Ds 2017:19

Anpassningar av de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna till dataskyddsförordningen

Sammanfattning

I april 2016 antogs EU:s allmänna dataskyddsförordning. Genom förordningen införs enhetliga, generella krav på behandling av personuppgifter. Förordningen ersätter dataskyddsdirektivet, som i Sverige har genomförts huvudsakligen genom personuppgiftslagen (1998:204).

I denna promemoria övervägs och föreslås författningsändringar på de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga områdena i anledning av dataskyddsförordningen. Det rör sig om bestämmelser om bl.a. personuppgiftsbiträdens hantering av personuppgifter, registerutdrag, rättelse, begränsning av behandling, invändningar mot behandling och skadestånd. Vidare föreslås att hänvisningar till personuppgiftslagen ska tas bort och i vissa fall ersättas av hänvisningar till dataskyddsförordningen.

Författningsändringarna föreslås träda i kraft den 25 maj 2018, vilket är samma dag som dataskyddsförordningen ska börja tillämpas.

1. Promemorians författningsförslag

1.1. Förslag till lag om ändring i jordabalken

Härigenom föreskrivs i fråga om jordabalken

dels att 19 kap. 22 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 19 kap. 25 a och 39 d §§,

av följande lydelse,

dels att det närmast före 19 kap. 25 a § ska införas en ny rubrik

av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

19 kap.

22 §

1

Om fastighetsregistrets inskrivningsdel innehåller någon uppenbar oriktighet som beror på inskrivningsmyndighetens eller någon annans skrivfel, på något liknande förbiseende eller på ett tekniskt fel, ska inskrivningsmyndigheten rätta uppgiften.

Om fastighetsregistrets inskrivningsdel innehåller någon uppenbar oriktighet som beror på inskrivningsmyndighetens eller någon annans skrivfel, på något liknande förbiseende eller på ett tekniskt fel, ska inskrivningsmyndigheten rätta uppgiften. I fråga om person-

uppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska

1 Senaste lydelse 2008:153.

Promemorians författningsförslag Ds 2017:19

personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Om åtgärden kan bli till skada för en ägare eller en innehavare av en panträtt eller en innehavare av en rättighet för vilken inskrivning är beviljad eller sökt, ska det inbördes företrädet mellan de berörda förvärven bestämmas efter vad som är skäligt.

I fall som avses i första stycket ska 26 § förvaltningslagen (1986:223) inte tillämpas.

Begränsning av behandling

25 a §

För fastighetsregistrets inskrivningsdel gäller rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

39 d §

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.2. Förslag till lag om ändring i lagen (1955:227) om inskrivning av rätt till luftfartyg

Härigenom föreskrivs i fråga om lagen (1955:227) om inskrivning av rätt till luftfartyg

dels att 1 a, 48 och 51 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 48 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 a §

1

För inskrivning enligt denna lag ska ett register föras med hjälp av automatiserad behandling, benämnt inskrivningsregistret för luftfartyg. Det ska ge offentlighet åt den information som ingår i registret.

Regeringen meddelar föreskrifter om inskrivningsregistrets innehåll, närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar

enligt personuppgiftslagen (1998:204) .

Regeringen kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om inskriv-

ningsregistrets innehåll, närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter för registrering och om expeditionsavgifter för bevis om inskrivningsåtgärd.

48 §

2

Om inskrivningsmyndigheten finner att en införing i inskrivningsregistret för luftfartyg innehåller en uppenbar oriktighet till följd av myndighetens eller någon annans skrivfel eller liknande förbiseende, skall införingen rättas.

Om inskrivningsmyndigheten finner att en införing i inskrivningsregistret för luftfartyg innehåller en uppenbar oriktighet till följd av myndighetens eller någon annans skrivfel eller liknande förbiseende, ska införingen rättas.

1 Senaste lydelse 2010:1553. 2 Senaste lydelse 2004:82.

Promemorians författningsförslag Ds 2017:19

Detta gäller också i fråga om en uppenbar oriktighet i registret till följd av tekniskt fel.

Kan rättelse bli till skada för

ägare eller annan rättighetshavare, skall det inbördes företrädet mellan de berörda rättigheterna bestämmas efter vad som är skäligt. Innan rättelse sker, skall inskrivningsmyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 53 §

skall ges tillfälle att yttra sig.

Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt. Meddelas inte beslut samma dag som ärendet tas upp, skall en anteckning om ärendet göras i registret.

Beslut om rättelse skall meddelas genom införing i registret. Skälet för beslutet skall anteck-

Detta gäller också i fråga om en uppenbar oriktighet i registret till följd av tekniskt fel.

I fråga om personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerades eller andras rättigheter eller friheter. Om rättelsen kan bli till

skada för ägare eller annan rättighetshavare, ska det inbördes företrädet mellan de berörda rättigheterna bestämmas efter vad som är skäligt. Innan rättelse sker,

ska

inskrivningsmyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 53 § ska ges tillfälle att yttra sig. Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt. Meddelas inte beslut samma dag som ärendet tas upp, ska en anteckning om ärendet göras i registret.

Beslut om rättelse ska meddelas genom införing i registret. Skälet för beslutet ska antecknas

Ds 2017:19 Promemorians författningsförslag

nas i dagboken eller i akten. I stället för bevis eller handling som har utfärdats i enlighet med den tidigare införingen, skall en ny sådan handling utfärdas. Den tidigare handlingen skall återkrävas, göras obrukbar och behållas av inskrivningsmyndigheten. Den som har handlingen är skyldig att ge in den för detta ändamål. I ett föreläggande att fullgöra en sådan skyldighet får vite sättas ut.

i dagboken eller i akten. I stället för bevis eller handling som har utfärdats i enlighet med den tidigare införingen, ska en ny sådan handling utfärdas. Den tidigare handlingen ska återkrävas, göras obrukbar och behållas av inskrivningsmyndigheten. Den som har handlingen är skyldig att lämna in den för detta ändamål. I ett föreläggande att fullgöra en sådan skyldighet får vite sättas ut.

Ett beslut om rättelse får överklagas även av den myndighet som avses i 53 §.

Denna paragraf gäller i stället för 28 § personuppgiftslagen (1998:204) .

48 a §

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

51 §

Om någon lider förlust på grund av att ett förvärv ansetts vara gällande enligt 2 d §, har denne rätt till ersättning av staten för sin förlust.

Om någon lider förlust till följd av ett tekniskt fel i inskrivningsregistret för luftfartyg eller i en anordning som hos

Senaste lydelse 2004:82.

Promemorians författningsförslag Ds 2017:19

inskrivningsmyndigheten eller någon annan statlig myndighet är ansluten till registret, har han eller hon rätt till ersättning av staten.

Har den skadelidande med-

verkat till förlusten genom att utan skälig anledning underlåta att vidta åtgärder för att bevara sin rätt eller på annat sätt genom eget vållande, skall ersättningen efter vad som är skäligt sättas ned eller helt falla bort.

Om personuppgifter i inskrivningsregistret för luftfartyg har behandlats i strid med denna lag eller andra föreskrifter om registret, är också 48 § personuppgiftslagen (1998:204) tillämplig.

Om den skadelidande har

medverkat till förlusten genom att utan skälig anledning underlåta att vidta åtgärder för att bevara sin rätt eller på annat sätt genom eget vållande, ska ersättningen efter vad som är skäligt sättas ned eller helt falla bort.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.3. Förslag till lag om ändring i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk

Härigenom föreskrivs att 7 kap.53 c, 53 d och 53 g §§ lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 kap.

53 c §

1

Om sökanden visar sannolika skäl för att någon har gjort ett intrång eller gjort sig skyldig till en överträdelse som avses i 53 §, får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget eller överträdelsen gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av upphovsmannen eller upphovsmannens rättsinnehavare eller den som på grund av upplåtelse har rätt att utnyttja verket. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång eller en överträdelse som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget eller gjort sig skyldig till eller medverkat till överträdelsen,

2. i kommersiell skala har förfogat över en vara som intrånget eller överträdelsen gäller,

3. i kommersiell skala har använt en tjänst som intrånget eller överträdelsen gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget eller överträdelsen, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget eller överträdelsen gäller.

1 Senaste lydelse 2009:109.

Promemorians författningsförslag Ds 2017:19

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Bestämmelserna i första

tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång eller överträdelse som avses i 53 §.

Första–tredje

styckena

tillämpas också i fråga om försök eller förberedelse till intrång eller överträdelse som avses i 53 §.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

53 d §

2

Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

2 Senaste lydelse 2009:109. Ändringen innebär att tredje stycket tas bort.

Ds 2017:19 Promemorians författningsförslag

Skyldigheten att lämna information enligt 53 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

I personuppgiftslagen (1998:204) finns bestämmelser som begränsar hur mottagna personuppgifter får behandlas.

53 g §

3

Trots förbudet i 21 §

personuppgiftslagen (1998:204) får personuppgifter om lagöver-

trädelser som innefattar brott enligt 53 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Personuppgifter om lagöverträdelser som innefattar brott enligt 53 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Denna lag träder i kraft den 25 maj 2018.

3 Senaste lydelse 2009:109.

Promemorians författningsförslag Ds 2017:19

1.4. Förslag till lag om ändring i patentlagen (1967:837)

Härigenom föreskrivs att 9 kap.57 c, 57 d och 57 g §§patentlagen (1967:837) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

57 c §

1

Om sökanden visar sannolika skäl för att någon har gjort ett patentintrång får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av patenthavaren eller den som på grund av licens har rätt att utnyttja uppfinningen. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

1 Senaste lydelse 2009:111.

Ds 2017:19 Promemorians författningsförslag

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Bestämmelserna i första

tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång.

Första–tredje

styckena

tillämpas också i fråga om försök eller förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

57 d §

Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 57 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

I personuppgiftslagen (1998:204) finns bestämmelser som begränsar hur mottagna

Senaste lydelse 2009:111. Ändringen innebär att tredje stycket tas bort.

Promemorians författningsförslag Ds 2017:19

personuppgifter får behandlas.

57 g §

Trots förbudet i 21 § personuppgiftslagen (1998:204) får

personuppgifter om lagöverträdelser som innefattar brott enligt 57 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Personuppgifter om lagöverträdelser som innefattar brott enligt 57 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Denna lag träder i kraft den 25 maj 2018.

Senaste lydelse 2009:111.

Ds 2017:19 Promemorians författningsförslag

1.5. Förslag till lag om ändring i mönsterskyddslagen (1970:485)

Härigenom föreskrivs att 35 c, 35 d och 35 g §§mönsterskyddslagen (1970:485)ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

35 c §

1

Om sökanden visar sannolika skäl för att någon har gjort ett mönsterintrång får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av mönsterhavaren eller den som på grund av licens har rätt att utnyttja mönstret. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

1 Senaste lydelse 2009:112.

Promemorians författningsförslag Ds 2017:19

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Bestämmelserna i första

tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång.

Första–tredje

styckena

tillämpas också i fråga om försök eller förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

35 d §

1

Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 35 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

I personuppgiftslagen (1998:204) finns bestämmelser som begränsar hur mottagna

1 Senaste lydelse 2009:112. Ändringen innebär att tredje stycket tas bort.

Ds 2017:19 Promemorians författningsförslag

personuppgifter får behandlas.

35 g §

Trots förbudet i 21 § personuppgiftslagen (1998:204) får

personuppgifter om lagöverträdelser som innefattar brott enligt 35 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Personuppgifter om lagöverträdelser som innefattar brott enligt 35 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Denna lag träder i kraft den 25 maj 2018.

Senaste lydelse 2009:112.

Promemorians författningsförslag Ds 2017:19

1.6. Förslag till lag om ändring i fastighetsbildningslagen (1970:988)

Härigenom föreskrivs i fråga om fastighetsbildningslagen (1970:988)

dels att 19 kap. 4 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 19 kap. 4 a och 5 a §§,

av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

19 kap.

4 §

1

Om en uppgift i fastighetsregistrets allmänna del är uppenbart oriktig, skall uppgiften rättas, om det kan ske utan någon skada för fastighetsägare eller rättighetshavare. Är det

uppenbart att någon sådan skada inte kan uppkomma, skall rättelse ske omedelbart. I annat fall skall fastighetsägare eller rättighetshavare få tillfälle att yttra sig om han är känd.

Om en uppgift i fastighetsregistrets allmänna del är uppenbart oriktig, ska uppgiften rättas, om det kan ske utan någon skada för fastighetsägare eller rättighetshavare. I fråga om

personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Om det är uppenbart att någon skada enligt första stycket inte kan uppkomma, ska rättelse

1 Senaste lydelse 2000:233.

Ds 2017:19 Promemorians författningsförslag

ske omedelbart. I annat fall ska berörda fastighetsägare och rättighetshavare få tillfälle att yttra sig om de är kända.

Om det är uppenbart att en i registret redovisad fastighet inte finns, får fastigheten uteslutas ur registret med tillämpning av första stycket, även om redovisningen inte är oriktig enligt de föreskrifter som gäller för fastighetsregistrets allmänna del.

En uppenbar oriktighet som beror på ett tekniskt fel i fastighetsregistrets allmänna del får rättas även om rättelsen kan medföra skada för fastighetsägare eller rättighetshavare.

Tillfälle att yttra sig skall lämnas, förutom

fastighetsägare och

rättighetshavare, en myndighet som avses i 18 kap. 5 § första stycket jordabalken.

Om det är uppenbart att en i registret redovisad fastighet inte finns, får fastigheten uteslutas ur registret med tillämpning av första och andra styckena, även om redovisningen inte är oriktig enligt de föreskrifter som gäller för fastighetsregistrets allmänna del.

En uppenbar oriktighet som beror på ett tekniskt fel i fastighetsregistrets allmänna del får rättas även om rättelsen kan medföra skada för fastighetsägare eller rättighetshavare.

Förutom fastighetsägare och

rättighetshavare ska en myndighet som avses i 18 kap. 5 § första stycket jordabalken

tillfälle att yttra sig.

4 a §

För fastighetsregistrets allmänna del gäller rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

5 a §

I Europaparlamentets och rå-

Promemorians författningsförslag Ds 2017:19

dets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.7. Förslag till lag om ändring i firmalagen (1974:156)

Härigenom föreskrivs att 18 b, 18 c och 18 f §§firmalagen (1974:156)ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

18 b §

1

Om sökanden visar sannolika skäl för att någon har gjort ett firmaintrång får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av den som har lidit intrånget. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

1 Senaste lydelse 2009:113.

Promemorians författningsförslag Ds 2017:19

Bestämmelserna i första

tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång.

Första–tredje

styckena

tillämpas också i fråga om försök eller förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

18 c §

Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 18 b § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

I personuppgiftslagen (1998:204) finns bestämmelser som begränsar hur mottagna personuppgifter får behandlas.

Senaste lydelse 2009:113. Ändringen innebär att tredje stycket tas bort.

Ds 2017:19 Promemorians författningsförslag

18 f §

3

Trots förbudet i 21 § personuppgiftslagen (1998:204) får

personuppgifter om lagöverträdelser som innefattar brott enligt 18 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Personuppgifter om lagöverträdelser som innefattar brott enligt 18 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Denna lag träder i kraft den 25 maj 2018.

3 Senaste lydelse 2009:113.

Promemorians författningsförslag Ds 2017:19

1.8. Förslag till lag om ändring i lagen (1987:667) om ekonomiska föreningar

Härigenom föreskrivs att 3 kap. 9 § lagen (1987:667) om ekonomiska föreningar ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

9 §

1

I fråga om behandling av personuppgifter i en medlemsförteckning finns bestämmelser i personuppgiftslagen (1998:204). Förenin-

gen är personuppgiftsansvarig för den behandling av personuppgifter som förandet av medlemsförteckningen innebär.

Bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter i en medlemsförteckning och vid annan behandling av personuppgifter enligt denna lag.

Föreningen är personuppgiftsansvarig för den behandling av personuppgifter som förandet av medlemsförteckningen innebär.

Denna lag träder i kraft den 25 maj 2018.

1 Senaste lydelse 2016:108. Ändringen innebär bl.a. att andra stycket tas bort.

Ds 2017:19 Promemorians författningsförslag

1.9. Förslag till lag om ändring i lagen (1992:1685) om skydd för kretsmönster för halvledarprodukter

Härigenom föreskrivs att 9 c, 9 d och 9 g §§ lagen (1992:1685) om skydd för kretsmönster för halvledarprodukter ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 c §

1

Om sökanden visar sannolika skäl för att någon har gjort ett intrång i ett kretsmönster får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av innehavaren av kretsmönstret eller den som på grund av licens har rätt att utnyttja kretsmönstret. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

1 Senaste lydelse 2009:114.

Promemorians författningsförslag Ds 2017:19

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Bestämmelserna i första

tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång.

Första–tredje

styckena

tillämpas också i fråga om försök eller förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

9 d §

2

Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 9 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

I personuppgiftslagen (1998:204) finns bestämmelser

2 Senaste lydelse 2009:114. Ändringen innebär att tredje stycket tas bort.

Ds 2017:19 Promemorians författningsförslag

som begränsar hur mottagna personuppgifter får behandlas.

9 g §

3

Trots

förbudet

i 21 §

personuppgiftslagen (1998:204) får personuppgifter om lagöver-

trädelser som innefattar brott enligt 9 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Personuppgifter om lagöverträdelser som innefattar brott enligt 9 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Denna lag träder i kraft den 25 maj 2018.

3 Senaste lydelse 2009:114.

Promemorians författningsförslag Ds 2017:19

1.10. Förslag till lag om ändring i lagen (1994:448) om pantbrevsregister

Härigenom föreskrivs i fråga om lagen (1994:448) om pantbrevsregister

dels att 12 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 12 a och 22 §§, av

följande lydelse,

dels att det närmast före 12 a § ska införas en ny rubrik av

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §

1

En uppgift i pantbrevsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av att den statliga lantmäterimyndigheten eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs

ska ges tillfälle att yttra sig.

En uppgift i pantbrevsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av att den statliga lantmäterimyndigheten eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. I fråga om person-

uppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den regist-

1 Senaste lydelse 2008:546.

Ds 2017:19 Promemorians författningsförslag

rerade eller andras rättigheter eller friheter.

Den vars rätt berörs ska ges tillfälle att yttra sig.

Begränsning av behandling

12 a §

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

22 §

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Denna lag träder i kraft den 25 maj 2018.

Promemorians författningsförslag Ds 2017:19

1.11. Förslag till lag om ändring i sjölagen (1994:1009)

Härigenom föreskrivs i fråga om sjölagen (1994:1009)

dels att 1 kap. 2 a §, 2 kap. 29 § och 22 kap. 4 § ska ha följande

lydelse,

dels att det ska införas en ny paragraf, 2 kap. 29 a §, av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

2 a §

1

Fartygsregistret ska ge offentlighet åt den information som ingår i registret.

Regeringen meddelar föreskrifter om fartygsregistrets innehåll och närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar

enligt personuppgiftslagen (1998:204) .

Regeringen kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om fartygs-

registrets innehåll och närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter för registrering och om expeditionsavgifter för bevis om registrerings- eller inskrivningsåtgärd.

2 kap.

29 §

2

Om registermyndigheten finner att en införing i fartygsregistrets skepps- eller skeppsbyggnadsdel innehåller en uppenbar oriktighet till följd av myndighetens eller någon annans skrivfel eller liknande

Om registermyndigheten finner att en införing i fartygsregistrets skepps- eller skeppsbyggnadsdel innehåller en uppenbar oriktighet till följd av myndighetens eller någon annans skrivfel eller liknande

1 Senaste lydelse 2010:1551. 2 Senaste lydelse 2001:384.

Ds 2017:19 Promemorians författningsförslag

förbiseende, skall införingen rättas. Detta gäller också i fråga om en uppenbar oriktighet i nämnda registerdelar till följd av tekniskt fel. Kan rättelse bli till skada för ägare eller för innehavare av pantbrev på grund av inteckning, skall det inbördes företrädet mellan berörda förvärv bestämmas efter vad som är skäligt. Innan rättelse sker, skall registermyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 22 kap. 6 § skall ges tillfälle att yttra sig. Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt.

förbiseende, ska införingen rättas. Detta gäller också i fråga om en uppenbar oriktighet i nämnda registerdelar till följd av tekniskt fel. I fråga om person-

uppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerades eller andras rättigheter eller friheter. Kan

rättelse bli till skada för ägare eller för innehavare av pantbrev på grund av inteckning, ska det inbördes företrädet mellan berörda förvärv bestämmas efter vad som är skäligt. Innan rättelse sker, ska registermyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 22 kap. 6 § ska ges tillfälle att yttra sig. Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt.

Beslut om rättelse skall meddelas genom införing i fartygsregistrets skepps- eller skeppsbyggnadsdel. Skälen för

Beslut om rättelse ska meddelas genom införing i fartygsregistrets skepps- eller skeppsbyggnadsdel. Skälen för

Promemorians författningsförslag Ds 2017:19

beslutet skall antecknas i dagboken eller i akten. I stället för bevis eller handling som har utfärdats i enlighet med den tidigare införingen, skall en ny sådan handling utfärdas. Den tidigare handlingen skall krävas tillbaka, göras obrukbar och behållas av registermyndigheten. Den som har handlingen är skyldig att ge in den för detta ändamål. I ett föreläggande att fullgöra en sådan skyldighet får vite sättas ut.

beslutet ska antecknas i dagboken eller i akten. I stället för bevis eller handling som har utfärdats i enlighet med den tidigare införingen, ska en ny sådan handling utfärdas. Den tidigare handlingen ska krävas tillbaka, göras obrukbar och behållas av registermyndigheten. Den som har handlingen är skyldig att ge in den för detta ändamål. I ett föreläggande att fullgöra en sådan skyldighet får vite sättas ut.

Ett beslut om rättelse får överklagas även av den myndighet som avses i 22 kap. 6 §.

Denna paragraf gäller i stället för 28 § personuppgiftslagen (1998:204) i fråga om personuppgifter i fartygsregistrets skepps- eller skeppsbyggnadsdel.

29 a §

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Ds 2017:19 Promemorians författningsförslag

22 kap.

4 §

3

Kommer till följd av 2 kap. 10 § eller 3 kap. 9 § ett förvärv eller en panträttsupplåtelse som avses där att gälla mot den rätte ägaren eller mot någon till vars förmån rådighetsinskränkning gäller enligt de paragraferna, har denne rätt till ersättning av staten för sin förlust på grund av förvärvet eller upplåtelsen.

Om någon lider förlust till följd av ett tekniskt fel i fartygsregistrets skepps- eller skeppsbyggnadsdel eller i en anordning som hos registermyndigheten eller någon annan statlig myndighet är ansluten till registret, har han rätt till ersättning av staten.

Har den skadelidande med-

verkat till förlusten genom att utan skälig anledning underlåta att vidta åtgärder för att bevara sin rätt eller har han på annat sätt medverkat till förlusten genom eget vållande, skall ersättningen efter vad som är skäligt sättas ned eller helt falla bort.

Om personuppgifter i fartygsregistret har behandlats i strid med denna lag eller andra föreskrifter om registret, är också

48 § personuppgiftslagen (1998:204) tillämplig.

Om den skadelidande har

medverkat till förlusten genom att utan skälig anledning underlåta att vidta åtgärder för att bevara sin rätt eller har han på annat sätt medverkat till förlusten genom eget vållande, ska ersättningen efter vad som är skäligt sättas ned eller helt falla bort.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

3 Senaste lydelse 2001:384.

Promemorians författningsförslag Ds 2017:19

1.12. Förslag till lag om ändring i växtförädlarrättslagen (1997:306)

Härigenom föreskrivs att 9 kap.5 a, 5 b och 5 e §§växtförädlarrättslagen (1997:306) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

5 a §

1

Om sökanden visar sannolika skäl för att någon har gjort ett intrång i en växtförädlarrätt får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av innehavaren av växtförädlarrätten eller den som på grund av licens har rätt att utnyttja växtsorten. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

1 Senaste lydelse 2009:115.

Ds 2017:19 Promemorians författningsförslag

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Bestämmelserna i första

tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång.

Första–tredje

styckena

tillämpas också i fråga om försök eller förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

5 b §

2

Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 9 kap. 5 a § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

I personuppgiftslagen (1998:204) finns bestämmelser som begränsar hur mottagna

2 Senaste lydelse 2009:115. Ändringen innebär att tredje stycket tas bort.

Promemorians författningsförslag Ds 2017:19

personuppgifter får behandlas.

5 e §

3

Trots

förbudet

i 21 §

personuppgiftslagen (1998:204) får personuppgifter om lagöver-

trädelser som innefattar brott enligt 9 kap. 1 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Personuppgifter om lagöverträdelser som innefattar brott enligt 9 kap. 1 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Denna lag träder i kraft den 25 maj 2018.

3 Senaste lydelse 2009:115.

Ds 2017:19 Promemorians författningsförslag

1.13. Förslag till lag om ändring i lagen (2000:224) om fastighetsregister

Härigenom föreskrivs i fråga om lagen (2000:224) om fastighetsregister

dels att 1, 2, 5, 13 och 14 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 15 §, av följande lydelse,

dels att det närmast före 15 § ska införas en ny rubrik av följande

lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

1

För de ändamål som anges i 2 § skall med hjälp av automatiserad behandling föras ett register benämnt fastighetsregistret. Detta skall ge offentlighet åt den information som ingår i registret (fastighetsanknuten information).

Med personuppgifter avses i denna lag detsamma som i personuppgiftslagen (1998:204) .

För de ändamål som anges i 2 § ska med hjälp av automatiserad behandling föras ett register benämnt fastighetsregistret. Detta ska ge offentlighet åt den information som ingår i registret (fastighetsanknuten information).

2 §

2

I fråga om personuppgifter ska registret ha till ändamål att tillhandahålla uppgifter för

1. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och

a) som avser sådan egendom som registreras i fastighetsregistret,

b) som för att kunna utföras förutsätter tillgång till fastighetsanknuten information, eller

c) som avser fullgörande av underrättelseskyldighet,

1 Ändringen innebär bl.a. att andra stycket tas bort. 2 Senaste lydelse 2010:1772.

Promemorians författningsförslag Ds 2017:19

2. omsättning av sådan egendom som registreras i fastighetsregistret,

3. kreditgivning, försäkringsgivning eller annan allmän eller enskild verksamhet där fastighetsanknuten information utgör underlag för prövningar eller beslut,

4. fastighetsförvaltning, byggande eller annan liknande åtgärd,

5. aktualisering, komplettering eller kontroll av fastighetsanknuten information som finns i kund- eller medlemsregister eller liknande register,

6. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-

uppgiftslagen (1998:204), eller

6. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2

och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

eller

7. fullgörande av informationsansvar eller samarbete enligt lagen (2010:1767) om geografisk miljöinformation, om en personuppgift utgörs av en fastighets registerbeteckning eller adress.

5 §

3

Den statliga lantmäterimyndigheten är personuppgiftsansvarig enligt personuppgifts-

lagen (1998:204) för fastighets-

registret.

Den statliga lantmäterimyndigheten är personuppgiftsansvarig för den behandling av

personuppgifter som sker i

fastighetsregistret.

13 §

Om personuppgifter i fastighetsregistret har behandlats i strid

I Europaparlamentets och rådets förordning (EU) 2016/679

3 Senaste lydelse 2008:548.

Ds 2017:19 Promemorians författningsförslag

med 2 eller 7–10 § denna lag eller föreskrifter som har meddelats med stöd av denna lag, tillämpas 48 § personuppgiftslagen (1998:204) . Ersättningsskyldigheten får dock inte jämkas, om felet har berott på någon som enligt lag eller annan författning har haft rätt att föra in eller på annat sätt behandla uppgifter i registret.

finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

I 19 kap. fastighetsbildningslagen (1970:988) och i 18 och 19 kap. jordabalken finns ytterligare bestämmelser om skadestånd på grund av fel i fastighetsregistrets allmänna del och i dess inskrivningsdel.

14 §

I fråga om rättelse av personuppgifter i fastighetsregistrets allmänna del och i dess inskrivningsdel tillämpas19 kap. fastighetsbildningslagen (1970:988) och 19 kap. jordabalkeni stället

för 28 § personuppgiftslagen (1998:204).

