Dir. 2016:15

Dataskyddsförordningen

Kommittédirektiv

Dataskyddsförordningen

Beslut vid regeringssammanträde den 25 februari 2016

Sammanfattning

Inom kort förväntas EU besluta om en förordning som utgör en ny generell reglering för personuppgiftsbehandling inom EU. En särskild utredare ska föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som denna förordning ger anledning till. Syftet är att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling på plats när förordningen börjar tillämpas.

Utredaren ska bl.a.

  • undersöka vilka kompletterande nationella föreskrifter, exempelvis processuella bestämmelser, som förordningen kräver,
  • analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner som Sverige behöver eller bör införa,
  • överväga vilka kompletterande bestämmelser om t.ex. behandling av känsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen,
  • undersöka om det finns behov av generella bestämmelser för personuppgiftsbehandling utanför EU-rättens tillämpningsområde, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

I uppdraget ingår inte att överväga eller lämna förslag till grundlagsändringar.

Uppdraget ska redovisas senast den 12 maj 2017.

Den nuvarande och den nya regleringen

Dataskyddsdirektivet – den nuvarande EU-regleringen

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Personuppgiftslagen – den nuvarande svenska regleringen

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i s.k. särskilda registerförfattningar som främst reglerar hur olika myndigheter får behandla personuppgifter, t.ex. studiestöds-

datalagen (2009:287) och polisdatalagen (2010:361). Men det finns också sådana bestämmelser i regleringar som primärt har andra syften än att reglera personuppgiftsbehandling, exempelvis i vapenlagen (1996:67) och kreditupplysningslagen (1973:1173).

Personuppgiftslagen kompletteras också av bestämmelser i personuppgiftsförordningen (1998:1191), förkortad PUF, som bl.a. pekar ut Datainspektionen som tillsynsmyndighet enligt lagen. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bl.a. i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.

Regeringsformen och kravet på lagreglering för viss personuppgiftsbehandling

Sedan den 1 januari 2011 anges i 2 kap. 6 § andra stycket regeringsformen att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § första stycket regeringsformen under vissa förutsättningar göras genom lag. Regleringen i regeringsformen innebär att viss personuppgiftsbehandling måste regleras i lag.

Dataskyddsförordningen – den nya regleringen

Inom kort förväntas Europaparlamentet och rådet fatta beslut om förordningen om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), nedan dataskyddsförordningen.1 Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta det nuvarande dataskyddsdirektivet. Förordningen ska börja tillämpas två år räknat från den tjugonde dagen efter

1 Kommittédirektiven utgår från den version av förslaget som finns i dok 5455/16 av den 28 januari 2016.

publicering i Europeiska unionens officiella tidning. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innebär även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Det finns t.ex. ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning.

Från dataskyddsförordningens tillämpningsområde undantas behandling av personuppgifter som utgör ett led i en verksamhet som a) inte omfattas av unionsrätten, b) utförs av medlemsstaterna när de utför aktiviteter som omfattas av den gemensamma utrikes- och säkerhetspolitiken, c) utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med dennes hushåll eller d) utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inkluderande skydd mot samt förebyggande av hot mot allmän säkerhet. Förordningen gäller inte heller för behandling av personuppgifter som utförs av EU:s institutioner, organ och byråer. Sådan behandling regleras i stället i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.

Samtidigt med dataskyddsförordningen förväntas Europaparlamentet och rådet anta direktivet om skyddet av enskilda vid behöriga myndigheters behandling av

personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter, nedan ”det nya dataskyddsdirektivet”. Direktivet innehåller särregler för sådan personuppgiftsbehandling som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inkluderande skydd mot samt förebyggande av hot mot allmän säkerhet. Direktivet ska ersätta det gällande dataskyddsrambeslutet (2008/977/RIF) som reglerar utbyte av personuppgifter mellan medlemsstaterna inom denna sektor. Direktivets tillämpningsområde omfattar till skillnad från rambeslutet emellertid även rent nationell personuppgiftsbehandling på området för brottsbekämpning, brottmålshantering och straffverkställighet. Direktivet ska ha genomförts i svensk rätt senast två år efter att det har trätt i kraft.

Vid vissa myndigheter, bl.a. de allmänna domstolarna, Kriminalvåden och Kustbevakningen, kommer personuppgiftsbehandlingen att omfattas av antingen dataskyddsförordningen eller det nya dataskyddsdirektivet beroende på vilket syfte uppgifterna behandlas för. Det gäller även Polismyndigheten som vid sidan av den brottsbekämpande verksamheten t.ex. sköter handräckning och handlägger olika typer av tillståndsärenden. Myndigheter vars kärnverksamhet huvudsakligen omfattas av det nya dataskyddsdirektivets tillämpningsområde kommer också att tillämpa dataskyddsförordningen när de exempelvis överför uppgifter för ändamål utanför direktivets tillämpningsområde.

Vid sidan av den EU-rättsliga dataskyddsregleringen finns Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen. För svensk del har konventionen, som har ett generellt tillämpningsområde, främst betydelse för personuppgiftsbehandling utanför EU-regleringens tillämpningsområde. En översyn av konventionen pågår inom Europarådet.

Uppdraget

Allmänna riktlinjer för uppdraget

Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. Detta innebär att personuppgiftslagen och personuppgiftsförordningen, samt Datainspektionens föreskrifter i anslutning till denna reglering, måste upphävas. Det finns samtidigt ett behov av att ta fram en nationell reglering som på ett generellt plan kompletterar förordningen. En sådan kompletterande reglering behöver bl.a. innehålla bestämmelser om sanktioner och om tillsynsmyndigheten. Dataskyddsförordningen lämnar dessutom utrymme för kompletterande nationella bestämmelser med ytterligare krav eller undantag i en rad andra frågor.

