andra språk- versioner ifrågasättas om den svenska termen korrekt motsvarar avsikten med bestämmelsen. I den danska språkversionen anges i stället att uppgifterna ska behandlas rimeligt. På motsvarande sätt används i den engelska språkversionen termen fairly, vilket betyder rättvist, skäligt eller rimligt. I den franska språkversionen används termen loyale, vilken har motsvarande betydelse som engelskans fairly. I den tyska språkversionen används uttrycket Treu und Glauben, vilket brukar översättas med god tro eller tro och heder. Alla dessa termer indikerar enligt vår mening, tydligare än den svens- ka termen korrekt, att en intresseavvägning ska göras. I det enskilda fallet kan det således till exempel vara oförenligt med principen om ”korrekthet” att vidta en viss behandlingsåtgärd, även om denna i och

106

SOU 2017:39

Rättslig grund för behandling av personuppgifter

för sig skulle kunna anses vara rättsligt grundad enligt artikel 6, näm- ligen om behandlingen är oskälig i förhållande till den registrerade.

I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grun- derna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Kravet på att ändamålen ska vara berättigade går dock längre än så och omfattar även ett krav på förenlighet med till exempel kon- stitutionella och andra rättsliga principer. Vidare kan även det all- männa sammanhanget och omständigheterna i det aktuella ärendet vara av betydelse för bedömningen av om ändamålen är berättigade.4 Ett tydligt angivet ändamål är för övrigt som regel en förutsättning för att man ska kunna bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f.

Kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom data- skyddsförordningen, där det i artikel 6.3 andra stycket anges att syftet med behandlingen (the purpose of the processing) i fråga om behandling som grundar sig på en rättslig förpliktelse ska framgå av förpliktelsen. Vad gäller myndighetsutövning och uppgifter av all- mänt intresse anges i stället att ändamålet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen.

Vidare ska uppgifterna enligt artikel 5.1 bland annat vara adekvata och korrekta (accurate) och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).

Förordningen ställer inte något krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fast- ställts i författning eller inte är det dock alltid den personuppgifts-

4 Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 11–12 och 19–20.

107

Rättslig grund för behandling av personuppgifter

SOU 2017:39

ansvarige som ansvarar för, och ska kunna visa att, principerna i arti- kel 5 efterlevs (artikel 5.2).

Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas. Det är endast om någon av de rättsliga grunder som anges i artikel 6.1 är tillämplig som behandling av personuppgifter över huvud taget får ske. Om behandlingen är laglig enligt artikel 6 ska kraven i artikel 5 uppfyllas. I det följande behandlas enbart artikel 6.

8.3Överväganden och förslag

8.3.1Grunden för behandlingen ska i vissa fall vara fastställd

Utredningens bedömning: Artikel 6.1 c och e i dataskyddsför- ordningen är direkt tillämpliga. Kravet i artikel 6.3 första stycket på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör ett ytterligare villkor för tillämpning som ska vara uppfyllt. Med grunden för behand- lingen avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser och uppgifter av allmänt intresse vara fastställda genom kollektivavtal.

108

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Vad är grunden för behandlingen?

I artikel 6.3 i dataskyddsförordningen första stycket anges att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med a) unionsrätten, eller b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.5

Det står klart att den grund för behandlingen som avses i arti- kel 6.1 a är samtycket och att avtalet är den grund för behandlingen som avses i led b. På motsvarande sätt måste uttrycket ”den grund för behandlingen som avses i punkt 1 c och e” avse den rättsliga förplik- telsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet. Denna tolkning överensstämmer med Europeiska datatillsynsmannens förslag till förtydligande av bestämmelsen. Han har, bland annat i ett yttrande den 28 juli 2015, rekommenderat att uttrycket The basis for the processing referred to in point (c) and (e) of paragraph 1 skulle ersättas med The legal obligation, task, or official authority referred to in points (c) and (e) of paragraph 1.6

Med grunden för behandlingen kan enligt vår mening inte avses behandlingen i sig. Om själva behandlingen ska fastställas skulle näm- ligen t.ex. myndighetsutövning inte kunna ske och uppgifter av all- mänt intresse inte kunna utföras, om det inte utöver den lag som fastställer befogenheten också uttryckligen reglerades att behandling av personuppgifter får ske. En sådan tolkning av begreppet grunden för behandlingen skulle leda till ett närmast oöverskådligt reglerings- behov, inte minst i de många medlemsstater som inte har den tradi- tion av sektorspecifika registerförfattningar som Sverige har. Detta kan rimligen inte ha varit avsikten, i synnerhet med tanke på data- skyddsreformens harmoniseringssyfte. Det bör också noteras att det i artikel 6.3 inte anges att ”behandlingen” ska fastställas, utan att grun- den för behandlingen ska fastställas.

5I den engelska versionen av artikel 6.3 första stycket i dataskyddsförordningen anges föl- jande. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by: (a) Union law; or (b) Member State law to which the controller is subject. I den franska versionen anges följande. Le fondement du traitement visé au paragraphe 1, point c) et e), est défini par: a) le droit de l'Union; ou b) le droit de l'État membre auquel le responsable du traitement est soumis. I kommissionens ursprungliga förslag angavs att grunden för behand- lingen must be provided for, i stället för shall be laid down by. Europaparlamentet drev länge ståndpunkten att detta borde bytas ut mot must be established in accordance with. Under tre- partsdialogen enades parterna om att använda uttrycket shall be laid down by (rådets doku- ment nr 13884/15, s. 2). Det anslutande skäl 45 kompletterades därefter på ordförande- skapets initiativ (rådets dokument 14318/15 s. 5).

6Bilaga till Europeiska datatillsynsmannens yttrande 3/2015 s. 31.

109

Rättslig grund för behandling av personuppgifter

SOU 2017:39

EU-förordningar är direkt tillämpliga i medlemsstaterna och ska till skillnad från direktiv inte genomföras genom nationella författ- ningsåtgärder. Att grunden för behandlingen ska fastställas kan där- för inte heller innebära att de villkor som anges i artikel 6.1 c och e ska upprepas i nationell rätt.

Ett av syftena bakom kravet på fastställande i artikel 6.3 första stycket i dataskyddsförordningen har antagits vara att tydliggöra att den personuppgiftsansvarige inte får finna en rättslig grund för be- handling av personuppgifter i tredje lands lagstiftning.7 Bestämmelsen innebär nämligen att en rättslig förpliktelse som följer av tredje lands lagstiftning inte utgör en rättslig grund för behandling av person- uppgifter, även om behandlingen är nödvändig för att uppfylla för- pliktelsen. På motsvarande sätt utgör det ingen rättslig grund för behandling av personuppgifter att en uppgift av allmänt intresse är fastställd i tredje lands lagstiftning.

Begränsningen till unionsrätten och medlemsstaternas nationella rätt torde främst vara av relevans för dels de personuppgiftsansvariga som har verksamhetsställen både inom och utom unionen, dels de som inte är etablerade i unionen men som har anledning att behandla personuppgifter avseende registrerade som befinner sig i unionen (artikel 3). Skälet till att det uttryckligen hänvisas till unionsrätten och medlemsstaternas nationella rätt kan förmodas vara att förord- ningens territoriella tillämpningsområde är vidare än det som gäller enligt dataskyddsdirektivets ordalydelse. Direktivet gäller nämligen inte för behandling av personuppgifter när den personuppgiftsansva- rige inte är etablerad inom unionen, annat än om denne använder utrustning som befinner sig inom unionens territorium. Direktivet gäller inte heller om sådan utrustning används endast för att låta uppgifter passera genom gemenskapen (artikel 4.1 c). Några sådana begränsningar avseende tillämpningsområdet finns inte i dataskydds- förordningen, som i stället gäller all behandling som avser registrerade som befinner sig i unionen, om behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende så länge beteendet sker inom unionen (artikel 3.2).

7 D-post: BRYR/2016-05-01/1503.

110

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Vad menas med att grunden ska vara fastställd?

Artikel 6.3 första stycket i dataskyddsförordningen innehåller ett uttryckligt krav på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten. Något motsva- rande krav finns inte i dataskyddsdirektivet. Det är därför möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Viss ledning för förståelsen av artikel 6.3 kan möjligen hämtas från förordningens ingress. I skäl 45 anges bland annat att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personupp- giftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

I skäl 47 anges bland annat följande, apropå att den rättsliga grund som bygger på en intresseavvägning (artikel 6.1 f) inte är tillämplig för myndigheter när de fullgör sina uppgifter.

Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhanda- hålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter.

Enligt vår bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i leden c och e. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att bestämmelserna i artikel 6.1 c och e ska vara tillämpliga. För- pliktelser, uppgifter av allmänt intresse och myndighetsutövning som inte är rättsligt förankrade i enlighet med unionsrätten eller med- lemsstatens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.

Innebörden av artikel 6.1 c är därmed att behandling av person- uppgifter är laglig om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som är fastställd i enlighet med unionsrätten eller den nationella rätten och som åvilar den personuppgiftsansvarige. På

111

Rättslig grund för behandling av personuppgifter

SOU 2017:39

motsvarande sätt är innebörden av artikel 6.1 e att behandling av personuppgifter är laglig om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som är fastställd i enlighet med unionsrätten eller den nationella rätten eller om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighets- utövning som är fastställd i enlighet med unionsrätten eller den nationella rätten.

Vilket slags reglering avses?

Grunden för behandlingen ska enligt artikel 6.3 första stycket i data- skyddsförordningen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige om- fattas av. Med detta avses inte att den rättsliga grunden nödvändigt- vis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Av skäl 41 till förordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Huruvida de rättsliga förpliktelser, de upp- gifter av allmänt intresse och den myndighetsutövning som har fast- ställts i enlighet med svensk rätt är tillräckligt precisa måste bedömas från fall till fall i rättstillämpningen.

Kollektivavtal

Den svenska arbetsmarknadsmodellen innebär att arbetsmarknadens parter i stor utsträckning reglerar arbets- och anställningsvillkor genom kollektivavtal. Kollektivavtalen innehåller en rad bestäm- melser som arbetsmarknadens parter och medlemmarna i de avtals- slutande organisationerna är skyldiga att följa, t.ex. om föräldratillägg, semesterlön, övertidsersättning och ersättning för läkarbesök och läkemedel. Överträdelser av bestämmelserna kan föranleda skade- ståndsansvar. Avtalen har även betydelse för tredje man eftersom de ska tillämpas på samma sätt i förhållande till alla arbetstagare och således även i förhållande till oorganiserade arbetstagare och arbets-

112

SOU 2017:39

Rättslig grund för behandling av personuppgifter

tagare som är medlemmar i en annan arbetstagarorganisation än den som avtalet slutits med.

Reglering i kollektivavtal har i Europadomstolens praxis ansetts i sig förenlig med kravet enligt Europakonventionen att åtgärder med rättighetsbegränsande effekter ska ha stöd i lag. En bedömning får ske i det enskilda fallet med beaktande av de krav på bland annat proportionalitet som gäller vid lagstiftning eller andra åtgärder som inskränker enskildas rättigheter enligt Europakonventionen.8 Denna praxis talar för att samma princip bör gälla vid tillämpningen av EU- lagstiftning som rör fri- och rättigheter, såsom dataskyddsförord- ningen. Grunden för behandlingen av personuppgifter, även avseende oorganiserade arbetstagare, bör därför i princip kunna anses vara fastställd i enlighet med svensk rätt om den fastställts genom kollek- tivavtal.

8.3.2Behandling för att uppfylla en rättslig förpliktelse

Utredningens förslag: Det ska tydliggöras att personuppgifter får behandlas om behandlingen är nödvändig för att den person- uppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning eller som följer av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Begreppet rättslig förpliktelse

Bestämmelsen i artikel 6.1 c i dataskyddsförordningen är i sak lika- lydande med artikel 7 c i dataskyddsdirektivet – personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Begreppet rätts- lig förpliktelse i de båda rättsakterna bör tolkas och tillämpas på samma sätt.

För att en skyldighet ska utgöra en ”rättslig” förpliktelse måste den ha en legal grund. Detta följer både av begreppet i sig och av kra-

8 Jfr Europadomstolens dom i målet Evaldsson mot Sverige, nr 75252/01, dom den 13 februari 2007.

113

Rättslig grund för behandling av personuppgifter

SOU 2017:39

vet i artikel 6.3 första stycket i dataskyddsförordningen om att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten. Detta innebär inte att förpliktelsen nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndig- hetsbeslut och domar som har meddelats med stöd av gällande rätt.

Rent språkligt omfattar begreppet rättslig förpliktelse även sådana skyldigheter som har lagts fast i någon annan av rättsordningen erkänd ordning, t.ex. i ett avtal. Som en följd av den svenska arbets- marknadsmodellen kan således rättsliga förpliktelser följa av kol- lektivavtal, se avsnitt 8.3.1. Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund för personuppgiftsbehandling enligt både dataskyddsdirektivet och dataskyddsförordningen, nämligen led b i respektive artikel. De rätts- liga förpliktelser som avses i led c bör därmed vara av ett annat slag. I första hand leds tanken till offentligrättsliga förpliktelser. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, t.ex. inom arbetsrätten.9

Syftet med behandlingen ska framgå av förpliktelsen

Enligt artikel 6.3 andra stycket första meningen i dataskyddsför- ordningen ska syftet med behandlingen (the purpose of the processing) fastställas i (be determined in) den rättsliga grunden. Den rättsliga grunden i fråga om behandling enligt punkt 1 c är, som framgår ovan, en rättslig förpliktelse som är fastställd i enlighet med unionsrätten eller den nationella rätten. Vad gäller behandling som är nödvändig för att uppfylla en sådan rättslig förpliktelse ska alltså syftet med behandlingen vara bestämd av den författning som anger eller ger stöd för förpliktelsen. En rättslig förpliktelse utgör därmed inte en rättslig grund för behandling av personuppgifter om förpliktelsen är alltför svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas. Som exempel kan nämnas att ett företags skyldighet att lämna uppgift om företagets lönekostnader inte innehåller något angivet syfte för behandling av personuppgifter i form av utlämnande, medan en skyldighet att lämna

9 SOU 1997:39 s. 363.

114

SOU 2017:39

Rättslig grund för behandling av personuppgifter

uppgifter om företagets löneutbetalning till en angiven arbetstagare innehåller ett sådant syfte. Den senare förpliktelsen kan i praktiken inte uppfyllas utan att personuppgifter rörande den angivna arbets- tagaren behandlas.

Detta krav är i sig ingen nyhet, men framgår inte uttryckligen av dataskyddsdirektivet. Artikel 29-gruppen har i ett yttrande avseende begreppet rättslig förpliktelse i artikel 7 c i dataskyddsdirektivet anfört att den bestämmelse som förpliktelsen grundas på ska inne- hålla en uttrycklig hänvisning till arten av och syftet med behand- lingen. Artikel 29-gruppen anför följande.10

Dessutom måste den rättsliga förpliktelsen i sig vara tillräckligt tydlig när det gäller den behandling av personuppgifter som krävs. Artikel 7 c kan således tillämpas på grundval av rättsliga bestämmelser som inne- håller en uttrycklig hänvisning till arten av och syftet med behand- lingen. De registeransvariga bör inte ges en alltför stor handlingsfrihet i fråga om hur de ska uppfylla den rättsliga förpliktelsen.

I vissa fall anger lagstiftningen kanske bara ett allmänt mål, medan mer specifika förpliktelser införs på en annan nivå, till exempel antingen genom sekundärlagstiftning eller genom ett bindande beslut av en offentlig myndighet i ett konkret fall. Detta kan också leda till rättsliga förpliktelser enligt artikel 7 c, förutsatt att arten och syftet med behand- lingen är väl definierade och omfattas av en lämplig rättslig grund.

Hur fastställs rättsliga förpliktelser i enlighet med gällande rätt?

I Sverige följer det av grundlag att den offentliga makten utövas under lagarna (1 kap. 1 § tredje stycket regeringsformen). Offentlig- rättsliga förelägganden och beslut som medför förpliktelser för mot- tagaren ska därför ha sin grund i en författning. Förpliktelser som har en generell räckvidd, och alltså inte riktas mot en specifik mottagare, ska också regleras i författning. Detta gäller både offentligrättsliga och civilrättsliga åligganden. Som tidigare har nämnts bör däremot civilrättsliga förpliktelser som följer av avtal där den registrerade själv är part i stället bedömas i enlighet med den särskilda rättsliga grunden i artikel 6.1 b i dataskyddsförordningen.

Som en följd av den svenska arbetsmarknadsmodellen kan rätts- liga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas

10 Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intres- sen enligt artikel 7 i direktiv 95/46/EG, s. 21.

115

Rättslig grund för behandling av personuppgifter

SOU 2017:39

inte av artikel 6.1 b, eftersom den registrerade inte själv är part. Förpliktelser som följer av kollektivavtal måste däremot enligt vår bedömning anses vara fastställda i enlighet med svensk rätt.

Enligt 8 kap. 2 § regeringsformen ska föreskrifter meddelas genom lag bland annat om de avser

1.enskildas personliga ställning och deras personliga och ekono- miska förhållanden inbördes,

2.förhållandet mellan enskilda och det allmänna under förutsätt- ning att föreskrifterna gäller skyldigheter för enskilda eller i öv- rigt avser ingrepp i enskildas personliga eller ekonomiska förhål- landen, eller

3.grunderna för kommunernas organisation och verksamhetsfor- mer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden.

Enligt 8 kap. 3 § regeringsformen kan riksdagen, med vissa undan- tag, bemyndiga regeringen att meddela föreskrifter enligt 2 § första stycket 2 och 3. Om riksdagen bemyndigar regeringen att meddela föreskrifter i ett visst ämne, kan riksdagen också medge att reger- ingen bemyndigar en förvaltningsmyndighet eller en kommun att meddela föreskrifter i ämnet. Detta framgår av 8 kap. 10 § reger- ingsformen. Enligt 8 kap. 9 § regeringsformen kan riksdagen även bemyndiga en kommun att meddela föreskrifter enligt 2 § första stycket 2, om föreskrifterna avser t.ex. avgifter.

Det står således klart att rättsliga förpliktelser som åligger enskilda eller kommuner alltid ska ha sin grund i lag eller i kollektivavtal. För- pliktelser kan regleras direkt i lag eller i föreskrifter som meddelats med stöd av lag. Förpliktelser kan också anges i domar eller myn- dighetsbeslut som meddelats med stöd av lag eller med stöd av före- skrifter som i sin tur meddelats med stöd av lag.

På samma sätt har unionsrättsliga förpliktelser stöd i svensk lag, t.ex. förpliktelser som följer av direkt tillämpliga EU-förordningar eller som meddelas med stöd av sådana förordningar. Enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europe- iska unionen gäller nämligen EU-rättsakter här i landet med den ver- kan som följer av EU-fördragen.

Även domstolar och statliga myndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Det finns

116

SOU 2017:39

Rättslig grund för behandling av personuppgifter

ingenting i artikel 6.1 c i dataskyddsförordningen som begränsar tillämpningen till den privata sektorn. Datainspektionen har t.ex. an- sett att den skyldighet för myndigheter som följer av offentlig- hetsprincipen är en sådan rättslig skyldighet som avses i motsvarande bestämmelse i personuppgiftslagen.11 Domstolar och myndigheter har också andra författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling, exempelvis när det gäller personaladmi- nistration. Däremot har Datainspektionen ansett att innehållet i en myndighets arbetsordning normalt inte kan grunda en rättslig skyl- dighet att behandla personuppgifter.12

Enligt 1 kap. 6 § regeringsformen är det regeringen som styr riket. Under regeringen lyder Justitiekanslern och andra statliga förvalt- ningsmyndigheter som inte är myndigheter under riksdagen (12 kap. 1 § regeringsformen). Regeringen styr dessa myndigheter genom regeringsbeslut och genom att med stöd av restkompetensen (8 kap. 7 § första stycket 2 regeringsformen) meddela föreskrifter. En myn- dighets uppdrag enligt myndighetsinstruktionen eller reglerings- brevet kan i vissa fall utgöra en i enlighet med nationell rätt (reger- ingsformen) fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst per- sonuppgiftsregister. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personupp- gifter med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse, se avsnitt 8.3.4.

Vår bedömning

Sammanfattningsvis bedömer vi att de rättsliga förpliktelser som krä- ver personuppgiftsbehandling, utan att någon annan rättslig grund är tillämplig, redan framgår av eller meddelas med stöd av gällande rätt. Det behövs därmed inte någon ytterligare nationell reglering på gene- rell nivå för att sådan behandling av personuppgifter som är nöd- vändig för att uppfylla en rättslig förpliktelse ska kunna ske med stöd

11Datainspektionens rapport 2005:3, Övervakning i arbetslivet – Kontroll av de anställdas Internet- och e-postanvändning m.m., s. 15.

12Öman och Lindblom, Personuppgiftslagen, (20 december 2016, Zeteo), kommentaren till

10§ b PUL.

117

Rättslig grund för behandling av personuppgifter

SOU 2017:39

av den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen. Detta gäller oavsett om den personuppgiftsansvarige är en myndighet eller ett privaträttsligt organ.

Det kan dock finnas anledning att ta in en bestämmelse i data- skyddslagen som tydliggör att en förpliktelse utgör en rättslig grund för behandling av personuppgifter endast om förpliktelsen gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse.

För att en förpliktelse ska kunna läggas till grund för behandling av personuppgifter måste den givetvis vara rättsligt förankrad och giltig. Den måste alltså ha meddelats i laga ordning. Den föreslagna formuleringen ”gäller enligt lag” omfattar även förpliktelser som föl- jer av direkt tillämpliga unionsrättsakter, eftersom lagen med anled- ning av Sveriges anslutning till Europeiska unionen anger att unions- rättsakter gäller här i landet med den verkan som följer av fördragen.

Det bör noteras att bestämmelsen i artikel 6.3 andra stycket första meningen i dataskyddsförordningen anger att syftet med behand- lingen ska fastställas i den rättsliga grunden. Även denna bestämmelse är direkt tillämplig och kan möjligen begränsa tillämpningsområdet för artikel 6.1 c, jämfört med hur 10 § b PUL har tillämpats. Kravet torde enligt vår bedömning innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behand- lingen inte framgår av den författning som förpliktelsen grundas på och inte heller, i förekommande fall, kan utläsas av det beslut som anger förpliktelsen. Hur bestämmelsen ska tolkas och tillämpas i praktiken är dock i dagsläget oklart. Den närmare innebörden bör enligt vår uppfattning klargöras i rättspraxis.

118

SOU 2017:39

Rättslig grund för behandling av personuppgifter

8.3.3Behandling som ett led i myndighetsutövning

Utredningens förslag: Det ska tydliggöras att personuppgifter får behandlas om behandlingen är nödvändig som ett led i myn- dighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning.

Begreppet myndighetsutövning

Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas bland annat om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Enligt data- skyddsdirektivet ska även behandling som är nödvändig som ett led i myndighetsutövning som utförs av en tredje man till vilken upp- gifterna har lämnats ut tillåtas, men denna rättsliga grund nämns inte i dataskyddsförordningen. Av skäl 45 till dataskyddsförordningen framgår att det på unionsnivå eller nationellt bör regleras om en per- sonuppgiftsansvarig som utför myndighetsutövning ska vara en myn- dighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, t.ex. en yrkesorganisation.

Datalagskommittén bedömde att begreppet myndighetsutövning har en EG-gemensam innebörd, men att man till dess annat fram- kommer bör kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller under begreppet.13 Vi instämmer i denna bedömning. Termen används flitigt i svenska författningar, även i grundlag, men saknar legaldefinition. Begreppet som sådant har kriti- serats, bland annat av Förvaltningslagsutredningen.14 I förarbetena till den äldre förvaltningslagen (1971:290) finns dock en beskrivning av begreppets innebörd som fortfarande ofta citeras.15

Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets makt- befogenheter i förhållande till medborgarna. Befogenheten till myn- dighetsutövning måste alltså vara grundad på lag eller annan författ- ning eller på annat sätt kunna härledas ur bemyndiganden från de

13SOU 1997:39 s. 365.

14SOU 2010:29 s. 99 f.

15Prop. 1971:30 s. 331 f.

119

Rättslig grund för behandling av personuppgifter

SOU 2017:39

högsta statsorganen. Myndighetsutövning kan både medföra förplik- telser för enskilda och mynna ut i gynnande beslut. Myndighetsutöv- ning kan också ske i förhållandet mellan myndigheter, t.ex. när en myndighet har tillsyn över en annan myndighets verksamhet. Utan- för begreppet myndighetsutövning faller däremot råd, upplysningar och andra inte bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång mot den enskilde (t.ex. undervisning). Gräns- dragningen mellan offentligrättsliga och privaträttsliga regler är också av stor vikt när det gäller att bestämma begreppet myndighetsutöv- ning.16

Av naturliga skäl är det i första hand statliga och kommunala myn- digheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltnings- uppgifter som innefattar myndighetsutövning (12 kap. 4 § reger- ingsformen). Denna möjlighet har bland annat utnyttjats vad gäller betygssättning m.m. i fristående skolverksamhet och fordonsbesikt- ning som utförs av privaträttsliga besiktningsorgan.

Ändamålet med behandlingen måste vara nödvändigt

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen ska syftet med behandlingen (the purpose of the processing), i fråga om behandling enligt punkt 1 e, vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behö- ver således inte framgå av det sammanhang där den myndighets- utövande befogenheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndig- hetsutövningen. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och myndighetsutövningen. Detta sam- band framgår även av kravet i artikel 5.1 b på att de särskilda ända- målen ska vara berättigade.

16 Lundell/Strömberg, Allmän förvaltningsrätt, 26 uppl., s. 19 f.

120

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Är all myndighetsutövning fastställd i enlighet med gällande rätt?

I svensk rätt har myndigheter inte någon generell befogenhet att utöva myndighet. Myndighetsutövning som medför skyldigheter för den enskilde eller i övrigt avser ingrepp i den enskildes personliga eller ekonomiska förhållanden måste härröra från lag (8 kap. 2 § 2 och 3 § regeringsformen). Att meddela föreskrifter om åtgärder som är gynnande för den enskilde ryms däremot inom regeringens restkom- petens (8 kap. 7 § första stycket 2 regeringsformen). Regeringen kan därmed i förordning, utan bemyndigande av riksdagen, ge en myn- dighet befogenheter avseende gynnande myndighetsutövning. Myn- dighetsutövning kan däremot inte ske helt utan stöd av författning. Det bör vidare noteras att myndighetsutövning även kan utövas med stöd av direkt tillämpliga EU-förordningar. Myndighetsutövning kan således även vara fastställd i enlighet med unionsrätten.

Befogenhet att utföra myndighetsutövande förvaltningsuppgifter fastställs i svensk rätt ofta direkt i den författning som reglerar en viss rättighet, skyldighet, åtgärd eller verksamhet.17 Befogenheten kan även framgå genom att en myndighet i lag eller förordning har pekats ut att fullgöra de uppgifter som ankommer på behörig myndighet enligt en viss unionsrättsakt.18 I det sistnämnda fallet kan de myndig- hetsutövande uppgifterna vara uttryckta enbart i unionsrätten. Myn- dighetsutövning kan dock aldrig utövas utan stöd i gällande rätt.

Enligt skäl 45 till dataskyddsförordningen bör unionsrätten eller den nationella rätten också reglera frågan om en personuppgiftsansva- rig som utför myndighetsutövning ska vara ett organ som omfattas av offentligrättslig eller av civilrättslig lagstiftning. I Sverige regleras myndighetsutövande uppgifter i offentligrättslig lagstiftning. Det innebär inte att det bara är myndigheter som har anförtrotts sådana uppgifter. Däremot krävs lagstöd för att förvaltningsuppgifter som innefattar myndighetsutövning ska kunna överlämnas åt andra juridiska personer och enskilda individer (12 kap. 4 § regeringsfor- men). Frågan om vilka organ som har myndighetsutövande uppgifter regleras således redan i svensk rätt.

17Se t.ex. studiestödslagen (1999:1395), skatteförfarandelagen (2011:1244), plan- och bygg- lagen (2010:900) eller lagen (2009:366) om handel med läkemedel.

18Se t.ex. förordningen (2009:93) med instruktion för Finansinspektionen eller förord- ningen (2007:860) med instruktion för Statens haverikommission.

121

Rättslig grund för behandling av personuppgifter

SOU 2017:39

Vår bedömning

I Sverige kan myndighetsutövning inte ske utan stöd i gällande rätt. Det krävs därför inte någon ny nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i förordningen. Det bör noteras att denna rättsliga grund för behandling av person- uppgifter kan tillämpas av alla personuppgiftsansvariga som tilldelats myndighetsutövande befogenheter.

Det kan dock finnas anledning att ta in en bestämmelse i data- skyddslagen som tydliggör att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter endast om myndighets- utövningen sker enligt lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse.

8.3.4Behandling för att utföra uppgifter av allmänt intresse

Utredningens förslag: Det ska tydliggöras att personuppgifter får behandlas om behandlingen är nödvändig för att den personupp- giftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Begreppet uppgift av allmänt intresse

Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Av skäl 45 till dataskyddsförordningen framgår att det på unionsnivå eller nationellt bör regleras om en personuppgifts- ansvarig som utför en uppgift av allmänt intresse ska vara en myn- dighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder un- der civilrättslig lagstiftning, t.ex. en yrkesorganisation.

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte med enkelhet låter sig avgränsas. Begreppet definieras varken i data-

122

SOU 2017:39

Rättslig grund för behandling av personuppgifter

skyddsdirektivet eller i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domstolen. Artikel 29-gruppen har dock inrättat en arbetsgrupp som har fått i uppgift att utarbeta och revidera vägledande yttranden rörande vissa nyckelbestämmelser och begrepp i förordningen.19 Förhoppningsvis kommer begreppet uppgift av allmänt intresse att belysas i detta arbete.

Som exempel på uppgifter som kan vara av allmänt intresse nämns i Datalagskommitténs betänkande arkivering, forskning och fram- ställning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar, samt registrering av personer som har fått allmänt erkända utmärkelser såsom Nobelpris. Att någon själv kan tjäna pengar på att utföra uppgiften utesluter enligt Datalagskommittén inte att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte.20

Möjligen har den behandling av personuppgifter som är nödvändig i t.ex. myndigheternas verksamhet i vissa fall ansetts vara tillåten endast efter en intresseavvägning enligt 10 § f PUL. Den motsvarande bestämmelsen i dataskyddsförordningen, artikel 6.1 f, ska dock inte gälla för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade kan också antas minska. I skäl 43 anges nämligen att samtycke inte bör utgöra giltig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den per- sonuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla för- hållanden som denna särskilda situation omfattar. För att myndig- heternas verksamhet ska kunna fungera även i fortsättningen anser vi mot denna bakgrund att mycket talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.

19Artikel 29-gruppens Work programme 2016–2018, dok. 417/16/EN.

20SOU 1997:39 s. 364.

123

Rättslig grund för behandling av personuppgifter

SOU 2017:39

Myndigheternas uppdrag och åligganden att utföra uppgifterav allmänt intresse

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bre- dare plan, i motsats till ett särintresse. Av skäl 45 till förordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folk- hälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster.

I avsaknad av vägledande domar från EU-domstolen förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. På motsvarande sätt bör man kunna utgå från att de obligatoriska upp- gifter som utförs av kommuner och landsting, till följd av deras ålig- ganden enligt lag eller förordning, är av allmänt intresse i dataskydds- förordningens mening.

Sådana uppgifter, som alltså utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda, eller om de genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommu- nal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså entreprenören anses utföra en uppgift av allmänt intresse. Den omständigheten att entreprenören bedriver en rent kommersiell verksamhet kan under sådana omstän- digheter inte påverka bedömningen av den aktuella uppgiftens art.21

Andra uppgifter som utförs av myndigheter

Begreppet uppgifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt arti- kel 6.1 c i dataskyddsförordningen behöver den personuppgifts- ansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden i led e ska vara tillämplig. Däremot måste behandlingen vara nödvändig.

21 För ett liknande resonemang, se artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen enligt artikel 7 i direktiv 95/46/EG, s. 23, not 42.

124

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befo- genheten är emellertid begränsad till angelägenheter av allmänt intresse (2 kap. 1 § kommunallagen [1991:900]). Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och går ut på att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna i kommunen eller landstinget (2 kap. 7 § kommunallagen). Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas till- handahållande av bostäder och fritids- och idrottsanläggningar, åtgär- der för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift). Fullmäktige ska enligt 6 kap. 32 § första stycket kommunallagen utfärda reglementen med närmare föreskrifter om nämndernas verksamhet och arbets- former. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska således framgå av den ansva- riga nämndens reglemente.

Vissa myndigheter, t.ex. Lantmäteriet, har uttryckligen getts befogenhet att bedriva viss uppdragsverksamhet. 22 Även denna typ av verksamhet kan vara motiverad av ett allmänt intresse.

Uppgifter av allmänt intresse som utförs av privaträttsliga organ

De senaste årens avmonopolisering och konkurrensutsättning av offentlig verksamhet har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som måste anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende barnom- sorg och skola, hälso- och sjukvård och stöd och service till funk- tionshindrade. Inom den traditionellt statliga sektorn kan nämnas järnvägstransporter, elektronisk kommunikation, postbefordran och elproduktion. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn.

22 10 och 12 §§ förordningen (2009:946) med instruktion för Lantmäteriet. Se även t.ex. 2 a § förordningen (2009:1394) med instruktion för Statens veterinärmedicinska anstalt eller 3 § förordningen (2007:1111) med instruktion för Patent- och registreringsverket.

125

Rättslig grund för behandling av personuppgifter

SOU 2017:39

Fysiska personer, ideella och ekonomiska föreningar, stiftelser och företag kan förstås också ägna sig åt annan verksamhet som i princip skulle kunna anses vara av allmänt intresse, t.ex. idrott och kultur, värme- och livsmedelsproduktion och tillhandahållande av finansiella tjänster, kreditupplysning eller transporter.

Genom regleringskravet avgränsas tillämpningsområdet

Vilka uppgifter som ska anses vara av allmänt intresse i dataskydds- förordningens mening är inte helt uppenbart. Den osäkerhet som råder avseende begreppets innebörd är dock ingen nyhet.

Däremot innebär dataskyddsförordningen en väsentlig förändring på så sätt att det inte längre är självklart att en personuppgiftsansvarig som utför en uppgift av allmänt intresse kan utföra nödvändig be- handling av personuppgifter på den grunden. Genom kravet på att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten begränsas nämligen tillämpningsområdet för artikel 6.1 e. Det räcker inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Regleringskravet i artikel 6.3 första stycket i dataskyddsför- ordningen innebär alltså att artikel 6.1 e inte kan åberopas i alla situa- tioner då behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Kravet på att grunden för behand- lingen ska fastställas medför att uppgiften måste vara reglerad i enlig- het med unionsrätten eller den nationella rätten. I skäl 45 till data- skyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som krävs för att utföra en uppgift av allmänt intresse.

Ändamålet med behandlingen måste vara nödvändigt

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförord- ningen ska syftet med behandlingen (the purpose of the processing), i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse. Till skillnad mot vad som gäller av- seende grunden rättslig förpliktelse behöver ändamålet således inte

126

SOU 2017:39

Rättslig grund för behandling av personuppgifter

framgå av den författning eller det beslut där själva uppgiften fast- ställs. Ändamålet med varje enskild behandling måste dock vara nöd- vändigt för att utföra den fastställda uppgiften. Bestämmelsen ut- trycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de sär- skilda ändamålen för behandlingen, vilket i normalfallet är den per- sonuppgiftsansvarige men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade.

Som exempel kan nämnas att det enligt 3 § bibliotekslagen (2013:801) fastställs att kommunerna ansvarar för folkbibliotek. I 9 § bibliotekslagen anges att allmänheten avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur under en viss tid oavsett publice- ringsform. Man skulle förstås kunna tänka sig att biblioteken skulle låna ut böcker, utan att veta vilka låntagarna är. Det förefaller dock föga lämpligt, eftersom det kan antas att böcker då inte skulle lämnas tillbaka. Det bör därför kunna anses nödvändigt, i unionsrättslig mening, för biblioteken att samla in personuppgifter från dem som lånar böcker, i syfte att föra ett register över låntagare och deras lån. Detta ändamål är därmed nödvändigt för att utföra uppgiften, att bedriva biblioteksverksamhet. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på den rättsliga grund som utgörs av bibliotekslagen.23

Alla myndigheter, såväl statliga som kommunala, utför en rad administrativa uppgifter som krävs för att myndigheten ska fungera, men som varken direkt eller indirekt kan sägas framgå av uppdraget. Som exempel kan nämnas myndigheternas säkerhetsarbete. I skäl 27 till den rättsakt som gäller för EU-institutionernas personuppgifts- behandling, förordning 45/2001, anges att behandling av personupp- gifter för utförandet av de uppgifter av allmänt intresse som gemen- skapsinstitutionerna och gemenskapsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. Enligt artikel 29-

23 I praktiken måste den personuppgiftsansvarige givetvis även säkerställa att behandlingen uppfyller principerna i artikel 5, bland annat att ändamålet är berättigat enligt led b och att personuppgifterna behandlas fairly enligt led a.

127

Rättslig grund för behandling av personuppgifter

SOU 2017:39

gruppen möjliggör skäl 27 en vid tolkning av begreppet allmänt in- tresse i förordning 45/2001.24

Någon motsvarighet till skäl 27 i förordning 45/2001 finns inte i den nya dataskyddsförordningen. Under förhandlingarna av förord- ningen har dock Artikel 29-gruppen gett uttryck för att grunderna allmänt intresse och myndighetsutövning måste tolkas på samma sätt som i förordning 45/2001, nämligen på ett sådant sätt att de offent- liga myndigheterna ges en viss grad av flexibilitet, åtminstone så att myndigheternas förvaltning och funktion säkerställs.25

Vår bedömning

Myndigheter

Statliga och kommunala myndigheters verksamhet är i allt väsentligt av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Viss behandling av personuppgifter är dock även nödvändig med anledning av avtal, t.ex. när det gäller rekryteringsärenden eller inköp, och kan därmed också ske med stöd av den rättsliga grunden avseende just avtal (arti- kel 6.1 b). Denna rättsliga grund kan i vissa fall även tillämpas av de myndigheter som uttryckligen har getts befogenhet att bedriva upp- dragsverksamhet. En myndighet kan också behöva behandla person- uppgifter för att uppfylla en rättslig förpliktelse, t.ex. att föra ett visst register eller gentemot Skatteverket i egenskap av arbetsgivare eller till följd av offentlighetsprincipen (artikel 6.1 c). Undantagsvis kan det även förekomma behov av behandling av personuppgifter för att skydda intressen av grundläggande betydelse för fysisk person (arti- kel 6.1 d). Myndigheter kan däremot inte åberopa den rättsliga grund som utgår från en intresseavvägning (artikel 6.1 f) när de fullgör sina uppgifter.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommu-

24Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen enligt artikel 7 i direktiv 95/46/EG, s. 24.

25Se föregående fotnot.

128

SOU 2017:39

Rättslig grund för behandling av personuppgifter

nalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

I artikel 6.3 andra stycket anges att syftet med behandlingen måste vara nödvändigt för att utföra uppgiften. Den specifika behandlingen måste alltså vara nödvändig för ett ändamål som i sin tur är nöd- vändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myn- digheten inte fungerar kan den inte utföra sina fastställda uppgifter. Även administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed rättsligt grundade i dataskydds- förordningens mening.

Det kan inte nog betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Behandlingen är laglig endast i den mån den faktiskt är nödvändig för att utföra uppgiften. Dessutom måste behandlingen följa de övriga krav som ställs i dataskyddsförordningen, till exempel de principer för behandlingen som anges i artikel 5. I sammanhanget vill vi särskilt peka på att behandlingen enligt artikel 5.1 a ska vara korrekt, i bety- delsen skälig eller rimlig (fairly), i förhållande till den registrerade. Behovet av den konkreta behandlingen måste alltså alltid vägas emot den registrerades rätt till skydd för sina personuppgifter.

Privata aktörer

Uppdrag från en myndighet

Som tidigare har nämnts anser vi att de uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, måste anses vara av allmänt intresse oavsett om de fak- tiskt utförs i myndighetens egen regi, av egna anställda, eller om de genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndighe- ten, bör alltså även den privata utföraren, entreprenören eller det

129

Rättslig grund för behandling av personuppgifter

SOU 2017:39

kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avse- ende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsför- ordningen.

Det bör noteras att en uppdragstagare som utgör personuppgifts- biträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen, i enlighet med den person- uppgiftsansvariges instruktioner.

Verksamhet som omfattas av handlingsoffentlighet

I artikel 86 i dataskyddsförordningen anges att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndig- heten eller organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning. Bestämmelsen bör enligt vår mening tolkas så att den svenska offentlighetsprincipen har företräde framför dataskyddsförordningen avseende dels handlingar som förvaras hos myndigheter och andra offentliga organ, dels sådana handlingar som förvaras hos privata organ för utförande av en uppgift av allmänt intresse. Offentlighetsprincipen skulle däremot inte kunna ges företräde framför dataskyddsförordningen när det gäller hand- lingar som förvaras hos privata organ av något annat skäl än för utfö- rande av en uppgift av allmänt intresse.

Enligt 2 kap. 2–5 §§ offentlighets- och sekretesslagen (2009:400, förkortad OSL,) ska vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämp- liga delar också gälla hos bland annat kommunala bolag och de organ som anges i bilagan till offentlighets- och sekretesslagen, om hand- lingarna hör till den verksamhet som nämns där. Enligt vår mening måste dessa organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning anses utföra uppgifter av allmänt intresse

130

SOU 2017:39

Rättslig grund för behandling av personuppgifter

i den mening som avses i dataskyddsförordningen. De uppgifter som dessa organ utför är fastställda i dataskyddsförordningens mening, i den mån uppgifterna anges i författningar, regeringsbeslut och kom- munala beslut av fullmäktige (t.ex. ägardirektiv). Nödvändig behand- ling av personuppgifter som utförs av dessa organ för att utföra dessa uppgifter har därför en rättslig grund och är laglig enligt artikel 6.1 e i dataskyddsförordningen.

Övrig privaträttsligt bedriven verksamhet av allmänt intresse

Vid en direkt tillämpning av artikel 6.1 c och e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det spelar då heller ingen roll om verksamheten utförs på direkt uppdrag av en myndighet eller på eget initiativ.

Som tidigare har nämnts är uttrycket uppgift av allmänt intresse ett unionsrättsligt begrepp som hittills saknar definition. Det är där- för mycket vanskligt att bedöma i vilken mån privaträttsligt bedriven verksamhet är av allmänt intresse i dataskyddsförordningens mening. De senaste årens avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har dock inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sanno- likt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende barnomsorg och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas järnvägstransporter, elektronisk kommunikation, post- befordran och eldistribution.

I flera av dessa nämnda fall är verksamheten av kommersiell karaktär och bygger på avtal med den registrerade (t.ex. järnvägstran- sporter eller eldistribution). I den mån behandling av personuppgifter är nödvändig kan den därmed ske med stöd av artikel 6.1 b i data- skyddsförordningen, även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs uppgiften i bland annat hälso- och

131

Rättslig grund för behandling av personuppgifter

SOU 2017:39

sjukvårdslagen (2017:30), medan patientdatalagen (2008:355) speci- ficerar villkoren för laglig behandling av personuppgifter. På motsva- rande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade, som också innehåller ett par dataskyddsbestäm- melser som gäller även för privata utförare. I övrigt återfinns sektors- specifika bestämmelser om behandling av personuppgifter i lagen (2001:454) om behandling av personuppgifter inom social- tjänsten. Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av utbildning. Någon särskild registerförfattning som specificerar villkoren för behandling av personuppgifter på skolområdet finns dock inte, vilket innebär att det endast är dataskyddsförordningen som ska tillämpas.

När det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personupp- gifter på en intresseavvägning i enlighet med artikel 6.1 f i data- skyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten. Det är dock inte uteslutet att det finns sådana oreglerade områden som bör bli föremål för reglering just med anledning av dataskyddsförordningen.

Behov av förtydligande

För att behandling av personuppgifter ska vara laglig enligt arti- kel 6.1 e i dataskyddsförordningen måste den uppgift som den per- sonuppgiftsansvarige utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Vidare måste behandlingen vara nödvändig för ett ändamål som är nödvändigt för att utföra upp- giften. Detta framgår av direkt tillämpliga bestämmelser i dataskydds- förordningen. Det behövs därmed inte någon ytterligare nationell reglering, på generell nivå, för att sådan behandling av personupp- gifter som är nödvändig för att utföra uppgifter av allmänt intresse ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i för-

132

SOU 2017:39

Rättslig grund för behandling av personuppgifter

ordningen. Detta gäller oavsett om den personuppgiftsansvarige är en offentlig eller en privat aktör.

Det kan dock finnas anledning att ta in en bestämmelse i data- skyddslagen som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som utförs med stöd av gällande rätt. Uppgiften måste alltså följa av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En sådan upplysningsbestämmelse bidrar till för- ståelsen av dataskyddsregleringen och kan mot bakgrund av skäl 8 i förordningen inte anses vara en otillåten implementeringsåtgärd.

Det bör noteras att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i data- skyddsförordningen). Det finns därmed en bortre gräns för vilka uppgifter som över huvud taget kan läggas till grund för behandling av personuppgifter. Som exempel skulle det inte betraktas som pro- portionellt att ge en myndighet i uppgift att övervaka befolkningens kommunikation på internet, i syfte att upptäcka trakasserier. Ett ålig- gande för kommunerna att t.ex. inrätta särskilda skolor för barn vars föräldrar tillhör en viss religiös grupp, i syfte att förbättra skolresul- taten, skulle på motsvarande sätt inte kunna utgöra rättslig grund för behandling av personuppgifter, eftersom uppgiften inte skulle anses proportionell.

8.3.5Särskilda bestämmelser som anpassar tillämpningen av dataskyddsförordningen

Utrymmet för nationell specificering

Artikel 6.3 andra stycket i dataskyddsförordningen ger, i likhet med artikel 6.2, ett visst utrymme för medlemsstaterna att specificera vill- koren för när behandling av personuppgifter får ske och hur det ska gå till. I artikel 6.3 andra stycket i dataskyddsförordningen anges nämligen att den rättsliga grund som fastställer en rättslig förpliktel- se, myndighetsutövning eller en uppgift av allmänt intresse kan inne- hålla särskilda bestämmelser för att anpassa tillämpningen av bestäm- melserna i förordningen. Som exempel nämns de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ

133

Rättslig grund för behandling av personuppgifter

SOU 2017:39

av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ända- mål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra sär- skilda situationer enligt kapitel IX. Av skäl 10 framgår att förord- ningen inte utesluter att det i medlemsstaternas nationella rätt fast- ställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av per- sonuppgifter.

Bestämmelsen i artikel 6.3 andra stycket innebär ingen skyldighet för medlemsstaterna att införa sådana särskilda nationella bestäm- melser. I svensk rätt finns det dock redan åtskilliga sådana särskilda dataskyddsbestämmelser i sektorspecifika registerförfattningar. Det är mycket vanligt att frågor om behandling av personuppgifter regle- ras i den offentligrättsliga författning som i första hand annars har till syfte att reglera vem som får utföra en viss uppgift eller hur en viss verksamhet ska bedrivas, t.ex. socialförsäkringsbalken, alkohollagen (2010:1622) eller konkurslagen (1987:682).26 Ibland återfinns dock alla dataskyddsbestämmelser avseende en viss verksamhet i särskilda informationshanteringsförfattningar, t.ex. patientdatalagen eller utlän- ningsdatalagen (2016:27). Det förekommer också renodlade register- författningar, t.ex. lagen (2001:558) om vägtrafikregister eller lagen (1996:1156) om receptregister. Samtliga dessa författningstekniker bör enligt vår bedömning kunna användas även fortsättningsvis för att vid behov specificera villkoren för behandling av personuppgifter, enligt både artikel 6.2 och artikel 6.3 andra stycket i dataskyddsför- ordningen.

Det bör noteras att bestämmelser som specificerar villkoren för laglig behandling, om medlemsstaten väljer att behålla eller införa sådana, måste uppfylla ett mål av allmänt intresse och vara proportio- nella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i dataskyddsförordningen). Lagstiftaren måste alltså göra en avvägning mellan å ena sidan behovet av att uppgiften kan utföras på ett effektivt och rättssäkert sätt och, å andra sidan, den enskildes rätt till skydd för sina personuppgifter.

26 Enligt Informationshanteringsutredningen finns det mer än ett hundratal författningar som hör till denna kategori, SOU 2015:39 s. 103 f.

134

SOU 2017:39

Rättslig grund för behandling av personuppgifter

Sådana särskilda bestämmelser som avses i artikel 6.3 andra stycket kräver att lagstiftaren gör avvägningar från fall till fall och kan enligt vår bedömning inte föras in på generell nivå. Vi lämnar därför inget sådant förslag.

8.3.6Inledande upplysningsbestämmelse

Utredningens förslag: Dataskyddslagen ska innehålla en bestäm- melse som erinrar om att dataskyddsförordningen anger att per- sonuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

För förståelsen av de ovan föreslagna bestämmelserna om tillämp- ningen av artikel 6.1 c och e i dataskyddsförordningen behövs det enligt vår bedömning en inledande upplysningsbestämmelse som erinrar läsaren om att personuppgifter får behandlas bara om det finns en rättslig grund, dvs. om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt.

8.4Sammanfattning

Behandling av personuppgifter måste ske på rättslig grund. De rätts- liga grunder som godtas enligt artikel 6.1 i dataskyddsförordningen är

samtycke (a)

avtal (b)

rättslig förpliktelse (c)

vitala intressen (d)

myndighetsutövning (e)

uppgift av allmänt intresse (e), och

berättigat intresse (f).

För tillämpning av leden b–f krävs att behandlingen är nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden eller, i fråga om led f, för ändamål som rör den rättsliga grunden.

135

Rättslig grund för behandling av personuppgifter

SOU 2017:39

För led a finns särskilda villkor som måste vara uppfyllda, bland annat när det gäller barns samtycke (artikel 7 och 8).

För leden c och e krävs att den rättsliga grunden, dvs. den rättsliga förpliktelsen, myndighetsutövningen eller uppgiften av allmänt intresse, är fastställd i enlighet med nationell rätt eller unionsrätt (artikel 6.3 första stycket). En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

För led f krävs att den rättsliga grunden, dvs. det berättigade intresset, väger tyngre än den registrerades intressen och rättigheter. Led f gäller inte för behandling som utförs av myndigheter när de fullgör sina uppgifter.

Behandling av personuppgifter får bara ske om alla villkor för tillämpning av minst en av de rättsliga grunder som avses i leden a–f är uppfyllda. Dessutom måste den personuppgiftsansvarige bland annat också se till att principerna i artikel 5 följs.

Personuppgifterna ska enligt artikel 5.1 b samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Att ändamålen ska vara berättigade innebär bland annat, men inte enbart, att de ända- mål som den personuppgiftsansvarige är skyldig att ange måste vara berättigade i förhållande till den rättsliga grunden.

Även artikel 6.3 andra stycket innehåller bestämmelser som, i likhet med artikel 5.1 b, kopplar samman de särskilda ändamålen med den rättsliga grunden. Avseende rättslig förpliktelse anges att ända- målen ska vara bestämda i den rättsliga grunden. Vad gäller myndig- hetsutövning och uppgifter av allmänt intresse anges i stället att ända- målen ska vara nödvändiga för myndighetsutövningen eller för att utföra den fastställda uppgiften av allmänt intresse.

136

9Barns samtycke som rättslig grund

9.1Vårt uppdrag

För att samtycke ska utgöra en rättslig grund för personuppgifts- behandling vid erbjudande av vissa typer av tjänster direkt till barn under 16 år krävs enligt artikel 8.1 i dataskyddsförordningen vårdnads- havarens samtycke eller dennes godkännande av barnets samtycke. Förordningen tillåter att en lägre åldersgräns föreskrivs i medlems- staternas nationella rätt. Enligt kommittédirektiven ska vi analysera för- och nackdelar med en lägre åldersgräns.

9.2Gällande rätt

Det finns i dag ingen uttrycklig reglering vare sig i dataskyddsdirek- tivet eller i personuppgiftslagen rörande barns samtycke till person- uppgiftsbehandling. En bedömning av om den underåriges samtycke ska anses utgöra rättslig grund för personuppgiftsbehandling har där- för fått göras från fall till fall.

Datainspektionen har uttalat att det krävs att den som ger sam- tycket kan förstå innebörden av det. En person som inte själv kan till- godogöra sig informationen om vad ett samtycke till personuppgifts- behandling innebär kan inte ge ett rättsligt bindande samtycke.1

Datainspektionen har vidare ansett att barn under 15 år i allmänhet inte kan anses ha nått en sådan mognad att de kan förstå innebörden av att samtycka till personuppgiftsbehandling. Den bedömningen har

1 Datainspektionen, Samtycke enligt personuppgiftslagen, Vem kan samtycka? www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/samtycke (hämtad 2017-02-23).

137

Barns samtycke som rättslig grund

SOU 2017:39

dock rört behandling av barns personuppgifter generellt.2 I ett sam- rådsyttrande som rörde användande av personnummer som spärr för deltagande på en chattsajt har Datainspektionen funnit att föräldrarnas samtycke till barns registrering av sina personuppgifter måste in- hämtas i vart fall när det gäller barn som inte fyllt 13 år.3

9.3Dataskyddsförordningen

9.3.1Samtycke som rättslig grund

för behandling av personuppgifter

I artikel 5 i dataskyddsförordningen finns grundläggande principer som gäller vid all personuppgiftsbehandling. De krav som uppställs i denna artikel ska alltid följas. För att en personuppgiftsbehandling ska vara laglig krävs också att det finns en rättslig grund för be- handlingen enligt artikel 6 i dataskyddsförordningen. Samtycke från den registrerade utgör en sådan rättslig grund för personuppgifts- behandling enligt artikel 6.1 a.

I artikel 4.11 definieras samtycke av den registrerade som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Vad som avses med frivillig, särskild och informerad viljeyttring i artikel 7 a i dataskyddsdirektivet har arti- kel 29-gruppen uttalat sig om i yttrande 15/2011 om definitionen av begreppet samtycke.4 Artikel 29-gruppen arbetar även med att ta fram ett nytt yttrande om begreppet samtycke som förväntas vara klart under det första halvåret 2017.

Samtycke kan lämnas genom en skriftlig eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida eller genom val av inställningsalternativ för tjänster på informations- samhällets område. Det kan också ske genom någon annan förklaring

2Datainspektionen, frågor och svar, finns det någon åldersgräns för samtycke, www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/finns-det-nagon- aldersgrans-for-samtycke1/ (hämtad 2017-02-09).

3Datainspektionens samrådsyttrande i december 2002 med anledning av fråga från ett person- uppgiftsombud, se vidare www.datainspektionen.se/personuppgiftsombud/samradsyttranden/registrering-av- personuppgifter-fran-barn-/ (hämtad 2017-03-21).

4Se även artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 13 f.

138

SOU 2017:39

Barns samtycke som rättslig grund

eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).

I artikel 7 i dataskyddsförordningen uppställs vissa villkor för sam- tycke. Av artikel 7.1 framgår att det är den personuppgiftsansvarige som ska kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Enligt artikel 7.2 ska, om den registrerades sam- tycke lämnas i en skriftlig förklaring som också rör andra frågor, begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. I artikel 7.3 anges att de registrerade ska ha rätt att när som helst återkalla sitt samtycke. Det ska vara lika lätt att återkalla som att ge sitt samtycke. Slutligen anges i artikel 7.4 att vid bedömningen av huruvida samtycket är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nöd- vändig för genomförandet av det avtalet.5

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgif- terna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller om denne inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Om samtycket inte uppfyller de krav som uppställs i förordningen utgör det inte rättslig grund för behandling av personuppgifter. Om syftet med personuppgiftsbehandlingen t.ex. är orimligt eller opropor- tionerligt har tjänstetillhandahållaren trots användarens samtycke allt- så ingen giltig rättslig grund för behandlingen.6

5Se även skäl 43.

6Jfr artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 15.

139

Barns samtycke som rättslig grund

SOU 2017:39

9.3.2Personuppgifter som rör barn förtjänar ett särskilt skydd

Att personuppgifter som rör barn anses särskilt skyddsvärda framgår av flera av förordningens bestämmelser och betonas i skälen till för- ordningen. Det finns dock ingen artikel som anger en specifik ålder för när någon ska anses vara ett barn. Det finns inte heller någon annan enhetlig reglering inom EU som definierar när någon ska anses vara ett barn. Frågan får i stället avgöras genom en tolkning med beaktande av andra rättskällor. Samtliga medlemsstater har ratificerat FN:s konvention om barnets rättigheter, den s.k. barnkonventionen, där barn definieras som varje människa under 18 år, om inte barnet blir myndigt tidigare enligt den lag som gäller barnet (artikel 1).

Som exempel på en bestämmelse i dataskyddsförordningen som särskilt rör barn kan nämnas att barns rätt till integritetsskydd sär- skilt ska beaktas när personuppgifter behandlas med stöd av den rättsliga grunden i artikel 6.1 f, dvs. när behandlingen bygger på en intresseavvägning.

Vidare föreskrivs i artikel 12.1 att den information som den per- sonuppgiftsansvarige ska lämna enligt artiklarna 13 och 14 ska ges i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med använd- ning av klart och tydligt språk, i synnerhet när det gäller information som är särskilt riktad till barn. I skäl 58 anges att det förhållandet att barn förtjänar särskilt skydd, medför att all information och kommu- nikation som riktar sig till barn bör utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

Enligt artikel 17.1 f har den registrerade rätt att få sina personupp- gifter raderade om de har samlats in med samtycke som rättslig grund i samband med erbjudandet av informationssamhällets tjänster direkt till ett barn i de fall som avses i artikel 8.1 i förordningen. I skäl 65 anges att den registrerades rätt att bli bortglömd är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn.

Tillsynsmyndigheten ska också ägna särskild uppmärksamhet åt insatser som riktar sig till barn, när den enligt artikel 57.1 b utför sin uppgift att öka allmänhetens medvetenhet om och förståelse för

140

SOU 2017:39

Barns samtycke som rättslig grund

risker, regler, skyddsåtgärder och rättigheter i fråga om behandling av personuppgifter.

I skäl 38 uttalas att barns personuppgifter förtjänar ett särskilt skydd, eftersom barn kan vara mindre medvetna om risker, skydds- åtgärder och rättigheter. Det särskilda skyddet bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte, för att skapa personlighets- eller användarprofiler samt för insamling av uppgifter när tjänster som erbjuds direkt till barn utnyttjas. Sam- tycke från den person som har föräldraansvar över ett barn bör enligt uttalandet inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

I skäl 71 till förordningen anges att barns personuppgifter inte bör användas för automatiserat beslutsfattande i form av bland annat profilering. Med profilering avses enligt samma skäl och artikel 4.4 i förordningen automatisk behandling av personuppgifter med be- dömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbets- prestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar.

9.3.3Barns samtycke

I artikel 8.1 i dataskyddsförordningen anges att vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska behandling av personuppgifter som rör ett barn få ske med stöd av artikel 6.1 a om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycket ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får föreskriva en lägre ålder i sin nationella rätt, under förutsättning att denna ålder inte är lägre än 13 år. Bestämmelsen omfattar givetvis endast situationer när personuppgifter behandlas. Om en tjänst till- handahålls utan att personuppgifter behandlas faller den utanför för- ordningens tillämpningsområde.

I artikel 8.2 anges att den personuppgiftsansvarige ska göra rimliga ansträngningar för att kontrollera att samtycket ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik. Slutligen anges i artikel 8.3 att punkt 1 i artikeln inte ska påverka tillämpningen av allmän avtalsrätt i medlemsstaterna,

141

Barns samtycke som rättslig grund

SOU 2017:39

såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Det bör noteras att artikel 8.1 endast hänvisar till artikel 6 och inte till artikel 9. Vid vilken ålder barn kan samtycka till behandling av känsliga personuppgifter framgår alltså inte av förordningen och omfattas inte heller av våra överväganden. Det bör också poängteras att bestämmelsen endast är tillämplig när den rättsliga grunden för personuppgiftsbehandlingen är samtycke och inte när det finns en annan rättslig grund för behandlingen, såsom exempelvis avtal enligt artikel 6.1 b.

9.4Utgångspunkter för vår bedömning

9.4.1Inledning

Det vi har att ta ställning till är vid vilken ålder ett barn bör kunna samtycka till viss behandling av barnets personuppgifter utan föräld- rarnas medgivande. Det förtjänar emellertid redan här att noteras att även i det fall samtycke får inhämtas från ett barn, så kräver data- skyddsförordningen att tjänstetillhandahållaren beaktar barnets be- gränsade förståelse för behandlingen av personuppgifter. På grund av förordningens särskilda fokus på barns sårbarhet bör dessutom princi- perna om uppgiftsminimering och ändamålsbegränsning i artikel 5 tillämpas strikt.7 En personuppgiftsbehandling kan alltså på grund av de övriga bestämmelserna i förordningen vara otillåten, trots att sam- tycke har lämnats av ett barn som har uppnått den i svensk rätt satta åldersgränsen.