I fråga om rättelse av uppgifter i fastighetsregistrets

övriga delar tillämpas 28 §

personuppgiftslagen. Frågor om

sådan rättelse skall prövas av annan än den personuppgiftsansvarige, om regeringen för viss del av registret eller för vissa uppgifter har föreskrivit det.

I fråga om rättelse av personuppgifter i fastighetsregistrets allmänna del och i dess inskrivningsdel finns bestämmelser i 19 kap. fastighetsbildningslagen (1970:988) och 19 kap. jordabalken.

Bestämmelser om rättelse av personuppgifter i fastighetsregist-

rets övriga delar finns i Europa-

parlamentets och rådets förordning (EU) 2016/679. Frågor om

sådan rättelse får prövas även av

någon annan än den person-

uppgiftsansvarige, om regeringen för en viss del av registret eller för vissa uppgifter har föreskrivit det.

Begränsning av behandling

15 §

I fråga om begränsning av be-

Promemorians författningsförslag Ds 2017:19

handling av personuppgifter i fastighetsregistrets allmänna del och i dess inskrivningsdel finns bestämmelser i 19 kap. fastighetsbildningslagen (1970:988) och 19 kap. jordabalken .

Bestämmelser om begränsning av behandling av personuppgifter i fastighetsregistrets övriga delar finns i Europaparlamentets och rådets förordning (EU) 2016/679.

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.14. Förslag till lag om ändring i revisorslagen (2001:883)

Härigenom föreskrivs att 26 a och 27 c §§revisorslagen (2001:883) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

26 a §

1

Ett registrerat revisionsbolag ska ha ändamålsenliga rutiner för att hantera anställdas rapportering av misstänkta överträdelser av de bestämmelser som gäller för bolagets verksamhet.

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter inom ramen för sådan rapportering som avses i första stycket.

27 c §

2

Revisorsinspektionen får på begäran lämna ut uppgifter till en behörig myndighet i ett tredjeland, om utlämnandet är förenligt med personuppgifts-

lagen (1998:204) och om

Revisorsinspektionen får på begäran lämna ut uppgifter till en behörig myndighet i ett tredjeland, om utlämnandet är förenligt med Europaparlamen-

tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

och om

1. uppgifterna har samband med revision av ett företag som har sitt säte inom EES och som har emitterat värdepapper upptagna till

1 Senaste lydelse 2016:430. Ändringen innebär att andra stycket tas bort. 2 Senaste lydelse 2016:1339.

Promemorians författningsförslag Ds 2017:19

handel i tredjelandet eller ingår i en koncern, för vilken koncernredovisning upprättas i tredjelandet,

2. Europeiska kommissionen har beslutat att myndigheten uppfyller tillräckliga krav i enlighet med artikel 47.3 i Europaparlamentets och rådets direktiv 2006/43/EG av den 17 maj 2006 om lagstadgad revision av årsredovisning, årsbokslut och koncernredovisning och om ändring av rådets direktiv 78/660/EEG och 83/349/EEG samt om upphävande av rådets direktiv 84/253/EEG, och

3. Revisorsinspektionen har träffat ett samarbetsavtal med myndigheten. Genom samarbetsavtalet ska det säkerställas

1. att tredjelandets behöriga myndighet inte utnyttjar uppgifterna för annat ändamål än verksamhet som motsvarar den som Revisorsinspektionen bedriver enligt denna lag, och

2. att revisionsklientens affärsintressen inte skadas. Uppgifterna får inte lämnas ut, om den sak som begäran avser redan prövas eller har prövats av Revisorsinspektionen.

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.15. Förslag till lag om ändring i aktiebolagslagen (2005:551)

Härigenom föreskrivs att 5 kap. 4 § aktiebolagslagen (2005:551) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

4 §

1

I fråga om behandling av personuppgifter i aktiebok som förs med automatiserad behandling finns bestämmelser i personuppgiftslagen (1998:204) .

Bolaget är personuppgiftsansvarig för den behandling av personuppgifter som förandet av aktieboken innebär. I avstämningsbolag är det, sedan ett avstämningsregister har upprättats, i stället värdepapperscentralen som är personuppgiftsansvarig, om det är en svensk värdepapperscentral som ansvarar för att föra aktieboken.

Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller vid behandling av personuppgifter i aktiebok och vid annan behandling av personuppgifter enligt denna lag.

Bolaget är personuppgifts-

ansvarigt för den behandling av

personuppgifter som förandet av aktieboken innebär. I avstämningsbolag är det, sedan ett avstämningsregister har upprättats, i stället värdepapperscentralen som är personuppgiftsansvarig, om det är en svensk värdepapperscentral som ansvarar för att föra aktieboken.

Denna lag träder i kraft den 25 maj 2018.

1 Senaste lydelse 2016:60. Ändringen innebär bl.a. att andra stycket tas bort.

Promemorians författningsförslag Ds 2017:19

1.16. Förslag till lag om ändring i lagen (2008:990) om företagshypotek

Härigenom föreskrivs i fråga om lagen (2008:990) om företagshypotek

dels att 4 kap. 1 och 21 §§ och 5 kap. 1 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 4 kap. 22 a §, av följande

lydelse,

dels att det närmast före 4 kap. 22 a § ska införas en ny rubrik av

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

1 §

För inskrivning enligt denna lag ska det föras ett register med hjälp av automatiserad behandling, benämnt företagsinteckningsregistret. Detta ska ge offentlighet åt den information som ingår i registret.

Regeringen meddelar föreskrifter om registrets innehåll, närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar enligt personupp-

giftslagen (1998:204) .

Regeringen kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om registrets

innehåll, närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen får meddela föreskrifter om expeditionsavgifter för bevis om inskrivningsåtgärd.

21 §

1

En uppgift som har förts in i företagsinteckningsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av inskrivningsmyndighetens eller någon annans skrivfel eller liknande förbiseende eller till följd av något tekniskt

En uppgift som har förts in i företagsinteckningsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av inskrivningsmyndighetens eller någon annans skrivfel eller liknande förbiseende eller till följd av något tekniskt

1 Ändringen innebär bl.a. att fjärde stycket tas bort.

Ds 2017:19 Promemorians författningsförslag

fel. Det inbördes företrädet

mellan inteckningar som berörs av en rättelse ska bestämmas efter vad som är skäligt, om rättelsen kan skada den vars egendom har intecknats eller någon innehavare av företagsinteckningsbrev.

fel. I fråga om personuppgifter

gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Det inbördes företrädet mellan inteckningar som berörs av en rättelse ska bestämmas efter vad som är skäligt, om rättelsen kan skada den vars egendom har intecknats eller någon innehavare av företagsinteckningsbrev.

Innan rättelse sker, ska inskrivningsmyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 5 kap. 3 § ska ges tillfälle att yttra sig. Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt.

En anteckning om ärendet ska göras i registret, om inte beslut meddelas samma dag som ärendet har tagits upp.

Denna paragraf gäller i stället för 28 § personuppgiftslagen (1998:204) .

Begränsning av behandling

22 a §

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets

Promemorians författningsförslag Ds 2017:19

förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

5 kap.

1 §

Om någon lider skada till följd av ett tekniskt fel i företagsinteckningsregistret eller i någon anordning som hos inskrivningsmyndigheten eller annan statlig myndighet är ansluten till registret, har han eller hon rätt till ersättning av staten.

Ersättningen ska efter skälighet sättas ned eller helt falla bort, om den skadelidande har medverkat till förlusten genom eget vållande.

Om personuppgifter i företagsinteckningsregistret har behandlats i strid med denna lag eller andra föreskrifter om registret, är också 48 § personuppgiftslagen (1998:204) tillämplig.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.17. Förslag till lag om ändring i lagen (2008:1075) om inteckningsbrevsregister

Härigenom föreskrivs i fråga om lagen (2008:1075) om inteckningsbrevsregister

dels att 11, 18 och 19 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 11 a §, av följande lydelse,

dels att det närmast före 11 a § ska införas en ny rubrik av

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

11 §

En uppgift i inteckningsbrevsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av att Bolagsverket eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt

berörs ska ges tillfälle att yttra sig.

En uppgift i inteckningsbrevsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av att Bolagsverket eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. I fråga om

personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Den vars rätt berörs ska ges tillfälle att yttra sig.

Promemorians författningsförslag Ds 2017:19

Begränsning av behandling

11 a §

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

18 §

Regeringen meddelar föreskrifter om inteckningsbrevregi-

strets innehåll, närmare ändamål

och behandling av uppgifter samt om personuppgiftsansvar enligt

personuppgiftslagen (1998:204) .

Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om förandet av registret och om ingivning av ansökningar i registreringsärenden.

Regeringen kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om inteckningsbrevsregistrets innehåll, närmare

ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 §

regeringsformen meddela före-

skrifter om förandet av registret och om ingivning av ansökningar i registreringsärenden.

19 §

Tillfogas någon skada genom oriktig eller missvisande uppgift i

inteckningsbrevsregistret eller i annat fall genom fel i samband med uppläggning eller förande av registret, har han eller hon rätt till ersättning av staten, om det inte visas att felaktigheten beror på en omständighet utanför

Den som lider skada genom att en uppgift i inteckningsbrevs-

registret är oriktig eller miss-

visande eller i något annat fall

genom fel i samband med att registret läggs upp eller förs, har rätt till ersättning av staten, om det inte visas att felaktigheten beror på en omständighet

Ds 2017:19 Promemorians författningsförslag

Bolagsverkets kontroll vars följder verket inte skäligen kunde ha undvikit eller övervunnit.

Ersättning enligt första stycket kan efter skälighet sättas ned eller falla bort, om vållande på den skadelidandes sida har medverkat till skadan.

Om personuppgifter i inteckningsbrevsregistret har behandlats i strid med denna lag eller andra föreskrifter om registret, är också 48 § personuppgiftslagen (1998:204) tillämplig.

utanför Bolagsverkets kontroll vars följder verket inte skäligen kunde ha undvikit eller övervunnit.

Ersättning enligt första stycket kan i skälig utsträckning sättas ned eller falla bort, om vållande på den skadelidandes sida har medverkat till skadan.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Denna lag träder i kraft den 25 maj 2018.

Promemorians författningsförslag Ds 2017:19

1.18. Förslag till lag om ändring i varumärkeslagen (2010:1877)

Härigenom föreskrivs att 9 kap.1 och 2 §§ och 10 kap. 3 §varumärkeslagen (2010:1877) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

9 kap.

1 §

Om en sökande visar sannolika skäl för att någon har gjort ett varumärkesintrång, får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av den som innehar varukännetecknet enligt 1 kap. 6–8 §§ eller den som på grund av licens har rätt att utnyttja detta. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

Ds 2017:19 Promemorians författningsförslag

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

2 §

1

Ett beslut om informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 1 § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

I personuppgiftslagen (1998:204) finns bestämmelser som begränsar hur mottagna personuppgifter får behandlas.

1 Ändringen innebär att tredje stycket tas bort.

Promemorians författningsförslag Ds 2017:19

10 kap.

3 §

Trots förbudet i 21 § person-uppgiftslagen (1998:204)r

personuppgifter om lagöverträdelser som innefattar brott enligt 8 kap. 1 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Personuppgifter om lagöverträdelser som innefattar brott enligt 8 kap. 1 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.19. Förslag till förordning om ändring i kungörelsen (1974:1063) om fastighetsbevis m.m.

Härigenom föreskrivs att 2 § kungörelsen (1974:1063) om fastighetsbevis m.m. ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

1

Uppgift om innehållet i fastighetsregistret ska lämnas i form av

1. fastighetsbevis,

2. gravationsbevis,

3. samfällighetsbevis,

4. kvartersbevis, eller

5. anläggningsbevis. Ett bevis som avses i första stycket framställs maskinellt av Lantmäteriet på blankett enligt formulär som fastställs av Lantmäteriet. Beviset expedieras genom Lantmäteriets försorg.

Trots bestämmelsen i första stycket får Lantmäteriet, om det

inte finns något hinder till följd av personuppgiftslagen (1998:204) eller lagen (2000:224) om fastighetsregister, efter särskild fram-

ställan från en myndighet eller någon annan tillhandahålla de utdrag och sammanställningar av innehållet i fastighetsregistret som Lantmäteriet bestämmer.

Trots första stycket får Lantmäteriet, efter särskild framställan från en myndighet eller någon annan, tillhandahålla de utdrag och sammanställningar av innehållet i fastighetsregistret som Lantmäteriet bestämmer.

Detta gäller dock endast om det inte finns något hinder mot det till följd av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

1 Senaste lydelse 2008:683.

Promemorians författningsförslag Ds 2017:19

eller till följd av lagen ( 2000:224 ) om fastighetsregister.

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.20. Förslag till förordning om ändring i fartygsregisterförordningen (1975:927)

Härigenom föreskrivs att 1 kap. 1 § och 5 kap. 6, 26 och 28 § fartygsregisterförordningen (1975:927) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

1

Denna förordning gäller registrering i fartygsregistret. Registermyndighet är Transportstyrelsen. Registermyndigheten är personuppgiftsansvarig

enligt

personuppgiftslagen (1998:204)

för fartygsregistret. Med person-

uppgifter avses i denna förordning detsamma som i personuppgiftslagen .

Registermyndigheten skall se till att det inte förekommer otillbörligt intrång i registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får myndigheten i enskilda fall ställa upp särskilda villkor för behandlingen av personuppgifter.

Registermyndigheten är personuppgiftsansvarig för den

behandling av personuppgifter som sker i fartygsregistret.

Registermyndigheten ska se till att det inte förekommer otillbörligt intrång i registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får myndigheten i enskilda fall ställa upp särskilda villkor för behandlingen av personuppgifter.

1 Senaste lydelse 2008:1225.

Promemorians författningsförslag Ds 2017:19

5 kap.

28 §

Består registerutdrag av två

eller flera blad, dateras varje blad enligt 27 §. På varje blad anges dessutom registerbeteckningen för det skepp, skeppsnamn eller förbehåll därom, skeppsbygge eller båt som utdraget gäller. Sidorna numreras i följd för hela utdraget. På utdragets sista sida

skall före underskriften lämnas

uppgift om det antal sidor utdraget omfattar.

Om registerutdrag består av

två eller flera blad, dateras varje blad enligt 27 §. På varje blad anges dessutom registerbeteckningen för det skepp, skeppsnamn eller förbehåll

om skeppsnamn,

skeppsbygge eller båt som utdraget gäller. Sidorna numreras i följd för hela utdraget. På utdragets sista sida

ska det före underskriften

lämnas uppgift om det antal sidor utdraget omfattar.

I fråga om personuppgifter finns bestämmelser om den registrerades rätt till information i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.21. Förslag till förordning om ändring i förordningen (1987:978) om ekonomiska föreningar

Härigenom föreskrivs i fråga om förordningen (1987:978) om ekonomiska föreningar

1

dels att 15 e § ska upphöra att gälla,

dels att nuvarande 15 g och 15 h §§ ska betecknas 15 h och

15 g §§,

dels att 15 a, 15 b och 15 f §§ och de nya 15 g och 15 h §§ ska ha

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

15 a §

2

Föreningsregistret skall ge offentlighet åt den information som ingår i registret.

I fråga om personuppgifter

skall registret ha till ändamål att

tillhandahålla uppgifter för

Föreningsregistret ska ge offentlighet åt den information som ingår i registret.

I fråga om personuppgifter

ska registret ha till ändamål att

tillhandahålla uppgifter för

1. affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där företagsanknuten information utgör underlag för prövningar eller beslut,

2. förvärv, avyttring eller förvaltning av företag som registreras i föreningsregistret,

3. aktualisering, komplettering eller kontroll av företagsanknuten information som finns i kund- eller medlemsregister eller liknande register,

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-

uppgiftslagen (1998:204), eller

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2

och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer

1 Senaste lydelse av 15 e § 2001:894. 2 Senaste lydelse 2001:894.

Promemorians författningsförslag Ds 2017:19

med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

eller

5. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och

a) som avser föreningar som registreras i föreningsregistret,

b) som för att kunna utföras förutsätter tillgång till företagsanknuten information, eller

c) som avser fullgörande av underrättelseskyldighet.

15 b §

3

Registreringsmyndigheten är personuppgiftsansvarig

enligt

personuppgiftslagen (1998:204)

för föreningsregistret.

Registreringsmyndigheten är personuppgiftsansvarig för den

behandling av personuppgifter som sker i föreningsregistret.

15 f §

4

I fråga om rättelse av personuppgifter i föreningsregistret tillämpas 26 § förvaltningslagen (1986:223)i stället för 28 § person-

uppgiftslagen (1998:204) .

I fråga om rättelse av personuppgifter i föreningsregistret tillämpas 26 § förvaltningslagen (1986:223). Därutöver gäller

rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679, dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

15 h § 15 g §

5

Att beslut om avslag på ansökan om information enligt 26 §

Rätten till begränsning av behandling av personuppgifter enligt

3 Senaste lydelse 2001:894. 4 Senaste lydelse 2001:894. 5 Senaste lydelse av tidigare 15 h § 2008:104.

Ds 2017:19 Promemorians författningsförslag

personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol följer av 22 a § förvaltningslagen ( 1986:223 ).

Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

15 g § 15 h §

6

Information som ska lämnas enligt 26 § personuppgiftslagen

(1998:204) behöver inte omfatta

uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling.

Om informationen

inte

innehåller uppgift i en sådan

handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.

Information som ska lämnas enligt artikel 15 i Europaparla-

mentets och rådets förordning (EU) 2016/679 behöver inte

omfatta en uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta en uppgift i en sådan handling.

Om informationen saknar en uppgift som finns i en sådan handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.

Första och andra styckena ska tillämpas så att tidsfristerna i artikel 12.3 i Europaparlamentets och rådets förordning (EU) 2016/679 kan iakttas.

Denna förordning träder i kraft den 25 maj 2018.

6 Senaste lydelse av tidigare 15 g § 2008:104.

Promemorians författningsförslag Ds 2017:19

1.22. Förslag till förordning om ändring i förordningen (1994:1933) om register över europeiska ekonomiska intressegrupperingar

Härigenom föreskrivs i fråga om förordningen (1994:1933) om register över europeiska ekonomiska intressegrupperingar

1

dels att 3 d § ska upphöra att gälla,

dels att 3, 3 a, 3 e och 3 f §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §

2

EEIG-registret skall ge offentlighet åt den information som ingår i registret.

I fråga om personuppgifter

skall registret ha till ändamål att

tillhandahålla uppgifter för

EEIG-registret ska ge offentlighet åt den information som ingår i registret.

I fråga om personuppgifter

ska registret ha till ändamål att

tillhandahålla uppgifter för

1. affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där företagsanknuten information utgör underlag för prövningar eller beslut,

2. förvärv, avyttring eller förvaltning av företag som registreras i EEIG-registret,

3. aktualisering, komplettering eller kontroll av företagsanknuten information som finns i kund- eller medlemsregister eller liknande register,

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 §

personuppgiftslagen (1998:204),

eller

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2

och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria

1 Senaste lydelse av 3 d § 2001:895. 2 Senaste lydelse 2001:895.

Ds 2017:19 Promemorians författningsförslag

flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

eller

5. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och

a) som avser intressegrupperingar som registreras i EEIGregistret,

b) som för att kunna utföras förutsätter tillgång till företagsanknuten information, eller

c) som avser fullgörande av underrättelseskyldighet.

3 a §

3

Registreringsmyndigheten är personuppgiftsansvarig

enligt

personuppgiftslagen (1998:204)

för EEIG-registret.

Registreringsmyndigheten är personuppgiftsansvarig för den

behandling av personuppgifter som sker i EEIG-registret.

3 e §

4

I fråga om rättelse av personuppgifter i EEIG-registret tillämpas 26 § förvaltningslagen (1986:223) i stället för 28 §

personuppgiftslagen (1998:204) .

I fråga om rättelse av personuppgifter i EEIG-registret tillämpas 26 § förvaltningslagen (1986:223). Därutöver gäller

rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679, dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

3 f §

5

Att beslut om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204)

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets

3 Senaste lydelse 2001:895. 4 Senaste lydelse 2001:895. 5 Senaste lydelse 2001:895.

Promemorians författningsförslag Ds 2017:19

får överklagas hos allmän förvaltningsdomstol följer av 22 a § förvaltningslagen (1986:223) .

förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.23. Förslag till förordning om ändring i förordningen (1995:665) om revisorer

Härigenom föreskrivs i fråga om förordningen (1995:665) om revisorer

1

dels att 13 och 14 §§ ska upphöra att gälla,

dels att 12 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

12 §

2

Revisorsinspektionen är personuppgiftsansvarig enligt person-

uppgiftslagen (1998:204) för re-

gistret.

Revisorsinspektionen är personuppgiftsansvarig för

den

behandling av personuppgifter som sker i registret.

Denna förordning träder i kraft den 25 maj 2018.

1 Senaste lydelse av 13 § 2009:574 14 § 2009:574. 2 Senaste lydelse 2016:1344.

Promemorians författningsförslag Ds 2017:19

1.24. Förslag till förordning om ändring i stiftelseförordningen (1995:1280)

Härigenom föreskrivs i fråga om stiftelseförordningen (1995:1280)

1

dels att 2 e § ska upphöra att gälla,

dels att nuvarande 2 g och 2 h §§ ska betecknas 2 h och 2 g §§,

dels att 2 a, 2 b och 2 f §§ och de nya 2 g och 2 h §§ ska ha

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 a §

2

De register som anges i 1 §

skall ge offentlighet åt den infor-

mation som ingår i registren.

I fråga om personuppgifter

skall registren ha till ändamål att

tillhandahålla uppgifter för

De register som anges i 1 §

ska ge offentlighet åt den infor-

mation som ingår i registren.

I fråga om personuppgifter

ska registren ha till ändamål att

tillhandahålla uppgifter för

1. affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där den information som ingår i registren utgör underlag för prövningar eller beslut,

2. förvaltning av företag som registreras i stiftelseregistren,

3. aktualisering, komplettering eller kontroll av information som finns i kund- eller medlemsregister eller liknande register,

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-

uppgiftslagen (1998:204), eller

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2

och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om

1 Senaste lydelse av 2 e § 2001:896. 2 Senaste lydelse 2001:896.

Ds 2017:19 Promemorians författningsförslag

upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

eller

5. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och

a) som avser stiftelser som registreras i registren,

b) som för att kunna utföras förutsätter tillgång till information som ingår i registren, eller

c) som avser fullgörande av underrättelseskyldighet.

2 b §

3

Den länsstyrelse som för ett sådant register som anges i 1 § (registreringsmyndigheten) är personuppgiftsansvarig enligt per-

sonuppgiftslagen (1998:204) för

registret.

Den länsstyrelse som för ett sådant register som anges i 1 § (registreringsmyndigheten) är personuppgiftsansvarig för den

behandling av personuppgifter som sker i registret.

2 f §

4

I fråga om rättelse av personuppgifter i de register som anges i 1 § tillämpas 26 § förvaltningslagen (1986:223) i stället för 28 §

personuppgiftslagen (1998:204).

I fråga om rättelse av personuppgifter i de register som anges i 1 § tillämpas 26 § förvaltningslagen (1986:223). Därutöver

gäller rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679, dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

2 h § 2 g §

5

Att beslut om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204)

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets

3 Senaste lydelse 2001:896. 4 Senaste lydelse 2001:896. 5 Senaste lydelse av tidigare 2 h § 2008:106.

Promemorians författningsförslag Ds 2017:19

får överklagas hos allmän förvaltningsdomstol följer av 22 a § förvaltningslagen (1986:223) .

förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

2 g § 2 h §

6

Information som ska lämnas enligt 26 § personuppgiftslagen

(1998:204) behöver inte omfatta

uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling.

Om informationen

inte

innehåller uppgift i en sådan

handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.

Information som ska lämnas enligt artikel 15 i Europa-

parlamentets och rådets förordning (EU) 2016/679 behöver

inte omfatta en uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta en uppgift i en sådan handling.

Om informationen saknar en uppgift som finns i en sådan handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.

Första och andra styckena ska tillämpas så att tidsfristerna i artikel 12.3 i Europaparlamentets och rådets förordning (EU) 2016/679 kan iakttas.

Denna förordning träder i kraft den 25 maj 2018.

6 Senaste lydelse av tidigare 2 g § 2008:106.

Ds 2017:19 Promemorians författningsförslag

1.25. Förslag till förordning om ändring i förordningen (2000:308) om fastighetsregister

Härigenom föreskrivs att 81 och 83 §§ förordningen (2000:308) om fastighetsregister ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

81 §

Frågor om rättelse enligt 28 §

personuppgiftslagen (1998:204)

av uppgifter i adressdelen, byggnadsdelen och taxeringsuppgiftsdelen prövas av den myndighet som har fört in den aktuella uppgiften.

Frågor om rättelse av

personuppgifter i adressdelen,

byggnadsdelen och taxeringsuppgiftsdelen får prövas även av den myndighet som har fört in den aktuella uppgiften.

83 §

1

Lantmäteriet får meddela föreskrifter om verkställigheten av 7 a § lagen (2000:224) om fastighetsregister samt ytterligare föreskrifter om verkställigheten av denna förordning.

Lantmäteriet får meddela föreskrifter om verkställigheten av 7 a § lagen (2000:224) om fastighetsregister samt ytterligare föreskrifter om verkställigheten av den här förordningen.

Lantmäteriet får också meddela sådana föreskrifter om personuppgiftsbiträdens hantering av personuppgifter som avses i artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

1 Senaste lydelse 2008:687.

Promemorians författningsförslag Ds 2017:19

Om det finns särskilda skäl, får Lantmäteriet i det enskilda fallet ge dispens från bestämmelser i förordningen. Lantmäteriet får dock inte ge dispens från bestämmelser som gäller inskrivningsdelen.

Om det finns särskilda skäl, får Lantmäteriet i det enskilda fallet ge dispens från bestämmelser i den här förord-

ningen. Lantmäteriet får dock

inte ge dispens från bestämmelser som gäller inskrivningsdelen.

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.26. Förslag till förordning om ändring i inskrivningsförordningen (2000:309)

Härigenom föreskrivs i fråga om inskrivningsförordningen (2000:309)

1

dels att 20 g § ska upphöra att gälla,

dels att 20–20 b, 20 e och 20 f §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

20 §

2

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i ärenderegistret, om inte annat följer av denna förordning.

Lantmäteriet är personuppgiftsansvarigt enligt personupp-

giftslagen för ärenderegistret.

Lantmäteriet är personuppgiftsansvarigt för den behandling

av personuppgifter som sker i

ärenderegistret.

20 a §

3

Ärenderegistret får i fråga om personuppgifter ha till ändamål att tillhandahålla uppgifter för inskrivningsmyndighetens handläggning av inskrivningsärenden och övriga ärenden som enligt lag ska handläggas av myndigheten.

Uppgifter som behandlas i ärenderegistret för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 §

första stycket d och andra stycket personuppgiftslagen (1998:204) .

Uppgifter som behandlas i ärenderegistret för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

1 Senaste lydelse av 20 g § 2011:61. 2 Senaste lydelse 2011:61. Ändringen innebär bl.a. att första stycket tas bort. 3 Senaste lydelse 2011:61.

Promemorians författningsförslag Ds 2017:19

Att personuppgifter även får behandlas för andra ändamål framgår av artiklarna 5.1 b och 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

20 b §

4

Vid behandling enligt 20 a § får känsliga personuppgifter som avses i 13 § personuppgifts-

lagen (1998:204) behandlas, om

uppgifterna finns i en handling som har kommit in till inskrivningsmyndigheten eller, om uppgifterna är nödvändiga för handläggningen av ärendet, i en handling som har upprättats av myndigheten.

Vid behandling enligt 20 a § får känsliga personuppgifter som avses i artikel 9 i

Europaparlamentets och rådets förordning (EU) 2016/679

behandlas, om uppgifterna finns i en handling som har kommit in till inskrivningsmyndigheten eller, om uppgifterna är nödvändiga för handläggningen av ärendet, i en handling som har upprättats av myndigheten.