Med anledning av detta finns det behov av en utredning. Det övergripande uppdraget för utredaren bör vara att föreslå författningsbestämmelser som på ett generellt plan kompletterar dataskyddsförordningen. Vid utförandet av uppdraget är det viktigt att – i den mån utrymme finns på nationell nivå – hitta lämpliga avvägningar mellan skyddet för den personliga integriteten samt myndigheters, företags och enskildas behov av att kunna behandla personuppgifter. Förslagen ska utformas så att företagens administrativa börda inte ökar mer än nödvändigt. En lag som kompletteras av bestämmelser i en förordning samt en viss föreskriftsrätt för tillsynsmyndigheten kan vara en lämplig utgångspunkt för den aktuella kompletterande regleringen.

Utredaren ska därför

  • lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen, och
  • lämna förslag till författningsbestämmelser som på ett generellt plan kompletterar dataskyddsförordningen.

I utredarens uppdrag ingår inte att överväga eller lämna förslag till grundlagsändringar. Uppdraget omfattar inte heller att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.

Behovet av särskilt författningsstöd för behandling av personuppgifter i den offentliga sektorn

De statliga och kommunala myndigheternas personuppgiftsbehandling kommer huvudsakligen att ske med stöd av de rättsliga grunder som kommer till uttryck i artikel 6.1 c och e i dataskyddsförordningen. Myndigheternas behandling av personuppgifter är alltså i normalfallet antingen nödvändig för att fullgöra en rättslig skyldighet eller utföra en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning. Detsamma gäller sådan behandling av personuppgifter som sker hos andra än myndigheter vid utförandet av förvaltningsuppgifter, exempelvis bilprovningsföretag eller fristående skolor. Det kan emellertid också gälla för andra verksamheter där arbetsuppgifterna mot bakgrund av verksamhetens syfte bedöms ha ett allmänt intresse.

I dag sker behandling av detta slag till viss del med stöd av reglering i särskilda registerförfattningar men i stor utsträckning enbart med stöd av den generella regleringen i personuppgiftslagen (10 § b), c) och d) PUL). Enligt artikel 6.3 i förordningen måste dock grunden för behandling av personuppgifter som bygger på någon av de rättsliga grunderna i artikel 6.1 c och e fastställas i unionsrätten eller den nationella rätten. Detta innebär att det inte kommer vara möjligt att endast stödja sig på den generella regleringen i förordningen vid sådan behandling. Det behöver därför analyseras vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering och om det bör införas generella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personuppgifter. Informationshanteringsutredningen föreslår en sådan reglering i 8 § i förslaget till myndighetsdatalag (SOU 2015:39). Enligt förslaget får en myndighet behandla personuppgifter om det är nödvändigt för att den ska kunna utföra sin verksamhet. Informationshanteringsutredningens förslag med beaktande av de synpunkter som framförts vid remissbehandlingen är en lämplig utgångspunkt för utredarens analys.

Utredaren ska därför

  • analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

Sanktioner

Dataskyddsförordningen innehåller bestämmelser om att tillsynsmyndigheterna ska besluta om administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. I artikel 79 finns en detaljerad reglering av vilka faktorer som ska beaktas vid beslut om att utfärda sanktionsavgifter och bestämmande av avgiftens storlek. Kraven på ett effektivt rättsmedel i artikel 79.4 bör för svensk del tillgodoses genom att tillsynsmyndighetens beslut om sanktionsavgifter får överklagas till allmän förvaltningsdomstol.

Enligt artikel 79.3b får varje medlemsstat reglera om och i vilken utsträckning det ska vara möjligt att besluta om sanktionsavgifter mot myndigheter och offentliga organ i den medlemsstaten. Utredaren bör därför analysera om, och i så fall i vilken utsträckning, det bör vara möjligt att besluta om sanktionsavgifter inom den offentliga sektorn. Här bör en jämförelse göras med vad som gäller för t.ex. viten i allmänhet, miljösanktionsavgifter och sanktionsavgifter på arbetsmiljöområdet.

Enligt artikel 79b ska medlemsstaterna fastställa regler om sanktioner för överträdelser av förordningen, särskilt för sådana överträdelser som inte är föremål för administrativa sanktionsavgifter. Medlemsstaterna ska också vidta alla åtgärder som är nödvändiga för att säkerställa att dessa bestämmelser tillämpas och underrätta kommissionen om de bestämmelser som antas. Det finns därför behov av att analysera och ta ställning till i vilken utsträckning överträdelser av förordningen bör bli föremål för sådana ytterligare sanktioner i Sverige. Det bör också analyseras om, och i så fall i vilken utsträckning, dessa sanktioner bör vara tillämpliga inom den offentliga sektorn.

I detta sammanhang kan det också behöva analyseras hur en reglering med både administrativa sanktionsavgifter och andra sanktioner förhåller sig till det s.k. dubbelprövningsförbudet i artikel 4.1 i Europakonventionens sjunde tilläggsprotokoll och artikel 50 i EU:s stadga om de grundläggande rättigheterna.

Utredaren ska därför

  • analysera vilka kompletterande bestämmelser om administrativa sanktionsavgifter och andra sanktioner som Sverige behöver eller bör införa,
  • bedöma om, och i så fall i vilken utsträckning, det bör vara möjligt att besluta om administrativa sanktionsavgifter och andra sanktioner mot myndigheter och offentliga organ,
  • analysera om ett system som kan leda till både administrativa sanktionsavgifter och andra sanktioner kan ge upphov till problematik som rör dubbelprövning samt ta ställning till hur detta i så fall bör hanteras, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

Tillsynsmyndigheten

Dataskyddsförordningen föreskriver i likhet med det nuvarande dataskyddsdirektivet att medlemsstaterna ska utse en eller flera självständiga tillsynsmyndigheter som ska ansvara för att övervaka tillämpningen av regleringen. Förordningen innehåller emellertid en betydligt mer detaljerad reglering av tillsynsmyndighetens roll, organisation och uppgifter än vad det nuvarande regelverket gör.