9.4.2Barnets bästa och barnets rätt till integritet

Vid bedömningen av vid vilken ålder ett barn själv bör få samtycka till att dess personuppgifter behandlas måste bestämmelserna i FN:s barnkonvention beaktas. Som nämnts ovan avses med barn i konven- tionens mening varje människa under 18 år, om inte barnet blir myndigt tidigare enligt den lag som gäller barnet. I artikel 3 i konven- tionen fastslås att barnets bästa ska komma i främsta rummet vid alla

7 Jfr artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 25.

142

SOU 2017:39

Barns samtycke som rättslig grund

åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ.

Barnkonventionen syftar till att ge barn, oavsett bakgrund, rätt att behandlas med respekt och att få komma till tals. I artikel 12 an- ges bland annat att konventionsstaterna ska tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frå- gor som rör barnet, varvid barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Artikel 13 slår fast att barnet har rätt till yttrandefrihet. Denna rätt innefattar frihet att oberoende av territoriella gränser söka, motta och sprida information och tankar av alla slag, i tal, skrift eller tryck, i konstnärlig form eller genom annat uttrycksmedel som barnet väljer.

Samtidigt som barnet har rätt till yttrande- och informationsfri- het behöver det finnas ett skydd för barnet när dess personuppgifter behandlas. Det ska ske med beaktande bland annat av bestämmelsen om föräldrars ledning i artikel 5 i barnkonventionen. Bestämmelsen ger föräldrar och andra vårdnadshavare rättigheter och skyldigheter att ge barnet lämplig ledning och råd vid utövandet av barnets rättig- heter. Vägledning ska ges på ett sätt som överensstämmer med barnets fortlöpande utveckling. Barnet ska alltså med stigande ålder få större möjlighet att själv styra över på vilket sätt det vill ta vara på sina rättigheter. Eftersom barnet är en person som håller på att utvecklas fysiskt och psykiskt, måste utövandet av barnets rättig- heter anpassas till dess utvecklingsnivå.

Det måste alltså göras en avvägning mellan barnets behov av skydd och dess rätt till informationsfrihet. Ju äldre barnet blir, desto mindre blir dess behov av skydd och desto större tyngd ska tillmätas rätten till yttrande- och informationsfrihet.

Vid avvägningen måste också hänsyn tas till barnets rätt till integ- ritet. Artikel 16 stadgar att inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- eller familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende. Detta måste respekteras av alla, även av barnets vårdnadshavare. Barnets rätt till integritet måste således balanseras mot föräldrarnas skyldighet och rättighet att genom insyn i barnets förehavanden tillvarata barnets intressen och se till barnets bästa.

143

Barns samtycke som rättslig grund

SOU 2017:39

9.4.3När är artikel 8.1 i dataskyddsförordningen tillämplig?

För att kunna bedöma vid vilken ålder barn kan tänkas uppnå en till- räcklig mognad och insikt i fråga om personuppgiftsbehandling finns det anledning att närmare analysera innebörden av artikel 8.

Erbjudande av informationssamhällets tjänster

Det är enligt dataskyddsförordningen endast vid erbjudande av infor- mationssamhällets tjänster till någon som är under 16 år som sam- tycket till behandlingen behöver ges eller godkännas av den som har föräldraansvaret för barnet. När det gäller personuppgiftsbehandling som inte sker i samband med att informationssamhällets tjänster er- bjuds får en bedömning, liksom tidigare, göras i varje enskilt fall av den registrerades förmåga att förstå innebörden av ett lämnat sam- tycke.

Begreppet informationssamhällets tjänster definieras i artikel 4.25 i dataskyddsförordningen som alla tjänster enligt definitionen i arti- kel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/15358. I sistnämnda artikel anges att informationssamhällets tjänster är tjänster som vanligtvis utförs mot ersättning, på distans, på elektro- nisk väg och på individuell begäran av en tjänstemottagare. I denna definition avses med på distans att tjänsten tillhandahålls utan att parterna är närvarande samtidigt. Med på elektronisk väg avses att tjänsten sänds vid utgångspunkten och tas emot vid slutpunkten med hjälp av utrustning för elektronisk behandling och lagring av uppgifter och som i sin helhet sänds, befordras och tas emot genom tråd, radio, optiska medel eller andra elektromagnetiska medel. Med på individuell begäran av en tjänstemottagare avses att tjänsten tillhandahålls genom överföring av uppgifter på individuell begäran.

Informationssamhällets tjänster är ett EU-rättsligt begrepp som även används i bland annat e-handelsdirektivet9. I ingressen till detta

8Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett infor- mationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informa- tionssamhällets tjänster.

9Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre markna- den (”Direktiv om elektronisk handel”).

144

SOU 2017:39

Barns samtycke som rättslig grund

direktiv hänvisas till definitionen av begreppet i direktiv 98/34/EG10, som nu har kodifierats och ersatts av ovan nämnda direktiv (EU) 2015/1535. Ledning för tolkningen av begreppet informationssam- hällets tjänster bör därför kunna hämtas från e-handelsdirektivet och den tolkning av detta som gjorts av EU-domstolen.

I skäl 18 till e-handelsdirektivet anges följande. Informationssam- hällets tjänster omfattar en mängd näringsverksamheter som bedrivs online. Dessa verksamheter kan särskilt bestå i försäljning av varor online. Själva leveransen av varor eller tillhandahållandet av offline- tjänster omfattas inte. Informationssamhällets tjänster begränsas inte till enbart tjänster som föranleder avtal online utan gäller även tjäns- ter, i den mån de utgör näringsverksamhet, som inte betalas av de som mottar dem, exempelvis tillhandahållande av information eller kommersiella meddelanden online eller tillhandahållande av sök- möjligheter samt åtkomst till och hämtning av data.

Vid tolkningen av begreppet informationssamhällets tjänster i e-handelsdirektivet har EU-domstolen konstaterat att det inte krävs att tjänsten betalas av den som åtnjuter tjänsten för att den ska omfattas av definitionen. Tjänsten kan t.ex. finansieras genom inkomster via reklam som visas på en webbplats.11

När e-handelsdirektivet genomfördes i svensk rätt uttalade reger- ingen att med informationssamhällets tjänster avses – förenklat ut- tryckt – varje aktivitet som sker online, med någon ekonomisk innebörd. Regeringen menade att begreppet omfattar en mängd olika tjänster, däribland informationstjänster och söktjänster.12 Artikel 29- gruppen har uttalat att i rättsligt avseende ingår sociala nätverk, sökmotorer och appar i begreppet informationssamhällets tjänster.13

Mot bakgrund av ovanstående kan enligt vår bedömning begreppet informationssamhällets tjänster innefatta bland annat olika sociala medier, såsom till exempel bloggar, internetforum, webbplatser för videoklipp, chattprogram och sociala nätverk. Även onlinespel och

10Europaparlamentets och rådets direktiv 98/34/EG av den 22 juni 1998 om ett informa- tionsförfarande beträffande tekniska standarder och föreskrifter och beträffande föreskrifter för informationssamhällets tjänster.

11Se dom Papasavvas, C291/13, EU:C:2014:2209, punkterna 28–30 och dom Bond van Adverteerders m.fl., 352/85, EU:C:1988:196, punkt 16.

12Prop. 2001/02:150 s. 1 och 19.

13Se artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 4 f., artikel 29- gruppens yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, s. 5 och not 6 och 7 på samma sida, samt artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 24 not 46.

145

Barns samtycke som rättslig grund

SOU 2017:39

olika applikationer (appar) med spel eller annat innehåll kan omfattas av definitionen.

Behandling av personuppgifter inom ramen för informationssamhällets tjänster

Det är inte nödvändigt att behandla personuppgifter i samband med erbjudande av informationssamhällets tjänster. I praktiken är det emellertid mycket vanligt att behandling av personuppgifter utgör ett villkor för tillhandahållande av sådana tjänster.

Vilka personuppgifter som samlas in, hur de används av tjänstetill- handahållaren själv och hur dessa uppgifter delas med andra varierar från tjänst till tjänst. Tjänstetillhandahållarna har ibland ett intresse av att samla in så många personuppgifter som möjligt, eftersom de kan ha ett stort ekonomiskt värde.

De uppgifter som samlas in kan vara uppgifter som den enskilde måste lämna ifrån sig för att få använda en tjänst, såsom ett namn, användarnamn, födelsedatum, kön, adress, e-postadress och mobil- telefonnummer. Det kan även vara uppgifter om kreditkorts- och betalningsinformation.

Ofta behandlas också uppgifter vid användningen av en tjänst. Det kan bland annat röra sig om geografiska lokaliseringsuppgifter eller vem användaren interagerar med. Även webbläsarhistorik kan tillskapas och kan bli föremål för senare behandling. Uppgifter kan också synkroniseras med andra användares uppgifter, exempelvis uppgifter från adressboken på en telefon.

Uppgifterna kan användas i olika syften av tillhandahållaren av tjänsten, t.ex. för direktmarknadsföring. Det kan ske på olika sätt. Med s.k. beteendebaserad marknadsföring menas förenklat att använ- dare spåras när de surfar på internet och att det med tiden byggs upp profiler som sedan används för att förse användarna med reklam som passar deras intressen.14 Personuppgifterna tillhandahålls ofta även till andra än den som tillhandahåller tjänsten, t.ex. i marknadsförings- syfte.

14 Jfr artikel 29-gruppens yttrande 2/2010 om beteendebaserad reklam på internet, s. 3 och 5.

146

SOU 2017:39

Barns samtycke som rättslig grund

Direkt till barn

Det framgår inte av dataskyddsförordningen vad som avses med uttrycket att en tjänst ska erbjudas direkt till barn. Begreppet skulle kunna tolkas på flera olika sätt.

En möjlig tolkning av begreppet är att det endast omfattar tjänster som uttryckligen riktar sig till barn. Ett problem med denna tolkning är att det i dag inte finns något krav på att tjänstetillhandahållarna ska ange vilken ålder de anser är lämplig för användning av en tjänst. Inte heller finns det någon standard som anger vilka kriterier som ska vara uppfyllda för en viss åldersgräns. Ytterligare problem som skulle kun- na uppstå med denna tolkning är att en tjänstetillhandahållare skulle kunna kringgå den aktuella bestämmelsen genom att ange att tjänsten endast riktar sig till personer som inte är barn.

En annan möjlig tolkning är att det är användarens faktiska ålder som avgör om tjänsten omfattas av begreppet. Det skulle innebära att den som tillhandahåller en tjänst och hanterar personuppgifter med stöd av samtycke i samtliga fall måste veta om den som använder tjänsten är ett barn eller inte. Alla tjänstetillhandahållare som hanterar personuppgifter skulle i sådant fall behöva kontrollera åldern på alla personer som använder tjänsten. Det kan starkt ifrågasättas om det skydd som kan uppnås motiverar att personuppgifter om ålder samlas in från samtliga användare.

En tredje möjlig tolkning är att artikel 8.1 i dataskyddsförord- ningen tar sikte på sådana tjänster som kan antas användas av barn. Bedömningen blir då inte beroende av hur tjänsteleverantören pre- senterar sin tjänst utåt. Både tjänster som direkt marknadsförs mot barn och tjänster som i och för sig inte marknadsförs som särskilt anpassade för barn, men som på grund av sin utformning eller sitt innehåll och funktion är av det slaget att de typiskt sett kan antas användas av barn, omfattas vid en sådan tolkning av bestämmelsen. Det finns enligt vår mening mycket som talar för denna tolkning.

Begreppet är emellertid EU-rättsligt och det är EU-domstolen som ytterst kan ge vägledning för tolkningen. Artikel 29-gruppen arbetar för närvarande med att ta fram ett yttrande om gruppens syn på innebörden av begreppet samtycke. Yttrandet, som planeras vara klart under det första halvåret 2017, förväntas innehålla klargörande uttalanden även rörande barns samtycke och de olika rekvisiten i

147

Barns samtycke som rättslig grund

SOU 2017:39

artikel 8. Viss vägledning för tolkningen av begreppet bör därför kun- na finnas till hands när förordningen ska börja tillämpas.

Föräldraansvaret

Det är den som har föräldraansvaret för barnet som enligt artikel 8.1 i dataskyddsförordningen ska samtycka till personuppgiftsbehand- lingen eller godkänna barnets samtycke. Vad som avses med föräldra- ansvar framgår dock inte av förordningen.

I artikel 1.2 i 1996 års Haagkonvention15 anges att begreppet föräldraansvar i konventionen omfattar vårdnad eller varje liknande förhållande som avgör föräldrars, förmyndares eller andra rättsliga företrädares rättigheter, befogenheter och ansvar i förhållande till barnets person eller egendom. I artikel 2.7 i Bryssel II-förordningen16 definieras föräldraansvar som alla rättigheter och skyldigheter som en fysisk eller juridisk person har tillerkänts genom en dom, på grund av lag eller genom en överenskommelse med rättslig verkan, med avse- ende på ett barn eller dess egendom. Föräldraansvar omfattar bland annat vårdnad och umgänge.

I Sverige regleras föräldraansvaret främst i föräldrabalken. Vård- nadshavarna har enligt föräldrabalken rätt, och skyldighet, att bestäm- ma i frågor som rör barnets personliga angelägenheter. Vårdnads- havaren ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § för- äldrabalken). Barn står som regel under vårdnad av båda sina föräldrar eller en av dem om inte rätten har anförtrott vårdnaden åt en eller två särskilt förordnade vårdnadshavare. Den som har vårdnaden om ett barn har ett ansvar för barnets personliga förhållanden och ska se till att barnens behov av omvårdnad, trygghet och god fostran blir till- godosedda. Barnets vårdnadshavare svarar även för att barnet får den tillsyn som behövs med hänsyn till dess ålder, utveckling och övriga

15Den i Haag den 19 oktober 1996 dagtecknade konventionen om behörighet, tillämplig lag, erkännande, verkställighet och samarbete i frågor om föräldraansvar och åtgärder till skydd för barn. Artiklarna 1–53 i konventionen gäller i originaltexternas lydelse som lag här i lan- det, jfr 1 § lagen (2012:318) om 1996 års Haagkonvention.

16Rådets förordning (EG) nr 2201/2003 av den 27 november 2003 om domstols behörighet och om erkännande och verkställighet av domar i äktenskapsmål och mål om föräldraansvar samt om upphävande av förordning (EG) nr 1347/2000.

148

SOU 2017:39

Barns samtycke som rättslig grund

omständigheter (6 kap. 1 och 2 §§ föräldrabalken). Vårdnaden om ett barn består till dess att barnet fyllt 18 år.

Artikel 29-gruppen har i ett yttrande påtalat att vårdnadshavarnas ställning inte har någon absolut eller ovillkorlig prioritet över barnets. Principen om att barnets bästa ska komma i främsta rummet kan ibland, enligt artikel 29-gruppen, ge barnet rättigheter som går före vårdnadshavarnas önskemål. Kravet på att barnet ska företrädas av personer som enligt lag har rätt att företräda det påverkar inte det förhållandet att barnet från och med en viss ålder ska ges möjlighet att höras i frågor som berör det.17

Vårdnadshavarna får emellertid inte heller lämna ifrån sig sitt ansvar för barnet genom att låta det själv bestämma i en omfattning som det inte är moget för. Vårdnadshavarna är skyldiga att ingripa om barnet kan komma till skada eller det visar sig inte vara moget för att själv fatta beslut.18

9.4.4Något om olika åldersgränser i svensk lagstiftning

En person under 18 år är omyndig och får som huvudregel inte själv råda över sin egendom eller åta sig förbindelser (9 kap. 1 § föräldra- balken). Detta innebär dock inte att ett avtal som ett barn har ingått per automatik blir ogiltigt. Om ett barn företar en rättshandling som han eller hon inte får företa, är rättshandlingen ogiltig bara om den är ofördelaktig för barnet. Om vårdnadshavare eller förmyndare god- känner avtalet är det ändå giltigt. Godkännandet behöver inte vara uttryckligt, utan kan vara ett så kallat tyst godkännande.19

Det finns dock ett antal undantag från ovan nämnda huvudregel. I vissa sammanhang får barnet självt ingå rättshandlingar och föra sin talan. Dessutom ska ibland barnets samtycke ges avgörande bety- delse. I flera författningar har även föreskrivits att barnets vilja ska tillmätas betydelse med ökad ålder och mognad.

Enligt 21 kap. 5 § föräldrabalken gäller att i det fall barnet har nått en sådan ålder och mognad att dess vilja bör beaktas, får verkställighet

17Artikel 29-gruppens yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor), s. 4 f.

18Jfr Walin och Vängby, Föräldrabalken (20 maj 2016, Zeteo), kommentaren till 6 kap. 11 § föräldrabalken, och prop. 1981/82:168.

19Jfr Walin och Vängby, Föräldrabalken, (20 maj 2016, Zeteo), kommentaren till 9 kap. 1 § föräldrabalken.

149

Barns samtycke som rättslig grund

SOU 2017:39

av t.ex. en dom om vårdnad inte ske mot barnets vilja, utom då rätten finner det nödvändigt av hänsyn till barnets bästa.

Inom den frivilliga hälso- och sjukvården krävs enligt 4 kap. 2 § patientlagen (2014:821) som huvudregel patientens samtycke till vården. Det är vårdgivaren som har att avgöra om ett giltigt samtycke har getts.20 När patienten är ett barn ska barnets inställning till den aktuella vården eller behandlingen så långt som möjligt klarläggas. Barnets inställning ska tillmätas betydelse i förhållande till hans eller hennes ålder och mognad (4 kap. 3 §). Krav på ålder och mognads- grad kan variera beroende på om frågan gäller t.ex. preventiv- medelsrådgivning eller allvarlig sjukdom. Olika mognadsgrad kan krävas för olika former av beslut.21

I Sverige har ofta åldersgränsen för barns samtycke och möjlighet att själva agera i rättsliga och andra sammanhang satts vid 15 år. När det gäller forskning som avser människor ska forskningspersonen själv informeras om och samtycka till forskningen, om han eller hon har fyllt 15 år men inte 18 år och inser vad forskningen innebär för hans eller hennes del (18 § lagen om etikprövning av forskning som avser människor).

Barn som har fyllt 15 år har rätt att själv föra sin talan i mål och ärenden enligt socialtjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1991:1128) om psykiatrisk tvångsvård. Enligt sistnämnda lag bör även en patient som är yngre än 15 år höras, om det kan vara till nytta för utredningen och det kan antas att patienten inte tar skada av att höras. En underårig kan inte dömas till påföljd för brott som han eller hon begått innan det att han eller hon har fyllt 15 år (1 kap. 6 § brottsbalken). Dess- utom är sexuellt umgänge med barn kriminaliserat såvitt gäller barn under 15 år (6 kap. 4 § brottsbalken). 15 år är alltså en vedertagen åldersgräns som har ansetts vara väl avvägd i många sammanhang.22

När det gäller barnets möjligheter att ingå avtal och andra ange- lägenheter av ekonomisk natur har åldern i svensk rätt ofta satts vid 16 år. Barn får således från det att de fyllt 16 år själva råda över in-

20Rynning, Samtycke till medicinsk vård och behandling, 1994 s. 286 f. och prop. 2002/03:50

s.135.

21Rynning, Samtycke till medicinsk vård och behandling, 1994 s. 286 f., prop. 2002/03:50

s.135, och Socialstyrelsens meddelandeblad nr. 7/2010 om barn under 18 år som söker hälso- och sjukvård.

22Se t.ex. prop. 2002/03:50 s. 136.

150

SOU 2017:39

Barns samtycke som rättslig grund

komster de tjänat (9 kap. 3 § föräldrabalken) och driva rörelse om föräldrarna godkänt detta (13 kap. 13 §). Barn får själva ingå avtal om anställning eller annat arbete, men endast om vårdnadshavaren sam- tycker till avtalet. Barnet får självt säga upp avtalet och, om barnet har fyllt 16 år, utan nytt samtycke avtala om annat arbete av liknande art (6 kap. 12 §).

I svensk lag är det ovanligt att det stipuleras en lägre åldersgräns än 15 år, men när det gäller adoption stadgas att den som har fyllt 12 år som huvudregel inte får adopteras utan eget samtycke (4 kap. 5 § föräldrabalken).

9.4.5Direktreklam till barn

Personuppgifter kan som ovan angetts användas i syfte att rikta direktreklam till användaren när informationssamhällets tjänster utnyttjas. Direktmarknadsföring är ofta ett grundläggande inslag i affärsmodellen för bland annat sociala nätverkstjänster.23

Enligt 5 § marknadsföringslagen (2008:486) ska marknadsföring stämma överens med god marknadsföringssed. Marknadsföring som strider mot god marknadsföringssed är enligt 6 § marknads- föringslagen att anse som otillbörlig om den i märkbar mån påver- kar eller sannolikt påverkar mottagarens förmåga att fatta ett väl- grundat affärsbeslut.

Med god marknadsföringssed förstås god affärssed eller andra vedertagna normer som syftar till att skydda konsumenter och näringsidkare vid marknadsföring av produkter (3 §). Hit hör även det normsystem som har utvecklats inom näringslivet, främst Inter- nationella handelskammarens (ICC) grundregler för reklam, men även andra uppförande- och branschkoder. Förutom god affärssed och god yrkessed innefattar begreppet god marknadsföringssed även andra vedertagna normer för marknadsföring. Därmed avses bland annat speciallagstiftning, Konsumentverkets föreskrifter och allmän- na råd, de normer som Marknadsdomstolen har skapat genom sin praxis samt andra internationella vedertagna normer inom ramen för lagens syfte.24

23Jfr artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 10.

24Prop. 2007/08:115 s. 69 f.

151

Barns samtycke som rättslig grund

SOU 2017:39

Marknadsdomstolen har bedömt att det som huvudregel inte är tillåtet att rikta direktreklam till barn under 16 år eftersom detta anses strida mot god marknadsföringssed. Undantag kan finnas med hän- syn till omständigheterna i det enskilda fallet, t.ex. när vårdnads- havarens samtycke finns. Domstolen har även bedömt att sådan reklam kan vara otillbörlig enligt 6 § marknadsföringslagen. Inte hel- ler får köpuppmaningar, enligt Marknadsdomstolen, riktas direkt till barn, dvs. någon under 18 år, eftersom detta kan anses utgöra sådan aggressiv marknadsföring som enligt 7 § marknadsföringslagen inte får användas.25

Det finns en svensk branschöverenskommelse om direktmark- nadsföring som har granskats av Datainspektionen.26 I branschöver- enskommelsen anges bland annat att direktmarknadsföring normalt inte får riktas till barn, såvida det inte finns en anknytning mellan den minderårige och marknadsföraren där sådana kontakter kan sägas vara förutsatta av omständigheterna. Sådan anknytning kan vara kund- förhållande, medlemskap eller liknande.

9.4.6Yttranden till utredningen angående åldersgränsen

Barnombudsmannen har i ett yttrande till utredningen ansett att åldersgränsen bör vara 15 år och uttalat följande. Hänsyn måste tas till såväl barnets rätt till delaktighet och information som till barnets rätt till skydd. År 2014 hade FN:s kommitté för barnens rättigheter en diskussion om digitala medier och barns rättigheter. Där fram- hävdes hur digitala medier ger barn stora möjligheter att lära, delta, spela arbeta och umgås, men samtidigt ställs barn inför nya risker. Därför måste det finnas en balans mellan barnets självbestämmande och skydd av barn online/på nätet. Huvudfokus bör vara förebyg- gande arbete och att stärka barns kunskaper och förmåga. Först då kan barnet delta fullt ut i samhället och göra sin röst hörd på ett säkert sätt online/på nätet. Det är av stor vikt att barnet kan förutse de konsekvenser som en behandling av personuppgifter kan medföra. En 15-årsgräns – som är en vanligt förekommande åldersgräns i

25Se MD 2012:14 och MD 1999:26.

26SWEDMA:s regler för användningen av personuppgifter m.m. vid direktmarknadsföring för försäljnings-, insamlings- medlemsvärvningsändamål och liknande samt Datainspektio- nens yttrande den 16 juni 1999, dnr 1338-99.

152

SOU 2017:39

Barns samtycke som rättslig grund

Sverige – innebär att barn och unga fortfarande har möjlighet att delta i olika sociala medier med vårdnadshavarens samtycke.

Även Statens medieråd har lämnat ett yttrande till utredningen. Medierådet är kritiskt till bestämmelsen i artikel 8.1 i dataskydds- förordningen och anför följande. Det finns i nuläget inte några funge- rande metoder för säker åldersverifiering. Den som vill kan enkelt kringgå bestämmelsen i artikel 8.1. Förslaget om vårdnadshavares samtycke blir mot denna bakgrund ett slag i luften. Om metoder för åldersverifiering kommer att skapas så kommer det per definition att leda till att tjänsteleverantören inte får tillgång till färre person- uppgifter, utan fler. Föräldrar kommer vidare att tvingas välja mellan att helt neka barnet åtkomst till de digitala tjänsterna eller godkänna ett svårbegripligt avtal som dessutom kan vara skrivet på ett sätt så att det främjar företagets intresse av datainsamling. Mot denna bakgrund bör gränsen för krav på föräldrars samtycke sättas vid en så låg ålder som möjligt, dvs. 13 år.

9.5Överväganden och förslag

Utredningens förslag: Barn som har fyllt 13 år ska själva kunna samtycka till personuppgiftsbehandling i samband med att infor- mationssamhällets tjänster erbjuds direkt till barn.

Inledning

Det finns inget givet svar på frågan vid vilken ålder ett barn själv bör kunna samtycka till att dess personuppgifter behandlas vid erbjudan- det av informationssamhällets tjänster. Det är dessutom, som framgår av avsnitt 9.4.3, fortfarande oklart vilka situationer som kommer att träffas av bestämmelsen i artikel 8.1. Svårigheterna med att sätta en åldersgräns följer också av det faktum att tjänsternas utformning varierar och ständigt utvecklas, även avseende den behandling av per- sonuppgifter som sker inom ramen för sådana tjänster. Dataskydds- förordningen ger dock inget utrymme för en differentierad ålders- gräns eller en situations- eller individanpassad bedömning. Den fråga som vi har att ta ställning till är om åldersgränsen ska vara 16 år eller om den ska vara lägre än så, dock lägst 13 år.

153

Barns samtycke som rättslig grund

SOU 2017:39

Det finns inte någon sedan tidigare lagreglerad åldersgräns inom detta område att jämföra med, vare sig på EU-nivå eller i svensk rätt. Inte heller finns det något närliggande rättsområde som direkt skulle kunna användas som förebild. Det finns däremot andra länder där det har fastställts en åldersgräns för när ett giltigt samtycke till behand- ling av personuppgifter kan ges. Som exempel kan nämnas USA, där gränsen är 13 år.27

I kommissionens förslag till dataskyddsförordning den 25 januari 2012 var åldersgränsen satt till 13 år.28 Även Europaparlamentets lag- stiftningsresolution den 12 mars 2014 utgick från åldersgränsen 13 år.29 Europeiska datatillsynsmannen har också ansett att ålders- gränsen borde vara 13 år.30 I Rådets generella ståndpunkt inför den så kallade trepartsdialogen med parlamentet och kommissionen angavs däremot ingen åldersgräns alls. Rådets ståndpunkt var i stället att det endast skulle vara tillåtet att behandla personuppgifter som rör ett barn om och i den mån sådant samtycke ges eller godkänns av den person som har föräldraansvar över barnet eller ges av barnet självt i situationer där det enligt unionslagstiftningen eller medlemsstaternas lagstiftning behandlas som giltigt.31

Först i ett sent skede av trepartsdialogen kom parterna överens om att höja åldersgränsen i artikel 8.1 till 16 år, med en möjlighet för medlemsstaterna att i nationell rätt sänka åldersgränsen till 13 år. Såvitt vi har kunna utröna föregicks denna ändring inte av någon egentlig diskussion i breda kretsar. Vi har därmed inte heller kunna finna någon dokumentation rörande vilka motiv som låg bakom höjningen till 16 år.

27Jfr Children's Online Privacy Protection Act of 1998, 15 U.S.C. 6501–6505.

28Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM[2012] 11 final av den 25 januari 2012).

29Europaparlamentets lagstiftningsresolution av den 12 mars 2014 om kommissionens för- slag enligt föregående fotnot.

30Se bilaga till yttrande 3/2015, Europas stora möjlighet, Europeiska datatillsynsmannens rekom- mendationer om EU:s alternativ för reform av uppgiftsskyddet, s. 13.

31Rådets dokument 9565/15.

154

SOU 2017:39

Barns samtycke som rättslig grund

Harmonisering som skäl

Dataskyddsförordningen syftar till att harmonisera regelverken rörande personuppgiftsbehandling inom EU. Det kan tyckas anmärk- ningsvärt att medlemsstaterna just när det gäller barns samtycke ges frihet att avvika i så stor utsträckning som förordningen öppnar för. Åldersgränsen kan sättas vid 16, 15, 14 eller 13 år. Vi är tveksamma till att en stor variation på detta område gynnar skyddet för barnens integritet. Dessutom blir regelverken svårare för tjänstetillhandahål- larna att tillämpa om staternas lagstiftning föreskriver olika ålders- gränser. Det finns emellertid, innan vi lämnar vårt betänkande, ingen möjlighet att förutse hur frekvent det kommer att bli att medlems- staterna väljer att använda det utrymme att sänka åldersgränsen som ges i bestämmelsen i artikel 8.1 i förordningen. Även om vi i Sverige skulle välja att behålla den i förordningen satta åldersgränsen, för att så långt som möjligt försöka uppnå en harmonisering, är det alltså i nuläget långt ifrån säkert att detta skulle bli effekten. Detta är således inte i sig ett tungt vägande skäl för att behålla den i förordningen föreskrivna 16-årsgränsen.

Risker och skyddsmekanismer

Integritetskommittén har haft i uppdrag att utifrån ett individper- spektiv kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan finnas i samband med användning av informationsteknik (dir. 2014:65). Kommittén bedömde att användningen av vissa sociala medier innebär en allvarlig risk för den personliga integriteten, bland annat eftersom det i prak- tiken är omöjligt för användare att avgöra för vilka ändamål uppgif- terna som samlas in kommer att användas. Kommittén pekade bland annat på riskerna för att uppgifterna sprids vidare till andra företag men också på att omfattande uppgifter om användarna riskerar att komma underrättelsetjänster i tredje länder till del.32

Integritetsriskerna för barn som använder informationssamhällets tjänster är i första hand kopplade till att ett samtycke i de flesta fall innebär att en stor mängd uppgifter om barnet kan lagras och spridas i marknadsföringssyfte. Direktmarknadsföring är ofta ett grundläg-

32 SOU 2016:41 s. 395 f.

155

Barns samtycke som rättslig grund

SOU 2017:39

gande inslag i affärsmodellen för sociala nätverkstjänster och andra typer av informationssamhällets tjänster.33 Användarnas personupp- gifter samlas in och sparas, bland annat för att beteendebaserad reklam ska kunna riktas till var och en. Detta kan betraktas som en slags kartläggning av användarnas personliga förhållanden, i den mån de kommer till uttryck i deras aktiviteter online, t.ex. vid användning av en söktjänst eller ett socialt media. En sådan kartläggning kan, sär- skilt om den pågår under lång tid, i sig medföra stora risker för intrång i den personliga integriteten.

Att förstå i vilken utsträckning och för vilket syfte person- uppgifter behandlas i samband med att en tjänst erbjuds och används kräver en hög grad av insikt och mognad. Vilka personuppgifter som behandlas och hur dessa sedermera kommer att användas av tjänste- leverantören och andra parter är svårt för tjänsteleverantören att beskriva på ett enkelt och begripligt sätt. Det är som regel komplex och svår information att ta till sig även för en vuxen. Det är också svårt att utifrån den information som ges förstå och värdera riskerna med personuppgiftsbehandlingen. Det finns dessutom en risk att yngre barn, för att inte bli utanför den sociala gemenskapen, sam- tycker till en mycket omfattande personuppgiftsbehandling utan att förstå innebörden av ett sådant beslut.

När det gäller riskerna kopplade till marknadsföring har artikel 29- gruppen ansett att personuppgiftsansvariga särskilt bör avhålla sig från att behandla barns uppgifter för ändamål som direkt eller indi- rekt rör beteendebaserad marknadsföring, eftersom detta skulle ligga utanför ett barns begreppsram och därför överskrida gränsen för laglig uppgiftsbehandling.34 I skäl 38 till dataskyddsförordningen anges vidare att skydd för barns personuppgifter i synnerhet bör gälla när uppgifterna används i marknadsföringssyfte, när personlighets- och användarprofiler skapas samt när personuppgifter om barn sam- las in då tjänster som erbjuds direkt till barn utnyttjas. Det finns också olika branschöverenskommelser som syftar till att hindra att barns personuppgifter används i marknadsföringssyfte. Enligt svensk rätt strider det även som huvudregel mot god marknadsföringssed att rikta direktreklam till barn under 16 år.

33Artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 10, och artikel 29- gruppens yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer.

34Artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 25.

156

SOU 2017:39

Barns samtycke som rättslig grund

När det gäller barns begränsade förmåga att förstå konsekvenserna av ett samtycke innehåller dataskyddsförordningen som nämnts tidi- gare ett antal bestämmelser och skäl som särskilt syftar till att värna barns intressen vid personuppgiftsbehandling. Artikel 12.1 och skäl 58 ger uttryck för att information och kommunikation som rik- tar sig till barn ska utformas på ett tydligt och enkelt språk som barnet lätt kan förstå. Av definitionen i artikel 4.11 av begreppet sam- tycke samt av skäl 32 till förordningen framgår vidare att ett sam- tycke ska vara ett frivilligt, specifikt, informerat och otvetydigt med- givande från den registrerades sida. Detta innebär att det ställs höga krav på tjänstetillhandahållarna att utforma informationen om vad ett samtycke innebär, särskilt i förhållande till barn, om samtycket ska ses som giltigt i förordningens mening.

Sammantaget bör den lagstiftning och branschpraxis som redan finns på marknadsföringsområdet, tillsammans med dataskyddsför- ordningens allmänna bestämmelser, utgöra relativt effektiva skydds- mekanismer för att förhindra omfattande insamling och annan behandling av barns personuppgifter i marknadsföringssyfte. Förord- ningen tillhandahåller också vissa skyddsmekanismer som balanserar riskerna med att barn lämnar samtycke till omfattande behandling utan att förstå vad det innebär, bland annat genom rätten till radering enligt artikel 17.1 f.

Sammanfattande bedömning

Det förhållandet att en åldersgräns införs innebär normalt inte att barn och unga med en ålder under gränsen kommer att utestängas från möjligheten att använda informationssamhällets tjänster. Ålders- gränsen innebär dock att en förälder kommer att behöva antingen samtycka till att personuppgifter som avser barnet behandlas eller godkänna det av barnet lämnade samtycket. Eftersom ett barn som regel inte kan använda sociala medier och liknande tjänster om inte samtycke till behandling av personuppgifter ges, blir detta krav i praktiken en inskränkning i barnets rätt att fritt söka information och uttrycka sig i olika sammanhang. Det innebär också en begränsning av barnets självbestämmanderätt.

Barn i Sverige har i dag en hög medievana. Tillgången till infor- mation via söktjänster och deltagandet i olika onlineaktiviteter har

157

Barns samtycke som rättslig grund

SOU 2017:39

stor samhällelig och social betydelse för barn och unga. Det är ett sätt att skapa och behålla kontakt med kamrater, delta i politiska och andra diskussionsforum, söka information till skolarbeten, spela spel, se på film och lyssna på musik. En hög åldersgräns för när ett barn själv kan ge giltigt samtycke till personuppgiftsbehandling kan leda till att barn i mitten av sin tonårstid utestängs från möjligheten till social och kulturell samvaro inom ramen för det som avses med informationssamhällets tjänster, om dess vårdnadshavare inte sam- tycker till den personuppgiftsbehandling som krävs för att barnet ska kunna använda tjänsten. Denna oönskade effekt måste vägas emot de integritetsvinster som en hög åldersgräns skulle kunna ge.

Det har varit svårt att, inom den korta tid vi haft till vårt förfo- gande för uppdraget, klarlägga alla de omständigheter som bör påver- ka valet av åldersgräns. Rättsområdet är dessutom outforskat i Sverige eftersom någon liknande reglering, som skulle kunna tjäna som förebild, inte finns. Det saknas därför erfarenhet som skulle kunna ge indikationer på vilka konsekvenser de olika åldersgränserna skulle kunna ge.

En åldersgräns om 15 år är vanlig i svensk rätt när det gäller barns rätt till självbestämmande. Av harmoniseringsskäl framstår det dock inte ändamålsenligt att endast avvika från förordningens reglering med ett år och införa en åldersgräns som det kan befaras endast kom- mer att gälla i Sverige.

Med utgångspunkt i det som hittills har framkommit anser vi dessutom att övervägande skäl talar för att det i nuläget inte bör gälla en hög åldersgräns. Vi har då beaktat det skydd för barns per- sonuppgifter som ges genom dataskyddsförordningens övriga bestäm- melser och annan lagstiftning, t.ex. på marknadsföringsområdet. Vi har också vägt in att det i nuläget är oklart hur äktheten av föräld- rarnas samtycke ska kunna verifieras vilket medför att effektiviteten kan ifrågasättas. Det skulle kunna leda till att integritetsskyddet uteblir, i fall då personuppgifterna borde skyddas men barnet utger sig för att vara föräldern som samtycker. En förslagenhet av barnet i det avseendet kan antas öka med stigande ålder. Detta ska vägas mot att en hög åldersgräns för när föräldrarna måste samtycka kan komma att hindra barn från att använda tjänsterna om barnet lyder föräld- rarna trots att det uteblivna samtycket inte är motiverat av integri- tetsskäl. Vi känner därför tveksamhet i fråga om en hög åldersgräns leder till ett så ökat integritetsskydd att det motiverar den begräns-

158

SOU 2017:39

Barns samtycke som rättslig grund

ning av barns rätt till självbestämmande och yttrande- och informa- tionsfrihet som en sådan åldersgräns skulle föranleda. Därtill kommer att det i dag inte finns någon åldersgräns alls i nu aktuellt avseende, vilket talar för att lagstiftning på området bör införas med försik- tighet och inte omfatta mer än vad som kan anses absolut motiverat.

Vi anser därför att åldersgränsen för när barn ska kunna samtycka till personuppgiftsbehandling vid erbjudande av informationssam- hällets tjänster bör vara så låg som förordningen medger. Vi föreslår således att åldersgränsen i Sverige i nuläget sätts till 13 år.

Om det under den fortsatta beredningen av detta betänkande, eller efter det att dataskyddsförordningen har börjat gälla, skulle visa sig att flertalet av de övriga medlemsstaterna har valt en 16-årsgräns eller en 15-årsgräns, kan det enligt vår mening finnas skäl att överväga frå- gan på nytt. Detsamma gäller om det skulle visa sig att det skydd som förordningens övriga bestämmelser, i kombination med övrig lag- stiftning rörande bland annat marknadsföring, inte i tillräckligt hög grad skyddar barn från det integritetsintrång som kan uppstå på grund av en omfattande personuppgiftsbehandling i samband med erbjudandet av informationssamhällets tjänster direkt till barn.

159

Barns samtycke som rättslig grund

SOU 2017:39

160

10 Känsliga personuppgifter

10.1Vårt uppdrag

Enligt kommittédirektiven ska vi överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga per- sonuppgifter i artikel 9.1 som bör finnas i den generella regleringen. För att vissa av undantagen som föreskrivs i artikel 9.2 i förordningen ska vara tillämpliga krävs enligt direktiven att grunden för sådana behandlingar kommer till uttryck i unionsrätten eller nationell rätt.

Utgångspunkten bör enligt direktiven vara att det även i fort- sättningen kommer att behövas vissa bestämmelser om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i personuppgiftslagen och personuppgiftsförordningen. Det ingår därför i uppdraget att analysera hur sådana bestämmelser kan utformas i den kompletterande regleringen.

10.2Dataskyddsförordningen

I dataskyddsförordningens artikel 9.1 stadgas ett förbud mot att be- handla särskilda kategorier av personuppgifter. Det gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexual- liv eller sexuella läggning.

Ett liknande förbud finns i artikel 6 i dataskyddskonventionen och i artikel 8.1 i dataskyddsdirektivet. Något färre kategorier omfattas där av förbudet; genetiska och biometriska uppgifter liksom uppgifter om sexuell läggning är nya kategorier som lagts till i dataskyddsför- ordningen.

161

Känsliga personuppgifter

SOU 2017:39

I såväl direktivets som förordningens artikeltext omnämns de uppgifter som omfattas av förbudet som särskilda kategorier av per- sonuppgifter. I förordningens skäl 10 och 51 omnämns de i stället som känsliga respektive särskilt känsliga uppgifter. I personuppgifts- lagen har särskilda kategorier av personuppgifter kallats känsliga per- sonuppgifter, utan att detta närmare har kommenterats i motiven. Det begreppet är enligt vår mening tydligare än särskilda kategorier av uppgifter, och får numera anses inarbetat även på EU-nivå.1 Vi kommer därför fortsättningsvis att använda begreppet känsliga per- sonuppgifter.

Förordningens förbud kompletteras liksom i direktivet av en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förbudet i sig är direkt tillämpligt genom förordningen och kräver alltså inga åtgärder av medlemsstaterna. Vissa av undantagen innehåller dock hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder måste vidtas på nationell nivå för att undantagen ska vara tillämpliga.

10.3Vad betyder kravet på stöd i nationell rätt?

Utredningens bedömning: Kravet på stöd i nationell rätt inne- bär att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering.

Artikel 9 i förordningen lyder i sin helhet som följer. Hänvisningar till reglering på medlemsstatsnivå har kursiverats.

1.Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behand-

lingen av dessa personuppgifter för ett eller flera specifika ändamål,

1 Se bland annat artikel 29-gruppens Advice paper on special categories of data (”sensitive data”.

162

SOU 2017:39

Känsliga personuppgifter

utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b)Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämp- liga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c)Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registre- rade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personupp- gifterna inte lämnas ut utanför det organet utan den registrerades sam- tycke.

e)Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.

g)Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h)Behandlingen är nödvändig av skäl som hör samman med före- byggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förut- sättning att de villkor och skyddsåtgärder som avses i punkt 3 är upp- fyllda.

i)Behandlingen är nödvändig av skäl av allmänt intresse på folk- hälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produk- ter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

163

Känsliga personuppgifter

SOU 2017:39

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ända- mål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rät- ten till dataskydd och innehålla bestämmelser om lämpliga och sär- skilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3.Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4.Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Det är alltså i artikel 9.2 a (samtycke), b (arbetsrätt m.m.), g(viktigt allmänt intresse), h (hälso- och sjukvård), i (folkhälsa)och j (arkiv och statistik) samt i artikel 9.3 och 9.4 som hänvisningar finns till medlemsstaternas nationella rätt. Bestämmelserna innehåller också krav på någon form av skyddsåtgärder. Formuleringarna skiljer sig något åt. I vissa fall krävs lämpliga skyddsåtgärder (artikel 9.2 b), i andra lämpliga och särskilda åtgärder (artikel 9.2 g och 9.2 j) eller lämpliga och specifika åtgärder (artikel 9.2 i).

Det är inte helt klart vilken innebörd hänvisningarna till och kra- ven på nationell rätt har eller vilken betydelse det har att de utformats på olika sätt. Det finns några uttalanden i förordningens skäl som rör känsliga personuppgifter och kraven på stöd i nationell rätt. I skäl 10 sägs att förordningen är avsedd att ge medlemsstaterna handlingsut- rymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs när- mare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. Skäl 51 och 52 rör också känsliga personuppgifter. Nämnda skäl är inte helt entydiga, men i skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs (when provided for) i unionsrätten eller i med- lemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder.

164

SOU 2017:39 Känsliga personuppgifter

I rådets ståndpunkt inför antagandet av förordningen (dok 5419/1/16 REV 1 ADD 1) sägs angående undantag från förbu- det att behandla känsliga personuppgifter att sådana undantag tillåts om behandlingen i fråga grundar sig på unionsrätten eller med- lemsstaternas nationella rätt.

Inte heller ovan nämnda formuleringar ger något klart och enty- digt svar på frågan vad hänvisningarna till nationell rätt innebär. Texten i skäl 52 skulle kunna tala för att undantagen i sig måste tas in i nationell rätt för att bli tillämpliga, medan en mer enhetlig tolkning av förordningens artikel 6 och artikel 9 möjligen talar för att det sna- rare är verksamheten i sig som ska vara reglerad (jämför avsnitt 8.3.1).

Oavsett hur hänvisningarna till nationell rätt i artikel 9 ska tolkas menar vi, mot bakgrund av uttalandena i skäl 10, att en reglering och specificering av undantagen på nationell nivå inte är oförenlig med förordningen. Här beaktar vi också skrivningarna i skäl 8, där det tyd- liggörs att förordningen medger att medlemsstaterna i viss utsträck- ning införlivar delar av förordningen i nationell rätt. I vissa fall, såsom när det gäller undantaget för viktiga allmänna intressen, talar också förordningens krav på särskilda skyddsåtgärder för att såväl undan- taget som skyddsåtgärderna bör regleras och preciseras i nationell rätt för att få någon substans.

Det är inte självklart att de undantag som i så fall föreskrivs måste finnas i dataskyddslagen. Av formuleringarna i skäl 10 framgår att de närmare villkoren för sådan behandling får regleras på mer detaljerad nivå, vilket öppnar för en sektorsspecifik reglering. Det faktum att förordningens formuleringar angående stödet i nationell rätt och de skyddsåtgärder medlemsstaterna förväntas uppställa varierar i de olika undantagen, liksom undantagens skilda karaktär, gör att det för vart och ett av undantagen bör göras en bedömning av behovet och lämp- ligheten av en generell reglering i dataskyddslagen. För att tydliggöra förhållandet mellan de undantag från förbudet att behandla känsliga personuppgifter som bedöms lämpliga att föra in i dataskyddslagen och de direkt tillämpliga undantag som gäller enligt förordningens artikel 9.2 bör en upplysningsbestämmelse tas in i dataskyddslagen.

Överväganden och förslag när det gäller behandling av känsliga personuppgifter för arkiv- och statistikändamål finns i avsnitt 14.

165

Känsliga personuppgifter

SOU 2017:39

10.4Den registrerades samtycke

10.4.1Gällande rätt

I dataskyddsdirektivets artikel 8.2 a stadgas en möjlighet för medlems- staterna att lagstifta bort verkan av den registrerades samtycke när det gäller känsliga personuppgifter. Vid införandet av personuppgifts- lagen ansåg Datalagskommittén att den enskilde, vars integritet ska skyddas, själv bör få avgöra om en behandling av hans eller hennes uppgifter får ske.2 Regeringen ansåg inte heller att det fanns något integritetsskyddsintresse som gjorde det befogat att förbjuda en behandling som den registrerade och den personuppgiftsansvarige var överens om. Det infördes därför varken någon sådan bestämmelse i lag eller någon möjlighet för regeringen eller Datainspektionen att föreskriva något förbud mot behandling trots den registrerades sam- tycke.3

10.4.2Överväganden

Utredningens bedömning: Den registrerades uttryckliga sam- tycke bör även fortsättningsvis medföra att känsliga personupp- gifter får behandlas.

I förordningens artikel 9.2 a finns liksom i dataskyddsdirektivet en möjlighet för medlemsstaterna att föreskriva att den registrerade inte kan samtycka till behandling av känsliga personuppgifter. Något som talar för att det nu bör införas ett förbud mot behandling trots den registrerades samtycke har inte framkommit. Vi instämmer därför i de skäl som anförts i motiven till personuppgiftslagen. Att behand- ling av känsliga personuppgifter får ske då den registrerade har lämnat sitt samtycke framgår direkt av artikel 9.2 a och behöver inte före- skrivas. Det innebär att vi bedömer att någon nationell reglering inte bör införas på grund av artikel 9.2 a.

2SOU 1997:39 s. 373.

3Prop. 1997/98:44 s. 69.

166

SOU 2017:39

Känsliga personuppgifter

10.5Arbetsrätt, social trygghet och socialt skydd

10.5.1Gällande rätt

Dataskyddsdirektivet föreskriver ett undantag från förbudet mot behandling av känsliga personuppgifter på arbetsrättens område i arti- kel 8.2 b. Artikeln har genomförts i svensk rätt genom punkt a i 16 § första stycket PUL. Där framgår det att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten.

Datalagskommittén ansåg att i stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande de anställda och deras organi- sationer borde kunna innefattas i uttrycket inom arbetsrätten, exem- pelvis behandling i samband med sjuklön och rehabilitering av arbets- tagare. Även skyldigheter och rättigheter för fackliga organisationer i förhållande till arbetsgivare och deras organisationer borde enligt kommittén innefattas. De skyldigheter och rättigheter som avsågs var enligt kommittén sådana som åligger den personuppgiftsansvarige enligt lag, myndighetsbeslut, kollektivavtal eller andra avtal.4

Enligt artikel 8.2 b i direktivet måste den nationella lagstiftningen också föreskriva lämpliga skyddsåtgärder. Vid genomförandet av direktivet ansågs att en tillräcklig skyddsåtgärd var att föreskriva att de behandlade uppgifterna fick lämnas ut till tredje man bara om det finns en uttrycklig skyldighet för den persondataansvarige att göra det inom arbetsrätten eller den registrerade har samtyckt till utläm- nandet.5 En sådan bestämmelse infördes i 16 § andra stycket PUL.

10.5.2Överväganden och förslag

Utredningens förslag: Känsliga personuppgifter ska få behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Uppgifter ska få lämnas ut till tredje part endast om det finns en skyldighet inom arbetsrätten

4SOU 1997:39 s. 372 f.

5SOU 1997:39 s. 375.

167

Känsliga personuppgifter

SOU 2017:39

för den personuppgiftsansvarige att göra det, eller om den registre- rade uttryckligen har samtyckt till utlämnandet.

Utredningens bedömning: Något undantag för behandling av känsliga personuppgifter på områdena social trygghet och socialt skydd bör inte införas i dataskyddslagen.

I dataskyddsförordningen har direktivets bestämmelse om undantag för att den personuppgiftsansvarige ska kunna fullgöra rättigheter och skyldigheter inom arbetsrätten utvidgats, till att avse även den registrerades rättigheter och skyldigheter samt områdena social trygg- het och socialt skydd (artikel 9.2 b). Förordningen förtydligar också att behandlingen kan vara tillåten enligt kollektivavtal. Förordningen förutsätter liksom direktivet att lämpliga skyddsåtgärder fastställs, med tillägget att skyddsåtgärderna ska säkerställa den registrerades grundläggande rättigheter och intressen. Undantaget gäller i den omfattning behandlingen är tillåten enligt nationell rätt och under för- utsättning att lämpliga skyddsåtgärder som säkerställer den registre- rades grundläggande rättigheter och intressen fastställs.

Arbetsrätt

Undantaget avseende arbetsrätt är tillämpligt generellt i alla sektorer av samhället. Det finns i dag inte någon sektorsspecifik reglering som kan utgöra grund för sådan behandling som avses i artikeln, och inte heller någon generellt tillämplig reglering om tystnadsplikt eller andra bestämmelser som tillgodoser förordningens krav på skyddsåtgärder.

För att möjliggöra sådan nödvändig behandling som avses i arti- keln och samtidigt tillgodose kravet på skyddsåtgärder menar vi att det finns behov av en generell reglering även fortsättningsvis. En begränsning av möjligheten att lämna ut uppgifter till utomstående framstår som en i sammanhanget effektiv och lämplig skyddsåtgärd. Med de justeringar som föranleds av förordningstexten framstår där- för en liknande bestämmelse som den som finns i punkten a i 16 § första stycket PUL samt andra stycket i samma paragraf som lämplig.

Termen arbetsrätt i detta sammanhang har en EU-rättslig inne- börd, men bör enligt vår mening i avvaktan på närmare vägledning ges den tolkning som den har vid tillämpningen av personuppgiftslagen.

168

SOU 2017:39

Känsliga personuppgifter

Den skyldighet att lämna ut personuppgifter som avses i 16 § andra stycket PUL måste enligt motiven framgå av lagstiftning, myndig- hetsbeslut eller av ett muntligt eller skriftligt avtal.6 Detsamma bör gälla även fortsättningsvis. Att undantaget i artikel 9.2 b gäller även behandling som sker enligt kollektivavtal framgår direkt av artikel- texten. Bestämmelsen i artikeln innebär också att lämpliga skydds- åtgärder måste framgå av avtalet.

Begreppet tredje part har i förordningen ersatt begreppet tredje man och bör alltså användas i den reglering vi föreslår. Tredje part definieras i förordningens artikel 4.10 som en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller per- sonuppgiftsbiträdets direkta ansvar är behöriga att behandla per- sonuppgifterna. Detta innebär exempelvis att en arbetsgivares utläm- nande till en facklig organisation omfattas av den föreslagna regle- ringen om utlämnande.

Social trygghet och socialt skydd

Det är inte helt klart vad som avses med tilläggen social trygghet och socialt skydd i artikel 9.2 b (på engelska social security and social protection law, och på franska le droit de la sécurité sociale et de la protection sociale). Skäl 52 i förordningen indikerar att undantaget är avsett att omfatta ”behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner”.

Begreppet sociallagstiftning brukar i svensk rätt avse lagstiftning som socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare och lagen om stöd och service till vissa funktionshindrade. Begreppet social trygghet i artikeltexten och omnämnandet av pensioner i skäl 52 skulle också kunna tala för att behandling av personuppgifter på socialförsäkrings- området, dvs. avseende sjukförsäkringar, pensioner och föräldraför- säkring, omfattas av undantaget. Personuppgiftsbehandling på dessa områden är i dag reglerad i sektorsspecifik lagstiftning.7

6Prop. 1997/98:44 s. 124.

7Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och 114 kap. social- försäkringsbalken.

169

Känsliga personuppgifter

SOU 2017:39

Sociallagstiftning och den lagstiftning som återfinns på socialför- säkringsområdet tycks sakligt sett ligga långt ifrån arbetsrätten, vilket talar emot att det skulle vara behandling av uppgifter i sådan verk- samhet som avses i detta sammanhang. Behandling av känsliga per- sonuppgifter i sådan verksamhet bör kunna ske med stöd av den reglering vi föreslår för myndigheters behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse, i den mån den inte är sektorsspecifikt reglerad. Det kan exempelvis noteras att i direktivets skäl 34 tas sjukförsäkringar upp som ett sådant viktigt allmänt intresse som avses i direktivets motsvarande bestämmelse. Någon lik- nande skrivning finns dock inte i förordningen.

Vi bedömer det mot bakgrund av ovanstående som osannolikt att artikeln skulle vara avsedd att täcka personuppgiftsbehandling inom de områden som motsvarar den svenska sociallagstiftningen eller lagstiftningen på socialförsäkringsområdet.

Med tanke på det sammanhang där begreppen social trygghet och socialt skydd förekommer bedömer vi i stället att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare, fack- förbund eller arbetsgivarorganisationer ska kunna erbjuda eller för- medla pensioner och försäkringar med anknytning till den registre- rades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Den behandling av känsliga personupp- gifter som är nödvändig hos en arbetsgivare för sådana syften torde i dag i många fall kunna ske med stöd av undantaget om arbetsrätt i punkten a i 16 § första stycket PUL.

Vår bedömning är att den behandling som tillåts i artikel 9.2 g inom områdena social trygghet och socialt skydd i många fall kom- mer att kunna ske med stöd av undantaget som rör arbetsrätt eller undantaget som rör viktiga allmänna intressen. Om inget av dessa undantag är tillämpliga torde behandlingen i vissa situationer i stället kunna ske med stöd av samtycke. Vi ser inget behov av att i data- skyddslagen, på generell nivå, införa denna del av det aktuella undantaget. Av förordningens artikel 9.2 b framgår som nämnts ovan att behandling enligt undantaget bara gäller i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller enligt ett kollektivavtal. Vår bedömning är därför att förordningen inte hindrar att undantaget endast införs delvis i nationell rätt. Om begreppen social trygghet och socialt skydd skulle visa sig få en annan

170

SOU 2017:39

Känsliga personuppgifter

EU-rättslig innebörd än vad som förutsatts här, får vår nationella reglering ses över för att säkerställa att förordningens krav efterlevs.

10.6Viktigt allmänt intresse

10.6.1Gällande rätt

Av artikel 8.4 i dataskyddsdirektivet framgår att undantag från för- budet mot behandling av känsliga personuppgifter får göras av hän- syn till ett viktigt allmänt intresse, förutsatt att sådana undantag för- ses med lämpliga skyddsåtgärder. Det finns ingen legaldefinition eller exemplifiering av vad som avses med skyddsåtgärder i direktivet. Med stöd av artikeln har olika typer av undantag införts i medlemsstaterna, bland annat för behandling av känsliga personuppgifter i myndig- heters verksamhet, på bankområdet och för att främja jämställdhet och social trygghet.8

I personuppgiftslagen har undantaget som rör viktiga allmänna intressen genomförts dels genom regleringen av behandling för forsknings- och statistikändamål i 19 § PUL, dels genom ett bemyn- digande i 20 § PUL för regeringen eller den myndighet som reger- ingen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. När det gäller bemyn- digandet i 20 § PUL resoneras inte närmare i motiven kring vilka skyddsåtgärder som krävs när regeringen eller Datainspektionen med- delar föreskrifter. Det konstateras bara att regeringen och inspek- tionen måste hålla sig inom den ram som direktivet ställer upp.9

Bemyndigandet i 20 § PUL har bland annat utnyttjats genom att det har införts en bestämmelse i 8 § PUF om att känsliga person- uppgifter får behandlas av en myndighet i löpande text om uppgif- terna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen gäller utöver den behandling som är tillåten enligt den så kallade missbruksregeln i 5 a § PUL och undantagen i 15–19 §§ PUL. Bestämmelsen i 8 § PUF har inte ansetts omfatta så kallad faktisk verksamhet som en myndighet bedriver.10 Med faktisk verksamhet kan avses t.ex. viss vård och behandling, rådgivning,

8Artikel 29-gruppens Advice paper on special categories of data (”sensitive data”), s. 7.

9SOU 1997:39 s. 329.

10SOU 2015:39 s. 304.

171

Känsliga personuppgifter

SOU 2017:39

uppföljning eller samverkan utan ärendeanknytning. Behandling av känsliga personuppgifter som förekommer i sådan verksamhet häm- tar sannolikt sitt stöd i missbruksregeln i 5 a § PUL.

Det finns också andra exempel än 8 § PUF på när bemyndigandet har utnyttjats för att på förordningsnivå föreskriva att myndigheter får behandla känsliga personuppgifter, t.ex. i 9 § förordning- en (2002:710) med instruktion för Folke Bernadotteakademin, samt 6 och 7 §§ förordningen (2006:275) om behandling av personuppgifter i utrikesförvaltningens konsulära verksamhet. Det har också före- kommit att regeringen beslutat om bestämmelser om privata aktörers behandling av känsliga personuppgifter på grund av viktiga allmänna intressen med stöd av 20 § PUL, exempelvis 3 kap. 13 § läkemedels- förordningen (2015:458), där det stadgas att innehavare av ett godkännande eller en registrering för försäljning av läkemedel får utföra behandling av personuppgifter som rör hälsa om det är nöd- vändigt för att de ska kunna fullgöra vissa skyldigheter.

Även i övrigt har artikel 8.4 i direktivet utgjort grund för bestäm- melser i en mängd sektorsspecifika författningar, vilka medger be- handling av känsliga personuppgifter på olika områden. Bland annat har tillsynsverksamheten hos Inspektionen för socialförsäkringen ansetts utgöra ett viktigt allmänt intresse, liksom att socialtjänsten kan utföra sina arbetsuppgifter på ett tillfredsställande sätt.11 I svensk rätt har alltså begreppet viktigt allmänt intresse ansetts omfatta även sådan verksamhet som innefattar myndighetsutövning.

10.6.2Överväganden och förslag

Utredningens förslag: Särskilda undantag från förbudet mot behandling av personuppgifter bör införas för myndigheter.

Myndigheter ska få behandla känsliga personuppgifter i löpan- de text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Vidare ska myndigheter och andra organ som omfattas av offentlighetsprincipen få behandla känsliga personuppgifter om dessa har lämnats till myndigheten eller orga- net och behandlingen krävs enligt lag. Dessutom ska myndigheter i enstaka fall få behandla känsliga personuppgifter om det är abso-

11 Prop. 2000/01:80 s.144 och SOU 2014:67 s. 112.

172

SOU 2017:39

Känsliga personuppgifter

lut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Ett förbud för myndigheter att använda sökbegrepp som av- slöjar känsliga personuppgifter ska också införas, i fall då behand- lingen sker enbart med stöd av de nämnda undantagen.

Regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

Begreppet viktigt allmänt intresse

Av artikel 9.2 g framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av nationell rätt. Samtidigt förekommer begrep- pet allmänt intresse i artikel 6.1 e. Båda begreppen är unionsrättsliga, och finns även i dataskyddsdirektivet (artiklarna 7 e och 8.4). Olika varianter på begreppen återfinns, förutom i de nämnda artiklarna, i artikel 23.1 e och artikel 49 d i dataskyddsförordningen. Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är dock inte definierat i vare sig dataskyddsdirektivet eller dataskyddsförord- ningen, och begreppens innebörd har inte heller utvecklats av EU- domstolen.

I avsnitt 8.3.4 bedömer vi att det med hänsyn till svensk förvalt- ningstradition är rimligt att anta att alla uppgifter som utförs av stat- liga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse, och att de obligatoriska uppgifter som utförs av kommuner och landsting till följd av deras åligganden enligt lag eller förordning, är av allmänt intresse i dataskyddsförord- ningens mening.

Det kan noteras att i kommissionens ursprungliga förordnings- förslag föreslogs att begreppet allmänt intresse skulle användas i artikel 9, i stället för viktigt allmänt intresse. Ordet ”viktigt” fördes dock tillbaka under förhandlingarna i rådet. Detta talar för att begreppet i artikel 9 är något snävare än begreppet i artikel 6.

Det är svårt att på ett generellt plan definiera vad som skiljer en uppgift av allmänt intresse enligt artikel 6.1 e från sådana viktiga all- männa intressen som kan motivera behandling av känsliga person-

173

Känsliga personuppgifter

SOU 2017:39

uppgifter enligt artikel 9.2 g. Utgångspunkten för våra fortsatta över- väganden när det gäller myndigheters behandling är att det måste anses utgöra ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras upp- drag på ett korrekt, rättssäkert och effektivt sätt. Vilken behandling av känsliga personuppgifter som är nödvändig av hänsyn till detta intresse får bedömas när myndigheternas behandling av personupp- gifter blir föremål för författningsreglering nationellt. Vi avser att återkomma till den frågan nedan, när det gäller hur ett generellt till- lämpligt undantag för myndigheter bör utformas i dataskyddslagen. Det kan dock finnas anledning att erinra om att även om viss behand- ling av känsliga personuppgifter är tillåten enligt dataskyddslagen eller sektorsspecifik reglering måste den i det enskilda fallet också leva upp till dataskyddsförordningens krav i övrigt, exempelvis prin- ciperna för behandling i artikel 5.

Förordningens krav på skyddsåtgärder förklaras inte närmare i förordningstext eller skäl. Artikel 29-gruppen har inför dataskydds- reformen efterfrågat en definition av begreppet och exemplifieringar av sådana åtgärder, men någon definition har inte införts i förord- ningen.

En särskild myndighetsreglering

Myndigheter har ofta berättigade skäl att behandla känsliga person- uppgifter, och i många fall sker behandlingen i den registrerades eget intresse. Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna. I många fall finns sådana regler i sektorsspecifika författningar. Det behov av att behandla känsliga personuppgifter som därutöver finns hos myndigheter är i dag tillgodosett genom att viss behandling är tillåten enligt 8 § PUF och genom missbruksregeln i 5 a § PUL. Vi bedömer att det även fortsättningsvis finns behov av generellt tillämpliga undantag, som ska gälla i de fall där sektorsspecifik regle- ring saknas.

Förordningens krav på att behandlingen ska vara nödvändig för ett viktigt allmänt intresse utgör en grundläggande begränsning av myn- digheternas möjligheter till behandling. Det är inte helt klart i vilken mån kravet på nödvändighet innebär något ytterligare för myndig-

174

SOU 2017:39

Känsliga personuppgifter

heternas del än det nödvändighetskrav som återfinns redan i villkoren för laglig behandling i artikel 6.1 c och e i dataskyddsförordningen. Sannolikt innebär kravet på nödvändighet i artikel 9 enbart en erinran om att behovet av att behandla just de känsliga personuppgifterna ska prövas mot det något striktare kravet på ”viktigt allmänt intresse”. I detta sammanhang förtjänar det att påpekas att unionsrättsligt har nödvändighetsrekvisitet inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas.12

Informationshanteringsutredningen föreslog en bestämmelse om behandling av känsliga personuppgifter hos myndigheter av följande lydelse. 13

Utöver vad som följer av 15, 16, 18 och 19 §§ personuppgiftslagen (1998:204) får känsliga personuppgifter behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det eller om uppgifterna behandlas endast i löpande text.

Utredningen menade bland annat att förslaget skulle tillgodose beho- vet av en reglering som möjliggör behandling av känsliga person- uppgifter inom ramen för ett ärendehanteringssystem, oavsett om de förekommer i löpande text eller inte. Förslaget innebar också att missbruksregeln inte skulle tillämpas på myndigheters behandling av känsliga personuppgifter.

Förslaget kritiserades av flera remissinstanser, bland andra Data- inspektionen och Advokatsamfundet. Datainspektionen ansåg att begränsningen till vad som är nödvändigt för handläggningen av ett ärende inte innebar en tillräckligt restriktiv utformning av bestäm- melsen eftersom det potentiella integritetsintrånget skulle bero på hur myndigheterna väljer att avgränsa sina ärenden. Inspektionen kritiserade också att förslaget inte innehöll någon begränsning till uppgifter i löpande text. Advokatsamfundet menade att den nuva- rande regleringen i 8 § PUF borde ha tagits in oförändrad i förslaget.

Mot bakgrund av den remisskritik som uttalats mot Informations- hanteringsutredningens förslag är vår utgångspunkt att någon större utvidgning av myndigheternas möjligheter att behandla känsliga per- sonuppgifter inte bör införas genom den dataskyddslag vi föreslår. En

12Dom Huber mot Tyskland, C-524/06, EU:C:2008:724.

13SOU 2015:39 s. 39, 10 § i förslaget till myndighetsdatalag.

175

Känsliga personuppgifter

SOU 2017:39

tydligt utvidgad möjlighet att behandla känsliga personuppgifter hos myndigheter måste föregås av en mer ingående analys av kon- sekvenserna ur ett integritetsperspektiv, som vi inte bedömer är möj- lig att genomföra inom ramen för vårt uppdrag.

Behandling i löpande text

I dag har myndigheter enligt 8 § PUF möjlighet att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detta möj- liggör till exempel att känsliga personuppgifter får finnas i skälen till ett beslut, när det krävs för att beslutet ska uppfylla kraven enligt för- valtningslagen (1986:223). Med de avgränsningar bestämmelsen har till myndigheters ärendehandläggning bedömer vi att sådan behand- ling får anses nödvändig av hänsyn till ett viktigt allmänt intresse och att den bör möjliggöras genom en bestämmelse i dataskyddslagen.14 Begränsningen till löpande text bör dock inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande. Skyddet för uppgifterna bör i stället upprätthållas genom ett sökförbud, se nedan.

Behandling som krävs på grund av annan lag

Att myndigheterna ska kunna sköta sitt uppdrag på ett korrekt, rätts- säkert och effektivt sätt måste som vi konstaterat tidigare anses vara ett viktigt allmänt intresse. Detta förutsätter att den grundlagsstad- gade handlingsoffentligheten och andra lagstadgade skyldigheter upp- rätthålls. Viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av exempelvis tryck- frihetsförordningens, offentlighets- och sekretesslagens och förvalt- ningslagens krav när det gäller inkomna handlingar, såsom krav på diarieföring och skyldighet att ta emot e-post. Myndigheternas skyl- digheter enligt nämnda lagar är inte begränsade till behandling som sker inom ramen för ärendehandläggning eller i löpande text. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myn- digheter, som en följd av att dessa organ jämställs med myndigheter

14 En liknande bedömning gjordes i SOU 2004:6 s. 115 f.

176

SOU 2017:39

Känsliga personuppgifter

enligt offentlighets- och sekretesslagen. Sådan behandling bör ut- tryckligen tillåtas i dataskyddslagen så att det inte råder någon tvek- samhet kring lagligheten av behandlingen.

Absolut nödvändig behandling i andra fall

Behandling av känsliga personuppgifter kan vidare vara berättigad även i vissa situationer utöver behandling i löpande text med koppling till ett visst ärende, eller då behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i faktisk verksamhet såsom i kommunikation mellan skola och föräldrar eller inom en myndighet i samband med utvärdering. Enligt nuvarande ordning ges möjlighet till sådan behandling med stöd av missbruksregeln i 5 a § PUL, vilken bland annat innebär att behandling får ske i ostrukturerat material om den inte innebär en kränkning av den registrerades personliga integri- tet. Denna formulering i 5 a § PUL innebär att bedömningen ska ta sin utgångspunkt i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas och vilken spridning uppgifterna har fått.15 Formuleringen har också ansetts medföra att en intresseavvägning måste ske i det enskilda fallet.16

Vår utgångspunkt är att dataskyddslagen bör ge utrymme för behandling i motsvarande situationer efter en prövning i det enskilda fallet. Behandlingen måste dock regleras på ett sätt som beaktar för- ordningens krav på proportionalitet och skyddsåtgärder. För att upp- nå detta i en bestämmelse som avser samtliga myndigheter är det vår bedömning att regleringen bör innehålla vissa klart begränsande rekvisit. Det bör därför framgå av författningstexten att undantaget ska gälla för behandling i enstaka fall.

Ett rekvisit som använts såväl i unionsrätten som i svensk rätt för att markera restriktivitet är begreppet absolut nödvändigt. Begreppet ska inte förväxlas med det unionsrättsliga begreppet nödvändigt, vilket som nämnts tidigare har fått en något annorlunda betydelse än det har i svenskt språkbruk (jfr avsnitt 8.2.2).

Begreppet absolut nödvändigt återfinns bland annat i artikel 10 och artikel 39.1 a i det nya dataskyddsdirektivet (”strictly necessary” i

15Prop. 2005/06:173 s. 59.

16Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till

5a § PUL.

177

Känsliga personuppgifter

SOU 2017:39

den engelska versionen). Av skäl 72 i nya dataskyddsdirektivet fram- går att man med rekvisitet absolut nödvändigt i artikel 39.1 a – som rör överföring av uppgifter till mottagare som är etablerade i tredje- länder − avsett att regleringen ska tillämpas restriktivt ochinte möj- liggöra upprepade, omfattande, strukturella eller storskaliga över- föringar. Det finns också ett flertal exempel på hur begreppet absolut nödvändigt har använts i svensk rätt i sektorsspecifika författningar som har antagits på senare tid, exempelvis i 2 kap. 8 § åklagardata- lagen (2015:433) och 15 § utlänningsdatalagen, för att markera sär- skild restriktivitet och betona vikten av en prövning i det enskilda fal- let.

Vår avsikt är att markera att behandling av känsliga personupp- gifter i här aktuella fall bara ska ske efter en noggrann prövning i det enskilda fallet. Enligt vår bedömning ger rekvisitet absolut nöd- vändigt uttryck för den avsikten på ett rättvisande sätt.

Prövningen bör också ske med beaktande av vilket intrång be- handlingen utgör i den registrerades integritet. Vi föreslår därför att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades identitet. Begreppet otillbörligt intrång används bland annat i 19 § andra stycket PUL, och förekom redan i 3 § datalagen (1973:289).

Av 3 § datalagen och motiven till den bestämmelsen framgår att det vid bedömningen av om en behandling utgjorde ett otillbörligt intrång skulle läggas vikt vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kunde antas ha till att upp- gifter om dem behandlades, den spridning de skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsända- målet.17 Sådana aspekter bör vara vägledande även vid tillämpningen av den bestämmelse vi föreslår. Den närmare betydelsen av begreppet otillbörligt intrång bör dock inte slås fast, utan ges utrymme att utvecklas i rättstillämpningen. Om en domstol skulle bedöma att en absolut nödvändig behandling ändå utgör ett otillbörligt intrång och därmed inte är tillåten, bör lagstiftaren överväga om ett sektors- specifikt undantag med mer precisa avvägningar och begränsningar behövs för att myndigheten ska kunna bedriva sin verksamhet på det aktuella området.

17 Prop. 1973:33 s. 94 f.

178

SOU 2017:39

Känsliga personuppgifter

Sökförbud

Eftersom den reglering vi föreslår för myndigheters behandling av känsliga personuppgifter inte är avgränsad till visst område, viss verk- samhet eller en viss typ av ärenden bedömer vi att ytterligare åtgärder bör införas för att leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

En vanligt förekommande skyddsåtgärd i befintliga sektorsspeci- fika författningar är sökbegränsningar. Vi menar att en sökning som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.

Ett sådant sökförbud innebär i svensk rätt också att offent- lighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att samman- ställningen inte anses förvarad hos myndigheten. Att sammanställ- ningar av känsliga personuppgifter inte lämnas ut framstår som en inte obetydlig integritetsvinst för de registrerade. Det bör dock under- strykas att begränsningsregeln inte hindrar att sökningar görs i fär- diga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar. Sökning får alltså på begäran ske i upptagningar där myn- digheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.

Med beaktande av vad som nämnts ovan om skyddseffekterna av ett sökförbud föreslår vi att myndigheters möjligheter att använda sökbegrepp som avslöjar känsliga personuppgifter ska begränsas. Ett alternativ vi har övervägt är att föreslå ett generellt sökförbud för myndigheter, oavsett på vilket undantag de stödjer sin behandling. Konsekvenserna av ett generellt tillämpligt sökförbud är dock svåra att överblicka, såväl vad gäller effekterna på handlingsoffentligheten som när det gäller myndigheternas praktiska verksamhet. Det är

179

Känsliga personuppgifter

SOU 2017:39

vidare tveksamt om ett sökförbud som gäller även för behandling som sker med stöd av direkt tillämpliga undantag i artikel 9 skulle vara förenligt med förordningen.

Vi har mot denna bakgrund bedömt att sökförbudet bör begränsas till fall då behandlingen sker enbart med de generella myndighets- undantagen som grund. Det innebär exempelvis att sökförbudet inte kommer att gälla när behandling sker i myndigheters personal- administrativa verksamhet med stöd av det föreslagna undantaget på arbetsrättens område. I praktiken kan sökförbudets utformning där- för komma att få effekter på hur myndigheterna organiserar sin per- sonuppgiftsbehandling, genom att hanteringen av personaladmi- nistrativa uppgifter skiljs från behandling som huvudsakligen sker med stöd av de generella myndighetsundantagen. Detta torde dock vara fallet redan i dag, eftersom uppgifter i den personaladministrativa verksamheten omfattas av särskilda sekretessregler och som regel behandlas av en begränsad krets personer. Vår bedömning är att mer- parten av den behandling av känsliga personuppgifter som sker i myndigheternas verksamhet i övrigt kommer att behöva ske med stöd av de föreslagna myndighetsundantagen, när sektorsspecifik reg- lering inte finns.

Sökförbudet bör omfatta alla typer av tekniska åtgärder som inne- bär att uppgifter används för att strukturera eller systematisera infor- mation så att känsliga personuppgifter avslöjas.

Sektorsspecifik reglering och normnivå

De här föreslagna undantagen är avsedda att vara generellt tillämpliga regler som ska gälla för myndigheter i verksamhet som inte har någon sektorsspecifik reglering av sin behandling av känsliga personupp- gifter. Det kan finnas anledning att för vissa sektorer närmare preci- sera och avgränsa möjligheterna att behandla känsliga personupp- gifter mer än i de här föreslagna undantagen. Ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dessa undantag medger, exempelvis ett behov av att använda sök- begrepp som avslöjar känsliga personuppgifter, kommer också att finnas i vissa verksamheter. Det finns då, precis som i dag, möjlighet att införa sektorsspecifik reglering som är mer tillåtande − exempelvis genom undantag från sökförbudet − så länge dessa undantag utfor-

180

SOU 2017:39

Känsliga personuppgifter

mas så att de är förenliga med regeringsformens och dataskyddsför- ordningens bestämmelser. En viktig aspekt att beakta är då givetvis förordningens krav på proportionalitet, förenlighet med det väsent- liga innehållet i rätten till dataskydd och kravet på skyddsåtgärder. I detta sammanhang förtjänar det återigen att påpekas att all behand- ling, även sådan behandling av känsliga personuppgifter som har stöd i sektorsspecifik författning, måste leva upp till förordningens krav i det enskilda fallet, exempelvis de grundläggande kraven på behandling i artikel 5.

Den enda generella reglering av myndigheternas behandling av känsliga personuppgifter som finns i dag är föreskriven på förord- ningsnivå (8 § PUF). Vi anser dock att de undantag vi föreslår för myndigheters behandling av känsliga personuppgifter bör regleras i lag. Vi bedömer i och för sig inte att de nu föreslagna undantagen är av sådant slag att de måste regleras i lag enligt 2 kap. 6 och 20 §§ regeringsformen. Bestämmelsen i 8 kap. 2 § 2 regeringsformen ger vidare möjlighet att meddela undantag från förbudet mot behandling av känsliga personuppgifter med stöd i ett bemyndigande, se avsnittet nedan. Med tanke på att de undantag vi föreslår för myndigheternas behandling av känsliga personuppgifter gäller generellt, utan begräns- ning till viss typ av verksamhet eller vissa typer av ärenden, är det ändå lämpligt att regleringen får lagform.

Bemyndigande som möjliggör ytterligare undantag

Bemyndigandet i 20 § PUL har som nämnts ovan utnyttjats i flera fall för att föreskriva i förordning att behandling för viktiga allmänna intressen får ske utöver undantaget för myndigheters behandling i 8 § PUF, bland annat för att reglera privata aktörers behandling av känsliga personuppgifter. Det kommer att finnas ett fortsatt behov av att i förordning kunna föreskriva undantag för viktiga allmänna intressen för vissa tydligt avgränsade ändamål eller för vissa särskilda verksamheter, utöver de generella undantag för myndigheter som vi föreslår. På grund av att den så kallade missbruksregeln i 5 a § PUL inte längre kommer att kunna utgöra stöd för behandling när förord- ningen börjar tillämpas, kommer sannolikt behovet av ytterligare undantag att öka.

181

Känsliga personuppgifter SOU 2017:39

Frågan är då om ett bemyndigande krävs för att åstadkomma en sådan möjlighet. I motiven till personuppgiftslagen har det ansetts att reglering som rör i vilka konkreta fall viktiga allmänna intressen gör det befogat att känsliga personuppgifter behandlas trots det gene- rella förbudet mot behandling av sådana uppgifter, är sådana offent- ligrättsliga föreskrifter som tillhör det primära lagområdet men som kan meddelas efter delegation enligt nuvarande 8 kap. 2 § 2 och 3 § regeringsformen.18

Vi instämmer i den bedömning som har gjorts tidigare. Eftersom ett principiellt förbud mot behandling av känsliga personuppgifter gäller till skydd för enskilda, innebär en reglering som möjliggör behandling av just känsliga personuppgifter enligt vår mening ett sådant ingrepp i enskildas personliga förhållanden som enligt 8 kap. 2 § 2 regeringsformen ska ha stöd i ett bemyndigande. Några problem med det befintliga bemyndigandet till regeringen har inte framkom- mit. Vi föreslår därför att ett bemyndigande för regeringen att före- skriva om undantag förs in i dataskyddslagen. Eftersom regeringen hittills inte har sett anledning att utnyttja möjligheten i 20 § PUL att bemyndiga Datainspektionen att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslår vi ingen sådan möjlighet.

När nya undantag övervägs med stöd av bemyndigandet måste en noggrann bedömning göras av om lagform ändå krävs enligt 2 kap. 6 och 20 §§ regeringsformen. Det måste också säkerställas att förord- ningens krav i övrigt, bland annat när det gäller skyddsåtgärder, är uppfyllda.

10.7Hälso- och sjukvård och social omsorg

10.7.1Gällande rätt

Dataskyddsdirektivets undantag för behandling av känsliga person- uppgifter på hälso- och sjukvårdsområdet (artikel 8.3) har följande lydelse.

Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller

18 Prop. 1997/98:44 s. 59 f och SOU 1997:39 s. 328.

182

SOU 2017:39

Känsliga personuppgifter

när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är under- kastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

Bestämmelsen har genomförts i 18 § PUL. I första stycket stadgas att känsliga personuppgifter får behandlas för hälso- och sjukvårdsända- mål, om behandlingen är nödvändig för förebyggande hälso- och sjuk- vård, medicinska diagnoser, vård eller behandling, eller administration av hälso- och sjukvård. Bestämmelsen anses täcka nästan all behand- ling av personuppgifter som förekommer inom hälso- och sjukvårds- området. Bland annat har internationellt folkhälsoarbete, kvali- tetshöjande behandling av personuppgifter, debitering av avgifter och tillsyn över hälso- och sjukvård ansetts omfattas av bestämmelsen.

I andra stycket första meningen samma paragraf stadgas att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt även får behandla sådana känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller enligt andra meningen i samma stycke den som är underkastad en liknande tyst- nadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet. I bestämmelsen uppställs inget krav på att uppgifterna ska behandlas för hälso- och sjukvårds- ändamål. Det krav som ställs i praktiken är alltså i stället att den person som behandlar uppgifterna omfattas av tystnadsplikt enligt 25 kap. 1 § OSL, eller enligt 12 § patientsäkerhetslagen (2010:659), antingen direkt eller genom att tystnadsplikten överförts i sådana fall som avses i 11 kap. OSL. Den svenska implementeringen av direk- tivet genom 18 § andra stycket PUL har fått kritik för att den innebär en väsentlig utvidgning i förhållande till direktivet. Detta kan bero på att den svenska versionen av direktivet är felöversatt. Enligt de engelsk- och franskspråkiga versionerna av direktivet gäller kravet på tystnadsplikt utöver kravet på att behandlingen ska ske för de särskilt angivna hälso- och sjukvårdsändamålen.19

Bestämmelsen i 18 § andra stycket andra meningen PUL om den som har fått uppgifter från en verksamhet inom hälso- och sjukvårds- området infördes efter remissynpunkter för att genomföra direktivets bestämmelse om behandling av en annan person som är ålagd en

19 SOU 2006:82 s. 175 och Rynning, Förvaltningsrättslig tidskrift 2003 s. 112.

183

Känsliga personuppgifter

SOU 2017:39

liknande tystnadsplikt som yrkesverksamma på hälso- och sjukvårds- området. Syftet var att reglera situationer när känsliga personupp- gifter lämnas av en myndighet inom hälso- och sjukvården till forsk- ningsverksamhet eller verksamhet för tillsyn eller revision hos annan myndighet.20

I dag regleras behandling av personuppgifter inom hälso- och sjukvården framför allt i patientdatalagen. Behandling av uppgifter om känsliga personuppgifter i den verksamheten anses ske med stöd av ändamålsbestämmelserna i 2 kap. 4 och 7 §§ nämnda lag.21 I 2 kap. 8 § patientdatalagen finns också en bestämmelse som reglerar möj- ligheterna att använda känsliga personuppgifter som sökbegrepp. Patientdatalagen reglerar inte behandling av känsliga personuppgifter som sker hos tillsynsmyndigheterna på hälso- och sjukvårdsområdet, dvs. exempelvis Datainspektionen, Socialstyrelsen och Inspektionen för vård och omsorg. Sådan behandling sker direkt med stöd av 18 § PUL.

10.7.2Överväganden och förslag

Utredningens förslag: Känsliga personuppgifter ska få behandlas för sådana ändamål relaterade till hälso- och sjukvård samt social omsorg som avses i dataskyddsförordningen, under förutsättning att förordningens krav på tystnadsplikt är uppfyllt.

I artikel 9.2 h i dataskyddsförordningen har några ytterligare verk- samhetstyper lagts till den uppräkning av verksamheter som anges i direktivets motsvarande artikel i hälso- och sjukvårdsundantaget, nämligen yrkesmedicin, bedömningen av en arbetstagares arbetskapa- citet och social omsorg. Sannolikt omfattar tillägget avseende arbets- kapacitet behandling av uppgifter relaterade till sjukskrivning och rehabilitering på arbetet och begreppet social omsorg snarast uppgif- ter som utförs av socialtjänsten.

Vissa justeringar i artikeltexten i övrigt har också gjorts. Begreppet vård har ersatts med tillhandahållande av hälso- och sjukvård och begreppet administration av hälso- och sjukvård har ersatts med för-

20Prop. 1997/98:44 s. 125.

21Prop. 2007/08:126 s. 63 och 230 f.

184

SOU 2017:39

Känsliga personuppgifter

valtning av hälso- och sjukvårdstjänster och deras system. Av dataskyddsförordningens skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bland annat inbegripa behandling som utförs av centrala nationella hälso- vårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Dessutom har direktivets formulering att behandlingen ska vara nödvändig med hänsyn till sådan verksamhet som omnämns i artikeln, bytts ut till att behandlingen ska vara nödvändig av skäl som hör samman med sådan verksamhet.

Av artikel 9.3, som är direkt tillämplig, framgår att behandling av känsliga personuppgifter som avses i artikel 9.2 h får utföras av, eller under ansvar av, personer som omfattas av tystnadsplikt enligt unions- rätten, medlemsstaternas nationella rätt eller bestämmelser som fast- ställs av nationella behöriga organ. I artikeln tydliggörs också att sådan behandling ska ske för de ändamål som nämns i artikel 9.2 h. Förordningens reglering tycks alltså sammanfattningsvis innebära att all behandling enligt artikel 9.2 h förutsätter såväl tystnadsplikt som att behandlingen sker för de särskilt angivna hälso- och sjukvårds- relaterade ändamålen.

Det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter för hälso- och sjukvårdsändamål är reglerade på ett så tydligt sätt som möjligt. Det finns sannolikt även fortsättningsvis ett behov av att detaljreglera de närmare förutsättningarna för behand- ling av personuppgifter på dessa områden, även känsliga person- uppgifter, i sektorsspecifik författning. Det är dock inte självklart att sådana författningar kan och bör reglera även exempelvis tillsyns- myndigheternas behandling. Det har inte framkommit annat under utredningens arbete än att den nuvarande regleringen behövs. Vi menar därför att ett grundläggande undantag när det gäller behand- ling av känsliga personuppgifter i verksamhet på hälso- och sjuk- vårdsområdet och inom social omsorg även fortsättningsvis bör fin- nas i generell reglering, dvs. i dataskyddslagen.

Vi föreslår att den befintliga regleringen i 18 § första stycket PUL används som utgångspunkt, men att ordalydelsen anpassas till de tillägg och justeringar som har gjorts i förordningstexten i arti- kel 9.2 h jämfört med direktivstexten. Känsliga personuppgifter ska alltså få behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagno-

185

Känsliga personuppgifter

SOU 2017:39

ser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg samt förvaltning av social omsorg, hälso- och sjukvårdstjäns- ter och deras system.

Det framgår enligt vår mening tydligt av förordningstexten i arti- kel 9.2 h och artikel 9.3 att all behandling måste ske för de närmare specificerade hälso- och sjukvårdsrelaterade ändamål som nämns i artikel 9.2 h, och att sådan behandling bara får ske av eller under ansvar av en person som omfattas av tystnadsplikt enligt gällande rätt. Eftersom artikel 9.3 i förordningen är direkt tillämplig får den när- mare innebörden av kravet på tystnadsplikt ytterst uttolkas av EU- domstolen. I Sverige regleras tystnadsplikt inom de områden som täcks av artikeln i bland annat 25 och 26 kap. OSL och 6 kap. 12– 16 §§ patientsäkerhetslagen.

Enligt förordningens skäl 53 omfattas behandling av känsliga personuppgifter inom tillsyn över hälso- och sjukvård av artikel 9.2 h. Därmed bör enligt vår bedömning den behandling som åsyftas i 18 § andra stycket PUL kunna omfattas av ordalydelsen i artikel 9.2 h och

9.3i förordningen.

10.8Folkhälsa

10.8.1Gällande rätt

Något särskilt undantag från förbudet mot behandling av känsliga personuppgifter i fråga om behandling för folkhälsoändamål finns inte i dataskyddsdirektivet. I skäl 34 i direktivet nämns i stället folk- hälsa som ett sådant område där ett undantag kan vara motiverat av hänsyn till viktiga allmänna intressen. Internationellt folkhälsoarbete har i svensk rätt ansetts falla in under formuleringen förebyggande hälsovård i 18 § PUL, dvs. det så kallade hälso- och sjukvårdsundan- taget.22

22 Prop. 2005/06:215 s. 47.

186

SOU 2017:39

Känsliga personuppgifter

10.8.2Överväganden

Utredningens bedömning: Något undantag för behandling av känsliga personuppgifter på folkhälsoområdet bör inte införas i dataskyddslagen.

I förordningens artikel 9.2 i finns ett särskilt undantag från förbudet att behandla känsliga personuppgifter som tar sikte på behandling som är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöver- skridande hot mot hälsan eller säkerställa höga kvalitets- och säker- hetsnormer för vård och läkemedel eller medicintekniska produkter. Artikeln innehåller en hänvisning till nationell rätt och ett krav på att lämpliga och specifika åtgärder fastställs för att skydda den registre- rades fri- och rättigheter. Tystnadsplikt framhålls särskilt som en sådan åtgärd som ska fastställas.

I förordningens skäl 54 anges att termen folkhälsa bör tolkas i enlighet med förordning 1338/2008 om gemenskapsstatistik om folk- hälsa och hälsa och säkerhet i arbetet.23 Den definition som anges där är mycket vid och omfattar ”alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktions- hinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker”.

Folkhälsoarbete anses i Sverige vara tvärsektoriellt och involverar såväl Folkhälsomyndighetens arbete som arbete inom kommuner, landsting och länsstyrelser. Hos Folkhälsomyndigheten ligger en stor del av arbetet med att säkerställa ett skydd mot allvarliga gräns- överskridande hot mot hälsan.24 Uppgiften att säkerställa kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter ligger i Sverige främst hos Läkemedelsverket och Social- styrelsen.

Det är oklart om förordningens undantag på folkhälsoområdet egentligen innebär ökade möjligheter att behandla känsliga person-

23Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet.

242 § förordningen (2013:1021) med instruktion för Folkhälsomyndigheten.

187

Känsliga personuppgifter

SOU 2017:39

uppgifter jämfört med direktivet. Undantaget infördes under förord- ningens behandling i rådet, och fanns alltså inte med i kommissionens ursprungliga förslag. Något liknande förslag har inte heller framförts av Europaparlamentet eller den europeiska datatillsynsmannen under arbetet med förordningen.

Behandling av känsliga personuppgifter på folkhälsoområdet sker i dag antingen med stöd av undantaget avseende behandling inom hälso- och sjukvården eller med stöd av undantaget som avser be- handling av hänsyn till ett viktigt allmänt intresse. En stor del av den verksamhet som bedrivs på folkhälsoområdet i Sverige innebär till exempel behandling för statistikändamål, och har ansetts kunna ske med stöd av 19 § PUL, som i sin tur har införts med stöd av direk- tivets undantag av hänsyn till ett viktigt allmänt intresse. Det har inte framkommit att Folkhälsomyndigheten, Läkemedelsverket, Social- styrelsen eller kommuner och landsting har upplevt att stöd saknas för den behandling av känsliga personuppgifter som måste ske inom nationellt eller internationellt folkhälsoarbete.

Med det krav som finns i artikel 9.2 i på att specifika skyddsåtgär- der ska fastställas bedömer vi att undantaget måste genomföras i nationell rätt för att vara tillämpligt. Vår bedömning är emellertid att den behandling av känsliga personuppgifter som är nödvändig på folkhälsoområdet i många fall kan ske med stöd av de undantag vi föreslår avseende behandling för viktiga allmänna intressen, för statistiska ändamål samt på hälso- och sjukvårdsområdet. Vi bedömer därför att något behov inte finns av ett särskilt undantag i data- skyddslagen för behandling av känsliga personuppgifter på folkhälso- området. Om det finns behov för någon av de myndigheter som arbe- tar inom folkhälsoområdet att ha ytterligare möjligheter att behandla känsliga personuppgifter, bör detta enligt vår mening i första hand övervägas i sektorsspecifik reglering, där en bedömning av befintligt sekretesskydd och behov av andra specifika skyddsåtgärder kan bedö- mas för varje myndighet för sig.

188

11Personuppgifter som rör lagöverträdelser

11.1Vårt uppdrag

Enligt kommittédirektiven ska utredningen analysera i vilken utsträck- ning det bör införas regler i den kompletterande regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kon- troll av en myndighet. En lämplig utgångspunkt för en sådan analys är enligt direktiven den befintliga regleringen om behandling för forsk- ningsändamål och den delegerade föreskriftsrätten i personuppgifts- lagen.

Som framgår av avsnitt 2.2 har vi i samråd med Forskningsdatautred- ningen konstaterat att samtliga frågor rörande behandling av person- uppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautredningen är bäst lämpad att göra den analys och de överväganden som krävs. Vi behandlar därför inte frågan om behandling av uppgifter om lagöverträdelser för forskningsändamål.

Våra överväganden och förslag när det gäller behandling av person- uppgifter som rör lagöverträdelser för arkivändamål av allmänt intres- se finns i avsnitt 14.

11.2Gällande rätt

Uppgifter om lagöverträdelser och liknande uppgifter tillhör inte de sär- skilda kategorier av personuppgifter som omfattas av förbudet i arti- kel 8.1 i dataskyddsdirektivet, men anses ändå vara en kategori person- uppgifter som förtjänar särskilt skydd.1

1 Uppgifter om fällande domar jämställs med känsliga personuppgifter i artikel 6 i dataskyddskonven- tionen.

189

Personuppgifter som rör lagöverträdelser

SOU 2017:39

I direktivet regleras behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder i artikel 8.5. Där stadgas att sådan behandling endast får utföras under kontroll av en myndighet eller med stöd av nationella bestämmelser som innehåller lämpliga och speci- fika skyddsåtgärder. Det stadgas också att ett fullständigt register över brottmålsdomar bara får föras under kontroll av en myndighet. Enligt artikelns andra stycke får medlemsstaterna föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.

Bestämmelsen har genomförts i svensk rätt genom 21 § PUL. Enligt paragrafens första stycke gäller ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Som framgår av 21 § PUL har direktivets formulering ”under kontroll av en myndighet” tolkats som att ett förbud ska gälla för andra än myndigheter att behandla uppgifter om lagöverträdelser.2

I 21 § tredje och fjärde styckena PUL finns bemyndiganden för regeringen eller den myndighet regeringen bestämmer att meddela före- skrifter eller beslut i enskilda fall om undantag från förbudet för enskilda att behandla sådana uppgifter. Datainspektionen har med stöd av ett bemyndigande i 9 § PUF meddelat sådana föreskrifter bland annat för att möjliggöra behandling av enstaka uppgifter som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall, liksom behandling av enstaka uppgifter som är nödvändig för att anmälningsskyldighet enligt lag ska kunna fullgöras.3

Begreppet överträdelser i direktivet har bedömts innebära att det ska vara fråga om överträdelser som är straffsanktionerade, vilket uttryckts i lagtexten som lagöverträdelser som innefattar brott.4 Det är inte helt klart i vilken utsträckning uppgifter som rör misstankar om brott om- fattas. Datalagskommittén menade att uppgifter om faktiska iakttagelser om en persons handlande inte rimligen kunde anses som uppgifter om lagöverträdelser i alla fall.5 Högsta förvaltningsdomstolen har dock utta- lat att behandling av uppgifter om fordon som förekommit i samband

2SOU 1997:39 s. 382 och prop. 1997/98:44 s. 74 f.

3DIFS 2010:1, Datainspektionens föreskrifter om ändring av Datainspektionens föreskrifter (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgif- ter om lagöverträdelser m.m.

4SOU 1997:39 s. 383.

5SOU 1997:39 s. 383.

190

SOU 2017:39

Personuppgifter som rör lagöverträdelser

med obetalda tankningar ska ses som en behandling av personuppgifter om lagöverträdelser.6

Uttrycken straffprocessuella tvångsmedel och administrativa frihets- berövanden i 21 § PUL är avsedda att motsvara uttrycken säkerhets- åtgärder och administrativa sanktioner i direktivet.7 Med administrativa frihetsberövanden avses exempelvis frihetsberövanden enligt lagen om psykiatrisk tvångsvård, lagen om vård av missbrukare och lagen med sär- skilda bestämmelser om vård av unga, liksom uppgifter om frihets- berövande av utlänningar enligt 10 kap. utlänningslagen (2005:716). Möj- ligheten att reglera uppgifter om avgöranden i tvistemål har inte utnytt- jats. Den reglering som fanns i kreditupplysningslagen ansågs tillräcklig.8

11.3Dataskyddsförordningen

I förordningen används delvis andra formuleringar än i dataskydds- direktivet. Artikel 10 lyder som följer.

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt arti- kel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fast- ställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Inledningsvis kan konstateras att tillämpningsområdet begränsats till enbart fällande brottmålsdomar. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed samman- hängande säkerhetsåtgärder får enligt artikeln utföras under kontroll av myndighet. Begreppet ”under kontroll av myndighet” definieras inte. Det används också i sista meningen i artikel 10, där det stadgas att full- ständiga register över fällande domar i brottmål endast får föras under sådan kontroll. Utöver behandling under kontroll av en myndighet kan ytterligare behandling tillåtas i unionsrätten eller medlemsstaternas nationella rätt om lämpliga skyddsåtgärder för de registrerades rättig- heter och friheter fastställs.

6HFD 2016 ref. 8.

7Prop. 1997/98:44 s. 74 f.

8Prop. 1997/98:44 s. 75.

191

Personuppgifter som rör lagöverträdelser

SOU 2017:39

Begreppet lagöverträdelser har ersatts med överträdelser i den svenska språkversionen. I den engelska versionen används begreppet criminal convictions and offences och i den franska versionen condamnations pénales et aux infractions. Inga skäl finns i förordningen, som skulle kunna klargöra om avsikten är någon saklig skillnad jämfört med direk- tivet. Såväl den engelska som den franska textversionen av förordningen talar för att det som avses med termen överträdelser är överträdelser som innefattar brott.

Innebörden av det tillägg i form av en hänvisning till artikel 6.1 som införts i artikeltexten är oklar, men kan möjligen tolkas som en erinran om att behandlingen i fråga måste uppfylla kraven i nämnda artikel i förordningen.

En betydande skillnad i förordningen jämfört med direktivet är att någon möjlighet för medlemsstaterna att på denna grund begränsa behandlingen av personuppgifter om avgöranden i tvistemål och admi- nistrativa sanktioner inte finns.

11.4Överväganden och förslag

Utredningens förslag: Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel ska få behandlas av myndigheter. Datainspektionen ska i enskilda fall få besluta om att tillåta sådan behandling för andra än myndigheter.

Vissa bestämmelser som tillåter andra än myndigheter att behand- la motsvarande uppgifter ska föras in i förordningen till dataskydds- lagen. Regeringen eller, efter bemyndigande från regeringen, Data- inspektionen ska få meddela ytterligare sådana föreskrifter.

Utredningens bedömning: Det finns inte stöd i förordningen för att föreskriva ett förbud mot behandling av personuppgifter om admi- nistrativa frihetsberövanden.

De delar av artikel 10 som rör behandling av uppgifter om fällande domar i brottmål, överträdelser och därmed sammanhängande säker- hetsåtgärder under kontroll av en myndighet är direkt tillämpliga. Det är emellertid av stor vikt att regleringen i artikel 10, även vad avser myn- digheters behandling, tydliggörs så långt möjligt i nationell rätt. Behand-

192

SOU 2017:39

Personuppgifter som rör lagöverträdelser

ling av sådana uppgifter torde allmänt anses som integritetskänslig, och risken för missbruk, exempelvis genom otillbörlig spridning på internet, framstår som stor. Behandling i strid med artikel 10 kommer enligt vårt förslag vidare att kunna föranleda att sanktionsavgifter påförs (se av- snitt 18.6.4).

Förordningens skäl 8 ger uttryck för att medlemsstaterna får inför- liva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Vi menar att ett sådant införlivande skulle fylla en viktig funktion när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bland annat för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser. Vår bedömning är därför att första ledet i för- ordningens artikel 10 bör införlivas i svensk rätt.

Begreppet överträdelser bedömer vi som nämnts ovan som likvärdigt med direktivets begrepp lagöverträdelser, vilket i personuppgiftslagen tolkades som lagöverträdelser som innefattar brott. Detta överens- stämmer också med den engelska och franska versionen av förordningen. För att inte riskera en alltför vid tolkning av ordet överträdelser i svensk rätt bör därför begreppet lagöverträdelser som innefattar brott användas även fortsättningsvis. I vilken utsträckning misstankar om brott om- fattas av begreppet överträdelser i förordningen framgår inte av artikel- text eller skäl. I avvaktan på klargörande EU-rättslig praxis bedömer vi att misstankar om brott bör omfattas i samma utsträckning som de gör enligt personuppgiftslagen.

Begreppet säkerhetsåtgärder bedömdes i nu aktuellt avseende som likvärdigt med straffprocessuella tvångsmedel vid genomförandet av direktivet.9 Slutsatsen motiverades inte närmare, men ligger språkligt väl i linje med i vart fall den engelska språkversionen av förordningen. Efter- som säkerhetsåtgärder används i en annan betydelse på flera håll i förordningen − exempelvis i artiklarna30.1 g och 35.7 d − anser vi att begreppet straffprocessuella tvångsmedel bör användas i författnings- texten även fortsättningsvis.

Som nämnts ovan är innebörden av begreppet under kontroll av en myndighet inte helt klar. Vår bedömning är att det inte kan avse enbart ett krav på att den personuppgiftsansvarige allmänt står under tillsyn av en myndighet. All behandling av personuppgifter enligt förordningen är

9 Prop. 1997/98:44 s. 74.

193

Personuppgifter som rör lagöverträdelser

SOU 2017:39

föremål för tillsyn såväl på nationell som på EU-nivå. Eftersom förande av regelrätta register över fällande domar i brottmål enligt förordningen får ske under kontroll av en myndighet kan begreppet rimligen inte tolkas alltför vitt.

Vi menar att det finns goda skäl att anta att uttrycket framför allt är avsett att begränsa rätten att behandla uppgifter till behandling av upp- gifter som utförs av myndigheter och att detta tydligt bör framgå av den svenska regleringen. Liksom när det gäller behandling av känsliga per- sonuppgifter förtjänar det att påpekas i detta sammanhang att all behandling av personuppgifter, även behandling av uppgifter om lag- överträdelser hos myndigheter, måste leva upp till förordningens krav i det enskilda fallet, exempelvis de grundläggande kraven på behandling i artikel 5. Att det tydliggörs i dataskyddslagen att myndigheter generellt tillåts behandla uppgifter om lagöverträdelser innebär alltså inte att sådan behandling alltid är tillåten i det enskilda fallet.

Uttrycket ”under kontroll av myndighet” utesluter inte enligt sin ordalydelse att behandling får ske utanför myndighetssfären. För sådan behandling kan den kontroll av myndighet som förutsätts enligt förord- ningen enligt vår mening upprätthållas genom att den får ske med stöd av särskilda beslut som fattas av tillsynsmyndigheten. Besluten bör lämp- ligen förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering. Behandlingen blir därmed föremål för särskilda tillsynsinsatser, och kan således anses ske under kontroll av en myndighet. Ett beslut om att tillåta behandling av uppgifter om lagöver- trädelser i enskilda fall bör, mot bakgrund av uppgifternas integritets- känsliga karaktär, bara meddelas om intresset av sådan behandling väger tyngre än de registrerades intresse av att behandling inte sker. Vidare innebär inte ett sådant beslut att den personuppgiftsansvarige fritas från sitt ansvar att se till att behandlingen i det enskilda fallet lever upp till förordningens krav, exempelvis de grundläggande kraven på behandling i artikel 5.

Dataskyddsförordningen ger ett alternativ till att behandlingen får ske under kontroll av myndighet, nämligen att behandlingen på annan grund är tillåten enligt nationell rätt förutsatt att lämpliga skyddsåt- gärder fastställs. Enligt vår mening är det inte lämpligt eller ens möjligt att i den generella lagen föreskriva närmare vilken reglering som skulle behövas på detta område. I stället bör det övervägas i särskild ordning där behovet särskilt kan analyseras från fall till fall. En lämplig lösning är därför ett bemyndigande för regeringen och vidare till Datainspektionen att meddela föreskrifter om i vilka fall andra än myndigheter får behandla

194

SOU 2017:39

Personuppgifter som rör lagöverträdelser

uppgifter om lagöverträdelser. För att sådana ska vara förenliga med förordningen förutsätts att lämpliga skyddsåtgärder fastställs i föreskrif- terna.

Sammanfattningsvis menar vi att bestämmelser som så långt data- skyddsförordningen medger motsvarar de som finns i 21 § första, tredje och fjärde stycket PUL bör föras in i dataskyddslagen. Som framgått ovan föreslår vi emellertid en reglering som inte längre uttrycks som ett generellt förbud med möjligheter till undantag, på det sätt som 21 § PUL har utformats. Denna skillnad mot personuppgiftslagen sammanhänger med den något ändrade tolkningen av begreppet ”under kontroll av myndighet”, som vi alltså menar bör ges en självständig betydelse när det gäller möjligheten att behandla uppgifter om lagöverträdelser utanför myndighetssfären. I ljuset av detta delvis förändrade synsätt framstår det enligt vår mening som naturligt att utrymmet för att tillåta andra än myndigheter att behandla uppgifter om lagöverträdelser blir något mindre begränsat än tidigare. I detta sammanhang bör nämnas att beho- ven av särskilda föreskrifter eller beslut torde öka som en följd av att den så kallade missbruksregeln i 5 a § PUL försvinner.

Vi bedömer till exempel att det kan finnas behov av tydligare stöd för behandling av uppgifter om lagöverträdelser i brottsanmälningar och i viss advokatverksamhet. Det har under utredningen också framkommit behov av en föreskrift som tillåter behandling av sådana uppgifter om lagöverträdelser som måste behandlas till följd av rättsliga förpliktelser. I det sammanhanget har det nämnts att sådana förpliktelser exempelvis skulle kunna förekomma i reglering som syftar till att bekämpa t.ex. korruption, terrorism, finansiering av grov brottslighet och olämplig spridning av vapenteknologi. Vi har visserligen inte haft möjlighet att närmare utreda i vilken utsträckning sådana rättsliga förpliktelser redan förekommer och om de i så fall står i strid med dataskyddsförordningens och de föreslagna bestämmelserna i dataskyddslagen om behandling av personuppgifter som rör lagöverträdelser. Vi kan dock konstatera att den typen av normkonflikt skulle vara problematisk. Mot denna bakgrund föreslår vi att bestämmelserna i 1 § d) och e) i Datainspektionens före- skrifter (DIFS 1998:3) om undantag från förbudet för andra än myn- digheter att behandla personuppgifter om lagöverträdelser m.m., i den lydelse som fastställts genom DIFS 2010:1, bör utvidgas något och föras in i förordningen till dataskyddslagen, tillsammans med en ny bestäm- melse som tillåter nödvändig behandling av motsvarande uppgifter vid polisanmälningar om misstanke om brott.

195

Personuppgifter som rör lagöverträdelser

SOU 2017:39

Som framgått ovan finns det inte stöd i förordningens artikel 10 för något förbud motsvarande det som nu gäller för andra än myndigheter att behandla uppgifter om administrativa frihetsberövanden. Vissa såda- na uppgifter skulle kunna omfattas av förbudet mot att behandla käns- liga personuppgifter i artikel 9.1, exempelvis om de också avslöjar upp- gifter om etniskt ursprung eller psykisk ohälsa. Regleringen i artiklarna 5 och 6 innebär vidare att privata subjekt i praktiken ändå torde ha begrän- sade möjligheter att behandla sådana uppgifter.

196

12Personnummer och samordningsnummer

12.1Vårt uppdrag

I 22 § PUL finns en särskild bestämmelse om när personnummer eller samordningsnummer får behandlas. Bestämmelsen innebär att upp- gifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ända- målet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Enligt dataskyddsförordningen får medlems- staterna fastställa särskilda villkor för sådan behandling. Vårt uppdrag i denna del innebär att vi ska överväga om det även fortsättningsvis bör finnas sådana särskilda villkor för behandling av personnummer eller samordningsnummer.

12.2Gällande rätt

22 § PUL har genomförts med stöd av artikel 8.7 i dataskyddsdirek- tivet, där det föreskrivs att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Bestämmelsen behöver inte tillämpas vid sådan behandling av personuppgifter i ostrukturerat material som avses i 5 a § PUL. En motsvarande bestämmelse om användningen av personnummer fanns i 7 § andra stycket datalagen. Den bestämmelsen fördes i princip oförändrad över till personupp- giftslagen.

De villkor som uppställs i paragrafen innebär att uppgifter om per- sonnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behand- lingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

197

Personnummer och samordningsnummer

SOU 2017:39

För en personuppgiftsansvarig som inte fått samtycke till behand- ling av personnummer eller samordningsnummer innebär bestäm- melsen att denne själv måste göra den intresseavvägning som framgår av bestämmelsen. Den personuppgiftsansvarige torde också ha bevis- bördan för att det finns sådana omständigheter som gör att uppgifter om personnummer eller samordningsnummer får behandlas.

Exempel på hur lagstiftaren har gjort motsvarande avvägningar finns i flera av de lagstiftningsärenden rörande sektorspecifika för- fattningar där en hänvisning till 22 § PUL har tagits in. Med hänsyn framför allt till vikten av en säker identifiering har det exempelvis ansetts motiverat att behandla personnummer i polisens, Migrations- verkets och domstolarnas verksamhet, liksom i vårdregister, rätts- psykiatriska forskningsregister och inom socialtjänsten.1

I 50 § c PUL finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen enligt 16 § PUF, att meddela närmare föreskrifter om i vilka fall använd- ning av personnummer är tillåten. Några sådana föreskrifter har inte meddelats av Datainspektionen. Det är däremot relativt vanligt med sektorsspecifika förordningsbestämmelser om behandling av personnummer och samordningsnummer, såsom till exempel 3 § 1 förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Det är dock inte helt klart om den bestämmelsen har ansetts stödja sig på bemyndigandet i 50 § c PUL, eller om den har föreskrivits med stöd av regeringens restkompetens enligt 8 kap. 7 § 2 regeringsformen.

12.3Dataskyddsförordningen

Dataskyddsförordningen ger medlemsstaterna möjlighet att bestäm- ma särskilda villkor för när ett nationellt identifikationsnummer eller annat vedertaget sätt för identifiering får behandlas (artikel 87). Enligt förordningen ska villkoren i sådana fall säkerställa att identifikations- uppgifterna bara får användas med iakttagande av lämpliga skydds- åtgärder för de registrerades fri- och rättigheter. Något uttryckligt sådant krav fanns inte enligt dataskyddsdirektivet.

1 Prop. 1997/98:108 s. 73 f., prop. 1998/99:72 s. 44, prop. 2000/01:80 s. 144, prop. 2009/10:85 s. 84, prop. 2014/15:148 s. 51 och prop. 2015/16:65 s. 49 f.

198

SOU 2017:39

Personnummer och samordningsnummer

12.4Överväganden och förslag

Utredningens förslag: Uppgifter om personnummer eller sam- ordningsnummer ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen ska få meddela ytterligare föreskrifter om behandling av uppgifter om personnummer och samordningsnummer.

Den nuvarande regleringen i 22 § PUL ger uttryck för att behand- lingen av personnummer och samordningsnummer bör vara restrik- tiv och föregås av en intresseavvägning mellan behovet av behand- lingen och de integritetsrisker som den innebär.

Dataskyddsförordningen uppställer inget krav på reglering i detta avseende, men om medlemsstaterna bestämmer särskilda villkor för sådan behandling måste lämpliga skyddsåtgärder för de registrera- des fri- och rättigheter enligt förordningen säkerställas. Det finns inga uttalanden i skälen som konkretiserar vilken typ av skyddsåt- gärder det bör vara frågan om. Sannolikt kan kraven på skyddsåt- gärder inte ställas särskilt högt, eftersom det är upp till medlems- staterna själva att bedöma om några särskilda villkor ska införas över huvud taget. I denna del ges alltså medlemsstaterna ett stort utrymme att själva bedöma vilka skyddsåtgärder som behövs.

Personnummer och samordningsnummer har inte bedömts som känsliga personuppgifter i förordningens mening, men har ändå getts en särställning genom att medlemsstaterna medgetts möjlighet att införa särskilda villkor för behandlingen.

Regeringen har i äldre förarbeten uttalat att själva personnumret inte i sig är en integritetskränkande uppgift, men att viss användning av det, såsom samköring av register och liknande, kan uppfattas som integritetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång.2 Kammarrätten i Stockholm har nyligen bedömt att integritetsintresset väger tungt vid mer omfattande behandling av personnummer.3

2Prop. 1990/91:60 s. 69.

3Kammarrättens i Stockholm dom av den 11 mars 2016 i mål nr 6352-15. Högsta förvalt- ningsdomstolen har beslutat att inte meddela prövningstillstånd, beslut den 12 oktober 2016 i mål nr 1684-16.

199

Personnummer och samordningsnummer

SOU 2017:39

Vår bedömning mot bakgrund av ovanstående är att en särreg- lering av personnummer och samordningsnummer i dataskyddsla- gen är motiverad. Den nuvarande lydelsen i 22 § PUL, som innebär att en intresseavvägning ska ske, ligger väl i linje med förordning- ens intentioner. Det har inte framkommit att regleringen har mötts av kritik eller annars inte fungerat. Tvärtom har den i lagstiftnings- ärenden under de senaste åren bedömts vara flexibel och väl avpas- sad för att förhindra omotiverad behandling av personnummer och samordningsnummer.4 Vi bedömer därför att en bestämmelse mot- svarande den i 22 § PUL bör införas i dataskyddslagen.

Den nationella reglering som åsyftas i artikel 87 i dataskyddsför- ordningen kan enligt förordningens skäl 41 även beslutas i förord- nings- eller föreskriftsform. Som nämnts finns i dag bestämmelser på förordningsnivå som reglerar behandlingen av personnummer och samordningsnummer i sektorsspecifika författningar. Vi bedö- mer att det finns behov av en möjlighet för regeringen att meddela sådana föreskrifter även fortsättningsvis. Visserligen torde vissa typer av föreskrifter som preciserar i vilka situationer personnummer eller samordningsnummer får behandlas av statliga myndigheter kunna meddelas av regeringen med stöd av 8 kap. 7 § 2 regeringsformen. Det kan dock inte uteslutas att det finns behov av föreskrifter som går utöver regeringens kompetens enligt nämnda lagrum, varför vi bedö- mer att ett bemyndigande behövs. Eftersom Datainspektionen hit- tills inte har sett anledning att utnyttja möjligheten enligt 16 § PUF att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslår vi ingen sådan möjlighet.

En reglering av behandling av personnummer och samordnings- nummer kan, oavsett om den tas in direkt i sektorsspecifik lag eller i förordning med stöd av bemyndigandet, tillåta behandling i andra fall än de som tillåts enligt den föreslagna bestämmelsen i data- skyddslagen. Detta förutsätter att regleringen i så fall lever upp till förordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter.

4 Se exempelvis prop. 2014/15:148 s. 51.

200

13Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

13.1Vårt uppdrag

Dataskyddsförordningen ger medlemsstaterna möjlighet att begränsa omfattningen av vissa av de skyldigheter och rättigheter som förord- ningen föreskriver. Motsvarande reglering om möjligheten att före- skriva undantag finns i artikel 13.1 i dataskyddsdirektivet. Undantag med stöd av den bestämmelsen tas ofta in i sektorsspecifik lagstift- ning. Det finns emellertid även i personuppgiftslagen ett generellt bemyndigande för regeringen att meddela föreskrifter om undantag av detta slag. Personuppgiftslagen innehåller vidare ett särskilt undan- tag från informationsskyldigheten vid sekretess och tystnadsplikt. I vårt uppdrag ingår att överväga om det finns behov av bestämmelser av detta slag i den generella regleringen som ska komplettera förord- ningen.

13.2Dataskyddsförordningen

I artikel 23.1 anges att såväl unionsrätten som en medlemsstats nationella rätt får begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt arti- kel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyl- digheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål, nämligen

201

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

a)den nationella säkerheten,

b)försvaret,

c)den allmänna säkerheten,

d)förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e)andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

f)skydd av rättsväsendets oberoende och rättsliga åtgärder,

g)förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

h)en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,

i)skydd av den registrerade eller andras rättigheter och friheter, och

j)verkställighet av civilrättsliga krav.

I artikel 23.2 anges att sådana begränsningar ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

a)ändamålen med behandlingen eller kategorierna av behandling,

b)kategorierna av personuppgifter,

c)omfattningen av de införda begränsningarna,

d)skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)specificeringen av den personuppgiftsansvarige eller kategorier- na av personuppgiftsansvariga,

202

SOU 2017:39

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

f)lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,

g)riskerna för de registrerades rättigheter och friheter, och

h)de registrerades rätt att bli informerade om begränsningen, såvi- da detta inte kan inverka menligt på begränsningen.

13.3Gällande rätt

I dataskyddsdirektivet finns motsvarigheten till förordningens arti- kel 23 i artikel 13.1. Bestämmelser i registerförfattningar som utgör undantag från de rättigheter och skyldigheter som föreskrivs i per- sonuppgiftslagen har ofta sin grund i denna artikel. Det finns dock även några bestämmelser i personuppgiftslagen som har införts med stöd av artikel 13 i direktivet.

I 8 a § PUL finns ett generellt bemyndigande som anger att reger- ingen får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till de intressen som räknas upp i artikel 13.1 i dataskyddsdirektivet.

Enligt 26 § tredje stycket PUL behöver s.k. registerutdrag enligt första stycket samma paragraf inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller veten- skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Bestämmelsen har införts med stöd av artikel 13.1 i direk- tivet, med hänsyn till skyddet av fri- och rättigheter.1

I 27 § PUL anges att bestämmelserna i 23–26 §§ om den registrerades rätt till information inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offent-

1 Prop. 1997/98:44 s. 81 f.

203

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

lighets- och sekretesslagen vägra att lämna ut uppgifter till den registrerade. Även denna bestämmelse har införts med stöd av arti- kel 13.1 i direktivet, med hänsyn till skyddet av fri- och rättigheter.2

13.4Överväganden och förslag

Utredningens förslag: Skyldigheten att ge den registrerade infor- mation om och tillgång till de personuppgifter som behandlas ska inte gälla uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade.

Den registrerades rätt att på begäran få information om pågå- ende personuppgiftsbehandling ska inte omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning. Undantaget ska dock inte gälla om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller utkast, om uppgifterna har behandlats under mer än ett år.

Regeringen ska få meddela föreskrifter om ytterligare undan- tag från vissa av förordningens skyldigheter och rättigheter.

Utredningens bedömning: Rätten att göra invändningar bör inte inskränkas genom ett undantag i dataskyddslagen. Sådana undan- tag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter specificeras genom författning.

13.4.1Sekretess och tystnadsplikt ska gå före informationsplikten

Den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter framgår av 23–25 §§ PUL. Motsvarande bestämmelser finns i artik- larna 13 och 14 i dataskyddsförordningen. Den registrerade har vidare enligt 26 § första stycket PUL rätt att på begäran få information om och tillgång till de personuppgifter som behandlas. Motsvarande rätt, bland annat till s.k. registerutdrag, finns i artikel 15 i dataskyddsför-

2 Prop. 1997/98:44 s. 83 f.

204

SOU 2017:39

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

ordningen. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.

Personuppgiftslagens informationsskyldighet, och motsvarande rättighet för den registrerade, gäller enligt 27 § PUL inte om sekre- tess eller tystnadsplikt innebär att informationen inte ska lämnas ut till den registrerade. Frågan är om motsvarande undantag bör tas in i den generella lag som ska komplettera dataskyddsförordningen.

I artikel 14.5 föreskrivs flera direkt tillämpliga undantag från rätten till information, bland annat om personuppgifterna måste för- bli konfidentiella till följd av tystnadsplikt enligt unionsrätt eller nationell rätt, inbegripet lagstadgade sekretessförpliktelser (led d). I artikel 15.4 anges endast att rätten till registerutdrag inte ska påverka menligt på andras friheter och rättigheter.

Det befintliga undantaget i 27 § PUL är något vidare än de direkt tillämpliga undantagen i artiklarna 14 och 15. Bestämmelsen i arti- kel 23 möjliggör dock ytterligare undantag på samma sätt som data- skyddsdirektivet. Det bör därför inte finnas något formellt hinder mot att en bestämmelse som motsvarar 27 § PUL tas in i dataskydds- lagen.

Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskydds- förordningen följer att den personuppgiftsansvarige inte på eget ini- tiativ behöver förse den registrerade med information, om uppgif- terna omfattas av sekretess eller tystnadsplikt. Det finns dock skäl att klargöra i dataskyddslagen att sekretess eller tystnadsplikt också kan medföra att en begäran om bekräftelse och information enligt artikel 15 ska avslås. Vidare finns det situationer då även en privat- rättslig aktör, som inte omfattas av författningsreglerad sekretess eller tystnadsplikt, har berättigad anledning att hemlighålla uppgifter i förhållande till den registrerade. Det kan t.ex. röra sig om informa- tion som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den personuppgifts- ansvariges ställning som part i rättegången.3

Dataskyddslagen bör därför förses med ett undantag från infor- mationsplikten som i sak motsvarar 27 § PUL i dess helhet. Bestäm- melsen respekterar enligt vår mening andemeningen i de grundläg- gande rättigheterna och friheterna och utgör en nödvändig och pro- portionell åtgärd i ett demokratiskt samhälle. Förarbetsuttalanden

3 Prop. 1997/98:44 s. 83 f.

205

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

och praxis rörande 27 § PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.4

13.4.2Löpande text som utgör utkast eller minnesanteckning ska inte omfattas av rätten till registerutdrag

Den registrerade har enligt 26 § första stycket PUL rätt att på begäran få information om och tillgång till de personuppgifter som behandlas. Bestämmelsen motsvarar artikel 12 a i dataskyddsdirek- tivet. Denna bestämmelse innebär dock enligt EU-domstolen inte en rätt att få del av den handling där personuppgifterna förekommer.5 Motsvarande rätt, bland annat till s.k. registerutdrag, finns i artikel 15 i dataskyddsförordningen. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.