20 e §

5

Vid sökning efter uppgifter som avses i 19 § får endast ärendenummer och fastighetsbeteckning användas som sökbegrepp. Om sökningen avser uppgifter i ett ärende som ännu inte har avgjorts eller som har avgjorts mindre än två år före

Vid sökning efter uppgifter som avses i 19 § får endast ärendenummer och fastighetsbeteckning användas som sökbegrepp. Om sökningen avser uppgifter i ett ärende som ännu inte har avgjorts eller som har avgjorts mindre än två år före

4 Senaste lydelse 2011:61. 5 Senaste lydelse 2011:61.

Ds 2017:19 Promemorians författningsförslag

söktillfället får även andra sökbegrepp användas. Känsliga personuppgifter enligt 13 §

personuppgiftslagen (1998:204)

får dock inte användas som sökbegrepp.

söktillfället, får även andra sökbegrepp användas. Känsliga personuppgifter enligt artikel 9 i

Europaparlamentets och rådets förordning (EU) 2016/679 får

dock inte användas som sökbegrepp.

Vid sökning efter handlingar i ärenderegistret får endast uppgifter som avses i 5 kap. 2 § första stycket 1 och 2 offentlighets- och sekretesslagen (2009:400) samt fastighetsbeteckning användas som sökbegrepp.

20 f §

6

Information som ska lämnas enligt 26 § personuppgiftslagen

(1998:204) behöver inte omfatta

uppgift i en handling som avses i 19 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det ska dock informationen även omfatta uppgift i en sådan handling.

Om informationen

inte

innehåller uppgift i en sådan

handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.

Information som ska lämnas enligt artikel 15 i Europa-

parlamentets och rådets förordning (EU) 2016/679 behöver

inte omfatta en uppgift i en handling som avses i 19 §, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta en uppgift i en sådan handling.

Om informationen saknar en uppgift som finns i en sådan handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.

Första och andra styckena ska tillämpas så att tidsfristerna i artikel 12.3 i Europaparlamentets och rådets förordning (EU) 2016/679 kan iakttas.

6 Senaste lydelse 2011:61.

Promemorians författningsförslag Ds 2017:19

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.27. Förslag till förordning om ändring i förordningen (2001:817) om registrering av båtbyggnadsförskott

Härigenom föreskrivs att 2 § förordningen (2001:817) om registrering av båtbyggnadsförskott ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

1

Transportstyrelsen är person-

uppgiftsansvarigt enligt personuppgiftslagen (1998:204) för

registrering av avtal enligt lagen (1975:605) om registrering av båtbyggnadsförskott.

Transportstyrelsen skall se till att det inte förekommer otillbörligt intrång i registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får styrelsen i enskilda fall ställa upp särskilda villkor för behandlingen av personuppgifter.

Transportstyrelsen är person-

uppgiftsansvarig för registrering

av avtal enligt lagen (1975:605) om registrering av båtbyggnadsförskott.

Transportstyrelsen ska se till att det inte förekommer otillbörligt intrång i registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får styrelsen i enskilda fall ställa upp särskilda villkor för behandlingen av personuppgifter.

Denna förordning träder i kraft den 25 maj 2018.

1 Senaste lydelse 2008:1226.

Promemorians författningsförslag Ds 2017:19

1.28. Förslag till förordning om ändring i förordningen (2003:552) om företagshypotek

Härigenom föreskrivs att 2 § förordningen (2003:552) om företagshypotek

1

ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

Inskrivningsmyndigheten är personuppgiftsansvarig

enligt

personuppgiftslagen (1998:204)

för företagsinteckningsregistret.

Inskrivningsmyndigheten skall se till att det inte uppkommer otillbörligt intrång i de registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får myndigheten i enskilda fall ställa upp särskilda villkor för behandlingen av personuppgifter.

Inskrivningsmyndigheten är personuppgiftsansvarig för den

behandling av personuppgifter som sker i företagsintecknings-

registret.

Inskrivningsmyndigheten ska se till att det inte uppkommer otillbörligt intrång i de registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får myndigheten i enskilda fall ställa upp särskilda villkor för behandlingen av personuppgifter.

Denna förordning träder i kraft den 25 maj 2018.

1 Senaste lydelse av förordningens rubrik 2008:1001.

Ds 2017:19 Promemorians författningsförslag

1.29. Förslag till förordning om ändring i förordningen (2005:142) om inskrivning av rätt till luftfartyg

Härigenom föreskrivs att 3, 16, 32 och 33 §§ förordningen (2005:142) om inskrivning av rätt till luftfartyg ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §

Inskrivningsmyndigheten är

personuppgiftsansvarig enligt personuppgiftslagen (1998:204)

för inskrivningsregistret för luftfartyg. Med personuppgifter

avses i denna förordning detsamma som i personuppgiftslagen .

Inskrivningsmyndigheten

skall se till att det inte

förekommer otillbörligt intrång i de registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får inskrivningsmyndigheten i enskilda fall uppställa särskilda villkor för behandlingen av personuppgifter.

Inskrivningsmyndigheten är personuppgiftsansvarig för den

behandling av personuppgifter som sker i inskrivningsregistret

för luftfartyg.

Inskrivningsmyndigheten ska se till att det inte förekommer otillbörligt intrång i de registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får inskrivningsmyndigheten i enskilda fall uppställa särskilda villkor för behandlingen av personuppgifter.

33 §

Ett registerutdrag utfärdas på en blankett enligt ett formulär som fastställs av inskrivningsmyndigheten.

Består

ett

registerutdrag av flera sidor numreras dessa i följd för hela utdraget. På sista sidan av ett sådant registerutdrag

skall

uppgift lämnas om det antal sidor detta omfattar.

Ett registerutdrag utfärdas på en blankett enligt ett formulär som fastställs av inskrivningsmyndigheten. Om ett registerutdrag består av flera sidor numreras dessa i följd för hela utdraget. På sista sidan av ett sådant registerutdrag ska uppgift lämnas om det antal sidor detta omfattar.

Promemorians författningsförslag Ds 2017:19

Registerutdraget dateras och undertecknas av den som är ansvarig för dess riktighet. Består utdraget av två eller flera blad dateras och undertecknas varje blad. På varje blad anges nationalitets- och registreringsbeteckningen för det luftfartyg som utdraget gäller.

I fråga om personuppgifter finns bestämmelser om den registrerades rätt till information i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.30. Förslag till förordning om ändring i aktiebolagsförordningen (2005:559)

Härigenom föreskrivs i fråga om aktiebolagsförordningen (2005:559)

dels att nuvarande 2 kap. 5 och 6 §§ ska betecknas 2 kap. 6 och

5 §§,

dels att 2 kap. 1, 2 och 4 a §§ och de nya 2 kap. 5 och 6 §§ ska ha

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 kap.

1 §

Aktiebolagsregistret skall ge offentlighet åt den information som ingår i registret.

I fråga om personuppgifter

skall registret ha till ändamål att

tillhandahålla uppgifter för

Aktiebolagsregistret ska ge offentlighet åt den information som ingår i registret.

I fråga om personuppgifter

ska registret ha till ändamål att

tillhandahålla uppgifter för

1. affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där företagsanknuten information utgör underlag för prövningar eller beslut,

2. förvärv, avyttring eller förvaltning av företag som registreras i aktiebolagsregistret,

3. aktualisering, komplettering eller kontroll av företagsanknuten information som finns i kund- eller medlemsregister eller liknande register,

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-

uppgiftslagen (1998:204), eller

4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2

och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om

Promemorians författningsförslag Ds 2017:19

upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), eller

5. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och

a) som avser bolag som registreras i aktiebolagsregistret,

b) som för att kunna utföras förutsätter tillgång till företagsanknuten information, eller

c) som avser fullgörande av underrättelseskyldighet.

2 §

Bolagsverket är personuppgiftsansvarigt enligt person-

uppgiftslagen (1998:204) för

aktiebolagsregistret.

Bolagsverket är personuppgiftsansvarigt för

den

behandling av personuppgifter som sker i aktiebolagsregistret.

4 a §

1

Information som skall lämnas enligt 26 § personuppgiftslagen

(1998:204) behöver inte omfatta

uppgift i en handling som har kommit in till Bolagsverket, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, skall dock informationen även omfatta uppgift i en sådan handling.

Om informationen

inte

innehåller handling som avses i

första stycket, skall det av informationen framgå att handlingen behandlas av myndigheten.

Information som ska lämnas enligt artikel 15 i Europa-

parlamentets och rådets förordning (EU) 2016/679 behöver

inte omfatta en uppgift i en handling som har kommit in till Bolagsverket, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta en uppgift i en sådan handling.

Om informationen saknar en

uppgift som finns i en sådan

handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.

Första och andra styckena ska tillämpas så att tidsfristerna i

1 Senaste lydelse 2006:503.

Ds 2017:19 Promemorians författningsförslag

artikel 12.3 i Europaparlamentets och rådets förordning (EU) 2016/679 kan iakttas.

6 § 5 §

I fråga om rättelse av personuppgifter i aktiebolagsregistret tillämpas 26 § förvaltningslagen (1986:223)i stället för 28 §

personuppgiftslagen (1998:204) .

I fråga om rättelse av personuppgifter i aktiebolagsregistret tillämpas 26 § förvaltningslagen (1986:223). Därutöver gäller

rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679, dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

5 § 6 §

Bestämmelserna i 48 § personuppgiftslagen (1998:204) om skadestånd gäller vid behandling av personuppgifter enligt denna förordning.

Rätten till begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Denna förordning träder i kraft den 25 maj 2018.

Promemorians författningsförslag Ds 2017:19

1.31. Förslag till förordning om ändring i förordningen (2006:1226) om Post- och Inrikes Tidningar

Härigenom föreskrivs i fråga om förordningen (2006:1226) om Post- och Inrikes Tidningar

dels att 11 § ska upphöra att gälla,

dels att 6–8 och 10 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

6 §

Bolagsverket är personuppgiftsansvarigt enligt person-

uppgiftslagen (1998:204) för den

behandling av personuppgifter som verket utför för att framställa och hålla tillgänglig Post- och Inrikes Tidningar.

Bolagsverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför för att framställa och hålla tillgänglig Post- och Inrikes Tidningar.

7 §

Känsliga personuppgifter enligt 13 § personuppgiftslagen

(1998:204) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden

enligt 21 § samma lag får kungöras i Post- och Inrikes Tidningar endast om det är nödvändigt för att kungöra sådana uppgifter som enligt lag eller förordning skall kungöras i Post- och Inrikes Tidningar.

Känsliga personuppgifter enligt artikel 9 i Europa-

parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och uppgifter

om fällande domar i brottmål,

lagöverträdelser som innefattar brott

eller

straffprocessuella

tvångsmedel enligt artikel 10 i

samma förordning får kungöras i Post- och Inrikes Tidningar endast om det är nödvändigt för att kungöra sådana uppgifter

Ds 2017:19 Promemorians författningsförslag

som enligt lag eller förordning

ska kungöras i Post- och Inrikes

Tidningar.

8 §

Vid sökning efter uppgifter i Post- och Inrikes Tidningar får som sökbegrepp inte användas

1. känsliga personuppgifter enligt 13 § personuppgiftslagen

(1998:204), eller

2. personuppgifter enligt 21 § samma lag om lagöverträdelser

som innefattar brott, domar i

brottmål,

straffprocessuella

tvångsmedel eller administrativa frihetsberövanden.

1. känsliga personuppgifter enligt artikel 9 i Europa-

parlamentets och rådets förordning (EU) 2016/679, eller

2. personuppgifter enligt

artikel 10 i samma förordning

om fällande domar i brottmål,

lagöverträdelser som innefattar brott

eller

straffprocessuella

tvångsmedel.

Vid sökning efter uppgifter i Post- och Inrikes Tidningar som inte är tillgängliga på Bolagsverkets webbplats får endast dag för kungörande och diarienummer eller annan beteckning som har åsatts kungörelsen användas som sökbegrepp.

10 §

Om en kungörelse i Post- och Inrikes Tidningar innehåller någon oriktighet som beror på Bolagsverket, skall Bolagsverket snarast rätta uppgiften genom att kungöra det rätta förhållandet. Detsamma gäller om en oriktighet beror på någon annan än Bolagsverket och den som kungjort förhållandet begär

en sådan åtgärd. Den kungörelse

som innehåller oriktigheten

skall förses med en hänvisning

till kungörelsen där rättelsen har gjorts.

Om en kungörelse i Post- och Inrikes Tidningar innehåller någon oriktighet som beror på Bolagsverket, ska Bolagsverket snarast rätta uppgiften genom att kungöra det rätta förhållandet. Detsamma gäller om en oriktighet beror på någon annan än Bolagsverket och

rättelse begärs av den som

kungjort förhållandet eller, om

rättelsen sker med stöd av Europaparlamentets och rådets förordning (EU) 2016/679, den person vars personuppgift är oriktig. Den kungörelse som

Promemorians författningsförslag Ds 2017:19

innehåller oriktigheten ska förses med en hänvisning till kun- görelsen där rättelsen har gjorts.

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.32. Förslag till förordning om ändring i förordningen (2008:1080) om inteckningsbrevsregister

Härigenom föreskrivs att 1 och 3 §§ förordningen (2008:1080) om inteckningsbrevsregister ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

Bolagsverket är personuppgiftsansvarigt enligt person-

uppgiftslagen (1998:204) för

inteckningsbrevsregistret.

Bolagsverket är personuppgiftsansvarigt för

den

behandling av personuppgifter som sker i

intecknings-

brevsregistret.

3 §

Inteckningsbrevsregistret ska i fråga om personuppgifter ha till ändamål att användas

1. för registrering av företagsinteckningar och inteckningsbrevshavare enligt lagen (2008:1075) om inteckningsbrevsregister,

2. som underlag för beslut som får meddelas enligt lagen om inteckningsbrevsregister, och

3. som underlag för underrättelser till inteckningsbrevshavare och dem som enligt 2 § andra stycket lagen om inteckningsbrevsregister ska anses som inteckningsbrevshavare av företagsinteckningsbrev om innehållet i företagsinteckningsregistret.

Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 §

första stycket d och andra stycket personuppgiftslagen (1998:204) .

Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Att personuppgifter även får behandlas för andra ändamål framgår av artiklarna 5.1 b och

Promemorians författningsförslag Ds 2017:19

6.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna förordning träder i kraft den 25 maj 2018.

Ds 2017:19 Promemorians författningsförslag

1.33. Förslag till förordning om ändring i förordningen (2011:58) om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar

Härigenom föreskrivs i fråga om förordningen (2011:58) om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar

dels att 13 § ska upphöra att gälla,

dels att rubriken närmast före 13 § ska utgå,

dels att 1, 3, 5, 7, 8 och 12 §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §

1

Denna förordning gäller Lantmäteriets databas för tillhandahållande av uppgifter i arkiverade handlingar (databasen).

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i databasen, om inte annat följer av denna förordning.

3 §

Lantmäteriet är personuppgiftsansvarigt enligt person-

uppgiftslagen (1998:204) för be-

handlingen av personuppgifter i databasen.

Lantmäteriet är personuppgiftsansvarigt för behandlingen av personuppgifter i databasen.

5 §

Personuppgifter som behandlas i databasen för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 §

första stycket d och andra stycket

Personuppgifter som behandlas i databasen för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

1 Ändringen innebär att andra stycket tas bort.

Promemorians författningsförslag Ds 2017:19

personuppgiftslagen (1998:204) .

Att personuppgifter även får behandlas för andra ändamål framgår av artiklarna 5.1 b och 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

7 §

Känsliga personuppgifter som avses i 13 § person-

uppgiftslagen (1998:204) får inte

behandlas i databasen.

Känsliga personuppgifter som avses i artikel 9 i

Europaparlamentets och rådets förordning (EU) 2016/679 får

inte behandlas i databasen.

8 §

Behandling av personuppgifter som är tillåten enligt

denna förordning får utföras

även om den registrerade

motsätter sig behandlingen.

Behandling av personuppgifter som är tillåten enligt den

här förordningen får utföras även

om den registrerade invänder

mot behandlingen.

12 §

Information som ska lämnas enligt 26 § personuppgiftslagen

(1998:204) behöver inte omfatta

uppgift i en handling, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling.

Information som ska lämnas enligt artikel 15 i Europa-

parlamentets och rådets förordning (EU) 2016/679 behöver

inte omfatta en uppgift i en handling, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta en uppgift i en sådan

Ds 2017:19 Promemorians författningsförslag

Om informationen

inte

innehåller uppgift i en sådan

handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas i databasen.

handling.

Om informationen saknar en uppgift som finns i en sådan handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas i databasen.

Första och andra styckena ska tillämpas så att tidsfristerna i artikel 12.3 i Europaparlamentets och rådets förordning (EU) 2016/679 kan iakttas.

Denna förordning träder i kraft den 25 maj 2018.

2. Dataskyddsreformen

2.1. Reformens syfte

Allmänna regler om behandling av personuppgifter inom EU finns i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, förkortat dataskyddsdirektivet. Direktivet genomförs i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL.

EU beslutade i april 2016 om en dataskyddsreform. Reformen består av följande två rättsakter.

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad dataskyddsförordningen.
  • Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

Det huvudsakliga syftet med reformen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att bl.a. förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsreformen Ds 2017:19

2.2. Dataskyddsförordningen

Dataskyddsförordningen trädde i kraft den 24 maj 2016 och ska tillämpas från och med den 25 maj 2018. Den ersätter dataskyddsdirektivet.

Dataskyddsförordningen kommer att utgöra den generella rättsliga grunden för personuppgiftsbehandling inom EU. I förordningens första kapitel slås syftet och tillämpningsområdet fast. Utgångspunkten är att förordningen ska tillämpas på all behandling av personuppgifter, om uppgifterna rör en fysisk person och behandlingen helt eller delvis sker på automatisk väg eller avser personuppgifter som ingår i eller kommer att ingå i ett register. Från tillämpningsområdet undantas dock behandling av personuppgifter som

  • utgör ett led i en verksamhet som inte omfattas av unionsrätten,
  • utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken,
  • utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med personens hushåll,
  • utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (sådan behandling av personuppgifter omfattas i stället av ovan nämnda direktiv [EU] 2016/680), eller
  • utförs av EU:s institutioner, organ och byråer.

I dataskyddsförordningen anges de principer som ska styra behandlingen av personuppgifter (kapitel 2), de rättigheter som den registrerade ska ha (kapitel 3), de skyldigheter som den personuppgiftsansvarige och dennes biträde, det s.k. personuppgiftsbiträdet, ska ha (kapitel 4) samt det som ska gälla vid överföring av personuppgifter till tredjeländer eller internationella organisationer (kapitel 5). I förordningen finns också bestämmelser om oberoende nationella tillsynsmyndigheter (kapitel 6) och deras samarbete och åtgärder som de ska vidta för att förordningen ska tillämpas konsekvent (kapitel 7). Vidare finns bestämmelser om

Ds 2017:19 Dataskyddsreformen

rättsmedel, ansvar och sanktioner (kapitel 8) och delegerade befogenheter (kapitel 10).

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innehåller även nyheter. Till exempel ökar informationsskyldigheten till den registrerade och administrativa sanktionsavgifter införs. För att förordningen ska tillämpas konsekvent i hela EU, inrättas Europeiska dataskyddsstyrelsen, som kommer att bestå av representanter för de nationella dataskyddsmyndigheterna.

Förordningen är direkt tillämplig i medlemsstaterna men förutsätter och möjliggör kompletterande nationella bestämmelser. Enligt artikel 85 ska t.ex. medlemsstaterna lagstifta om undantag från vissa av förordningens bestämmelser, om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfrihet. Vidare finns det ett förhållandevis stort utrymme för särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse eller utföra en uppgift av allmänt intresse eller är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.2).

2.3. Generella nationella bestämmelser som kompletterar dataskyddsförordningen

Dataskyddsförordningen medför bl.a. att PUL måste upphävas. Detsamma gäller för personuppgiftsförordningen (1998:1191), förkortad PUF. Dataskyddsutredningen lämnar i ett betänkande förslag på hur detta ska gå till (SOU 2017:39).

Dataskyddsutredningen lämnar därutöver i betänkandet förslag på en nationell reglering som på ett generellt plan dels kompletterar, dels gör undantag från förordningen (förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen). De av utredningens förslag som har särskild betydelse för denna promemoria berörs i relevanta avsnitt nedan.

Därutöver lämnar Utredningen om tillsynen över den personliga integriteten förslag på anpassningar i anledning av dataskyddsreformens bestämmelser om tillsyn (SOU 2016:65). Bland

Dataskyddsreformen Ds 2017:19

annat föreslås att Datainspektionen ska utses till svensk nationell tillsynsmyndighet enligt dataskyddsförordningen. Dataskyddsutredningen utgår från det förslaget i sitt betänkande (SOU 2017:39 s. 257).

3. Översynen i promemorian

3.1. Den sektorsspecifika dataskyddsregleringen

Dataskyddsutredningens uppdrag har inte omfattat att se över eller lämna förslag till förändringar av sektorsspecifik reglering om behandling av personuppgifter i anledning av dataskyddsförordningen.

Den sammantagna dataskyddsregleringen är omfattande. Till exempel finns ett flertal s.k. registerförfattningar, dvs. sektors- eller myndighetsspecifika författningar som innehåller bestämmelser om statliga och kommunala myndigheters behandling av personuppgifter. Dessa författningar kompletterar, eller avviker från, PUL, som är subsidiär. Vissa registerförfattningar innehåller närmast heltäckande dataskyddsregler, medan andra registerförfattningar endast upplyser om t.ex. att PUL:s bestämmelser om skadestånd och rättelse gäller även för informationshantering enligt författningen i fråga. Utöver registerförfattningarna finns det författningar som innehåller bestämmelser om personuppgiftsbehandling men som helt saknar regler om registerföring. Vidare finns det författningar som innehåller enstaka bestämmelser om personuppgiftsbehandling, som dock inte riktar sig till myndigheter utan till enskilda aktörer.

Inom de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga områdena finns flera författningar med inslag av dataskyddsreglering. Dessa måste anpassas till dataskyddsförordningen och de ändringar av svensk rätt som förordningen medför (jfr avsnitt 3.2).

Översynen i promemorian Ds 2017:19

3.2. Den fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga dataskyddsregleringen

Bedömning: De fastighetsrättsliga, associationsrättsliga, trans-

porträttsliga och immaterialrättsliga författningarna med inslag av dataskyddsreglering omfattas av dataskyddsförordningens tillämpningsområde.

Skälen för bedömningen: Frågan om de fastighetsrättsliga,

associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna med inslag av dataskyddsreglering ska omfattas av förordningens tillämpningsområde avgörs av om de avser en verksamhet som omfattas av unionsrätten (artikel 2.2 [a] i dataskyddsförordningen). Vilka verksamheter som omfattas av unionsrättens tillämpningsområde följer av fördragen och EUdomstolens praxis.

Associationsrätten och immaterialrätten reglerar förhållanden som utgör en del av den inre marknaden och omfattas av unionsrätten. De associationsrättsliga och immaterialrättsliga författningarna med inslag av dataskyddsreglering omfattas därför av dataskyddsförordningens tillämpningsområde. I den bedömningen inbegrips förordningen (2006:1226) om Post- och Inrikes Tidningar, som i denna promemoria alltså benämns som en associationsrättslig författning.

För fastighetsrättens del är frågan om förordningens tillämpningsområde mer komplicerad. EU saknar nämligen befogenheter när det gäller innehållet i fastighetsrätten. Det beror på att EU enligt artikel 345 i fördraget om Europeiska unionens funktionssätt inte ska ingripa i medlemsstaternas egendomsordning. Gränsen mellan det som i det enskilda fallet omfattas eller inte omfattas av EU-rätten är emellertid inte självklar. Till exempel har det hävdats att fastighetsrätten kan bli föremål för ingripande från EU när den måste underordnas den politik som omfattas av gemenskapsrätten och det för den politikens syften är nödvändigt och proportionerligt att begränsa utövandet av rättigheter knutna till fastighetsrättsliga förhållanden. Dessutom kan rättspraxis från EU-domstolen om dataskyddsdirektivets tillämpningsområde

Ds 2017:19 Översynen i promemorian

anses tala för en snäv tolkning av undantaget från förordningens tillämpningsområde i artikel 2.2 (a) i dataskyddsförordningen (SOU 2017:39 s. 90 och 91). Därför, och sett i ljuset av att det inte skulle påverka innehållet i den nationella egendomsordningen, bör även fastighetsrättsliga författningar med inslag av dataskyddsreglering anses direkt omfattade av dataskyddsförordningens tillämpningsområde.

På transporträttens område finns det inte någon motsvarande begränsning i EU:s befogenheter som innebär att transporträtten skulle falla utanför unionsrätten i det nu aktuella avseendet. Därför, och mot bakgrund av att mycket talar för att undantaget från dataskyddsförordningens tillämpningsområde ska tolkas snävt, bedöms också transporträttsliga författningar med inslag av dataskyddsreglering direkt omfattade av dataskyddsförordningens tillämpningsområde.

Slutsatsen blir alltså att samtliga fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningar med inslag av dataskyddsreglering behöver ses över och vid behov anpassas till dataskyddsförordningen.

I sammanhanget kan nämnas att Dataskyddsutredningen föreslår att dataskyddsförordningen – i den ursprungliga lydelsen – och dataskyddslagen ska tillämpas även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten (1 kap. 2 § dataskyddslagen).

3.3. Utgångspunkter och tillvägagångssätt

Som framgår av avsnitt 2.3 lämnar Dataskyddsutredningen förslag på en nationell reglering som dels upphäver PUL och PUF, dels på ett generellt plan kompletterar, och gör undantag från, dataskyddsförordningen. Dessa förslag har ännu inte lett till lagstiftning. Det finns emellertid inte anledning att vid utformningen av denna promemoria anta annat än att den svenska generella dataskyddsregleringen kommer att få i allt väsentligt den utformning som utredningen föreslår. De förslag som läggs fram i denna promemoria tar därför sina utgångspunkter i Dataskyddsutredningens förslag.

Översynen i promemorian Ds 2017:19

Någon förteckning över samtliga författningar med inslag av dataskyddsreglering finns inte. För att få fram de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningar som berörs av dataskyddsreformen har sökningar med hjälp av sökord gjorts i rättsdatabaser. Metoden är densamma som användes av Informationshanteringsutredningen (Ju 2011:11) vid den inventering som gjordes inom ramen för arbetet med betänkandet Myndighetsdatalag (SOU 2015:39).

Dataskyddsutredningen föreslår dynamiska hänvisningar till dataskyddförordningen, d.v.s. hänvisningar som avser förordningen i dess vid varje tidpunkt gällande lydelse. Även de hänvisningar till förordningen som föreslås i denna promemoria är dynamiska.

4. Krav på behandlingen av personuppgifter

4.1. Tillåten personuppgiftsbehandling

Bedömning: Sådan behandling av personuppgifter som är nöd-

vändig till följd av de fastighetsrättsliga, associationsrättsliga transporträttsliga och immaterialrättsliga författningarna kan ske med stöd av dataskyddsförordningen. Det finns därför inte något behov av författningsändringar i detta avseende.

Den personuppgiftsansvarige är skyldig att se till så att den konkreta personuppgiftsbehandlingen uppfyller dataskyddsförordningens krav på personuppgiftsbehandling.

Skälen för bedömningen

Personuppgiftslagens krav

För att personuppgiftsbehandling ska vara tillåten ska, enligt 10 § PUL, den registrerade ha lämnat sitt samtycke till behandlingen eller behandlingen vara nödvändig för något av de i paragrafen angivna syftena. Därutöver finns i 9 § PUL vissa grundläggande krav på all behandling av personuppgifter. Den personuppgiftsansvarige ska bl.a. se till att personuppgifter behandlas lagligt och på ett korrekt sätt samt att personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Vidare får de insamlade uppgifterna inte användas på ett sätt som är oförenligt med det syfte för vilket de samlades in (den s.k. finalitetsprincipen) eller bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Avser behandlingen känsliga personuppgifter eller uppgifter om lagöverträdelser m.m.,

Krav på behandlingen av personuppgifter Ds 2017:19

måste behandlingen dessutom vara tillåten enligt 13–21 §§ PUL, vilket behandlas närmare i avsnitten 4.2 och 4.3.

Dataskyddsförordningens krav

De villkor under vilka en behandling av personuppgifter är laglig framgår av artikel 6 i dataskyddsförordningen. Artikelns innehåll överensstämmer i stora drag med 10 § PUL.