Flertalet av dataskyddsförordningens bestämmelser om tillsynsmyndigheten gäller direkt och medför inga krav på eller behov av kompletterande nationella bestämmelser. Vissa frågor är i och för sig reglerade genom förordningen men tillåter ytterligare nationell reglering. Detta gäller exempelvis regleringen om tillsynsmyndighetens befogenheter i artikel 53. Det är vidare upp till medlemsstaterna att inom vissa angivna ramar reglera bl.a. tillsynsmyndighetens organisation och utnämningen respektive avsättandet av dess medlemmar, samt se till att myndigheten har tillräckliga resurser.

Dataskyddsförordningen innehåller en utförlig reglering som förpliktar de nationella tillsynsmyndigheterna att samarbeta med och assistera andra medlemsstaters tillsynsmyndigheter (artiklarna 54a och 55). Detta innebär bl.a. skyldigheter att samråda och utbyta information. Tillsynsmyndigheterna ges också möjligheter att genomföra gemensamma insatser och utredningar där personal från olika medlemsstaters tillsynsmyndigheter deltar (artikel 56). Enligt artikel 56.3 får en tillsynsmyndighet, i överensstämmelse med nationell lag, också överföra befogenheter till tillsynsmyndigheter i andra medlemsstater som är involverade i en gemensam insats.

Regeringen beslutade i december 2014 att ge en särskild utredare i uppdrag att utreda om skyddet för den personliga integriteten kan stärkas genom att samla tillsynen över personuppgiftsbehandling hos en myndighet. Utredningen, som antagit namnet Utredningen om tillsynen över den personliga integriteten, ska redovisa sitt uppdrag senast den 30 september 2016. I utredningens uppdrag ingår bl.a. att lämna de förslag som behövs för att myndigheten ska kunna fullgöra de uppgifter som den nu aktuella EU-reformen medför.

Vilken eller vilka myndigheter som ska ha till uppgift att ansvara för tillsynen på dataskyddsförordningens tillämpningsområde (artikel 46.1), anpassningsfrågor som rör myndighetens organisation och utnämningen respektive avsättandet av medlemmar (artiklarna 47–49 i relevanta delar), nationell representation i Europiska dataskyddsstyrelsen (artikel 46.2) samt resurser (artikel 47.5) och anknytande frågor får anses ligga inom ramen för uppdraget till Utredningen om tillsynen över den personliga integriteten. I den utredningens uppdrag får det också bl.a. anses ingå att överväga om tillsynsmyndigheten bör ges andra befogenheter än de som anges i dataskyddsförordningen (artikel 53.4) samt att analysera vilket utrymme och behov det finns av regler om exempelvis myndighetens uppgifter (artikel 52) i instruktionen till myndigheten. Dessa frågor ingår därför inte i utredarens uppdrag.

I utredarens uppdrag ingår däremot att närmare analysera möjligheten att överföra utredningsbefogenheter till tillsynsmyndigheter i andra medlemsstater.

Utredaren ska därför

  • bedöma om det bör införas bestämmelser som möjliggör en överföring av den svenska tillsynsmyndighetens befogenheter till en annan medlemsstats tillsynsmyndighet, och
  • lämna lämpliga författningsförslag.

Vissa processuella frågor

Av artikel 53.2 i förordningen framgår att utövandet av tillsynsmyndighetens befogenheter ska vara föremål för lämpliga skyddsåtgärder, bl.a. effektiva rättsmedel. Enligt artikel 53.1 db ska tillsynsmyndigheten ha befogenhet att få tillgång till en personuppgiftsansvarigs eller ett personuppgiftsbiträdes lokaler och utrustning i överensstämmelse med unionsrätten eller nationell processrätt. Vidare anges i artikel 53.3 att varje medlemsstat ska föreskriva att tillsynsmyndigheten ska ha möjlighet att fästa judiciella myndigheters uppmärksamhet på överträdelser av förordningen och, när det är lämpligt, inleda eller på annat sätt delta i rättsliga processer för att se till att förordningen efterlevs.

Den registrerade ska, enligt dataskyddsförordningen, ha en rätt att framföra klagomål hos tillsynsmyndigheten (artikel 73.1). Vidare ska fysiska och juridiska personer ha en rätt till ett effektivt rättsmedel mot tillsynsmyndighetens rättsligt bindande beslut som rör dem (artikel 74.1). Detta torde för svensk del bäst tillgodoses genom en rätt för enskilda att överklaga tillsynsmyndighetens beslut till allmän förvaltningsdomstol.

Enligt artikel 74.2 ska registrerade som framfört ett klagomål till tillsynsmyndigheten ha en rätt till ett effektivt rättsmedel om myndigheten inte hanterar klagomålet eller informerar den registrerade om utgången inom tre månader. Detta torde innebära att den registrerade under vissa förhållanden ska ha möjlighet att föra en dröjsmålstalan mot tillsynsmyndigheten.