Som nämns ovan anges i 26 § tredje stycket PUL att register- utdrag inte behöver lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. I förarbetena till detta undantag angavs, bland annat med hänvisning till regleringen i 2 kap. tryck- frihetsförordningen, att det på såväl den offentliga som den privata sidan finns goda skäl för en ordning som innebär att ofärdiga alster, minnesanteckningar och liknande inte behöver lämnas ut. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred kunde enligt regeringens mening anses som en sådan fri- och rättighet som enligt artikel 13.1 i dataskyddsdirektivet berättigar till en begränsning av informationsskyldigheten. Men om uppgifterna behandlats under så lång tid som ett år utan att texten färdigställts, ansåg regeringen dock att den registrerades intresse av att få ta del av sina uppgifter skulle anses väga tyngre än den personuppgiftsansva- riges intresse av att utan insyn få ytterligare fördröja färdigställandet av texten.6

Detta resonemang är enligt vår mening fortfarande relevant. Bestämmelsen respekterar enligt vår mening andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Mot den bak-

4Se främst prop. 1997/98:44 s. 81 f.

5Dom YS mot Minister voor Immigratie, C-141/12, EU:C:2014:2081, punkt 58.

6Prop. 1997/98:44 s. 81 f.

206

SOU 2017:39

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

grunden anser vi att det i den generella lagen bör tas in en bestäm- melse som på motsvarande sätt som 26 § tredje stycket PUL gör undantag från rätten till information enligt artikel 15 i dataskydds- förordningen avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnes- anteckning eller liknande. Undantaget bör i likhet med gällande rätt inte gälla om uppgifterna har lämnats ut till tredje part eller om upp- gifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Frågan om huruvida undantaget ska gälla vid behandling för forskningsändamål bör däremot övervägas av Forskningsdata- utredningen.

13.4.3Något om rätten att göra invändningar

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. Bestämmelsen är direkt tillämplig. En motsvarande rättighet före- skrivs även i dataskyddsdirektivet, men är genomförd i personupp- giftslagen endast såvitt avser direkt marknadsföring (11 § PUL). Dataskyddsförordningen innebär därmed att rätten att göra invänd- ningar utvidgas jämfört med vad som följer av gällande svensk rätt.

Rätten att göra invändningar enligt artikel 21.1 i dataskydds- förordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Rättigheten gäller alltså inte vid behandling av personuppgifter som exempelvis är nödvändig för att den person- uppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (arti- kel 6.1 c), såsom när en myndighet genom författning ålagts att föra ett offentligt register. Följden av att en invändning görs enligt arti- kel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intres- sen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Enligt gällande svensk rätt har den registrerade inte någon generell rätt att göra invändningar mot den behandling av personuppgifter som sker hos myndigheter. Det finns mot den bakgrunden skäl att

207

Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

SOU 2017:39

särskilt överväga om dataskyddsförordningens rätt att göra invänd- ningar bör inskränkas när det gäller sådan behandling som sker med stöd av artikel 6.1 e, dvs. med en fastställd uppgift av allmänt intresse som rättslig grund. Vi anser dock att denna rättighet fyller en viktig funktion ur rättssäkerhetssynpunkt, i synnerhet i de fall då de när- mare villkoren för behandlingen inte har reglerats i en sektorsspecifik författning. Vi anser därför att rätten att göra invändningar mot myndigheters behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter med stöd av artikel 6.1 e speci- ficeras genom författning.

Jämfört med vad som gäller enligt personuppgiftslagen utgör det en nyhet också att den registrerade ges rätt att göra invändningar vid behandling som sker med stöd av artikel 6.1 f, dvs. med ett berättigat intresse som rättslig grund. Enligt vår mening skapar denna rättighet en bra balans mellan den personuppgiftsansvarige och den registre- rade som inte bör rubbas genom ett generellt undantag. Vi lämnar därför inte något sådant förslag.

13.4.4Regeringen ska få meddela föreskrifter om ytterligare undantag

Som redan har nämnts ger artikel 23 i dataskyddsförordningen, inom vissa angivna ramar, utrymme för att i sektorsspecifika författningar föreskriva undantag från förordningens bestämmelser. I den mån sådana undantag kan medföra ytterligare skyldigheter för enskilda eller kommuner eller innebära ingrepp i enskildas personliga förhål- landen ska de enligt 8 kap. 2 § första stycket 2 och 3 regeringsformen föreskrivas genom lag. Den omständigheten att dataskyddslagen föreslås vara subsidiär till avvikande bestämmelser i lag eller förord- ning förändrar inte detta. Det krävs därför i vissa fall ett bemyndi- gande i lag för att sektorsspecifik särreglering i förordningsform även i fortsättningen ska kunna innehålla föreskrifter om undantag. Det bör därför införas ett bemyndigande i dataskyddslagen som i sak motsvarar det bemyndigande som finns i 8 a § PUL.

208

14 Arkiv och statistik

14.1Vårt uppdrag

Enligt kommittédirektiven är det av central betydelse att myndighe- ternas bevarande av allmänna handlingar inte hindras av dataskydds- regleringen och att myndigheternas möjlighet att använda uppgifter i dessa handlingar säkerställs. Även behandling av personuppgifter för andra arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål måste garan- teras. Samtidigt ska skyddet för den registrerades fri- och rättigheter beaktas. Utgångspunkten för vårt uppdrag är därför att vissa grund- läggande bestämmelser, liknande de som i dag finns i personuppgifts- lagen, behöver tas in i den generella reglering som ska komplettera dataskyddsförordningen.

Vi ska enligt direktiven analysera vilka bestämmelser om myndig- heters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen. Vidare ska vi analysera vilka övriga bestämmelser om behandling av personuppgifter för arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forsknings- ändamål eller för statistiska ändamål som bör finnas i den generella regleringen. Vi ska även lämna lämpliga författningsförslag.

Som framgår av avsnitt 2.2 har vi i samråd med Forskningsdata- utredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautredningen är bäst lämpad att göra den analys och de överväganden som krävs. Vi behandlar därför inte frågan om behandling av personuppgifter för forskningsändamål.

209

Arkiv och statistik

SOU 2017:39

14.2Gällande rätt

I personuppgiftslagen finns vissa centrala bestämmelser som rör lagens förhållande till myndigheters arkivering av allmänna handlingar och sådan personuppgiftsbehandling som sker för historiska, statis- tiska eller vetenskapliga ändamål.

Av 8 § andra stycket första meningen PUL framgår att lagens bestämmelser inte hindrar att en myndighet arkiverar och bevarar all- männa handlingar eller att arkivmaterial tas om hand av en arkivmyn- dighet. I förarbetena till personuppgiftslagen bedömdes att myndig- heternas bevarande av allmänna handlingar är tillåtet enligt de grund- läggande bestämmelserna i dataskyddsdirektivet, så länge de inte innehåller känsliga personuppgifter. Ett särskilt undantag ansågs dock nödvändigt för att myndigheterna skulle kunna bevara också känsliga personuppgifter. Det aktuella undantaget i 8 § andra stycket första meningen PUL omfattar även den insamling och det långtidsbeva- rande av personuppgifter som sker hos de särskilda arkivmyndig- heterna.1

I 9 § PUL – där de grundläggande kraven på behandlingen av per- sonuppgifter regleras – finns vissa bestämmelser som särskilt rör behandling för historiska, statistiska eller vetenskapliga ändamål. Här framgår exempelvis att en behandling av personuppgifter för sådana ändamål inte ska anses oförenlig med insamlingsändamålen (andra stycket). Det finns vidare regler om hur länge personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål (tredje stycket) och begränsningar av när personuppgifter som behandlas för sådana ändamål får användas för att vidta åtgärder i fråga om den registrerade (fjärde stycket). Sådana åtgärder får bara ske om den registrerade lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen har be- dömts vara en sådan lämplig skyddsåtgärd som krävs enligt artikel 6 i dataskyddsdirektivet. Enligt 8 § andra stycket PUL gäller dock inte denna begränsning för myndigheters användning av personuppgifter i allmänna handlingar. Detta undantag bygger på att det för sådana personuppgifter finns andra lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv.2

1Prop. 1997/98:44 s. 47 f.

2Prop. 1997/98:44 s. 63.

210

SOU 2017:39

Arkiv och statistik

Som tidigare har nämnts utgör bestämmelsen i 8 § andra stycket första meningen PUL ett undantag från förbudet mot att behandla känsliga personuppgifter. Känsliga personuppgifter får enligt 19 § första stycket PUL även behandlas för forskningsändamål, om be- handlingen har godkänts enligt lagen om etikprövning av forskning som avser människor. I andra stycket samma paragraf anges att käns- liga personuppgifter får behandlas också för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhälls- intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen godkänts av en forskningsetisk kommitté, ska dessa förutsättningar enligt tredje stycket samma paragraf anses uppfyllda.

I 7 a § arkivförordningen (1991:446) föreskrivs undantag för arkivmyndigheten när det gäller den personuppgiftsansvariges skyl- dighet att lämna s.k. registerutdrag på begäran av den registrerade. I bestämmelsen anges att en arkivmyndighet inte behöver lämna be- sked och information enligt 26 § PUL när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Avgränsningen till arkivmaterial som tagits emot för förvaring innebär att undantaget inte är tillämpligt på arkivmaterial som kommer från arkivmyndighetens egen verksamhet.

14.3Dataskyddsförordningen

14.3.1Direkt tillämpliga bestämmelser

I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Enligt artikel 5.1 b gäller exempelvis att ytter- ligare behandling (i det följande används den mer vedertagna termen vidarebehandling, om inte förordningstexten citeras) av person- uppgifter för sådana ändamål, i enlighet med artikel 89.1, inte ska anses oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e följer att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål i allmänhetens intresse eller för vetenskapliga eller historiska forsk-

211

Arkiv och statistik

SOU 2017:39

ningsändamål eller för statistiska ändamål. Den förlängda bevarande- tiden gäller i den mån som lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1 för att säkerställa de registrerades fri- och rättigheter. Bestämmelserna i artikel 5 är direkt tillämpliga och kräver därmed inga nationella författnings- åtgärder.

Bestämmelserna i artikel 14.1–4 om den personuppgiftsansva- riges informationsplikt när personuppgifter inte har erhållits från den registrerade ska enligt artikel 14.5 b inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vid behand- ling för arkivändamål av allmänt intresse, vetenskapliga eller histo- riska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten. På motsvarande sätt anges i arti- kel 17.3 d att rätten till radering (”att bli bortglömd”) inte gäller i den utsträckning som behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsända- mål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen. Undantagen i artikel 14.5 b och 17.3 d är direkt tillämpliga.

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska enligt artikel 89.1 omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säker- ställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål upp- fyllas på det sättet.

212

SOU 2017:39

Arkiv och statistik

14.3.2Bestämmelser som ger utrymme för nationella undantag

I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar känsliga personuppgifter ska vara förbjuden, se avsnitt 10. Utrymmet för undantag från detta förbud, vid behandling som är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, regleras i artikel 9.2 j. Där anges att förbudet inte gäller om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstater- nas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till data- skydd och innehålla bestämmelser om lämpliga och särskilda åtgär- der för att säkerställa den registrerades grundläggande rättigheter och intressen.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt arti- kel 89.2 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får emellertid bara göras i den utsträckning som sådana rättigheter san- nolikt kommer att göra det omöjligt eller mycket svårare att upp- fylla de särskilda ändamålen och sådana undantag krävs för att uppnå dessa ändamål. Möjligheten att föreskriva sådana undantag gäller enligt artikel 89.3 även avseende behandling av personuppgifter för arkivändamål av allmänt intresse. I detta fall får det dessutom före- skrivas undantag från de rättigheter som avses i artiklarna 19 och 20.

I artikel 15 regleras den registrerades rätt att få bekräftelse på om personuppgifter rörande honom eller henne behandlas och i så fall få viss information, bland annat ett s.k. registerutdrag (jfr 26 § PUL). Artikel 16 reglerar den registrerades rätt att få felaktiga personuppgifter rättade (jfr delar av 28 § PUL), medan artikel 18 ger den registrerade rätt att under vissa förutsättningar kräva att behandlingen begränsas. Om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling skett i enlighet med artiklarna 16, 17.1 och 18, ska den personuppgiftsansvarige enligt artikel 19 underrätta varje mottagare till vilken personuppgif-

213

Arkiv och statistik

SOU 2017:39

terna har lämnats ut, om inte detta visar sig vara omöjligt eller med- föra en oproportionell ansträngning (jfr delar av 28 § PUL). Den personuppgiftsansvarige ska dessutom, på den registrerades begä- ran, informera denne om vilka dessa mottagare är.

Artikel 20, som saknar motsvarighet i personuppgiftslagen, reg- lerar rätten till dataportabilitet, dvs. den registrerades rätt att under vissa förutsättningar få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och sedan överföra dessa till en annan personuppgiftsansvarig.

I artikel 21 i dataskyddsförordningen föreskrivs att den registre- rade ska ha rätt att göra invändningar mot behandling av personupp- gifter. Denna rätt gäller enligt artikel 21.1 bland annat vid behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Enligt arti- kel 21.6 får den registrerade motsätta sig behandling för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål av skäl som rör hans eller hennes personliga situation, om inte behand- lingen är nödvändig för utförandet av en arbetsuppgift av allmänt intresse.

14.4Överväganden och förslag – arkivändamål av allmänt intresse

14.4.1Allmänt intresse

I dataskyddsförordningen används begreppet arkivändamål av all- mänt intresse, i stället för det som i dataskyddsdirektivet benämns historiska ändamål. Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte med enkelhet låter sig avgränsas. Begreppet defi- nieras varken i dataskyddsdirektivet eller i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domsto- len. Rent språkligt kan begreppet allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse. Den närmare innebörden av be- greppet arkivändamål av allmänt intresse, särskilt i förhållande till begreppet historiska forskningsändamål, behöver dock klargöras i rättstillämpningen, inte minst genom EU-domstolens praxis.

Det står emellertid enligt vår mening klart att den behandling av personuppgifter som sker för att uppfylla krav på bevarande för andra syften, såsom exempelvis kravet på arkivering av räkenskaps-

214

SOU 2017:39

Arkiv och statistik

information enligt bokföringslagen (1999:1078), inte utgör behand- ling för arkivändamål av allmänt intresse.

14.4.2Rättslig grund och tillåten vidarebehandling

Utredningens förslag: Regeringen och Riksarkivet ska få meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse utanför arkivlagstiftningens tillämpningsområde. Riksarkivet ska även i förvaltningsbeslut få fastställa rättslig grund för ett enskilt organs behandling av personuppgifter för arkivända- mål av allmänt intresse.

Utredningens bedömning: Myndigheter och andra organ som omfattas av arkivlagstiftningen har redan enligt gällande rätt rätts- lig grund för behandling av personuppgifter för arkivändamål av allmänt intresse.

Vidarebehandling av personuppgifter för arkivändamål av all- mänt intresse ska enligt dataskyddsförordningen inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling.

Vad gäller för de organ som omfattas av arkivlagstiftningen?

Svenska myndigheter och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndig- heternas arkiv är enligt 3 § arkivlagen en del av det nationella kultur- arvet och ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. För till- synen av att myndigheterna och andra organ fullgör sina skyldigheter enligt arkivlagen finns det arkivmyndigheter. Inom den statliga för- valtningen är Riksarkivet arkivmyndighet. En arkivmyndighet har enligt 9 § arkivlagen rätt att överta arkivmaterial från en myndighet som står under dess tillsyn, antingen efter överenskommelse eller på grund av ett ensidigt beslut från arkivmyndigheten.

Behandling av en viss personuppgift för andra ändamål än den ursprungligen samlades in är enligt artikel 5.1 b i dataskyddsförord-

215

Arkiv och statistik

SOU 2017:39

ningen tillåten endast om vidarebehandlingen är förenlig med de ändamål som uppgiften ursprungligen samlades in för. I sådana fall, dvs. när vidarebehandlingen är förenlig med de ursprungliga ända- målen, krävs det enligt skäl 50 inte någon annan rättslig grund än den som gav legitimitet till att personuppgiften samlades in. Om behand- lingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har i uppgift att utföra kan det enligt skäl 50 närmare föreskrivas för vilka uppgifter och syften ytterligare behandling bör anses som för- enlig och laglig. Att ytterligare behandling för bland annat arkivända- mål av allmänt intresse ska betraktas som förenlig och laglig behand- ling av uppgifter följer dock direkt av artikel 5.1 b.

Det står enligt vår mening klart att den behandling av personupp- gifter som myndigheter och andra organ utför när de som en följd av arkivlagens bestämmelser arkiverar sina allmänna handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan sepa- rat rättslig grund än den med stöd av vilken insamlingen av person- uppgifter medgavs (skäl 50).

Vidarebehandling är det bara fråga om när ett och samma organ, eller dennes personuppgiftsbiträde, utför ytterligare behandlingar avseende en viss uppgift. När en arkivmyndighet, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet övergår hela ansvaret för det materialet till arkivmyndigheten (9 § tredje stycket arkiv- lagen). Den myndighet som har överlämnat materialet förfogar där- efter inte längre över detta. Den myndigheten bestämmer inte heller längre över ändamålen och medlen för arkivmyndighetens behandling av de personuppgifter som förekommer i materialet. I dataskydds- förordningens mening kan arkivmyndigheten därför inte betraktas som ett personuppgiftsbiträde, som endast vidarebehandlar uppgifter för den andra myndighetens räkning. Arkivmyndigheten bär i stället personuppgiftsansvaret för de behandlingar som sker därefter (se definitionen av begreppet personuppgiftsansvarig i artikel 4.7 i data- skyddsförordningen). En arkivmyndighet är givetvis även, precis som alla andra myndigheter, personuppgiftsansvarig för all annan behand- ling av personuppgifter som utförs i den egna verksamheten.

Detta innebär att det behövs en rättslig grund för arkivmyndig- heternas insamling och annan behandling av de personuppgifter som

216

SOU 2017:39

Arkiv och statistik

finns i det material som övertas från andra myndigheter. Den behand- lingen sker för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse (se avsnitt 8.3.4). Nödvändig behandling hos arkiv- myndigheterna kan därmed ske med dessa bestämmelser som rättslig grund, enligt artikel 6.1 e i dataskyddsförordningen.

Vad gäller för enskilda arkiv?

Organ som inte omfattas av arkivlagstiftningen kan i vissa fall också ha anledning att behandla personuppgifter för arkivändamål av all- mänt intresse. Om syftet med behandlingen är just detta, och inte t.ex. historiska forskningsändamål, måste dock bedömas från fall till fall. Av skäl 158 till dataskyddsförordningen framgår att ett sådant organ bör ha en rättslig skyldighet att förvärva, bevara, bedöma, orga- nisera, beskriva, kommunicera, främja, sprida och ge tillgång till upp- gifter av bestående värde för allmänintresset. Medlemsstaterna bör enligt samma skäl också ha rätt att föreskriva att personuppgifter får vidarebehandlas för arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

Det bör noteras att dataskyddsförordningen inte gäller för behandling av personuppgifter som avser avlidna personer (skäl 27). Detta innebär i praktiken att många enskilda arkiv inte berörs av dataskyddsregleringen, såsom historiska släktarkiv eller liknande sam- lingar som inte innehåller några uppgifter om nu levande personer.

Insamling av arkivmaterial som innehåller personuppgifter

Det finns i Sverige ett antal enskilda arkivinstitutioner, såväl regionala som nationella, som samlar in personuppgifter enbart för arkivända- mål av allmänt intresse. Den rättsliga grunden för denna behandling torde i normalfallet vara att verksamheten är av allmänt intresse. Det är dock oklart om denna uppgift alltid är fastställd i enlighet med svensk rätt. När dataskyddsförordningen börjar tillämpas kan därmed den rättsliga grunden för de enskilda arkivinstitutionernas behandling av personuppgifter komma att ifrågasättas. Det bör därför införas en bestämmelse i dataskyddslagen som gör det möjligt för regeringen

217

Arkiv och statistik

SOU 2017:39

eller den myndighet som regeringen bestämmer att meddela före- skrifter som tillåter behandling av personuppgifter för arkivändamål av allmänt intresse också utanför arkivlagstiftningens tillämpnings- område. Föreskriftsrätten bör enligt vår mening delegeras till Riks- arkivet.

Det är tänkbart att det kan uppstå enstaka situationer där före- skriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling för arkivändamål av allmänt intresse. Det kan till exempel röra sig om behandling som ska ske av ett enskilt organ under en begränsad tid eller i ett mycket begränsat avseende. I likhet med den ordning som gäller avseende behandling av personuppgifter om lagöverträdelser enligt 21 § PUL, och som föreslås i avsnitt 11.4, bör därför Riksarkivet i enskilda fall kunna pröva om den behandling som sker hos en enskild aktör är arkivverksamhet av allmänt intresse i dataskyddsförordningens mening. De närmare kriterierna för denna prövning skulle vid behov kunna fastställas i föreskrifter på lägre normnivå. Om arkivverksamheten uppfyller dataskyddsförordning- ens krav kan det enskilda organet genom ett särskilt beslut medges rätt att behandla personuppgifter för arkivändamål av allmänt intres- se. Den personuppgiftsbehandling som är nödvändig för detta ändamål kan då ske med beslutet som rättslig grund. Ett förvaltnings- beslut som går organet emot bör kunna överklagas, se avsnitt 19.8.

Det bör noteras att regeringen, i propositionen om kulturarvs- politik, har bedömt att det finns anledning att genomföra en bred översyn av arkivväsendet i landet och att denna översyn även ska tydliggöra de enskilda arkivens viktiga roll som en del av det gemen- samma kulturarvet.3 Vi välkomnar en sådan översyn och förutsätter att frågor kring de enskilda arkivens behandling av personuppgifter då kommer att utredas närmare.

3 Prop. 2016/17:116, s. 174 f.

218

SOU 2017:39

Arkiv och statistik

Vidarebehandling av personuppgifter

Det förekommer att enskilda organ har skäl att bevara uppgifter under en längre tid än vad som krävs för det ursprungliga ändamålet. En sådan vidarebehandling skulle bland annat kunna ske för arkiv- ändamål av allmänt intresse eller för historiska forskningsändamål. Behandling av personuppgifter för forskningsändamål omfattas emel- lertid inte av våra överväganden, utan tas om hand av Forskningsdata- utredningen.

Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs därmed i och för sig inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50). Det kan dock i det enskilda fallet vara svårt för den personuppgiftsansvarige, den registrerade och till- synsmyndigheten att bedöma om arkivverksamheten är av allmänt intresse på det sätt som avses i dataskyddsförordningen. I de fall detta inte följer direkt av de föreskrifter som har meddelats bör den per- sonuppgiftsansvarige ha samma möjlighet som enskilda arkivinstitu- tioner att få frågan prövad och fastställd genom förvaltningsbeslut.

Enskilda arkiv som överlämnas till Riksarkivet

Enskilda arkiv som överlämnas till Riksarkivet för förvaring utgör en kategori som bör beröras särskilt. Enligt 6 § andra stycket förord- ningen (2009:1593) med instruktion för Riksarkivet får Riksarkivet ta emot arkivhandlingar från enskilda om de är av särskild betydelse för forskning och kulturarv. Enligt vår bedömning innebär detta att sådana arkiv måste anses vara av allmänt intresse. Handlingar som har tagits emot för förvaring ska dessutom enligt 7 § samma förordning hållas tillgängliga. Som exempel på enskilda arkiv som överlämnats till Riksarkivet på denna grund kan nämnas de s.k. idrottsarkiven, som härrör från bland annat Riksidrottsförbundets verksamhet.

Den vidarebehandling som utförs för att bilda denna typ av enskil- da arkiv ska enligt artikel 5.1 b i dataskyddsförordningen, på grund av att den sker för arkivändamål av allmänt intresse, anses vara förenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Den insamling av personuppgifter som Riksarkivet utför i samband med att en sådant enskilt arkiv lämnas in sker med stöd av myn-

219

Arkiv och statistik

SOU 2017:39

dighetens instruktion och utgör därmed en fastställd uppgift av all- mänt intresse. Riksarkivets behandling av de personuppgifter som finns i de enskilda arkiven kan därmed ske på denna rättsliga grund, enligt artikel 6.1 e i dataskyddsförordningen.

Det förekommer också att enskilda arkiv överlämnas till Riks- arkivet som deposition, dvs. utan att äganderätten övergår. I sådana fall kan parterna avtala om att Riksarkivet ska ges ett privaträttsligt uppdrag att i egenskap av personuppgiftsbiträde förvara och vårda materialet för deponentens räkning.

14.4.3Förhållandet till arkivlagstiftningen och behandling av känsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter och uppgifter om lagöverträdelser ska få behandlas om behandlingen är nödvän- dig för att den personuppgiftsansvarige ska kunna följa föreskrif- ter om bevarande och vård av arkiv.

Regeringen och Riksarkivet ska få meddela föreskrifter som också i andra fall tillåter behandling av känsliga personuppgifter för arkivändamål av allmänt intresse. Riksarkivet ska även i enskil- da fall få besluta att ett enskilt organ får behandla sådana person- uppgifter för arkivändamål av allmänt intresse.

Bestämmelsen i 8 § andra stycket första meningen PUL tydliggör att personuppgiftslagen inte hindrar att en myndighet, i enlighet med arkivbestämmelserna, arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I praktiken inne- bär detta att arkivlagstiftningen har företräde framför personupp- giftslagen. Detta är en nödvändig utgångspunkt för att den svenska offentlighetsprincipen fullt ut ska kunna fylla sin funktion. Det finns ingenting i dataskyddsförordningen som förhindrar att ett sådant synsätt bibehålls. Tvärtom säkerställs offentlighetsprincipens ställ- ning genom artikel 86 i förordningen.

Lagring och annan behandling av personuppgifter för arkivända- mål av allmänt intresse är dessutom särskilt gynnad i dataskydds- förordningen, precis som i dataskyddsdirektivet. Det är till exempel tillåtet att bevara personuppgifter under längre tid än vad som annars är nödvändigt, i den mån uppgifterna enbart behandlas för arkivända-

220

SOU 2017:39

Arkiv och statistik

mål av allmänt intresse och under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs (artiklarna 5.1 e och 89.1).

Vad gäller behandling av känsliga personuppgifter ger artikel 9.2 j i dataskyddsförordningen ett tydligare utrymme för undantag än data- skyddsdirektivet. I bestämmelsen anges att behandling får ske för arkivändamål av allmänt intresse, på grundval av unionsrätten eller nationell rätt som står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och inne- håller bestämmelser om lämpliga och särskilda åtgärder för att säker- ställa den registrerades rättigheter och intressen.

Behandling för arkivändamål av allmänt intresse av person- uppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen. Vidare följer det direkt av förordningen att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse inte ska anses som oförenlig med de ursprungliga ändamålen. Det behövs därmed, enligt skäl 50, inte någon separat rättslig grund för en sådan behandling. Det faktum att behandling av känsliga personuppgifter för arkivändamål särbehand- las i artikel 9.2 j i dataskyddsförordningen talar dock för att all behandling av känsliga personuppgifter för arkivändamål, även vidare- behandling, måste omfattas av en särskild undantagsreglering för att vara tillåten. Denna bestämmelse förutsätter nämligen att gällande rätt innehåller bestämmelser om lämpliga och särskilda skyddsåtgär- der för att säkerställa den registrerades rättigheter och intressen. Den vidarebehandling av känsliga personuppgifter som myndigheter och andra organ utför som en följd av arkivlagens bestämmelser är där- med inte tillåten enbart på grundval av det undantag från förbudet som tillämpats vid behandlingen för det ursprungliga ändamålet.

Vi bedömer därför att det i dataskyddslagen behövs en bestäm- melse som i likhet med 8 § andra stycket första meningen PUL till- låter att en myndighet arkiverar och bevarar allmänna handlingar som innehåller känsliga personuppgifter samt att arkivmaterial som inne- håller känsliga personuppgifter tas om hand av en arkivmyndighet. Den svenska lagstiftningen på detta område, med beaktande av de skyddsåtgärder som föreskrivs i form av sekretess och i register- författningar och genom gallringsföreskrifter, måste i sig anses vara proportionell till det eftersträvade syftet och förenlig med det väsent- liga innehållet i rätten till dataskydd.

221

Arkiv och statistik

SOU 2017:39

Eftersom behandling för arkivändamål av allmänt intresse av per- sonuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen bör bestäm- melsen i dataskyddslagen utformas som ett undantag från förbudet mot behandling av känsliga personuppgifter. Vi föreslår således att dataskyddslagen ska innehålla en bestämmelse som anger att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om beva- rande och vård av arkiv. Bestämmelsen medför att dataskyddsförord- ningen och dataskyddslagen inte hindrar att allmänna handlingar arkiveras och bevaras eller att arkivmaterial tas om hand av en arkiv- myndighet. Den författningstekniska skillnaden mellan 8 § andra stycket första meningen PUL och den bestämmelse som vi föreslår innebär således ingen saklig förändring i denna del.

Arkivlagstiftningen omfattar inte bara myndigheter utan även vissa utpekade enskilda organ. För dessa organ skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och begränsningen i artikel 10 i dataskyddsförordningen avseende enskil- das behandling av personuppgifter om lagöverträdelser (se kapi- tel 11). Dataskyddslagen bör därför även innehålla en bestämmelse som, på motsvarande sätt som avseende känsliga personuppgifter, tillåter behandling av personuppgifter om lagöverträdelser, om be- handlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

När det gäller enskilda arkiv som inte omfattas av arkivlagstift- ningen finns det inga föreskrifter om bevarande och vård av arkiv som ska följas. Det kan dock även hos dessa organ finnas ett allmänt intresse av att känsliga personuppgifter bevaras. Sådant bevarande bör enligt vår bedömning också tillåtas under vissa förutsättningar. Risken är annars uppenbar att viktig information om vår samtid för alltid går förlorad. Det bör därför införas en bestämmelse i data- skyddslagen som anger att regeringen eller den myndighet som reger- ingen bestämmer får meddela föreskrifter som tillåter att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse. Föreskriftsrätten bör delegeras till Riksarkivet. Riksarkivet bör även i enskilda fall få besluta att ett enskilt organ får behandla sådana per- sonuppgifter för arkivändamål av allmänt intresse. Ett sådant förvalt- ningsbeslut bör lämpligen meddelas i samband med att den rättsliga grunden fastställs för organets behandling av personuppgifter för

222

SOU 2017:39

Arkiv och statistik

arkivändamål av allmänt intresse. Beslutet kan även meddelas som komplement till en tidigare antagen föreskrift som ger organet rättslig grund för behandling av personuppgifter för detta ändamål.

För enskilda arkiv finns det inte några generella föreskrifter om särskilda skyddsåtgärder, utöver dem som följer direkt av dataskydds- förordningen och den som vi föreslår i följande avsnitt. Mot bak- grund av att de enskilda arkiven sinsemellan uppvisar stora olikheter är det heller inte lämpligt att i lag slå fast att en viss typ av ytterligare skyddsåtgärd alltid ska gälla vid behandling av känsliga personupp- gifter. Det bör i stället ankomma på regeringen eller Riksarkivet att bedöma om beslut som tillåter ett enskilt organ att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser ska vill- koras av att den personuppgiftsansvarige vidtar särskilda åtgärder och i så fall vilka. Vidare följer det givetvis direkt av dataskyddsförord- ningen att ett beslut som tillåter behandling av känsliga person- uppgifter bara kan tillämpas om behandlingen i sig vilar på rättslig grund eller utgör en tillåten vidarebehandling.

14.4.4Lämpliga skyddsåtgärder

Utredningens förslag: Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse ska inte få användas för att vidta åtgärder i fråga om den registrerade annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning ska inte hindra en myndighet från att använda personuppgifter som finns i allmänna handlingar.

Behandling av personuppgifter för arkivändamål av allmänt intresse ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Denna bestämmelse, som är direkt tillämplig, är den personuppgiftsansvarige skyldig att följa. För att behandling av känsliga personuppgifter ska vara tillåten för arkivändamål av allmänt intresse krävs dessutom, enligt artikel 9.2 j, att unionsrätten eller den nationella rätten inne- håller bestämmelser om sådana åtgärder.

I 9 § fjärde stycket PUL anges, som en generell skyddsåtgärd, att personuppgifter som behandlas för historiska, statistiska eller veten- skapliga ändamål får användas för att vidta åtgärder i fråga om den

223

Arkiv och statistik

SOU 2017:39

registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt 8 § andra stycket PUL gäller dock denna begräns- ning inte för en myndighets användning av personuppgifter i allmänna handlingar.

När en personuppgift inte längre behöver behandlas för det ursprungliga ändamålet ska den, enligt huvudregeln i artikel 5.1 e i dataskyddsförordningen, gallras eller anonymiseras. Undantag gäller dock om det finns ett berättigat arkivändamål av allmänt intresse. Möjligheten till förlängd bevarandetid förutsätter att uppgiften ”enbart” behandlas för arkivändamål. Det kan emellertid inte uteslu- tas att en arkiverad uppgift åter kan komma att behövas även för andra ändamål, t.ex. i den personuppgiftsansvariges kärnverksamhet. Begränsningen i 9 § fjärde stycket PUL förhindrar sådan återanvänd- ning i vissa situationer. Frågan är om en motsvarande skyddsåtgärd bör införas även i dataskyddslagen. För att kunna ta ställning till denna fråga är det nödvändigt att först analysera innebörden av den s.k. finalitetsprincipen.

Finalitetsprincipen

Dataskyddsförordningen bygger, precis som dataskyddsdirektivet och personuppgiftslagen, på förutsättningen att varje ny behandling ska prövas mot det ändamål för vilket uppgifterna ursprungligen sam- lades in av den personuppgiftsansvarige. I artikel 5.1 b i förordningen anges nämligen att uppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. Bestäm- melsen ger uttryck för den s.k. finalitetsprincipen. Denna begräns- ning är relevant i förhållande till varje behandling som den person- uppgiftsansvarige eller dennes biträde utför efter själva insamlingen. Varje efterföljande behandlingsåtgärd, inklusive den tekniska bearbet- ning och lagring som ofta är oundviklig när uppgifter har samlats in, utgör nämligen en ytterligare behandling (dvs. vidarebehandling) i förordningens mening. Detta gäller enligt artikel 29-gruppen oavsett om denna behandling sker för samma ändamål som det för vilka upp- gifterna samlades in eller för något annat ändamål.4

4 Jfr Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 21.

224

SOU 2017:39

Arkiv och statistik

En uppgift som bevaras hos en personuppgiftsansvarig endast för arkivändamål av allmänt intresse, t.ex. som en följd av arkivlagstift- ningen, har normalt inte samlats in för just detta ändamål (utom hos Riksarkivet och andra arkivmyndigheter). Uppgiften har i stället sam- lats in för något helt annat ändamål, såsom för handläggning av ett ärende i den personuppgiftsansvariges kärnverksamhet. Arkiveringen utgör därför en vidarebehandling, som är tillåten eftersom den inte ska anses oförenlig med det ursprungliga ändamål för vilket uppgiften samlades in. Det är viktigt att notera att det är i förhållande till detta ursprungliga insamlingsändamål som varje vidarebehandling även av en arkiverad uppgift ska prövas. Finalitetsprincipen innebär nämligen inte att behandlingen ska prövas mot det ändamål för vilket den senaste vidarebehandlingen utfördes, i detta fall arkivändamålet. Dataskyddsförordningen, liksom dataskyddsdirektivet, förbjuder endast vidarebehandling som är oförenlig med det ursprungliga insam- lingsändamålet. Detta innebär att vidarebehandling kan ske för nya ändamål som är oförenliga med varandra, så länge de nya ändamålen var för sig inte är oförenliga med det ursprungliga insamlingsända- målet.

Finalitetsprincipen utgör således inte i sig något hinder mot att en uppgift som har bevarats hos den personuppgiftsansvarige enbart för arkivändamål återförs till kärnverksamheten för vidarebehandling, förutsatt att den nya behandlingen är förenlig med det ursprungliga insamlingsändamålet. I en sådan situation behöver den personupp- giftsansvarige varken samla in uppgiften på nytt eller inhämta den registrerades samtycke till behandlingen. Den nya behandlingen krä- ver enligt dataskyddsförordningen inte heller någon annan rättslig grund än den med stöd av vilken den ursprungliga insamlingen med- gavs (skäl 50). Det är alltså endast förenligheten med insamlingsända- målet som måste bedömas. Detta skiljer sig från det synsätt som har gällt hittills, nämligen att varje vidarebehandling måste kunna hän- föras till något av de tillåtna fall av behandling som anges i 10 § PUL.

En arkiverad uppgift kan lika lite som någon annan uppgift behandlas för ett ändamål som är oförenligt med det ursprungliga insamlingsändamålet. Uppgiften måste i ett sådant fall samlas in på nytt, trots att den faktiskt redan finns hos den personuppgiftsansva- rige. I vissa fall kan det dock vara tillräckligt att hämta in den registre- rades samtycke till att den arkiverade uppgiften behandlas för nya

225

Arkiv och statistik

SOU 2017:39

ändamål.5 Ett sådant nytt samtycke utgör då rättslig grund för den nya behandlingen.

Bör dataskyddslagen innehålla en användningsbegränsning?

Enligt 9 § fjärde stycket PUL, läst tillsammans med 8 § andra stycket andra meningen PUL, får inga andra än myndigheter använda arkiverade personuppgifter för att vidta en åtgärd i fråga om den registrerade, om inte den registrerade själv har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen utgör därmed en begränsning av möjlighe- ten att behandla arkiverade uppgifter för andra ändamål än arkivända- målet. Denna begränsning gäller oavsett om den nya behandlingen skulle ske för det ursprungliga insamlingsändamålet eller för något annat därmed förenligt ändamål. Av förarbetena framgår dock att bestämmelsen inte aktualiseras om en arkiverad uppgift även behand- las för andra ändamål, dvs. inte enbart för arkivändamål.6 En uppgift som fortfarande behövs i kärnverksamheten och därför behandlas där kan alltså användas för att vidta åtgärder i fråga om den registrerade, även om samma uppgift också förekommer i en arkiverad handling hos den personuppgiftsansvarige.

Förarbetena till 9 § fjärde stycket PUL ger ingen vägledning rörande vad som avses med uttrycket ”åtgärder i fråga om den registrerade”. I doktrinen har dock framförts att enbart ett utläm- nande av personuppgifterna till tredje man inte torde innebära att en åtgärd vidtas i fråga om den registrerade, ens om tredje man avser att vidta en sådan åtgärd.7

Som exempel på när det skulle kunna finnas synnerliga skäl med hänsyn till den registrerades vitala intressen nämns i förarbetena att en forskare som har upptäckt ett samband mellan en medicin och en allvarlig sjukdom måste kunna använda arkiverade personupp- gifter för att varna dem som tagit medicinen.8

5Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 26.

6SOU 1997:39 s. 359 f.

7

Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till

9 § fjärde stycket PUL.

8

Prop. 1997:98:44 s. 120.

226

SOU 2017:39

Arkiv och statistik

Enligt vår bedömning utgör bestämmelsen i 9 § fjärde stycket PUL en väl avvägd skyddsåtgärd. En motsvarande begränsning bör därför införas även i dataskyddslagen och bör, precis som den nu gällande bestämmelsen, inte bara avse känsliga personuppgifter. Den nya bestämmelsen bör dock utformas så att det tydligare än i dag framgår att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för arkivändamål av allmänt intresse. Det finns vidare inget skäl att ange i paragrafen att uppgifter får användas med den registre- rades samtycke. Om samtycke inhämtas till att en arkiverad uppgift används för nya ändamål, kan behandlingen nämligen jämställas med personuppgiften samlas in på nytt med stöd av artikel 6.1 a i data- skyddsförordningen.9 Någon saklig skillnad mellan vårt förslag och 9 § fjärde stycket PUL är inte avsedd.

Vad gäller myndigheternas arkiv utgör de nationella författnings- bestämmelserna om sekretess en särskild skyddsåtgärd, eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn. Dessutom omfattas myndigheternas arkiv av allmänna bestämmelser om skydd av arkiv, bland annat Riks- arkivets föreskrifter, och krav på avskiljande i registerförfattningar. Ytterligare skyddsåtgärder, t.ex. i form av användningsbegränsningar som förhindrar återanvändning av arkiverade uppgifter, bör vid behov införas i sektorsspecifika författningar och inte i den generella lagen. Den föreslagna bestämmelsen om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade ska därför inte hindra myndigheter från att använda personuppgifter som finns i allmänna handlingar. Förslaget medför därmed ingen förändring i förhållande till vad som gäller enligt personuppgiftslagen.

9 Jfr Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 27.

227

Arkiv och statistik

SOU 2017:39

14.4.5Undantag från vissa av den registrerades rättigheter

Utredningens förslag: Hänvisningen till personuppgiftslagen i arkivförordningens bestämmelse om undantag från rätten till s.k. registerutdrag ska ersättas med en hänvisning till dataskyddsför- ordningen.

En arkivmyndighet ska inte behöva rätta, komplettera eller begränsa behandlingen av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.

Rätten att göra invändningar ska inte gälla vid arkivmyndig- heters behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.

Om personuppgifter behandlas för arkivändamål av allmänt intresse får det enligt artikel 89.3 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1 (se avsnitt 14.3.2). Detta får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå detta ändamål.

Såväl offentliga som enskilda arkiv fyller en viktig samhällsfunk- tion. I synnerhet är väl fungerande myndighetsarkiv av grundläg- gande betydelse för forskning och utveckling, insyn och delaktig- het, ansvarsutkrävande och demokrati. Detta intresse kan i vissa situationer väga tyngre än den enskildes intresse av att kunna utöva sina rättigheter enligt dataskyddsförordningen. Det finns därför skäl att överväga om Sverige bör utnyttja det utrymme som förord- ningen ger för att föreskriva undantag från vissa av dessa rättighe- ter, om det annars skulle bli omöjligt eller mycket svårare att upp- fylla arkivändamålet. Vår allmänna utgångspunkt är dock att de registrerades rättigheter inte bör inskränkas i större utsträckning än vad som gäller enligt gällande rätt.

228

SOU 2017:39

Arkiv och statistik

Rätten till tillgång (s.k. registerutdrag)

Motsvarigheten till artikel 15 i dataskyddsförordningen, rörande den registrerades rätt att på begäran få besked om huruvida personupp- gifter som rör honom eller henne behandlas (s.k. registerutdrag), finns i 26 § PUL. I tredje stycket i denna paragraf anges att sådan information inte behöver lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta undantag gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgif- terna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantaget i 26 § tredje stycket PUL är därmed inte tillämpligt vid sådan behandling som sker för arkivändamål av allmänt intresse. Den registrerades rätt till registerutdrag enligt personuppgiftslagen omfattar således alla typer av arkiverade uppgifter, även i form av minnesanteckningar eller liknande. Denna ordning bör enligt vår bedömning bestå. Vi ser således inte skäl att föreslå något generellt undantag från rätten till information enligt artikel 15 i dataskydds- förordningen vid behandling av personuppgifter för arkivändamål av allmänt intresse. Frågan om behovet i övrigt av undantag från rätten till registerutdrag behandlas i avsnitt 13.

I 7 a § arkivförordningen anges emellertid att en arkivmyndighet inte behöver lämna besked och information enligt 26 § PUL när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Vi anser att ett liknande undantag från artikel 15 i dataskyddsförordningen krävs för att arkivändamålet för behandling av personuppgifter i Riksarkivets och andra arkivmyn- digheters verksamhet även i fortsättningen ska kunna uppnås. Vi föreslår därför att 7 a § arkivförordningen ändras på så sätt att hänvis- ningen till 26 § PUL byts ut mot artikel 15 i dataskyddsförordningen. Det bör noteras att undantaget kan tillämpas endast under förutsätt- ning att de direkt tillämpliga villkoren i artikel 89.1 i dataskydds- förordningen om bland annat skyddsåtgärder och uppgiftsmini- mering efterlevs.

229

Arkiv och statistik

SOU 2017:39

Rätten till rättelse av personuppgifter och begränsning av behandling

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter rättade och ofullständiga personupp- gifter kompletterade. Artikel 18 ger den registrerade rätt att under vissa omständigheter kräva att behandlingen av personuppgifter begränsas. Bestämmelsernas motsvarighet finns i 28 § PUL första meningen, som anger att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast bland annat rätta eller blockera sådana personuppgifter som inte har behandlats i enlighet med per- sonuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Personuppgiftslagen innehåller inte något undantag från dessa rättigheter och det gör inte heller arkivlagstiftningen. Vi anser att det inte heller i förhållande till artiklarna 16 och 18 i dataskyddsförord- ningen bör införas något generellt undantag från den registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse.

Riksarkivet och andra arkivmyndigheter utför inte några rättelser i de handlingar som bevaras där, bland annat eftersom det skulle utgöra en otillåten förvanskning av allmänna handlingar. En rättelse kan i det enskilda fallet även riskera att försämra den enskildes rättigheter, om den medför att det inte längre är möjligt att i efterhand kontrollera myndigheternas verksamhet och ge upprättelse om ett fel har begåtts. Riksarkivet blockerar inte heller personuppgifter i arkiven. Enligt vår bedömning krävs det ett uttryckligt undantag från artiklarna 16 och 18 i dataskyddsförordningen för att denna etablerade hantering ska kunna fortgå, vilket i sin tur är en förutsättning för att offentlighets- principen ska kunna upprätthållas.

Det bör därför införas en bestämmelse i arkivförordningen som anger att en arkivmyndighet inte behöver rätta eller komplettera personuppgifter enligt artikel 16 i dataskyddsförordningen, när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. På motsvarande sätt bör arkivmyndigheten inte vara skyldig att begränsa behandlingen av personuppgifterna enligt artikel 18 i dataskyddsförordningen. Avgränsningen till arkivmaterial som tagits emot för förvaring av myndigheten innebär, precis som i 7 a § arkivförordningen, att undantagen inte är tillämpliga avseende personuppgifter i arkivmaterial som härrör från arkivmyndighetens

230

SOU 2017:39

Arkiv och statistik

egen verksamhet. Beslut med stöd av dessa nya bestämmelser bör kunna överklagas på samma sätt som beslut enligt 7 a § arkivförord- ningen.

Den omständigheten att arkivmyndigheten inte behöver komplet- tera personuppgifter innebär inte ett förbud mot att göra detta eller vidta någon liknande åtgärd, om arkivmyndigheten bedömer att det är lämpligt. Detta förutsätter dock att åtgärden inte medför en otillåten förvanskning av allmänna handlingar eller en otillåten inskränkning av var och ens rätt att ta del av sådana handlingar.

Det bör noteras att de föreslagna undantagen får tillämpas endast under förutsättning att de direkt tillämpliga villkoren i artikel 89.1 i dataskyddsförordningen om bland annat skyddsåtgär- der och uppgiftsminimering efterlevs.

I sammanhanget bör nämnas att rätten till radering, som också framgår av 28 § PUL, regleras i artikel 17 i dataskyddsförordning- en. Enligt den direkt tillämpliga bestämmelsen i artikel 17.3 d gäller dock inte denna rätt vid behandling för arkivändamål av allmänt intresse, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Anmälningsskyldighet vid rättelse och radering

av personuppgifter samt begränsning av behandling

Enligt artikel 19 i dataskyddsförordningen ska den personuppgifts- ansvarige underrätta dem som personuppgifter har lämnats ut till, om rättelse, radering eller begränsning sker enligt artiklarna 16–18. Mot- svarande underrättelseskyldighet regleras i 28 § andra meningen PUL. I denna bestämmelse anges att underrättelse inte behöver lämnas, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Ett näst intill likalydande undantag från under- rättelseskyldigheten gäller även enligt artikel 19 i dataskyddsför- ordningen. Undantaget innebär till exempel att en myndighet inte behöver informera dem som har tagit del av en allmän handling om att behandlingen av uppgifter i handlingen har begränsats. Något ytterligare undantag, utöver den i förordningen direkt tillämpliga bestämmelsen, behöver enligt vår bedömning inte införas i svensk rätt. Vi lämnar därför inget sådant förslag.

231

Arkiv och statistik

SOU 2017:39

Rätten till dataportabilitet

Artikel 20 i dataskyddsförordningen, som saknar motsvarighet i personuppgiftslagen, anger att den registrerade under vissa förutsätt- ningar ska ha rätt att få ut de personuppgifter som rör honom eller henne i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgifts- ansvarig. Rätten till dataportabilitet gäller endast om den personupp- giftsansvariges behandling grundar sig på den registrerades samtycke eller är nödvändig för att fullgöra ett avtal med den registrerade. Rätten gäller alltså inte i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Rätten till dataportabilitet skulle därmed endast undantagsvis kunna åberopas avseende personuppgifter som bevarats med stöd av arkiv- lagstiftningen.

Därtill kommer att rätten till dataportabilitet inte innebär en rätt till radering, se skäl 68. Den personuppgiftsansvarige kan alltså tillgodose den registrerades rätt genom att tillhandahålla en kopia av materialet. I den mån rätten till dataportabilitet alls skulle kunna aktualiseras i arkivmyndigheternas verksamhet skulle utövandet av denna rätt därmed inte påverka myndighetens möjlighet att upp- fylla arkivändamålet. Det finns mot denna bakgrund inget skäl att införa något undantag från rätten till dataportabilitet vid behand- ling av personuppgifter för arkivändamål av allmänt intresse. Vi lämnar därför inte något sådant förslag.

Rätten att göra invändningar

Dataskyddsdirektivets motsvarighet till artikel 21 i dataskyddsför- ordningen, rörande rätten att göra invändningar, är genomförd i personuppgiftslagen endast såvitt avser direkt marknadsföring, 11 § PUL. Något undantag från denna relativt begränsade rätt att göra invändningar har inte gjorts i personuppgiftslagen.

Rätten att göra invändningar enligt artikel 21.1 dataskyddsför- ordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Om en invändning görs får den personuppgifts- ansvarige inte längre behandla personuppgifterna, såvida inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger

232

SOU 2017:39

Arkiv och statistik

tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Enligt vår bedömning står det klart att arkivlagstiftningen i det enskilda fallet kommer att utgöra ett sådant tvingande och berättigat skäl som väger tyngre än den registrerades intressen, i synnerhet när det gäller behandling av personuppgifter som förekommer i arkiv- material som har överlämnats till en arkivmyndighet. Mot denna bak- grund bör det i arkivförordningen föreskrivas ett generellt undantag från den registrerades principiella rätt att invända mot en arkivmyn- dighets behandling av personuppgifter för arkivändamål av allmänt intresse. Undantaget bör dock inte vara tillämpligt avseende person- uppgifter i arkivmaterial som härrör från arkivmyndighetens egen verksamhet. Beslut med stöd av det nya undantaget bör kunna över- klagas på samma sätt som beslut enligt 7 a § arkivförordningen.

Det bör noteras att det föreslagna undantaget får tillämpas endast under förutsättning att de direkt tillämpliga villkoren i artikel 89.1 i dataskyddsförordningen om bland annat lämpliga skyddsåtgärder och uppgiftsminimering efterlevs.

14.4.6Organ som bör jämställas med myndigheter

Utredningens förslag: Bestämmelserna i dataskyddslagen om behandling av personuppgifter för arkivändamål av allmänt intres- se ska i tillämpliga delar också gälla andra organ än myndigheter, i den mån organets verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen.

Enligt 2 kap. 2–5 §§ OSL ska vad som föreskrivs i tryckfrihetsför- ordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också gälla hos bland annat kommunala bolag och de organ som anges i bilagan till offentlighets- och sekretesslagen, om handlingarna hör till den verksamhet som nämns där. Dessa organ ska enligt samma bestämmelser jämställas med myndigheter vid tillämp- ningen av offentlighets- och sekretesslagen. De omfattas även av viss arkivlagstiftning (1–2 a §§ arkivlagen). De överväganden som har gjorts i detta kapitel avseende myndigheter är därmed relevanta också för dessa organ. Vid tillämpningen av dataskyddslagens bestämmelser om behandling av personuppgifter för arkivändamål av allmänt intres-

233

Arkiv och statistik

SOU 2017:39

se ska därför andra organ än myndigheter jämställas med myndighe- ter, i den mån bestämmelserna i tryckfrihetsförordningen och offent- lighets- och sekretesslagen om allmänna handlingar och sekretess gäller i organets verksamhet.

14.5Överväganden och förslag – statistiska ändamål

14.5.1Statistik

Ordet statistik avser metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns också statistik. I dataskydds- förordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvän- dig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild privat- person.

Behandling av personuppgifter för statistiska ändamål förekom- mer inom såväl offentlig som privat sektor, både som en självstän- dig verksamhet och som en uppföljande åtgärd till annan verksam- het. Statistiska undersökningar kan också utgöra en integrerad del av ett forskningsprojekt. I sådana projekt bör dock all behandling av personuppgifter bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål. Detta avsnitt omfattar därmed inte sådan behandling av personuppgifter för statistiska ändamål som sker inom ramen för forskning. Vad som ryms inom begreppet forskning kommer att behandlas av Forskningsdatautredningen.

Framställningen av den officiella statistiken, som ska finnas för allmän information, utredningsverksamhet och forskning, regleras av lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Dessa författningar reglerar bland annat under vilka förutsättningar känsliga personuppgifter får behandlas och vilken information som den statistikansvariga myndig- heten ska lämna. Det står klart att hänvisningarna till personupp- giftslagen måste ändras i författningarna om den officiella statistiken. Det kan inte heller uteslutas att dataskyddsförordningen föranleder

234

SOU 2017:39

Arkiv och statistik

materiella författningsändringar. Det ingår dock inte i vårt uppdrag att utreda behovet av eller föreslå sådana ändringar.

14.5.2Rättslig grund och tillåten vidarebehandling

Den officiella statistiken och annan reglerad statistik framställs av sär- skilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Personuppgifter kan således samlas in och i övrigt behandlas för detta ändamål, utan samtycke från de registre- rade, med stöd av artikel 6.1 e i dataskyddsförordningen.

Statistikprojekt som saknar författningsstöd torde däremot inte kunna anses som en uppgift av allmänt intresse som är fastställd i enlighet med svensk rätt. Framställning av statistik som inte sker som en följd av en uppgift som har fastställts i unionsrätten eller i svensk rätt saknar det rättsliga stöd som krävs för att nödvändig behandling av personuppgifter ska kunna ske på grundval av artikel 6.1 e i data- skyddsförordningen. Rättslig grund för behandlingen måste då i stället sökas någon annanstans. Vid sidan av den officiella statistiken och annan reglerad statistikverksamhet torde därför insamling av per- sonuppgifter för statistiska ändamål kräva samtycke från de registre- rade. Samtycke krävs således exempelvis för att ett privaträttsligt organ ska kunna samla in personuppgifter i syfte att genomföra en opinions- eller marknadsundersökning, även om undersökningen i och för sig skulle kunna sägas vara av allmänt intresse. Man kan dock också tänka sig att insamling av personuppgifter för viss privat- rättsligt bedriven statistikverksamhet skulle kunna vara tillåten utan samtycke, med stöd av en intresseavvägning med stöd av artikel 6.1 f i dataskyddsförordningen.

Dataskyddsförordningen kan således medföra vissa inskränk- ningar av möjligheterna att, utanför den reglerade statistikverksam- heten, samla in personuppgifter för rent statistiska ändamål, jämfört med vad som gäller enligt personuppgiftslagen. Det är inte längre tillräckligt att ett statistikprojekt är av allmänt intresse för att insam- ling av personuppgifter ska kunna ske utan samtycke från de registre- rade – behandlingen måste också vara nödvändig för att utföra en uppgift som är fastställd i unionsrätten eller den nationella rätten. Dessutom kan en intresseavvägning inte längre åberopas som rättslig grund för myndigheter när de fullgör sina uppgifter.

235

Arkiv och statistik

SOU 2017:39

Det är mycket vanligt att personuppgifter som ursprungligen har samlats in för helt andra ändamål vidarebehandlas för statistiska ända- mål, t.ex. som ett led i den personuppgiftsansvariges uppföljning av sin egentliga verksamhet. Sådan vidarebehandling är särskilt gynnad i dataskyddsförordningen, precis som i personuppgiftslagen. Uppgifter som ursprungligen samlats in för något annat ändamål kan alltså även i fortsättningen användas för statistiska ändamål, utan att denna nya behandling ska anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b i dataskyddsförordningen). En nyhet jämfört med per- sonuppgiftslagen är att det vid sådan vidarebehandling inte krävs någon annan separat rättslig grund än den med stöd av vilken insam- lingen av personuppgifter medgavs (skäl 50).

14.5.3Känsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter ska få behandlas för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Behandling av känsliga personuppgifter för statistiska ändamål får enligt artikel 9.2 j i dataskyddsförordningen ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsent- liga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Detta utrymme för undan- tag från förbudet mot behandling av känsliga personuppgifter aktua- liseras både vid insamling av personuppgifter för statistiska ändamål och vid vidarebehandling av uppgifter för sådana ändamål.

Vidarebehandling av personuppgifter för statistiska ändamål ska enligt artikel 5.1 b i dataskyddsförordningen visserligen inte anses vara oförenlig med de ursprungliga ändamålen. Känsliga person- uppgifter kan däremot inte vidarebehandlas för statistiska ändamål enbart på grundval av det undantag från förbudet som tillämpats vid behandling enligt det ursprungliga ändamålet. Detta följer av att artikel 9.2 j i förordningen förutsätter att gällande rätt innehåller

236

SOU 2017:39

Arkiv och statistik

bestämmelser om lämpliga och särskilda skyddsåtgärder för att säker- ställa den registrerades rättigheter och intressen.

Enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. I 19 § tredje stycket PUL anges att förutsättningarna enligt andra stycket ska anses uppfyllda om behandlingen har godkänts av en forsknings- etisk kommitté, dvs. ett sådant särskilt organ för prövning av forsk- ningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finan- sierar forskning.

I förarbetena till 19 § andra stycket PUL anges att viss statistik är så viktig att den inte bör vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke. Vidare framgår att det mot bakgrund av det finns många olikartade statistikprojekt, vilka som regel pågår bara under en begränsad tid, förefaller lämpligare att göra en avvägning i varje särskilt fall än att i lag införa generella regler om vilken statistik som ska tillåtas. Vid en sådan individuell avvägning kan olika faktorer kring projektet, t.ex. hur pass viktig den kunskap är som projektet kan ge, vägas mot intrånget i den enskildes person- liga integritet.10

Även vi anser att det inte är lämpligt att genom lagstiftning på för- hand avgöra exakt i vilka fall behandling av känsliga personuppgifter ska få ske för statistiska ändamål. Vi föreslår därför att det i data- skyddslagen införs en avvägningsnorm motsvarande den som finns i 19 § andra stycket PUL. Nödvändig behandling av känsliga person- uppgifter för statistiska ändamål ska således få ske om samhälls- intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. För att denna bestämmelse ska aktualiseras förutsätts givetvis att insamlingen av personuppgifter är tillåten med stöd av någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen eller att behandlingen utgör en tillåten vidarebehandling av för andra ändamål insamlade personuppgifter.

10 Prop. 1997/98:44 s. 71.

237

Arkiv och statistik

SOU 2017:39

Som tidigare har nämnts anser vi att sådana statistiska undersök- ningar som utgör en integrerad del av ett forskningsprojekt ska bedömas enligt de bestämmelser som gäller för behandling av person- uppgifter för forskningsändamål. Den avvägningsnorm som föreslås i detta avsnitt kommer därmed endast att vara tillämplig vid behand- ling av personuppgifter inom ramen för andra slags statistikprojekt, t.ex. vid framställning av verksamhetsstatistik. Sådan statistik, som alltså saknar samband med ett forskningsprojekt, torde inte komma att prövas av en forskningsetisk kommitté. Det saknas därför skäl att i dataskyddslagen införa en motsvarighet till 19 § tredje stycket PUL.

14.5.4Lämpliga skyddsåtgärder

Utredningens förslag: Personuppgifter som enbart behandlas för statistiska ändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Användningsbegränsningen ska gälla även för myndigheters användning av statistikuppgifter.

Behandling av personuppgifter för statistiska ändamål ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skydds- åtgärder för den registrerades rättigheter och friheter. Denna bestäm- melse, som är direkt tillämplig, måste den personuppgiftsansvarige följa. För att behandling av känsliga personuppgifter ska vara tillåten för statistiska ändamål krävs dessutom, enligt artikel 9.2 j i data- skyddsförordningen, att unionsrätten eller den nationella rätten inne- håller bestämmelser som sådana åtgärder.