Av artikel 6.1 framgår att behandlingen endast är laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som vilar på den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta led får dock inte åberopas till stöd för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Medlemsstaterna får enligt artikel 6.2 fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerhetsställa en laglig och rättvis behandling för att efterleva punkterna 6.1 c och e.

Den grund för behandling som avses i artikel 6.1 c och e ska enligt artikel 6.3 fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Också syftet med behandlingen ska fastställas i den

Ds 2017:19 Krav på behandlingen av personuppgifter

rättsliga grunden eller, i fråga om behandling enligt punkten 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Av artikel 6.3 framgår vidare att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. de allmänna villkor som ska gälla, vilken typ av uppgifter som ska behandlas, ändamålsbegränsningar och lagringstid.

Artikel 6.3 ställer också krav på att, i fråga om grunden för personuppgiftsbehandling, unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta krav på proportionalitet, som gäller även för sektorsspecifika dataskyddsbestämmelser, innebär enligt Dataskyddsutredningen att lagstiftaren måste göra en avvägning mellan å ena sidan behovet av att en uppgift kan utföras på ett effektivt och rättssäkert sätt och, å andra sidan, den enskildes rätt till skydd för sina personuppgifter (SOU 2017:39 s. 134).

Slutligen berör artikel 6.4 situationen att en behandling sker för andra ändamål än de ursprungliga.

Utöver kravet på rättslig grund i artikel 6 finns i artikel 5 i dataskyddsförordningen vissa grundläggande principer för personuppgiftsbehandling. Enligt den artikeln ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vidare anges och utvecklas vissa principer som gäller vid personuppgiftsbehandling, nämligen principerna om ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet. Slutligen anges att det är den personuppgiftsansvarige som ansvarar för, och ska kunna visa, att de grundläggande principerna efterlevs. Skyldigheterna i bl.a. artikel 5 kan, under vissa förutsättningar, begränsas genom unionsrätten eller medlemsstaternas nationella rätt (artikel 23). Det behandlas närmare i detta avsnitt, i förhållande till den personuppgiftsbehandling som kan komma att ske enligt immaterialrättslagarna.

I likhet med PUL finns det i dataskyddsförordningen ytterligare krav för behandling av känsliga personuppgifter (artikel 9) och uppgifter som rör fällande domar i brottmål och överträdelser (artikel 10). Den sistnämnda artikeln är av särskild relevans för den

Krav på behandlingen av personuppgifter Ds 2017:19

personuppgiftsbehandling som enligt immaterialrättslagarna får ske inom ramen för bestämmelserna om informationsföreläggande. Artiklarna 9 och 10 behandlas närmare i avsnitten 4.2 och 4.3.

Dataskyddsförordningens krav kan mycket förenklat sammanfattas med att personuppgiftsbehandlingen måste ha en rättslig grund, dvs. antingen ske med samtycke eller vara nödvändig för någon av de grunder som framgår av artikel 6.1 b–f. Detta är emellertid inte tillräckligt för att en behandling av personuppgifter ska vara tillåten. Övriga krav måste också vara uppfyllda, t.ex. de grundläggande principerna för behandling i artikel 5. Behovet av den konkreta behandlingen måste alltid vägas mot den registrerades intresse av personlig integritet.

Dataskyddsutredningens förslag

Dataskyddsutredningen överväger frågan om vad som avses med att grunden för personuppgiftsbehandlingen enligt artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3).

Enligt utredningens bedömning avses med ”grunden för behandlingen” den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen (jfr artikel 6.1 c och e), dvs. det är uppgiften/förpliktelsen/myndighetsutövningen som ska vara fastställd, inte själva behandlingen. Det innebär inte att det krävs en särskild reglering just med anledning av dataskyddsförordningens ikraftträdande. Den rättsliga förpliktelsen, uppgiften av allmänt intresse eller myndighetsutövningen måste däremot vara rättsligt förankrad i unionsrätten eller nationell rätt för att kunna åberopas som rättslig grund för personuppgiftsbehandling. Det krävs inte att uppgiften, förpliktelsen eller myndighetsutövningen framgår av lag, men grunden ska vara fastställd i laga ordning, dvs. på ett konstitutionellt korrekt sätt. Dessutom ska den rättsliga grunden vara tydlig och precis och dess tillämpning förutsägbar. (SOU 2017:39 s. 108113.)

Utredningen föreslår en paragraf som tydliggör att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvändig för att fullgöra en

Ds 2017:19 Krav på behandlingen av personuppgifter

rättslig förpliktelse som gäller enligt lag eller annan författning, följer av kollektivavtal eller följer av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 3 § dataskyddslagen). Utredningen föreslår vidare att det på motsvarande sätt ska tydliggöras att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig som ett led i myndighetsutövning enligt lag eller annan författning, eller för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 4 § dataskyddslagen).

Det finns rättsligt stöd för nödvändig personuppgiftsbehandling på fastighetsrättens, associationsrättens och transporträttens områden

På fastighetsrättens och associationsrättens områden finns ett antal författningar som ger såväl myndigheter som privata aktörer uppgifter och förpliktelser som kräver behandling av personuppgifter. Som exempel kan nämnas Bolagsverkets skyldighet enligt 27 kap. 1 § aktiebolagslagen (2005:551) att föra ett aktiebolagsregister, i vilket bl.a. styrelseledamöter ska registreras, och inskrivningsmyndighetens skyldighet enligt 19 kap.3 och 8 §§jordabalken att föra ett register över inskrivningsärenden, i vilket bl.a. uppgifter om fastighetsägare registreras. Ett annat exempel är ekonomiska föreningars styrelsers skyldighet enligt 3 kap. 6 § lagen (1987:667) om ekonomiska föreningar att föra en medlemsförteckning. Liknande bestämmelser om skyldighet att föra register finns också på transporträttens område, t.ex. i lagen (1955:227) om inskrivning av rätt till luftfartyg och sjölagen (1994:1009).

De uppgifter som myndigheter och privata aktörer har enligt de fastighetsrättsliga, associationsrättsliga och transporträttsliga författningarna eller enligt beslut som har meddelats med stöd av sådana författningar är regelmässigt uppgifter av allmänt intresse. I vart fall utgör de rättsliga förpliktelser. För myndigheternas del innefattar uppgifterna dessutom ofta myndighetsutövning. Uppgifterna och förpliktelserna – och den myndighetsutövning som kan ligga i dem – är fastställda i den nationella rätten och författningarna är proportionerliga i förhållande till den enskildes intresse av skydd för sin personliga integritet på det sätt som krävs

Krav på behandlingen av personuppgifter Ds 2017:19

enligt artikel 6.3 i dataskyddsförordningen. Nödvändig personuppgiftsbehandling får därför ske med stöd av artikel 6.1 c och/eller e i dataskyddsförordningen. Dataskyddsreformen medför alltså inte något behov av författningsändringar i detta avseende.

Det bör i detta sammanhang påpekas att även de övriga punkterna i artikel 6.1 kan åberopas som rättsligt stöd för personuppgiftsbehandling på de nämnda rättsområdena. Då de grunderna inte behöver fastställas i unionsrätten eller den nationella rätten, behandlas de emellertid inte närmare här.

Det bör också påpekas att den personuppgiftsansvarige är skyldig att försäkra sig om att den konkreta behandlingen sker lagligt, dvs. att det rör sig om nödvändig behandling med rättsligt stöd, och att övriga krav på personuppgiftsbehandlingen efterlevs.

Det finns rättsligt stöd för nödvändig personuppgiftsbehandling även på immaterialrättens område

I en rad immaterialrättsliga lagar finns sedan år 2009 väsentligen likalydande bestämmelser om s.k. informationsföreläggande. Det gäller lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk, patentlagen (1967:837), mönsterskyddslagen (1970:485), firmalagen (1974:156), lagen (1992:1685) om skydd för kretsmönster för halvledarprodukter, växtförädlarrättslagen (1997:306) och varumärkeslagen (2010:1877).

Enligt bestämmelserna om informationsföreläggande är det möjligt att förelägga vissa aktörer att lämna information till en rättighetshavare eller licenstagare (fortsättningsvis nämns bara rättighetshavare) om intrångsgörande varors och tjänsters ursprung och distributionsnät. Informationen är många gånger nödvändig för att rättighetshavaren ska kunna vidta åtgärder mot intrångsgöraren för att bevaka sin rätt till egendom.

En ansökan om informationsföreläggande ska prövas av domstol. För att ansökan ska godkännas krävs att sökanden visar sannolika skäl för att ett intrång begåtts. Dessutom måste åtgärden vara proportionerlig; skälen för åtgärden ska uppväga den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas eller för något annat motstående intresse.

Det är inte ovanligt att den information som hanteras med anledning av ett informationsföreläggande innehåller person-

Ds 2017:19 Krav på behandlingen av personuppgifter

uppgifter. Både den som i enlighet med ett informationsföreläggande lämnar ut information (exempelvis en internetleverantör som ger en rättighetshavare uppgifter om vem som haft en viss IP-adress vid en angiven tidpunkt) och den som samlar in motsvarande uppgifter och därefter använder dem för att ingripa mot den som begått intrång (exempelvis en rättighetshavare som vid domstol ansöker om ett förbud mot fortsatt intrång eller kräver skadestånd), kan därmed komma att behandla personuppgifter i dataskyddsförordningens mening. Ofta rör de aktuella personuppgifterna dessutom lagöverträdelser. Så är exempelvis fallet när det gäller uppgifter om vilka IP-adresser som har använts för att begå immaterialrättsintrång (se prop. 2008/09:67 s. 126).

Bestämmelserna om informationsföreläggande infördes till följd av Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (det s.k. civilrättsliga sanktionsdirektivet). Vid bestämmelsernas tillkomst ansågs det klart att de var förenliga med EU:s dataskyddsdirektiv och proportionerliga i förhållande till rätten till privatliv (prop. 2008/09:67 s. 135, 141 f. och 160 f.). Däremot ansågs bestämmelserna stå i strid med 21 § PUL, vilken som huvudregel föreskriver att endast myndigheter får behandla personuppgifter om lagöverträdelser som innefattar brott. För att möjliggöra en effektiv användning av bestämmelserna om informationsföreläggande infördes därför ett undantag från denna paragraf i immaterialrättslagarna. Vidare klargjordes i immaterialrättslagarna att information som någon hade fått till följd av ett informationsföreläggande inte fick användas i strid med personuppgiftslagen (se vidare avsnitt 4.3 och 8.1).

Nu är frågan om den personuppgiftsbehandling som kan ske enligt bestämmelserna om informationsföreläggande är förenlig med artiklarna 5 och 6 i dataskyddsförordningen.

Vid denna bedömning bör särskilt beaktas att bestämmelserna om informationsföreläggande tillkommit genom EU-lagstiftning – det förut nämnda civilrättsliga sanktionsdirektivet. I direktivets skäl framhålls bl.a. att immaterialrättsligt skydd är en grundläggande förutsättning för en framgångsrik inre marknad.

När dataskyddsförordningen ställer krav på att ett allmänt intresse ska föreligga (se t.ex. artikel 6.1. e, 6.3 b andra stycket samt skäl 50) synes detta stämma väl in på syftet med bestämmelserna

Krav på behandlingen av personuppgifter Ds 2017:19

om informationsföreläggande. Också när dataskyddsförordningen hänvisar till att ett berättigat intresse ska föreligga (se t.ex. artikel 6.1 f), framstår det som rimligt att utgå från att bestämmelserna om informationsföreläggande ger uttryck för ett sådant. Detta bör därför vara utgångspunkten vid bedömningen av om det svenska genomförandet av det civilrättsliga sanktionsdirektivet är förenligt också med dataskyddsförordningen.

Som framgått tidigare innebär dataskyddsförordningen en skärpning till förmån för den registrerade i vissa hänseenden.

När det först gäller utlämnandet av personuppgifter i enlighet med ett informationsföreläggande är bl.a. artikel 6.1 c av relevans. Enligt bestämmelsen är behandling av personuppgifter laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Föreläggandet att lämna ut vissa uppgifter får anses gå ut på en sådan förpliktelse. Vidare framgår syftet med behandlingen av bestämmelserna som också, enligt tidigare resonemang i detta avsnitt, får anses uppfylla ett mål av allmänt intresse och vara proportionerliga i förhållande till det legitima mål som eftersträvas, vilket krävs för att behandlingen ska vara tillåten (artikel 6.3).

Även artikel 6.1 f i dataskyddsförordningen är av relevans – både när det gäller utlämnande och insamlande av personuppgifter enligt ett informationsföreläggande. Av bestämmelsen framgår att en behandling av personuppgifter är laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, och den registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre och kräver ett skydd av personuppgifterna.

I samband med att bestämmelserna om informationsföreläggande infördes i svensk rätt konstaterades att innehavaren av immateriella rättigheter har ett berättigat intresse att kunna tillvarata sin rätt till egendom och få information om den misstänkte intrångsgöraren. Detta intresse ansågs som utgångspunkt väga tyngre än en registrerads rätt till privatliv (prop. 2008/09:67 s. 141 f). Förutsatt att ett informationsföreläggande meddelas i ett konkret fall kommer domstol också att ha prövat att åtgärden är proportionerlig.

Bedömningen är därför att den personuppgiftsbehandling som kan vidtas mot bakgrund av bestämmelserna om

Ds 2017:19 Krav på behandlingen av personuppgifter

informationsföreläggande är laglig enligt artikel 6.1 c och f i dataskyddsförordningen (jfr också artikel 6.1 d och e).

Behandlingen av personuppgifter måste också vara tillåten enligt artikel 5 i dataskyddsförordningen. Enligt den artikeln ska personuppgifterna samlas in för särskilda, uttryckligt angivna ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål – alltså den förut nämnda finalitetsprincipen (artikel 5.1 b). Vanligtvis har en informationsskyldig, t.ex. en internetleverantör, samlat in eller sparat personuppgifter för ändamål som sammanhänger med dennes kommersiella verksamhet, t.ex. som underlag för fakturering. När uppgifterna därefter lämnas ut, i enlighet med vad som föreskrivs i ett informationsföreläggande, används de för ett annat ändamål än det som motiverat insamlingen. En sådan ytterligare behandling av uppgifterna är tillåten om behandlingen grundar sig på medlemsstaternas nationella rätt och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse (skäl 50). Detta gäller oavsett om behandlingen är förenlig med det ursprungliga ändamålet eller inte. Denna slutsats får också stöd av en motsatstolkning av artikel 6.4. Där ges en särskild regel för det fall då en behandling för andra ändamål än det ursprungliga inte grundar sig på den registrerades samtycke eller medlemsstaternas nationella rätt och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda vissa mål avsedda i artikel 23. I så fall krävs att vissa särskilda omständigheter beaktas vid prövningen av om behandlingen är förenlig med det ursprungliga ändamålet. Bland de mål som anges i artikel 23.1 nämns bl.a. säkerställandet av skydd av andras rättigheter och verkställighet av civilrättsliga krav (punkterna i och j). Det är tydligt att artikeln, liksom skäl 50, utgår från att en sådan nödvändig och proportionell ytterligare behandling som anges under alla omständigheter är tillåten. Inte heller artikel 5 hindrar därför att personuppgifter lämnas ut i enlighet med de nuvarande bestämmelserna om informationsföreläggande. Rättighetshavarna torde både samla in och vidarebehandla personuppgifter för samma ändamål inom ramen för systemet med informationsförelägganden. Deras personuppgiftsbehandling enligt bestämmelserna om informationsföreläggande bedöms därför vara förenlig med artikel 5.

Krav på behandlingen av personuppgifter Ds 2017:19

Sammanfattningsvis kan alltså konstateras att de befintliga bestämmelserna om informationsföreläggande är förenliga med artiklarna 5 och 6 i dataskyddsförordningen. När det gäller bestämmelsernas förenlighet med artikel 10 i förordningen, se avsnitt 4.3. Se också avsnitt 5.3.

4.2. Känsliga personuppgifter

Förslag: Hänvisningar till personuppgiftslagen ska ersättas av

hänvisningar till dataskyddsförordningen.

Bedömning: De fastighetsrättsliga och associationsrättsliga

bestämmelserna om känsliga personuppgifter är förenliga med dataskyddsförordningen.

Skälen för förslaget och bedömningen

Personuppgiftslagens krav

Enligt 13 § PUL är det förbjudet att behandla s.k. känsliga personuppgifter, dvs. personuppgifter som rör hälsa eller sexualliv och personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Undantag från detta förbud finns i 15–19 §§ PUL.

Dataskyddsförordningens krav

I artikel 9.1 i dataskyddsförordningen finns, i likhet med PUL, ett generellt förbud mot behandling av känsliga personuppgifter. Enligt förordningen omfattar känsliga personuppgifter emellertid även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person och uppgifter om en fysisk persons sexuella läggning. Vidare finns i artikel 9.2 undantag från förbudet. Exempelvis är behandling tillåten i följande fall, vilka bedöms särskilt relevanta för de fastighetsrättsliga och associationsrättsliga författningarna.

Ds 2017:19 Krav på behandlingen av personuppgifter

  • Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (9.2 c).
  • Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade (9.2 e).
  • Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet (9.2 f).
  • Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (9.2 g).

Vissa av undantagen, t.ex. g), hänvisar till nationell rätt. Hänvisningarna ska enligt Dataskyddsutredningen tolkas som att dessa undantag bör föreskrivas i nationell rätt (SOU 2017:39 s. 162165).

Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår i dataskyddslagen vissa generella undantag från förbudet att behandla känsliga personuppgifter, bl.a. för att möjliggöra behandling med hänsyn till viktiga allmänintressen (dvs. ett utflöde av artikel 9.2 g i dataskyddsförordningen). Utredningen föreslår i det avseendet att myndigheter ska få behandla känsliga personuppgifter i löpande text, om uppgifterna har lämnats in i ett ärende eller är nödvändiga för handläggningen av det, eller om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag. Dessutom ska myndigheter få behandla känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen och den inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Därutöver föreslås att regeringen ska få meddela

Krav på behandlingen av personuppgifter Ds 2017:19

föreskrifter om ytterligare undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse (3 kap. 3 och 8 §§ dataskyddslagen).

För att säkerställa lämpliga och särskilda skyddsåtgärder föreslår utredningen samtidigt att myndigheter som behandlar känsliga personuppgifter enbart med stöd av 3 kap. 3 § dataskyddslagen inte får använda sökbegrepp som avslöjar känsliga personuppgifter (3 kap. 4 § dataskyddslagen).

Hänvisningar till personuppgiftslagen bör ersättas med hänvisningar till dataskyddsförordningen

Bestämmelser som hänvisar till 13 § PUL finns i inskrivningsförordningen (2000:309), förordningen om Post- och Inrikes Tidningar och förordningen (2011:58) om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar. De aktuella bestämmelserna kan sorteras in i tre kategorier; en som anger att känsliga personuppgifter som avses i 13 § PUL inte får behandlas, en som anger att känsliga personuppgifter som avses i 13 § PUL får behandlas under vissa förutsättningar och en som anger att känsliga personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp.

De bestämmelser som anger att känsliga personuppgifter överhuvudtaget inte får behandlas respektive användas som sökbegrepp bedöms förenliga med dataskyddsförordningen, eftersom de överensstämmer med huvudregeln i artikel 9. Sökförbudet täcks inte heller av Dataskyddsutredningens förslag, som gäller behandling enbart med stöd av 3 kap. 3 § dataskyddslagen.

Kvar finns då två bestämmelser som anger att känsliga personuppgifter får behandlas under vissa förutsättningar.

Den första bestämmelsen finns i 20 b § inskrivningsförordningen. Paragrafen anger att känsliga personuppgifter får behandlas i Lantmäteriets ärenderegister, om uppgifterna finns i en handling som har kommit in till inskrivningsmyndigheten eller uppgifterna är nödvändiga för handläggningen av ärendet och finns i en handling som har upprättats av myndigheten. Sådan behandling bedöms därför vara nödvändig med hänsyn till ett viktigt allmänt intresse, och behandlingsgrunden framgår dessutom av nationell rätt. Det bedöms vara tillräckligt tydligt vilken behandling som är

Ds 2017:19 Krav på behandlingen av personuppgifter

tillåten. Med hänsyn till att känsliga personuppgifter inte får användas som sökbegrepp enligt författningen i fråga finns det också lämpliga och särskilda skyddsåtgärder. Behandlingen är därför tillåten med stöd av artikel 9.2 g i dataskyddsförordningen. Dessutom kan behandling vara nödvändig och tillåten på andra grunder enligt artikel 9.2.

Den andra bestämmelsen finns i 7 § förordningen om Post- och Inrikes Tidningar. Paragrafen anger att känsliga personuppgifter får kungöras endast om det är nödvändigt för att kungöra sådana uppgifter som enligt lag eller förordning ska kungöras. Sådan behandling bedöms därför vara nödvändig med hänsyn till ett viktigt allmänt intresse och behandlingsgrunden framgår dessutom av nationell rätt. Det bedöms vara tillräckligt tydligt vilken behandling som är tillåten. Med hänsyn till att känsliga personuppgifter inte får användas som sökbegrepp enligt författningen i fråga finns det också tillräckliga skyddsåtgärder. Behandlingen är därför tillåten med stöd av artikel 9.2 g i dataskyddsförordningen. Dessutom kan behandling vara nödvändig och tillåten på andra grunder enligt artikel 9.2.

Sammanfattningsvis är bestämmelserna om känsliga personuppgifter förenliga med dataskyddsförordningen. Hänvisningarna till 13 § PUL bör emellertid ersättas med hänvisningar till artikel 9 i dataskyddsförordningen. Det bör i sammanhanget påpekas att behandlingen i det enskilda fallet måste leva upp till dataskyddsförordningens krav i övrigt, t.ex. principerna för behandling i artikel 5, för att vara tillåten.

På transporträttens och immaterialrättens område finns inte några bestämmelser om känsliga personuppgifter eller några hänvisningar till 13 § PUL.

4.3. Uppgifter om fällande domar i brottmål och överträdelser

Förslag: Hänvisningar till personuppgiftslagen ska ersättas av

hänvisningar till dataskyddsförordningen eller tas bort.

Bedömning: De associationsrättsliga och immaterialrättsliga

bestämmelserna om uppgifter om fällande domar i brottmål och överträdelser är förenliga med dataskyddsförordningen.

Krav på behandlingen av personuppgifter Ds 2017:19

Skälen för förslaget och bedömningen

Personuppgiftslagens krav

Enligt 21 § PUL är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Förbudet gäller dock inte behandling för forskningsändamål, under vissa i paragrafen angivna förutsättningar. Vidare får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om undantag från förbudet. Regeringen får dessutom i enskilda fall besluta om undantag från förbudet samt överlåta åt tillsynsmyndigheten att fatta sådana beslut.

Dataskyddsförordningens krav

Enligt artikel 10 i dataskyddsförordningen får personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast behandlas under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får dock endast föras under kontroll av en myndighet. Artikeln har i stort samma lydelse som artikel 8.5 i dataskyddsdirektivet, även om tillämpningsområdet beträffande brottmålsdomar begränsats till att enbart omfatta fällande sådana. Vidare är en betydande skillnad i förordningen jämfört med direktivet att det inte finns någon möjlighet för medlemsstaterna att på denna grund begränsa behandlingen av personuppgifter om avgöranden i tvistemål och administrativa sanktioner.

Dataskyddsutredningens förslag

Dataskyddsutredningen föreslår i sitt betänkande en paragraf som förtydligar att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella

Ds 2017:19 Krav på behandlingen av personuppgifter

tvångsmedel enligt artikel 10 i dataskyddsförorordningen får behandlas av myndigheter (3 kap. 9 § dataskyddslagen). Den föreslår också en paragraf som innebär att den myndighet som regeringen bestämmer i enskilda fall kan meddela särskilda beslut om att tillåta behandling av sådana uppgifter som avses i 9 § (3 kap. 10 § dataskyddslagen). Utredningen föreslår även att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter (3 kap. 12 § dataskyddslagen).

Utredningen bedömer samtidigt att det inte finns stöd i förordningen att föreskriva ett förbud mot behandling av personuppgifter om administrativa frihetsberövanden (SOU 2017:39 s. 192).

Hänvisningar till personuppgiftslagen i de associationsrättsliga författningarna bör ersättas med hänvisningar till dataskyddsförordningen

I 7 och 8 §§ förordningen om Post- och Inrikes Tidningar finns hänvisningar till 21 § PUL. Där anges dels att personuppgifter enligt 21 § PUL får kungöras under vissa förutsättningar, dels att personuppgifter enligt 21 § PUL inte får användas som sökbegrepp.

Det är Bolagsverket som kungör uppgifter i Post- och Inrikes Tidningar. Den behandling som sker av uppgifter om fällande domar i brottmål och överträdelser sker alltså under kontroll av en myndighet. De aktuella bestämmelserna i förordningen om Post- och Inrikes Tidningar bedöms redan av den anledningen vara förenliga med dataskyddsförordningen. Hänvisningarna till 21 § PUL bör dock ersättas med hänvisningar till artikel 10 i dataskyddsförordningen. Det bör i sammanhanget påpekas att behandlingen i det enskilda fallet måste leva upp till dataskyddsförordningens krav i övrigt, t.ex. principerna för behandling i artikel 5, för att vara tillåten.

På fastighetsrättens och transporträttens område finns inte några motsvarande bestämmelser.

Krav på behandlingen av personuppgifter Ds 2017:19

Hänvisningar till personuppgiftslagen i immaterialrättslagarna bör tas bort

I 53 g § lagen om upphovsrätt till litterära och konstnärliga verk, 57 g § patentlagen, 35 g § mönsterskyddslagen, 18 f § firmalagen, 9 g § lagen om skydd för kretsmönster för halvledarprodukter, 9 kap. 5 c § växtförädlarrättslagen och 10 kap. 3 § varumärkeslagen finns bestämmelser om undantag från 21 § PUL. I bestämmelserna klargörs att trots förbudet i 21 § PUL får personuppgifter om lagöverträdelser som innefattar brott behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Bestämmelserna infördes i samband med att det ovan nämnda civilrättsliga sanktionsdirektivet införlivades i svensk rätt och bestämmelserna om informationsföreläggande infördes. Bestämmelserna om informationsföreläggande ansågs förenliga med de dåvarande bestämmelserna i dataskyddsdirektivet. Däremot ansågs de stå i strid med 21 § PUL, vilken som huvudregel föreskriver att endast myndigheter får behandla personuppgifter om lagöverträdelser som innefattar brott. För att möjliggöra en effektiv användning av informationsföreläggandena infördes ett undantag från 21 § PUL i respektive immaterialrättslag.

Frågan nu är om den behandling av personuppgifter som kan ske enligt de befintliga bestämmelserna om informationsföreläggande i immaterialrättslagarna är förenliga med artikel 10 i dataskyddsförordningen.

De personuppgifter som lämnas ut och samlas in med stöd av ett informationsföreläggande kan röra sådana förhållanden som artikeln anger. Det kan diskuteras, om redan det faktum att en domstol måste pröva och godkänna en ansökan om informationsföreläggande, innebär att personuppgiftsbehandlingen sker under en sådan myndighetskontroll som avses i artikeln. Under alla förhållanden utgör den domstolsprövning och proportionalitetsbedömning som föregår ett beslut om informationsföreläggande en sådan lämplig skyddsåtgärd som tar till vara den registrerades rättigheter och friheter enligt artikel 10 i dataskyddsförordningen (se även förslag i avsnitt 5.3).

Det nuvarande kravet i bestämmelserna om informationsföreläggande på att behandlingen ska vara nödvändig för att ett

Ds 2017:19 Krav på behandlingen av personuppgifter

rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras bör kvarstå oförändrat. Detta krav har hittills ansetts uppfylla dataskyddsdirektivets snarlika bestämmelse om behandling av personuppgifter om lagöverträdelser (artikel 8.5 i dataskyddsdirektivet). Kravet överensstämmer också med ett av de undantag som möjliggör behandling av andra känsliga personuppgifter (artikel 8.2 e i dataskyddsdirektivet och artikel 9.2 f i dataskyddsförordningen). Att detta krav även framöver ska gälla för att det ska vara tillåtet att behandla personuppgifter som rör överträdelser säkerställer den registrerades intressen.