En registrerad ska vidare ha en rätt till ett effektivt rättsmedel direkt mot en personuppgiftsansvarig eller ett personuppgiftsbiträde om den registrerade anser sig ha fått sina rättigheter enligt förordningen åsidosatta (artikel 75). I enlighet med artikel 76.1 i dataskyddsförordningen ska den registrerade också ha rätt att ge mandat till en integritetsskyddsorganisation att företräda honom eller henne gentemot tillsynsmyndigheten och processa i domstol. Det bör för svenskt vidkommande inte vara aktuellt att utnyttja möjligheten enligt förordningen att ge en sådan organisation rätt att föra talan även utan den registrerades mandat (artikel 76.2).

Om en behörig nationell domstol har information om att en process som rör samma sak redan pågår i en domstol i en annan medlemsstat får domstolen under vissa förutsättningar vilandeförklara målet (artikel 76a.1 och 76a.2). En domstol i första instans kan också efter ansökan av någon av parterna förklara sig sakna behörighet om den andra medlemsstatens domstol har behörighet och lagen i den medlemsstaten tillåter en förening av målen (artikel 76a.2a).

I dataskyddsförordningen finns vidare bestämmelser om skadestånd (artikel 77). En enskild som har drabbats av materiell eller immateriell skada genom att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen har under vissa närmare angivna förutsättningar rätt till ersättning av den personuppgiftsansvarige eller dennes personuppgiftsbiträde. Förordningen reglerar i vilken medlemsstat en talan om skadestånd ska väckas medan nationell rätt styr vilken domstol i den medlemsstaten som är behörig (artikel 75.2 och artikel 77.6).

Behovet av kompletterande nationella bestämmelser i de ovanstående frågorna behöver bli föremål för närmare analys.

Utredaren ska därför

  • analysera i vilken utsträckning det behövs kompletterande bestämmelser om utövandet av tillsynsmyndighetens befogenheter,
  • analysera i vilken utsträckning det behövs kompletterande bestämmelser om de rättsmedel för enskilda som regleras i dataskyddsförordningen,
  • analysera om det behövs kompletterande bestämmelser om sådana integritetsskyddsorganisationer som regleras i förordningen,
  • analysera om det behövs kompletterande bestämmelser om vilandeförklaring eller skadestånd, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

Sekretessfrågor

Enligt 32 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller sekretess hos Datainspektionen, bl.a. i ärenden om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen. Sekretessen gäller för uppgifter om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. I 11 kap. 1 § första stycket OSL finns dessutom vissa bestämmelser om överföring av sekretess i tillsynsverksamhet.

I förarbetena till personuppgiftslagen framhålls att motsvarigheten till 32 kap. 1 § OSL i den nu upphävda sekretesslagen (1980:100) vid behov skulle tolkas EG-konformt i förhållande till kravet på tystnadsplikt för tillsynsmyndighetens medlemmar och personal i dataskyddsdirektivets artikel 28.7 (propositionen Personuppgiftslag, prop. 1997/98:44 s. 146). I artikel 49.2 i dataskyddsförordningen finns ett motsvarande krav på tystnadsplikt och det behöver analyseras om denna artikel innebär behov av att anpassa de nuvarande sekretessbestämmelserna på något sätt.

Enligt artikel 36.4 ska ett uppgiftsskyddsombud vara bundet av sekretess eller tystnadsplikt rörande utförandet av hans eller hennes uppgifter i enlighet med unionsrätten eller nationell rätt. Någon motsvarande reglering finns inte i det nuvarande dataskyddsdirektivet. Det behöver utredas vilken reglering som behöver införas i svensk rätt med anledning av denna artikel.

Enligt 21 kap. 7 § OSL gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Eftersom

personuppgiftslagen ska upphävas behöver bestämmelsen ses över. Även 10 kap. 27 § och 40 kap. 5 § OSL innehåller hänvisningar till personuppgiftslagen och behöver anpassas till den nya regleringen.

Utredaren ska därför

  • analysera om nuvarande sekretessbestämmelser behöver anpassas med anledning av förordningens reglering om tystnadsplikt hos tillsynsmyndigheten,
  • analysera vilken reglering som behöver införas i svensk rätt med anledning av förordningens bestämmelser om sekretess och tystnadsplikt för personuppgiftsombud,
  • överväga hur de bestämmelser i offentlighets- och sekretesslagen som innehåller hänvisningar till personuppgiftslagen bör anpassas till den nya regleringen, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

Nationella begränsningar av vissa skyldigheter och rättigheter

Genom artikel 21.1 i dataskyddsförordningen ges medlemsstaterna möjlighet att begränsa omfattningen av vissa av de skyldigheter och rättigheter som förordningen föreskriver. Detta gäller bl.a. informationsskyldigheten (artiklarna 14–15) och rätten för den registrerade att motsätta sig behandling (artikel 19). Sådana begränsningar får göras endast om de är förenliga med det väsentliga innehållet i de grundläggande fri- och rättigheterna samt är en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle till skydd för vissa angivna intressen, såsom nationell säkerhet, försvaret, allmän säkerhet eller förebyggande, undersökning eller avslöjande av brott. I artikel 21.2 finns vidare krav på vad nationella bestämmelser med denna typ av begränsningar ska innehålla.

I det nuvarande dataskyddsdirektivet finns motsvarande reglering om undantag i artikel 13. Undantag med stöd av den bestämmelsen tas ofta in i sektorsspecifik lagstiftning. I 8 a § PUL finns emellertid ett generellt bemyndigande för regeringen att meddela föreskrifter om undantag av detta slag. I förarbetena till paragrafen uttalas att det kan uppkomma situationer som

inte har varit möjliga att förutse vid utarbetandet av särlagstiftning och att det därför är befogat att regeringen har möjlighet att föreskriva om undantag, t.ex. i avvaktan på att särlagstiftning hinner utarbetas eller ändras (propositionen Översyn av personuppgiftslagen, prop. 2005/06:173 s. 56). I 27 § PUL finns vidare ett särskilt undantag till informationsskyldigheten vid sekretess och tystnadsplikt. I utredningens uppdrag bör ingå att överväga om det finns behov av bestämmelser av detta slag i den generella regleringen som ska komplettera förordningen.