I avsnitt 14.5.3 har vi föreslagit att dataskyddslagen ska förses med en bestämmelse som tillåter behandling av känsliga person- uppgifter för statistiska ändamål, under vissa förutsättningar. För- slaget, som har utformats enligt den modell som gäller enligt 19 § andra stycket PUL, innefattar ett krav på att samhällsintresset av det statistikprojekt där behandlingen ingår klart ska väga över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Det föreslagna villkoret kan i sig sägas utgöra en skyddsåtgärd i dataskyddsförordningens mening.

I avsnitt 14.4.4 angående behandling av personuppgifter för arkiv- ändamål har vi redogjort för vårt förslag att dataskyddslagen ska inne-

238

SOU 2017:39

Arkiv och statistik

hålla en begränsning som motsvarar 9 § fjärde stycket PUL, när det gäller möjligheterna att vidta åtgärder i fråga om den registrerade. En sådan användningsbegränsning bör även gälla i fråga om person- uppgifter som endast behandlas för statistiska ändamål. Personupp- gifter som enbart behandlas för statistiska ändamål ska därför få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Det saknas även här skäl att ange att uppgifter får användas med den registrerades samtycke. Någon saklig skillnad mellan vårt förslag och 9 § fjärde stycket PUL är inte avsedd.

Begränsningen i 9 § fjärde stycket PUL gäller inte vid myndig- heters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv.11 En allmän utgångs- punkt för behandling av personuppgifter för statistiska ändamål är emellertid att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person (skäl 162). Enligt vår mening står det klart att det finns vissa undantagssitua- tioner då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt bör där- emot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder ingen annan bedömning. Myndigheter bör därför inte undantas från den föreslagna använd- ningsbegränsningen. Om det inom något verksamhetsområde eller för någon viss myndighet skulle finnas behov av ett sådant undantag bör det övervägas särskilt.

11 Prop. 1997/98:44 s. 63.

239

Arkiv och statistik

SOU 2017:39

14.5.5Undantag från vissa av den registrerades rättigheter

Utredningens bedömning: Dataskyddslagen bör inte innehålla något generellt undantag från de registrerades rättigheter vid behandling för statistiska ändamål.

I avsnitt 14.3.1 har vi redogjort för artikel 14.5 b och 17.3 d i data- skyddsförordningen, som utgör direkt tillämpliga undantag från vissa av förordningens bestämmelser om de registrerades rättigheter. Om personuppgifter behandlas för statistiska ändamål får det dessutom, enligt artikel 89.2, i nationell rätt föreskrivas undantag från de rättig- heter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får emeller- tid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla det särskilda ändamålet och sådana undantag krävs för att uppnå detta ändamål.

Vi kan konstatera att det är mycket svårt att överblicka behovet och konsekvenserna av ett generellt undantag från de registrerades rättigheter vid behandling av personuppgifter för statistiska ändamål. Vi anser därför att dataskyddslagen inte bör innehålla någon sådan bestämmelse. Vid behov, och om det bedöms vara lämpligt, bör sådana undantag i stället införas i sektorsspecifika författningar.

Enligt 19 § fjärde stycket PUL får personuppgifter lämnas ut för att användas i sådana statistikprojekt som avses i 19 § andra stycket PUL, om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen innebär ingen skyldighet, endast en möjlighet, att lämna ut uppgifter. Av förarbetena framgår att bestäm- melsens syfte och konsekvens är att den statistiker som hämtar in uppgifter från någon annan än de registrerade inte behöver informera de registrerade om sin behandling. Bestämmelsen medför nämligen att det undantag från informationsplikten som föreskrivs i 24 § andra stycket PUL blir tillämpligt.12 Enligt detta undantag behöver informa- tion enligt första stycket samma paragraf inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgif- terna i en lag eller någon annan författning.

12 Prop. 1997/98:44 s. 127.

240

SOU 2017:39

Arkiv och statistik

I artikel 14.5 c i dataskyddsförordningen föreskrivs, på ett likartat sätt som i artikel 11.2 i dataskyddsdirektivet, att informationsplikten enligt artikel 14.1–4 inte gäller om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt. Dessutom anges i artikel 14.5 b i förord- ningen att informationsplikten inte gäller vid behandling av per- sonuppgifter för statistiska ändamål, om tillhandahållandet av infor- mation visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning eller om skyldigheten sannolikt skulle göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med behandlingen. Enligt vår bedömning fyller den sistnämnda bestämmelsen behovet på generell nivå av undantag från informationsplikten. Vi föreslår därför ingen bestämmelse som motsvarar 19 § fjärde stycket PUL. Bestämmelser som uttryckligen föreskriver att uppgifter ska lämnas ut eller samlas in, och som medför att informationsplikten enligt dataskyddsförordningen inte gäller, bör i stället övervägas på sektors- specifik nivå. Sådana bestämmelser finns redan bland annat i lagen och förordningen om den officiella statistiken.

241

Arkiv och statistik

SOU 2017:39

242

15 Förhandstillstånd

15.1Vårt uppdrag

I kommittédirektiven anges att vi ska överväga om regeringen också fortsättningsvis ska ha en generell möjlighet att meddela föreskrifter om krav på förhandstillstånd i vissa fall, eller om sådana föreskrifter endast bör tas in i sådan sektorsspecifik lagstiftning som ligger utan- för utredningens uppdrag.

15.2Gällande rätt

Enligt 41 § PUL har regeringen möjlighet att meddela föreskrifter om att behandlingar som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhandskontroll till tillsynsmyndigheten. Bestämmelsen har införts för att genomföra artikel 20.1 i dataskyddsdirektivet. Enligt artikeln ska medlemssta- terna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Det är tillsynsmyndig- heten som ska utföra förhandskontrollen sedan en anmälan kommit in från den personuppgiftsansvarige eller personuppgiftsombudet. Det har tidigare funnits vissa sådana bestämmelser i personupp- giftsförordningen men dessa har upphävts. Viss behandling som regleras i särskild ordning, t.ex. Skatteverkets behandling av person- uppgifter i samband med brottsutredningar, omfattas däremot av bestämmelser om förhandskontroll.1

1 2 § förordningen (1999:105) om behandling av personuppgifter vid Skatteverkets medver- kan i brottsutredningar.

243

Förhandstillstånd

SOU 2017:39

15.3Dataskyddsförordningen

Förhandssamråd regleras i artikel 36 i dataskyddsförordningen, och kommenteras i skäl 94. Av artikeln framgår att den personuppgifts- ansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning visar att behandlingen skulle leda till en hög risk, om inte den personuppgiftsansvarige skulle vidta åtgärder för att minska risken.

Om tillsynsmyndigheten anser att den planerade behandlingen skulle strida mot förordningen, ska tillsynsmyndigheten ge person- uppgiftsansvarig och personuppgiftsbiträde skriftliga råd och utnyttja sina befogenheter enligt artikel 58. Det gäller exempelvis att begära information, utfärda varningar om att planerade behandlingar sanno- likt kommer att bryta mot förordningen och förelägga den person- uppgiftsansvarige om rättelse eller radering.

Vid samråd med tillsynsmyndigheten ska den personuppgifts- ansvarige lämna viss närmare specificerad information, t.ex. ända- målen med och medlen för den avsedda behandlingen, de åtgärder som vidtas och de garantier som lämnas för att skydda de registre- rades rättigheter och friheter enligt denna förordning och den genomförda konsekvensutredningen. Underlåtenhet att utföra en konsekvensutredning och att samråda med tillsynsmyndigheten kan föranleda att sanktionsavgift påförs enligt artikel 83.4.

I artikel 36.5 ges medlemsstaterna utrymme att i sin nationella rätt i stället kräva att personuppgiftsansvariga alltid ska samråda med och erhålla förhandstillstånd av tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling för utförandet av en uppgift av allmänt intresse, inbegripet behandling avseende social trygghet och folkhälsa.

15.4Överväganden

Utredningens bedömning: Ett bemyndigande för regeringen att meddela föreskrifter om förhandstillstånd för vissa behandlingar bör inte tas in i dataskyddslagen, utan i de fall det bedöms nöd- vändigt tas in i sektorsspecifik reglering.

244

SOU 2017:39

Förhandstillstånd

Den enda generella reglering som har antagits med stöd av bemyn- digandet i 41 § PUL är den numera upphävda 10 § PUF. Bestäm- melsen innebar att automatiserade behandlingar av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning, skulle anmälas för förhandskontroll till Datainspektionen senast tre veckor i förväg. Bestämmelsen upphörde att gälla den 1 mars 2013.

Som nämnts ovan finns föreskrifter om anmälan för förhands- kontroll rörande behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Tidigare gällde även krav på för- handstillstånd för vissa behandlingar hos andra brottsbekämpande myndigheter, såsom polisen, Kustbevakningen och Tullverket.2 När det gäller polisen och Kustbevakningen har kraven på tillstånd nume- ra ersatts av ett samrådsförfarande.3 Det finns vidare en fortsatt möj- lighet för regeringen att förordna att viss behandling hos Tullverket kräver förhandstillstånd, genom en hänvisning till 41 § PUL i 6 § första stycket 7 lagen (2005:787) om behandling av uppgifter i Tull- verkets brottsbekämpande verksamhet. Möjligheten har dock inte utnyttjats.

Redan Datalagskommittén ansåg att skyldigheten att i förväg an- mäla behandlingar till tillsynsmyndigheten för förhandskontroll bor- de begränsas till ett minimum och att Datainspektionens resurser i stället skulle användas för att ge råd, sprida kunskap och utöva till- syn.4 Datalagskommittén ansåg dock att det skulle vara oförenligt med direktivet att införa en bestämmelse om att inga behandlingar måste kontrolleras på förhand. Det bedömdes som mest lämpligt att regeringen fick meddela sådana föreskrifter på förordningsnivå, var- för kommittén föreslog den delegationsbestämmelse som återfinns i 41 § PUL.5

Dataskyddsförordningen stadgar en relativt långtgående samråds- skyldighet i kombination med kraftfulla befogenheter och en möj- lighet att påföra sanktionsavgift om skyldigheten inte efterlevs. Ut- vecklingen i svensk rätt har alltmer rört sig mot ett avskaffande av tillståndsförfaranden och en utökad användning av samrådsförfaran-

2Se 2 § i numera upphävda polisdataförordningen (1999:81), 10 § tredje stycket numera upp- hävda förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen, och

2§ numera upphävda förordningen (2001:88) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

3Se 2 § polisdataförordningen (2010:1155) och 2 § kustbevakningsdataförordningen (2012:146).

4SOU 1997:39 s. 423 f.

5SOU 1997:39 s. 430.

245

Förhandstillstånd

SOU 2017:39

den. Förordningen ställer, till skillnad från dataskyddsdirektivet, inga krav på att medlemsstaterna ska reglera frågan om förhandstillstånd. Tvärtom är det ett av syftena med att dataskyddsreformen att minska byråkratin genom att avskaffa kravet på anmälningar och tillstånd.6 Den möjlighet som medlemsstaterna ges i artikel 36.5 att reglera till- ståndsfrågan är rent fakultativ.

Mot denna bakgrund bör skälen för en sådan reglering övervägas noga i varje enskilt fall och anpassas till de speciella förhållanden som råder inom den sektor där behandlingen är tänkt att ske. Vi menar därför att det inte finns skäl att generellt bemyndiga regeringen att meddela föreskrifter om förhandstillstånd. Sådana bemyndiganden får i stället, i de fall det bedöms nödvändigt, tas in i sektorsspecifik lag.

6 Europeiska kommissionens pressmeddelande den 15 december 2015 ”Överenskommelse om kommissionens reform av EU:s uppgiftsskydd stärker den digitala inre marknaden”.

246

16Godkännande av certifieringsorgan

16.1Vårt uppdrag

Enligt dataskyddsförordningen ska medlemsstaterna, Europiska data- skyddsstyrelsen och kommissionen, framför allt på unionsnivå, upp- muntra till att det införs certifieringsmekanismer och märkningar i syfte att personuppgiftsansvariga och personuppgiftsbiträden ska kunna visa att de uppfyller kraven i förordningen. Sådan certifiering kan utföras av särskilda certifieringsorgan eller av tillsynsmyndighe- ten. I kommittédirektiven anges att dataskyddsförordningen kräver att medlemsstaterna inför bestämmelser för hur sådana särskilda certifieringsorgan ska godkännas. Det ingår därför i vårt uppdrag att bedöma hur certifieringsorgan ska godkännas och att lämna sådana författningsförslag som är behövliga och lämpliga.

16.2Dataskyddsförordningen

Enligt artikel 24 i dataskyddsförordningen ska den personuppgifts- ansvarige kunna visa att behandlingen utförs i enlighet med denna förordning. Detta kan bland annat ske genom användning av godkän- da certifieringsmekanismer. Sådana mekanismer kan även användas för att visa att den personuppgiftsansvarige följer kraven i artikel 25 på inbyggt dataskydd och dataskydd som standard, att ett person- uppgiftsbiträde tillhandahåller tillräckliga garantier enligt artikel 28, och att lämpliga tekniska och organisatoriska åtgärder vidtas enligt artikel 32.

De godkända certifieringsmekanismer som avses i dessa bestäm- melser regleras närmare i artikel 42. Där anges bland annat att med- lemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska

247

Godkännande av certifieringsorgan

SOU 2017:39

uppmuntra, särskilt på unionsnivå, införandet av certifieringsmeka- nismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att personuppgiftsansvarigas eller personuppgifts- biträdens behandling är förenlig med förordningen (punkt 1). Certi- fieringsförfarandet ska vara frivilligt (punkt 3). Certifiering minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar för att förordningen efterlevs och påverkar inte tillsynsmyndigheter- nas uppgifter och befogenheter (punkt 4). Certifieringar ska utfärdas av särskilda certifieringsorgan, den behöriga tillsynsmyndigheten eller styrelsen (punkt 5).1

Särskilda certifieringsorgan ska enligt artikel 43 vara ackrediterade. Medlemsstaten ska säkerställa att certifieringsorganen är ackredite- rade av både eller endera av tillsynsmyndigheten och det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/20082. Ackrediteringen ska ske i enlighet med EN- ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av tillsynsmyndigheten. Certifieringsorgan får ackrediteras endast om vissa villkor som anges i artikeln är uppfyllda och på grundval av offentliggjorda kriterier som godkänts av tillsynsmyndigheten eller styrelsen.

Tillsynsmyndigheten tilldelas genom artikel 57.1 i dataskyddsför- ordningen en rad uppgifter som rör certifieringsmekanismen. Myn- digheten ska bland annat

godkänna certifieringskriterierna (led n),

genomföra en periodisk översyn av utfärdade certifieringar (led o),

utarbeta och offentliggöra kriterier för ackreditering av certifie- ringsorgan (led p), och

ackreditera certifieringsorgan (led q).

I artikel 58.3 anges att tillsynsmyndigheten ska ha befogenhet att

ackreditera certifieringsorgan (led e), och

utfärda certifieringar och godkänna certifieringskriterier (led f).

1Det kan dock noteras att uppgiften att utfärda certifiering inte nämns i de artiklar som anger styrelsens uppgifter.

2Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93.

248

SOU 2017:39

Godkännande av certifieringsorgan

16.3Överväganden

16.3.1Certifiering, ackreditering och Swedac

Certifiering är ett förfarande som syftar till att bedöma om vissa specificerade krav avseende till exempel en process eller ett organ har uppfyllts. Kraven kan handla om olika aspekter, exempelvis säkerhet eller hälsa. Kraven kan framgå av författning, branschöverenskom- melse eller standard.3

Med ackreditering avses ett formellt erkännande att ett organ är kompetent att utföra vissa specificerade tjänster. Ackrediteringen meddelas av ett särskilt ackrediteringsorgan efter genomförd utvär- dering. Ackreditering syftar till att bedöma och säkerställa att till- lämpliga krav uppfylls. I svensk lagstiftning som inte härrör från unionslagstiftning, dvs. som ligger utanför det harmoniserade områ- det, krävs ofta ackreditering för organ som utför kontroll, certifiering och liknande tjänster.4

Styrelsen för ackreditering och teknisk kontroll (Swedac) har utsetts att vara nationellt ackrediteringsorgan i Sverige och ansvarar för ackreditering enligt förordning (EG) nr 765/2008. Swedac ansva- rar enligt lagen (2011:791) om ackreditering och teknisk kontroll även för ackreditering i övrigt av organ för bedömning av överens- stämmelse. Även vid sådan ackreditering ska vissa bestämmelser i förordning (EG) nr 765/2008 tillämpas. Ett organ som vill bli ackre- diterat måste lämna en ansökan till Swedac som prövar och bedömer om organet uppfyller de krav som ställs. Förfaranderegler finns i för- ordningen (2011:811) om ackreditering och teknisk kontroll.

16.3.2Vår bedömning

Utredningens bedömning: Det bör för närvarande inte införas några ytterligare bestämmelser om hur certifieringsorgan ska god- kännas.

3Prop. 2010/11:80 s. 40.

4Prop. 2010/11:80 s. 42.

249

Godkännande av certifieringsorgan

SOU 2017:39

I kommittédirektiven anges att dataskyddsförordningen kräver att medlemsstaterna inför bestämmelser för hur särskilda certifierings- organ ska godkännas. Av förordningens slutliga lydelse är det emel- lertid svårt att utläsa något sådant krav.

I artikel 43.1 anges att medlemsstaterna ska säkerställa att certifie- ringsorgan är ackrediterade av antingen tillsynsmyndigheten eller av det nationella ackrediteringsorganet eller av båda dessa. Frågan är vad som avses med uttrycket ”säkerställa” i detta sammanhang. I den engelska språkversionen används uttrycket ensure. En möjlig tolkning är att det ankommer på medlemsstaten att se till att de certifierings- organ som verkar på marknaden är ackrediterade. Detta bör dock snarare vara en uppgift för tillsynsmyndigheten, än för staten som sådan. En rimligare tolkning, som dock ligger längre från bestäm- melsens ordalydelse, är att staten är skyldig att se till att antingen till- synsmyndigheten eller det nationella ackrediteringsorganet eller att dessa båda organ har de befogenheter och verktyg som behövs för att ackreditera certifieringsorgan.

Tillsynsmyndighetens uppgift och befogenhet att ackreditera certifieringsorgan anges uttryckligen i artiklarna 57.1 q och 58.3 e. Ett organ som vill bli ackrediterat måste därmed anses ha en direkt på förordningen grundad rätt att få sin överensstämmelse med kra- ven bedömda av tillsynsmyndigheten. Det kan mot denna bak- grund inte komma i fråga att genom nationell lagstiftning vare sig tilldela eller frånta tillsynsmyndigheten denna uppgift.

Swedac är i Sverige det nationella ackrediteringsorgan som utpekas i artikel 43.1 b. Swedac ansvarar enligt sin instruktion5 även för annan ackrediteringsverksamhet än den som avses i förordning (EG) nr 765/2008. Det regelverk som på nationell nivå kompletterar för- ordning (EG) nr 765/2008, till exempel avseende förfarandet, är tillämpligt även på sådan annan ackrediteringsverksamhet. För det fall att ett organ som vill bli ackrediterat skulle anses ha en direkt på förordningen grundad rätt att få sin överensstämmelse med kraven bedömda av det nationella ackrediteringsorganet torde det således inte behövas några ytterligare författningsåtgärder.

Det kan noteras att det i artikel 70.1 o anges att även Europeiska dataskyddsstyrelsen, på eget initiativ eller på begäran av kommis-

5 Förordningen (2009:895) med instruktion för Styrelsen för ackreditering och teknisk kon- troll.

250

SOU 2017:39

Godkännande av certifieringsorgan

sionen, ska ackreditera certifieringsorgan. Det får förutsättas att avsikten är att en ackreditering som beslutats av styrelsen ska fylla samma självständiga funktion som annan ackreditering enligt data- skyddsförordningen. Mot den bakgrunden framstår medlemsstater- nas skyldighet enligt artikel 43.1 att ”säkerställa” att certifierings- organ är ackrediterade av både eller endera av tillsynsmyndigheten och det nationella ackrediteringsorganet som än mer svårfångad. Det kan även av detta skäl ifrågasättas om det krävs några ytterligare bestämmelser i svensk rätt för hur certifieringsorgan ska godkännas.

Enligt artiklarna 43.8 och 43.9 får kommissionen anta delegerade akter och genomförandeakter rörande bland annat certifieringsmeka- nismen. Förhoppningsvis klarnar rättsläget genom dessa rättsakter. I avvaktan på att kommissionen antar sådana akter, och med tanke på att i vart fall tillsynsmyndigheten redan genom förordningens direkt tillämpliga bestämmelser har rätt och skyldighet att ackreditera certi- fieringsorgan, lämnar vi inte några författningsförslag om hur certifie- ringsorgan ska godkännas.

251

Godkännande av certifieringsorgan

SOU 2017:39

252

17 Sekretess

17.1Vårt uppdrag

Dataskyddsförordningen innehåller bestämmelser om tystnadsplikt och konfidentialitet hos tillsynsmyndigheten och för dataskydds- ombud. I båda fallen hänvisar förordningen till nationell rätt. Offentlighets- och sekretesslagen innehåller dels en bestämmelse om sekretess hos Datainspektionen som aktualiseras i detta sammanhang, dels flera bestämmelser som hänvisar till personuppgiftslagen. Dessa bestämmelser måste ses över med anledning av den nya regleringen i förordningen och personuppgiftslagens upphävande.

Vårt uppdrag när det gäller sekretessfrågor har tre delar. Vi ska för det första analysera om nuvarande sekretessbestämmelser behöver anpassas med anledning av förordningens reglering om tystnadsplikt hos tillsynsmyndigheten. För det andra ska vi analysera vilken regle- ring som behöver införas i svensk rätt med anledning av förord- ningens bestämmelser om sekretess och tystnadsplikt för dataskydds- ombud. Slutligen ska vi överväga hur de bestämmelser i offentlighets- och sekretesslagen som innehåller hänvisningar till personuppgifts- lagen bör anpassas till den nya regleringen.

17.2Allmänt om grundlags- och sekretessregleringen

Offentlighetsprincipen innebär att allmänheten och massmedierna ska ha insyn i statens och kommunernas verksamhet. Offentlighets- principen kommer till uttryck på olika sätt, exempelvis genom yttran- de- och meddelarfrihet för tjänstemän, genom domstolsoffentlighet och genom offentlighet vid beslutande församlingars sammanträden. När det mer allmänt talas om offentlighetsprincipen brukar man i första hand syfta på reglerna om allmänna handlingars offentlighet. Dessa regler finns i tryckfrihetsförordningens andra kapitel.

253

Sekretess

SOU 2017:39

Enligt 2 kap. 2 § första stycket tryckfrihetsförordningen får rätten att ta del av allmänna handlingar begränsas endast om det är påkallat med hänsyn till vissa angivna intressen, däribland enskilds personliga eller ekonomiska förhållanden. En sådan begränsning ska enligt andra stycket anges noga i en bestämmelse i en särskild lag eller, om det i ett visst fall är lämpligare, i en annan lag vartill den särskilda lagen hän- visar. Efter bemyndigande i en sådan bestämmelse får regeringen genom förordning meddela närmare föreskrifter om bestämmelsens tillämplighet.

Med handling förstås enligt 2 kap. 3 § första stycket tryckfrihets- förordningen en framställning i skrift eller bild samt en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tek- niskt hjälpmedel. Handlingsbegreppet i tryckfrihetsförordningen omfattar således även sådan automatiserad behandling som avses i personuppgiftslagen och dataskyddsförordningen.

En handling är allmän om den förvaras hos en myndighet och enligt 2 kap. 6 eller 7 § tryckfrihetsförordningen är att anse som inkommen till eller upprättad hos en myndighet. En upptagning ska enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen anses vara förvarad hos en myndighet om upptagningen är tillgänglig för myn- digheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses enligt 2 kap. 10 § tryckfrihetsförordningen inte som allmän handling hos den myndigheten.

Offentlighets- och sekretesslagen utgör i dag den särskilda lag som avses i 2 kap. 2 § andra stycket tryckfrihetsförordningen. Reger- ingen har meddelat närmare tillämpningsföreskrifter i offentlighets- och sekretessförordningen (2009:641).

Sekretess innebär enligt 3 kap. 1 § OSL ett förbud att röja en upp- gift, oavsett om det sker genom utlämnande av en handling eller genom att röja uppgiften muntligen eller på något annat sätt. Sekre- tessen innebär således dels handlingssekretess, dels tystnadsplikt. Av 2 kap. 2–4 § OSL framgår att riksdagen, beslutande kommunala för- samlingar och sådana organ som avses i 2 kap. 3 och 4 §§ OSL ska jämställas med myndighet vid tillämpning av offentlighets- och sekre- tesslagen. Bestämmelser om tystnadsplikt finns också utanför offent-

254

SOU 2017:39

Sekretess

lighets- och sekretesslagens tillämpningsområde, exempelvis för an- ställda inom den privata hälso- och sjukvården och för advokater.

17.3Sekretess hos tillsynsmyndigheten

17.3.1Gällande rätt

Enligt artikel 28.7 i dataskyddsdirektivet ska medlemsstaterna före- skriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, ska ha tystnadsplikt med avseende på för- trolig information som de har tillgång till.

Enligt 32 kap. 1 § OSL gäller sekretess hos Datainspektionen bland annat i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.

Sekretessen gäller till skydd för uppgifter om en enskilds per- sonliga eller ekonomiska förhållanden och omfattar alltså såväl upp- gifter om fysiska personer, till exempel uppgifter om registrerade i ett kund- eller ärendehandläggningssystem, som uppgifter som hänför sig till näringsidkares affärs- eller driftförhållanden. Det har också ansetts att sekretess till skydd för enskilds personliga och ekono- miska förhållanden kan gälla det faktum att det är en viss person som har lämnat vissa uppgifter. Uppgifter som lämnas till en myndighet och som indirekt kan avslöja en uppgiftslämnares identitet på grund av att bara en viss person eller befattningshavare kan ha kännedom om dem kan också omfattas av sekretessen om de kan röja den enskildes identitet.1

Sekretessen i 32 kap. 1 § OSL gäller med ett så kallat rakt skade- rekvisit. Det innebär att en presumtion för offentlighet gäller. Ett rakt skaderekvisit innebär normalt att det är uppgifternas karaktär som får avgöra om sekretess gäller eller inte. Avsikten är att skade- bedömningen i dessa fall i huvudsak ska kunna göras med utgångs- punkt i själva uppgiften. Frågan om sekretess gäller behöver där- med inte i första hand knytas till en skadebedömning i det enskilda

1 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 32 kap. 8a § OSL.

255

Sekretess

SOU 2017:39

fallet. Avgörande bör i stället vara om uppgiften är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös ska den alltså normalt anses falla utanför sekretessen. Om uppgiften i stället typiskt sett måste betraktas som känslig omfattas den nor- malt av sekretess.2 Det har förutsatts att skaderekvisitet i 32 kap. 1 § OSL får tolkas med beaktande av den sekretess som gäller för personuppgifterna i verksamheten hos den myndighet uppgifterna kommer ifrån3, och att paragrafen vid behov bör tolkas unionskon- formt i förhållande till direktivets krav på tystnadsplikt.4 Sekretessens räckvidd enligt bestämmelsen begränsas till ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av Data- inspektionen. Sekretessen gäller i högst sjuttio år för uppgifter i all- männa handlingar.

Bestämmelsen i 11 kap. 1 § första stycket OSL om överföring av sekretess i tillsynsverksamhet är i praktiken inte tillämplig på Data- inspektionens uppgifter när det gäller sekretess till skydd för enskil- das förhållanden, eftersom det i 11 kap. 8 § samma lag föreskrivs att bestämmelserna om överföring av sekretess inte gäller om uppgiften hos den mottagande myndigheten redan omfattas av en annan bestämmelse till skydd för samma intresse.

Då det gäller sekretess till skydd för andra intressen tillämpas bestämmelserna i 15–19 kap. OSL. Exempelvis skulle bestämmelserna om utrikessekretess i 15 kap. 1 § och om sekretess i det interna- tionella samarbetet i 15 kap. 1a § kunna bli tillämpliga i vissa situa- tioner, liksom sekretessen till skydd för inspektionsförberedelser i 17 kap. 1 § och sekretessen till skydd för säkerhets- eller bevak- ningsåtgärd avseende system för automatiserad behandling av infor- mation i 18 kap. 8 § 3.

2Prop. 1979/80:2 Del A s. 80 f.

3Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 32 kap. 1 § OSL.

4Prop. 1997/98:44 s. 146.

256

SOU 2017:39

Sekretess

17.3.2Dataskyddsförordningen

Enligt artikel 54.2 i dataskyddsförordningen ska varje tillsynsmyn- dighets ledamöter och personal, i enlighet med unionsrätten eller medlemsstaternas nationella rätt, omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden ska tyst- nadsplikten i synnerhet gälla rapportering från fysiska personer om överträdelser av förordningen.

17.3.3Överväganden

Utredningens bedömning: Någon förändring av den befintliga sekretessbestämmelsen till skydd för enskildas personliga och ekonomiska förhållanden i Datainspektionens verksamhet krävs inte till följd av dataskyddsförordningens reglering om tystnads- plikt för ledamöter och personal hos tillsynsmyndigheten.

Utredningen om tillsynen över den personliga integriteten har i betänkandet SOU 2016:65 föreslagit att Datainspektionen ska vara tillsynsmyndighet enligt dataskyddsförordningen och att detta ska framgå av förordningen (2007:975) med instruktion för Datain- spektionen. Våra direktiv är också skrivna med denna utgångspunkt. De fortsatta resonemangen kommer därför att utgå från detsamma.

Dataskyddsförordningen innehåller inga skäl som skulle kunna ge ledning för den närmare tolkningen av artikel 54.2. Artikelns orda- lydelse antyder dock att det främst är sekretess till skydd för enskil- das personliga och ekonomiska förhållanden som avses och inte sekretess till skydd för t.ex. tillsynsmyndighetens verksamhet. Hän- visningen till medlemsstaternas nationella rätt och begränsningen till konfidentiell information gör enligt vår bedömning att medlems- staterna har relativt stort utrymme att utforma en lämplig reglering.

Det är framför allt bestämmelsen i 32 kap. 1 § OSL som reglerar skyddet för enskildas personliga och ekonomiska förhållanden hos Datainspektionen. I artikel 54.2 används termen tystnadsplikt och att denna ska gälla både under och efter ledamöters och personals man- dattid. Som nämnts ovan innebär bestämmelser om sekretess i offent-

257

Sekretess

SOU 2017:39

lighets- och sekretesslagen både handlingssekretess och tystnadsplikt. Sekretessen enligt 32 kap. 1 § OSL gäller i upp till sjuttio år. Av 2 kap. 1 § OSL framgår att en befattningshavare som är skyldig att iaktta sekretess också är det sedan han eller hon har lämnat sin befattning.5

Om uppgifter har lämnats till Datainspektionen från en tillsyns- myndighet i någon annan medlemsstat inom ramen för det samarbete som förutsätts i förordningen sker detta i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspek- tionen och omfattas därmed av sekretessen i 32 kap. 1 § OSL. Det kan också noteras att sekretessen gäller även för företrädare för till- synsmyndigheter i andra medlemsstater som enligt artikel 62.3 i för- ordningen förordnats att utföra vissa uppgifter eller att inom ramen för vissa angivna befogenheter annars agera för den svenska tillsyns- myndighetens räkning, så länge kraven i 2 kap. 1 § OSL är uppfyllda.

Med den tolkning bestämmelsen har fått i svensk rätt bedömer vi att den utgör ett tillräckligt sådant skydd för enskildas personliga och ekonomiska förhållanden som förutsätts i förordningen. Det har inte heller framkommit något under utredningen som talar för att bestämmelsen om sekretess i Datainspektionens verksamhet har förorsakat tillämpningssvårigheter eller att sekretessen skulle vara otillräcklig ur ett integritetsperspektiv.

Datainspektionens uppgift att handlägga tillsynsärenden enligt dataskyddsförordningen kommer att framgå av myndighetens in- struktion. Därmed regleras inspektionens tillsynsverksamhet enligt dataskyddsförordningen i författning på det sätt som förutsätts i 32 kap. 1 § OSL. Några förändringar i bestämmelsens ordalydelse bedöms därför inte nödvändiga.

I detta sammanhang kan det förtjäna att påpekas att den incident- rapportering som förutsätts ske till tillsynsmyndigheten i enlighet med artikel 33 i förordningen, i praktiken kan innebära en upplysning om att ingivarens it-system är sårbart för attacker. Uppgiften om vem som har lämnat in en sådan rapport kan alltså innebära en säkerhets- risk. Uppgifter om ingivare av incidentrapportering avseende säker- hetsbrister i it-system till Post- och telestyrelsen, liksom uppgifter om innehållet i rapporterna, har i ett tidigare lagstiftningsärende an- setts omfattas av sekretessen till skydd för säkerhets- och bevak-

5 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 2 kap. 1 § OSL.

258

SOU 2017:39

Sekretess

ningsåtgärder avseende system för automatiserad behandling av infor- mation i 18 kap. 8 § OSL.6 Vår bedömning är att motsvarande skydd kommer att gälla för uppgifter som rör incidentrapportering enligt förordningens artikel 33. I vilken mån den uppgiften kan hemlighållas i diariet får bedömas enligt 5 kap. 2 § och 18 kap. 8 § OSL.7

17.4Tystnadsplikt för dataskyddsombud

17.4.1Gällande rätt

I dataskyddsdirektivet finns bestämmelserna om motsvarigheten till förordningens dataskyddsombud i artikel 18 andra och tredje streck- satserna. Där framgår att en anmälan om behandling till tillsyns- myndigheten kan underlåtas om den registeransvarige i enlighet med nationell lagstiftning utser ett uppgiftsskyddsombud. Ombudet ska bland annat ha till uppgift att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av direktivet. I direktivet finns inga bestämmelser om tystnads- plikt eller sekretess för uppgiftsskyddsombud.

Direktivets bestämmelser har implementerats i svensk rätt ge- nom bestämmelserna om personuppgiftsombud i 38–40 §§ PUL. Inte heller i svensk rätt finns någon särskild reglering om tystnads- plikt för personuppgiftsombud.

17.4.2Dataskyddsförordningen

Ett dataskyddsombud ska enligt förordningen ha till uppgift att informera de personuppgiftsansvariga, biträden och anställda om skyldigheterna enligt förordningen och andra unions- eller medlems- statsreglerade dataskyddsbestämmelser. Ombudet ska också bland annat övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten (artikel 39).

6Prop. 2003/04:93 s. 82.

7Utredningen om genomförande av NIS-direktivet, Ju 2016:11, har i uppdrag att överväga om det nuvarande sekretesskyddet för rapportering av it-incidenter i 18 kap. 8 § OSL är till- räckligt och att annars föreslå ändringar i offentlighets- och sekretesslagen för att känslig information i incidentrapporter ska kunna skyddas (dir. 2016:29).

259

Sekretess

SOU 2017:39

Myndigheter som behandlar personuppgifter måste utnämna data- skyddsombud. Detsamma gäller personuppgiftsansvariga eller biträ- den som utför behandling där omfattningen, ändamålen eller upp- gifternas karaktär motiverar att ett ombud utses (artikel 37). I artik- larna 37.5 och 38 finns bestämmelser om dataskyddsombudets kvali- fikationer och ställning. I artikel 37.6 stadgas att dataskyddsombudet får ingå i den personuppgiftsansvariges eller biträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal. Av sammanhanget framgår alltså tydligt att ombudet ska vara en fysisk person. Flera myndigheter eller flera bolag i en koncern kan ha ett gemensamt data- skyddsombud under vissa förutsättningar (artikel 37.2–3).

Enligt artikel 38.5 ska dataskyddsombudet, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller kon- fidentialitet i enlighet med unionsrätten eller medlemsstaternas natio- nella rätt.

17.4.3Överväganden och förslag

Utredningens förslag: Den som utsetts till dataskyddsombud enligt dataskyddsförordningen ska inte obehörigen få röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga eller ekonomiska förhållanden.

Utredningens bedömning: I det allmännas verksamhet är regle- ringen i offentlighets- och sekretesslagen tillräcklig för att uppfylla kraven på tystnadsplikt för dataskyddsombud enligt förordningen.

Bakgrund

Regleringen i offentlighets- och sekretesslagen är detaljerad och diffe- rentierad, och har anpassats med hänsyn till uppgifternas känslighet, intresset av insyn och intresset av skydd i vissa specifika verksamheter. Det är förbjudet för myndigheter att röja en sekretessbelagd uppgift. Förbudet gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund (2 kap. 1 § OSL).

260

SOU 2017:39

Sekretess

I den privata sektorn gäller i stället som huvudregel att den som disponerar över information i princip själv bestämmer om utläm- nande av den till andra, med de begränsningar som dataskyddsregle- ringen ställer upp. Inom flera olika verksamhetsområden i den privata sektorn gäller emellertid tystnadsplikt enligt lag, ofta reglerad som ett förbud mot att röja vissa uppgifter obehörigen. Det gäller bland annat verksamheter i välfärdssektorn såsom skola och hälso- och sjukvård. Men det finns också exempel på tystnadsplikt i privat verksamhet som inte har någon motsvarighet i det allmännas verksamhet, utan som skyddar information som lämnas till personer i olika slag av för- troendeställning, såsom exempelvis tystnadsplikt för revisorer och skyddsombud, eller den tystnadsplikt som följer av den så kallade banksekretessen.8

I dessa fall har obehörighetsrekvisitet sammanfattningsvis tolkats som att ett utlämnande av uppgifter får ske om den uppgiften rör har lämnat sitt samtycke, om uppgifter lämnas vidare till personer inom den berörda verksamheten som behöver dem för verksamheten eller om uppgifterna enligt lag eller annan författning ska lämnas ut, exem- pelvis till en tillsynsmyndighet.9

Författningsreglerad tystnadsplikt, oavsett om den följer av offent- lighets- och sekretesslagen eller av särskilda bestämmelser om tyst- nadsplikt för den privata sektorn, är som regel förenad med straff- ansvar. I 20 kap. 3 § brottsbalken regleras det generella straffansvaret för brott mot tystnadsplikt. Straffansvaret gäller var och en som har skyldighet att hemlighålla en uppgift enligt lag eller annan författning, förutsatt att straffansvaret inte har reglerats särskilt. Konsekvensen av att en tystnadsplikt införs i författning blir alltså, om inget annat stadgas, att med regleringen följer ett straffansvar.

Vår bedömning

Det finns inget uttalande i skälen som ger ledning vid tolkning av kravet på sekretess för dataskyddsombud i förordningens artikel 38.5. Sannolikt syftar bestämmelsen till att skydda framför allt sådan infor- mation om den personuppgiftsansvariges eller biträdets affärs- och

89 kap. 41 § aktiebolagslagen (2005:551) och 26 § revisorslagen (2001:883), 7 kap. 13 § arbets- miljölagen (1977:1160) samt 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse.

9Se exempelvis prop. 2002/03:139 s. 479.

261

Sekretess

SOU 2017:39

driftsförhållanden som dataskyddsombudet kan komma att få tillgång till vid utövandet av sitt uppdrag. Det kan dock inte uteslutas att avsikten också har varit att skydda anmälares namn eller andra upp- gifter om enskildas personliga förhållanden.

Det faktum att bestämmelsen hänvisar till nationell rätt innebär att medlemsstaterna har stor frihet att utforma en lämplig reglering. Eftersom bestämmelsen enligt sin ordalydelse är tvingande finns det däremot enligt vår bedömning ingen möjlighet att helt lämna denna fråga oreglerad.

För det allmännas räkning kan det enligt vår mening inte komma ifråga att särskilt reglera sekretessen för dataskyddsombud, utöver den sekretess som redan gäller i alla de vitt skilda verksamhetstyper som omfattas av dataskyddsförordningens tillämpningsområde. Det får förutsättas att det i verksamheter där känsliga uppgifter förekom- mer redan gäller sekretess enligt offentlighets- och sekretesslagen i den utsträckning som är motiverad i just den verksamheten. Så länge dataskyddsombudet innehar en sådan anställning eller uppdrag som avses i 2 kap. 1 § andra stycket OSL omfattas han eller hon av sekre- tessen. Vår bedömning är att ett dataskyddsombud i allmänhet får anses delta i verksamheten på ett sådant sätt som förutsätts i nämnda bestämmelse.

Vi bedömer inte heller att ett dataskyddsombud som innehar en sådan anställning eller ett sådant uppdrag i allmänhet kan anses upp- träda självständigt i förhållande till den övriga verksamheten inom myndigheten i den mening som avses i 2 kap. 8 § tryckfrihetsför- ordningen. På många sätt påminner dataskyddsombudets ställning enligt förordningens artikel 38 om den som en internrevisor intar när det gäller självständighet och förhållande till ledningen.10 Högsta för- valtningsdomstolen har i HFD 2013 ref. 40 bedömt att en intern- revisor vid Jordbruksverket inte intog en sådan självständig ställning att en rapport som överlämnats till den granskade verksamheten skulle anses expedierad.

Om det skulle visa sig att tystnadsplikten för dataskyddsombud i det allmännas verksamhet är otillräcklig, får frågan om en särskild sekretessreglering övervägas på nytt.

10 En internrevisor vid en myndighet ska enligt internrevisionsförordningen (2006:1228) och Ekonomistyrningsverkets tillhörande föreskrifter, ESV Cirkulär 2007:1, senast ändrade genom ESV Cirkulär 2015:4, inrättas direkt under myndighetens ledning och vara självständig i förhål- lande till den granskade verksamheten.

262

SOU 2017:39

Sekretess

Utanför den krets som anges i 2 kap. 2–4 §§ OSL − dvs. myndig- heter, sådana juridiska personer där kommuner och landsting har ett rättsligt bestämmande inflytande och de organ som finns upptagna i bilagan till offentlighets- och sekretesslagen − finns det däremot ingen reglering som skyddar uppgifter som dataskyddsombudet får tillgång till vid utförandet av sitt uppdrag. För att Sverige ska uppfylla dataskyddsförordningens krav måste bestämmelser om tystnadsplikt för dataskyddsombud i den privata sektorn införas.

Som framgår ovan finns det en rad tystnadsplikter som är ägnade att skydda uppgifter som lämnas till personer som i egenskap av sin ställning och för att kunna utföra sitt uppdrag måste åtnjuta förtro- ende, såsom exempelvis revisorer och skyddsombud. Dataskydds- ombudets ställning kan i vissa avseenden likställas med revisorns eller skyddsombudets, och tystnadsplikten för dataskyddsombud bör där- för utformas på ett liknande sätt. Tystnadsplikten ska således avgrän- sas med ett obehörighetsrekvisit vilket bland annat innebär att upp- gifter kan lämnas ut med samtycke, till tillsynsmyndighet eller annars som en följd av en skyldighet i lag eller författning.

17.5Sekretess för uppgifter som behandlas i strid mot personuppgiftsregleringen

17.5.1Gällande rätt

Sekretessbestämmelsen i 21 kap. 7 § OSL innebär att sekretess gäller för personuppgifter, om det kan antas att ett utlämnande skulle med- föra att uppgiften behandlas i strid med personuppgiftslagen. Även om paragrafens formulering är något oklar, får det numera anses fastslaget i praxis att den enbart tar sikte på mottagarens behandling av personuppgifter.11 Det som ska bedömas enligt bestämmelsen är alltså endast huruvida mottagarens avsedda behandling av de person- uppgifter som begärs ut uppfyller kraven enligt personuppgiftslagen.

Sekretessen enligt 21 kap. 7 § OSL gäller med ett rakt skaderekvi- sit, dvs. det ska presumeras att sekretess inte hindrar att personupp- gifterna lämnas ut. I förarbetena till den motsvarande sekretess- bestämmelse som gällde under datalagens tid anfördes att en begäran

11 HFD 2014 ref. 66.

263

Sekretess

SOU 2017:39

om massuttag eller selekterade uppgifter alltid borde utgöra anledning för myndigheten att närmare utreda hur det är avsett att uppgifterna ska användas och att det är först om sökanden kan ange en godtagbar förklaring som uppgifterna bör lämnas ut.12

Bestämmelsen i 21 kap. 7 § OSL har utretts flera gånger under 2000-talet. Inledningsvis sågs den över av Offentlighets- och sekre- tesskommittén (SOU 2003:99) och därefter av Personuppgifts- lagsutredningen (SOU 2004:6). Personuppgiftslagsutredningen före- slog bland annat att det skulle förtydligas att prövningen enligt sekretessbestämmelsen ska avse om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med personupp- giftslagen. Riksdagens ombudsmän (JO) har i remissyttranden över dessa betänkanden anfört att sekretessbestämmelsen bör upphävas. Som skäl har JO bland annat anfört att en sekretessbestämmelse som förutsätter att en myndighet måste skaffa sig en uppfattning om syftet med en begäran om utlämnande av handlingar eller uppgifter stämmer dåligt med det s.k. efterfrågeförbudet i 2 kap. 14 § tredje stycket tryckfrihetsförordningen.13 Varken Offentlighets- och sekre- tesskommitténs eller Personuppgiftslagutredningens förslag till ändring av sekretessbestämmelsen har genomförts.

Frågan om tillämpningen av 21 kap. 7 § OSL har också utförligt behandlats av E-offentlighetskommittén, som bland annat hade till uppgift att överväga om bestämmelsen borde upphävas. Kommittén fann att bestämmelsen fyller i vart fall en viss begränsad funktion och därför inte borde upphävas. Vidare föreslog kommittén bland annat att bestämmelsen skulle förtydligas så att det inte råder någon tvekan om att det bara är sökandens efterföljande behandling som är relevant för den sekretessprövning som ska göras och inget annat. 14 Förslaget har ännu inte lett till lagstiftning. Bestämmelsens innebörd och histo- rik behandlas också utförligt i Informationshanteringsutredningens betänkande.15

JO har uttalat följande till klargörande av hur bestämmelsen ska tillämpas mot bakgrund av efterfrågeförbudet i 2 kap. 14 § tredje stycket tryckfrihetsförordningen (dnr 1102-2004).

12Prop. 1973:33 s. 140.

13JO dnr 1102-2004 och 1849-2004.

14SOU 2010:4 s. 317 f.

15SOU 2015:39 s. 436 f.

264

SOU 2017:39

Sekretess

Det står klart att myndigheten inte får börja ställa frågor om sökandens tilltänkta användning bara för att en personuppgift begärs utlämnad. Det krävs för det första att det finns någon konkret om- ständighet som gör att det kan antas att personuppgiften efter utläm- nandet kommer att behandlas på ett sätt som omfattas av person- uppgiftslagen. Sådana omständigheter kan – förutom de upplysningar som sökanden på eget initiativ kan ha lämnat om sin tilltänkta användning av uppgifterna – vara att sökanden begär att få ut uppgifter om väldigt många personer från ett register (ett s.k. massuttag) eller uppgifter om ett urval av personer med vissa karakteristika, t.ex. inkomst, språktillhörighet, politisk tillhörighet osv. (s.k. selekterade uppgifter). Först om det på grund av någon konkret omständighet finns skäl att anta att sökanden kommer att behandla uppgifterna på ett sätt som omfattas av personuppgiftslagen, t.ex. därför att begäran omfattar uppgifter om många personer, finns det anledning att genom frågor till sökanden försöka ta reda på hur och till vad sökanden ska använda uppgifterna för att kunna bedöma om den tilltänkta behand- lingen strider mot personuppgiftslagen. Myndigheten får dock enligt 2 kap. 14 § tredje stycket tryckfrihetsförordningen inte ställa mer inträngande eller fler frågor än som behövs för att göra en sekretess- bedömning.

Det är vidare värt att notera att det i praxis har tydliggjorts att sekre- tessen inte gäller om de utlämnade uppgifterna ska behandlas av per- sonuppgiftsansvariga som är etablerade utomlands, där personupp- giftslagen inte är tillämplig (HFD 2014 ref. 66).

17.5.2Överväganden och förslag

Utredningens förslag: Sekretess ska gälla för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskydds- lagen.

Bestämmelsen i 21 kap. 7 § OSL har som framgått ovan varit föremål för överväganden under lång tid. Den senaste utvärderingen, som skedde av den parlamentariskt sammansatta E-offentlighetskom- mittén, kom fram till att bestämmelsen fortsatt fyller en viss begrän- sad funktion och inte bör upphävas. Våra direktiv lämnar inte utrym- me för överväganden som rör ett eventuellt upphävande av bestäm- melsen, utan handlar enbart om anpassning av bestämmelsen till den nya regleringen. Det kan dock i detta sammanhang konstateras att

265

Sekretess

SOU 2017:39

det följer av förordningens artikel 86 att nationella bestämmelser om tillgång till allmänna handlingar ges företräde framför förordningens bestämmelser om skydd för personuppgifter. I artikeln nämns att detta görs för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd av personuppgifter enligt förord- ningen. Bestämmelsen i 21 kap. 7 § OSL innebär ett uttryckligt stöd i svensk rätt för en sådan sammanjämkning mellan de nämnda rättig- heterna, vilket möjligen ytterligare talar för att bestämmelsen fyller en funktion även fortsättningsvis.

Eftersom vi föreslår att personuppgiftslagen ska upphävas och materiellt ersättas av dataskyddsförordningen och vårt förslag till dataskyddslag, måste bestämmelsen ändras.

Den lösning som ligger närmast till hands är enligt vår mening då att ersätta hänvisningen till personuppgiftslagen med en hänvisning till dataskyddsförordningen och den dataskyddslag vi föreslår. Detta kan innebära en risk för att den prövning som ska utföras kompli- ceras något. Förordningens bestämmelser är betydligt mer omfat- tande och i vissa avseenden mer detaljerade än personuppgiftslagens. Det bör dock betonas att det som en utlämnande myndighet ska pröva är om det kan antas att en uppgift efter ett utlämnande kommer att behandlas i strid med förordningen eller dataskyddslagen. Som framgår av äldre förarbeten och JO:s uttalanden får vidare undersök- ningar vidtas endast om det finns konkreta omständigheter som indi- kerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. massuttag eller selek- terade uttag. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras. Rekvisitet ”kan antas” torde också innebära att någon fullständig bedömning av om behandlingen kommer att strida mot förordningen inte krävs.

En materiell skillnad som den föreslagna förändringen kommer att medföra är att utlämnanden till utländska mottagare som omfat- tas av dataskyddsförordningens tillämpningsområde också kommer att omfattas av sekretessbestämmelsen.

Vår bedömning är att den ordning som tydliggjorts genom Högsta förvaltningsdomstolens avgörande (HFD 2014 ref. 66) inne- bär en omotiverad åtskillnad i skydd för personuppgifter som lämnas ut till personuppgiftsansvariga som inte är etablerade i Sverige. Det medför att svenska personuppgiftsansvariga missgynnas jämfört med personuppgiftsansvariga i andra medlemsstater på ett sätt som kan

266

SOU 2017:39

Sekretess

ifrågasättas utifrån dataskyddsförordningens syfte. En ordning där bestämmelsen inte är tillämplig gentemot personuppgiftsansvariga som är etablerade i andra medlemsstater innebär också att bestäm- melsen lätt kan kringgås genom att uppgifter begärs utlämnade av en sådan personuppgiftsansvarig för en svensk personuppgiftsansvarigs räkning. Mot bakgrund av ovanstående anser vi att denna materiella utvidgning av bestämmelsens tillämpningsområde är rimlig och ligger väl i linje med de grundläggande principerna i dataskyddsförord- ningen.

Det är numera klarlagt att prövningen av 21 kap. 7 § OSL gäller den behandling som kommer att ske efter ett eventuellt utlämnan- de. E-offentlighetskommitténs förslag för att förtydliga detta i lag- text har inte mött någon kritik från remissinstanserna. Vi föreslår därför att lagtexten ska justeras så att det tydligt framgår att det är behandling efter ett utlämnande som avses.

Eftersom den här föreslagna hänvisningen avser dataskyddsför- ordningen i dess helhet och innebär en tydlig inskränkning i den grundlagsstadgade handlingsoffentligheten, bör hänvisningen vara statisk, dvs. avse den ursprungliga lydelsen av förordningen. Det medför att lagstiftaren aktivt måste bedöma om eventuella ändringar och tillägg till förordningen ska omfattas av 21 kap. 7 § OSL.

17.6Generalklausulen

17.6.1Gällande rätt

Den så kallade generalklausulen i 10 kap. 27 § OSL möjliggör utläm- nande av uppgifter som omfattas av sekretess mellan myndigheter även i fall då det saknas uttryckliga sekretessbrytande regler. Utläm- nandet ska då prövas enligt den intresseavvägning och med beaktande av det uppenbarhetsrekvisit som framgår av bestämmelsen. Av paragrafens andra stycke framgår att viss sekretess, som hälso- och sjukvårdssekretessen och socialtjänstsekretessen, undantas från tillämpningsområdet.

I tredje stycket samma paragraf undantas också utlämnanden som strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen från tillämpningsområdet. Första ledet har ansetts innebära att en förutsättning för att generalklausulen ska vara tillämplig är att utlämnandet inte strider mot en sådan

267

Sekretess

SOU 2017:39

specialreglering av uppgiftslämnandet i fråga som finns i lag eller förordning. Om det t.ex. i lag har föreskrivits att en viss myndighet för sin verksamhet på angivna villkor kan få ta del av även hemliga uppgifter hos en annan myndighet, kommer det inte i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället.16

Innebörden av tredje styckets andra led är numera oklar. Tidigare avsåg den en möjlighet för Datainspektionen att meddela vissa villkor om utlämnande för vissa register i samband med tillståndsgivning. I kommentaren till den numera upphävda sekretesslagen (1980:100) har det ansetts att det efter datalagens upphörande och införandet av personuppgiftslagen är reglerna i själva personuppgiftslagen och inte föreskrifter i enskilda beslut av Datainspektionen som får betydelse för behandlingen av generalklausulen.17

17.6.2Överväganden och förslag

Utredningens förslag: Hänvisningen till personuppgiftslagen i generalklausulen ska strykas. Generalklausulen ska enligt den nya lydelsen inte tillämpas om utlämnandet strider mot lag eller för- ordning.

Det finns ingen praxis som tydliggör innebörden av hänvisningen till personuppgiftslagen i 10 kap. 27 § tredje stycket andra ledet OSL och innebörden har som redogjorts för ovan ansetts oklar och bestäm- melsen tycks inte längre fylla någon praktisk funktion.

Det första ledet i generalklausulens tredje stycke innebär enligt sin ordalydelse att ett utlämnande till annan myndighet med stöd av generalklausulen inte får ske om det skulle strida mot lag eller för- ordning, exempelvis mot personuppgiftslagen. En hänvisning till lag i offentlighets- och sekretesslagen innefattar också EU-förordningar.18 Redan det första ledet torde alltså innebära att ett utlämnande till annan myndighet som strider mot dataskyddsförordningen eller data-

16Prop. 1979/80:2, del A s. 328.

17Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 10 kap. 27 § OSL, och Regner m.fl., Sekretesslagen (1 april 2009, Zeteo), kommentaren till 14 kap. 3 § sekretesslagen.

18Prop. 1998/99:18 s. 41 och 75 samt prop. 1999/2000:126 s. 160 och 283.

268

SOU 2017:39

Sekretess

skyddslagen inte kan ske med stöd av generalklausulen. Någon mot- svarighet till andra ledet i tredje stycket behövs enligt vår bedömning inte som en följd av den nya regleringen. Vi föreslår därför att det andra ledet stryks.

17.7Sekretess för uppgifter i verksamhet för teknisk bearbetning och lagring

17.7.1Gällande rätt

Sekretessen enligt 40 kap. 5 § OSL gäller i en myndighets verksamhet som består av enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i per- sonuppgiftslagen. Sekretessen gäller hos en myndighet som behandlar personuppgifter såväl då det är fråga om bearbetning eller lagring för enskildas räkning som då det gäller bearbetning eller lagring av en annan myndighets personuppgifter. Med teknisk bearbetning avses t.ex. att myndigheten scannar in text på papper för att lagra elektro- niskt. Teknisk lagring avser alla former av lagring som kräver sär- skilda tekniska anordningar, t.ex. lagring av information på hårddisk eller i molntjänster. Personuppgifter som förvaras hos en arkiv- myndighet anses normalt inte tekniskt lagrade för någon annans räk- ning.19

Sekretessens räckvidd är avgränsad till verksamhet avseende per- sonuppgifter som avses i personuppgiftslagen, dvs. enligt den defi- nition som finns i 3 § PUL. Sekretessens föremål, dvs. de uppgifter som skyddas av bestämmelsen, är uppgifter om enskildas person- liga och ekonomiska förhållanden. Detta omfattar inte bara person- uppgifter utan även exempelvis uppgifter om juridiska personer. Sekretessen är som nämnts absolut.

Tryckfrihetsförordningens reglering i 2 kap. 10 § första stycket innebär att handlingar som förvaras hos en myndighet endast som ett led i teknisk bearbetning eller lagring inte är att anse som allmänna handlingar där. Det innebär i sin tur att bestämmelsen i 40 kap. 5 § OSL inte har någon praktisk betydelse för utlämnande av upp- gifter i allmänna handlingar, utan endast fyller funktionen av en tyst-

19 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 40 kap. 5 § OSL.

269

Sekretess SOU 2017:39

nadspliktsbestämmelse som hindrar utlämnande på myndighetens eller befattningshavarens eget initiativ.

17.7.2Överväganden och förslag

Utredningens förslag: Sekretess ska gälla för uppgift om en en- skilds personliga eller ekonomiska förhållanden i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i dataskyddsförord- ningen.

Tillämpningsområdet för sekretessbestämmelsen i 40 kap. 5 § OSL är begränsat till teknisk bearbetning eller lagring av personupp- gifter enligt personuppgiftslagens definition. Personuppgifter defi- nieras i 3 § PUL som ”all slags information som direkt eller indi- rekt kan hänföras till en fysisk person som är i livet”. Eftersom per- sonuppgiftslagen ska upphävas enligt vårt förslag måste bestämmel- sen anpassas.

För att anpassa bestämmelsen till den nya regleringen ligger det nära till hands att ersätta hänvisningen till personuppgiftslagen med en hänvisning till dataskyddsförordningens definition av personupp- gifter. Den överensstämmer i stora drag med personuppgiftslagen, även om den är mer detaljerad. Definitionen i artikel 4.1 lyder som följer.

Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifika- tionsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Av förordningens skäl 27 framgår att förordningen inte gäller behandling av personuppgifter rörande avlidna personer. Samman- taget bedömer vi att förordningens definition inte är tydligt vidare än den som finns i dag i personuppgiftslagen. Kopplingen mellan sekre- tessbestämmelsen och den definition av personuppgifter som åter- finns i dataskyddsregleringen har funnits sedan paragrafen infördes i

270

SOU 2017:39

Sekretess

dåvarande sekretesslagen och vi ser ingen anledning att ändra på den ordningen. Hänvisningen till personuppgiftslagens definition av per- sonuppgifter bör därför ersättas med en hänvisning till personupp- giftsbegreppet i den betydelse det har i dataskyddsförordningens artikel 4.1. Eftersom hänvisningen i praktiken inte begränsar hand- lingsoffentligheten och bara avser själva definitionen av personupp- gifter bör den vara dynamisk, dvs. avse den vid varje tidpunkt gäl- lande definitionen i förordningen.

271

Sekretess

SOU 2017:39

272

18 Sanktioner

18.1Vårt uppdrag

Vårt uppdrag när det gäller sanktioner består av flera delar. Vi ska analysera om, och i så fall i vilken utsträckning, det bör vara möjligt att besluta om administrativa sanktionsavgifter inom den offentliga sektorn. En jämförelse ska göras med vad som gäller för t.ex. viten i allmänhet, miljösanktionsavgifter och sanktionsavgifter på arbets- miljöområdet.

Vi ska analysera och ta ställning till i vilken utsträckning över- trädelser av förordningen bör bli föremål för ytterligare sanktioner, vid sidan om de sanktionsavgifter som föreskrivs i förordningen. Vi ska också analysera om, och i så fall i vilken utsträckning, dessa sanktioner bör vara tillämpliga inom den offentliga sektorn.

Slutligen ska vi analysera hur en reglering med både administrativa sanktionsavgifter och andra sanktioner förhåller sig till det s.k. dubbelprövningsförbudet i artikel 4.1 i Europakonventionens sjunde tilläggsprotokoll och artikel 50 i EU:s stadga om de grundläggande rättigheterna.

18.2Vad är en sanktion?

Det finns ingen legaldefinition av begreppet sanktion. Klart är att en sanktion alltid har ett handlingsdirigerande eller bestraffande syfte. En vid definition skulle kunna omfatta alla former av påföljder som kan följa på ett rättsstridigt handlande.

Det är enligt vår mening av vikt att presentera en samlad bild av de konsekvenser överträdelser av personuppgiftsregleringen kan få enligt gällande rätt och enligt dataskyddsförordningen, för att mot den bakgrunden kunna göra de bedömningar som ingår i vårt upp-

273

Sanktioner

SOU 2017:39

drag. I detta avsnitt behandlas därför sanktioner i vid mening, inbe- gripet regleringen om straff, sanktionsavgifter, vite och skadestånd.