Liksom konstaterats ovan föreslår dataskyddsutredningen i sitt betänkande att det ska införas bestämmelser i dataskyddslagen som har en något annorlunda avfattning än 21 § PUL. Dataskyddsutredningen föreslår vidare att en ny bestämmelse ska införas i den kompletterande förordningen som bl.a. anger att personuppgifter som rör lagöverträdelser som innefattar brott får behandlas av andra än myndigheter om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall. Mot bakgrund av den nya bestämmelsen i den kompletterande förordningen kan man ifrågasätta om det fortfarande behövs ett förtydligande i immaterialrättslagarna av det slag som finns idag. För att ingen osäkerhet ska råda om att denna typ av personuppgifter även fortsättningsvis får behandlas i immaterialrättsliga sammanhang kan det vara lämpligt att förtydligandet kvarstår. Hänvisningarna till 21 § PUL i de immaterialrättsliga lagarna bör emellertid tas bort.

5. Personuppgiftsansvariga och personuppgiftsbiträden

5.1. Personuppgiftsansvarigas roll

Liksom i dataskyddsdirektivet förutsätts i dataskyddsförordningen att det finns en personuppgiftsansvarig (tidigare registeransvarig) för all personuppgiftsbehandling. Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Om ändamålen med och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller den nationella rätten (artikel 4.7 i dataskyddsförordningen).

Med uppgiften som personuppgiftsansvarig följer vissa skyldigheter enligt dataskyddsförordningen. Dessa skyldigheter är i grunden desamma som i dataskyddsdirektivet. Även dataskyddsförordningen kräver till exempel att den personuppgiftsansvarige ser till att behandlingen av personuppgifter sker på ett korrekt och säkert sätt (artikel 5.2), att oriktiga uppgifter rättas (artikel 16) och att den registrerade ersätts för skada som en rättstridig behandling av personuppgifter har medfört (artikel 82).

En nyhet i dataskyddsförordningen är kravet i artikel 26 på att gemensamt personuppgiftsansvariga ska ha ett inbördes arrangemang. Enligt artikeln ska gemensamt personuppgiftsansvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordningen, såvida inte deras respektive skyldigheter fastställs genom unionsrätten eller den nationella rätt som de omfattas av. Arrangemanget ska återspegla de gemensamt

Personuppgiftsansvariga och personuppgiftsbiträden Ds 2017:19

personuppgiftsansvarigas roller och förhållanden gentemot de registrerade. Oavsett arrangemang får dock den registrerade utöva sina rättigheter enligt förordningen med avseende på, och emot, var och en av de personuppgiftsansvariga.

En annan nyhet är att den personuppgiftsansvarige (och personuppgiftsbiträdet, se nedan) i större utsträckning än tidigare är skyldig att utse ett dataskyddsombud (tidigare uppgiftsskyddsombud). Till exempel blir det obligatoriskt för i princip samtliga myndigheter att ha ett sådant ombud (artikel 37). I sammanhanget kan det nämnas att dataskyddsombudets ställning stärks, bl.a. genom att ombudet ska rapportera direkt till högsta förvaltningsnivån och att ombudet inte får tilldelas arbetsuppgifter som leder till en intressekonflikt (artikel 38).

5.2. Personuppgiftsbiträdenas roll

Dataskyddsförordningen medför något större förändringar för personuppgiftsbiträdena (tidigare registerförare). Definitionen av personuppgiftsbiträdet är densamma som för dataskyddsdirektivets registerförare, nämligen den som behandlar personuppgifter för den personuppgiftsansvariges räkning (artikel 4.8 i dataskyddsförordningen). Mer långtgående skyldigheter för personuppgiftsbiträdet införs emellertid genom dataskyddsförordningen. Till exempel får biträdet inte anlita underbiträden utan tillstånd från den personuppgiftsansvarige (artikel 28.2). Vidare uppställs nya krav på det avtal eller den rättsakt som reglerar biträdets personuppgiftsbehandling (se artikel 28.3). Personuppgiftsbiträdet ska vidare, tillsammans med den personuppgiftsansvarige, i tillämpliga fall utse dataskyddsombudet (artikel 38).

Av särskild betydelse är att det genom dataskyddsförordningen införs egna skyldigheter för personuppgiftsbiträdena. Till exempel är biträdet skyldigt att ha en godtagbar säkerhetsnivå (artikel 32). Vidare kan ett biträde under vissa förutsättningar bli skyldig att betala ersättning till den registrerade vid felaktig personuppgiftsbehandling (artikel 82).

Ds 2017:19 Personuppgiftsansvariga och personuppgiftsbiträden

5.3. Bestämmelser om personuppgiftsansvaret

Förslag: Hänvisningar till personuppgiftslagen ska tas bort. I

immaterialrättslagarna ska, i bestämmelserna om informationsföreläggande, klargöras att både den informationsskyldige och sökanden kan vara personuppgiftsansvariga. Vidare ska det tydliggöras att dessa har en skyldighet att behandla personuppgifter i enlighet med dataskyddsförordningens bestämmelser. Slutligen ska det i immaterialrättslagarna anges att domstolen ska ta in en erinran om detta i ett beslut om informationsföreläggande.

Bedömning: Bestämmelser i registerförfattningar om vem

som är personuppgiftsansvarig bör behållas. Författningar som pekar ut den registerförande myndigheten men inte den som är personuppgiftsansvarig behöver däremot inte kompletteras med bestämmelser om vem som är personuppgiftsansvarig.

Skälen för förslaget och bedömningen

Bestämmelser som pekar ut en personuppgiftsansvarig kan behållas

Bestämmelser som pekar ut en personuppgiftsansvarig enligt PUL finns i bl.a. 5 § lagen (2000:224) om fastighetsregister, 1 kap. 1 § fartygsregisterförordningen (1975:927) och 3 § förordningen (2005:142) om inskrivning av rätt till luftfartyg. För dessa register bestäms ändamålen med och medlen för behandlingen i författning (se t.ex. 1 och 2 §§ lagen om fastighetsregister). Vidare finns i bl.a. 1 kap. 2 a § sjölagen, 4 kap. 1 § lagen (2008:990) om företagshypotek och 18 § lagen (2008:1075) om inteckningsbrevsregister bestämmelser som ger regeringen rätt att meddela föreskrifter i fråga om personuppgiftsansvar enligt PUL.

De nämnda bestämmelserna om personuppgiftsansvar bedöms i sig förenliga med dataskyddsförordningen, eftersom det enligt artikel 4.7 är tillåtet att peka ut vem som är personuppgiftsansvarig i nationell lagstiftning. Hänvisningarna till PUL bör dock tas bort. Det är inte nödvändigt att ersätta hänvisningarna till PUL med hänvisningar till dataskyddsförordningen. Bestämmelserna behöver i förekommande fall inte heller kompletteras med mer detaljerade uppgifter om vem som är personuppgiftsansvarig.

Personuppgiftsansvariga och personuppgiftsbiträden Ds 2017:19

I immaterialrättslagarna ska ansvaret för personuppgiftsbehandling förtydligas

På immaterialrättens område saknas det bestämmelser som uttryckligen anger vem som är personuppgiftsansvarig. När det gäller informationsförelägganden står det emellertid klart att både den som lämnar ut personuppgifter enligt ett föreläggande och den som samlar in samma uppgifter, utför personuppgiftsbehandling och kan vara personuppgiftsansvariga.

Eftersom situationen på immaterialrättsområdet är speciell, med två enskilda parter som var för sig ska behandla personuppgifter som i många fall avser överträdelser, finns det anledning att förtydliga att dataskyddsförordningens bestämmelser är tillämpliga. I bestämmelserna om informationsföreläggande bör det därför anges att både sökanden och den informationsskyldige är skyldiga att behandla personuppgifter enligt dataskyddsförordningens bestämmelser. Domstolen bör i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga. (Se även resonemang i avsnitt 4.3.)

Övriga författningar som inte pekar ut den personuppgiftsansvarige behöver inte kompletteras

Det finns också författningar som pekar ut vem som ska föra ett visst register eller en förteckning över vissa uppgifter, utan att uttryckligen peka ut den personuppgiftsansvarige. Som exempel kan nämnas lagen (1994:448) om pantbrevsregister, där det i 1 § föreskrivs att den statliga lantmäterimyndigheten (dvs. Lantmäteriet) ska föra registret. Både ändamålen med och medlen för behandlingen bestäms i författningen (se 2 och 3 §§). Detta möjliggör enligt artikel 4.7 i dataskyddsförordningen att det i nationell rätt föreskrivs vem som är personuppgiftsansvarig. Någon bestämmelse om detta finns emellertid inte i lagen.

Att den personuppgiftsansvarige får pekas ut i nationell rätt betyder inte att så måste ske. De berörda författningarna behöver därför inte kompletteras med uppgift om vem som är personuppgiftsansvarig.

Ds 2017:19 Personuppgiftsansvariga och personuppgiftsbiträden

5.4. Fastighetsregistret

5.4.1. Personuppgiftsansvaret för fastighetsregistret

Bedömning: Lantmäteriet ska även fortsättningsvis vara ensamt

personuppgiftsansvarigt för fastighetsregistret.

Skälen för bedömningen: Lantmäteriet, som tidigare bestod av

Lantmäteriverket och 21 lantmäterimyndigheter, är sedan år 2008 en myndighet. Utöver Lantmäteriet finns det också kommunala lantmäterimyndigheter, vars verksamhet regleras i lagen (1995:1393) om kommunal lantmäterimyndighet.

Både Lantmäteriet och de kommunala lantmäterimyndigheterna för in och tar bort uppgifter i fastighetsregistret (se t.ex. 19 kap. 6 § fastighetsbildningslagen). Vidare har landets kommuner rätt att föra in och ta bort uppgifter i bl.a. registrets adressdel (59 § förordningen [2000:308] om fastighetsregister). Därutöver är det inskrivningsmyndigheten som för fastighetsregistrets inskrivningsdel. Det är den statliga lantmäterimyndigheten, dvs. Lantmäteriet, som är inskrivningsmyndighet (19 kap.1 och 3 §§jordabalken).

Trots att det alltså är flera aktörer som för in uppgifter i fastighetsregistret, är det Lantmäteriet som ensamt är personuppgiftsansvarigt för registret (5 § lag om fastighetsregister). För- och nackdelarna med denna ordning vägdes mot varandra i samband med att lagen om fastighetsregister infördes (se prop. 1999/2000:39 s. 7981). Det saknas skäl att nu göra någon annan bedömning. Lantmäteriet ska alltså även i fortsättningen vara ensamt personuppgiftsansvarigt för fastighetsregistret.

5.4.2. Ansvaret för drift och förvaltning av fastighetsregistret

Bedömning: Lantmäteriets ansvar enligt dataskydds-

förordningen påverkas inte av att kommunala lantmäterimyndigheter i vissa fall själva ansvarar för drift och förvaltning.

Skälen för bedömningen: I 2 § förordningen om fastighets-

register anges att det är Lantmäteriet som ansvarar för drift och förvaltning av fastighetsregistret men att en kommunal lantmäteri-

Personuppgiftsansvariga och personuppgiftsbiträden Ds 2017:19

myndighet som inte använder statens system för automatiserad behandling av registerkartor själv ansvarar för drift och förvaltning av sitt system. En sådan ordning är både logisk och rimlig och bör stå kvar. Ordningen innebär emellertid inte att den personuppgiftsansvariges (dvs. Lantmäteriets) ansvar enligt dataskyddsförordningen påverkas.

I sammanhanget bör det nämnas att Lantmäteriet i promemorian ”En rikstäckande digital registerkarta, m.m.” föreslår att de kommunala lantmäterimyndigheterna inte ska kunna använda egna system vid förandet av registerkartan (dnr Ju2016/00947/L1). I promemorian föreslår Lantmäteriet bl.a. att 2 § andra stycket förordningen om fastighetsregister ska upphävas. Lantmäteriet föreslår att författningsändringarna ska träda i kraft den 1 januari 2018.

5.4.3. Reglering av personuppgiftsbiträdens hantering av personuppgifter i fastighetsregistret

Förslag: Lantmäteriet ska få meddela föreskrifter om person-

uppgiftsbiträdens hantering av personuppgifter.

Bedömning: När de kommunala lantmäterimyndigheterna

och kommunerna för in uppgifter i fastighetsregistret så är de personuppgiftsbiträden enligt dataskyddsförordningen.

Skälen för förslaget och bedömningen: Eftersom Lantmäteriet

ensamt är personuppgiftsansvarigt, är de kommunala lantmäterimyndigheterna och kommunerna personuppgiftsbiträden, när de för in eller tar bort uppgifter i fastighetsregistret – de får då anses behandla personuppgifter för Lantmäteriets räkning (artikel 4.8 i dataskyddsförordningen).

Som nämns ovan ska det finnas ett biträdesavtal eller en rättsakt som reglerar biträdets hantering av personuppgifter (artikel 28.3 i dataskyddsförordningen). Av författning framgår redan i vilka delar av fastighetsregistret som de kommunala lantmäterimyndigheterna och kommunerna får föra in och ta bort uppgifter (se t.ex. 19 kap. 6 § fastighetsbildningslagen). Dataskyddsförordningen ställer emellertid ytterligare krav på avtalet eller rättsakten. Bland annat ska föremålet för behandlingen och

Ds 2017:19 Personuppgiftsansvariga och personuppgiftsbiträden

behandlingens varaktighet anges. I fråga om fastighetsregistret framstår det som lämpligast att dessa ytterligare krav regleras i en författning, och inte i avtal. Eftersom det är den personuppgiftsansvarige, dvs. Lantmäteriet, som bäst känner till sin egen verksamhet och organisation, är det lämpligast att Lantmäteriet får meddela föreskrifter i anledning av artikel 28.3 i dataskyddsförordningen, om det behövs. Det hör till regeringens restkompetens att delegera denna föreskriftsrätt till Lantmäteriet.

Det sagda medför att en ny bestämmelse bör införas i förordningen om fastighetsregister med innebörden att Lantmäteriet får meddela de föreskrifter som krävs i fråga om fastighetsregistret i anledning av artikel 28.3 i dataskyddsförordningen.

6. Den registrerades rättigheter

6.1. Rättigheterna enligt dataskyddsförordningen och dataskyddslagen

I dataskyddsförordningens tredje kapitel behandlas den registrerades rättigheter. Kapitlet avser rätten till information (artiklarna 13 och 14) och registerutdrag (artikel 15). Vidare behandlas rätten till rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18) och dataportabilitet (artikel 20). Slutligen behandlas rätten att göra invändningar (artikel 21) och att motsätta sig automatiskt individuellt beslutsfattande (artikel 22). I anslutning till dessa rättigheter finns bestämmelser om hur och när information ska lämnas (artikel 12) och bestämmelser om anmälningsskyldighet för det fall rättelse, radering eller begränsning av behandling sker (artikel 19).

Den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är emellertid inte absoluta utan kan enligt artikel 23 i dataskyddsförordningen begränsas under vissa förutsättningar.

Dataskyddsutredningen föreslår en paragraf som gör undantag från informationsskyldigheten enligt artiklarna 13–15, om sekretess eller tystnadsplikt föreligger (5 kap. 1 § dataskyddslagen). Utredningen föreslår vidare att den registrerades rätt till registerutdrag som huvudregel inte ska omfatta personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande (5 kap. 2 § dataskyddslagen). Slutligen föreslår utredningen ett generellt bemyndigande för regeringen att meddela föreskrifter om ytterligare begränsningar enligt artikel 23 i dataskyddsförordningen (5 kap. 3 § dataskyddslagen).

Den registrerades rättigheter Ds 2017:19

6.2. Rätten till information

Bedömning: Rätten till information enligt dataskydds-

förordningen föranleder inte några författningsändringar på de berörda rättsområdena.

Skälen för bedömningen

Rätten till information föranleder inte några författningsändringar inom fastighetsrätten, associationsrätten eller transporträtten

Bestämmelser om att den personuppgiftansvarige självmant ska lämna viss information till den registrerade finns i artiklarna 13 och 14 i dataskyddsförordningen. Motsvarande bestämmelser, om än inte lika utförliga, finns i artiklarna 10 och 11 i dataskyddsdirektivet, vilka i svensk rätt har genomförts genom 23–25 §§ PUL. Några särregler i förhållande till PUL i detta avseende finns inte i de fastighetsrättsliga, associationsrättsliga eller transporträttsliga författningarna. Det finns inte heller framöver något behov av särregler, nu i förhållande till dataskyddsförordningen. Rätten till information enligt artiklarna 13 och 14 föranleder alltså inte några författningsändringar på dessa rättsområden.

Rätten till information föranleder inte heller några författningsändringar inom immaterialrätten

I de immaterialrättsliga lagarna finns viss särreglering gällande skyldigheten att informera en registrerad om utlämnande av uppgifter enligt ett informationsföreläggande. Enligt bestämmelserna ska den registrerade informeras om utlämnandet, tidigaste en månad och senast tre månader efter det att uppgifterna lämnades ut.

Dataskyddsförordningen innehåller ett strängare informationskrav. I artikel 14.3 a föreskrivs att en personuppgiftsansvarig ska informera den registrerade inom en rimlig period sedan personuppgifterna tagits emot, dock senast inom en månad. Vid utlämnande av uppgifter ska information till den registrerade lämnas senast när personuppgifterna lämnas ut första gången (artikel 14.3 c). Undantag från dessa bestämmelser gäller

Ds 2017:19 Den registrerades rättigheter

dock bl.a. när ett utfående eller utlämnande av uppgifterna uttryckligen föreskrivs i den nationella rätten, vilket är fallet när det gäller informationsförelägganden, och det fastställs lämpliga åtgärder för att skydda den registrerades berättigade intressen. Mot bakgrund av den domstolsprövning som föregår ett informationsföreläggande (se avsnitt 4.3), att viss information om utlämnandet fortfarande ska ges samt att syftet med den förlängda tidsfristen är att undvika undanröjande av bevisning, bedöms den registrerades berättigade intressen vara tillgodosedda på det sätt som krävs enligt förordningen. Den förlängda tidsfristen i immaterialrättslagarna, inom vilken viss information om utlämnandet ska lämnas, bedöms därmed vara förenlig med dataskyddsförordningen.

6.3. Rätten till registerutdrag

Förslag: Författningar som tillåter att ett registerutdrag

begränsas till sitt innehåll i fråga om uppgifter som den enskilde redan har tagit del av ska kompletteras med en erinran om dataskyddsförordningens tidsfrister för utfående av information. Transporträttsliga bestämmelser om registerutdrag ska kompletteras med hänvisningar till dataskyddsförordningen. Vidare ska hänvisningar till personuppgiftslagen ersättas av hänvisningar till dataskyddsförordningen.

Skälen för förslaget

Personuppgiftslagen

Enligt 26 § PUL är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per år och utan kostnad lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte. Om sådana uppgifter behandlas, ska dessutom viss ytterligare information lämnas. Detta brukar kallas rätten till registerutdrag.

Den registrerades rättigheter Ds 2017:19

Dataskyddsförordningen

Att den registrerade ska ha rätt att få en bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas och, om så är fallet, även få viss ytterligare information, framgår av artikel 15 i dataskyddsförordningen. Denna rätt kan enligt artikel 23 i dataskyddsförordningen begränsas under vissa förutsättningar. Av betydelse är därutöver artikel 12.3 i dataskyddsförordningen, som får tolkas så att den personuppgiftsansvarige ska lämna registerutdraget till den registrerade utan onödigt dröjsmål och under alla omständigheter senast en månad efter den registrerades begäran. Perioden får under vissa förutsättningar förlängas.

De fastighetsrättsliga och associationsrättsliga författningarna

Hänvisningar till rätten till registerutdrag enligt PUL finns i bl.a. 15 g § förordningen (1987:978) om ekonomiska föreningar, 2 g § stiftelseförordningen (1995:1280) och 20 f § inskrivningsförordningen. De aktuella bestämmelserna anger att sådan information som ska lämnas enligt 26 § PUL inte behöver omfatta uppgifter i vissa handlingar, om den enskilde har tagit del av handlingens innehåll. I ett sådant fall ska det i stället framgå av informationen att handlingen behandlas av myndigheten. Om den enskilde begär det, ska dock informationen även omfatta uppgifterna i en sådan handling.

Ett sätt att se på dessa bestämmelser är att de begränsar rätten till registerutdrag. Som nämnts kan dataskyddsförordningens rättigheter begränsas, under förutsättning att det sker i enlighet med artikel 23. Möjligen kan punkten 1.e i den artikeln ge stöd för att begränsa registerutdrag till att avse endast sådan information som den registrerade inte redan har tillgång. I annat fall, om artikel 23 i dataskyddsförordningen inte ger stöd för en sådan begränsning, kan det hävdas att de aktuella bestämmelserna skulle behöva upphävas.

Bestämmelserna bedöms emellertid inte utgöra begränsningar av rätten till registerutdrag. Om den registrerade begär det, ska informationen nämligen omfatta även uppgifterna i handlingar som den enskilde har tagit del av. Bestämmelserna bedöms därför i sig förenliga med artikel 15 i dataskyddsförordningen. Denna ordning

Ds 2017:19 Den registrerades rättigheter

kan emellertid medföra ett visst dröjsmål innan all information som den registrerade har rätt till lämnas ut. Dröjsmålet är inte onödigt men får samtidigt inte medföra att informationen som begärs lämnas till den registrerade senare än en månad från den ursprungliga begäran. Det innebär att en personuppgiftsansvarig som vill använda sig av möjligheten att begränsa registerutdraget på det nu aktuella sättet måste lämna registerutdraget med skyndsamhet. Det måste ske så snabbt efter begäran att uppgifterna i handlingar som den enskilde har tagit del av, om de begärs, kan lämnas inom en månad från den ursprungliga begäran. Bestämmelserna bör därför kompletteras med en erinran om att de ska tillämpas så att tidsfristerna i artikel 12.3 i dataskyddsförordningen kan iakttas. Därutöver bör hänvisningarna till 26 § PUL i detta fall ersättas med hänvisningar till artikel 15 i dataskyddsförordningen.

De immaterialrättsliga författningarna

På immaterialrättens område finns inte några särskilda bestämmelser om den registrerades rätt till registerutdrag eller hänvisningar till 26 § PUL. Att dataskyddsförordningens bestämmelse om den registrerades rätt till registerutdrag (artikel 15) blir direkt tillämplig medför därför inte något behov av ändringar i de immaterialrättsliga författningarna. Det bedöms inte heller finnas behov av att i dessa författningar begränsa den registrerades rätt till tillgång. På immaterialrättens område kommer dataskyddsförordningens bestämmelse om rätt till tillgång sannolikt i praktiken att få en begränsad betydelse. Bland annat eftersom den registrerade ändå kommer att få viss information, t.ex. från den personuppgiftsansvarige när uppgifterna samlas in eller lämnas ut eller genom att rättighetshavaren tar kontakt.

De transporträttsliga författningarna

Inte heller på transporträttens område finns några hänvisningar till 26 § PUL. I förordningen om inskrivning av rätt till luftfartyg (29 och 32 §§) och fartygsregisterförordningen (5 kap. 26 §) finns dock bestämmelser om att vissa upplysningar ur registren ska lämnas i

Den registrerades rättigheter Ds 2017:19

form av registerutdrag. Vidare föreskriver förordningarna vilka uppgifter som ska ingå i registerutdraget, bl.a. genom en hänvisning till vad som enligt lag eller annan författning ska ha förts in i registret (32 § i förordningen om inskrivning av rätt till luftfartyg och 5 kap. 26 § i fartygsregisterförordningen). Sådan information kan avse personuppgifter. Slutligen reglerar förordningarna i vilken form ett registerutdrag ska levereras (33 § i förordningen om inskrivning av rätt till luftfartyg och 5 kap. 27 och 28 §§ i fartygsregisterförordningen). Den registrerades rätt till information om personuppgiftsbehandling enligt artikel 15 i dataskyddsförordningen är mer omfattande än de ovan angivna bestämmelserna. Också bestämmelserna om i vilken form ett registerutdrag ska levereras skiljer sig åt. För att tydliggöra att ett registerutdrag enligt förordningen om inskrivning av rätt till luftfartyg och fartygsregisterförordningen inte ersätter den registrerades rätt till information enligt artikel 12 och 15 i dataskyddsförordningen bör bestämmelserna kompletteras med en upplysningshänvisning till dataskyddsförordningen.

Att det enligt en transporträttslig författning finns en skyldighet för den som väckt talan om förverkande av registrerat skepp eller luftfartyg att begära ett registerutdrag framstår som förenligt med dataskyddsförordningen (förordning [2005:143] om skyldighet att i vissa fall begära registerutdrag för registrerat skepp eller luftfartyg).

6.4. Rätten till rättelse

6.4.1. Hittillsvarande rättsläge

Rättelse enligt personuppgiftslagen

Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med PUL eller föreskrifter som har utfärdats med stöd av PUL. Paragrafen rubriceras ”Rättelse”. Med detta menas rättelse i den vidare bemärkelsen korrigering, som alltså kan ske genom de alternativa metoderna rättelse, blockering och utplåning. Det är den som ska göra korrigeringen, dvs. den personuppgiftsansvarige, som ska välja

Ds 2017:19 Den registrerades rättigheter

mellan alternativen (se prop. 1997/98:44 s. 86). Av annan lagstiftning, eller av sakens natur, kan det dock följa att vissa korrigeringsmetoder inte kan användas i vissa fall, t.ex. när det gäller korrigering av personuppgifter i bokföring. En myndighet får inte heller utplåna uppgifter i en allmän handling, om det skulle strida mot andra bestämmelser. Av 28 § PUL framgår därutöver att den personuppgiftsansvarige i vissa fall ska underrätta en tredje man, till vilken uppgifterna har lämnats ut, om korrigeringsåtgärden.

Paragrafen gäller bara när personuppgifter har behandlats i strid med PUL (eller föreskrifter som utfärdats med stöd av PUL). Detta innebär bl.a. att korrigering enligt paragrafen inte kan ske vid överträdelser av sektorsspecifika bestämmelser om personuppgiftsbehandling. I den mån de sektorsspecifika bestämmelserna reglerar frågan om rättelse innehåller de därför egna rättelsebestämmelser eller hänvisningar till andra bestämmelser om rättelse.

Hänvisningar till personuppgiftslagen

På de fastighetsrättsliga och associationsrättsliga områdena finns flera författningar som hänvisar till PUL:s bestämmelser om rättelse. Sådana bestämmelser finns i t.ex. 3 kap. 9 § lagen om ekonomiska föreningar, 5 kap. 4 § aktiebolagslagen och 13 § förordningen (1995:665) om revisorer.

Hänvisningar till förvaltningslagen

Det finns också flera författningar som anger att 26 § förvaltningslagen (1986:223) ska tillämpas i stället för 28 § PUL. Sådana bestämmelser finns i t.ex. 15 f § förordningen om ekonomiska föreningar, 2 f § stiftelseförordningen och 2 kap. 6 § aktiebolagsförordningen (2005:559).

Enligt 26 § förvaltningslagen får ett beslut, som innehåller en uppenbar oriktighet till följd av någons skrivfel, räknefel eller liknande förbiseende, rättas av den myndighet som har meddelat beslutet. Innan rättelse sker ska myndigheten ge den som är part tillfälle att yttra sig, om ärendet avser myndighetsutövning mot någon enskild och det inte är obehövligt.

Den registrerades rättigheter Ds 2017:19

Egna rättelseregler för vissa register

På de fastighetsrättsliga, associationsrättsliga och transporträttsliga områdena finns även författningar med egna rättelsebestämmelser, bl.a. rörande fastighetsregistrets inskrivningsdel, företagsinteckningsregistret, inskrivningsregistret för luftfartyg och fartygsregistret. Inskrivningsmyndigheten ska rätta en uppenbar oriktighet i dessa register, om oriktigheten beror på skrivfel eller liknande förbiseende eller på ett tekniskt fel. Rättelsen ska i de flesta fall föregås av att vissa berörda ges tillfälle att yttra sig. (Se t.ex. 19 kap.22 och 24 §§jordabalken, 4 kap. 21 § lagen om företagshypotek, 48 § lagen om inskrivning av rätt till luftfartyg och 2 kap. 29 § sjölagen).