Utredaren ska därför

  • överväga om det bör införas bestämmelser om undantag till vissa av förordningens skyldigheter och rättigheter i den kompletterande regleringen, och
  • lämna lämpliga författningsförslag.

Kompletterande regler om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser

Dataskyddsförordningen innehåller i likhet med dataskyddsdirektivet och personuppgiftslagen ett principiellt förbud mot att behandla känsliga personuppgifter (artikel 9.1). Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer eller uppgifter som rör hälsa eller sexualliv. Förbudet är förenat med ett antal viktiga undantag (artikel 9.2 – 9.5). För att vissa av undantagen ska vara tillämpliga krävs att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller i nationell lagstiftning.

Möjligheten att göra undantag från förbudet kommer i svensk rätt i stor utsträckning att utnyttjas genom sektorsspecifik lagstiftning. I dag finns dock vissa undantagsbestämmelser i 15–19 §§ PUL. Som exempel kan nämnas att känsliga personuppgifter, enligt 19 § andra stycket PUL, får behandlas för forskningsändamål om behandlingen

godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Det finns i dag också en möjlighet för regeringen eller den myndighet som regeringen bestämmer att enligt 20 § PUL meddela föreskrifter om ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. Med stöd av detta bemyndigande har regeringen föreskrivit att myndigheter får behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats in i ett ärende eller är nödvändiga för handläggningen av det (8 § PUF).

Utgångspunkten bör vara att det även i fortsättningen kommer att behövas vissa bestämmelser om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i personuppgiftslagen och personuppgiftsförordningen. Det bör därför ingå i uppdraget att analysera hur sådana bestämmelser kan utformas i den kompletterande regleringen.

Behandling av personuppgifter om lagöverträdelser och liknande uppgifter som i dag regleras i 21 § PUL kommer genom artikel 9a i dataskyddsförordningen även fortsättningsvis att vara föremål för särskilda begränsningar. Som huvudregel får sådana uppgifter endast behandlas under kontroll av en officiell myndighet eller om det är tillåtet i unionsrätten eller i nationell rätt, som i så fall ska innehålla adekvata regler till skydd för den registrerades fri- och rättigheter.

I likhet med vad som gäller för känsliga personuppgifter får personuppgifter om lagöverträdelser och liknande uppgifter, enligt 21 § andra stycket PUL, behandlas för forskningsändamål om behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor. Även här har regeringen eller den myndighet regeringen bestämmer möjlighet att meddela föreskrifter om ytterligare undantag. Till detta kommer en möjlighet för regeringen att besluta om undantag i enskilda fall, som också kan överlåtas åt tillsynsmyndigheten.

I uppdraget bör ingå att analysera i vilken utsträckning det bör införas regler i den kompletterande regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet. En lämplig

utgångspunkt för en sådan analys är den befintliga regleringen om behandling för forskningsändamål och den delegerade föreskriftsrätten i personuppgiftslagen.

Utredaren ska därför

  • överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen,
  • analysera i vilken utsträckning det bör införas regler i den kompletterande regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en officiell myndighet, och
  • lämna lämpliga författningsförslag.

Kompletterande regler om behandling av personnummer eller samordningsnummer

I 22 § PUL finns särskilda bestämmelser om när personnummer eller samordningsnummer får behandlas. Bestämmelsen är ett genomförande av artikel 8.7 i dataskyddsdirektivet där det föreskrivs att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.

Även dataskyddsförordningen ger medlemsstaterna möjlighet att bestämma särskilda villkor för när ett nationellt identifieringsnummer eller liknande identifieringsuppgift får behandlas (artikel 80b). Enligt förordningen ska sådana villkor innebära att identifieringsuppgifterna bara får användas om det vidtas lämpliga åtgärder till skydd för den registrerades fri- och rättigheter i enlighet med förordningen. I uppdraget bör det ingå att överväga om det även fortsättningsvis bör finnas begränsande villkor för behandling av personnummer eller samordningsnummer.

Utredaren ska därför

  • överväga om särskilda villkor bör gälla för behandling av personnummer eller samordningsnummer, och
  • lämna lämpliga författningsförslag.

Krav på förhandstillstånd för vissa särskilt integritetskänsliga behandlingar?

Enligt dataskyddsförordningen krävs att den personuppgiftsansvarige gör en dataskyddskonsekvensanalys före vissa typer av högriskbehandlingar av personuppgifter (artikel 33). Om en sådan konsekvensanalys indikerar att den tänkta behandlingen skulle innebära en hög risk, ska den personuppgiftsansvarige under vissa förutsättningar och på ett visst sätt samråda med tillsynsmyndigheten (artikel 34.2–34.6). Enligt artikel 34.7a har medlemsstaterna dessutom möjlighet att införa krav på förhandstillstånd för sådana behandlingar som utförs i det allmännas intresse, inklusive behandling av uppgifter som rör socialt skydd och folkhälsa.

Enligt 41 § PUL har regeringen i dag möjlighet att meddela föreskrifter om att behandlingar som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhandskontroll till tillsynsmyndigheten. Det har tidigare funnits vissa sådana bestämmelser i personuppgiftsförordningen men dessa har upphävts. Viss behandling som regleras i särskild ordning, t.ex. Skatteverkets behandling av personuppgifter i samband med brottsutredningar, omfattas däremot av bestämmelser om förhandskontroll. I sammanhanget kan också huvudregeln i kameraövervakningslagen (2013:460) nämnas som innebär att det krävs tillstånd från länsstyrelsen för att en övervakningskamera ska få vara uppsatt så att den kan riktas mot en plats dit allmänheten har tillträde.