18.3Gällande rätt

18.3.1Skadestånd

Enligt dataskyddsdirektivets artikel 23 ska medlemsstaterna före- skriva att den som har lidit skada genom otillåten behandling eller någon annan åtgärd som är oförenlig med de nationella bestäm- melser som antagits till följd av direktivet har rätt till ersättning av den personuppgiftsansvarige för skadan.

Artikeln har genomförts i svensk rätt genom 48 § PUL, där det stadgas att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling i strid med lagen har orsakat. Ersättningsskyldigheten kan enligt paragrafens andra stycke jämkas om den personuppgiftsansva- rige visar att felet inte beror på honom eller henne. Ersättning kan utgå såväl för ekonomisk som ideell skada (kränkning). Ansvaret är strikt och det krävs alltså inte att den personuppgiftsansvarige eller någon annan har haft uppsåt att handla i strid med lagen eller varit oaktsam. Skadeståndsregleringen i personuppgiftslagen får anses strängare än vad som krävs enligt dataskyddsdirektivet och har be- dömts innebära en effektiv sanktion mot överträdelser av regle- ringen.1 Det bör noteras att bestämmelsen endast gäller behandling i strid med personuppgiftslagen, och alltså inte direkt gäller behandling i strid med sektorslagstiftning. Många sektorsspecifika författningar innehåller emellertid en hänvisning till skadeståndsbestämmelsen i personuppgiftslagen.

Justitiekanslern har möjlighet att på frivillig väg reglera vissa skade- ståndsanspråk som riktas mot staten, bland annat enligt skade- ståndsregleringen i personuppgiftslagen. Tanken med det är att avlasta domstolarna uppgiften att pröva mål där det egentligen inte finns någon tvist, utan där det är klart att ett skadeståndsgrundande fel har begåtts och att den enskilde har rätt till viss ersättning (2 a § förordningen [1975:1345] med instruktion för Justitiekanslern, samt

1 Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till rubri- ken Skadestånd i personuppgiftslagen.

274

SOU 2017:39

Sanktioner

förordningen [1995:1301] om handläggning av skadeståndsanspråk mot staten).

En genomgång av Justitiekanslerns praxis angående skadestånds- anspråk mot staten med anledning av 48 § PUL finns i Informations- hanteringsutredningens betänkande, SOU 2015:39 s. 643 f. Som exempel på skador på grund av överträdelse av personuppgiftslagen som enligt Justitiekanslerns beslut medfört ersättningsskyldighet kan nämnas bristande gallringsrutiner och felaktiga personuppgifter i olika register, exempelvis i folkbokföringsdatabasen och i socialför- sökringsdatabasen. Värt att nämna särskilt i detta sammanhang är Justitiekanslerns beslut den 7 maj 2014 (dnr 1441-14-47) där skade- ståndsanspråket rörde registrering av personuppgifter i det s.k. Kring- resanderegistret i strid med polisdatalagen (2010:361). Polisdatalagen hänvisar till skadeståndsbestämmelsen i personuppgiftslagen. Om- kring 3 000 personer ansökte om skadestånd hos Justitiekanslern för registreringen. Justitiekanslern ansåg att de registrerade var berät- tigade till en ersättning om 5 000 kronor per registrerad person.2

18.3.2Straff

Dataskyddsdirektivet överlåter enligt artikel 24 till medlemsstaterna att besluta om de sanktioner som ska användas vid överträdelse av bestämmelserna om behandling av personuppgifter. Med stöd av artikeln infördes 49 § PUL. Paragrafen innehåller en straffbestämmel- se avseende brott mot vissa bestämmelser i lagen, bland annat om man lämnar osann uppgift i information till registrerade eller till till- synsmyndigheten, behandlar känsliga personuppgifter i strid med personuppgiftslagen eller för över personuppgifter till tredje land utan att beakta kravet på adekvat skyddsnivå. För straffbarhet krävs det uppsåt eller grov oaktsamhet. Det är den fysiska person som har gjort sig skyldig till förfarandet eller underlåtenheten som döms till straff oavsett om han eller hon själv är personuppgiftsansvarig. För ringa fall döms inte till ansvar. Den som överträtt ett vitesföreläg-

2 Stockholms tingsrätt har efter att elva av de registrerade ansökt om stämning mot staten, tillerkänt dem ytterligare ersättning om 30 000 kr var, se Stockholms tingsrätts dom den 10 juni 2016 i mål nr T 2978-15, T 2986-15, T 2993-15, T 2996-15, T 2998-15, T 3002-15, T 3006-15, T 3010-15, T 3011-15, T 3012-15 och T 3013-15. Svea hovrätt har fastställt tings- rättens dom, se hovrättens dom den 28 april 2017 i mål nr T 6161-16.

275

Sanktioner

SOU 2017:39

gande döms inte heller till ansvar för samma gärning som vitesföre- läggandet avser.

De mål som har prövats enligt straffbestämmelsen har framför allt handlat om publiceringar på internet och de flesta är av äldre datum – innan EU-domstolen klargjorde att publiceringar på internet inte innebär en överföring av personuppgifter till tredje land.3 Straff- bestämmelsen har sällan använts på senare år, bland annat eftersom det har funnits svårigheter med att lagföra kränkningar på internet med stöd av bestämmelsen. Lagstiftningen uppfattas som kompli- cerad och det grundlagsskyddade området begränsar det straffbara området väsentligt.4

Vid sidan av straffbestämmelsen i personuppgiftslagen finns andra straffbestämmelser som också kan innebära att vissa gärningar som innefattar personuppgiftsbehandling omfattas av straffansvar – såsom bestämmelserna om dataintrång (4 kap. 9c § brottsbalken), kränkan- de fotografering (4 kap. 6a § brottsbalken), förtal (5 kap. 1 § brotts- balken) och tjänstefel (20 kap. 1 § brottsbalken). För en utförlig genomgång av det straffrättsliga integritetsskyddet i brottsbalken, se SOU 2016:7 s. 208 f.

18.3.3Vite

Enligt 44 och 45 §§ PUL får Datainspektionen vid vite förbjuda en personuppgiftsansvarig att fortsätta att behandla uppgifter på annat sätt än att lagra dem, om inspektionen inte på begäran får tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig eller om tillsynsmyndigheten konstaterar att personuppgifter behand- las eller kan komma att behandlas på ett olagligt sätt. Detsamma gäller om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder. Bestämmelserna om vite gäller även för statliga och kommunala myndigheter som är personuppgiftsansvariga. I praktiken har dock Datainspektionen aldrig utnyttjat möjligheten att vitesföre- lägga.

Några uttryckliga bestämmelser om vite finns inte i dataskydds- direktivet. Det kan noteras att Datalagskommittén ansåg att vites-

3 Dom Lindqvist, C-101/01, EU:C:2003:596, punkt 70.

4 SOU 2016:7 s. 273 f., Svahn Starrsjö, Personuppgiftslagen och yttrandefriheten, SvJT 100 år (jubileumsskrift) s. 447.

276

SOU 2017:39

Sanktioner

förelägganden – och utdömandet av förelagda viten – utgör sådana särskilda sanktioner som medlemsstaterna ska besluta om enligt dataskyddsdirektivets artikel 24.5

I sektorsspecifika författningar finns bestämmelser som innebär en inskränkning i Datainspektionens möjligheter att förelägga vite.6 Skälen för dessa inskränkningar i Datainspektionens befogenheter varierar. I vissa fall är argumentet att vite som sanktionsmedel enligt allmänna rättsgrundsatser inte bör användas mellan statliga myndig- heter.7

18.4Dataskyddsförordningen

18.4.1Skadestånd

Enligt förordningens artikel 82.1 ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av för- ordningen ha rätt till ersättning från den personuppgiftsansvarige för den uppkomna skadan. En nyhet i förordningen är att även person- uppgiftsbiträden kan bli skadeståndsskyldiga under vissa förutsätt- ningar. I skäl 146 och artikel 82.2–5 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador. Bland annat anges där att varje personuppgiftsansvarig eller personuppgiftsbiträde som med- verkat vid behandlingen ska ansvara för uppkommen skada. Det stad- gas också att den personuppgiftsansvarige eller personuppgifts- biträdet ska undgå ansvar om de visar att de inte på något sätt är ansvariga för den händelse som orsakade skadan. Sammantaget leder detta tanken till att ett i princip strikt skadeståndsansvar gäller enligt förordningen för såväl ekonomisk som ideell skada, dvs. en liknande reglering som den som gäller enligt personuppgiftslagen. Den när- mare innebörden av bestämmelserna får dock utvecklas i rättspraxis.

Förordningen innebär också ett förtydligande jämfört med direk- tivet på så sätt att varje personuppgiftsansvarig eller personuppgifts-

5SOU 1997:39 s. 437 f.

6Så är fallet i exempelvis 1 kap. 3 § lagen (2001:181) om behandling av personuppgifter i Skatte- verkets beskattningsverksamhet, i 1 kap. 3 § lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar och i 1 kap. 3 § lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet.

7Prop. 2000/01:33 s. 96, prop. 2004/05:164 s. 54 och prop. 2009/10:85 s. 90.

277

Sanktioner

SOU 2017:39

biträde som har medverkat vid en behandling kan hållas ansvarig för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgiftsbiträden som är ansva- riga för samma behandling.

18.4.2Administrativa sanktionsavgifter

Administrativa sanktionsavgifter är en nyhet i dataskyddsförord- ningen som inte finns med i dataskyddsdirektivet eller den nuvarande svenska personuppgiftsregleringen. Sanktionsavgifterna införs enligt skäl 148 för att stärka verkställigheten av förordningen.

Bestämmelserna om administrativa sanktionsavgifter återfinns i förordningens i artikel 83 och förtydligas i skäl 148–150. Av arti- kel 83.1 framgår att det är den nationella tillsynsmyndigheten som ska besluta om sanktionsavgifter vid överträdelser av förordningens bestämmelser. I artikel 83.2 finns en detaljerad reglering av vilka fak- torer som ska beaktas vid beslut om sanktionsavgifter och bestäm- mande av avgiftens storlek. Bland annat ska tillsynsmyndigheten vid beslutet beakta överträdelsens karaktär, svårighetsgrad och varaktig- het, samt om överträdelsen skett med uppsåt eller genom oaktsam- het. Det är alltså inte ett uttryckligt krav i förordningstexten att överträdelsen ska ha skett med uppsåt eller oaktsamhet för att sank- tionsavgift ska bli aktuellt, men subjektiva omständigheter hos den personuppgiftsansvarige är en faktor som ska beaktas.

Andra faktorer som tillsynsmyndigheten ska beakta är antalet berörda registrerade, vilken skada de har lidit, om den personupp- giftsansvarige har försökt förebygga eller i efterhand komma till rätta med överträdelsen och eventuell ekonomisk vinst som görs, eller ekonomisk förlust som undviks, genom överträdelsen. Av skä- len framgår vidare att avsikten har varit en viss flexibilitet när en sanktionsavgift beslutas mot en fysisk person. I skäl 148 anges till exempel att om en sanktionsavgift som ”sannolikt skulle utdömas” skulle innebära en oproportionell börda för en fysisk person får en reprimand utfärdas i stället. I skäl 150 anges också att den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation bör beaktas när sanktionsavgiften fastställs mot en fysisk person. Förordningens bestämmelser tycks alltså ge utrymme för att beakta uppsåt, proportionalitet och betalningsförmåga vid beslut om sank-

278

SOU 2017:39

Sanktioner

tionsavgifterna, vilket inte alltid är fallet när det gäller sanktions- avgifter på andra områden.8

I artikel 83.3 stadgas att om flera överträdelser görs får avgiftens totala belopp inte överstiga det belopp som fastställs för den allvar- ligaste överträdelsen. I artikel 83.4 och 83.5 fastställs övre belopps- gränser för de två olika kategorier av överträdelser som kan föranleda sanktionsavgifter enligt förordningen. För de något mindre allvar- ligare överträdelserna, såsom överträdelser av regler om inbyggt data- skydd, förteckningar och konsekvensbeskrivningar, fastslås ett max- belopp på 10 000 000 EUR eller 2 procent av den globala årsom- sättningen om det gäller ett företag, beroende på vilket belopp som är högst. För allvarligare överträdelser, såsom överträdelser av regler om de grundläggande principerna för behandling och behandling av känsliga personuppgifter, registrerades rätt till information, rättelse och radering, överföring av uppgifter till tredje land och underlåten- het att rätta sig efter tillsynsmyndighetens förelägganden, fastslås ett maxbelopp om 20 000 000 EUR eller 4 procent av den globala årsom- sättningen.

Det stora flertalet bestämmelser i förordningen som innehåller rättigheter eller skyldigheter för personuppgiftsansvariga, personupp- giftsbiträden samt eventuella certifieringsorgan och övervaknings- organ omfattas av regleringen om sanktionsavgifter, vilket framgår av hänvisningar i artikel 83.4–6. För samtliga de artiklar som artikel 83 hänvisar till ska alltså en överträdelse föranleda att sanktionsavgift påförs, om förutsättningarna i övrigt är uppfyllda enligt artikel 83.2.

I allmänhet är de bestämmelser i förordningen som inte nämns i artikel 83 sådana som inte innehåller några rättigheter och skyldig- heter för enskilda, myndigheter eller andra organ vid sidan av till- synsmyndigheten och kommissionen. Artikel 10, om behandling av personuppgifter som rör fällande domar i brottmål och andra lagöver- trädelser, tillhör emellertid inte denna kategori. Artikel 10 nämns inte i artikel 83.4–6 och omfattas alltså inte av regleringen om sanktions- avgifter. Inga särskilda skrivningar om anledningen till detta finns i skälen eller annars i förordningstexten. Värt att notera är att i kom- missionens ursprungliga förslag fanns bestämmelsen om domar i brottmål och andra lagöverträdelser i artikel 9 tillsammans med regle-

8Waring-Nerep Sanktionsavgifter, särskilt i näringsverksamhet s. 209 f., och SOU 2013:38 s. 544 f.

279

Sanktioner

SOU 2017:39

ringen om känsliga personuppgifter, och omfattades därmed av regle- ringen om sanktionsavgifter. Det kan inte uteslutas att det faktum att artikel 83 inte nämner artikel 10 helt enkelt är en oavsiktlig kon- sekvens av att bestämmelsen om domar i brottmål och andra över- trädelser kom att placeras i en egen artikel i den slutliga versionen av förordningstexten.

Artikel 83.4–6 innehåller inte enbart en uppräkning av vilka överträdelser som i sig kan föranleda att sanktionsavgift påförs, utan också bestämmelser om att sanktionsavgifter kan påföras vid olika slag av underlåtelse att rätta sig efter tillsynsmyndighetens instruktio- ner, förelägganden eller beslut (artikel 83.5 e och 83.6).

Enligt artikel 83.5 e kan en personuppgiftsansvarig eller ett per- sonuppgiftsbiträde påföras sanktionsavgift vid

underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyn- digheten,

underlåtenhet att rätta sig efter ett beslut om en tillfällig eller per- manent begränsning av behandling av uppgifter,

underlåtenhet att rätta sig efter ett beslut om att avbryta uppgifts- flöden, eller

underlåtenhet att ge tillsynsmyndigheten tillgång till uppgifter.

Sanktionsavgiften fyller därmed en vitesliknande funktion.

Vid överträdelser av tillsynsmyndighetens instruktioner, föreläg- ganden och beslut enligt ovan gäller att sanktionsavgift får påföras med det högre maxbeloppet, dvs. 20 000 000 EUR eller 4 procent av den globala årsomsättningen. När det gäller förelägganden från till- synsmyndigheten upprepas bestämmelsen i artikel 83.6.

Enligt artikel 83.7 får varje medlemsstat reglera om och i vilken utsträckning det ska vara möjligt att besluta om sanktionsavgifter mot offentliga myndigheter och organ i den medlemsstaten.

Artikel 83.8 uppställer krav på effektiva rättsmedel och rätts- säkerhet vid beslut om sanktionsavgifter och artikel 83.9 slår fast att om det inte finns några regler om administrativa sanktionsavgifter i en medlemsstats rättssystem får förfarandet inledas av tillsynsmyn- digheten och avgiften utdömas av nationell domstol.

Avslutningsvis kan noteras att förordningen inte säger något uttryckligen om vem sanktionsavgifterna ska tillfalla, dvs. om de ska

280

SOU 2017:39

Sanktioner

tillfalla den medlemsstat där den beslutats eller något organ på EU- nivå.

18.4.3Andra sanktioner

Enligt artikel 84 i förordningen ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för sådana som inte är föremål för administrativa sanktionsavgifter. Sank- tionerna ska enligt artikeln vara effektiva, proportionella och avskräckande. I skäl 152 anges att medlemsstaterna bör genomföra ett system med effektiva, proportionella och avskräckande sanktioner om förordningen inte harmoniserar administrativa sanktioner eller om det är nödvändigt i andra fall. Det anges också i nämnda skäl att det ska fastställas om sanktionerna ska vara av straffrättslig eller administrativ art.

I skäl 149 anges att medlemsstaterna bör kunna fastställa bestäm- melser om straffrättsliga påföljder och möjligheter att förverka den vinning som gjorts vid överträdelser av förordningen. Där erinras också om att utdömandet av sådana påföljder och administrativa sanktioner inte bör medföra ett åsidosättande av dubbelprövnings- förbudet enligt EU-domstolens tolkning.

18.5Sanktionsavgifter inom offentlig sektor

18.5.1Vad är en sanktionsavgift?

En sanktionsavgift har definierats som en som avgift benämnd pen- ningpålaga som i realiteten utgör en sanktion. Tre kriterier ska en- ligt doktrinen vara uppfyllda för att något ska kvalificera som en sanktionsavgift. Avgiften ska

1.vara en ekonomisk sanktion som inte är böter eller annan rätts- verkan av brott,

2.stipuleras i författning och alltså utgöra ett generellt hot, och

3.tillfalla det allmänna.9

9 Wiveka Warnling-Nerep, Sanktionsavgifter – särskilt i näringsverksamhet, s. 15.

281

Sanktioner

SOU 2017:39

Det rör sig alltså om en straffliknande ekonomisk sanktion med ett avskräckande och bestraffande syfte. Sanktionsavgifter intar en mel- lanställning mellan egentliga avgifter och brottspåföljder, vilket kan få betydelse för tillämpningen av såväl regeringsformen som Europa- konventionen. Den nu rådande inställningen i doktrinen är att påfö- rande av sanktionsavgifter normalt ska presumeras utgöra brotts- anklagelser i konventionens mening och jämställas med böter i norm- givningshänseende. Detta medför att de rättssäkerhetsgarantier som uppställs i artikel 6 i Europakonventionen måste vara uppfyllda och att bestämmelser om sanktionsavgifter omfattas av lagkrav med möj- lighet till delegation enligt 8 kap. 3 § regeringsformen.10

18.5.2Viten och sanktionsavgifter mot det allmänna

Enligt direktiven ska vi i denna del göra en jämförelse med vad som gäller för det allmännas skyldigheter att betala viten i allmänhet, miljö- sanktionsavgifter och sanktionsavgifter på arbetsmiljöområdet. Vi har valt att även redogöra för regleringen kring en annan sanktionsavgift, nämligen upphandlingsskadeavgiften.

Vite

Ett vite har alltid anknytning till ett visst föreläggande eller förbud och riktas mot den i beslutet namngivna adressaten. Syftet med ett vite är att verka preventivt och på förhand få en fysisk eller juridisk person att följa ett visst föreläggande eller förbud, inte att som sank- tionsavgifterna verka repressivt som en påföljd mot överträdelser mot generella normer.11 Föreläggande och utdömande av vite regleras i lagen (1985:206) om viten, fortsättningsvis benämnd viteslagen.

Viteslagen ställer inte upp några begränsningar när det gäller utdö- mande av vite mot det allmänna. I lagens andra paragraf anges bara att ett vitesföreläggande ska vara riktat till en eller flera namngivna fysis- ka eller juridiska personer. Det anses dock vara en vedertagen princip att staten inte föreläggs vite utan särskild reglering.12 Huvudargu-

10Warling-Nerep s.119 och 153 f. samt SOU 2013:38 s. 455.

11Lavin, Viteslagstiftningen (12 november 2015, Zeteo), kommentaren till 1 § lagen om viten.

12Prop. 2012/13:143 s. 66 f.

282

SOU 2017:39

Sanktioner

menten mot att staten ska kunna åläggas vite har varit dels att en stat- lig myndighet ändå kan beräknas följa ett föreläggande, dels att ett effektivt vite mot staten är nästan omöjligt att åstadkomma eftersom ett utdömt vite i slutänden ändå tillfaller staten.13 I vissa författningar framgår det uttryckligen att vite inte kan föreläggas staten, se t.ex. 9 kap. 8 § andra stycket rättegångsbalken och 2 kap. 27 § utsöknings- balken.

Om det finns särskilt författningsstöd kan vite dock riktas mot staten. I 4 kap. 5 § diskrimineringslagen (2008:567) och 7 kap. 7 § arbetsmiljölagen (1977:1160) finns uttryckliga föreskrifter om att ett vitesföreläggande kan riktas även mot staten som arbetsgivare eller som huvudman för utbildningsverksamhet. I förarbetena till diskri- mineringslagen hänvisades till motsvarande fråga i förarbetena till den numera upphävda jämställdhetslagen (1991:433), där regeringen an- såg att frågorna om jämställdhet och mångfald i arbetslivet är av sådan vikt att den restriktiva inställningen till vite mot staten borde frångås. Regeringen menade att en ordning där statliga arbetsgivare hålls utan- för området där viten kan föreläggas skulle innebära att mer förmån- liga regler gällde för dessa än för kommunala eller privata arbets- givare. En sådan skillnad ansågs inte motiverad. Intresset av ett väl fungerande aktivt arbete för jämställdhet och mångfald även i förhål- lande till statliga arbetsgivare ansågs vara så starkt att det fanns skäl att markera att även staten skulle kunna föreläggas vite.14 Liknande argument framfördes i förarbetena till nämnda bestämmelse i arbets- miljölagen.15

Ett annat exempel på när vitesföreläggande kan ådömas myndig- heter är möjligheten för JO att enligt 21 § andra stycket lagen (1986:765) med instruktion för Riksdagens ombudsmän förelägga vite om högst 10 000 kronor när ombudsmännen inom ramen för sin tillsyn begär upplysningar och yttranden som domstolar, förvalt- ningsmyndigheter samt anställda hos staten eller kommun eller annan som står under en ombudsmans tillsyn är skyldiga att lämna enligt 13 kap. 6 § andra stycket regeringsformen. Utöver dessa exempel finns sådana där staten kan och ska åläggas vite i fall då staten upp- träder som privat subjekt, t.ex. i egenskap av fastighetsägare, nytt-

13Strömberg – Lundell, Allmän förvaltningsrätt, 26 upplagan s. 148.

14Prop. 2007/08:95 s. 349 f.

15Prop. 2012/13:143 s. 67.

283

Sanktioner

SOU 2017:39

janderättshavare eller ansvarig för rörelse.16 Det finns också bestäm- melser som uttryckligen anger att en kommun kan vara adressat för ett vitesföreläggande, t.ex. 51 § lagen 2006:412 om allmänna vatten- tjänster.

Informationshanteringsutredningen bedömde i sitt betänkande att tillsynsmyndigheten inte skulle ha befogenhet att rikta vitesföreläg- ganden mot vare sig statliga eller kommunala myndigheter enligt den föreslagna myndighetsdatalagen. Utredningen uttalade i det sam- manhanget bland annat att eftersom statliga myndigheters behandling av personuppgifter sker i en verksamhet som i allmänhet inte före- kommer utanför det allmänna och som omgärdas av helt andra krav och regler än vad som annars är fallet, fanns inga bärande skäl för att i alla delar ha samma sanktionsmöjligheter mot både myndigheter och enskilda. Utredningen ansåg därför inte att myndigheters behandling av personuppgifter utgjorde ett sådant undantagsfall att man borde avvika från den allmänna rättsgrundsatsen att staten inte kan rikta viten mot sig själv.17

Enligt 3 § viteslagen ska ett vite fastställas till ett belopp som med hänsyn till vad som är känt om adressatens ekonomiska förhållanden och till omständigheterna i övrigt kan antas förmå honom att följa det föreläggande som är förenat med vitet. Beloppet ska vara tillräckligt stort för att bryta den enskildes motstånd, att jämföra med storleken av ett bötesbelopp som snarare blir beroende av bland annat omfatt- ningen av den enskildes skuld.18 Vitesbeloppen kan variera kraftigt beroende på sammanhang. Det finns exempel på att viten har satts till allt från tusen kronor till miljonbelopp.19

Frågor om utdömande av viten prövas enligt 6 § viteslagen av för- valtningsrätt på ansökan av den myndighet som har utfärdat vites- föreläggandet eller, om detta har skett efter överklagande i frågan om vitesföreläggande, av den myndighet som har prövat denna fråga i första instans. I vissa undantagssituationer kan vitesfrågan enligt 7 § viteslagen prövas av allmän domstol.

16Lavin, Viteslagstiftningen, Viteslagstiftningen (12 november 2015, Zeteo), kommentaren till 2 § lagen om viten.

17SOU 2015:39 s. 631 f.

18Lavin, Viteslagstiftningen (12 november 2015, Zeteo), kommentaren till 3 § lagen om viten.

19Se exempelvis Högsta domstolens bedömning angående vitets storlek i NJA 1991 s. 200.

284

SOU 2017:39

Sanktioner

Miljösanktionsavgifter

Miljösanktionsavgifter regleras främst i 30 kap. miljöbalken och för- ordningen (2012:259) om miljösanktionsavgifter. Syftet med avgif- terna är att verka repressivt och avskräckande och därmed bidra till att upprätthålla en hög standard i miljöpåverkande verksamhet.20 Miljösanktionsavgifter kan beslutas mot både näringsidkare, myndig- heter och enskilda som bedriver verksamhet som faller inom ramen för miljöbalken. Myndigheternas verksamhet faller alltså inte utanför tillämpningsområdet.

Enligt 30 kap. 1 § miljöbalken får regeringen meddela föreskrif- ter om att miljösanktionsavgift ska betalas bland annat av den som påbörjar en verksamhet som är tillståndspliktig utan att tillstånd har getts eller av den som åsidosätter villkor eller andra bestämmel- ser i ett tillstånd. Genom förordningen om miljösanktionsavgifter har regeringen meddelat sådana föreskrifter, exempelvis när det gäl- ler miljöfarlig verksamhet och hälsoskydd.

Det har förtydligats i praxis att miljösanktionsavgifter inte kan beslutas mot en myndighet för åsidosättande som har skett vid myn- dighetsutövning.21 När en verksamhet har inslag av både myndighets- utövning och näringsverksamhet har domstolen gjort en bedömning av vilket inslag som är det dominerande för att avgöra om en miljö- sanktionsavgift kan beslutas.22

Enligt 30 kap. 1 § miljöbalken ska avgiftens storlek framgå av regeringens föreskrifter, och uppgå till minst 1 000 kronor och högst 1 000 000 kronor. När avgiftens storlek bestäms, ska hänsyn tas till överträdelsens allvar och betydelsen av den bestämmelse som överträ- delsen avser. De avgifter som bestäms i förordningen om miljösank- tionsavgifter varierar mellan 1 000 och 50 000 kronor. Det är tillsyns- myndigheten som enligt 30 kap. 3 § miljöbalken beslutar om miljö- sanktionsavgift. Beslutet kan enligt 30 kap. 7 § överklagas till mark- och miljödomstol.

20Prop. 1997/98:45 del I s. 535.

21MÖD 2001:23.

22MÖD 2001:21.

285

Sanktioner

SOU 2017:39

Sanktionsavgifter på arbetsmiljöområdet

Enligt 8 kap. 5 § arbetsmiljölagen finns en möjlighet för regeringen eller den myndighet regeringen bestämmer att föreskriva om sank- tionsavgifter för vissa typer av överträdelser mot lagen. Avgiften ska vara lägst 1 000 och högst 1 000 000 kronor. Av 18 § 4 arbetsmiljöför- ordningen (1977:1166) framgår att Arbetsmiljöverket bemyndigats att meddela sådana föreskrifter. De avgifter som bestäms i före- skrifterna varierar mellan 2 000 kronor och 1 000 000 kronor.

De sanktionsavgifter som har föreskrivits på arbetsmiljöområdet riktar sig mot arbetsgivare utan att statliga eller kommunala myndig- heter undantas. Bakgrunden till att sanktionsavgifter infördes som huvudsaklig sanktion i stället för de straffbestämmelser som tidigare gällde, var att överträdelser av arbetsmiljöbestämmelser ofta görs inom ramen för verksamhet där många människor medverkar och att det ansågs svårt att utreda en utpekad gärningsmans personliga skuld. Det anfördes i motiven att det t.ex. kan vara osäkert vilket reellt inflytande över händelseförloppet någon som varit formellt ansvarig haft samt att det ofta är uppenbart att bristen i arbetsmiljön är resul- tatet av att någon inom företaget har gjort sig skyldig till en vårdslös- het utan att man kan peka på vem som gjort det.23

Avgiften, som enligt 8 kap. 6 § arbetsmiljölagen tillfaller staten, ska enligt 8 kap. 7 § prövas av Arbetsmiljöverket, som sedan kan an- söka hos den förvaltningsrätt inom vars domkrets avgiftsföreläg- gandet har utfärdats om att sanktionsavgift ska tas ut, om avgiftsföre- läggandet inte har godkänts inom utsatt tid.

Upphandlingsskadeavgifter

Ett exempel på sanktionsavgifter som särskilt riktar sig mot myn- digheter är reglerna om upphandlingsskadeavgift i lagen (2016:1145) om offentlig upphandling (LOU). Allmän förvaltningsdomstol får efter ansökan från tillsynsmyndigheten enligt 21 kap. 1 och 2 §§ LOU besluta att en upphandlande myndighet ska betala en upp- handlingsskadeavgift. Avgiften kan tas ut oberoende av om över- trädelsen har skett uppsåtligen eller av oaktsamhet.

23 Prop. 1993/94:186 s. 49.

286

SOU 2017:39

Sanktioner

En upphandlingsskadeavgift ska enligt 21 kap. 4 § LOU uppgå till lägst 10 000 kronor och högst 10 000 000 kronor. Avgiften får emel- lertid inte överstiga tio procent av upphandlingens värde. Enligt 21 kap. 5 § LOU ska vid fastställande av upphandlingsskadeavgiftens storlek särskild hänsyn tas till hur allvarlig överträdelsen är. Upp- handlingsavgiften ska enligt 21 kap. 8 § LOU tillfalla staten.

När det gäller frågan om möjligheten att ålägga statliga och kom- munala myndigheter skyldighet att erlägga avgiften till staten konsta- terades i förarbetena till den numera upphävda lagen (2007:1091) om offentlig upphandling att andra liknande avgifter såsom konkurrens- skadeavgift och marknadsstörningsavgift kan tas ut av offentligrätts- liga subjekt om de är att betrakta som näringsidkare. Vidare beto- nades vikten av att sanktionsbestämmelserna är desamma för alla slag av upphandlande myndigheter och enheter och att något undantag för statliga myndigheter därför inte borde göras. Lagrådet angav vida- re i sitt yttrande över förslaget att för att den eftersträvade preventiva effekten ska uppnås beträffande statliga myndigheter är det viktigt att det upprätthålls en strikt budgetdisciplin, så att avgiften blir kännbar också för en felande statlig myndighet. När det gäller kommunala myndigheter påpekades bland annat att möjligheter att påföra kom- muner sanktionsavgifter som tillfaller staten redan förekommer i andra författningar, såsom exempelvis socialtjänstlagen.24

18.5.3Överväganden och förslag

Utredningens förslag: Sanktionsavgifter ska få tas ut även av stat- liga och kommunala myndigheter.

För mindre allvarliga överträdelser ska avgiften uppgå till högst 10 000 000 kronor och för allvarligare överträdelser till högst 20 000 000 kronor. Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser till- lämpas.

Utgångspunkten för våra överväganden i denna del är att det följer direkt av förordningen att sanktionsavgifter kommer att kunna

24 Prop. 2009/10:180 s. 200.

287

Sanktioner

SOU 2017:39

påföras aktörer i den privata sektorn. Det finns enligt vår mening starka skäl som talar för att sanktionsmöjligheterna bör vara desamma mot privata subjekt som mot myndigheter när det gäller överträdelser mot dataskyddsförordningen.

Inledningsvis kan det konstateras att regleringen syftar till att skydda enskildas integritet, och att enskildas intresse av skydd för sin personliga integritet väger lika tungt om uppgifter behandlas i det allmännas verksamhet som i den privata sektorn. Såväl statliga som kommunala myndigheter hanterar mycket stora mängder person- uppgifter, ofta mycket känsliga sådana, som dessutom i allt ökande grad utbyts över myndighets- och nationsgränser utan enskildas samtycke.

Trots att det allmännas verksamhet i och för sig är reglerad i högre grad genom annan lagstiftning än personuppgiftsrelaterad sådan, exempelvis i tryckfrihetsförordningen, offentlighets- och sekretess- lagen och arkivlagstiftningen, sker själva behandlingen av per- sonuppgifter på i stort sett samma villkor och enligt samma regelverk som för personuppgiftsansvariga i privat sektor. Det framgår vidare av tillsynsmyndigheternas granskningar under senare år att några av de grövre överträdelserna mot dataskyddslagstiftningens grundläg- gande principer har gjorts av myndigheter.25 Det är alltså högst tvek- samt om myndigheter i allmänhet kan förväntas att i högre grad än enskilda följa regleringen om dataskydd. Inte heller borde behovet av avskräckande sanktioner vara mindre när det gäller myndigheternas personuppgiftsbehandling.

Argumenten mot att sanktionsavgifter enligt förordningen ska kunna tas ut av myndigheter är främst sanktionens bristande effekti- vitet när det är statliga myndigheter som gör sig skyldiga till över- trädelser, samt att − i motsats till den privata sektorn – tjänstefels- ansvaret utgör ett visst skydd mot att enskilda tjänstemän i offentlig verksamhet gör sig skyldiga till grövre överträdelser. Som framgår av redogörelsen i föregående avsnitt är det trots detta inte helt ovanligt med viten och sanktionsavgifter som riktar sig till statliga och kom- munala myndigheter.

25 Se exempelvis Säkerhets- och integritetsskyddsnämndens uttalande om det s.k. kringresande- registret (dnr 173-2013) och Datainspektionens beslut om det s.k. kvinnoregistret (dnr 2790- 2014).

288

SOU 2017:39

Sanktioner

Den EU-rättsliga regleringen av personuppgiftsbehandling utgår från det förhållandet att individens rätt till skydd vid behandling av personuppgifter är en grundläggande rättighet enligt artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna. Frå- gan om vilka sanktioner som bör kunna riktas mot myndigheter bör därför i likhet med andra områden där regleringen framför allt syftar till skydd för individers grundläggande rättigheter, såsom exempelvis inom diskrimineringslagstiftningen, besvaras utifrån ett individ- perspektiv. Behovet av skydd kan enligt vår mening inte anses vara mindre vid personuppgiftsbehandling som utförs av myndigheter än av enskilda. Tjänstefelsansvar eller disciplinansvar är inte tillräckligt effektiva sanktioner mot systematiska överträdelser på myndighets- nivå för att motivera en annan bedömning. I detta sammanhang förtjä- nar det att noteras att kommissionen har föreslagit att sanktionsavgif- ter ska kunna tas ut av EU-institutionerna och andra gemenskaps- organ vid överträdelser mot den förordning som reglerar institu- tionernas och gemenskapsorganens egen behandling av person- uppgifter, parallellt med disciplinära påföljder.26

Inte heller effektivitetsargument leder till ett annat ställnings- tagande eftersom liknande avgifter har ansetts utgöra en effektiv sank- tion på flera andra områden trots att vitet eller avgiften betalas av statliga myndigheter till staten. Här får, såsom anfördes i förarbetena till regleringen om upphandlingsskadeavgifter, förutsättas att bud- getdisciplinen upprätthålls så att avgiften får den avskräckande funk- tion förordningen förutsätter.

Sammanfattningsvis menar vi att övervägande skäl talar för att administrativa sanktionsavgifter ska kunna tas ut av statliga och kommunala myndigheter. I förordningens artikel 83.1–3 anges vilka omständigheter som ska beaktas vid beslut om att ta ut sanktions- avgifter och vid bestämmande av beloppets storlek. Dessa bestäm- melser bör enligt vår mening tillämpas även då sanktionsavgifter tas ut av myndigheter.

Bestämmelsen i artikel 83.7 om medlemsstaternas möjligheter att bestämma i vilken utsträckning myndigheter ska kunna påföras avgifter, innebär enligt vår mening att medlemsstaterna har utrym- me att bestämma ett tak för de belopp som kan påföras myndig-

26 Artiklarna 66 och 69 i kommissionens förslag av den 10 januari 2017, COM(2017) 8 final, 2017/0002 (COD).

289

Sanktioner

SOU 2017:39

heter, på samma sätt som föreslås i betänkandet Brottsdatalag, SOU 2017:29.

När det gäller frågan om sådana beloppstak bör införas för myn- digheternas del bör följande beaktas. Som vi har anfört ovan anser vi att ur ett integritetsperspektiv bör samma typ av överträdelse leda till samma typ av sanktion oavsett om överträdelsen begåtts av en myndighet eller ett privat subjekt. Vi anser dock att sanktionsavgifter som påförs myndigheter beloppsmässigt bör ligga i paritet med andra sanktionsavgifter i svensk rätt. Varken på miljöområdet eller på arbetsmiljöområdet är de avgifter som kan tas ut tillnärmelsevis så höga som de som anges i dataskyddsförordningen. Det högsta belopp som kan beslutas vid en överträdelse inom dessa områden är 1 000 000 kronor. Inte heller företagsbot eller upphandlingsskade- avgift kan uppgå till lika höga belopp som enligt förordningen. För företagsbot är minimibeloppet i dag 5 000 kronor och maximibelop- pet 10 000 000 kronor. För upphandlingsskadeavgift enligt lagen om offentlig upphandling är lägsta beloppet 10 000 kronor och det högs- ta 10 000 000 kronor. Avgiften får dock aldrig överstiga en viss procentsats av upphandlingens värde.

Skillnader mellan sanktionsavgifternas storlek utanför respektive innanför myndighetssfären kan också motiveras av att personupp- giftsansvariga i den privata sektorn kan vara multinationella företag där det krävs synnerligen höga sanktionsbelopp för att avgiften ska vara kännbar. För myndigheter kan även en något lägre avgift för- väntas påverka agerandet i önskad riktning. Till det kommer att ett felaktigt agerande från en myndighet sällan föranleds av en önskan att maximera vinst eller att göra en större besparing, även om det inte kan uteslutas att det finns ekonomiska motiv. Lägre men tillräckligt kännbara belopp torde därför påverka myndigheterna så länge bud- getdisciplinen upprätthålls och de inte får ekonomiska tillskott för att kunna betala sina sanktionsavgifter. Här kan också noteras att i kommissionens förslag till den förordning som reglerar institu- tionernas och gemenskapsorganens egen behandling av personupp- gifter sätts beloppsgränsen för sanktionsavgifterna betydligt lägre än enligt dataskyddsförordningen.27

27 Artikel 66.2 och 66.3 i kommissionens förslag av den 10 januari 2017, COM(2017) 8 final, 2017/0002 (COD).

290

SOU 2017:39

Sanktioner

Ett av huvudsyftena med sanktionsavgifter är att de ska vara effektiva och avskräckande. För att regleringen ska få en tillräckligt avskräckande effekt krävs, trots det som sagts ovan om myndigheters relativt sett högre känslighet även för låga sanktionsavgifter, enligt vår bedömning att maximibeloppet sätts relativt högt. Sammanfattnings- vis anser vi att maxbeloppet för sanktionsavgifter mot myndigheter bör ligga i linje med de sanktionsavgifter som i dag finns på andra områden och med storleken på företagsbot, och därmed bestämmas till ett lägre belopp än enligt dataskyddsförordningen.

Sanktionsavgift ska enligt förordningen tas ut på två olika nivåer – en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser och underlåtenhet att följa förelägganden eller beslut av tillsyns-myndigheten eller att på annat sätt bistå den. Vi anser att det även för myndigheter finns skäl att ha två olika avgiftsnivåer. Ett maximibelopp om 10 000 000 kro- nor för mindre allvarliga överträdelser, vilket motsvarar vad som i dag gäller för företagsbot, får anses tillräckligt betydande för att utgöra en kännbar sanktion.

Det finns, utifrån förordningens modell, skäl att bestämma belop- pen för allvarligare överträdelser till det dubbla. Det innebär att maximibeloppet för sådana överträdelser bör vara 20 000 000 kronor. Vid bestämmandet av vad som utgör en mindre allvarlig respektive en allvarlig överträdelse bör förordningens artikel 83.4 respektive 83.5 gälla.

Frågan om det närmare förfarandet vid beslut om sanktions- avgifter och effektiva rättsmedel för de som påförs avgifterna behand- las i avsnitt 19.5.3 och 19.7.3.

18.6Övriga sanktioner och förbudet mot dubbelbestraffning

18.6.1Medlemsstaternas åligganden

Som nämnts ovan anges i artikel 84 att medlemsstaterna ska fast- ställa regler om andra sanktioner för överträdelser av förordningen, särskilt för överträdelser som inte är föremål för administrativa sank- tionsavgifter. Medlemsstaterna har enligt samma artikel att se till att sanktionerna är effektiva, proportionella och avskräckande. Frågan är då vad detta innebär för våra skyldigheter när det gäller genom-

291

Sanktioner

SOU 2017:39

förande. I skäl 152 anges att om förordningen inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall bör med- lemsstaterna genomföra ett system med effektiva, proportionella och avskräckande sanktioner, som kan vara av administrativ eller straffrättslig art. Artikel 84 får alltså tolkas så att om sanktioner saknas enligt förordningen åligger det i princip medlemsstaterna att täppa till sådana luckor, men att det finns relativt stor frihet för medlemsstaterna att avgöra på vilket sätt detta ska ske.

Som framgår av genomgången ovan av förordningens reglering om sanktionsavgifter täcker den det stora flertalet rättigheter och skyldigheter enligt förordningen, med det viktiga undantaget att överträdelser mot artikel 10 inte omfattas.

18.6.2Allmänt om kriminalisering

Det finns en uttalad politisk vilja att använda straffrätten återhåll- samt. Detta eftersom kriminalisering innebär påtagliga inskränk- ningar i medborgarnas valfrihet och ingripande tvångsåtgärder mot dem som begår brott. Straffrättsliga sanktioner ses vidare som inef- fektiva i många fall, i synnerhet när det i första hand är juridiska personer som kan antas göra sig skyldiga till överträdelser av olika slag genom beslut som fattas på viss nivå i organisationen.28

Åklagarutredningen manade i sitt betänkande, SOU 1992:61, till försiktighet vid användandet av kriminalisering som metod för att styra medborgarnas beteende. Utredningen fastslog vissa kriterier för att en kriminalisering ska framstå som befogad, bland annat att alternativa sanktioner inte står till buds, inte skulle vara rationella eller skulle kräva oproportionerligt höga kostnader och att straff- sanktionen utgör ett effektivt medel för att motverka det icke önskvärda beteendet. Den restriktiva syn på kriminalisering som kom till uttryck i utredningen och den efterföljande propositionen fick i huvudsak stöd vid riksdagsbehandlingen.29

Straffrättsanvändningsutredningen fick i uppdrag av regeringen att på nytt analysera och ta ställning till vilka kriterier som bör gälla för att kriminalisering ska anses vara befogad, se dir. 2011:31. Som

28SOU 2013:38 s. 536.

29Prop. 1994/95:23 s. 52 f., bet. 1994/95:JuU2 och rskr. 1994/95:40.

292

SOU 2017:39

Sanktioner

utgångspunkt angavs att kriminalisering bör ske med återhållsam- het och endast användas när den metoden som framstår som den mest effektiva för att motverka det oönskade beteendet. Utred- ningen tog fram fem kriterier som den ansåg ska vara uppfyllda för att kriminalisering ska komma i fråga. Dessa kan sammanfattas enligt följande.

1.Det tänkta straffbudet måste avse ett identifierat och konkreti- serat intresse som är skyddsvärt (godtagbart skyddsintresse).

2.Det beteende som avses bli kriminaliserat måste kunna orsaka skada eller fara för skada på skyddsintresset.

3.Endast den som har visat skuld – varit klandervärd – bör träffas av straffansvar, vilket innebär att kriminaliseringen inte får äventyra tillämpningen av skuldprincipen.

4.Det får inte finnas något tillräckligt värdefullt motstående intresse.

5.Det får inte finnas någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet. I första hand bör vite, sanktionsavgift eller återkallelse av tillstånd övervägas. Straff bör väljas i sista hand.30

Utredningen ansåg att för att inte riskera att komma i konflikt med det så kallade dubbelbestraffningsförbudet (se vidare nedan) bör sådana beteenden som sanktioneras med avgift inte samtidigt vara straffbelagda. Visserligen kan man med åtalsbegränsningsregler, jämk- ningsregler, inskränkning av anmälningsplikt osv. försöka se till att dubbelbestraffningsförbudet inte överträds i praktiken, men en sådan uppbyggnad av regelverket gör enligt utredningen att detta blir svårt att överblicka och besvärligt att tillämpa. Utredningen ansåg vidare att det bör vara möjligt för den enskilde att kunna förutse om ett visst beteende leder till straff eller avgift, och förordade därför att när sanktionsavgift införs för beteenden som redan är straffbelagda, dessa beteenden avkriminaliseras i motsvarande mån.31 Straffrättsanvänd- ningsutredningens betänkande har remissbehandlats och bereds nu inom Regeringskansliet.

30SOU 2013:38 s. 498.

31SOU 2013:38 s. 546 f.

293

Sanktioner

SOU 2017:39

18.6.3Dubbelprövningsförbudet

Europakonventionen gäller som lag i Sverige. I konventionen regle- ras mänskliga rättigheter såsom rätten till en rättvis rättegång i artikel 6. I artikel 4.1 i det sjunde tilläggsprotokollet till konventio- nen regleras rättigheten att inte bli lagförd eller straffad två gånger, ibland kallat dubbelbestraffningsförbudet. Fortsättningsvis kom- mer här att användas den något mer korrekta termen dubbelpröv- ningsförbudet.

Det svenska systemet med samtidig tillämpning av en administra- tiv sanktion i form av skattetillägg och en straffrättslig sanktion i form av skattebrott har prövats i domen Lucky Dev mot Sverige (no. 7356/10, den 27 november 2014), där Europadomstolen fann att en kränkning av dubbelprövningsförbudet hade skett.

Dubbelprövningsförbudet finns även reglerat i EU-rätten, när- mare bestämt i artikel 50 i Europeiska unionens stadga om de grund- läggande rättigheterna. EU-domstolen har i ett avgörande år 2013 ansett sig behörig att pröva de svenska skattetilläggs- och skatte- brottsreglerna såvitt de gäller mervärdesskatt, men lämnade i domen över till den frågande tingsrätten att bedöma om förfarandet stred mot dubbelprövningsförbudet.32 Högsta domstolen och Högsta förvaltningsdomstolen har under 2013 ändrat sin tidigare praxis och nu kommit fram till att det svenska systemet med två förfaranden och dubbla sanktioner vid oriktiga uppgifter i skatteförfarandet är oför- enligt med dubbelprövningsförbudet.33

18.6.4Överväganden och förslag

Utredningens förslag: Sanktionsavgifter enligt artikel 83 i data- skyddsförordningen ska kunna tas ut även vid överträdelser av artikel 10 i förordningen. Avgiftens storlek ska bestämmas inom ramen för den högre beloppsgräns som gäller för överträdelser mot bland annat bestämmelserna om känsliga personuppgifter.

32Dom Åkerberg Fransson, C-617/10, EU:C:2013:280.

33NJA 2013 s. 502, NJA 2013 s. 746 och HFD 2013 ref. 71. Jfr Europadomstolens dom i A och B mot Norge, (no 24130/11 och 29758/11, den 15 november 2016).

294

SOU 2017:39

Sanktioner

Utredningens bedömning: Något straff ska inte ådömas den som bryter mot förordningen.

Någon möjlighet för tillsynsmyndigheten att förena sina före- lägganden med vite bör inte införas.

Sanktionsavgift vid överträdelser mot artikel 10

Dataskyddsförordningens artikel 10 begränsar möjligheterna att behandla uppgifter som rör fällande domar i brottmål och överträ- delser eller därmed sammanhängande säkerhetsåtgärder, och innebär alltså skyldigheter för personuppgiftsansvariga och personuppgifts- biträden att se till att behandling bara sker i tillåtna fall. Intresset av att upprätthålla efterlevnaden av de begränsningar som anges i arti- kel 10, dvs. möjligheterna att behandla personuppgifter om fällande domar och överträdelser som rör brott, väger enligt vår mening lika tungt ur integritetssynpunkt som att säkerställa efterlevnaden av förbudet mot behandling av vissa typer av känsliga personuppgifter. Behandling av uppgifter om misstänkta eller lagförda brott uppfattas många gånger som mycket integritetskänsligt och stigmatiserande av den registrerade. Som nämnts ovan framstår det inte heller som osannolikt att avsikten varit att även artikel 10 skulle omfattats av regleringen om sanktionsavgifter.

Av förordningens skäl 152 och artikel 84 kan utläsas att det står medlemsstaterna fritt att införa administrativa sanktioner på områden som inte harmoniseras i förordningen. Vår bedömning är att samma system för sanktionsavgifter bör gälla vid överträdelser av artikel 10 som för överträdelser av regleringen om känsliga personuppgifter i artikel 9. Tillsynsmyndigheten bör därför kunna påföra administrativa sanktionsavgifter upp till det högre maxbeloppet även vid överträ- delser mot förordningens artikel 10.

Straff

Den befintliga bestämmelsen i 49 § PUL har som nämnts ovan till- lämpats sparsamt under senare tid. I många fall är det svårt att peka ut en fysisk person som uppfyller de objektiva och subjektiva rekvisiten för brott och därför är det svårt att fälla någon till ansvar.

295

Sanktioner

SOU 2017:39

Eftersom ansvaret för överträdelser enligt förordningen i huvud- sak läggs på personuppgiftsansvariga och personuppgiftsbiträden, vilka i flertalet fall är juridiska personer, bör de mycket kännbara avgifter som kan påföras enligt förordningen vara väsentligt mer effektiva i den meningen att de har en mer avhållande effekt än straffrättsliga sanktioner.

Överträdelser mot förordningen kommer sannolikt i stor utsträck- ning att upptäckas och utredas av tillsynsmyndigheten. Även ur resurssynpunkt är det därför mer effektivt att låta tillsynsmyndig- heten sanktionera överträdelserna. Med det kraftfulla och relativt heltäckande system med sanktionsavgifter som införs genom förord- ningen finns det därför enligt vår bedömning en alternativ metod som är tillräckligt effektiv och avskräckande för att komma till rätta med överträdelser mot förordningen.

Införandet av straff kan också aktualisera dubbelprövningsför- budet och göra det svårt för personuppgiftsansvariga att förutse vil- ken sanktion som kan komma ifråga för vilken överträdelse. Med den restriktiva syn på kriminalisering som förutsätts i dag, bedömer vi att någon straffsanktion inte bör införas för överträdelser mot förordningen.

Det bör i detta sammanhang återigen erinras om att visst integri- tetskränkande beteende som innefattar personuppgiftsbehandling kan vara straffsanktionerat enligt andra bestämmelser, såsom exem- pelvis dataintrång och förtal. Tjänstefelsansvaret kan också komma ifråga vid gärningar som begås av offentliganställda och som innebär överträdelser av dataskyddsregleringen. För närvarande bereds också förslaget om införande av brottet olaga integritetsintrång i Regerings- kansliet (SOU 2016:7). En avkriminalisering av brott mot regleringen om dataskydd innebär alltså inte att integritetskränkningar som begås vid personuppgiftsbehandling kommer att sakna straffrättsliga sank- tioner.

Andra sanktioner

Dataskyddsförordningen innehåller inte någon indikation på vilka andra sanktioner som avses i artikel 84. Straffanvändningsutred- ningen har bedömt att de repressiva metoder som står till buds för staten, vid sidan av straff och sanktionsavgifter, främst är vite och

296

SOU 2017:39

Sanktioner

återkallelse av tillstånd.34 Förordningen föreskriver inte något sådant tillståndsförfarande som gör att återkallelse kan användas som sank- tion. Frågan om det finns skäl att behålla möjligheten för tillsyns- myndigheten att vitesförelägga i vissa situationer måste dock över- vägas i detta sammanhang.

Inledningsvis kan konstateras att Datainspektionen hittills aldrig använt sig av den möjlighet att vitesförelägga som finns enligt person- uppgiftslagen. Som nämnts ovan kan sanktionsavgifterna enligt för- ordningen användas framåtsyftande, dvs. för att säkerställa ett age- rande i enlighet med tillsynsmyndighetens pålagor, genom att det erinras om att sanktionsavgifter kan utgå enligt artikel 83.5 e och artikel 83.6 om föreläggandet eller beslutet inte följs. Vi bedömer att denna möjlighet bör fylla tillsynsmyndighetens behov av hand- lingsdirigerande sanktion, och att det därför inte finns något behov för tillsynsmyndigheten att också kunna förena sina förelägganden med vite på förordningens tillämpningsområde. Det faktum att även vite kan aktualisera dubbelprövningsförbudet om det utdöms för gärningar som också aktualiserar påförande av sanktionsavgifter, talar ytterligare emot att införa en sådan möjlighet.

Vid sidan av systemet med sanktionsavgifter finns också det i det närmaste strikta skadeståndsansvar som gäller enligt förord- ningens artikel 82. De höga belopp som kan komma att dömas ut vid mer omfattande behandling får också antas ha en avskräckande effekt.

Sammanfattningsvis menar vi att förordningens system med skade- stånd och sanktionsavgifter, tillsammans med den reglering som före- slagits ovan avseende artikel 10, uppfyller kraven på effektiva och avskräckande sanktioner för överträdelser av förordningen och att det därför inte finns behov av att införa några andra sanktioner i svensk rätt.

34 SOU 2013:38 s. 537.

297

Sanktioner

SOU 2017:39

18.7Betalning och verkställighet

18.7.1Överväganden och förslag

Utredningens förslag: Sanktionsavgifterna ska tillfalla staten och betalas inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft. Om en sanktionsavgift inte betalas ska den lämnas för indrivning.

Som nämnts ovan framgår det inte uttryckligen av dataskyddsför- ordningen om de sanktionsavgifter som kan komma att tas ut ska betalas till EU eller till medlemsstaterna. Inte heller regleras det i för- ordningen hur betalningen eller den närmare verkställigheten av avgifterna ska ske.

I avsaknad av reglering i förordningen om vem sanktionsavgif- terna tillfaller, måste utgångspunkten vara att avgifterna ska tillfalla staten. Detta bör framgå av dataskyddslagen. Det bör däremot läm- nas till regeringen att bestämma till vilken myndighet betalning ska ske.

Föreskrifter om verkställighet av sanktionsavgifter kan meddelas av regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen. Någon upplysningsbestämmelse om detta behöver enligt vår bedömning inte tas in i dataskyddslagen. Med stöd av nämnda bestämmelse i regeringsformen bör regeringen meddela föreskrifter om till vilken myndighet betalning ska ske, liksom sed- vanliga föreskrifter om betalningen i övrigt, om indrivning och om preskription, i likhet med vad som föreslagits i betänkandet Brotts- datalag, SOU 2017:29.

298

19 Processuella frågor

19.1Vårt uppdrag

Enligt kommittédirektiven ska vi analysera i vilken utsträckning det behövs kompletterande bestämmelser om de rättsmedel för enskilda som regleras i dataskyddsförordningen. Vi ska vidare analysera om det behövs kompletterande bestämmelser om sådana integritetsskydds- organisationer som regleras i förordningen eller om vilandeförklaring eller skadestånd, samt lämna sådana författningsförslag som är behöv- liga och lämpliga.

Enligt direktiven ska vi även analysera i vilken utsträckning det behövs kompletterande bestämmelser om utövandet av tillsynsmyn- dighetens befogenheter. Det kan dock konstateras att själva utövan- det av befogenheterna har behandlats av Utredningen om tillsynen över den personliga integriteten i betänkandet SOU 2016:65. Den fråga som ankommer på oss att utreda rörande utövandet av tillsyns- myndighetens befogenheter är därmed främst att analysera i vilken utsträckning det behövs kompletterande processuella bestämmelser till skydd för bland andra den personuppgiftsansvarige och de registre- rade, i samband med att tillsynsmyndigheten utövar sina befogen- heter.

Dataskyddsförordningen innehåller utförliga bestämmelser som förpliktar de nationella tillsynsmyndigheterna att samarbeta med och assistera andra medlemsstaters tillsynsmyndigheter. Detta innefattar bland annat skyldigheter att samråda och utbyta information. Till- synsmyndigheterna ges också möjlighet och skyldighet att genom- föra gemensamma insatser och utredningar, där personal från olika medlemsstaters tillsynsmyndigheter deltar.

Vid gemensamma insatser får en tillsynsmyndighet, i enlighet med nationell rätt, medge företrädare för deltagande tillsynsmyndigheter i andra medlemsstater att utöva tillsynsbefogenheter. I kommittédirek-

299

Processuella frågor

SOU 2017:39

tiven anges därför att vi ska bedöma om det bör införas bestämmelser som möjliggör en överföring av den svenska tillsynsmyndighetens befogenheter till en annan medlemsstats tillsynsmyndighet. Vi ska även lämna lämpliga författningsförslag.

19.2Kapitlets disposition

De processuella frågor som aktualiseras när en behandling av person- uppgifter ifrågasätts behandlas i detta kapitel i den kronologiska ord- ning de normalt uppkommer. Först behandlas således vilka rätts- medel som står till buds för den registrerade i direkt förhållande till den personuppgiftsansvarige eller biträdet, dvs. utan inblandning av tillsynsmyndigheten (avsnitt 19.3). Därefter behandlas den registre- rades möjlighet att lämna in klagomål till tillsynsmyndigheten och få ett besked om myndigheten avser att vidta några åtgärder eller inte (avsnitt 19.4). I de påföljande avsnitten behandlas dels frågor som rör tillsynsmyndighetens handläggning av ärenden (avsnitt 19.5) och gemensamma insatser med utländska tillsynsmyndigheter (av- snitt 19.6), dels rätten att överklaga tillsynsmyndighetens beslut (av- snitt 19.7) och andra beslut enligt dataskyddslagen (avsnitt 19.8). Den registrerades möjligheter att få stöd av en ideell organisation behandlas därefter (avsnitt 19.9) och till sist vissa frågor som rör dom- stolsförfarandet (avsnitt 19.10).

19.3Rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet

19.3.1Gällande rätt

Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begä- ran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personupp- giftslagen eller föreskrifter som har utfärdats med stöd av lagen.

I 48 § PUL anges att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgifts- lagen har orsakat. Med stöd av denna bestämmelse kan den registre- rade ansöka om stämning mot den personuppgiftsansvarige och yrka

300

SOU 2017:39

Processuella frågor

att den personuppgiftsansvarige ska åläggas att betala ersättning. Om den personuppgiftsansvarige är en statlig myndighet får begäran om ersättning ges in till Justitiekanslern. Enligt förordningen om hand- läggning av skadeståndsanspråk mot staten ska Justitiekanslern hand- lägga sådana anspråk som görs med stöd av personuppgiftslagens skadeståndsbestämmelse.

Om den personuppgiftsansvarige är en myndighet har den regi- strerade också i vissa fall möjlighet att initiera en process i förvalt- ningsdomstol. Enligt 52 § PUL får nämligen några av de beslut som myndigheten fattar enligt personuppgiftslagen överklagas till allmän förvaltningsdomstol. Denna rätt gäller endast myndighetens beslut om information enligt 26 § PUL, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Rätten att överklaga gäller inte beslut som fattats av riksdagen, regeringen eller riksdagens ombudsmän.

19.3.2Dataskyddsförordningen

Varje registrerad som anser att hans eller hennes rättigheter har åsido- satts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ska ha rätt till ett effektivt rättsmedel, utöver rätten att lämna in ett klago- mål till en tillsynsmyndighet (artikel 79.1). Talan mot en personupp- giftsansvarig eller ett personuppgiftsbiträde ska väckas vid domsto- larna i den medlemsstat där den personuppgiftsansvarige eller person- uppgiftsbiträdet är etablerad. Talan får även väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet som agerar inom ramen för sin myndighetsutövning (artikel 79.2).

Artikel 82 innehåller bestämmelser om skadestånd. Enligt arti- kel 82.6 ska domstolsförfaranden för utövande av rätten till ersätt- ning tas upp vid de domstolar som är behöriga enligt artikel 79.2.

301

Processuella frågor

SOU 2017:39

19.3.3Överväganden och förslag

Utredningens förslag: Om den personuppgiftsansvarige är en myndighet, ska myndighetens beslut avseende behandlingen av personuppgifter i vissa fall få överklagas av den registrerade till allmän förvaltningsdomstol.

