Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Departement
Justitiedepartementet L6
Utfärdad
2018-04-19
Ändring införd
SFS 2018:218 i lydelse enligt SFS 2022:444
Ikraft
2018-05-25
Upphäver
Personuppgiftslag (1998:204)
Källa
Regeringskansliets rättsdatabaser
Senast hämtad
2022-11-01

1 kap. Inledande bestämmelser

[K1]1 §  Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

[S2]Termer och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.

Prop. 2017/18:105: I första stycket anges att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Lagen innehåller de kompletterande bestämmelser som gäller på ett generellt plan. Det finns även sektorsspecifika författningar som innehåller bestämmelser som kommer att komplettera dataskyddsförordningen för vissa myndigheter eller inom vissa områden. Som exempel kan nämnas <a href="https://lagen.nu/2008:355" ...

Utvidgad tillämpning av bestämmelserna i EU:s dataskyddsförordning

[K1]2 §  Bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga lydelsen, och denna lag ska gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen.

Prop. 2017/18:105: Av paragrafen framgår att dataskyddsförordningens och lagens bestämmelser ska gälla även vid personuppgiftsbehandling som utförs som ett led i en verksamhet som inte omfattas av unionsrätten och i

[K1]3 §  Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av

  1. lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten,
  2. lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt, eller
  3. lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Lag (2021:1174).

[K1]4 §  Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585), anmälas enligt lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter, eller rapporteras eller anmälas enligt föreskrifter som har meddelats i anslutning till de lagarna. Lag (2022:444).

Lagens territoriella tillämpningsområde

[K1]5 §  Denna lag gäller vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Lagen gäller även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten.

[S2]Lagen gäller också vid behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen avser registrerade som befinner sig i Sverige och har anknytning till

  1. utbjudande av varor eller tjänster till sådana registrerade, eller
  2. övervakning av deras beteende i Sverige.

[S3]Bestämmelsen i 2 kap. 4 § gäller vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller personuppgiftsbiträdena är etablerade.

Avvikande bestämmelser i annan författning

[K1]6 §  Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

Förhållandet till tryck- och yttrandefriheten

[K1]7 §  EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

[S2]Artiklarna 5–30 och 35–50 i EU:s dataskyddsförordning samt 2–5 kap. denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Tystnadsplikt för dataskyddsombud

[K1]8 §  Den som fullgör uppgift som dataskyddsombud enligt artikel 37 i EU:s dataskyddsförordning får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått kännedom om.

[S2]I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.

2 kap. Rättslig grund för behandling av personuppgifter

Rättslig förpliktelse

[K2]1 §  Personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s data-skyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

  • AD 2021 nr 23:Arbetsdomstolen har funnit att en bestämmelse i tobaksavtalet om att den lokala fackliga organisationen ska erhålla en kopia av anställningsbevis avseende anställningar där anställningstiden överstiger en månad, innebär en skyldighet för arbetsgivaren att lämna ut omaskerade kopior. Arbetsdomstolen har vidare funnit att arbetsgivaren kunnat följa både kollektivavtalsbestämmelsen och dataskyddslagstiftningen (dataskyddsförordningen och dataskyddslagen). En arbetsgivare som av dataskyddsskäl endast lämnat ut kopior där arbetstagarens personuppgifter maskerats, har ålagts att betala allmänt skadestånd för brott mot kollektivavtalet.

Uppgift av allmänt intresse och myndighetsutövning

[K2]2 §  Personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig

  1. för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller
  2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

Enskilda arkiv

[K2]3 §  Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse.

[S2]Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.

Prop. 2017/18:105: Paragrafen innehåller bl.a. ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse utanför arkivlagstiftningens tillämpningsområde. Paragrafen saknar motsvarighet i personuppgiftslagen. Övervägandena finns i avsnitt 14.1.2.

Barns samtycke

[K2]4 §  Vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den som har föräldraansvar för barnet.

Känsliga personuppgifter

[K3]1 §  Med känsliga personuppgifter avses i denna lag sådana uppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning.

Arbetsrätt, social trygghet och socialt skydd

[K3]2 §  Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd.