Det bör mot denna bakgrund övervägas om regeringen också fortsättningsvis ska ha en generell möjlighet att meddela föreskrifter i frågan om krav på förhandstillstånd eller om sådana föreskrifter endast bör tas in i sådan sektorsspecifik lagstiftning som ligger utanför utredningens uppdrag.

Utredaren ska därför

  • överväga om regeringen även fortsättningsvis ska ges en generell rätt att meddela föreskrifter om krav på förhandstillstånd i vissa fall, och
  • lämna lämpliga författningsförslag.

Barns samtycke i vissa fall

Enligt artikel 6.1 a i dataskyddsförordningen kan den registrerades samtycke utgöra en rättslig grund för behandling av personuppgifter. För att ett samtycke ska vara giltigt när informationssamhällets tjänster erbjuds direkt till ett barn under 16 år krävs, enligt artikel 8.1 i förordningen, vårdnadshavarens samtycke eller dennes godkännande av barnets samtycke. Den personuppgiftsansvarige ska i dessa fall göra rimliga ansträngningar för att kontrollera att samtycke ges eller godkänns av vårdnadshavaren. Medlemsstaterna har möjlighet att sänka den aktuella åldersgränsen från 16 år till lägst 13 år, vilket motsvarar den åldersgräns som vissa tjänsteleverantörer använder sig av. De aktuella bestämmelserna i förordningen ska inte påverka den allmänna kontraktsrätten i medlemsstaterna, såsom regler om giltighet, ingående eller verkan av ett avtal med ett barn (artikel 8.2).

I personuppgiftslagen saknas motsvarande särbestämmelser för barns samtycke. En bedömning av om den underåriges samtycke ska anses giltigt får som huvudregel därmed göras från fall till fall. För ett giltigt samtycke krävs att den registrerade är kapabel att förstå innebörden av samtycket. Enligt Datainspektionen kan en tumregel vara att den som är 15 år normalt anses kapabel att ta ställning i samtyckesfrågan. Det kan dock finnas andra rättsliga hinder mot vissa typer av personuppgiftsbehandlingar, exempelvis när det gäller att skicka direktreklam till barn.

Utredaren ska mot denna bakgrund

  • analysera för- och nackdelar med att sätta en lägre åldersgräns än förordningens 16 år när det gäller krav på vårdnadshavares samtycke eller dennes godkännande av barnets samtycke, och
  • lämna lämpliga författningsförslag.

Hur ska certifieringsorgan godkännas?

Dataskyddsförordningen innehåller liksom nuvarande reglering bestämmelser om att bl.a. medlemsstaterna och tillsynsmyndigheterna ska uppmuntra till att sammanslutningar av

personuppgiftsansvariga tar fram uppförandekoder för personuppgiftsbehandlingen i en viss bransch eller liknande (artikel 38). Syftet är att bidra till en korrekt tillämpning av förordningen. Utkast till uppförandekoder ska kunna ges in till tillsynsmyndigheten för att därefter godkännas och publiceras enligt en viss procedur. Tillsynsmyndigheterna har också möjlighet att godkänna särskilda organ som, vid sidan av tillsynsmyndigheten, ska övervaka att de godkända uppförandekoderna följs (artikel 38a).

Enligt artikel 39 i dataskyddsförordningen ska medlemsstaterna, Europiska dataskyddsstyrelsen och kommissionen, framförallt på unionsnivå, även uppmuntra till att det införs certifieringsmekanismer och märkningar i syfte att personuppgiftsansvariga och personuppgiftsbiträden ska kunna visa att de uppfyller kraven i förordningen. Sådan certifiering kan antingen utföras av särskilda certifieringsorgan eller av tillsynsmyndigheten. Dataskyddsförordningen kräver att medlemsstaterna inför bestämmelser för hur sådana särskilda certifieringsorgan ska godkännas (artikel 39a). Ett sådant organ kan antingen godkännas av tillsynsmyndigheten eller genom ackreditering enligt Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter.

Utredaren ska därför

  • bedöma hur certifieringsorgan ska godkännas, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

Förhållandet till yttrande- och informationsfriheten och offentlighetsprincipen

Enligt beaktandesats 72 i det nuvarande dataskyddsdirektivet är det möjligt att vid genomförandet av direktivet ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. Vidare ska medlemsstaterna, enligt artikel 9 i direktivet, med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, besluta om undantag och avvikelser från

delar av direktivet om det är nödvändigt för att förena rätten till privatlivet med reglerna om yttrandefriheten.

Vid genomförandet av dataskyddsdirektivet gjorde regeringen bedömningen att tryckfrihetsförordningen och yttrandefrihetsgrundlagen inte behövde ändras (prop. 1997/98:44 s. 50). I 7 § första stycket PUL finns en upplysningsbestämmelse om att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. I 8 § första stycket PUL upplyses vidare att bestämmelserna i lagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. När det gäller förhållandet till yttrande- och informationsfriheten utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde görs i 7 § andra stycket PUL undantag från flertalet av lagens bestämmelser vid personuppgiftsbehandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Undantaget för journalistiska ändamål är inte begränsat till journalister eller traditionella massmedier. Även en privatperson kan anses behandla personuppgifter för sådana ändamål, t.ex. på en blogg.

I dataskyddsförordningen finns bestämmelser som ger ett tydligt utrymme för nationell reglering om förhållandet mellan, å ena sidan, skyddet för personuppgifter och, å andra sidan, yttrande- och informationsfriheten och offentlighetsprincipen.