En snarlik rättelsebestämmelse finns i fråga om fastighetsregistrets allmänna del i 19 kap. 4 § fastighetsbildningslagen. Enligt den paragrafen ska en uppenbar oriktighet rättas, om det kan ske utan skada för en fastighetsägare eller rättighetshavare. Risk för sådan skada hindrar dock inte rättelse, om den uppenbara oriktigheten beror på ett tekniskt fel. Även i detta fall ska vissa berörda som utgångspunkt ges tillfälle att yttra sig innan ett beslut om rättelse fattas.

Rättelse i Post- och Inrikes Tidningar

Enligt 10 § förordningen om Post- och Inrikes Tidningar ska Bolagsverket snarast rätta en oriktig uppgift som har kungjorts i Post- och Inrikes Tidningar genom att kungöra det rätta förhållandet, om oriktigheten antingen beror på Bolagsverket eller beror på någon annan än Bolagsverket och den som har kungjort förhållandet begär en sådan åtgärd.

Frågor om rättelse prövas i vissa fall av någon annan än den personuppgiftsansvarige

Enligt 14 § andra stycket lagen om fastighetsregister ska frågor om rättelse enligt 28 § PUL prövas av någon annan än den personuppgiftsansvarige, om regeringen har föreskrivit det. Regeringen har i 81 § förordningen om fastighetsregister föreskrivit att frågor

Ds 2017:19 Den registrerades rättigheter

om rättelse enligt PUL av uppgifter i adressdelen, byggnadsdelen och taxeringsuppgiftsdelen prövas av den myndighet som har fört in den aktuella uppgiften.

Övriga bestämmelser om rättelse

Det finns ytterligare bestämmelser om rättelse. I 14 § första stycket lagen om fastighetsregister hänvisas till vissa av de särskilda rättelseregler som redogörs för ovan. I några andra författningar erinras om att beslut om rättelse får överklagas (14 § förordningen om revisorer, 14 § förordningen om Post- och Inrikes Tidningar, 48 § lagen om inskrivning av rätt till luftfartyg och 2 kap. 29 § sjölagen). Vidare finns ett flertal paragrafer som reglerar frågor av antingen processuell eller handläggningsmässig karaktär, och som behandlar andra frågor än dataskyddsförordningen. Exempelvis finns bestämmelser om laga domstol (19 kap. 32 § jordabalken) och bestämmelser med innebörden att anmärkningar ska göras i aktuellt register när felaktiga uppgifter upptäcks men inte kan rättas omedelbart (11 § förordningen [1994:598] om pantbrevsregister). Liknande skrivningar finns i 48 § lagen om inskrivning av rätt till luftfartyg och 2 kap. 29 § sjölagen.

6.4.2. Rättelse enligt dataskyddsförordningen

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade av den personuppgiftsansvarige. Med beaktande av ändamålet med behandlingen, ska den registrerade vidare ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom att tillhandahålla ett kompletterande utlåtande.

Av artikel 23 i dataskyddsförordningen framgår att rätten till rättelse kan begränsas i unionsrätten eller medlemsstaternas nationella rätt, om en sådan begränsning sker med respekt för andemeningen i de grundläggande fri- och rättigheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att säkerställa vissa, i artikeln angivna, syften. Ett sådant syfte är andra av unionens eller en medlemsstats viktiga mål av generellt

Den registrerades rättigheter Ds 2017:19

allmänt intresse (punkten 1.e). Ett annat är skydd av den registrerade eller andras rättigheter och friheter (punkten 1.i). Sådana begränsande lagstiftningsåtgärder ska emellertid åtminstone, när så är relevant, uppfylla vissa krav, som framgår av punkten 2 i artikeln.

6.4.3. Anpassningar av rättelsereglerna

Förslag: Hänvisningar till personuppgiftslagens bestämmelser

om rättelse ska tas bort. I vissa fall ska det förtydligas att den registrerade har rätt till rättelse enligt dataskyddsförordningen. Vidare ska den rätt till rättelse som finns i sektorsspecifika bestämmelser utökas, så att den motsvarar den rätt som gäller enligt dataskyddsförordningen. Slutligen ska den personuppgiftsansvarige alltid kunna pröva frågor om rättelse.

Skälen för förslaget

Hänvisningar till personuppgiftslagen bör tas bort

De bestämmelser som anger att PUL:s bestämmelser om rättelse ska tillämpas vid behandling av personuppgifter enligt författningen i fråga måste ändras, eftersom PUL kommer att upphävas. Hänvisningen till PUL var tidigare nödvändig för att rättelseregeln skulle kunna tillämpas. En sådan hänvisning till dataskyddsförordningen är inte nödvändig, eftersom dataskyddsförordningen har generell tillämplighet. Det är därför tillräckligt att de bestämmelser som hänvisar till PUL:s regler om rättelse tas bort.

I ett fall krävs dock en särskild lösning. I 14 § lagen om fastighetsregister anges att hänvisningen till PUL gäller för vissa delar av registret, medan särskilda rättelseregler gäller för andra delar av registret. Eftersom de särskilda rättelsereglerna bör stå kvar (se nedan), bör för fullständighetens skull hänvisningen till PUL ersättas med ett förtydligande om att dataskyddsförordningens bestämmelser om rättelse gäller för de aktuella delarna av registret.

Ds 2017:19 Den registrerades rättigheter

Rätten till rättelse enligt förvaltningslagen bör utökas

För rättelse enligt 26 § förvaltningslagen krävs det dels att oriktigheten är uppenbar, dels att oriktigheten beror på skrivfel, räknefel eller liknande förbiseende.

Att den oriktiga uppgiften ska vara uppenbar är en inskränkning i förhållande till dataskyddsförordningen. Detsamma gäller för kravet på att oriktigheten måste bero på vissa förhållanden. Sådana begränsningar kan emellertid vara förenliga med dataskyddsförordningen, främst beroende på i vilket syfte de görs. Det kan tänkas att en rättelse kan orsaka skada hos den registrerade eller någon annans rättighet eller frihet. Att inskränka rätten till rättelse i syfte att undvika sådan skada är förenligt med dataskyddsförordningen (artikel 23.1.i), om inskränkningen är nödvändig och proportionell. Likväl kan det i det enskilda fallet saknas behov av ett sådant skydd och därmed saknas behov av en dylik inskränkning. En generell inskränkning är därför inte nödvändig eller proportionell i förhållande till syftet. Även om oriktigheten inte är uppenbar eller beror på något annat förhållande, bör därför rättelse av personuppgifter kunna ske, under förutsättning att den kan ske utan skada för den registrerade eller andras rättigheter och friheter. Ett sådant tillägg bör göras i de paragrafer som hänvisar till förvaltningslagens rättelsebestämmelser.

Innan rättelse görs enligt förvaltningslagen ska kommunicering ske, om det är behövligt. Detta bedöms förenligt med dataskyddsförordningen, som har utgångspunkten att rättelse ska ske utan onödigt dröjsmål.

När rätten till rättelse begränsas i nationell rätt måste lagstiftningen åtminstone, när så är relevant, överensstämma med kraven i artikel 23.2 i dataskyddsförordningen. De nu aktuella författningarna bedöms redan förenliga med dessa krav.

Rätten till rättelse enligt de särskilda rättelsereglerna för vissa register bör utökas

Dataskyddsförordningens rättelsebestämmelse underbyggs av integritetsskäl. Syftet med de särskilda rättelsebestämmelserna för fastighetsregistrets inskrivningsdel och allmänna del, pantbrevsregistret, företagsinteckningsregistret och inteckningsbrevs-

Den registrerades rättigheter Ds 2017:19

registret är däremot primärt att skydda ekonomiska intressen (jfr prop. 1999/2000:39 s. 119 och 120). Detsamma gäller för de särskilda rättelsebestämmelserna i lagen om inskrivning av rätt till luftfartyg och i sjölagen. Behovet av särskilda rättelsebestämmelser för de aktuella registren är särskilt stort med hänsyn till de viktiga rättsverkningar som ofta är förenade med införandet i dessa register. Det är därför önskvärt att den nuvarande rättelseregleringen kan behållas, om den är förenlig med dataskyddsförordningen. I den frågan görs följande överväganden.

Rättelse i dessa register förutsätter att oriktigheten är uppenbar och, i de flesta fall, att oriktigheten beror på skrivfel, liknande förbiseende eller tekniska fel. Dessa inskränkningar har ansetts nödvändiga för att skydda ägares eller rättighetshavares intressen. Sådana begränsningar av rätten till rättelse kan, om de är nödvändiga och proportionella, vara förenliga med dataskyddsförordningen, eftersom de syftar till att skydda den registrerade eller andras rättigheter och friheter (artikel 23.1.i). Likväl kan det i det enskilda fallet saknas behov av ett sådant skydd. En generell begränsning är därför inte nödvändig eller proportionell i förhållande till syftet. Även om oriktigheten inte är uppenbar, eller om oriktigheten beror på något annat förhållande, bör därför rättelse av personuppgifter kunna ske, under förutsättning att det kan ske utan skada för den registrerade eller andras rättigheter och friheter. Ett sådant tillägg bör göras i de aktuella paragraferna.

Vidare förutsätter särreglerna som utgångspunkt att kommunikation sker inför rättelsen, medan dataskyddsförordningen kräver att rättelse sker utan onödigt dröjsmål. Med hänsyn till att införande i de nu aktuella registren ofta är förenat med rättsverkningar, bedöms att kommunikationen som föregår rättelsen medför ett nödvändigt dröjsmål. Bestämmelserna om kommunikation bedöms därför förenliga med dataskyddsförordningen.

Slutligen förutsätter rättelse i fastighetsregistrets allmänna del att rättelsen kan ske utan skada för fastighetsägaren eller rättighetshavaren. Den begränsningen av rätten till rättelse bedöms förenlig med dataskyddsförordningen med stöd av artikel 23.1.i.

När rätten till rättelse begränsas i nationell rätt måste lagstiftningen överensstämma med kraven i artikel 23.2 i

Ds 2017:19 Den registrerades rättigheter

dataskyddsförordningen. De nu aktuella författningarna bedöms redan förenliga med dessa krav.

Den registrerade bör ha rätt att begära rättelse i Post- och Inrikes Tidningar

Rättelse i Post- och Inrikes Tidningar förutsätter att oriktigheten beror på Bolagsverket eller någon annan än Bolagsverket och att den som har kungjort förhållandet begär en sådan åtgärd. Det saknas stöd i dataskyddsförordningen för en sådan inskränkning när det gäller personuppgifter. Rättelse av personuppgifter ska enligt dataskyddsförordningen därför kunna ske även på begäran av den registrerade. Detta föranleder en erinran om dataskyddsförordningen i förordningen om Post- och Inrikes Tidningar.

Rättelse på det immaterialrättsliga området

På immaterialrättens område är det svårt att se att bestämmelserna om rättelse skulle bli aktuella att tillämpa särskilt ofta, eftersom de personuppgifter som kan hanteras till följd av ett informationsföreläggande varken offentliggörs eller förs in i något register. I stället läggs de till grund för åtgärder i anledning av ett intrång. Som huvudregel torde en registrerad få information om att en uppgift lämnats ut först sedan åtgärder, baserat på uppgiften, vidtagits (se avsnitt 6.2). En rättelse eller komplettering i efterhand skulle i en sådan situation framstå som meningslös. Bedömningen är därför att reglerna om rättelse i dataskyddsförordningen normalt inte blir aktuella att tillämpa i dessa sammanhang. I de fall rättelse eller komplettering begärs bör emellertid dataskyddsförordningens bestämmelse om rättelse gälla, varför några ändringar inte behöver införas i immaterialrättslagarna.

Den personuppgiftsansvarige bör alltid kunna pröva frågor om rättelse

Det saknas stöd i dataskyddsförordningen för att befria den personuppgiftsansvarige från ansvaret för att pröva rättelsefrågor. De bestämmelser som anger att någon annan än den

Den registrerades rättigheter Ds 2017:19

personuppgiftsansvarige ska pröva frågan om rättelse bör därför ändras. Det finns däremot inte något hinder mot att någon annan, vid sidan av den personuppgiftsansvarige, får pröva en rättelsefråga. Det kan dessutom vara av värde för den enskilde att även fortsättningsvis kunna vända sig till den aktör som behandlar de aktuella personuppgifterna. De aktuella bestämmelserna bör därför utformas så att frågor om rättelse kan prövas även av annan än den personuppgiftsansvarige. Vidare bör hänvisningar till PUL tas bort.

Erinringar om rätten till överklagande bör tas bort om de innehåller hänvisningar till personuppgiftslagen

De bestämmelser som erinrar om att beslut om rättelse enligt PUL får överklagas är inte nödvändiga och bör därför tas bort. Paragrafer där en sådan upplysning görs utan hänvisning till PUL bör dock stå kvar.

Rätten till komplettering omfattas av rätten till rättelse

Rätten till rättelse enligt dataskyddsförordningen omfattar även rätten till komplettering av ofullständiga uppgifter. Begreppet rättelse får i de författningar som berörs av dataskyddsförordningen anses innefatta komplettering av ofullständiga uppgifter. Rätten till komplettering föranleder därför inte några författningsändringar.

6.5. Rätten till radering

Bedömning: Rätten till radering enligt dataskyddsförordningen

föranleder inte några författningsändringar på de berörda rättsområdena.

Skälen för bedömningen: Rätten till radering eller, som den

också kallas, rätten att bli bortglömd, finns i artikel 17 i dataskyddsförordningen. Den ersätter rätten till utplåning enligt artikel 12.b i dataskyddsdirektivet, som i svensk rätt har

Ds 2017:19 Den registrerades rättigheter

genomförts genom 28 § PUL, tillsammans med rätten till rättelse och blockering (se avsnitt 6.4.1).

Att det finns hänvisningar till 28 § PUL i flera fastighetsrättsliga och associationsrättsliga författningar och att rätten till utplåning alltså gäller enligt dessa författningar framgår av avsnitt 6.4.3, där det även framgår att dessa hänvisningar bör tas bort. Rätten till utplåning finns emellertid inte i de författningar som i stället för 28 § PUL följer förvaltningslagens, eller egna, rättelseregler. Dessa författningar måste förstås som att enbart korrigeringsformen rättelse gäller, i stället för PUL:s tre korrigeringsalternativ. Därutöver finns i vissa författningar en möjlighet att avregistreras från ett register under vissa förutsättningar. Det gäller t.ex. pantbrevsregistret (7 a § lagen om pantbrevsregister) och inteckningsbrevsregistret (6 § inteckningsbrevsregisterlagen). Det gäller även t.ex. aktiebolagsregistret, i fråga om obehöriga företrädare (27 kap. 6 § aktiebolagslagen). Avregistreringen kan närmast liknas vid radering, men grunden för denna är en helt annan än intrång i den personliga integriteten.

Artikel 17 i dataskyddsförordningen är, liksom övriga artiklar som behandlar den registrerades rättigheter, direkt tillämplig. Den kommer emellertid att få mycket begränsad betydelse för den personuppgiftsbehandling som sker inom fastighetsrätten, associationsrätten och transporträtten. Enligt artikel 17.3 b i dataskyddsförordningen gäller nämligen inte rätten till radering om behandling av de aktuella personuppgifterna är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt nationell rätt, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Så är det regelmässigt för personuppgiftsbehandling som sker med stöd av de fastighetsrättsliga, associationsrättsliga och transporträttsliga författningarna, eftersom den behandlingen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen (se avsnitt 4.1).

Situationen är densamma på immaterialrättsområdet. Här sker behandling av personuppgifter med anledning av ett informationsföreläggande antingen för att fullgöra en rättslig förpliktelse eller för att fastställa, göra gällande eller försvara rättsliga anspråk (artikel 6.1 c och f, se avsnitt 4.1). Inte heller under sådana förutsättningar gäller rätten till radering.

Den registrerades rättigheter Ds 2017:19

Mot den bakgrunden saknas det anledning att begränsa rätten till radering. Det framstår också som möjligt att tillämpa bestämmelserna om avregistrering vid sidan av dataskyddsförordningens bestämmelser om radering. Rätten till radering enligt artikel 17 föranleder därför inte några författningsändringar.

6.6. Rätten till begränsning av behandling

Förslag: Rätten till begränsning av behandling enligt data-

skyddsförordningen ska inskränkas i fråga om vissa register med viktiga rättsverkningar.

Skälen för förslaget: Enligt artikel 18 i dataskyddsförordningen

har den registrerade rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas. Med begränsning avses markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden (artikel 4.3 i dataskyddsförordningen).

Rätten till begränsning ersätter den åtgärd som i artikel 12.b i dataskyddsdirektivet benämns som blockering och som i svensk rätt har genomförts genom 28 § PUL, tillsammans med rätten till rättelse och radering (se avsnitt 6.4.1).

Att det finns hänvisningar till 28 § PUL i flera fastighetsrättsliga och associationsrättsliga författningar och att rätten till blockering alltså gäller enligt dessa författningar framgår av avsnitt 6.4.3. Där framgår det även att dessa hänvisningar bör tas bort. Rätten till blockering gäller emellertid inte enligt de författningar som i stället för 28 § PUL följer förvaltningslagens, eller egna, rättelseregler; dessa författningar måste förstås som att enbart korrigeringsformen rättelse gäller, i stället för PUL:s tre korrigeringsalternativ.

Artikel 18 i dataskyddsförordningen är, liksom övriga artiklar som behandlar den registrerades rättigheter, direkt tillämplig. Det saknas anledning att införa en mer långtgående rätt till begränsning än den som krävs enligt dataskyddsförordningen. Däremot finns det skäl att inskränka rätten till begränsning i vissa fall.

Som redogörs för i avsnitt 6.4 har det ansetts nödvändigt att införa egna rättelseregler för bl.a. fastighetsregistrets allmänna del och inskrivningsdel, inskrivningsregistret för luftfartyg och

Ds 2017:19 Den registrerades rättigheter

fartygsregistret. Införande av uppgifter i dessa register är nämligen ofta förenat med viktiga rättsverkningar. Det har också ansetts nödvändigt att tillämpa förvaltningslagens rättelsebestämmelser för bl.a. föreningsregistret, EEIG-registret (dvs. registret över europeiska ekonomiska intressegrupperingar) och aktiebolagsregistret. En mer generös rätt till rättelse i dessa register skulle kunna orsaka skada för den registrerade eller andras rättigheter och friheter.

Det som har anförts till stöd för att rätten till rättelse i vissa fall behöver inskränkas gör sig gällande även i fråga om rätten till begränsning av behandling. Rätten till begränsning av behandling i dessa register bör därför förutsätta att begränsningen kan ske utan skada för den registrerade eller andras rättigheter och friheter. En sådan inskränkning är nödvändig och proportionell. Bestämmelser med en sådan innebörd bör därför tas in i de aktuella författningarna.

När rätten till begränsning av behandling begränsas i nationell rätt måste lagstiftningen åtminstone, när så är relevant, överensstämma med kraven i artikel 23.2 i dataskyddsförordningen. De nu aktuella författningarna bedöms redan förenliga med dessa krav.

6.7. Rätten till dataportabilitet

Bedömning: Rätten till dataportabilitet enligt dataskydds-

förordningen föranleder inte några författningsändringar på de berörda rättsområdena.

Skälen för bedömningen: Dataportabilitet innebär att uppgifter

flyttas från ett nätverk till ett annat. Den registrerade har en rätt till dataportabilitet enligt artikel 20 i dataskyddsförordningen. Rätten förutsätter att behandlingen grundar sig på samtycke eller avtal. Personuppgiftsbehandling som regleras i de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna sker emellertid regelmässigt med stöd av andra rättsliga grunder (se avsnitt 4.1). Rätten till dataportabilitet enligt artikel 20 föranleder därför inte några författningsändringar. Det ska ändå påpekas att artikeln är direkt tillämplig och kan få

Den registrerades rättigheter Ds 2017:19

betydelse när personuppgiftsbehandlingen sker med stöd av samtycke eller avtal.

6.8. Rätten till invändningar

Bedömning: Rätten till invändningar enligt dataskydds-

förordningen föranleder inte några författningsändringar på de berörda rättsområdena.

Skälen för bedömningen

Dataskyddsdirektivet och personuppgiftslagen

Rätten till invändningar regleras i artikel 14 i dataskyddsdirektivet och har i svensk rätt genomförts genom 11 och 12 §§ PUL.

Enligt 11 § PUL får personuppgifter inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Enligt 12 § PUL har den registrerade vidare rätt att när som helst återkalla sitt samtycke till personuppgiftsbehandlingen. Ytterligare personuppgifter får därefter inte behandlas, om samtycket är en nödvändig förutsättning för behandlingen. Rätten gäller dock endast samtycke enligt 10 § PUL, dvs. samtycke för att behandlingen överhuvudtaget ska vara tillåten, enligt 15 § PUL, dvs. samtycke till behandling av känsliga personuppgifter, och enligt 34 § PUL, dvs. samtycke till överföring av personuppgifter till tredje land. Fortsatt behandling av redan insamlade personuppgifter får dessutom ske (under förutsättning att övriga krav på behandlingen följs).

Av 12 § andra stycket PUL framgår att en registrerad, utöver det som följer av första stycket och 11 §, inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt PUL.

Möjligheterna för den registrerade att motsätta sig behandling är alltså begränsade enligt PUL.

Ds 2017:19 Den registrerades rättigheter

Dataskyddsförordningen

Enligt artikel 21 i dataskyddsförordningen har den registrerade rätt att, under vissa förutsättningar, invända mot den personuppgiftsansvariges behandling av personuppgifter.

För personuppgifter som behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning (dvs. behandling enligt artikel 6.1 e eller f i dataskyddsförordningen) får en invändning göras när som helst. Görs en invändning, får den personuppgiftsansvarige fortsätta att behandla personuppgifterna bara om han eller hon kan påvisa tvingande berättigade skäl (”compelling legitimate grounds” i den engelska versionen) som väger tyngre än den registrerades intressen, rättigheter och friheter, eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

För personuppgifter som behandlas för direkt marknadsföring får en invändning också göras när som helst. Görs en invändning, får personuppgifterna inte längre behandlas för sådana ändamål. Någon intresseavvägning ska alltså inte göras i de fallen.

För personuppgifter som behandlas för vetenskapliga och historiska forskningsändamål eller statistiska ändamål gäller rätten till invändningar, om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse.

Artikel 21 är direkt tillämplig men dess tillämpningsområde kan begränsas i enlighet med artikel 23.

Regleringen på de berörda rättsområdena

Inom de berörda rättsområdena finns det endast en paragraf som behandlar den registrerades rätt att motsätta sig behandling, nämligen 8 § förordningen om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar. Enligt den paragrafen får behandling av personuppgifter som är tillåten enligt förordningen utföras även om den registrerade motsätter sig behandlingen. För övriga författningar tillämpas alltså 11 och 12 §§ PUL.

Den registrerades rättigheter Ds 2017:19

Överväganden för de fastighetsrättsliga, associationsrättsliga och transporträttsliga områdena

Inom de fastighetsrättsliga, associationsrättsliga och transporträttsliga områdena finns ett flertal register som förs av hänsyn till viktiga allmänintressen såsom offentlighet, t.ex. aktiebolagsregistret, fastighetsregistret, pantbrevsregistret och fartygsregistret. Också andra förteckningar, såsom aktieboken, förs av hänsyn till sådana intressen. För att dessa register och förteckningar ska kunna fortsätta att föras och fylla sina viktiga syften kan rätten till invändningar inte gälla för dem. Eftersom de registerförande aktörerna är skyldiga att föra dessa register och förteckningar, vilka ska ha ett visst innehåll, utför de nödvändig personuppgiftsbehandling för att fullgöra en rättslig förpliktelse. Det rör sig alltså om behandling enligt artikel 6.1 c i dataskyddsförordningen. I de fallen gäller inte rätten till invändningar. Artikel 21 i dataskyddsförordningen föranleder därför inte några författningsändringar inom fastighetsrätten, associationsrätten eller transporträtten när det gäller de offentliga registren och förteckningar så som aktieboken.

Situationen är annorlunda för Lantmäteriets databas för arkiverade handlingar. Också denna databas förs av hänsyn till viktiga allmänintressen. Till skillnad från de offentliga registren, som ska ha ett visst innehåll (se t.ex. 3 § förordningen om fastighetsregistret), får Lantmäteriets databas ha ett visst innehåll (se 2 § förordningen om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar). Personuppgiftsbehandlingen i databasen kan kanske inte sägas ske för att fullgöra en rättslig förpliktelse, utan snarare för att utföra en uppgift av allmänt intresse. Det rör sig i så fall om behandling enligt artikel 6.1. e i dataskyddsförordningen, vid vilken rätten till invändningar som utgångspunkt gäller. För att denna databas ska kunna fortsätta att föras och fylla sina viktiga syften bör rätten till invändningar begränsas så att den inte gäller för databasen. En sådan begränsning finns redan i 8 § förordningen om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar. Begränsningen är nödvändig och proportionell i syfte att säkerställa ett viktigt mål av generellt allmänt intresse, och är därför tillåten enligt artikel 23.1 e i dataskyddsförordningen. Den aktuella författningen stämmer

Ds 2017:19 Den registrerades rättigheter

också överens med kraven i artikel 23.2 i dataskyddsförordningen. Dataskyddsförordningen föranleder därför inte heller i denna del några författningsändringar i sak.

Även i de transporträttsliga författningarna finns exempel på register som får ha visst innehåll, t.ex. inskrivningsregistret för luftfartyg och vissa delar av fartygsregistret. Det kan handla om personuppgifter. Liksom konstaterats ovan har möjligheten att invända mot sådan personuppgiftsbehandling varit begränsad enligt PUL. Förutsatt att behandling av sådana personuppgifter inte kan sägas ske för att fullgöra en rättslig förpliktelse, utan snarare för att utföra en uppgift av allmänt intresse, innebär dataskyddsförordningens bestämmelser att rätten till invändning kommer att utvidgas för sådana personuppgifter. Trots det är bedömningen att rätten till invändning inte bör begränsas i dessa fall – bl.a. eftersom det rör uppgifter som får finnas i registren. Inte heller här föranleder dataskyddsförordningen därför några författningsändringar.

Överväganden för det immaterialrättsliga området

Som konstateras ovan gäller rätten till invändning enligt artikel 21 i dataskyddsförordningen bara när personuppgiftsbehandlingen har sin grund i artikel 6.1 e eller f.

I vissa fall sker personuppgiftsbehandling, mot bakgrund av ett informationsföreläggande, för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen (enligt artikel 6.1. f i dataskyddsförordningen, se avsnitt 4.1). Mot den behandlingen har den registrerade rätt att invända. Eftersom behandlingen föregås av ett domstolsbeslut, och dessutom sker för att ett rättsligt anspråk ska kunna fastställas, utövas eller försvaras, torde en invändning i princip aldrig komma att innebära att behandlingen avbryts efter en intresseavvägning, förutsatt att de immaterialrättsliga regelverket tillämpats korrekt (artikel 21.1). Dataskyddsförordningen föranleder därför inte några författningsändringar inom immaterialrätten.

Den registrerades rättigheter Ds 2017:19

6.9. Rätten att motsätta sig automatiserat och individuellt beslutsfattande

Bedömning: Rätten att motsätta sig automatiskt individuellt

beslutsfattande enligt dataskyddsförordningen föranleder inte några författningsändringar på de berörda rättsområdena.

Skälen för bedömningen: Enligt artikel 22 i dataskydds-

förordningen har den registrerade i vissa fall en rätt att motsätta sig beslut som grundas enbart på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar denne. Det är fråga om att den enskilde inte ska behöva tåla att sådana viktiga beslut fattas utan mänsklig inblandning. Med profilering avses automatisk behandling av personuppgifter för att bedöma vissa personliga egenskaper hos en fysisk person (artikel 4.4 i dataskyddsförordningen).

Rätten att motsätta sig automatiskt individuellt beslutsfattande finns även i artikel 15 i dataskyddsdirektivet, som i svensk rätt har genomförts genom 29 § PUL.

Några särregler i förhållande till 29 § PUL finns inte på de berörda rättsområdena. Det kan förklaras av att sådana automatiserade beslut som avses i såväl dataskyddsdirektivet som dataskyddsförordningen inte torde fattas med stöd av dessa författningar. Rätten att motsätta sig automatiskt individuellt beslutsfattande enligt artikel 22 i dataskyddsförordningen föranleder därför inte några författningsändringar.