[S2]Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Viktigt allmänt intresse

[K3]3 §  Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning

  1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
  2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
  3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

[S2]Vid behandling som sker enbart med stöd av första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

[S3]Vid tillämpningen av första stycket 1 ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

[K3]4 §  Regeringen får meddela ytterligare föreskrifter om sådan behandling av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt allmänt intresse.

Hälso- och sjukvård och social omsorg

[K3]5 §  Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för

  1. förebyggande hälso- och sjukvård och yrkesmedicin,
  2. bedömningen av en arbetstagares arbetskapacitet,
  3. medicinska diagnoser,
  4. tillhandahållande av hälso- och sjukvård eller behandling,
  5. social omsorg, eller
  6. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.

[S2]Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt.

Prop. 2017/18:105: I första stycket anges de ändamål för vilka behandling av känsliga personuppgifter får ske. Vad som avses med känsliga personuppgifter anges i 1 §, se kommentaren till den bestämmelsen. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig, jfr kommentaren till 2 kap. 1 §. De tillåtna ändamålen motsvarar de som anges i artikel 9.2 h i dataskyddsförordningen och har en EU-rättslig innebörd. Någon saklig skillnad i förhållande till förordningen ...

Arkiv

[K3]6 §  Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

[S2]Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.

[S3]Den myndighet som regeringen bestämmer får i enskilda fall besluta att sådana personuppgiftsansvariga får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.

Statistik

[K3]7 §  Känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Personuppgifter som rör lagöverträdelser

[K3]8 §  Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter.

[S2]Även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

Prop. 2017/18:105: I första stycket anges att myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen. De personuppgifter som avses i artikel 10 är personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Begreppet därmed sammanhängande säkerhetsåtgärder torde vara likvärdigt med straffprocessuella tvångsmedel.

[K3]9 §  Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning.

[S2]Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas med villkor.

Personnummer och samordningsnummer

[K3]10 §  Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

[K3]11 §  Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.

Prop. 2017/18:105: Paragrafen innehåller ett bemyndigande för regeringen att meddela föreskrifter som tillåter behandling av personnummer och samordningsnummer i andra fall än enligt 10 §. Bestämmelsen motsvarar delvis 50 § c PUL. Övervägandena finns i avsnitt 12.

Bestämmelsen har sin grund i artikel 87 i dataskyddsförordningen. ...

4 kap. Användningsbegränsningar

Arkiv

[K4]1 §  Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

[S2]Första stycket hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.

[S3]Vid tillämpningen av andra stycket ska andra än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i deras verksamhet.

Statistik

[K4]2 §  Personuppgifter som behandlas enbart för statistiska ändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Forskning

[K4]3 §  Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Lag (2018:2002).

5 kap. Begränsningar av vissa rättigheter och skyldigheter

Information och tillgång till personuppgifter

[K5]1 §  Artiklarna 13–15 i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

[S2]Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget i första stycket även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

[K5]2 §  Artikel 15 i EU:s dataskyddsförordning gäller inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

[S2]Undantaget i första stycket gäller inte om personuppgifterna

  1. har lämnats ut till tredje part,
  2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller
  3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

Bemyndigande

[K5]3 §  Regeringen får meddela ytterligare föreskrifter om begränsningar enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning.

Prop. 2017/18:105: Paragrafen innehåller ett bemyndigande för regeringen att meddela föreskrifter med stöd av artiklarna 23, 89.2 och 89.3 i dataskyddsförordningen. Bestämmelsen motsvarar 8 a § PUL. Övervägandena finns i avsnitt 13.

6 kap. Tillsynsmyndighetens handläggning och beslut

Befogenheter

[K6]1 §  De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i EU:s dataskyddsförordning gäller vid tillsyn över att bestämmelserna i denna lag och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs.

[S2]Första stycket innebär inte att tillsynsmyndigheten får ta ut sanktionsavgifter vid andra överträdelser än de som avses i artikel 83 i EU:s dataskyddsförordning.

Sanktionsavgifter

[K6]2 §  Tillsynsmyndigheten får ta ut en sanktionsavgift av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas.

[S2]Sanktionsavgiften ska bestämmas till högst 5 000 000 kronor vid överträdelser som avses i artikel 83.4 i EU:s dataskyddsförordning och till högst 10 000 000 kronor vid överträdelser som avses i artikel 83.5 och 83.6 i förordningen.