Enligt artikel 80.1 i dataskyddsförordningen ska medlemsstaternas nationella lagstiftning förena rätten till skydd av personuppgifter i enlighet med förordningen med rätten till yttrande- och informationsfrihet. Detta ska omfatta personuppgiftsbehandling för journalistiska och akademiska ändamål samt för konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 80.2 föreskriva om undantag eller avvikelser från stora delar av förordningens bestämmelser om det behövs för att förena rätten till skydd för personuppgifter med yttrande- och informationsfriheten. Medlemsstaterna ska enligt artikel 80.3

underrätta kommissionen om de undantagsbestämmelser som de har antagit med stöd av denna reglering.

Enligt artikel 80a i dataskyddsförordningen får personuppgifter i allmänna handlingar hos en myndighet eller vissa typer av organ lämnas ut i enlighet med unionsrätten eller nationell rätt i syfte att förena allmänhetens tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen.

Enligt regeringens bedömning innebär denna reglering att det blir tydligare än i det nuvarande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Som konstateras under avsnittet om de allmänna riktlinjerna för uppdraget ingår det därför inte i utredarens uppdrag att överväga eller lämna förslag till grundlagsändringar.

Utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde torde det även fortsättningsvis finnas behov av bestämmelser som – liksom 7 § andra stycket PUL – balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten. Det bör därför ingå i uppdraget att analysera hur sådana regler bör utformas.

Utredaren ska därför

  • analysera hur bestämmelser som balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde bör utformas, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

Myndigheters bevarande av allmänna handlingar och behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål

I personuppgiftslagen finns vissa centrala bestämmelser som rör lagens förhållande till myndigheters arkivering av allmänna

handlingar och sådan personuppgiftsbehandling som sker för historiska, statistiska eller vetenskapliga ändamål.

Av 8 § andra stycket PUL framgår att lagens bestämmelser inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I förarbetena till personuppgiftslagen bedömdes att myndigheternas bevarande av allmänna handlingar är tillåtet enligt de grundläggande bestämmelserna i dataskyddsdirektivet, så länge de inte innehåller känsliga personuppgifter. Det bedömdes däremot att ett särskilt undantag krävdes för att myndigheterna också skulle kunna bevara känsliga personuppgifter. Det aktuella undantaget i 8 § andra stycket PUL omfattar också den insamling och det långtidsbevarande av personuppgifter som sker hos de särskilda arkivmyndigheterna (prop. 1997/98:44 s. 4748).

I 9 § PUL – där de grundläggande kraven på behandlingen av personuppgifter regleras – finns vissa bestämmelser som särskilt rör behandling för historiska, statistiska eller vetenskapliga ändamål. Här framgår exempelvis att en behandling av personuppgifter för sådana ändamål inte ska anses oförenlig med insamlingsändamålen (andra stycket). Det finns vidare regler om hur länge personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål (tredje stycket) och begränsningar av när personuppgifter som behandlas för sådana ändamål får användas för att vidta åtgärder i fråga om den registrerade (fjärde stycket). Begränsningen i 9 § fjärde stycket PUL är en sådan lämplig skyddsåtgärd som krävs enligt artikel 6 i dataskyddsdirektivet. Enligt 8 § andra stycket PUL gäller dock inte denna begränsning för myndigheters användning av personuppgifter i allmänna handlingar. Detta undantag bygger på att det för sådana personuppgifter finns andra lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv (prop. 1997/98:44 s. 64).

I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för arkivändamål i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Enligt artikel

5.1 b gäller exempelvis att behandling av personuppgifter för sådana ändamål, i enlighet med artikel 83.1, inte ska anses oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e följer att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål i allmänhetens intresse eller för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Den förlängda bevarandetiden gäller i den mån som lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 83.1 för att skydda de registrerades fri- och rättigheter. Det finns också särskilda bestämmelser som innebär undantag från förbudet att behandla känsliga personuppgifter för aktuella ändamål i artikel 9.2 i, vilket har berörts i ett tidigare avsnitt.

I artikel 19.2aa i dataskyddsförordningen föreskrivs vidare att den registrerade ska ha rätt att motsätta sig behandling för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål av skäl som rör hans eller hennes personliga situation, om inte behandlingen är nödvändig för utförandet av en arbetsuppgift av allmänt intresse. Genom artikel 83.2 och 83.3 ges medlemsstaterna möjlighet att föreskriva om undantag från denna och vissa andra av rättigheterna i förordningen. Detta får emellertid bara göras i den mån det kan antas att de aktuella rättigheterna skulle göra det omöjligt eller allvarligt försvåra uppnåendet av de särskilda ändamålen med behandlingen och sådana undantag är nödvändiga för att ändamålen ska kunna uppfyllas.

De generella kraven på skyddsåtgärder i artikel 83.1 och särskilda bestämmelser om exempelvis lagringstid och gallring aktualiseras i stor utsträckning i sektorsspecifik lagstiftning. Detsamma gäller behovet av undantag med stöd av artikel 83.2 och 82.3 i förordningen. Det är emellertid av central betydelse att myndigheternas bevarande av allmänna handlingar inte hindras av dataskyddsregleringen och att myndigheternas möjlighet att använda uppgifter i dessa handlingar säkerställs. På samma sätt behöver en ändamålsenlig behandling av personuppgifter för annan arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller

för statistiska ändamål garanteras, samtidigt som skyddet för den registrerades fri- och rättigheter beaktas. Utgångspunkten bör därför vara att vissa grundläggande bestämmelser, liknande de som i dag finns i personuppgiftslagen, behöver tas in i den generella regleringen som ska komplettera dataskyddsförordningen.