Det ska förtydligas i dataskyddslagen att rätten till ersättning enligt dataskyddsförordningen även gäller vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen.

Utredningens bedömning: Den registrerades rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller biträdet till- godoses genom möjligheten att föra talan om skadestånd i allmän domstol.

En registrerad ska enligt dataskyddsförordningen ha rätt till ett effek- tivt rättsmedel mot en personuppgiftsansvarig eller ett personupp- giftsbiträde. Av kontexten framgår att rättsmedlet ska innefatta en rätt att föra talan i domstol. Vilken slags talan som den registrerade ska kunna väcka framgår däremot inte, vare sig av artikeltexten eller av skälen till förordningen.

Även enligt dataskyddsdirektivet ska den registrerade ha rätt till ett rättsmedel mot en personuppgiftsansvarig eller ett personupp- giftsbiträde. I artikel 22 i direktivet anges att medlemsstaterna ska föreskriva att var och en har rätt att föra talan inför domstol om såda- na kränkningar av rättigheter som skyddas av den nationella lag- stiftning som är tillämplig på behandlingen. Vid genomförandet av dataskyddsdirektivet bedömdes att denna bestämmelse var genom- förd i svensk rätt genom möjligheten för enskilda att vid allmän domstol föra talan om skadestånd för kränkningar av alla rättigheter som direktivet och den svenska lagstiftningen ger enskilda.1

1 Prop. 1997/98:44 s. 106.

302

SOU 2017:39

Processuella frågor

En myndighets beslut om personuppgiftsbehandling

ska i vissa fall få överklagas till allmän förvaltningsdomstol

Om den personuppgiftsansvarige är en myndighet får enligt gällande rätt vissa av de beslut som myndigheten fattar i denna egenskap över- klagas till allmän förvaltningsdomstol (52 § PUL). Denna bestäm- melse har inte sin grund i dataskyddsdirektivet, utan motiveras av allmänna förvaltningsrättsliga principer om att förvaltningsbeslut som direkt berör en enskild person ska kunna överprövas av domstol.2

Dessa allmänna förvaltningsrättsliga principer gör sig gällande även avseende vissa av de beslut som personuppgiftsansvariga myn- digheter kommer att fatta enligt dataskyddsförordningen, till följd av en begäran av en registrerad. När den personuppgiftsansvarige är en myndighet kan nämligen vissa beslut rörande behandlingen av per- sonuppgifter sägas vara ett utflöde av myndighetens myndighets- utövning. Dataskyddslagen bör därför, i likhet med personuppgifts- lagen, förses med en uttrycklig bestämmelse om att vissa myndig- hetsbeslut får överklagas till allmän förvaltningsdomstol. Prövnings- tillstånd bör krävas för överklagande till kammarrätten.

Rätten att överklaga bör omfatta beslut som en personuppgifts- ansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt kapitel III i dataskyddsförordningen. De rättig- heter som kan föranleda överklagbara beslut rör information (arti- kel 12.5), registerutdrag m.m. (artikel 15), rättelse (artikel 16), rade- ring (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invänd- ningar (artikel 21). Det bör noteras att överklaganderätten bara kan gälla beslut som är av den karaktären att de är överklagbara enligt allmänna förvaltningsrättsliga principer, jfr t.ex. RÅ 2010 ref. 72 och RÅ 2007 ref. 7. En myndighets faktiska handlande eller underlåtenhet att handla kan exempelvis inte överklagas. En annan förutsättning för överklagande är att beslutet har någon inte alltför obetydlig verkan för parter eller andra. Normalt saknas också möjlighet att klaga över motiveringen till ett beslut.

2 Prop. 2005/06:173 s. 51 f.

303

Processuella frågor

SOU 2017:39

Den registrerade får föra talan om skadestånd

Den registrerades rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet vid skada som uppstått till följd av behandling som strider mot dataskyddsförordningen regleras i arti- kel 82. Med behandling som strider mot dataskyddsförordningen av- ses enligt skäl 146 även behandling som strider mot nationella bestämmelser som specificerar förordningen. Artikel 82, som är direkt tillämplig, tar över de allmänna skadeståndsreglerna i skadestånds- lagen, jfr 1 kap. 1 § i den lagen.

Domstolsförfaranden rörande skadestånd ska enligt artikel 82.6 tas upp vid de domstolar som är behöriga enligt artikel 79.2, dvs. vid en domstol i den medlemsstat där den personuppgiftsansvarige eller biträdet är etablerad. Såvida den ansvarige eller biträdet inte är en myndighet får talan i stället väckas vid en domstol i den medlemsstat där den registrerade har sin hemvist. Bestämmelsen tar över rätte- gångsbalkens allmänna forumregler, jfr 10 kap. 21 § rättegångsbalken.

Ersättningen ska enligt förordningen täcka såväl materiell som immateriell skada, dvs. med svenska termer ekonomisk och ideell skada. Kränkning, som i 48 § PUL nämns särskilt vid sidan av skada, utgör en immateriell eller ideell skada.3 Förarbetsuttalanden rörande personuppgiftslagen och den praxis som har utvecklats vid tillämp- ningen av 48 § PUL bör därför kunna vara vägledande även vid pröv- ning av rätten till ersättning enligt artikel 82 i dataskyddsförord- ningen. Se även avsnitt 18.3.1.

I likhet med den bedömning som gjordes vid genomförandet av dataskyddsdirektivet anser vi att den registrerades rätt till ett effek- tivt rättsmedel mot en personuppgiftsansvarig eller ett personupp- giftsbiträde tillgodoses i svensk rätt genom möjligheten att vid allmän domstol föra talan om ersättning för den skada som en behandling av personuppgifter i strid med förordningen har gett upphov till.

Samma rätt till ersättning gäller enligt skäl 146 även vid skada som uppstått genom behandling av personuppgifter i strid med de natio- nella bestämmelser som specificerar dataskyddsförordningen. Detta bör förtydligas genom en upplysningsbestämmelse i dataskyddslagen. Denna bestämmelse bör erinra om att rätten till ersättning gäller även

3 För en närmare beskrivning av det skadeståndsrättsliga begreppet kränkning, se SOU 2010:87 s. 104 f.

304

SOU 2017:39

Processuella frågor

vid överträdelser av bestämmelser i dataskyddslagen och i andra för- fattningar som kompletterar dataskyddsförordningen. Några natio- nella bestämmelser i övrigt, utöver dem som redan finns i rättegångs- balken och skadeståndslagen, behövs däremot inte för att uppfylla dataskyddsförordningens krav på rättsmedel enligt artikel 79.

19.4Klagomål till tillsynsmyndigheten

19.4.1Gällande rätt

Den registrerades möjlighet att ge in ett klagomål till Datainspek- tionen är inte reglerad i författning. På inspektionens hemsida anges dock att inspektionen tar del av alla klagomål, bedömer om tillsyn ska inledas och lämnar ett besked till den som framfört klagomålet.

19.4.2Dataskyddsförordningen

Varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot dataskyddsförordningen ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet (artikel 77.1). Tillsynsmyndigheten ska underrätta den enskilde bland annat om hur arbetet med klagomålet fortskrider och vad resultatet blir (arti- kel 77.2).

Om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fort- skrider med klagomålet eller vilket beslut som har fattats med anled- ning av det, ska varje registrerad person ska ha rätt till ett effektivt rättsmedel (artikel 78.2).

19.4.3Överväganden och förslag

Utredningens förslag: Om tillsynsmyndigheten inte inom tre månader behandlar ett klagomål, ska den registrerade kunna begära besked i frågan om tillsynsmyndigheten avser att utöva till- syn. Myndigheten ska då inom två veckor antingen lämna ett sådant besked eller i ett särskilt beslut avslå begäran om besked. Om tillsynsmyndigheten avslår begäran om besked får den registrerade begära nytt besked i ärendet först efter tre månader.

305

Processuella frågor

SOU 2017:39

Utredningens bedömning: Det behövs inga författningsbestäm- melser om den registrerades rätt att lämna in klagomål till tillsyns- myndigheten.

Den registrerade får lämna in klagomål till tillsynsmyndigheten

Det finns i gällande svensk rätt inga uttryckliga bestämmelser om rätten att framföra klagomål till Datainspektionen. Inte heller data- skyddsförordningen ger anledning till nationell reglering av rätten att ge in klagomål. Den registrerades rätt regleras direkt i artikel 77 i förordningen och tillsynsmyndighetens skyldighet att handlägga sådana klagomål föreskrivs i artikel 57.1 f. Vi lämnar därför inget författningsförslag i denna del.

Vid utebliven eller långsam handläggning av ett klagomål ska den registrerade kunna begära besked

Tillsynsmyndigheten ansvarar för att behandla klagomål, vilket inne- fattar en skyldighet att, där så är lämpligt, undersöka den sakfråga som klagomålet gäller. Tillsynsmyndigheten ska också inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet (artikel 57.1 f och artikel 77.2 i dataskyddsförord- ningen). Om tillsynsmyndigheten inte inom tre månader uppfyller dessa skyldigheter, ska den registrerade ha rätt till ett effektivt rätts- medel.

En motsvarande rätt för enskilda att föra passivitets- eller dröjs- målstalan mot myndigheter som inte agerar inom föreskriven tidsfrist återfinns i flera unionsrättsakter, bland annat inom det finansiella området och i tullagstiftningen. Det har dock inte varit självklart hur denna rätt bäst ska tillgodoses inom ramen för den svenska förvalt- ningsprocessuella traditionen, eftersom denna innebär att domstolen överprövar ett skriftligt myndighetsbeslut. På flera områden har EU- rättsliga bestämmelser om dröjsmålstalan genomförts på så sätt att den enskilde har getts en möjlighet att hos förvaltningsdomstol begära förklaring att ärendet onödigt uppehålls. Om myndigheten inte har meddelat ett beslut inom en viss tid från det att domstolen

306

SOU 2017:39

Processuella frågor

har lämnat en sådan förklaring, ska ansökan anses ha avslagits.4 Detta fingerade avslagsbeslut kan därefter överklagas i samma ordning som om ett formellt beslut verkligen hade fattats.

I prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, som bygger på Förvaltningslagsutredningens betän- kande (SOU 2010:29), föreslås en lösning som i stället syftar till att framtvinga ett överklagbart beslut i handläggningsfrågan. Enligt det förslaget ska den enskilde inte i första skedet vända sig till förvalt- ningsdomstol, utan hos myndigheten begära att ärendet avgörs. Myn- digheten ska då inom fyra veckor antingen avgöra ärendet eller i ett särskilt beslut avslå framställningen. Ett sådant avslagsbeslut får sedan överklagas till den domstol eller förvaltningsmyndighet som är behö- rig att pröva ett överklagande av avgörandet i ärendet (se 12 § i för- slaget till förvaltningslag). Med tanke på att regeringens förslag, om det så småningom antas av riksdagen, innebär att ett nytt rättsmedel mot långsam myndighetshandläggning införs i Sverige på generell nivå, anser vi att dataskyddsförordningens bestämmelse om dröjs- målstalan bör genomföras på ett sätt som följer samma principiella konstruktion.

Om tillsynsmyndigheten inte behandlar ett klagomål inom den tidsfrist som anges i förordningen, bör myndigheten således vara skyldig att på skriftlig begäran av den registrerade lämna besked i frågan om tillsynsmyndigheten tänker utöva tillsyn eller inte med anledning av klagomålet. Om tillsynsmyndigheten inte kan lämna ett sådant besked inom två veckor, t.ex. på grund av att ärendet kräver ytterligare utredning, bör tillsynsmyndigheten vara skyldig att i ett särskilt beslut avslå den registrerades begäran om besked. Ett sådant avslagsbeslut utgör myndighetsutövning och ska därför enligt 20 § förvaltningslagen innehålla skälen för beslutet. Endast på så sätt skapas förutsättningar för att i domstol göra en prövning av om handläggningstiden hos tillsynsmyndigheten är rimlig, se avsnitt 19.7 om överklagande av tillsynsmyndighetens beslut.

Om tillsynsmyndigheten avslår begäran om besked bör den regi- strerade ha möjlighet att på nytt begära besked i ärendet. Tillsyns- myndigheten bör dock dessförinnan få en rimlig tid på sig att faktiskt handlägga klagomålet. Enligt vår mening är tre månader en rimlig tids-

4 Se t.ex. 6 kap. 26 § tullagen (2016:253) och 26 kap. 2 § lagen (2007:528) om värdepappers- marknaden.

307

Processuella frågor

SOU 2017:39

frist. Om en ny begäran om besked kommer in till tillsynsmyndig- heten innan tre månader har förflutit sedan myndigheten avslog den första begäran om besked, bör således tillsynsmyndigheten avvisa begäran.

19.5En rättssäker handläggning hos tillsynsmyndigheten

19.5.1Gällande rätt

Tillsynsmyndighetens utredningsbefogenheter regleras i 43 § PUL. Enligt denna bestämmelse har tillsynsmyndigheten rätt att för sin till- syn på begäran få

a)tillgång till de personuppgifter som behandlas,

b)upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerheten vid denna, och

c)tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

Tillsynsmyndigheten har inte några maktbefogenheter att ta till om den personuppgiftsansvarige vägrar att t.ex. tillhandahålla informa- tion eller bereda myndigheten tillträde till lokalerna. Myndigheten kan inte heller begära handräckning av polisen eller Kronofogde- myndigheten i en sådan situation.

Enligt 44 § PUL får tillsynsmyndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, om myndigheten efter begäran enligt 43 § inte kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig. Detta ansågs vid införan- det av personuppgiftslagen som en lämpligare åtgärd än regler om att myndigheten skulle få genomdriva sina rättigheter med t.ex. polishjälp.5

Om tillsynsmyndigheten kan konstatera att personuppgifter be- handlas eller kan komma att behandlas på ett olagligt sätt, ska myndig- heten enligt 45 § PUL genom påpekanden eller liknande förfaranden

5 Prop. 1997/98:44 s. 102 f. och SOU 1997:39 s. 446 f.

308

SOU 2017:39

Processuella frågor

försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgif- terna på något annat sätt än genom att lagra dem. Vite får även före- skrivas om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft.

I 46 § första stycket PUL anges att den personuppgiftsansvarige ska ha fått tillfälle att yttra sig innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §. Om saken är brådskande, får dock myndig- heten i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.

Tillsynsmyndigheten får inte själv besluta om utplåning av per- sonuppgifter. Enligt 47 § PUL får dock myndigheten ansöka hos förvaltningsrätten om att sådana personuppgifter som har behand- lats på ett olagligt sätt ska utplånas. Beslut om utplånande får inte meddelas om det är oskäligt.

19.5.2Dataskyddsförordningen

Dataskyddsförordningen innehåller direkt tillämpliga bestämmelser om tillsynsmyndighetens befogenheter. Dessa befogenheter är fler, eller i vart fall mer detaljerat reglerade, än dem som anges i person- uppgiftslagen. Tillsynsmyndighetens utredningsbefogenheter, som regleras i artikel 58.1 i förordningen, motsvarar i stora drag de befogenheter som tillkommer myndigheten enligt personuppgifts- lagen. De s.k. korrigerande befogenheterna, som framgår av arti- kel 58.2, är däremot mer omfattande. Som exempel kan nämnas att tillsmyndigheten enligt led g i den angivna artikeln får förelägga om radering av personuppgifter och att den enligt led i får påföra admi- nistrativa sanktionsavgifter. Vidare anges i artikel 58.3 vilken möj- lighet myndigheten har att utfärda tillstånd och att ge råd.

Enligt artikel 58.5 ska det i den nationella lagstiftningen fastställas att tillsynsmyndigheten har befogenhet att upplysa de rättsliga myn- digheterna om överträdelser av förordningen och vid behov inleda eller på annat vis delta i rättsliga förfaranden, för att verkställa bestämmelserna.

Varje medlemsstat får enligt artikel 58.6 föreskriva att dess till- synsmyndighet ska ha ytterligare befogenheter, utöver dem som av-

309

Processuella frågor

SOU 2017:39

ses i punkterna 1, 2 och 3. Om den svenska myndigheten bör ges sådana ytterligare befogenheter är en fråga som har övervägts av Utredningen om tillsynen över den personliga integriteten. Utred- ningen har i sitt betänkande konstaterat att det för närvarande inte finns något sådant behov.6

I artikel 58.4 anges att utövandet av de befogenheter som tillsyns- myndigheten tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan. I artikel 83.8 upprepas kravet på lämpliga skyddsåtgärder avseende tillsynsmyndighetens befogenheter att på- föra administrativa sanktionsavgifter. Innebörden av kravet på skydds- åtgärder i tillsynsmyndighetens verksamhet utvecklas i skäl 129 till förordningen.

19.5.3Överväganden och förslag

Utredningens förslag: Tillsynsmyndighetens befogenheter enligt dataskyddsförordningen ska gälla även vid myndighetens tillsyn över att de bestämmelser som kompletterar förordningen följs.

Innan tillsynsmyndigheten fattar vissa ingripande beslut ska den som beslutet gäller ha fått tillfälle att yttra sig över allt mate- rial av betydelse för beslutet, om det inte är uppenbart obehövligt. Om saken är brådskande kan dock ett tillfälligt beslut fattas, i avvaktan på yttrandet.

Sanktionsavgift ska inte få tas ut om den som anspråket rik- tas mot inte har getts tillfälle att yttra sig inom fem år från det att överträdelsen ägde rum.

Vissa ingripande beslut ska delges, om det inte är uppenbart obehövligt. Vissa former av stämningsmannadelgivning ska få användas bara om det finns särskild anledning att anta att mot- tagaren har avvikit eller på annat sätt håller sig undan.

Om det finns skäl att ifrågasätta giltigheten av en unionsrätts- akt som påverkar tillämpningen av förordningen, ska tillsynsmyn- digheten få ansöka hos förvaltningsrätten om att en tillsynsåtgärd ska vidtas, i stället för att själv besluta om åtgärden.

6 SOU 2016:65 s. 154 f.

310

SOU 2017:39

Processuella frågor

Utredningens bedömning: Det bör inte införas några bestäm- melser om tillsynsmyndighetens tillträde till en personuppgifts- ansvarigs eller ett personuppgiftsbiträdes lokaler.

Tillsynsmyndigheten får enligt förordningen förelägga en per- sonuppgiftsansvarig om att uppgifter ska raderas. Det behövs inga bestämmelser om förhandsprövning i domstol.

Förordningens krav på att tillsynsmyndighetens befogenheter ska kringgärdas av skyddsåtgärder innefattar en skyldighet för medlems- staterna att dels se till att den personuppgiftsansvarige och person- uppgiftsbiträdet har tillgång till effektiva rättsmedel, dels skapa för- utsättningar för en rättsäker handläggning hos tillsynsmyndigheten. Frågan om effektiva rättsmedel behandlas i avsnitt 19.7. I detta avsnitt behandlas enbart behovet av åtgärder för att säkerställa en rättssäker handläggning hos tillsynsmyndigheten.

Tillsynsmyndighetens ärendehandläggning och verksamhet i övrigt omfattas givetvis av regeringsformens grundsatser om legalitet och objektivitet. Dessutom gäller förvaltningslagens generella bestäm- melser om bland annat effektivitet, partsinsyn, kommunicerings- och motiveringsskyldighet – bestämmelser som alla syftar till att stärka rättssäkerheten. Vid utövandet av de flesta av tillsynsmyndighetens befogenheter är dessa allmänna och särskilda krav på god förvaltning tillräckliga för att säkerställa de krav på myndighetsutövningen som ställs i dataskyddsförordningen. Det bör dock övervägas om vissa av de mer ingripande befogenheterna bör föranleda att ytterligare skyddsåtgärder införs. Det bör även övervägas om tillsynsmyndig- hetens befogenheter att ingripa mot överträdelser av nationella bestämmelser som kompletterar dataskyddsförordningen ska regleras.

Tillsynsmyndighetens befogenheter ska gälla även vid tillsyn enligt dataskyddslagen och sektorsspecifika författningar

Bestämmelsen i artikel 58 om tillsynsmyndighetens befogenheter avser enligt dess lydelse endast tillsynen över tillämpningen av för- ordningens bestämmelser. För att förordningens intentioner ska få fullt genomslag krävs dock att tillsynsmyndigheten kan vidta samma åtgärder vid sin tillsyn över tillämpningen av de nationella bestäm- melser som kompletterar förordningen. Detta bör framgå uttryck-

311

Processuella frågor

SOU 2017:39

ligen av dataskyddslagen. Befogenheterna bör gälla oavsett om de kompletterande nationella bestämmelserna har placerats i dataskydds- lagen eller om de återfinns i sektorsspecifika författningar som avser behandling av personuppgifter.

Mottagaren måste få tillfälle att yttra sig innan förelägganden beslutas

I 46 § PUL finns bestämmelser som avviker från förvaltningslagen och utgör ytterligare processuella skyddsåtgärder för den person- uppgiftsansvarige när tillsynsmyndigheten utövar sin befogenhet att besluta om vitesföreläggande. I paragrafen anges bland annat att den personuppgiftsansvarige, enligt huvudregeln, ska ha fått tillfälle att yttra sig innan tillsynsmyndigheten beslutar om vite. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Vidare anges att ett vitesföreläggande ska delges den personuppgiftsansvarige. Vissa former av stämningsman- nadelgivning får dock användas bara om det med beaktande av vad som har framkommit i det aktuella delgivningsärendet eller vid andra delgivningsförsök med den personuppgiftsansvarige finns anledning att anta att han eller hon har avvikit eller på annat sätt håller sig undan.

Enligt dataskyddsförordningen ska administrativa sanktionsavgif- ter tas ut vid underlåtelse att rätta sig efter ett föreläggande som har meddelats av tillsynsmyndigheten (artikel 83.5 e och 85.6). Sank- tionsavgiften fyller därmed samma funktion som ett vite. Som fram- går av avsnitt 18.6.4 anser vi därför att det inte behöver införas någon möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite. Den omständigheten att underlåtenhet att följa ett föreläggande kan leda till att administrativa sanktionsavgifter tas ut motiverar emel- lertid enligt vår mening att de processuella skyddsåtgärder som nu kringgärdar tillsynsmyndighetens vitesförelägganden bör gälla för alla förelägganden som myndigheten kan meddela med stöd av arti- kel 58.2 i dataskyddsförordningen.

Således bör tillsynsmyndigheten, innan ett föreläggande enligt artikel 58.2 i dataskyddsförordningen beslutas, vara skyldig att ge mottagaren möjlighet att yttra sig över allt material av betydelse för föreläggandet, om det inte är uppenbart obehövligt. Om saken är brådskande bör dock myndigheten, i avvaktan på yttrandet, kunna

312

SOU 2017:39

Processuella frågor

besluta om tillfällig begränsning av eller förbud mot behandling, i enlighet med artikel 58.2 f i dataskyddsförordningen. Ett sådant beslut ska omprövas, när tiden för yttrande har gått ut.

Förelägganden ska delges

Enligt 46 § andra stycket PUL ska vitesförelägganden delges. Den omständigheten att underlåtenhet att följa ett föreläggande enligt dataskyddsförordningen kan leda till administrativa sanktionsavgifter motiverar ett motsvarande krav på delgivning för alla typer av före- lägganden som riktas mot en personuppgiftsansvarig eller ett person- uppgiftsbiträde som tillsynsmyndigheten kan besluta enligt arti- kel 58.2 i förordningen. Tillsynsmyndigheten bör alltså enligt vår mening vara skyldig att se till att ett föreläggande kommer mottaga- ren till del på något av de sätt som föreskrivs i delgivnings- lagen (2010:1932). Precis som enligt 46 § PUL bör dock vissa typer av stämningsmannadelgivning, nämligen sådana som innebär att handlingen överlämnas till en annan person än delgivningsmottaga- ren, få användas bara om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan (jfr 34– 37 §§ delgivningslagen).

Förelägganden och andra beslut ska hanteras på samma sätt

Behovet av särskilda processuella skyddsåtgärder, som avviker från förvaltningslagens generella bestämmelser, bör övervägas också avse- ende andra beslut än förelägganden som tillsynsmyndigheten kan fatta med stöd av artikel 58.2 i dataskyddsförordningen. Inte minst med tanke på att överträdelser av dataskyddsförordningen kan leda till administrativa sanktionsavgifter med höga belopp, är det mycket viktigt att tillsynsmyndigheten kommunicerar materialet i ärendet med den personuppgiftsansvarige eller personuppgiftsbiträdet och ger denne möjlighet att yttra sig innan ett beslut fattas. Detta gäller inte bara vid myndighetsutövning mot enskild utan även om mot- tagaren är en myndighet. Beslut om tillfällig begränsning av, eller till- fälligt förbud mot, behandling måste dock kunna fattas i avvaktan på yttrande, men ska i så fall omprövas när tiden för yttrande har löpt ut.

313

Processuella frågor

SOU 2017:39

I vissa fall kan det vara uppenbart obehövligt att låta den som beslutet gäller yttra sig, till exempel om det är mottagaren själv som har lämnat uppgifterna i fråga. Kommuniceringsplikten bör därför inte vara absolut.

Vad gäller delgivning av beslut anges i 21 § förvaltningslagen att en sökande, klagande eller annan part ska underrättas om innehållet i det beslut varigenom myndigheten avgör ärendet, om detta avser myn- dighetsutövning mot någon enskild. Det är myndigheten som bestämmer om underrättelsen ska ske muntligt, genom vanligt brev, genom delgivning eller på något annat sätt. Underrättelsen ska dock alltid ske skriftligt, om parten begär det. Enligt vår mening bör dock tillsynsmyndighetens beslut enligt artikel 58.2 i förordningen alltid delges i enlighet med delgivningslagens bestämmelser, om det inte är uppenbart obehövligt. Vissa former av stämningsmannadelgivning bör dock inte kunna ske annat än under särskilda omständigheter.

Sammanfattningsvis anser vi således att även andra ingripande beslut än tillsynsmyndighetens förelägganden ska omfattas av proces- suella skyddsåtgärder som avviker från förvaltningslagens generella bestämmelser. Innan tillsynsmyndigheten meddelar ett föreläggande eller annat beslut enligt artikel 58.2 i dataskyddsförordningen, bör därför den som beslutet riktas mot ha fått tillfälle att yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehöv- ligt. Om saken är brådskande bör myndigheten, i avvaktan på yttran- det, få besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskyddsför- ordningen. Ett sådant tillfälligt beslut bör omprövas, när tiden för yttrande har gått ut. Vidare bör ett föreläggande eller annat beslut enligt artikel 58.2 i dataskyddsförordningen delges den som det riktas mot, om det inte är uppenbart obehövligt. Delgivning enligt 34–37 §§ delgivningslagen ska få användas bara om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan. När det gäller tillsynsbeslut i ärenden som har initierats genom klago- mål bör även den som har framställt klagomålet få kännedom om beslutet, lämpligen genom att en kopia av beslutet skickas till denne. Formell delgivning bör dock normalt inte krävas i det fallet.

314

SOU 2017:39

Processuella frågor

Administrativa sanktionsavgifter måste tas ut inom fem år

Beslut om administrativa sanktionsavgifter är en särskilt ingripande åtgärd. Sådana beslut bör därför inte få fattas om lång tid har förflutit sedan överträdelsen ägde rum. Någon preskriptionstid anges dock inte i dataskyddsförordningen. En sådan begränsning av tillsynsmyn- dighetens befogenheter måste i stället anses ingå i medlemsstaternas skyldighet att ställa upp lämpliga skyddsåtgärder för rättssäkerheten i nationell rätt (artikel 58.4). I likhet med vad som gäller för t.ex. miljö- sanktionsavgift och sanktionsavgifter på arbetsmiljöområdet bör det därför föreskrivas att sanktionsavgift inte får tas ut, om den som anspråket riktas mot inte inom fem år från det att överträdelsen ägde rum har getts tillfälle att yttra sig.7

Platsundersökning ska inte kunna ske med tvång

Enligt dataskyddsförordningen ska tillsynsmyndigheten från den per- sonuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som myndigheten behöver för att kunna fullgöra sina uppgifter (artikel 58.2 e). Tillsynsmyndigheten ska också få tillträde till alla lokaler som tillhör den personuppgifts- ansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrust- ning och alla andra medel för behandling av personuppgifter (arti- kel 58.2 f). I skäl 129 till förordningen anges att undersökningsbefo- genheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter.

Enligt personuppgiftslagen har tillsynsmyndigheten inte rätt att gå in i den personuppgiftsansvariges eller biträdets lokaler utan dennes medgivande. Tillsynsmyndigheten har inte heller möjlighet att hos någon rättslig instans inhämta tillstånd till en sådan åtgärd. Befogen- heten att få tillträde till lokalerna kan därmed sägas vara begränsad av den personuppgiftsansvariges eller biträdets samarbetsvilja, precis som tillgången till information. Vid genomförandet av dataskydds- direktivet ansågs det olämpligt med regler som innebär att myndig- heten skulle få genomdriva sina rättigheter med t.ex. polishjälp, efter- som det skulle kunna leda till ett större intrång i den personliga

7 Jfr 30 kap. 6 § miljöbalken och 8 kap. 8 § arbetsmiljölagen.

315

Processuella frågor

SOU 2017:39

integriteten än det intrång som myndighetens tillsynsverksamhet syf- tar till att förebygga.8 Risken för att tillsynsmyndigheten skulle för- bjuda fortsatt behandling av personuppgifter ansågs medföra att de personuppgiftsansvariga blir tillräckligt benägna att ge myndigheten det underlag den behöver.9

Oanmälda tillsynsbesök förekommer i Sverige inom flera olika områden. Det är dock endast i ett fåtal sammanhang som tillsyns- myndigheten har rätt att bereda sig tillträde till lokaler utan inne- havarens medgivande. Sådana platsundersökningar får dessutom nor- malt ske endast efter ansökan hos och medgivande av domstol.10 Ofta får myndigheten begära handräckning av Kronofogdemyndigheten för att genomföra platsundersökningen.11 Gemensamt för de sam- manhang där platsundersökning får genomföras med tvång är att det finns risk för till exempel sabotage eller undanhållande av bevis.

Dataskyddsförordningen ger tillsynsmyndigheten en ovillkorlig rätt att få tillträde till en personuppgiftsansvarigs eller ett personupp- giftsbiträdes lokaler. Enligt vår bedömning kan en undersökning av lokalerna i de allra flesta fall ske med innehavarens medgivande. I vart fall torde risken för att tillsynsmyndigheten annars beslutar om till- fälligt förbud mot behandlingen, med stöd av artikel 58.2 f i data- skyddsförordningen, göra innehavaren tillräckligt benägen att ge till- synsmyndigheten det tillträde den har rätt till enligt artikel 58.1 f. Detta gäller i synnerhet då en underlåtelse att rätta sig efter ett före- läggande eller att ge tillsynsmyndigheten tillgång till uppgifter kan medföra att administrativa sanktionsavgifter tas ut enligt arti- kel 83.5 e. Enligt uppgift från Datainspektionen har tvångsåtgärder hittills aldrig behövts och det finns enligt vår bedömning inget skäl att anta att det kommer att behövas när dataskyddsförordningen börjar tillämpas.

8Prop. 1997/98:44 s. 101.

9Prop. 1997/98:44 s. 102.

10Se t.ex. 5 kap. 3 § konkurrenslagen (2008:579) och 45 kap. 13 § skatteförfarandelagen. Enligt lagen (2010:1010) om kreditvärderingsinstitut, som kompletterar Europaparlamentets och rådets förordning (EG) nr 1060/2009 av den 16 september 2009 om kreditvärderingsinstitut, krävs dock inte något domstolsbeslut för att tillsynsmyndigheten ska kunna utföra en platsunder- sökning utan medgivande, se prop. 2011/12:40 s. 23. Detsamma gäller även enligt exempelvis lagen (2013:287) med kompletterande bestämmelser till EU:s förordning om OTC-derivat, centrala motparter och transaktionsregister.

11Vad gäller bevissäkring enligt skatteförfarandelagen är det i stället Kronofogdemyn- digheten eller granskningsledaren själv som verkställer förvaltningsrättens beslut, se 69 kap.

3§ skatteförfarandelagen.

316

SOU 2017:39

Processuella frågor

I likhet med den bedömning som gjordes vid genomförandet av dataskyddsdirektivet anser vi därför att det inte behövs några bestäm- melser som ger tillsynsmyndigheten möjlighet att tillgripa tvångs- åtgärder för att genomföra en platsundersökning. Vi anser också att det vore olämpligt, med tanke på de integritetsrisker som ett sådant förfarande skulle kunna föranleda. Vi lämnar således i inga förslag i denna del.

Tillsynsmyndigheten får besluta om radering

I artikel 58.2 g i dataskyddsförordningen anges att tillsynsmyndig- heten bland annat får förelägga om radering av personuppgifter enligt artikel 17. Den personuppgiftsansvarige är enligt den senare bestämmelsen skyldig att radera personuppgifter bland annat om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats eller om person- uppgifterna har behandlats på ett olagligt sätt.

Enligt 47 § PUL får beslut om utplåning endast fattas av förvalt- ningsrätten, på ansökan av tillsynsmyndigheten. Frågan är om ett föreläggande om radering enligt artikel 58.2 g i dataskyddsförord- ningen bör omfattas av en liknande skyddsåtgärd.

Ett föreläggande om radering av personuppgifter är onekligen en mycket ingripande åtgärd ur den personuppgiftsansvariges perspek- tiv. När raderingen väl har verkställts är åtgärden oåterkallelig. I det allmännas verksamhet kan radering i vissa fall också vara otillåten, om tillämplig gallringsföreskrift saknas. Om det senare skulle visa sig att raderingen var onödig eller felaktig kan den inte ångras. I vissa fall kan det till och med vara omöjligt att på nytt inhämta eller återskapa personuppgifterna.

Detta utgör dock inget skäl för att frångå principen om att pröv- ningen av om en åtgärd ska vidtas ska göras av tillsynsmyndigheten som första instans. Tillsynsmyndighetens förelägganden kan överkla- gas med stöd av den bestämmelse om rätt att överklaga beslut som vi föreslår i avsnitt 19.7. Enligt vår bedömning saknas det därför skäl att föreskriva en särskild ordning, såsom krav på förhandstillstånd eller beslut av domstol, när tillsynsmyndigheten utövar sin befogenhet enligt artikel 58.2 g att förelägga om radering av personuppgifter. Vi lämnar därför inget sådant förslag.

317

Processuella frågor

SOU 2017:39

Särskilt förfarande då förhandsbesked från EU-domstolen krävs

Tillsynsmyndigheten ska enligt artikel 58.5 i dataskyddsförordningen ha befogenhet att bland annat inleda eller på övrigt vis delta i rättsliga förfaranden, för att verkställa bestämmelserna i förordningen. En motsvarande bestämmelse finns i artikel 28.3 tredje strecksatsen i dataskyddsdirektivet, men berördes inte vid genomförandet av direk- tivet i svensk rätt.

I det mål som gällde giltigheten av kommissionens beslut att de så kallade Safe Harbor-principerna säkerställde ett adekvat skydd för överförda personuppgifter klargjorde EU-domstolen att bestämmel- sen i dataskyddsdirektivet kan innebära ett krav på kompletterande processuella bestämmelser i nationell rätt.12 I domen angavs att det ankommer på den nationella lagstiftaren att föreskriva rättsmedel som gör det möjligt för tillsynsmyndigheten att vid nationella dom- stolar göra gällande de invändningar mot behandlingen av person- uppgifter som den anser att det finns fog för. På så sätt kan nationella domstolar, om de delar myndighetens tvivel angående en unionsrätts- akts giltighet, hänskjuta en begäran om förhandsavgörande till EU- domstolen för att pröva rättsaktens giltighet. Bakgrunden till detta uttalande är att det bara är EU-domstolen som kan förklara en unionsrättsakt ogiltig. En nationell tillsynsmyndighet har inte denna befogenhet och måste därför tillämpa en unionsrättsakt, även om det finns skäl att ifrågasätta dess förenlighet med fördragen eller annan unionsrätt. Inte heller en nationell domstol kan ogiltigförklara en unionsrättsakt, men däremot kan domstolen begära förhandsavgö- rande från EU-domstolen och på så sätt få till stånd ett klargörande.

I svensk rätt finns det ingen möjlighet att väcka en renodlad lag- prövningstalan i domstol. Det finns inte heller någon generell möj- lighet för tillsynsmyndigheter att initiera en domstolsprövning enbart i syfte att skapa förutsättningar för ett klargörande från EU-dom- stolen. En sådan möjlighet bör dock enligt vår mening införas på dataskyddsområdet, för att Sverige fullt ut ska uppfylla kraven i artikel 58.5 i dataskyddsförordningen. Om det finns skäl att ifråga- sätta om en unionsrättsakt som påverkar tillämpningen av data- skyddsförordningen är giltig, till exempel om ett kommissionsbeslut

12 Dom Schrems, C-362/14, EU:C:2015:650, punkt 65. Se även Reichel, Nationella dataskydds- myndigheter som lagprövare av EU-rätten, Förvaltningsrättslig tidskrift nr 1/16.

318

SOU 2017:39

Processuella frågor

är förenligt med förordningen och fördragen, kan det vara olämpligt att tillsynsmyndigheten själv fattar beslut om åtgärder enligt arti- kel 58.2 i dataskyddsförordningen, såsom att den personuppgifts- ansvarige ska föreläggas att radera personuppgifter eller att behand- ling av personuppgifter ska förbjudas. I en sådan situation bör tillsyns- myndigheten i stället kunna ansöka hos allmän förvaltningsdomstol om att åtgärden ska beslutas. Om domstolen i ett sådant mål delar tillsynsmyndighetens tvivel angående giltigheten av den unions- rättsakt som förhindrar eller kräver att åtgärden vidtas, kan domsto- len begära ett förhandsavgörande från EU-domstolen och därigenom få rättsaktens giltighet prövad innan något beslut om åtgärden fattas.

Tillsynsmyndighetens ansökan bör göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut. Prövningstillstånd bör krävas vid överklagande till kammar- rätten. Denna typ av ansökningsförfarande hos domstol finns redan på ett flertal tillsynsområden, bland annat i 47 § PUL, och skulle därmed inte i sig utgöra något främmande element i svensk process- rätt. På detta sätt kan således förordningens krav på rättsmedel för tillsynsmyndigheten uppfyllas, utan att något nytt processuellt insti- tut behöver tillskapas.

19.6Gemensamma tillsynsinsatser

19.6.1Gällande rätt

Svensk grundlag

Vårt uppdrag i denna del är att bedöma om det bör införas bestäm- melser som möjliggör en överföring av den svenska tillsynsmyndig- hetens befogenheter till en annan medlemsstats tillsynsmyndighet. Det finns därför anledning att redogöra för den svenska grund- lagsregleringen på detta område.

Överlåtelse av beslutanderätt inom ramen för samarbetet i EU

Inom ramen för samarbetet i EU kan riksdagen överlåta beslutande- rätt som inte rör principerna för statsskicket (10 kap. 6 § regerings- formen). Sådan överlåtelse förutsätter att fri- och rättighetsskyddet inom det samarbetsområde till vilket överlåtelsen sker motsvarar det

319

Processuella frågor

SOU 2017:39

som ges i regeringsformen och i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Riksdagen kan besluta om sådan överlåtelse, om minst tre fjärdedelar av de röstande och mer än hälften av riksdagens ledamöter röstar för det. Riksdagens beslut kan också fattas i den ordning som gäller för stiftande av grundlag.

Den överlåtelse av beslutanderätt som har skett som en följd av Sveriges medlemskap i EU kommer till uttryck genom lagen med anledning av Sveriges anslutning till Europeiska unionen (anslut- ningslagen). I 2 § anslutningslagen föreskrivs att anslutningsfördraget och de grundläggande fördragen m.m. gäller här i landet med den verkan som följer av fördragen. Genom bestämmelsen införlivas hela det unionsrättsliga regelverket i den svenska rätten. I 3 § samma lag föreskrivs bland annat att EU får fatta beslut som gäller här i landet i den omfattning och med den verkan som följer av de fördrag och andra instrument som anges i 4 §. Det är genom den bestämmelsen som överlåtelsen av beslutanderätt till EU kommer till uttryck. I 4 § anslutningslagen finns en uppräkning av de fördrag och andra instru- ment som avses i 2 och 3 §§.

Systemet är uppbyggt så att riksdagen genom anslutningslagen en gång för alla beslutar om den överlåtelse av beslutsbefogenheter som respektive fördrag kräver. För varje nytt fördrag som har förutsatt överlåtelse av beslutsbefogenheter har alltså riksdagen dels godkänt det aktuella fördraget, dels beslutat om ändring av 4 § anslutnings- lagen, dvs. beslutat om införlivande och överlåtelse av besluts- befogenheter. Detta innebär att det inte behövs någon ytterligare överlåtelse av beslutsbefogenheter till EU när t.ex. ett direktiv som har rättslig grund i fördragen ska införlivas i svensk lagstiftning; över- låtelsen har ju redan skett.13

Överlåtelse av rättsskipnings- eller förvaltningsuppgift

Regeringsformens bestämmelser om rättsskipning och förvaltning utgår från förutsättningen att dessa funktioner ska handhas av svenska organ. Rättskipnings- eller förvaltningsuppgifter som inte direkt grundar sig på regeringsformen kan dock, även i andra fall än de som

13 Starrsjö, Regeringsform (1974:152) 10 kap. 6 §, Lexino 2016-01-23.

320

SOU 2017:39

Processuella frågor

avses i 10 kap. 6 § regeringsformen, genom beslut av riksdagen överlåtas till en annan stat, till en mellanfolklig organisation eller till en utländsk eller internationell inrättning eller samfällighet (10 kap. 8 § regeringsformen). Riksdagen får i lag även bemyndiga regeringen eller någon annan myndighet att i särskilda fall besluta om en sådan överlåtelse. Om uppgiften innefattar myndighetsutövning, fattar riks- dagen beslut om överlåtelse eller bemyndigande enligt den särskilda kvorumregeln i 10 kap. 6 § andra stycket regeringsformen, dvs. med kvalificerad majoritet, eller genom beslut av två riksdagar.

Den överlåtelse av beslutsbefogenheter som riksdagen har gjort enligt 10 kap. 6 § regeringsformen i samband med godkännande av nya EU-fördrag och ändring av anslutningslagen innebär att EU får fatta beslut som gäller här i landet i den omfattning och med den verkan som följer av fördragen. Om till exempel ett fullharmonise- ringsdirektiv eller en förordning anger att medlemsstaternas tillsyns- myndigheter får tilldela befogenheter till andra medlemsstaters till- synsmyndigheter krävs därmed inget ytterligare riksdagsbeslut om överlåtelse av beslutsbefogenheter. Riksdagen har redan överlåtit sin beslutsbefogenhet till unionslagstiftaren. Denne har i sin tur, genom den aktuella rättsakten, beslutat att tillsynsmyndigheterna får dele- gera sina befogenheter till andra medlemsstater. Något ytterligare riksdagsbeslut om överlåtelse av förvaltningsuppgift enligt 10 kap. 8 § regeringsformen krävs därmed inte i en sådan situation.14

19.6.2Dataskyddsförordningen

Dataskyddsförordningen innehåller många och detaljerade bestäm- melser om tillsynsmyndigheterna. Bland annat regleras tillsynsmyn- digheternas uppgifter och befogenheter (artiklarna 57 och 58). Varje tillsynsmyndighet är behörig att utföra dessa uppgifter och utöva dessa befogenheter inom sin egen medlemsstats territorium (arti- kel 55.1). Vid gränsöverskridande personuppgiftsbehandling kommer det därmed att finnas flera behöriga tillsynsmyndigheter. I sådana situationer ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhets- ställe vara behörig att agera som ansvarig tillsynsmyndighet (arti-

14 Jfr prop. 2011/12:175 s. 33 eller 2015/16:KU3y s. 3.

321

Processuella frågor

SOU 2017:39

kel 56.1).15 Varje tillsynsmyndighet ska dock vara behörig att be- handla klagomål som lämnats in till denna eller ärenden om över- trädelser av förordningen, om sakfrågan i ärendet endast rör ett verk- samhetsställe i medlemsstaten eller i väsentlig grad påverkar regi- strerade endast i medlemsstaten (artikel 56.2).

Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i en strävan att uppnå samförstånd, och tillsynsmyndigheterna ska utbyta all relevant information med varandra (artikel 60.1). Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ska ge ömse- sidigt bistånd och får genomföra gemensamma insatser, i synnerhet för att utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i en annan medlemsstat (artikel 60.2).

Tillsynsmyndigheterna ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder (artikel 62.1). Om den personuppgiftsansva- rige eller personuppgiftsbiträdet har verksamhetsställen i flera med- lemsstater, eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna (arti- kel 62.2).

Vid gemensamma insatser kan de deltagande tillsynsmyndig- heternas ledamöter och personal tilldelas befogenheter av värdlandets tillsynsmyndighet. Denna tillsynsmyndighet får också, i den mån den nationella lagstiftningen tillåter detta, medge att de deltagande till- synsmyndigheternas ledamöter eller personal utövar de utrednings- befogenheter som de har enligt lagstiftningen i sin egen medlemsstat (artikel 62.3).

15 Artikel 56 ska dock enligt artikel 55.2 inte tillämpas om behandlingen utförs av myndig- heter eller privata organ som agerar på grundval av artikel 6.1 c eller e. Då ska endast tillsyns- myndigheten i den berörda medlemsstaten vara behörig.

322

SOU 2017:39

Processuella frågor

19.6.3Överväganden

Utredningens bedömning: Den svenska tillsynsmyndigheten får, i enlighet med gällande svensk rätt, förordna företrädare för en utländsk myndighet att agera för tillsynsmyndighetens räkning.

Det bör för närvarande inte införas något bemyndigande som gör det möjligt för tillsynsmyndigheten att medge företrädare för en utländsk tillsynsmyndighet att inom svenskt territorium agera enligt den medlemsstatens lagstiftning.

Tilldelning av befogenheter enligt svensk rätt

Första meningen i artikel 62.3 i dataskyddsförordningen består av två bestämmelser. Enligt den första bestämmelsen får en tillsyns- myndighet tilldela befogenheter, även utredningsbefogenheter, till ledamöter eller personal från en annan medlemsstats tillsynsmyndig- het som deltar i gemensamma insatser. Bestämmelsen innebär att företrädare för en utländsk tillsynsmyndighet kan ges befogenhet att utöva offentlig makt i Sverige, i enlighet med den lagstiftning som gäller för den svenska tillsynsmyndigheten. Detta är enligt vår mening inte detsamma som att en förvaltningsuppgift överlåts till en utländsk tillsynsmyndighet. Av bestämmelsen framgår tvärtom tyd- ligt att avsikten är att det är fysiska personer, ledamöter eller per- sonal, som ska kunna tilldelas sådana befogenheter. Den svenska till- synsmyndigheten kan således förordna företrädare för den andra myndigheten att utföra vissa uppgifter eller att inom ramen för vissa angivna befogenheter annars agera för tillsynsmyndighetens räkning. Enligt gällande svensk rätt är tillsynsmyndigheten fri att besluta om sådana förordnanden, även om det för anställning hade krävts svenskt medborgarskap. Några författningsåtgärder behövs därmed inte för att uppfylla denna del av bestämmelsen.

Enligt den sista meningen i artikel 62.3 ska en företrädare som till- delas befogenheter omfattas av den medlemsstats nationella rätt som gäller för värdlandets tillsynsmyndighet. Det innebär bland annat att företrädaren omfattas av offentlighets- och sekretesslagens bestäm- melser om tystnadsplikt och att denne kan ställas till ansvar för even- tuella tjänstefel.

323

Processuella frågor

SOU 2017:39

Medgivande att utöva befogenheter enligt utländsk rätt

Enligt den andra bestämmelsen i den första meningen i artikel 62.3 i dataskyddsförordningen får tillsynsmyndigheten medge företrädare för den deltagande myndigheten att utöva de utredningsbefogenheter som tilldelats dem enligt lagstiftningen i deras egen medlemsstat. I praktiken skulle ett sådant medgivande innebära att en utländsk till- synsmyndighet får behörighet att agera på svenskt territorium i enlig- het med utländsk lagstiftning. Medgivandet skulle därför enligt vår bedömning utgöra en överlåtelse av förvaltningsuppgift i regerings- formens mening. I bestämmelsen anges dock att medgivande får läm- nas bara om lagstiftningen i värdlandet tillåter det. Tillsynsmyndig- heterna har således inte direkt genom dataskyddsförordningen bemyndigats att medge andra medlemsstaters myndigheter rätt att utöva sina egna befogenheter inom värdlandets gränser. Det är i stäl- let den nationella rätten i värdlandet som avgör om myndigheten överhuvudtaget kan vidta en sådan åtgärd.

En möjlighet för tillsynsmyndigheten att tillåta utländska myndig- hetsföreträdare att inom svenskt territorium utöva befogenheter enligt utländsk lagstiftning, bör enligt vår mening inte införas med mindre än att det finns ett tydligt och uttalat behov som inte kan uppfyllas på något annat sätt. Något sådant behov har inte framkommit. Det bör därför vara tillräckligt att den utländska myndigheten får delta i insatserna i enlighet med dataskyddsförordningens direkt tillämpliga bestämmelser. Det kan noteras att lagstiftaren har gjort liknande bedömningar i andra ärenden rörande gränsöverskridande tillsyn.16

19.7Överklagande av tillsynsmyndighetens beslut

19.7.1Gällande rätt

Enligt 22 § förvaltningslagen får ett beslut överklagas av den som beslutet angår, om det har gått honom emot och beslutet kan över- klagas. I 22 a § samma lag anges att beslut överklagas hos allmän för- valtningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätten.

16 Se t.ex. prop. 2012/13:4 s. 47 eller prop. 2015/16:9 s. 191 f.

324

SOU 2017:39

Processuella frågor

I 51 § PUL anges att tillsynsmyndighetens beslut om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. I samma paragraf anges att tillsynsmyndigheten får bestämma att dess beslut ska gälla även om det överklagas.

19.7.2Dataskyddsförordningen

Som redan har nämnts ska utövandet av de befogenheter som till- synsmyndigheten tilldelas enligt artikel 58 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel (artikel 58.4). I artikel 83.8 upprepas kravet på lämpliga skyddsåtgär- der avseende tillsynsmyndighetens befogenheter att påföra admi- nistrativa sanktionsavgifter.

Enligt artikel 78.1 ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet. I skälen anges att denna rätt även avser beslut om att avvisa eller avslå ett klagomål. Rätten till rättsmedel ska inte påverka något annat administrativt prövningsför- farande eller prövningsförfarande utanför domstol. Talan mot en tillsynsmyndighet ska enligt artikel 78.3 väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte. Kravet på effektiva rättsmedel utvecklas i skäl 143 till förordningen.

19.7.3Överväganden och förslag

Utredningens förslag: Tillsynsmyndighetens beslut enligt data- skyddsförordningen samt dess beslut om administrativa sank- tionsavgifter enligt dataskyddslagen ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överkla- gande till kammarrätten.

Tillsynsmyndighetens beslut att avslå en begäran om besked med anledning av ett klagomål ska få överklagas till allmän förvalt- ningsdomstol (dröjsmålstalan). Domstolens beslut ska inte kunna överklagas.

325

Processuella frågor

SOU 2017:39

Den som beslutet gäller ska få överklaga

Rätten till ett effektivt rättsmedel enligt artikel 78.1 i dataskyddsför- ordningen avser rättsligt bindande beslut som meddelats av tillsyns- myndigheten. Rätten tillkommer varje fysisk eller juridisk person som beslutet rör. Däremot omfattas inte sådana åtgärder som inte är rättsligt bindande, såsom tillsynsmyndighetens yttranden eller rådgiv- ning.

Rätten till ett effektivt rättsmedel mot myndighetsbeslut tillgodo- ses i svensk rätt normalt genom möjligheten att överklaga beslutet till allmän förvaltningsdomstol, dvs. till förvaltningsrätt som första instans. Detta bör gälla även här och uttryckligen anges i dataskydds- lagen. Rätten att överklaga bör omfatta dels sådana beslut som till- synsmyndigheten får meddela enligt dataskyddsförordningen, dels sådana beslut om administrativa sanktionsavgifter som får meddelas med stöd av dataskyddslagen. Övriga beslut som fattas av tillsyns- myndigheten enligt dataskyddslagen bör inte omfattas av den gene- rella överklagandebestämmelsen. Liksom enligt personuppgiftslagen bör prövningstillstånd krävas vid överklagande av förvaltningsrättens beslut till kammarrätten.

Talerätt har enligt förvaltningslagen den som beslutet angår, om beslutet har gått denne emot. Den ordningen överensstämmer enligt vår bedömning med kravet på rättsmedel enligt artikel 78.1 i data- skyddsförordningen och bör således gälla även för beslut som till- synsmyndigheten fattar enligt förordningen och den dataskyddslag som vi föreslår. I praktiken innebär detta i normalfallet att det är den som beslutet riktas mot, oftast en personuppgiftsansvarig, ett person- uppgiftsbiträde eller ett certifieringsorgan, som har rätt att överklaga. Det kan dock inte uteslutas att ett beslut i något fall skulle kunna ha rättsligt bindande följder även för andra än den som beslutet riktas mot. Dessa skulle i så fall också ha rätt att överklaga beslutet, enligt förvaltningslagens generella bestämmelse om talerätt.

Enligt svensk rättspraxis rörande personuppgiftslagen är Data- inspektionens beslut att inte vidta någon åtgärd med anledning av en anmälan eller att avskriva ett tillsynsärende inte överklagbart (se RÅ 2010 ref. 29). I skäl 143 till dataskyddsförordningen anges dock att tillsynsmyndighetens beslut att avvisa eller avslå ett klagomål ska kunna angripas med ett effektivt rättsmedel. Den som berörs av ett sådant beslut är den enskilde som har lämnat in klagomålet. Vidare

326

SOU 2017:39

Processuella frågor

anges i artikel 77.2 att tillsynsmyndigheten ska underrätta den en- skilde om hur arbetet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 78. EU-domstolen har angett att motsvarande bestämmelse i dataskyddsdirektivet (arti- kel 28.3) innebär att den person som har kommit in med en begäran till tillsynsmyndigheten ska ha tillgång till rättsmedel med vilka han eller hon vid nationella domstolar kan angripa det beslut som gått vederbörande emot.17 Dessa omständigheter skulle kunna tala för att dataskyddsförordningen förutsätter att den enskilde ska ha en gene- rell rätt att överklaga tillsynsmyndighetens beslut att till exempel inte vidta någon åtgärd med anledning av ett klagomål.

Det finns emellertid också omständigheter som talar emot en sådan tolkning. Enligt artikel 78.1 är det den som beslutet rör som ska ha rätt till ett effektivt rättsmedel. Dessutom ska beslutet vara rättsligt bindande för denne. Ett beslut om att inte vidta några åtgär- der med anledning av ett klagomål medför normalt inte några rättsligt bindande följder för den som har lämnat in klagomålet, även om det inte kan uteslutas att det någon gång skulle kunna förekomma, vilket i så fall skulle ge talerätt enligt förvaltningslagen. Dessutom skulle en ovillkorlig rätt till domstolsprövning av ett sådant beslut underminera tillsynsmyndighetens oberoende ställning, såsom denna kommer till uttryck i exempelvis artikel 52.1 i dataskyddsförordningen. Enligt artikel 57.1 f i dataskyddsförordningen ska tillsynsmyndigheten be- handla klagomål och ”där så är lämpligt” undersöka den sakfråga som klagomålet gäller. Tillsynsmyndigheten har därmed inte någon skyl- dighet att vidta tillsynsåtgärder eller ens att alltid närmare undersöka sakförhållandena. Tvärtom har tillsynsmyndigheten enligt dataskydds- förordningen, precis som enligt svensk tillsynstradition, ett uttalat ut- rymme för att själv avgöra vilka tillsynsärenden som ska drivas och på vilket sätt det ska ske. Det framgår inte heller uttryckligen av förord- ningen att tillsynsmyndigheten måste fatta ett formellt beslut i varje klagomåls- eller tillsynsärende.

Sammanfattningsvis anser vi att det är oklart om dataskyddsför- ordningen medför att den registrerade har rätt att överklaga tillsyns- myndighetens beslut att inte vidta någon åtgärd med anledning av ett klagomål. Oavsett hur förordningen ska tolkas i detta avseende, krävs det emellertid inte några författningsåtgärder i svensk rätt. Vi över-

17 Se t.ex. dom Schrems, C-362/14, EU:C:2015:650, punkt 64.

327

Processuella frågor

SOU 2017:39

lämnar därför till domstolarna att, genom en unionskonform tolk- ning av förvaltningslagens generella talerättsbestämmelse, ta ställning i frågan.

Formerna för överklagande av tillsynsmyndighetens beslut, vilken överklagandefrist som ska gälla, talerätt m.m., bör inte avvika från förvaltningslagens bestämmelser. Vi föreslår därför inga särskilda bestämmelser om detta.

Den som har begärt besked om handläggningen av ett klagomål ska få överklaga ett beslut att avslå begäran (dröjsmålstalan)

En registrerad som har lämnat in ett klagomål till tillsynsmyndig- heten ska enligt dataskyddsförordningen ha rätt till ett effektivt rätts- medel, om myndigheten inte handlägger klagomålet eller tar lång tid på sig (artikel 78.2). I avsnitt 19.4 har vi därför föreslagit att till- synsmyndigheten på skriftlig begäran av den registrerade ska vara skyldig att lämna besked om myndigheten avser att utöva tillsyn eller inte. Om myndigheten inte inom två veckor efter att begäran kom in kan lämna ett sådant besked, ska myndigheten i ett särskilt beslut avslå begäran om besked. Avsikten med detta är att den registrerade ska kunna få ett motiverat beslut rörande handläggningsfrågan som sedan kan överklagas till allmän förvaltningsdomstol. På så sätt kan den registrerade få till stånd en domstolsprövning av om handlägg- ningstiden är rimlig. Om domstolen bifaller överklagandet ska dom- stolen förelägga tillsynsmyndigheten att inom en viss angiven tid lämna besked till den registrerade i frågan om tillsyn med anledning av klagomålet kommer att utövas. Domstolens beslut bör dock inte kunna överklagas till ytterligare en instans.

Som framgår av avsnitt 19.4 kan den registrerade komma in med en förnyad begäran om besked rörande handläggningen av ett klago- målsärende först tre månader efter det att tillsynsmyndigheten beslu- tat att avslå en första begäran om besked i ärendet. Om en sådan ny begäran kommer in innan denna tidsfrist har förflutit, ska alltså tillsynsmyndigheten inte göra någon prövning i sak utan i stället avvisa begäran. Ett sådant avvisningsbeslut bör inte vara överklagbart.

Redan i dag gäller skyndsamhetskrav och informationsskyldighet enligt förvaltningslagens allmänna bestämmelser och eventuella bris- ter i handläggningen kan anmälas till och bli föremål för prövning av JO. Såvitt vi känner till förekommer det i dag ingen utebliven eller

328

SOU 2017:39

Processuella frågor

långsam handläggning av klagomål hos den svenska tillsynsmyndig- heten. Det praktiska värdet av de bestämmelser rörande besked om handläggningen av ett klagomål och dröjsmålstalan som vi föreslår kan mot denna bakgrund ifrågasättas. I avsaknad av en generell regle- ring i förvaltningslagen om åtgärder vid dröjsmål bedömer vi dock att de föreslagna bestämmelserna behövs för att dataskyddsförord- ningens krav på effektiva rättsmedel ska anses uppfyllda. För det fall att riksdagen i enlighet med regeringens förslag beslutar om en ny förvaltningslag som innehåller generellt tillämpliga bestämmelser om åtgärder vid dröjsmål kan det dock finnas anledning att särskilt över- väga om detta behov kvarstår.

Tillsynsmyndighetens beslut ska i vissa fall kunna verkställas innan det har vunnit laga kraft

Dataskyddsförordningen innehåller inga bestämmelser om när ett beslut som fattats av tillsynsmyndigheten ska börja gälla. Enligt vår mening finns det rättssäkerhetsskäl som talar för att huvudregeln bör vara att beslut inte ska kunna verkställas förrän överklagande- tiden har löpt ut och beslutet vunnit laga kraft. I vissa fall måste dock åtgärder kunna vidtas snabbare än så.

I prop. 2016/17:180 med förslag till ny förvaltningslag föreslås generella bestämmelser om i vilka fall beslut kan verkställas innan överklagandetiden har gått ut (35 §). Bland annat föreslås att beslut som gäller endast tillfälligt, såsom tillfälliga förbud, ska kunna verk- ställas omedelbart. Vidare föreslås att en myndighet under vissa om- ständigheter ska få verkställa ett beslut omedelbart om ett väsentligt allmänt eller enskilt intresse kräver det. Enligt vår bedömning skulle dessa generella bestämmelser skapa en god balans mellan effektivitet och rättssäkerhet även när det gäller tillsynsmyndighetens beslut enligt dataskyddsförordningen. Vi lämnar därför inte något förslag i denna del. För det fall att regeringens förslag till ny förvaltningslag inte skulle komma att antas av riksdagen bör det dock övervägas om bestämmelser av motsvarande innebörd i stället bör tas in i data- skyddslagen.