[K6]3 §  Tillsynsmyndigheten får ta ut en sanktionsavgift vid överträdelser av artikel 10 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i förordningen tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.

[K6]4 §  En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.

[S2]Ett beslut om sanktionsavgift ska delges.

[K6]5 §  En sanktionsavgift tillfaller staten.

[K6]6 §  En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

[S2]Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

[K6]7 §  Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt EU:s dataskyddsförordning och denna lag.

Prop. 2017/18:105: Paragrafen innehåller ett bemyndigande för regeringen att meddela föreskrifter om sanktionsavgifter enligt dataskyddsförordningen och lagen. Övervägandena finns i avsnitt 16.4.

7 kap. Skadestånd och överklagande

Skadestånd

Överklagande av personuppgiftsansvariga myndigheters beslut

[K7]2 §  Beslut enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.

[S2]Prövningstillstånd krävs vid överklagande till kammarrätten.

[S3]Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.

Överklagande av tillsynsmyndighetens beslut

[K7]3 §  Tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning och enligt 6 kap.2 och 3 §§ denna lag får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas, är tillsynsmyndigheten motpart i domstolen.

[S2]Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av vissa andra beslut

[K7]4 §  Beslut enligt 2 kap. 3 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 9 § andra stycket denna lag får överklagas till allmän förvaltningsdomstol.

[S2]Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

[K7]5 §  Andra beslut enligt EU:s dataskyddsförordning eller denna lag än de som avses i 24 §§ får inte överklagas.

Ändringar och övergångsbestämmelser

Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Övergångsbestämmelse

  1. Denna lag träder i kraft den 25 maj 2018.
  2. Genom lagen upphävs personuppgiftslagen (1998:204).
  3. Har upphävts genom lag (2021:1174).
  4. Har upphävts genom lag (2018:1248).
  5. Den upphävda lagen gäller fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den lagen.
  6. Den upphävda lagen gäller fortfarande för överklagande av beslut som har meddelats med stöd av den lagen.
  7. Bestämmelsen i 49 § den upphävda lagen gäller fortfarande för överträdelser som har skett före ikraftträdandet.
  8. Beslut som har meddelats med stöd av 21 § fjärde stycket den upphävda lagen gäller fortfarande.
Förarbeten
Rskr. 2017/18:224, Prop. 2017/18:105, Bet. 2017/18:KU23
Ikraftträder
2018-05-25

Lag (2018:1248) om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Övergångsbestämmelse

Denna lag träder i kraft den 1 april 2019 i fråga om 1 kap. 4 § och i övrigt den 1 augusti 2018.
Förarbeten
Rskr. 2017/18:392, Prop. 2017/18:232, Bet. 2017/18:JuU37
Omfattning
upph. p 4 ikrafttr.- och övergångsbest.; ändr. 1 kap. 4 §
Ikraftträder
2018-08-01

Lag (2018:2002) om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Förarbeten
Rskr. 2018/19:44, Prop. 2017/18:298, Bet. 2018/19:UbU5
Omfattning
ny 4 kap. 3 §, rubr. närmast före 4 kap. 3 §
Ikraftträder
2019-01-01

Lag (2019:1186) om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Förarbeten
Rskr. 2019/20:44, Prop. 2018/19:163, Bet. 2019/20:JuU9
Omfattning
ändr. 1 kap. 3 §
Ikraftträder
2020-01-01

Lag (2020:152) om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Förarbeten
Rskr. 2019/20:180, Prop. 2019/20:51, Bet. 2019/20:FöU3
Omfattning
ändr. p 3 ikrafttr.- och övergångsbest.
Ikraftträder
2020-05-01

Lag (2021:1174) om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Förarbeten
Rskr. 2021/22:45, Prop. 2020/21:224, Bet. 2021/22:FöU2
Omfattning
upph. p 3 ikrafttr.- och övergångsbest.; ändr. 1 kap. 3 §
Ikraftträder
2022-01-01

Lag (2022:444) om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Förarbeten
Rskr. 2021/22:285, Bet. 2021/22:KU19
Omfattning
ändr. 1 kap. 4 §
Ikraftträder
2022-07-01