Utredaren ska därför

  • analysera vilka kompletterande bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen,
  • analysera vilka övriga kompletterande bestämmelser om behandling av personuppgifter för arkivering i allmänhetens intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen, och
  • lämna lämpliga författningsförslag.

Personuppgiftsbehandling utanför EU-rättens tillämpningsområde

Personuppgiftslagen är generellt tillämplig vilket innebär att den också gäller för sådan behandling som faller utanför det nuvarande dataskyddsdirektivets tillämpningsområde, t.ex. statens verksamhet på straffrättens område, allmän säkerhet och försvar. Anledningen till att man valde denna lösning var bl.a. att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Vidare ansågs den valda lösningen garantera att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning (prop. 1997/98:44 s. 4041).

Dataskyddsförordningens tillämpningsområde motsvarar huvudsakligen det nuvarande dataskyddsdirektivets. Det nya dataskyddsdirektivets tillämpningsområde omfattar dock – till skillnad från det nuvarande dataskyddsrambeslutet – myndigheters rent nationella personuppgiftsbehandling för

brottsbekämpande och liknande ändamål. Detta innebär att den nya EU-rättsliga dataskyddsregleringen kommer att täcka ett något större område. Det kommer emellertid fortfarande att finnas ett område som inte täcks av EU-regleringen.

Inom detta område har Sverige i dag vissa särskilda regelverk för behandling av personuppgifter, t.ex. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Av 1 § andra stycket i respektive lag framgår att personuppgiftslagen inte gäller vid personuppgiftsbehandling enligt den aktuella lagen. För Försvarsmaktens och Försvarets radioanstalts övriga verksamheter där personuppgiftsbehandling kan förekomma, t.ex. i samband med myndigheternas interna och administrativa åtgärder, tillämpas till största del personuppgiftslagen.

Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga är ett exempel på lagstiftning som gäller utöver personuppgiftslagen. Det innebär att personuppgiftslagens regler är tillämpliga i den utsträckning det inte finns avvikande bestämmelser i lagen om behandling av personuppgifter om totalförsvarspliktiga.

I utredarens uppdrag ingår inte att se över de lagar på försvarsområdet som nu har nämnts eller andra sektorsspecifika särregleringar. Det kan emellertid förekomma personuppgiftsbehandling utanför EU-rättens tillämpningsområde som inte omfattas av någon sektorsspecifik reglering. Utredaren bör undersöka denna fråga närmare och överväga om det finns behov av en generell reglering för sådan personuppgiftsbehandling. En sådan reglering skulle exempelvis kunna innebära att bestämmelserna i förordningen i relevanta delar görs tillämpliga inom detta område.

Utredaren ska därför

  • undersöka om det finns personuppgiftsbehandling utanför

EU-rättens tillämpningsområde som inte omfattas av särreglering,

  • överväga om det behöver införas generella bestämmelser för sådan personuppgiftsbehandling, och
  • lämna sådana författningsförslag som är behövliga och lämpliga.

Förhållandet till sektorsspecifik reglering och behovet av övergångsbestämmelser

Personuppgiftslagen är subsidiär, vilket innebär att lagen inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning (2 § PUL). Sådana bestämmelser finns bl.a. i särskilda registerförfattningar. Frågan om förhållandet till sektorsspecifik reglering kan aktualiseras även när det gäller den kompletterande reglering som utredaren ska lägga fram förslag till. Så kan exempelvis vara fallet när det gäller eventuella förslag till bestämmelser om stöd för behandling av personuppgifter i den offentliga sektorn och till generell reglering för personuppgiftsbehandling utanför EU-rättens tillämpningsområde. I uppdraget ingår därför att analysera om det finns behov att reglera förhållandet mellan den kompletterande regleringen och sektorsspecifika föreskrifter.

Personuppgiftslagen måste upphävas redan i samband med att dataskyddsförordningen börjar tillämpas. Det kan därför finnas behov av övergångsbestämmelser som i första hand innebär att lagen under en övergångsperiod fortsätter att gälla för sådan personuppgiftsbehandling som inte täcks av förordningens tillämpningsområde.

Utredaren ska därför

  • analysera hur bestämmelserna i det kompletterande generella regelverket bör förhålla sig till bestämmelser om behandling av personuppgifter i annan lag eller förordning,
  • lämna behövliga och lämpliga författningsförslag, och
  • lämna förslag till lämpliga övergångsbestämmelser.

Övriga frågor

Utredaren är oförhindrad att inom de ramar som anges i de allmänna riktlinjerna ta upp och belysa även andra frågeställningar som är relevanta för uppdraget. Om utredaren

kommer fram till att det krävs eller är lämpligt med kompletterande generella nationella bestämmelser i andra delar än de som ska utredas särskilt, ska sådana föreslås.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska särskilt ange konsekvenser för företagen i form av kostnader och ökade administrativa bördor. Utredaren ska också redovisa förslagens konsekvenser för den personliga integriteten.

Samråd och redovisning av uppdraget

Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och inom EU. Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning av regelverket eftersträvas. Utredaren ska därför följa och i lämplig omfattning samråda med övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk. Till sådana utredningar hör bl.a. utredningen om tillsynen över den personliga integriteten (Ju 2015:02) och utredningen om kameraövervakningslagen - brottsbekämpning och integritetsskydd (Ju 2015:14), samt den kommande utredningen om genomförandet av det nya dataskyddsdirektivet. Samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndigheten och arkivering. Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också ha en dialog med och inhämta upplysningar från myndigheter, näringslivet och andra som kan vara berörda av aktuella frågor.

Uppdraget ska redovisas senast den 12 maj 2017.

(Justitiedepartementet)