329

Processuella frågor

SOU 2017:39

19.8Överklagande av andra beslut

19.8.1Överväganden och förslag

Utredningens förslag: Datainspektionens beslut om att i enskilda fall tillåta andra än myndigheter att behandla personuppgifter som rör lagöverträdelser ska få överklagas till allmän förvaltningsdom- stol. Detsamma gäller Riksarkivets förvaltningsbeslut om enskilda organs behandling av personuppgifter för arkivändamål av allmänt intresse. Prövningstillstånd ska krävas vid överklagande till kam- marrätten.

I avsnitt 11.4 föreslår vi att Datainspektionen ska ges befogenhet att i enskilda fall fatta beslut om att andra än myndigheter får behandla personuppgifter som rör lagöverträdelser. De förvaltningsbeslut som Datainspektionen meddelar med stöd av den föreslagna bestämmel- sen bör, av hänsyn till allmänna förvaltningsrättsliga principer, kunna överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten.

Vidare föreslår vi i avsnitt 14.4 att Riksarkivet ska ges befogenhet att i enskilda fall få fastställa rättslig grund för ett enskilt organs behandling av personuppgifter för arkivändamål av allmänt intresse. På motsvarande sätt föreslås att Riksarkivet ska få fatta beslut som tillåter enskilda organ att behandla känsliga personuppgifter för såda- na ändamål. Även sådana förvaltningsbeslut bör, av hänsyn till all- männa förvaltningsrättsliga principer, kunna överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten.

Andra beslut enligt dataskyddslagen, såsom beslut om att med- dela föreskrifter, bör inte kunna överklagas. Detta bör tydliggöras genom en uttrycklig bestämmelse i lagen.

330

SOU 2017:39

Processuella frågor

19.9Ideella organisationer som är verksamma inom dataskyddsområdet

19.9.1Dataskyddsförordningen

Dataskyddsförordningen innehåller bestämmelser som tar sikte på organ, organisationer eller sammanslutningar som

bedrivs utan vinstsyfte,

är inrättade i enlighet med lagen i en medlemsstat,

vars stadgeenliga mål är av allmänt intresse, och

är verksamma inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter.

Vi har, för enkelhetens skull, valt att benämna denna typ av samman- slutningar ideella organisationer.

Enligt artikel 80.1 ska den registrerade ha rätt att ge en sådan orga- nisation i uppdrag att för hans eller hennes räkning lämna in ett kla- gomål till tillsynsmyndigheten enligt artikel 77 och att utöva den rätt till effektiva rättsmedel som avses i artiklarna 78 och 79. Den registre- rade ska också, om så föreskrivs i medlemsstatens nationella rätt, ha rätt att ge den ideella organisationen i uppdrag att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 82.

I artikel 80.2 anges att medlemsstaterna får föreskriva att en ideell organisation, oberoende av en registrerads mandat, har rätt att ge in klagomål till tillsynsmyndigheten enligt artikel 77 och utöva de rättig- heter som avses i artiklarna 78 och 79. Organisationer får däremot inte ges rätt att kräva ersättning på en registrerad persons vägnar utan den registrerades mandat.

19.9.2Överväganden

Utredningens bedömning: Den registrerade kan enligt gällande rätt ge en ideell organisation i uppdrag att företräda honom eller henne hos tillsynsmyndigheten. I allmän domstol och i förvalt- ningsdomstol kan endast fysiska personer agera ombud, men upp- draget att föra den registrerades talan kan ges till en företrädare för organisationen.

331

Processuella frågor

SOU 2017:39

Ideella organisationer bör för närvarande inte ges rätt att utan den registrerades mandat föra talan i ärenden och mål om behandling av personuppgifter.

Dataskyddsförordningens tvingande bestämmelser avser inte att ge ideella organisationer talerätt i ärenden och mål om behandling av personuppgifter. Detta framgår tydligt genom att det i artikel 80.1 anges att den registrerade får ge en sådan organisation ”i uppdrag” att ”för hans eller hennes räkning” vidta vissa åtgärder. Ideella organisa- tioner ska alltså kunna agera ombud för den registrerade i klago- målsärenden hos tillsynsmyndigheten, i mål om tillsynsmyndighetens dröjsmål och, om nationell rätt tillåter det, i mål om skadestånd. Frå- gan om huruvida det behövs kompletterande bestämmelser till data- skyddsförordningen rör sig därmed om möjligheten för sådana orga- nisationer att vara ombud i förvaltningsärenden, mål i förvaltnings- domstol och mål i allmän domstol.

I artikel 80.2 däremot, ges medlemsstaterna en frivillig möjlighet att ge ideella organisationer talerätt, dvs. rätt att utan den registre- rades mandat utöva dennes rättigheter. I den delen är frågan om en sådan ordning vore lämplig och önskvärd.

Ideella organisationer som ombud för den registrerade

Ideella organisationer kan, än så länge, företräda enskilda i förvaltningsärenden

I förvaltningsärenden får den enskilde enligt 9 § förvaltningslagen anlita ombud eller biträde, men ska medverka personligen, om myn- digheten begär det. Visar ett ombud eller biträde oskicklighet eller oförstånd eller är han olämplig på något annat sätt, får myndigheten avvisa honom som ombud eller biträde i ärendet. I förarbetena till förvaltningslagen anges att reglerna inte innebär något hinder mot att juridisk person fungerar som ombud.18 Förvaltningslagen ställer inte heller upp några principiella krav eller begränsningar avseende ombu- dets kvalifikationer eller dennes relation till huvudmannen. I propo- sitionen om ny förvaltningslag, prop. 2016/17:180, föreslås dock

18 Prop. 1971:30 del 2 s. 362.

332

SOU 2017:39

Processuella frågor

bestämmelser som förhindrar juridiska personer att agera ombud i förvaltningsärenden (14 §).

Det finns därmed enligt gällande rätt möjlighet för den enskilde att ge en ideell organisation i uppdrag att för hans eller hennes räk- ning lämna in klagomål till tillsynsmyndigheten. Detsamma gäller vid utövande av rätten att hos Justitiekanslern begära skadestånd, när en personuppgiftsansvarig statlig myndighet har åsamkat den enskilde skada genom överträdelser av dataskyddsförordningen. Denna möj- lighet kommer dock att försvinna om riksdagen antar förslaget om ny förvaltningslag.

En juridisk person kan inte vara ombud i domstol

Det förhåller sig emellertid annorlunda, enligt gällande rätt, när det gäller möjligheten för en juridisk person såsom en ideell organisation att företräda en enskild i domstol, dvs. i ett förvaltningsmål rörande tillsynsmyndighetens dröjsmål eller i ett skadeståndsmål i allmän domstol. Bestämmelserna om rättegångsombud i 12 kap. rättegångs- balken utgår nämligen från förutsättningen att ombudet är en fysisk person. En ideell organisation skulle därmed sannolikt avvisas som ombud i ett skadeståndsmål i allmän domstol. Detsamma gäller sedan den 1 juli 2013 även i mål i allmän förvaltningsdomstol. Bestämmelser om ombud finns bland annat i 48 och 49 §§ förvaltningsprocess- lagen (1971:291) och av förarbetena till den nuvarande lydelsen fram- går att det inte längre kommer att vara möjligt att i allmän förvalt- ningsdomstol använda sig av juridiska personer som ombud eller biträden.19

En företrädare för en ideell organisation kan dock företräda den enskilde, både i förvaltningsärenden och i domstol

Ett rättegångsombud ska enligt 12 kap. 2 § rättegångsbalken vara lämplig med hänsyn till redbarhet, insikter och tidigare verksamhet. I 48 § förvaltningsprocesslagen anges endast att ombudet ska vara lämpligt för uppdraget. Det finns varken i rättegångsbalken eller i förvaltningsprocesslagen, eller i förslaget till ny förvaltningslag, något

19 Prop. 2012/13:45 s. 106 f.

333

Processuella frågor

SOU 2017:39

krav på att ombudet ska vara advokat eller jurist. Den företrädare för den ideella organisationen som skulle ha fört talan om organisationen själv hade godkänts som rättegångsombud skulle därmed normalt godkännas som ombud för den registrerade.20

I förarbetena till 2013 års ändring av förvaltningsprocesslagen anges att ett uppdrag som ombud eller biträde i domstol bör vara för- enat med ett personligt uppdrags- och ansvarsförhållande.21 Vi instämmer i denna bedömning. Även om en ideell organisation skulle få anlitas som ombud skulle det i realiteten vara en fysisk person som för den enskildes talan. Fullmakten till organisationen kan därmed utan olägenhet utformas så att den också omfattar den fysiska per- sonen som faktiskt utför uppdraget. Mot denna bakgrund anser vi att det saknas skäl att föreslå några bestämmelser som avviker från rättegångsbalken och förvaltningsprocesslagen.

Ideella organisationer ska inte ges talerätt

Medlemsstaterna får enligt dataskyddsförordningen meddela natio- nella föreskrifter som ger ideella organisationer en självständig tale- rätt avseende registrerades rättigheter. En sådan talerätt skulle ge dessa organisationer möjlighet att utan den registrerades mandat ge in klagomål till tillsynsmyndigheten samt föra talan mot myndigheten om dess dröjsmål, om organisationen anser att den registrerades rättigheter har kränkts.

En liknande ordning gäller enligt svensk rätt i fråga om kränk- ningar i form av diskriminering. Enligt 6 kap. 2 § diskriminerings- lagen får en ideell förening som enligt sina stadgar har att ta till vara sina medlemmars intressen och som inte är en arbetstagarorganisa- tion, som part föra talan om diskriminering. En förutsättning är dock att den enskilde medger detta. Ett annat exempel som kan nämnas är möjligheten till organisationstalan enligt lagen (2002:599) om grupp- rättegång. I 5 § i den lagen anges att organisationstalan får väckas av en ideell förening som i enlighet med sina stadgar tillvaratar kon- sument- eller löntagarintressen i tvister mellan konsumenter och en

20Jfr prop. 2002/03:65 s. 167.

21Prop. 2012/13:45 s. 106 f.

334

SOU 2017:39

Processuella frågor

näringsidkare om någon vara, tjänst eller annan nyttighet som närings- idkaren erbjuder till konsumenter.

När det gäller skyddet för den personliga integriteten har det under senare år börjat bli vanligare med ideella organisationer som är verksamma inom dataskyddsområdet. I Sverige är dock denna typ av verksamhet än så länge liten. Mot denna bakgrund, och då det inom ramen för vår utredning inte finns möjlighet att närmare analysera behovet av talerätt för sådana organisationer och vilka konsekvenser det i så fall skulle få, lämnar vi inget sådant förslag. Beroende på hur den ideella sektorn utvecklas är det dock inte uteslutet att det i fram- tiden kan komma att finnas skäl att utreda denna fråga särskilt.

19.10 Parallella domstolsförfaranden

19.10.1 Dataskyddsförordningen

Om en behörig domstol i en medlemsstat har information om att ett förfarande pågår i en domstol i en annan medlemsstat, rörande sam- ma sakfråga och samma personuppgiftsansvarig eller personupp- giftsbiträde, ska den förstnämnda domstolen enligt artikel 81.1 i data- skyddsförordningen kontakta den andra domstolen för att få det bekräftat.

I artikel 81.2 anges att om förfaranden som rör samma sakfråga och samma personuppgiftsansvarig eller personuppgiftsbiträde pågår i en domstol i en annan medlemstat, får alla andra behöriga domstolar än den där förfarandet först inleddes vilandeförklara förfarandena. Om ett förfarande prövas i första instans får domstolen, utom den domstol vid vilken förfarandena först inleddes, enligt artikel 81.3 för- klara sig obehörig på begäran av en av parterna. Detta gäller under förutsättningen att den domstol vid vilken förfarandet först inleddes är behörig att pröva de berörda förfarandena och dess lagstiftning tillåter förening av dessa.

I skäl 144 till förordningen anges att förfarandena ska anses vara relaterade, om de är så nära förenade att en gemensam handlägg- ning och dom är påkallad för att undvika att oförenliga domar med- delas.

335

Processuella frågor

SOU 2017:39

19.10.2 Överväganden

Utredningens bedömning: En svensk domstol kan förklara ett mål vilande, om ett förfarande rörande samma sakfråga pågår i en domstol i en annan medlemsstat. Däremot kan domstolen inte förklara sig obehörig att handlägga målet.

Domstolen kan förklara ett mål vilande

I 32 kap. 5 § rättegångsbalken finns en bestämmelse som innebär att rätten får förklara ett mål vilande, om det för prövning av målet är av synnerlig vikt att en fråga som är föremål för annan rättegång eller behandling i annan ordning först avgörs. Någon motsvarighet till denna bestämmelse finns inte i förvaltningsprocesslagen. Det innebär dock inte att förvaltningsdomstolar är förhindrade att förklara ett mål vilande av motsvarande skäl. Vid införandet av förvaltningsprocess- lagen ansågs detta tvärtom så självklart att lagtexten inte behövde belastas med någon hänvisning till rättegångsbalken.22 Möjligheten till vilandeförklaring har inte bara utnyttjats när flera relaterade mål förekommit i samma domstol eller i olika svenska domstolar, utan har också använts för att invänta EU-domstolens dom i ett annat mål avseende en för målet central rättsfråga.23

Sedan den 1 juli 2013 får Högsta förvaltningsdomstolen enligt 36 a § förvaltningsprocesslagen meddela prövningstillstånd som begränsas till att gälla en viss fråga eller en viss del av målet. I avvak- tan på att prövning sker i enlighet med ett sådant begränsat pröv- ningstillstånd får Högsta förvaltningsdomstolen förklara frågan om meddelande av prövningstillstånd rörande målet i övrigt helt eller delvis vilande. Med anledning av ett påpekande under remissbehand- lingen från Högsta förvaltningsdomstolens ledamöter underströks i förarbetena att den omständigheten att denna typ av vilandeförkla- ring numera uttryckligen regleras i förvaltningsprocesslagen inte inskränker allmän förvaltningsdomstols möjligheter att även i andra sammanhang vilandeförklara mål.24

22Prop. 1971:30 del 2 s. 600.

23Se t.ex. RÅ 2005 ref. 33 och Kammarrättens i Stockholm dom den 22 augusti 2014 i mål nr 1724-13.

24Prop. 2012/13:45 s. 139.

336

SOU 2017:39

Processuella frågor

Mot bakgrund av att förvaltningsdomstolarna redan på grundval av förvaltningsprocessrättsliga principer och praxis kan förklara mål vilande när ett mål rörande samma sakfråga pågår i en annan domstol, även en utländsk sådan, finns det enligt vår bedömning inget skäl att införa några särskilda bestämmelser i svensk rätt med anledning av artikel 81.2 i dataskyddsförordningen. Hur sådana situationer ska hanteras i praktiken får lämnas till domstolarna att avgöra.25

Domstolen kan inte förklara sig obehörig

Om förfaranden som rör samma sakfråga pågår i flera domstolar, får varje domstol utom den där förfarandet först inleddes förklara sig obehörig på begäran av en av parterna (artikel 81.1). Detta förutsätter dock dels att den domstol där förfarandet först inleddes är behörig att göra prövningen, dels att dess lagstiftning tillåter förening av förfa- randena.

Enligt 7 § förvaltningsprocesslagen kan ett mål överlämnas till en annan domstol om domstolen finner att den saknar behörighet att handlägga målet men att en annan motsvarande domstol skulle vara behörig. Vidare följer det av 8 a och 14 §§ lagen (1972:289) om all- männa förvaltningsdomstolar att mål under vissa omständigheter kan överlämnas, om det vid mer än en förvaltningsrätt eller kammarrätt förekommer mål som har nära samband med varandra. Det finns där- emot för närvarande inte några bestämmelser i svensk förvaltnings- processrätt som möjliggör för en domstol att förklara sig obehörig att handlägga ett mål på den grunden att det vid en utländsk domstol förekommer ett mål som rör samma sakfråga. En svensk domstol skulle därmed inte kunna överlämna ett mål till en utländsk domstol i den situation som beskrivs i artikel 81.1 i dataskyddsförordningen och samtidigt förklara sig obehörig att handlägga målet. I bestäm- melsen anges dock endast att domstolen ”får” förklara sig obehörig. Förordningen är således i detta avseende inte tvingande och det finns därmed inte någon skyldighet för medlemsstaterna att införa process- rättsliga bestämmelser som möjliggör ett sådant överlämnade. Vi ser därför inte något skäl att lämna ett förslag i denna del.

25 Jfr prop. 2011/12:70 s. 68.

337

Processuella frågor

SOU 2017:39

338

20Ikraftträdande- och övergångsbestämmelser

20.1Vårt uppdrag

I våra direktiv förutsätts att personuppgiftslagen måste upphävas redan i samband med att dataskyddsförordningen börjar tillämpas. Regeringen anser därför att det kan finnas behov av övergångsbe- stämmelser som i första hand innebär att lagen under en övergångs- period fortsätter att gälla för sådan personuppgiftsbehandling som inte täcks av förordningens tillämpningsområde.

20.2Ikraftträdande- och övergångsbestämmelser i förordningen

Av förordningens artikel 99.1 följer att förordningen träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning, vilket skedde den 4 maj 2016.

Av artikel 99.2 följer att förordningen ska tillämpas från och med den 25 maj 2018. I artikel 94 anges vidare att dataskyddsdirektivet ska upphöra att gälla med verkan från och med samma dag och att hänvisningar till det upphävda direktivet ska anses som hänvisningar till förordningen.

I skäl 171 anges att behandling som redan pågår den dag då för- ordningen börjar tillämpas bör bringas i överensstämmelse med för- ordningen inom en period av två år från det att förordningen träder i kraft. Om behandlingen grundar sig på samtycke enligt dataskydds- direktivet anges vidare att det inte är nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen i fråga efter det att förordningen börjar tillämpas, om det sätt på vilket samtycket gavs överensstäm-

339

Ikraftträdande- och övergångsbestämmelser

SOU 2017:39

mer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från tillsynsmyndigheterna som utfärdats på grundval av dataskyddsdirektivet ska enligt samma skäl vara fortsatt giltiga tills de ändras, ersätts eller upphävs.

I artiklarna 95 och 96 finns vissa bestämmelser av övergångs- karaktär när det gäller förhållandet till direktiv 2002/58/EG om inte- gritet och elektronisk kommunikation samt internationella avtal.

20.3Överväganden och förslag

Utredningens förslag: Dataskyddslagen ska träda i kraft den 25 maj 2018, samtidigt som personuppgiftslagen ska upphöra att gälla. Personuppgiftslagen ska dock fortfarande gälla i den ut- sträckning som det i en annan lag eller förordning finns bestäm- melser som innehåller hänvisningar till den.

Äldre föreskrifter, dvs. personuppgiftslagen, personuppgiftsför- ordningen och föreskrifter som har meddelats med stöd av dessa, ska fortfarande gälla för ärenden som har inletts hos Datainspek- tionen men inte avgjorts före ikraftträdandet. Äldre föreskrifter ska också gälla för överklagande av beslut som har meddelats med stöd av dessa föreskrifter liksom för överträdelser som har skett före ikraftträdandet.

Bestämmelserna om skadestånd i personuppgiftslagen ska gälla för skada som har orsakats före ikraftträdandet.

Utredningens bedömning: Någon övergångsbestämmelse som rör personuppgiftsbehandling som inte täcks av förordningens tillämpningsområde behöver inte införas.

Ikraftträdande

Enligt dataskyddsförordningens artikel 99 ska förordningen tillämp- as från och med den 25 maj 2018. Vi föreslår därför att den nya lagen med kompletterande bestämmelser till förordningen ska träda ikraft den dagen. Samtidigt bör personuppgiftslagen upphöra att gälla (avsnitt 5.2.1).

340

SOU 2017:39

Ikraftträdande- och övergångsbestämmelser

Personuppgiftsbehandling utanför förordningens tillämpningsområde

När det gäller behandling av personuppgifter utanför förordningens tillämpningsområde innebär vårt förslag i avsnitt 6.4 att dataskydds- förordningen i den ursprungliga lydelsen samt dataskyddslagen ska tillämpas vid behandling av personuppgifter även i verksamhet som faller utanför förordningens tillämpningsområde enligt artikel 2.2 a och b. Förutsatt att denna del av våra förslag genomförs ser vi inget behov av någon särskild övergångsbestämmelse för sådan behandling.

Befintliga hänvisningar

Hänvisningar till personuppgiftslagen förekommer i ett stort antal sektorsspecifika författningar. Eftersom dataskyddsförordningen är direkt tillämplig från och med den 25 maj 2018 och personuppgifts- lagen samtidigt kommer att upphävas är det naturligtvis av stor bety- delse att de hänvisningar som finns i gällande författningar till den nuvarande personuppgiftslagen så snart som möjligt ändras och anpas- sas till dataskyddslagen och förordningen. Ett omfattande översyns- arbete pågår just nu i utredningar och inom Regeringskansliet, men arbetet med att se över de följdändringar som kan behövas i både lag och förordning kommer att bli omfattande och ta tid. Vi bedömer därför att någon form av övergångsreglering när det gäller befintliga hänvisningar till personuppgiftslagen behövs.

En övergångsreglering som innebär att befintliga hänvisningar i stället ska avse förordningens och dataskyddslagens bestämmelser bedömer vi inte som möjlig eftersom regleringen skiljer sig för myck- et åt i sak. För att undvika osäkerhet med brister i integritetsskyddet som följd talar, enligt vår mening, övervägande skäl för att låta den nuvarande personuppgiftslagen övergångsvis fortsätta att gälla i den utsträckning som det fortfarande finns hänvisningar kvar till den lagen. Som framhålls ovan bör självklart befintlig reglering skynd- samt anpassas till förordningen och dataskyddslagen.

341

Ikraftträdande- och övergångsbestämmelser

SOU 2017:39

Ärendehandläggning och överklagande av beslut

En utgångspunkt i förordningen är som nämnts att behandling som pågår den dag då förordningen börjar tillämpas ska ha bringats i över- ensstämmelse med förordningen när förordningen börjar tillämpas den 25 maj 2018. Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit men inte hunnit besvaras före den 25 maj 2018 kan tillmötesgås i enlighet med förordningens bestämmelser. Även tillsynsmyndighetens verksam- het bör i möjligaste mån ha anpassats till förordningens regelverk vid denna tidpunkt. Tillsynsärenden kan dock pågå under en längre tid och det är inte självklart att tillsynsmyndigheten helt kan styra över när underlaget är så fullständigt att beslut i ärendet kan fattas. Före- lägganden om exempelvis säkerhetsåtgärder eller radering kan inte baseras på förordningens bestämmelser innan dessa är tillämpliga, utan måste utformas i enlighet med personuppgiftslagen fram till dess att förordningen börjar tillämpas. Det är lämpligt att sådana ärenden handläggs enligt personuppgiftslagen till dess de är avgjorda.

Vi ser därför ett behov av en övergångsbestämmelse som tydlig- gör att ärenden som har inletts hos Datainspektionen – genom att de anhängiggjorts av myndigheter eller enskilda, eller på inspektionens eget initiativ − före ikraftträdandet av dataskyddslagen men som vid den tidpunkten ännu inte har avgjorts, ska handläggas enligt person- uppgiftslagen och föreskrifter som meddelats med stöd av den lagen. Detsamma bör gälla för överklagande av beslut som har meddelats med stöd av äldre föreskrifter.

Skadestånd

I 48 § PUL finns bestämmelser om skadeståndsskyldighet för per- sonuppgiftsansvariga och möjlighet att jämka sådan ersättningsskyl- dighet i vissa fall. Dessa bestämmelser bör fortsätta att gälla för skada som har orsakats före upphävandet av personuppgiftslagen. I svensk rätt har det ansetts att det följer av allmänna rättsgrundsatser att nya skadeståndsbestämmelser blir tillämpliga i fråga om skadestånd till följd av skadefall som inträffar efter ikraftträdandet, och att det inte

342

SOU 2017:39

Ikraftträdande- och övergångsbestämmelser

behöver regleras i särskilda övergångsbestämmelser.1 Avsaknad av en övergångsbestämmelse i detta avseende riskerar dock att orsaka osäkerhet om förhållandet mellan dataskyddsförordningens och per- sonuppgiftslagens bestämmelser om skadestånd. Det förhållandet att ett stort antal sektorsspecifika författningar innehåller hänvisningar till 48 § PUL gör också att det är lämpligt med en så tydlig reglering som möjligt. Vi menar mot denna bakgrund att det bör införas en särskild övergångsbestämmelse om detta.

Straffbestämmelsens avskaffande

Eftersom vårt förslag innebär att den straffrättsliga regleringen upp- hävs och i praktiken ersätts med en administrativ sanktionsavgift, upp- kommer frågan om vad som ska gälla för straffbelagda gärningar som har begåtts vid behandling som upphört före den 25 maj 2018 men där överträdelsen inte lagförts innan de nya reglerna ska börja tillämpas.

Vid bedömningen av behovet att meddela övergångsbestämmelser för den nu nämnda situationen behöver bestämmelserna i såväl 2 kap. 10 § regeringsformen som 5 § andra stycket lagen (1964:163) om in- förande av brottsbalken beaktas.

I 2 kap. 10 § regeringsformen finns ett förbud mot retroaktiv straff- och skattelagstiftning. Förbudet mot retroaktiv skattelag anses analogivis tillämpligt beträffande straffliknande administrativa påfölj- der.2 Att ta ut sanktionsavgifter för överträdelser som begåtts före den 25 maj 2018 skulle således strida mot retroaktivitetsförbudet.

Av 5 § andra stycket lagen om införande av brottsbalken framgår att straff ska bestämmas enligt den lag som gällde när gärningen före- togs. Detta är dock inte fallet om annan lag gäller när dom meddelas, under förutsättning att den nya lagen leder till frihet från straff eller till lindrigare straff. Denna bestämmelse har enligt förarbetena gene- rell räckvidd, dvs. den gäller även utanför brottsbalkens tillämpnings- område.3 Bestämmelsen ger uttryck för den lindrigaste lagens princip.

Bestämmelserna i dataskyddsförordningen och dataskyddslagen innebär att överträdelser mot den gällande dataskyddsregleringen överförs från det straffrättsliga området till ett system med enbart

1Prop. 1972:5 s. 593.

2Prop. 1975/76:209 s. 125.

3Prop. 1964:10 s. 99.

343

Ikraftträdande- och övergångsbestämmelser

SOU 2017:39

administrativa sanktionsavgifter. Formellt sett får sanktionsavgiften anses lindrigare och borde därmed få genomslag bakåt i tiden. I prop. 2007/08:107, Administrativa sanktioner på yrkesfiskets område, före- slogs motsvarande ändringar beträffande sanktionssystemet. Lagrådet anförde i sitt yttrande över lagförslaget att om avsikten med lagänd- ringarna inte var ägnade att ändra synen på vad som var straffbart utan önskemålet i stället var att skapa en annan och mer effektiv sanktionsform, faller motiven för en tillämpning av den lindrigaste lagens princip bort.4

När det gäller dataskyddsförordningens och dataskyddslagens system med kraftfulla sanktionsavgifter torde detta i många fall anses som en svårare sanktion än exempelvis ett bötesstraff enligt regle- ringen i personuppgiftslagen. Huvudsyftet med att överträdelser mot dataskyddsregleringen föreslås avkriminaliseras är framför allt effek- tivisering, och ska inte ses som ett uttryck för att överträdelserna ska bedömas lindrigare än tidigare. Vi menar därför att lindrigaste lagens princip inte gör sig gällande i detta fall. Äldre bestämmelser bör där- för tillämpas på överträdelser som skett före dataskyddslagens ikraft- trädande.

Tillsynsåtgärder

Det följer av allmänna principer och i någon mån av förordningens skäl 171 att förelägganden och förbud som har meddelats av tillsyns- myndigheten med stöd av personuppgiftslagen fortsätter att gälla efter upphävandet av den lagen. Det behövs därför inte någon sär- skild övergångsbestämmelse i den delen.5 Inte heller i övrigt finns det behov av ytterligare övergångsbestämmelser med anledning av personuppgiftslagens upphävande.

4Prop. 2007/08:107 s. 66.

5Prop. 2015/16:72 s. 56.

344

21 Konsekvenser

21.1Vårt uppdrag

Kommittéförordningen

En utredning ska enligt kommittéförordningen (1998:1474) redovisa vilka konsekvenser förslagen i ett betänkande kan få i olika avse- enden. I 14−15a §§ föreskrivs bland annat att för det fall förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt så ska dessa redovisas. Vidare ska eventuella konsekvenser för den kommunala självstyrel- sen, för brottsligheten och det brottsförebyggande arbetet, samt för bland annat sysselsättning och offentlig service i olika delar av landet redovisas. Detsamma gäller små företags arbetsförutsättningar, kon- kurrensförmåga eller villkor i övrigt i förhållande till större företag och för jämställdheten mellan kvinnor och män.

Våra direktiv

Regeringen ska enligt 16 § kommittéförordningen ange närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande. Enligt våra direktiv ska vi bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Det är alltså konsekvenserna av våra förslag till dataskyddslag med till- hörande förordning samt förslagen till ändringar i offentlighets- och sekretesslagen och arkivförordningen som vi har att bedöma enligt direktiven. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska vi föreslå hur dessa ska finansieras. Vi ska särskilt ange konsekvenser för företagen i form av kostnader och ökade admi-

345

Konsekvenser

SOU 2017:39

nistrativa bördor. Vi ska också redovisa förslagens konsekvenser för den personliga integriteten.

Konsekvenser utanför vårt uppdrag

Det står klart att dataskyddsförordningens direkt tillämpliga bestäm- melser kommer att leda till konsekvenser, både för det allmänna och för enskilda i Sverige. Förordningens bestämmelser kan bland annat förväntas öka kostnaderna för myndigheter och enskilda som är personuppgiftsansvariga eller personuppgiftsbiträden, i form av ökad administration och ökade kostnader initialt för anpassning av befint- liga it-system. Det kommer särskilt initialt att krävas ökade resurser till utbildningsinsatser och eventuellt nyrekryteringar till tjänster som dataskyddsombud både för det allmänna och i den privata sektorn. Konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser ankommer dock inte på oss att bedöma.

Det bör noteras att dataskyddsförordningens konsekvenser för tillsynsmyndigheten tidigare har övervägts av Utredningen om till- synen över den personliga integriteten. Den utredningen konstate- rade i sitt betänkande (SOU 2016:65) att ytterligare resurser kommer att behöva tillföras, men att en slutgiltig uppskattning av resursbeho- vet kommer att behöva göras när de utredningar har slutförts som har i uppdrag att överväga dataskyddsförordningens och det nya data- skyddsdirektivets konsekvenser för hur tillsynen ska vara utformad.

Det bör slutligen påpekas att flertalet nationella bestämmelser som kompletterar dataskyddsförordningen kommer att finnas i sådan sektorsspecifik reglering som ligger utanför vårt uppdrag. För när- varande arbetar ett stort antal utredningar med anpassningar av nationell rätt med anledning av dataskyddsförordningen och det nya dataskyddsdirektivet. Konsekvenserna av deras förslag analyseras inom ramen för respektive utredning.

21.2Förändringar som följer av våra förslag

Under respektive avsnitt i betänkandet görs för varje del övervägan- den avseende dataskyddsförordningens krav, utrymmet för nationell reglering och skäl som talar för och emot olika författningstekniska lösningar. I de övervägandena har vi exempelvis beaktat hur olika

346

SOU 2017:39

Konsekvenser

lösningar skulle påverka den personliga integriteten och motstående intressen samt vilka effekter de skulle få för myndigheternas verk- samhet. För en analys av konsekvenserna av andra möjliga lösningar än de vi föreslår hänvisas därför till dessa avsnitt.

En allmän utgångspunkt för vårt uppdrag har varit att sträva efter lösningar som ansluter till nuvarande systematik i personuppgifts- lagen och personuppgiftsförordningen. De flesta bestämmelserna i dataskyddslagen och den kompletterande förordning som vi föreslår motsvarar i linje med detta i stort sett de nuvarande reglerna i per- sonuppgiftslagen och personuppgiftsförordningen.

Vissa förslag innebär dock förändringar jämfört med den ordning som gäller i dag, och medför att en konsekvensanalys måste genom- föras. Det gäller främst förslagen i avsnitt 14 om arkiv och statistik, i avsnitt 18 om sanktioner och i avsnitt 19 om processuella frågor.

Riksarkivet föreslås i avsnitt 14 få nya uppgifter i form av före- skriftsrätt och befogenhet att fatta beslut i enskilda fall när det gäller enskilda organs behandling av personuppgifter för arkivändamål av allmänt intresse.

I avsnitt 18 föreslås att sanktionsavgifter ska kunna beslutas även mot myndigheter. Denna arbetsuppgift för tillsynsmyndigheten är inte direkt föranledd av dataskyddsförordningens bestämmelser. I avsnittet bedöms vidare att någon straffbestämmelse motsvarande den som finns i personuppgiftslagen inte bör införas i dataskydds- lagen.

Andra nyheter, som behandlas i avsnitt 19, är möjligheten för enskilda att i vissa fall begära besked från tillsynsmyndigheten om myndigheten avser att utöva tillsyn och att föra dröjsmålstalan mot ett sådant beslut. Det inrättas också en möjlighet för tillsynsmyn- digheten att under vissa speciella omständigheter väcka talan i dom- stol. Övriga förslag beträffande rättsmedel i kapitel 19 motsvarar emellertid i allt väsentligt det som gäller i dag.

347

Konsekvenser

SOU 2017:39

21.3Ekonomiska konsekvenser

21.3.1Ekonomiska konsekvenser för det allmänna

Utredningens bedömning: Förslagen kommer att innebära att Riksarkivet, Datainspektionen och de allmänna förvaltningsdom- stolarna får något fler arbetsuppgifter, men kostnadsökningarna kommer inte att bli större än att de ryms inom de befintliga anslagen.

De konsekvenser som beskrivs nedan avser som nämnts tidigare enbart våra förslag och inte dataskyddsförordningens bestämmelser i stort. Vår analys utgår här från de förändringar som våra förslag medför jämfört med vad som gäller enligt nuvarande generella regle- ring, dvs. framför allt enligt personuppgiftslagen och personuppgifts- förordningen.

Förslagen medför att Riksarkivet får föreskriftsrätt och en rätt att besluta i vissa enskilda fall som myndigheten inte haft tidigare. Initialt kan detta förväntas leda till en något ökad arbetsbörda, men torde därefter inte kräva några ökade resurser. Vi bedömer inte att våra förslag innebär att Riksarkivet behöver tillskjutas medel utöver befintliga anslag.

Förslagen medför även nya arbetsuppgifter för Datainspektionen och de allmänna förvaltningsdomstolarna. Möjligheten att begära besked från Datainspektionen om handläggningen av ett inkommet klagomål kommer initialt att kräva att resurser läggs på utarbetande av rutiner för hur information om handläggningen ska lämnas till den registrerade liksom för hur framställningar om besked från registre- rade ska hanteras. Eftersom det kan antas att Datainspektionen i de flesta fall kommer att ha behandlat ett klagomål inom tre månader på det sätt som förutsätts i dataskyddsförordningen, bedömer vi att de nya arbetsuppgifterna i förlängningen inte kräver några mer omfat- tande resurser.

Vi bedömer att en dröjsmålstalan inte kommer väckas i domstol i mer än ett fåtal fall varje år. Målen är dessutom av enkel beskaf- fenhet och torde därför kunna avgöras av en ensamdomare. Mot den bakgrunden bör inte heller domstolens resurser behöva tas i anspråk i någon större utsträckning för denna måltyp.

348

SOU 2017:39

Konsekvenser

Vad gäller beslut om sanktionsavgift mot myndigheter får antas att dessa blir sällsynta. Det beror dels på att myndigheter i regel kan förväntas anpassa verksamheten efter Datainspektionens synpunkter utan att det krävs repressiva åtgärder, dels på att sanktionsavgift är den åtgärd som tillsynsmyndigheten bör välja i sista hand. Det bör därför inte påverka Datainspektionens arbetsbörda i någon större ut- sträckning. Eftersom sanktionsavgifterna kan vara kännbara ekono- miskt är det rimligt att utgå från att inspektionens beslut kommer att överklagas till allmän förvaltningsdomstol i relativt stor utsträckning. Det faktum att sådana beslut förväntas bli ovanliga innebär dock att även överklagandena bör bli sällsynta.

Kostnaderna för Datainspektionen och de allmänna förvaltnings- domstolarna bör därför rymmas inom befintliga anslagsramar såvitt avser förslagen i detta betänkande. De förändringar dataskyddsför- ordningen i övrigt medför kommer sannolikt att kräva budgetför- stärkningar, framför allt för Datainspektionen. Detta ligger emellertid utanför vårt uppdrag att bedöma.

21.3.2Ekonomiska konsekvenser för enskilda

Utredningens bedömning: Förslagen medför inga nya kostna- der eller någon ökad administrativ börda för enskilda.

De konsekvenser som beskrivs här avser som nämnts tidigare enbart våra förslag och inte dataskyddsförordningens bestämmelser i stort. Vår analys utgår vidare från de förändringar som våra förslag medför i relation till vad som gäller enligt nuvarande generella reglering, dvs. personuppgiftslagen och personuppgiftsförordningen. Med dessa utgångspunkter bedöms förslagen i detta betänkande inte leda till några kostnadsökningar eller någon ökad administrativ börda för enskilda.

349

Konsekvenser

SOU 2017:39

21.4Konsekvenser i övrigt

Utredningens bedömning: Förslagen förväntas förbättra skyddet för enskildas personliga integritet och minskar antalet krimina- liserade handlingar. De förväntas inte få några andra konsekvenser.

Enskildas personliga integritet

Förslagen innebär bland annat att det införs särskilda undantag för myndigheternas behandling av känsliga personuppgifter. Avsikten med förslagen i denna del är inte att utvidga möjligheterna till be- handling i relation till vad som gäller i dag, utan att i stort sett möjlig- göra behandling i motsvarande utsträckning som enligt personupp- giftslagen och personuppgiftsförordningen. Vi föreslår dock också ett förbud för myndigheter som behandlar uppgifter med stöd av nämnda undantag att använda sökbegrepp som avslöjar känsliga personuppgifter. Sökförbudet saknar motsvarighet i dag. Vi bedömer att det förslaget gynnar enskildas personliga integritet.

Dataskyddsförordningens bestämmelser innebär en förstärkning av enskildas rätt till information och tillgång till personuppgifter jäm- fört med motsvarande reglering i personuppgiftslagen. De undantag vi föreslår från förordningens bestämmelser i detta avseende mot- svarar de befintliga undantagen i personuppgiftslagen, trots att mer långtgående undantag i och för sig hade varit möjliga. Vi bedömer därför att regleringen sammantaget innebär en förstärkning av skyd- det för enskildas personliga integritet.

Vidare ger förslagen enskilda ökade möjligheter att reagera om deras klagomål hos tillsynsmyndigheten inte behandlas i tid, och att föra en dröjsmålstalan mot tillsynsmyndigheten i vissa fall. Detta bedöms också öka skyddet för enskildas personliga integritet, liksom den föreslagna möjligheten att besluta om sanktionsavgifter mot myndigheter när det gäller felaktig behandling av enskildas person- uppgifter. Den föreslagna tystnadsplikten för dataskyddsombud inne- bär slutligen också ett stärkt skydd för den personliga integriteten.

350

SOU 2017:39

Konsekvenser

Övrigt

Förslagen kommer att gälla även för personuppgiftsbehandling som sker hos kommuner och landsting men får inte några särskilda kon- sekvenser för dessa organ eller för den kommunala självstyrelsen.

Eftersom vi inte föreslår att någon straffbestämmelse motsvarande den som finns i personuppgiftslagen ska införas i dataskyddslagen minskar förslagen antalet kriminaliserade handlingar. I övrigt har för- slagen inte några konsekvenser för brottsligheten eller det brotts- förebyggande arbetet.

Författningsförslagen är könsneutralt utformade och förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män.

Förslagen får inte några andra sådana konsekvenser som avses i 14–15 a §§ kommittéförordningen.

351

Konsekvenser

SOU 2017:39

352

22 Författningskommentar

22.1Förslaget till lag med kompletterande bestämmelser till EU:s dataskyddsförordning

1 kap. Inledande bestämmelser

1 § Denna lag kompletterar Europaparlamentets och rådets förord- ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Termer och uttryck som används i denna lag har samma betydelse som i dataskyddsförordningen.

Paragrafen anger lagens innehåll. Hänvisningarna till dataskyddsför- ordningen i denna lag är med undantag för 2 § dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Över- vägandena finns i avsnitt 5.2.2.

I första stycket anges att lagen innehåller kompletterande bestäm- melser till EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att Sverige inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller de kom- pletterande bestämmelser som gäller på ett generellt plan. Vid sidan av denna lag finns det även sektorsspecifika författningar som inne- håller bestämmelser som kompletterar dataskyddsförordningen på avgränsade områden.

353

Författningskommentar

SOU 2017:39

Av andra stycket framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bland annat att definitionerna i artikel 4 i dataskyddsförord- ningen även gäller vid tillämpningen av lagen.

2 § Bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i denna lag ska i tillämpliga delar gälla även vid behand- ling av personuppgifter som utgör ett led i en verksamhet som inte om- fattas av unionsrätten och i verksamhet som omfattas av avdel- ning V kapitel 2 i fördraget om Europeiska unionen.

Paragrafen avser det materiella tillämpningsområdet för dataskydds- förordningens bestämmelser och har ingen motsvarighet i person- uppgiftslagen. Övervägandena finns i avsnitt 6.4.

Bestämmelsen innebär att förordningens bestämmelser gäller som svensk rätt vid personuppgiftsbehandling som utförs i sådan verk- samhet som enligt artikel 2.2 a och 2.2 b i dataskyddsförordningen är undantagen från förordningens tillämpningsområde. Förordningens bestämmelser gäller alltså, i tillämpliga delar, även vid personupp- giftsbehandling som utförs som ett led i en verksamhet som inte om- fattas av unionsrätten och i verksamhet som utförs inom ramen för den gemensamma utrikes- och säkerhetspolitiken. Verksamhet som inte omfattas av unionsrättens tillämpningsområde är bland annat verksamhet som rör nationell säkerhet och verksamhet på försvars- området.

Det är inte möjligt att genom nationell rätt ålägga tillsynsmyn- digheter i andra länder att samarbeta med den svenska tillsynsmyn- digheten. De bestämmelser i förordningen som avser tillsynsmyndig- heternas skyldighet att samarbeta med varandra är därför inte tillämp- liga. Inte heller är det möjligt att genom nationell rätt ge den euro- peiska dataskyddsstyrelsen behörighet att t.ex. utfärda riktlinjer och rekommendationer eller att ge kommissionen rätt att anta delegerade akter inom detta område. Kapitel VII och kapitel X i dataskydds- förordningen utgör därför inte ”tillämpliga delar”. Det kan även i övrigt finnas bestämmelser i dataskyddsförordningen som inte kan tillämpas i rent nationell verksamhet. Det får därför i varje enskilt fall göras en bedömning av om en viss förordningsbestämmelse kan gälla.

Det bör noteras att det i sektorsspecifika författningar som avser verksamhet utanför dataskyddsförordningens egentliga tillämpnings-

354

SOU 2017:39

Författningskommentar

område kan föreskrivas undantag från bestämmelsen, se 3 §. Det kan i sådana författningar även anges att endast vissa av förordningens bestämmelser inte ska gälla inom just det området.

Hänvisningen till dataskyddsförordningen i denna paragraf är statisk, dvs. avser den ursprungliga lydelsen av förordningen.

3 § Om en annan lag eller en förordning innehåller någon bestämmel- se som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.

Paragrafen avser lagens förhållande till avvikande bestämmelser i andra författningar. Bestämmelsen motsvarar i sak 2 § PUL. Över- vägandena finns i avsnitt 5.2.3.

Bestämmelsen innebär att avvikande bestämmelser som rör be- handling av personuppgifter och som finns i en annan lag eller i en förordning ska ha företräde framför lagen. Det kan t.ex. vara bestäm- melser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfa- randeregler. Sådana avvikande bestämmelser som avses i paragrafen finns ofta i författningar som helt eller delvis innehåller bestämmelser om behandling av personuppgifter hos en viss myndighet, inom en viss sektor eller i ett visst sammanhang. Sådana författningar före- kommer främst inom den offentliga sektorn.

Beslut som riksdagen eller regeringen har fattat i annan form än lag eller förordning och föreskrifter som myndigheter har utfärdat tar däremot inte över bestämmelserna i denna lag. Bestämmelsen innebär inte heller att avvikande bestämmelser per automatik har företräde framför dataskyddsförordningen. Sådant företräde gäller endast i den mån förordningen tillåter nationell särreglering.

Formuleringen ”i en annan lag” omfattar inte bara avvikande bestämmelser i lagar antagna av den svenska riksdagen, utan även bestämmelser i direkt tillämpliga EU-förordningar.

Frågan om en viss bestämmelse innefattar en avvikelse från vad som ska gälla enligt denna lag får avgöras med tillämpning av sed- vanliga metoder för tolkning av författningar. Eventuella normkon- flikter mellan bestämmelserna i denna lag och bestämmelser i annan författning om annat än dataskydd får på motsvarande sätt lösas med hjälp av allmänna principer, som till exempel att grundlag har före-

355

Författningskommentar

SOU 2017:39

träde framför vanlig lag, att EU-rätten har företräde framför svensk lag och att speciallag har företräde framför generell lag.

4 § Bestämmelserna i dataskyddsförordningen och i denna lag ska inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihets- grundlagen.

Bestämmelserna i kapitel II och III, artiklarna 2430 och 3543 och kapitel V i dataskyddsförordningen samt i 25 kap. denna lag ska inte tillämpas på behandling av personuppgifter som sker för journa- listiska ändamål eller för akademiskt, konstnärligt eller litterärt ska- pande.

Paragrafen avser dataskyddsförordningens och lagens förhållande till tryck- och yttrandefriheten och motsvarar 7 § PUL. Övervä- gandena finns i avsnitt 7.4.

Bestämmelsen i första stycket erinrar om att tryckfrihetsför- ordningen och yttrandefrihetsgrundlagens bestämmelser om tryck- och yttrandefrihet har företräde framför dataskyddsförordningens och lagens bestämmelser. Att bestämmelserna om allmänhetens tillgång till handlingar i tryckfrihetsförordningens 2 kap. har före- träde framför dataskyddsförordningens bestämmelser följer av artikel 86 i förordningen.

I andra stycket undantas uppräknade kapitel och artiklar i data- skyddsförordningen och i lagen när det gäller behandling för jour- nalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande utanför det grundlagsreglerade området. Bestämmelsen har sin grund i artikel 85.2 i dataskyddsförordningen och innebär i sak att bestämmelserna om syfte, tillämpningsområde och definitioner (kapitel I), om samarbete med tillsynsmyndigheten och säkerhet för personuppgifter (artiklarna 31–34 i kapitel IV), om oberoende till- synsmyndigheter (kapitel VI), om samarbete och enhetlighet (kapi- tel VII) samt om rättsmedel, ansvar och sanktioner (kapitel VIII) är tillämpliga på behandling för de nämnda ändamålen. Det bör noteras att bestämmelserna om tillsyn, rättsmedel, ansvar och sanktioner alltså enbart blir tillämpliga såvitt avser tillsyn över eller överträdelser av bestämmelserna om säkerhet för personuppgifter. Kapitel IX, X och XI är i och för sig inte undantagna men bedöms i praktiken inte

356

SOU 2017:39

Författningskommentar

aktualiseras vid behandling för sådana ändamål som avses i para- grafen.

5 § Vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket ska andra organ än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekre- tess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.

Paragrafen avser organ som ska jämställas med myndigheter. Bestäm- melsen saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 10.6.2 och 14.4.6.

Bestämmelsen innebär att vissa bestämmelser i lagen ska gälla även för andra organ än myndigheter, i den mån offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i organets verk- samhet. Bestämmelsens hänvisning till 3 kap. 3 § 2 möjliggör sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihetsförord- ningens och offentlighets- och sekretesslagens bestämmelser om all- männa handlingar och diarieföring. Sökförbudet i 3 kap. 4 § avseende känsliga personuppgifter ska gälla vid sådan tillämpning. Bestäm- melsens hänvisning till 4 kap. 1 § andra stycket innebär att använd- ningsbegränsningen i första stycket samma paragraf inte hindrar organ som omfattas av offentlighetsprincipen från att använda personupp- gifter som finns i allmänna handlingar.

6 § Den som utsetts till dataskyddsombud enligt artikel 37 i data- skyddsförordningen får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och eko- nomiska förhållanden.

I det allmännas verksamhet tillämpas offentlighets- och sekretess- lagen (2009:400) i stället för första stycket.

Paragrafen innebär att tystnadsplikt gäller för dataskyddsombud, och saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 17.4.3.

Bestämmelsen har stöd i dataskyddsförordningens artikel 38.5. Tystnadsplikten i första stycket är begränsad till obehörigt röjande av uppgifter. Begränsningen innebär att uppgifter exempelvis får lämnas

357

Författningskommentar

SOU 2017:39

ut med samtycke, till tillsynsmyndighet eller annars som en följd av en skyldighet i lag eller annan författning.

Andra stycket innehåller en erinran om att offentlighets- och sekre- tesslagen tillämpas i det allmännas verksamhet. Så länge dataskydds- ombudet innehar en sådan anställning eller uppdrag som avses i 2 kap. 1 § andra stycket OSL omfattas han eller hon av sekretessen. Ett dataskyddsombud får i allmänhet anses delta i verksamheten på ett sådant sätt som förutsätts i nämnda paragraf. Om ett dataskydds- ombud inte omfattas av bestämmelserna i offentlighets- och sekre- tesslagen gäller tystnadspliktsbestämmelsen i första stycket för upp- gifter som han eller hon fått kännedom om inom ramen för sitt uppdrag.

2 kap. Rättslig grund

1 § Av dataskyddsförordningen framgår att personuppgifter får be- handlas endast om minst ett av de villkor som anges i artikel 6.1 i för- ordningen är uppfyllt.

Paragrafen upplyser om att motsvarigheten till 10 § PUL, som anger villkoren för laglig behandling, finns i artikel 6.1 i dataskyddsför- ordningen. Övervägandena finns i avsnitt 8.3.6.

Uppräkningen i artikel 6.1 i dataskyddsförordningen är uttöm- mande. Om ingen av dessa punkter är tillämpliga är behandlingen inte laglig och får därmed inte utföras. De olika punkterna är i viss mån överlappande. Flera punkter kan därför vara tillämpliga avse- ende en och samma behandling.

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, dvs. att det finns en tillämplig rättslig grund, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen och i bestäm- melser som kompletterar förordningen.

För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den vara nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden. Detta innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, att den inte kan under- låtas. Behandlingen kan under vissa omständigheter anses vara nöd-

358

SOU 2017:39

Författningskommentar

vändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster.

2 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Paragrafen anger vid vilken ålder barn som erbjuds informations- samhällets tjänster själva kan samtycka till behandling av personupp- gifter. Paragrafen har ingen motsvarighet i personuppgiftslagen. Över- vägandena finns i avsnitt 9.5.

Bestämmelsen har sin grund i artikel 8.1 i dataskyddsförord- ningen, som anger att sådan behandling av personuppgifter som avses i paragrafen får ske med stöd av barnets eget samtycke om barnet har fyllt 16 år. Medlemsstaterna får föreskriva en lägre åldersgräns, dock lägst 13 år.

Informationssamhällets tjänster är tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begä- ran av en tjänstemottagare. Det rör sig således om t.ex. sociala medier, söktjänster och s.k. appar på smarta enheter. Bestämmelsen är tillämplig endast när den rättsliga grunden för personuppgifts- behandlingen är samtycke och inte när behandlingen utförs på annan rättslig grund. Om barnet är under 13 år får behandling av person- uppgifter med stöd av samtycke ske endast om samtycket ges eller godkänns av den person som har föräldraansvar för barnet. Denna person är i allmänhet barnets vårdnadshavare. Om barnet inte har en vårdnadshavare eller vårdnadshavarna inte kan eller får utöva vård- naden, får det från fall till fall bedömas vem som kan samtycka till personuppgiftsbehandlingen rörande barnet eller godkänna barnets samtycke.

3 § Personuppgifter får behandlas med stöd av artikel 6.1 c i data- skyddsförordningen om behandlingen är nödvändig för att den per- sonuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som

1.gäller enligt lag eller annan författning,

2.följer av kollektivavtal, eller

359

Författningskommentar

SOU 2017:39

3. följer av beslut som har meddelats med stöd av lag eller annan för- fattning.

Paragrafen upplyser om att en rättslig förpliktelse utgör en rättslig grund för behandling av personuppgifter endast om förpliktelsen är fastställd i enlighet med unionsrätten eller den nationella rätten. Kravet på fastställande saknar motsvarighet i personuppgiftslagen. Att en rättslig förpliktelse kan utgöra rättslig grund för personupp- giftsbehandling enligt personuppgiftslagen framgår av 10 § b PUL. Övervägandena finns i avsnitt 8.3.1 och 8.3.2.

Bestämmelsen har sin grund i artikel 6.3 första stycket i data- skyddsförordningen. För att en förpliktelse som åligger den person- uppgiftsansvarige ska kunna läggas till grund för behandling av personuppgifter måste den vara rättsligt förankrad och giltig. En för- pliktelse som inte är rättsligt förankrad i unionsrätten eller i med- lemsstatens nationella rätt kan inte åberopas som rättslig grund för behandling av personuppgifter. Förpliktelsen måste alltså ha med- delats i laga ordning, men behöver inte för den skull framgå direkt av en författning. Enligt svensk rätt kan en rättslig förpliktelse även framgå av t.ex. kollektivavtal, regeringsbeslut och myndighetsbeslut. Formuleringarna ”gäller enligt lag” och ”med stöd av lag” omfattar även förpliktelser som följer av direkt tillämpliga unionsrättsakter, eftersom unionsrättsakter gäller här i landet med den verkan som följer av EU-fördragen.

Det bör noteras att bestämmelsen i artikel 6.3 andra stycket första meningen i dataskyddsförordningen anger att syftet med behand- lingen ska fastställas i den rättsliga grunden. Kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av person- uppgifter om syftet med behandlingen inte framgår av den författ- ning eller det kollektivavtal som förpliktelsen grundas på och inte heller, i förekommande fall, kan utläsas av det beslut som anger för- pliktelsen.

4 § Personuppgifter får behandlas med stöd av artikel 6.1 e i data- skyddsförordningen om behandlingen är nödvändig

1. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivav- tal eller av beslut som har meddelats med stöd av lag eller annan författ- ning, eller

360

SOU 2017:39

Författningskommentar

2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

Paragrafen upplyser om att en uppgift av allmänt intresse liksom myndighetsutövning utgör rättslig grund för behandling av person- uppgifter endast om uppgiften eller myndighetsutövningen är fast- ställd i enlighet med unionsrätten eller den nationella rätten. Kravet på fastställande saknar motsvarighet i personuppgiftslagen. Att en uppgift av allmänt intresse och myndighetsutövning kan utgöra rätts- lig grund för personuppgiftsbehandling framgår dock av 10 § d res- pektive e PUL. Övervägandena finns i avsnitt 8.3.1, 8.3.3 och 8.3.4.

Bestämmelsen, som har sin grund i artikel 6.3 första stycket i data- skyddsförordningen, förtydligar att en uppgift av allmänt intresse respektive myndighetsutövning som inte är rättsligt förankrad i unionsrätten eller i medlemsstatens nationella rätt inte kan åberopas som rättslig grund för behandling av personuppgifter. I artikel 6.3 andra stycket i dataskyddsförordningen anges att syftet med be- handlingen måste vara nödvändigt för att utföra uppgiften eller myn- dighetsutövningen. Den specifika behandlingen måste alltså vara nöd- vändig för ett ändamål som i sin tur är nödvändigt för att den person- uppgiftsansvarige ska kunna utföra sin fastställda uppgift.

I punkt 1 tydliggörs att en uppgift av allmänt intresse utgör en rättslig grund för behandling av personuppgifter bara om uppgiften följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Denna förutsättning gäller oavsett om den personuppgiftsansvarige är en myndighet eller inte. Det är alltså inte tillräckligt att uppgiften är av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Statliga och kommunala myndigheters verksamhet är i allt väsent- ligt av allmänt intresse. Formuleringen, ”som följer av lag eller annan författning”, är en följd av att en uppgift av allmänt intresse enligt svensk rätt inte måste vara uttryckt i lag eller förordning utan också kan anges i en annan föreskrift, förutsatt att föreskriften har med- delats med stöd av lag eller förordning. Som en följd av den svenska arbetsmarknadsmodellen skulle en uppgift av allmänt intresse även kunna vara fastställd genom kollektivavtal. Uppgifter av allmänt intresse kan enligt svensk rätt även fastställas genom ”beslut som meddelats med stöd av lag eller annan författning”. Till exempel kan

361

Författningskommentar

SOU 2017:39

en sådan uppgift ha tilldelats en statlig myndighet eller ett statligt bolag med särskilt samhällsintresse genom regeringsbeslut. For- muleringen omfattar även uppgifter som med stöd av kommunallagen har getts till kommunala myndigheter och kommunala bolag genom beslut i fullmäktige. EU-rättsakter gäller här i landet med den verkan som följer av fördragen, vilket innebär att uppgifter som utförs enligt unionsrätten även utförs enligt lag. Den föreslagna formuleringen omfattar således även sådana uppgifter.

Även privaträttsligt bedriven verksamhet av allmänt intresse omfattas av formuleringen, förutsatt att verksamheten är reglerad i lag eller annan författning eller följer av kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning. Däremot omfattas inte oreglerad verksamhet. Formuleringen omfattar inte hel- ler sådan verksamhet som i och för sig är reglerad, men som inte kan anses vara av allmänt intresse i unionsrättslig mening.

Det bör noteras att den författning eller det kollektivavtal eller beslut som utgör den rättsliga grunden för behandling av person- uppgifter måste uppfylla ett mål av allmänt intresse och vara propor- tionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i dataskyddsförordningen).

I punkt 2 tydliggörs på motsvarande sätt att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter bara om myndighetsutövningen sker enligt lag eller annan författning. Detta gäller oavsett om den personuppgiftsansvarige är en myndighet eller inte. Om författningen ställer ytterligare villkor, t.ex. krav på att ett privat organ ska vara certifierat för att få utöva myndighet, sker myn- dighetsutövningen ”enligt” författningen om villkoret är uppfyllt. Formuleringen ”enligt lag eller annan författning” innefattar t.ex. förordningar som har meddelats av regeringen, med stöd av restkom- petensen. Formuleringen innefattar även befogenheter som anges i myndighetsföreskrifter, förutsatt att föreskrifterna har meddelats med stöd av ett bemyndigande. Unionsrättsakter gäller här i landet med den verkan som följer av EU-fördragen, vilket innebär att myn- dighetsutövning som utövas enligt unionsrätten också har stöd av lag. Formuleringen omfattar således även sådana befogenheter.

5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som

362

SOU 2017:39

Författningskommentar

omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkivändamål av allmänt intresse.

Paragrafen innehåller ett bemyndigande avseende föreskrifter och förvaltningsbeslut om behandling av personuppgifter för arkivända- mål av allmänt intresse utanför arkivlagstiftningens tillämpnings- område. Bestämmelsen saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 14.4.2.

Bestämmelserna har sin grund i artikel 6.3 första stycket i data- skyddsförordningen, som innebär att en uppgift av allmänt intresse utgör rättslig grund för behandling av personuppgifter endast om uppgiften är fastställd i enlighet med unionsrätten eller den natio- nella rätten. Bestämmelserna gör det möjligt för enskilda arkiv- institutioner, vars uppgift inte redan är fastställd i enlighet med gäl- lande rätt, att få sin verksamhet prövad och godkänd som rättslig grund för personuppgiftsbehandling.

Rättslig grund kan antingen fastställas i föreskrifter som meddelas enligt första stycket, eller i förvaltningsbeslut som meddelas enligt andra stycket. En förutsättning i båda fallen är att arkivverksamheten är av allmänt intresse i dataskyddsförordningens mening och att organet inte är en myndighet eller ett sådant organ som enligt 1 kap. 5 § ska jämställas med myndigheter. Den rättsliga grunden för behandling av personuppgifter i myndigheters och därmed jämställda organs arkivverksamhet är redan fastställd i arkivlagstiftningen.

3 kap. Vissa kategorier av personuppgifter

1 § Utöver vad som framgår av artikel 9.2 a, c, d, e eller f i data- skyddsförordningen får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga person- uppgifter) behandlas om förutsättningarna i någon av 2–8 §§ är upp- fyllda.

Paragrafen anger lagens förhållande till undantagen från förbudet att behandla känsliga personuppgifter i förordningens artikel 9.2. För-

363

Författningskommentar

SOU 2017:39

budet mot behandling av känsliga personuppgifter och undantagen från det förbudet har sin motsvarighet i 13–19 §§ PUL. Övervägan- dena finns i avsnitt 10.3.

Bestäm