7. Rättsmedel, ansvar och sanktioner

7.1. Dataskyddsförordningens bestämmelser

I dataskyddsförordningens åttonde kapitel finns bestämmelser om rättsmedel, ansvar och sanktioner. Där behandlas bl.a. den registrerades rätt att lämna in klagomål till tillsynsmyndigheten (artikel 77) och rätten till ett effektivt rättsmedel mot tillsynsmyndighetens beslut (artikel 78) och mot personuppgiftsansvariga och personuppgiftsbiträden (artikel 79). Där finns också bestämmelser om den registrerades rätt till ersättning vid överträdelser av förordningen (artikel 82). Vidare finns bestämmelser av mer processuell karaktär, t.ex. när ett förfarande ska vilandeförklaras (artikel 81), och bestämmelser om vilka befogenheter som tillsynsmyndigheterna ska ha (artikel 83). Dataskyddsutredningen föreslår hur dessa frågor ska tas om hand i den nationella lagstiftningen (SOU 2017:39 s. 273337). Enbart i fråga om rätten till skadestånd, som behandlas nedan, finns det behov av särreglering på de berörda rättsområdena.

7.2. Skadestånd

7.2.1. Hittillsvarande rättsläge

Skadestånd enligt personuppgiftslagen

Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat. Av paragrafens andra stycke framgår att ersättningsskyldigheten

Rättsmedel, ansvar och sanktioner Ds 2017:19

kan jämkas, om den personuppgiftsansvarige visar att felet inte berodde på denne.

Den nämnda paragrafen är en sådan specialbestämmelse om skadestånd som tar över de allmänna skadeståndsreglerna i skadeståndslagen (1972:207). I den utsträckning som en ersättningsfråga inte berörs i paragrafen, t.ex. frågan om hur ersättning ska beräknas eller frågan om ansvaret när det finns flera skadeståndsskyldiga, tillämpas däremot allmänna skadeståndsrättsliga regler.

Paragrafen gäller bara skadestånd vid behandling av personuppgifter i strid med PUL. Det innebär bl.a. att skadestånd inte kan utgå enligt PUL vid brott mot sektorsspecifika bestämmelser om personuppgiftsbehandling. Flera sektorsspecifika författningar om personuppgiftsbehandling reglerar därför frågan om skadestånd särskilt eller hänvisar till att PUL:s skadeståndsbestämmelser ska gälla även enligt den lagen.

Hänvisningar till personuppgiftslagen

På de fastighetsrättsliga och associationsrättsliga områdena finns flera författningar som anger att PUL:s bestämmelser om skadestånd ska tillämpas vid behandling av personuppgifter enligt författningen i fråga, t.ex. 3 kap. 9 § lagen om ekonomiska föreningar, 5 kap. 4 § aktiebolagslagen och 3 d § förordningen

(

1994:1933)

om registrering av europeiska ekonomiska intressegrupperingar. I ett fall undantas under vissa förutsättningar PUL:s möjlighet till jämkning (13 § lagen om fastighetsregister).

Särskilda skadeståndsregler

På de fastighetsrättsliga, associationsrättliga och transporträttsliga områdena finns även särskilda regler om skadestånd. Bland annat är staten som utgångspunkt skyldig att betala ersättning till den som lider skada på grund av ett tekniskt fel i fastighetsregistrets inskrivningsdel eller allmänna del, i företagsinteckningsregistret, inskrivningsregistret för luftfartyg eller fartygsregistrets skepps- eller skeppsbyggnadsdel, eller i en anordning som är ansluten till de nu nämnda registren (19 kap. 37 § jordabalken, 19 kap. 5 § fastighets-

Ds 2017:19 Rättsmedel, ansvar och sanktioner

bildningslagen, 5 kap. 1 § lagen om företagshypotek, 51 § lagen om inskrivning av rätt till luftfartyg och 22 kap. 4 § sjölagen).

Vidare har staten ett kontrollansvar för skada på grund av en oriktig eller missvisande uppgift i pantbrevsregistret och inteckningsbrevsregistret eller på grund av fel i samband med uppläggning eller förande av dessa register (21 § lagen om pantbrevsregister och 19 § lagen om inteckningsbrevsregister). Staten har också under vissa förutsättningar skyldighet att ersätta förluster som uppkommit till följd av att rättshandlingar som vidtagits i god tro och i överensstämmelse med en inskrivning kan bli giltiga, även om det inte finns materiell grund för deras giltighet (51 § lagen om inskrivning av rätt till luftfartyg). En liknande bestämmelse finns i 22 kap. 4 § sjölagen.

I anslutning till vissa av dessa särskilda skadeståndsregler anges att också PUL:s regler om skadestånd är tillämpliga, om personuppgifter har behandlats i strid med de aktuella författningarna (5 kap. 1 § lagen om företagshypotek, 19 § lagen om inteckningsbrevsregister, 51 § lagen om inskrivning av rätt till luftfartyg och 22 kap. 4 § sjölagen).

Det finns ytterligare bestämmelser om skadestånd, men dessa är antingen erinringar om vissa av de särskilda skadeståndsregler som redogörs för ovan (13 § andra stycket lagen om fastighetsregister) eller bestämmelser av snarast processrättslig karaktär, bl.a. vem som företräder staten och vilka bestämmelser om laga domstol som ska tillämpas (t.ex. 18 kap. 5 § och 19 kap. 32 §jordabalken). Vidare finns bestämmelser om skadestånd till följd av rättelse, dvs. inte skadestånd på grund av att dataskyddsregler har överträtts (19 kap. 38 § jordabalken, 19 kap. 5 § fastighetsbildningslagen och 5 kap. 2 § lagen om företagshypotek).

7.2.2. Skadestånd enligt dataskyddsförordningen

Personuppgiftsansvarigas och personuppgiftsbiträdens ansvar samt registrerades rätt till ersättning regleras i artikel 82 i dataskyddsförordningen. Där anges att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna

Rättsmedel, ansvar och sanktioner Ds 2017:19

skadan. I artikeln anges vidare att varje personuppgiftsansvarig som har medverkat vid behandlingen ska ansvara för skadan, medan personuppgiftsbiträden ska ansvara endast om de inte har fullgjort sina skyldigheter enligt dataskyddsförordningen eller om de agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar. Den personuppgiftsansvarige (eller personuppgiftsbiträdet) ska undgå ansvar endast om han eller hon visar att han eller hon inte på något sätt är ansvarig för händelsen som orsakat skadan. Slutligen anges att om det finns flera personuppgiftsansvariga och/eller personuppgiftsbiträden, ska varje personuppgiftsansvarig och personuppgiftsbiträde ansvara för hela skadan gentemot den registrerade. Den som betalar full ersättning har dock regressrätt gentemot övriga ansvariga.

Av förordningens beaktandeskäl framgår att behandling som strider mot förordningen omfattar även behandling som strider mot bl.a. medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser (skäl 146). I sammanhanget kan nämnas att Dataskyddsutredningen föreslår att det i dataskyddslagen ska förtydligas att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen (8 kap. 1 § dataskyddslagen).

Någon möjlighet till nationella undantag från rätten till ersättning finns inte i dataskyddsförordningen. Förordningens bestämmelser måste dock kunna kompletteras av nationell reglering för att en tillämpning av dem ska kunna vara möjlig. I avsaknad av andra skadeståndsregler blir utgångspunkten därför att dataskyddsförordningen kommer att kompletteras av allmänna skadeståndsregler, i den utsträckning som en ersättningsfråga inte berörs i förordningen.

7.2.3. Anpassningar av skadeståndsreglerna

Förslag: Hänvisningar till personuppgiftslagens regler om

skadestånd ska tas bort. Vidare ska det i vissa fall förtydligas att den registrerade har rätt till skadestånd enligt dataskyddsförordningen.

Ds 2017:19 Rättsmedel, ansvar och sanktioner

Skälen för förslaget

Hänvisningarna till personuppgiftslagens skadeståndsbestämmelser bör tas bort

De bestämmelser som anger att PUL:s bestämmelser om skadestånd ska tillämpas vid behandling av personuppgifter enligt författningen i fråga måste ändras, eftersom PUL kommer att upphävas.

Hänvisningen till PUL var tidigare nödvändig för att skadeståndsregeln skulle kunna tillämpas. Någon hänvisning till dataskyddsförordningen är däremot inte nödvändig för att dataskyddsförordningen ska vara tillämplig. Behandling som strider mot förordningen omfattar nämligen behandling som strider mot bl.a. medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. Det är därför tillräckligt att de bestämmelser som hänvisar till PUL:s regler om skadestånd tas bort. Också den bestämmelse i 13 § lagen om fastighetsregister som gör undantag från PUL:s jämkningsmöjlighet bör tas bort, eftersom personuppgiftsansvarigas och personuppgiftsbiträdens inbördes ansvar regleras i dataskyddsförordningen.

De särskilda skadeståndsreglerna är förenliga med dataskyddsförordningen

Bestämmelserna om skadestånd i dataskyddsförordningen avser att ersätta kränkningar av den registrerades integritet. De särskilda fastighetsrättsliga, associationsrättsliga och transporträttsliga registerbestämmelserna om skadestånd avser i stället främst att skydda den allmänna omsättningen (jfr prop. 1999/2000:39 s. 120– 122). Det är det intresset som medför att var och en som har lidit skada till följd av felaktiga uppgifter – dvs. inte bara personuppgifter – har rätt till skadestånd.

Det framstår som möjligt att tillämpa de olika skadeståndsbestämmelserna vid sidan av varandra. Vidare kan det knappast finnas något hinder mot att ha ytterligare nationella skadeståndsbestämmelser som tar sikte på sådana fall där grunden för ersättningsskyldigheten är en annan än intrånget i den personliga

Rättsmedel, ansvar och sanktioner Ds 2017:19

integriteten. Det bedöms därför vara möjligt att behålla de särskilda skadeståndsbestämmelserna utan någon saklig ändring. Dessa bestämmelser får emellertid inte inverka inskränkande på den registrerades rätt till ersättning när behandling av personuppgifter sker i strid med dataskyddsförordningen eller nationell rätt med närmare specifikation av förordningens bestämmelser. I anslutning till de särskilda skadeståndsbestämmelserna bör det därför erinras om att också artikel 82 i dataskyddsförordningen gäller.

8. Övriga frågor

8.1. Hänvisningar till personuppgiftslagen

Förslag: Hänvisningar till personuppgiftslagen ska tas bort och i

vissa fall ersättas av hänvisningar till dataskyddsförordningen.

Skälen för förslaget

Författningar som hänvisar till personuppgiftslagen

Eftersom PUL ska upphävas, måste hänvisningar till den lagen tas bort eller ersättas. På fastighetsrättens och associationsrättens områden finns bestämmelser som hänvisar till PUL i följande författningar.

  • Lagen om ekonomiska föreningar
  • Lagen om fastighetsregister
  • Revisorslagen (2001:883)
  • Aktiebolagslagen
  • Lagen om företagshypotek
  • Lagen om inteckningsbrevsregister
  • Kungörelsen (1974:1063) om fastighetsbevis m.m.
  • Förordningen om ekonomiska föreningar
  • Förordningen om register över europeiska ekonomiska intressegrupperingar
  • Förordningen om revisorer
  • Stiftelseförordningen

Övriga frågor Ds 2017:19

Hänvisningar till PUL:s regler om personuppgiftsansvar, känsliga personuppgifter, personuppgifter om lagöverträdelser m.m., rättelse och skadestånd behandlas tidigare i promemorian. I detta avsnitt behandlas övriga hänvisningar till PUL.

Ds 2017:19 Övriga frågor

Bestämmelser som erinrar om personuppgiftslagen

Bestämmelser som erinrar om att PUL gäller för den aktuella personuppgiftsbehandlingen, ibland med tillägget att detta gäller om inte annat anges, finns i bl.a. 3 kap. 9 § lagen om ekonomiska föreningar, 26 a § revisorslagen, 53 d § lagen om upphovsrätt till litterära och konstnärliga verk och 57 d § patentlagen.

Dessa erinringar bör tas bort. Det är inte nödvändigt att ersätta dem med hänvisningar till dataskyddsförordningen och de svenska bestämmelser som kompletterar förordningen. Se dock resonemang om en särlösning för immaterialrättslagarna i avsnitt 5.3.

Definition av personuppgifter

I 1 § lagen om fastighetsregister, 1 kap. 1 § fartygsregisterförordningen och 3 § förordningen om inskrivning av rätt till luftfartyg förtydligas att med personuppgifter avses detsamma som i PUL.

Dataskyddsförordningens definition av personuppgifter kommer att gälla för personuppgiftsbehandlingen i fråga. Det är inte nödvändigt att erinra om detta. Förtydligandena i de nämnda författningarna, som alltså innefattar hänvisningar till PUL, bör därför tas bort.

Behandling av personuppgifter för andra ändamål än de ursprungliga

Enligt 9 § första stycket d PUL ska den personuppgiftsansvarige se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). I paragrafens andra stycke klargörs att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Bestämmelser som förtydligar att 9 § första stycket d och andra stycket PUL gäller för personuppgiftsbehandlingen i fråga finns i 20 a § inskrivningsförordningen, 3 § förordningen om inteckningsbrevsregister och 5 § förordningen om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar. Bakgrunden till hänvisningarna är att Lagrådet, vid sin behandling av de

Övriga frågor Ds 2017:19

lagförslag som senare kom att omfattas av propositionen Behandling av personuppgifter inom socialförsäkringens administration (prop. 2002/03:135), invände att de aktuella ändamålsbestämmelserna inte tillräckligt tydligt gav uttryck för att behandling för andra ändamål än de som uttryckligen angavs var tillåten. Regeringen instämde i att det kunde behövas ett förtydligande och föreslog en uttrycklig hänvisning till 9 § första stycket d och andra stycket PUL. Regeringen betonade dock att det inte är fråga om en materiell regel utan enbart ett förtydligande (prop. 2002/03:135 s. 56 och 160).

I artiklarna 5.1 b och 6.4 i dataskyddsförordningens finns bestämmelser som motsvarar 9 § första stycket d och andra stycket PUL. Det bör för tydlighetens skull erinras om att dessa artiklar gäller i de paragrafer som förtydligar att 9 § första stycket d och andra stycket PUL gäller. Hänvisningar till PUL bör därför ersättas med hänvisningar till artiklarna 5.1 b och 6.4 i dataskyddsförordningen.

Direkt marknadsföring

Som framgår av avsnitt 6.8 har den registrerade rätt att motsätta sig/invända mot behandling av personuppgifter för direkt marknadsföring enligt 11 § PUL och artikel 21 i dataskyddsförordningen.

Bestämmelser som hänvisar till 11 § PUL finns i bl.a. 2 § lagen om fastighetsregister, 2 kap. 1 § aktiebolagsförordningen och 2 a § stiftelseförordningen. Dessa bestämmelser anger att ett visst register bl.a. har till ändamål att tillhandahålla uppgifter för uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § PUL. Med andra ord har registret till ändamål att tillhandahålla uppgifter för direkt marknadsföring, om inte den registrerade har motsatt sig eller invänt mot sådan behandling. Bestämmelserna är förenliga med dataskyddsförordningen. Hänvisningarna till 11 § PUL bör dock ersättas med hänvisningar till artikel 21.2–21.3 i dataskyddsförordningen.

Ds 2017:19 Övriga frågor

Rätten till registerutdrag

Som framgår av avsnitt 6.3 regleras rätten till registerutdrag i 26 § PUL och artikel 15 i dataskyddsförordningen.

Utöver de hänvisningar som behandlas i avsnitt 6.3 finns hänvisningar till 26 § PUL i bl.a. 15 h § förordningen om ekonomiska föreningar, 3 f § förordningen om register över europeiska ekonomiska intressegrupperingar och 14 § förordningen om revisorer. Dessa bestämmelser erinrar om att avslag på ansökan om information enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol.

Dataskyddsutredningen föreslår att beslut om bl.a. registerutdrag som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol (8 kap. 2 § dataskyddslagen).

Det är inte nödvändigt att i de nu aktuella författningarna erinra om att avslag på en ansökan om information får överklagas. Bestämmelserna, som innefattar hänvisningar till PUL, bör därför tas bort.

Överföring av personuppgifter till tredje land

I 33–35 §§ PUL regleras de krav som ställs för att överföring av personuppgifter till tredje land ska vara tillåten.

I 27 c § revisorslagen anges att Revisorsinspektionen på begäran får lämna ut uppgifter till en behörig myndighet i ett tredjeland, om utlämnandet är förenligt med PUL och vissa ytterligare förutsättningar är uppfyllda.

Överföring av personuppgifter till tredjeländer regleras i kapitel 5 i dataskyddsförordningen.

Bestämmelsen i revisorslagen bedöms förenlig med dataskyddsförordningen. Hänvisningen till PUL bör dock ersättas med en hänvisning till dataskyddsförordningen.

I sammanhanget kan nämnas att det i 5 kap. 6 § fartygsregisterförordningen finns bestämmelser om att båtregisternämnden till tredje land kan överföra personuppgifter som är nödvändiga för handläggning av vissa ärenden. En liknande bestämmelse finns också i 16 § förordningen om inskrivning av rätt till luftfartyg. Dessa bestämmelser innehåller inga hänvisningar till PUL. De får

Övriga frågor Ds 2017:19

snarare betraktas som undantag från PUL, vilka uppenbarligen ansetts vara förenliga med dataskyddsdirektivets bestämmelser. Enligt undantagsbestämmelser i både dataskyddsdirektivet (artikel 26.1 d) och dataskyddsförordningen (artikel 49.1 d) får överföring av personuppgifter till tredjeland ske om överföringen är nödvändig av viktiga skäl som rör allmänintresset. Liksom konstaterats ovan (se avsnitt 4.1) är de uppgifter som myndigheter har enligt de transporträttsliga författningarna, eller enligt beslut som har meddelats med stöd av sådana författningar, regelmässigt uppgifter av allmänt intresse. För myndigheternas del innefattar uppgifterna dessutom ofta myndighetsutövning. Uppgifterna – och den myndighetsutövning som kan ligga i dem – är fastställda i den nationella rätten. Mot bakgrund av detta är bedömningen att den överföring av personuppgifter som är nödvändig för att de nu aktuella myndigheterna ska kunna handlägga sina ärenden uppfyller såväl direktivets samt förordningens krav på att utgöra ett viktigt allmänt intresse (som erkänts i nationell rätt) för vilket medlemsstater får föreskriva undantag i nationell rätt. Bestämmelserna i fartygsregisterförordningen och förordningen om inskrivning av rätt till luftfartyg, om överföring av personuppgifter till tredjeland, anses därför vara ska vara förenliga med dataskyddsförordningens bestämmelser. Att överföring av personuppgifter till tredjeland också kan vara tillåtet när det inte är nödvändigt för att kunna handlägga ett ärende (t.ex. när kommissionen har beslutat att tredjelandet säkerställer en adekvat skyddsnivå) följer av att dataskyddsförordningen är direkt tillämplig. Det behöver därför inte förtydligas i författningstext.

Uppgifter om innehållet i fastighetsregistret

I 2 § kungörelsen om fastighetsbevis m.m. anges att uppgift om innehållet i fastighetsregistret ska lämnas i form av olika bevis, men att Lantmäteriet trots detta får tillhandahålla utdrag och sammanställningar av innehållet i fastighetsregistret, om det inte finns något hinder mot det till följd av PUL eller lagen om fastighetsregister.

Ds 2017:19 Övriga frågor

Bestämmelsen bedöms förenlig med dataskyddsförordningen. Hänvisningen till PUL bör dock ersättas med en hänvisning till dataskyddsförordningen.

8.2. Personnummer eller annat identifieringsnummer

Bedömning: Dataskyddsförordningens bestämmelser om iden-

tifieringsnummer föranleder inte några författningsändringar på de berörda rättsområdena.

Skälen för bedömningen

Personuppgiftslagens reglering

I 22 § PUL finns särskilda bestämmelser om när personnummer och samordningsnummer får behandlas. Paragrafen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Den nämnda paragrafen har införts med anledning av artikel 8.7 i dataskyddsdirektivet, som föreskriver att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.

Dataskyddsförordningen

Personnummer och samordningsnummer anses inte som känsliga personuppgifter i dataskyddsförordningens mening men har ändå en särställning genom att medlemsstaterna ges möjlighet att införa särskilda villkor för behandlingen (artikel 87). Dataskyddsförordningen uppställer alltså inget krav på reglering i detta avseende, men av artikeln följer att om medlemsstaterna bestämmer särskilda villkor för sådan behandling, måste lämpliga skyddsåtgärder för de registrerades fri- och rättigheter enligt förordningen säkerställas. Något uttryckligt sådant krav finns inte enligt dataskyddsdirektivet. Det finns inte heller några uttalanden i skälen till dataskyddsförordningen som konkretiserar vilken typ av skydds-

Övriga frågor Ds 2017:19

åtgärder det bör vara frågan om. I denna del finns alltså utrymme för medlemsstaterna att själva bedöma vilka skyddsåtgärder som kan uppfyllda kraven i dataskyddsförordningen.

Dataskyddsutredningen

Dataskyddsutredningen bedömer att en särreglering av personnummer och samordningsnummer i dataskyddslagen är motiverad. Utredningen anser att den intresseavvägning som i dag sker enligt PUL är flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer. En bestämmelse motsvarande 22 § PUL föreslås därför (3 kap. 13 § dataskyddslagen). Samtidigt föreslås att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten (3 kap. 14 § dataskyddslagen).

Bestämmelser om personnummer på de fastighetsrättsliga, associationsrättsliga och transporträttsliga områdena

I de fastighetsrättsliga, associationsrättsliga och transporträttsliga författningarna finns flera bestämmelser om behandling av personnummer eller annat identifieringsnummer. De flesta avser behandling som är klart motiverad med hänsyn till vikten av en säker identifiering och utgör därför inte någon egentlig särreglering i förhållande till PUL, utan snarast en konkretisering av PUL. Som exempel kan nämnas de bestämmelser som anger att vissa aktörers personnummer ska framgå av vissa offentliga register (t.ex. 8 kap. 43 § aktiebolagslagen, 9–11 §§ förordningen om inskrivning av rätt till luftfartyg och 2 kap.6 och 7 §§fartygsregisterförordningen), av aktieboken (5 kap.5, 6 och 11 §§aktiebolagslagen) eller av andra handlingar, t.ex. en ansökan om fastighetsbildning (4 kap. 8 a § fastighetsbildningslagen) eller en årsredovisning (2 kap. 5 § årsredovisningslagen [1995:1554]). Eftersom bestämmelserna är förenliga med PUL, är de förenliga med den föreslagna dataskyddslagen och därmed även med dataskyddsförordningen.

Därutöver finns följande bestämmelser som reglerar behandling av personnummer.

Ds 2017:19 Övriga frågor

  • 7–10 §§ lagen om fastighetsregister, som uppställer vissa villkor för hantering av personnummer vid direktåtkomst, urval och bearbetningar, behandling för direkt marknadsföring och utlämnande av upptagningar för automatiserad behandling.
  • 10 § lagen (2005:552) om införande av aktiebolagslagen, enligt vilken aktiebrev som har getts ut före ett visst datum inte ska omfattas av aktiebolagslagens krav på angivande av bl.a. aktieägarens personnummer.
  • 17 § förordningen om revisorer, enligt vilken revisorers personnummer inte ska publiceras på Revisorsinspektionens webbplats.
  • 6 och 9 §§ förordningen om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar, enligt vilka uppgifter om personnummer eller samordningsnummer som ingår i databasen får behandlas för samma ändamål som övriga personuppgifter, men de får inte användas som sökbegrepp i databasen.
  • 67 § förordningen om fastighetsregister, enligt vilken bl.a. en makes personnummer i vissa fall ska antecknas i fastighetsregistrets inskrivningsdel.

De villkor som uppställs i 7–10 §§ fastighetsregisterlagen, 17 § förordningen om revisorer och 9 § förordningen om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar innebär att behandlingen av personnummer begränsas eller till och med inte tillåts, varför villkoren i sig utgör skyddsåtgärder för de registrerades fri- och rättigheter. Bestämmelserna är därför förenliga med dataskyddsförordningen.

Regleringen i 6 § förordningen om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar innebär att de ändamålsbestämmelser som gäller för personuppgifter i allmänhet gäller också för personnummer. Några särskilda villkor för behandling av personnummer i databasen uppställs alltså inte. Motsvarande gäller för de äldre aktiebrev som avses i 10 § lagen om införande av aktiebolagslagen. Bestämmelserna är förenliga med dataskyddsförordningen, som inte uppställer krav på särskilda villkor för behandling av personnummer.

Övriga frågor Ds 2017:19

Den hantering av personnummer som avses i 67 § förordningen om fastighetsregister är klart motiverad med hänsyn till intresset av en korrekt hantering av inskrivningsärenden. Bestämmelsen utgör därför inte någon egentlig särreglering i förhållande till dataskyddslagen, utan snarare en konkretisering av den. Bestämmelsen är alltså förenlig med dataskyddslagen och därmed även med dataskyddsförordningen.

Sammanfattningsvis föranleder dataskyddsförordningens bestämmelser om identifieringsnummer inte några författningsändringar inom fastighetsrätten, associationsrätten eller transporträtten.

8.3. Lagring, gallring och arkivering

Bedömning: I fråga om lagring, gallring och arkivering föran-

leder dataskyddsförordningen inte några författningsändringar på de berörda rättsområdena.

Skälen för bedömningen: Som framgår av avsnitt 4.1 gäller

principen om lagringsminimering vid all personuppgiftsbehandling (artikel 5.1 e i dataskyddsförordningen). Principen innebär att personuppgifter som huvudregel inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Samma princip gäller enligt artikel 6.1 e i dataskyddsdirektivet. Huvudregeln har alltså inte ändrats. Vidare tillåter såväl dataskyddsförordningen som dataskyddsdirektivet att avsteg från denna huvudregel görs under vissa förutsättningar. För dataskyddsförordningens del gäller undantaget bl.a. personuppgifter som behandlas enbart för arkivändamål av allmänt intresse. Vidare gäller enligt dataskyddsförordningen att nationella bestämmelser om bl.a. lagringstid är tillåtna enligt artikel 6.3, när behandlingen grundar sig på en rättslig förpliktelse, en arbetsuppgift av allmänt intresse eller myndighetsutövning.

Dataskyddsutredningen bedömer att den behandling av personuppgifter som myndigheter och andra organ utför när de som en följd av arkivlagens (1990:782) bestämmelser arkiverar sina allmänna handlingar utgör en vidarebehandling som sker för

Ds 2017:19 Övriga frågor

arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen, och det krävs därför inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (SOU 2017:39 s. 216.) När det gäller känsliga personuppgifter och uppgifter om fällande domar i brottmål och överträdelser föreslår utredningen att sådana uppgifter ska få behandlas för arkivändamål av allmänt intresse, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv (3 kap. 6 och 11 §§ dataskyddslagen).

Utredningen konstaterar att den närmare innebörden av begreppet arkivändamål av allmänt intresse behöver klargöras i rättstillämpningen, men att det i vart fall står klart att den behandling av personuppgifter som sker för att uppfylla krav på bevarande för andra syften, såsom exempelvis kravet på arkivering av räkenskapsinformation enligt bokföringslagen (1999:1078), inte omfattas av begreppet (SOU 2017:39 s. 214 och 215).

Utöver bokföringslagens arkiveringskrav finns det flera bestämmelser inom fastighetsrätten och associationsrätten som innebär att personuppgifter ska bevaras under viss tid, t.ex. 5 kap. 3 § aktiebolagslagen, eller gallras efter en viss tidpunkt, t.ex. 16 § förordningen om revisorer. Oavsett om den personuppgiftsbehandling som sker i enlighet med dessa författningar omfattas av begreppet arkivändamål av allmänt intresse eller inte utgör dessa bestämmelser sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.3 i dataskyddsförordningen, eftersom behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning. Tidigare bedömningar av vilka lagringstider som är nödvändiga för ändamålet är även fortsättningsvis relevanta. Bestämmelserna är därför förenliga med dataskyddsförordningen. Eftersom det inte heller finns något behov av särreglering i förhållande till dataskyddslagen, föranleder dataskyddsförordningen i fråga om lagring, gallring och arkivering inte några författningsändringar inom fastighetsrätten eller associationsrätten.

9. Ikraftträdande- och övergångsbestämmelser

Förslag: Författningsändringarna ska träda i kraft den 25 maj

2018.

Bedömning: Några övergångsbestämmelser behövs inte.

Skälen för förslaget och bedömningen: Enligt artikel 99 i data-

skyddsförordningen ska förordningen träda i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning (vilket var den 24 maj 2016) och börja tillämpas från och med den 25 maj 2018. Genom de författningsändringar som föreslås i denna promemoria bedöms de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna överensstämma med förordningens krav. Ändringarna bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas, dvs. den 25 maj 2018.

Dataskyddsförordningen möjliggör inte att övergångsbestämmelser införs med innebörden att förordningen inte ska tillämpas efter den 25 maj 2018. Tvärtom är en utgångspunkt att behandling som pågår den dag då förordningen börjar tillämpas från och med den dagen ska bringas i överensstämmelse med förordningen (skäl 171). Personuppgiftsansvariga och personuppgiftsbiträden får därför förutsättas ha ordnat sin behandling så att exempelvis en begäran om information från en registrerad som inkommit, men inte hunnit besvaras, före den 25 maj 2018 kan tillmötesgås i enlighet med förordningens bestämmelser.

För skadestånd bör äldre bestämmelser gälla, om skadan orsakats före den 25 maj 2018. Att så är fallet följer av allmänna rättsgrundsatser, varför det inte finns något behov av övergångs-

Ikraftträdande- och övergångsbestämmelser Ds 2017:19

bestämmelser i det avseendet (se prop. 1972:5 s. 593). Inte heller i övrigt finns det skäl att införa övergångsbestämmelser.

Även myndighetsföreskrifter kan behöva ändras eller kompletteras. Dessa ändringar och tillägg bör träda i kraft samtidigt som dataskyddsförordningen börjar tillämpas.

10. Konsekvenser av förslagen

Bedömning: Ändringarna kan medföra marginellt ökade

administrativa bördor och därmed kostnader för de personuppgiftsansvariga myndigheterna, främst i anledning av att de registrerades rättigheter stärks. Den eventuella kostnadsökningen kan finansieras inom berörda myndigheters nuvarande ramar.

Skälen för bedömningen: De förslag som läggs fram i

promemorian anpassar författningar inom fastighetsrätten, associationsrätten, transporträtten och immaterialrätten till dataskyddsförordningen. Förslagen kan således sägas utgöra en liten del av ett stort arbete där tyngdpunkten ligger i de förändringar som förordningen medför. De viktigaste effekterna av det förändrade dataskyddet beror därför på regeländringar som ligger utanför denna promemoria och är alltså inte konsekvenser av de förslag som läggs fram i den. I sammanhanget kan det nämnas att de generella anpassningar av svensk rätt som behöver göras i anledning av dataskyddsförordningen föreslås av Dataskyddsutredningen. För en analys av konsekvenserna av utredningens förslag hänvisas till den utredningens betänkande (SOU 2017:39 s. 345352).

Genom de förslag som läggs fram i denna promemoria bedöms författningarna på de aktuella områdena överensstämma med dataskyddsförordningens krav. I den bedömningen inbegrips bl.a. att den samlade dataskyddsregleringen är proportionerlig i förhållande till de legitima mål som eftersträvas och att det i vederbörlig utsträckning tas hänsyn till den registrerades rätt till personlig integritet. Några alternativa lösningar synes inte föreligga för anpassningen.

Konsekvenser av förslagen Ds 2017:19

De aktörer som kommer att påverkas av förslagen är privatpersoner och personuppgiftsansvariga myndigheter. Bland myndigheterna berörs främst Lantmäteriet och Bolagsverket.

Ändringarna kan komma att medföra marginellt ökade administrativa bördor och därmed kostnader för de personuppgiftsansvariga myndigheterna, främst i anledning av att de registrerades rättigheter stärks. Dagens rättsläge ändras dock i mycket liten utsträckning, varför den eventuella kostnadsökningen bör kunna finansieras inom berörda myndigheters nuvarande ramar.

Förslagen medför vidare att Lantmäteriet får meddela sådana föreskrifter om personuppgiftsbiträdens hantering av personuppgifter som avses i artikel 28.3 i dataskyddsförordningen. Detta kan initialt förväntas leda till en något ökad arbetsbörda, men torde därefter inte kräva några ökade resurser. Den eventuella kostnadsökningen bör därför kunna finansieras inom Lantmäteriets nuvarande ramar.

För företag eller andra privata aktörer medför förslagen inte några nya kostnader eller ökad administrativ börda. Förslagen bedöms förbättra skyddet för den enskildas personliga integritet, främst i anledning av att de registrerades rättigheter stärks.

Ändringarna bedöms inte föranleda negativa effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt.

Förslagen bedöms inte få några konsekvenser för jämställdheten mellan kvinnor och män.

Förslagen bedöms inte i övrigt ha några sociala eller miljömässiga konsekvenser.

11. Författningskommentar

11.1. Förslaget till lag om ändring i jordabalken

19 kap. Handläggning av inskrivningsärenden m.m.

19 kap. Handläggning av inskrivningsärenden m.m.

Bestämmelser om handläggning av ärenden enligt 20–24 kap.

Rättelse

22 § Om fastighetsregistrets inskrivningsdel innehåller någon uppenbar oriktighet som beror på inskrivningsmyndighetens eller någon annans skrivfel, på något liknande förbiseende eller på ett tekniskt fel, ska inskrivningsmyndigheten rätta uppgiften. I fråga om personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Om åtgärden kan bli till skada för en ägare eller en innehavare av en panträtt eller en innehavare av en rättighet för vilken inskrivning är beviljad eller sökt, ska det inbördes företrädet mellan de berörda förvärven bestämmas efter vad som är skäligt.

I fall som avses i första stycket ska 26 § förvaltningslagen (1986:223) inte tillämpas.

Paragrafen behandlar rätten till rättelse i fastighetsregistrets inskrivningsdel. Övervägandena finns i avsnitt 6.4.3.

I första stycket görs ett tillägg. Av det framgår att om rättelse av personuppgifter inte kan ske enligt första meningen, ska frågan om rättelse prövas även mot dataskyddsförordningens bestämmelser om rättelse. I ett sådant fall ska personuppgifterna rättas även om oriktigheten inte är uppenbar, och oavsett vad oriktigheten beror

Författningskommentar Ds 2017:19

på, så länge rättelsen kan ske utan att den skadar den registrerade eller andra personers rättigheter eller friheter. Huruvida någon lider skada får bedömas i det enskilda fallet, mot bakgrund av registrets funktion, den aktuella uppgiften och de intressen som registreringen tillgodoser. Genom ändringen anpassas paragrafen till artiklarna 16 och 23 i dataskyddsförordningen.

Begränsning av behandling

25 a § För fastighetsregistrets inskrivningsdel gäller rätten till

begränsning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i fastighetsregistrets inskrivningsdel. Övervägandena finns i avsnitt 6.6.

Genom paragrafen inskränks den registrerades rätt till begränsning enligt dataskyddsförordningen (artiklarna 18 och 23). Med begränsning avses markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Sådan begränsning får ske endast om den kan ske utan skada för den registrerade eller andras rättigheter eller friheter. Huruvida någon lider skada får bedömas i det enskilda fallet, mot bakgrund av registrets funktion, den aktuella uppgiften och de intressen som registreringen tillgodoser.

Skadestånd

39 d § I Europaparlamentets och rådets förordning (EU) 2016/679

finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Paragrafen, som är ny, behandlar rätten till skadestånd vid felaktig personuppgiftsbehandling. Övervägandena finns i avsnitt 7.2.3.

Genom paragrafen erinras om att den registrerade har rätt till ersättning enligt dataskyddsförordningen (artikel 82) vid felaktig personuppgiftsbehandling.

Ds 2017:19 Författningskommentar

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.2. Förslaget till lag om ändring i lagen (1955:227) om inskrivning av rätt till luftfartyg

Inledande bestämmelser

1 a § För inskrivning enligt denna lag ska ett register föras med hjälp av automatiserad behandling, benämnt inskrivningsregistret för luftfartyg. Det ska ge offentlighet åt den information som ingår i registret.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om inskrivningsregistrets innehåll, närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter för registrering och om expeditionsavgifter för bevis om inskrivningsåtgärd.

Paragrafen behandlar hur inskrivningsregistret för luftfartyg ska föras och syftet med registret. Övervägandena finns i avsnitt 5.3.

I andra stycket tas en hänvisning till personuppgiftslagen (1998:204) bort. Innebörden av personuppgiftsansvaret framgår numera av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Om förfarandet i inskrivningsärenden

48 § Om inskrivningsmyndigheten finner att en införing i inskrivningsregistret för luftfartyg innehåller en uppenbar oriktighet till följd av myndighetens eller någon annans skrivfel eller liknande förbiseende, ska införingen rättas.

Författningskommentar Ds 2017:19

Detta gäller också i fråga om en uppenbar oriktighet i registret till följd av tekniskt fel. I fråga om personuppgifter gäller därutöver

rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerades eller andras rättigheter eller friheter. Om rättelsen kan bli till skada för ägare eller annan

rättighetshavare, ska det inbördes företrädet mellan de berörda rättigheterna bestämmas efter vad som är skäligt. Innan rättelse sker, ska inskrivningsmyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 53 § ska ges tillfälle att yttra sig. Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt. Meddelas inte beslut samma dag som ärendet tas upp, ska en anteckning om ärendet göras i registret.

Beslut om rättelse ska meddelas genom införing i registret. Skälet för beslutet ska antecknas i dagboken eller i akten. I stället för bevis eller handling som har utfärdats i enlighet med den tidigare införingen, ska en ny sådan handling utfärdas. Den tidigare handlingen ska återkrävas, göras obrukbar och behållas av inskrivningsmyndigheten. Den som har handlingen är skyldig att

lämna in den för detta ändamål. I ett föreläggande att fullgöra en

sådan skyldighet får vite sättas ut.

Ett beslut om rättelse får överklagas även av den myndighet som avses i 53 §.

Paragrafen behandlar rätten till rättelse i inskrivningsregistret för luftfartyg. Övervägandena finns i avsnitt 6.4.3.

I första stycket görs ett tillägg. Av det framgår att personuppgifter ska rättas även om oriktigheten inte är uppenbar, och oavsett vad oriktigheten beror på, så länge rättelsen kan ske utan att den skadar den registrerade eller andra personers rättigheter eller friheter. Huruvida någon lider skada får bedömas i det enskilda fallet, mot bakgrund av registrets funktion, den aktuella uppgiften och de intressen som registreringen tillgodoser. Genom ändringen anpassas paragrafen till artiklarna 16 och 23 i dataskyddsförordningen.

Det hittillsvarande sista stycket i paragrafen utgår.

Ds 2017:19 Författningskommentar

48 a § Rätten till begränsning av behandling av personuppgifter enligt

Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i inskrivningsregistret för luftfartyg. Övervägandena finns i avsnitt 6.6.

Genom paragrafen inskränks den registrerades rätt till begränsning enligt dataskyddsförordningen (artiklarna 18 och 23). Med begränsning avses markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Sådan begränsning får göras endast om den kan ske utan skada för den registrerade eller andras rättigheter eller friheter. Huruvida någon lider skada får bedömas i det enskilda fallet, mot bakgrund av registrets funktion, den aktuella uppgiften och de intressen som registreringen tillgodoser.

Statens ansvar för vissa rättsförluster, m.m.

51 § Om någon lider förlust på grund av att ett förvärv ansetts vara gällande enligt 2 d §, har denne rätt till ersättning av staten för sin förlust.

Om någon lider förlust till följd av ett tekniskt fel i inskrivningsregistret för luftfartyg eller i en anordning som hos inskrivningsmyndigheten eller någon annan statlig myndighet är ansluten till registret, har han eller hon rätt till ersättning av staten.

Om den skadelidande har medverkat till förlusten genom att

utan skälig anledning underlåta att vidta åtgärder för att bevara sin rätt eller på annat sätt genom eget vållande, ska ersättningen efter vad som är skäligt sättas ned eller helt falla bort.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Paragrafen behandlar rätten till skadestånd. Övervägandena finns i avsnitt 7.2.3.

I fjärde stycket, som enligt nuvarande ordning hänvisar till personuppgiftslagen i fråga om ersättning för felaktig personuppgiftbehandling, tas i stället in en allmän hänvisning till dataskyddsförordningen, på liknande sätt som sker i promemorians

Författningskommentar Ds 2017:19

förslag till ändring i bl.a. 5 kap. 1 § tredje stycket lagen (2008:990) om företagshypotek och 19 § lagen (2008:1075) om inteckningsbrevregister. I detta fall tillämpas inte de föregående styckena i paragrafen, utan förutsättningarna för skadestånd framgår av artikel 82 i dataskyddsförordningen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.3. Förslaget till lag om ändring i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk

7 kap. Ansvar och ersättningsskyldighet m.m.

53 c § Om sökanden visar sannolika skäl för att någon har gjort ett intrång eller gjort sig skyldig till en överträdelse som avses i 53 §, får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget eller överträdelsen gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av upphovsmannen eller upphovsmannens rättsinnehavare eller den som på grund av upplåtelse har rätt att utnyttja verket. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång eller en överträdelse som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget eller gjort sig skyldig till eller medverkat till överträdelsen,

2. i kommersiell skala har förfogat över en vara som intrånget eller överträdelsen gäller,

3. i kommersiell skala har använt en tjänst som intrånget eller överträdelsen gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget eller överträdelsen, eller

Ds 2017:19 Författningskommentar

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget eller överträdelsen gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller

förberedelse till intrång eller överträdelse som avses i 53 §.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

Paragrafen innehåller bestämmelser om informationsföreläggande. Övervägandena finns i avsnitt 5.3.

I paragrafens femte stycke, som är nytt, förtydligas att både sökanden (den påstådde rättighetshavaren eller licenstagaren) och den som åläggs informationsskyldighet enligt domstolens beslut, är skyldiga att behandla personuppgifter enligt dataskyddsförordningens bestämmelser. Domstolens beslut om informationsföreläggande ska innehålla en påminnelse om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga. De är emellertid inte att betrakta som gemensamt ansvariga enligt artikel 26 i dataskyddsförordningen eftersom de inte gemensamt har fastställt ändamålen och medlen för behandlingen. Vad som närmare gäller om personuppgiftsansvaret framgår av dataskyddsförordningen (se t.ex. 2–4 kap.).

53 d § Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt

Författningskommentar Ds 2017:19

som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 53 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

Paragrafen innehåller bestämmelser som begränsar möjligheterna för domstolen att meddela ett informationsföreläggande. Övervägandena finns i avsnitt 8.1.

Genom ändringen utgår hittillsvarande tredje stycket som hänvisar till personuppgiftslagen i fråga om behandling av personuppgifter. Att dataskyddsförordningens bestämmelser om behandling av personuppgifter i stället ska tillämpas tydliggörs i bestämmelsen om informationsföreläggande (se 53 c § femte stycket och författningskommentaren till den paragrafen).

53 g § Personuppgifter om lagöverträdelser som innefattar brott enligt 53 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Paragrafen klargör att personuppgifter om lagöverträdelser som innefattar brott, närmare angivna i 53 §, även fortsättningsvis får behandlas under vissa förutsättningar. Övervägandena finns i avsnitt 4.3.

Genom ändringen utgår hänvisningen till personuppgiftslagen (1998:204).

Kravet på att behandlingen ska vara nödvändig för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras kvarstår oförändrat. Det, i kombination med att ett informationsföreläggande kräver föregående domstolsbeslut (inkluderande en proportionalitetsbedömning), innebär att lämpliga skyddsåtgärder uppställts för att säkerställa att den registrerades intressen tas till vara på det sätt som dataskyddsförordningens artikel 10 föreskriver.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Ds 2017:19 Författningskommentar

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.4. Förslaget till lag om ändring i patentlagen (1967:837)

9 kap. Ansvar och ersättningsskyldighet m.m. 57 c § Om sökanden visar sannolika skäl för att någon har gjort ett

patentintrång får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av patenthavaren eller den som på grund av licens har rätt att utnyttja uppfinningen. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller

förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på

Författningskommentar Ds 2017:19

behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

9 kap. Ansvar och ersättningsskyldighet m.m. 57 c § Om sökanden visar sannolika skäl för att någon har gjort ett

Paragrafen innehåller bestämmelser om informationsföreläggande. Övervägandena finns i avsnitt 5.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 c § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

57 d § Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 57 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

Paragrafen innehåller bestämmelser som begränsar möjligheterna för domstolen att meddela ett informationsföreläggande. Övervägandena finns i avsnitt 8.1.

Ändringen är av samma slag som ändringen i 7 kap. 53 d § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

57 g § Personuppgifter om lagöverträdelser som innefattar brott enligt 57 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Paragrafen innehåller regler om behandlingen av personuppgifter om lagöverträdelser som innefattar brott, närmare angivna i 57 §. Övervägandena finns i avsnitt 4.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 g § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

Ds 2017:19 Författningskommentar

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.5. Förslaget till lag om ändring i mönsterskyddslagen (1970:485)

Ansvar och ersättningsskyldighet m.m.

35 c § Om sökanden visar sannolika skäl för att någon har gjort ett mönsterintrång får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av mönsterhavaren eller den som på grund av licens har rätt att utnyttja mönstret. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller

förberedelse till intrång.

Författningskommentar Ds 2017:19

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

Paragrafen innehåller bestämmelser om informationsföreläggande. Övervägandena finns i avsnitt 5.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 c § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

35 d § Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 35 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

Paragrafen innehåller bestämmelser som begränsar möjligheterna för domstolen att meddela ett informationsföreläggande. Övervägandena finns i avsnitt 8.1.

Ändringen är av samma slag som ändringen i 7 kap. 53 d § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

35 g § Personuppgifter om lagöverträdelser som innefattar brott enligt 35 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Paragrafen innehåller regler om behandlingen av personuppgifter om lagöverträdelser som innefattar brott, närmare angivna i 35 §. Övervägandena finns i avsnitt 4.3.

Ds 2017:19 Författningskommentar

Ändringarna är av samma slag som ändringarna i 7 kap. 53 g § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.6. Förslaget till lag om ändring i fastighetsbildningslagen (1970:988)

Fastighetsregistrets allmänna del

19 kap.

4 § Om en uppgift i fastighetsregistrets allmänna del är uppenbart oriktig, ska uppgiften rättas, om det kan ske utan någon skada för fastighetsägare eller rättighetshavare. I fråga om personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Om det är uppenbart att någon skada enligt första stycket inte kan uppkomma, ska rättelse ske omedelbart. I annat fall ska berörda fastighetsägare och rättighetshavare få tillfälle att yttra sig om de är kända.

Om det är uppenbart att en i registret redovisad fastighet inte finns, får fastigheten uteslutas ur registret med tillämpning av första och andra styckena, även om redovisningen inte är oriktig enligt de föreskrifter som gäller för fastighetsregistrets allmänna del.

En uppenbar oriktighet som beror på ett tekniskt fel i fastighetsregistrets allmänna del får rättas även om rättelsen kan medföra skada för fastighetsägare eller rättighetshavare. Förutom

Författningskommentar Ds 2017:19

fastighetsägare och rättighetshavare ska en myndighet som avses i 18 kap. 5 § första stycket jordabalkenfå tillfälle att yttra sig.

Paragrafen behandlar rätten till rättelse i fastighetsregistrets allmänna del. Övervägandena finns i avsnitt 6.4.3.

Ändringarna är av samma slag som ändringarna i 19 kap. 22 § jordabalken. Se vidare författningskommentaren till den paragrafen.

4 a § För fastighetsregistrets allmänna del gäller rätten till begräns-

ning av behandling av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i fastighetsregistrets allmänna del. Övervägandena finns i avsnitt 6.6.

Paragrafen motsvarar 19 kap. 25 a § jordabalken. Se vidare författningskommentaren till den paragrafen.

5 a § I Europaparlamentets och rådets förordning (EU) 2016/679

finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Paragrafen, som är ny, behandlar rätten till skadestånd vid felaktig personuppgiftsbehandling. Övervägandena finns i avsnitt 7.2.3.

Paragrafen motsvarar 19 kap. 39 d § jordabalken. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

Ds 2017:19 Författningskommentar

11.7. Förslaget till lag om ändring i firmalagen (1974:156)

Ansvar och ersättningsskyldighet m.m.

18 b § Om sökanden visar sannolika skäl för att någon har gjort ett firmaintrång får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av den som har lidit intrånget. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller

förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

Författningskommentar Ds 2017:19

Paragrafen innehåller bestämmelser om informationsföreläggande. Övervägandena finns i avsnitt 5.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 c § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

18 c § Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 18 b § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

Paragrafen innehåller bestämmelser som begränsar möjligheterna för domstolen att meddela ett informationsföreläggande. Övervägandena finns i avsnitt 8.1.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 d § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

18 f § Personuppgifter om lagöverträdelser som innefattar brott enligt 18 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Paragrafen innehåller regler om behandlingen av personuppgifter om lagöverträdelser som innefattar brott, närmare angivna i 18 §. Övervägandena finns i avsnitt 4.3.

Ändringen är av samma slag som ändringen i 7 kap. 53 g § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

Ds 2017:19 Författningskommentar

11.8. Förslaget till lag om ändring i lagen (1987:667) om ekonomiska föreningar

3 kap. Föreningens medlemmar m.m.

9 § Föreningen är personuppgiftsansvarig för den behandling av personuppgifter som förandet av medlemsförteckningen innebär.

Paragrafen behandlar personuppgiftsansvaret för en ekonomisk förenings medlemsförteckning. Övervägandena finns i avsnitten 6.4.2, 7.2.2 och 8.1.

Genom ändringarna tas en erinran i tidigare första stycket om att personuppgiftslagen (1998:204) gäller bort. Allmänna bestämmelser om personuppgiftsbehandling finns hädanefter i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Genom ändringarna tas också hänvisningar i tidigare andra stycket till rättelse- och skadeståndsbestämmelserna i personuppgiftslagen bort. Frågor om rättelse och skadestånd regleras numera i dataskyddsförordningen. I förordningen regleras också personuppgiftsansvaret och dess närmare innebörd.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

Författningskommentar Ds 2017:19

11.9. Förslaget till lag om ändring i lagen (1992:1685) om skydd för kretsmönster för halvledarprodukter

Straff m.m. 9 c § Om sökanden visar sannolika skäl för att någon har gjort ett

intrång i ett kretsmönster får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av innehavaren av kretsmönstret eller den som på grund av licens har rätt att utnyttja kretsmönstret. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller

förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

Ds 2017:19 Författningskommentar

dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

Paragrafen innehåller bestämmelser om informationsföreläggande. Övervägandena finns i avsnitt 5.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 c § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

9 d § Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 9 c § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

Paragrafen innehåller bestämmelser som begränsar möjligheterna för domstolen att meddela ett informationsföreläggande. Övervägandena finns i avsnitt 8.1.

Ändringen är av samma slag som ändringen i 7 kap. 53 d § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

9 g § Personuppgifter om lagöverträdelser som innefattar brott enligt 9 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Paragrafen innehåller regler om behandlingen av personuppgifter om lagöverträdelser som innefattar brott, närmare angivna i 9 §. Övervägandena finns i avsnitt 4.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 g § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Författningskommentar Ds 2017:19

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.10. Förslaget till lag om ändring i lagen (1994:448) om pantbrevsregister

Rättelse

12 § En uppgift i pantbrevsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av att den statliga lantmäterimyndigheten eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. I fråga om personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Den vars rätt berörs ska ges tillfälle att yttra sig.

Paragrafen behandlar rätten till rättelse i fastighetsregistrets inskrivningsdel. Övervägandena finns i avsnitt 6.4.3.

Ändringarna är av samma slag som ändringarna i 19 kap. 22 § jordabalken. Se vidare författningskommentaren till den paragrafen.

Begränsning av behandling

12 a § Rätten till begränsning av behandling av personuppgifter enligt

Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i pantbrevsregistret. Övervägandena finns i avsnitt 6.6.

Paragrafen motsvarar 19 kap. 25 a § jordabalken. Se vidare författningskommentaren till den paragrafen.

Ds 2017:19 Författningskommentar

Skadestånd

22 § I Europaparlamentets och rådets förordning (EU) 2016/679

finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Paragragen, som är ny, behandlar rätten till skadestånd vid felaktig personuppgiftsbehandling. Övervägandena finns i avsnitt 7.2.3.

Paragrafen motsvarar 19 kap. 39 d § jordabalken. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.11. Förslaget till lag om ändring i sjölagen (1994:1009)

1 kap. Om fartyg

Fartygsregistret 2 a § Fartygsregistret ska ge offentlighet åt den information som

ingår i registret.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om fartygsregistrets innehåll och närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter för registrering och om expeditionsavgifter för bevis om registrerings- eller inskrivningsåtgärd.

1 kap. Om fartyg

Paragrafen behandlar hur fartygsregistret ska föras och syftet med registret. Övervägandena finns i avsnitt 5.3.

Ändringarna är av samma slag som ändringarna i 1 a § lagen (1955:227) om inskrivning av rätt till luftfartyg. Se vidare författningskommentaren till den paragrafen.

Författningskommentar Ds 2017:19

2 kap. Om skeppsregistrering och inskrivning

Registrerings- och inskrivningsförfarandet

29 § Om registermyndigheten finner att en införing i fartygsregistrets skepps- eller skeppsbyggnadsdel innehåller en uppenbar oriktighet till följd av myndighetens eller någon annans skrivfel eller liknande förbiseende, ska införingen rättas. Detta gäller också i fråga om en uppenbar oriktighet i nämnda registerdelar till följd av tekniskt fel. I fråga om personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerades eller andras rättigheter eller friheter. Kan rättelse bli till skada för ägare eller för innehavare av pantbrev på grund av inteckning, ska det inbördes företrädet mellan berörda förvärv bestämmas efter vad som är skäligt. Innan rättelse sker, ska registermyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 22 kap. 6 § ska ges tillfälle att yttra sig. Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt.

Beslut om rättelse ska meddelas genom införing i fartygsregistrets skepps- eller skeppsbyggnadsdel. Skälen för beslutet ska antecknas i dagboken eller i akten. I stället för bevis eller handling som har utfärdats i enlighet med den tidigare införingen, ska en ny sådan handling utfärdas. Den tidigare handlingen ska krävas tillbaka, göras obrukbar och behållas av registermyndigheten. Den som har handlingen är skyldig att ge in den för detta ändamål. I ett föreläggande att fullgöra en sådan skyldighet får vite sättas ut.

Ett beslut om rättelse får överklagas även av den myndighet som avses i 22 kap. 6 §.

Paragrafen behandlar rätten till rättelse i fartygsregistrets skepps- eller skeppsbyggnadsdel. Övervägandena finns i avsnitt 6.4.3.

Ändringarna är av samma slag som ändringarna i 48 § lagen (1955:227) om inskrivning av rätt till luftfartyg. Se vidare författningskommentaren till den paragrafen.

29 a § Rätten till begränsning av behandling av personuppgifter enligt

Europaparlamentets och rådets förordning (EU) 2016/679 gäller

Ds 2017:19 Författningskommentar

enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i fartygsregistrets skepps- eller skeppsbyggnadsdel. Övervägandena finns i avsnitt 6.6.

Ändringarna är av samma slag som ändringarna i 48 a § lagen (1955:227) om inskrivning av rätt till luftfartyg. Se vidare författningskommentaren till den paragrafen.

22 kap. Särskilda bestämmelser

Statsansvar för vissa rättsförluster m.m.

4 § Kommer till följd av 2 kap. 10 § eller 3 kap. 9 § ett förvärv eller en panträttsupplåtelse som avses där att gälla mot den rätte ägaren eller mot någon till vars förmån rådighetsinskränkning gäller enligt de paragraferna, har denne rätt till ersättning av staten för sin förlust på grund av förvärvet eller upplåtelsen.

Om någon lider förlust till följd av ett tekniskt fel i fartygsregistrets skepps- eller skeppsbyggnadsdel eller i en anordning som hos registermyndigheten eller någon annan statlig myndighet är ansluten till registret, har han rätt till ersättning av staten.

Om den skadelidande har medverkat till förlusten genom att

utan skälig anledning underlåta att vidta åtgärder för att bevara sin rätt eller har han på annat sätt medverkat till förlusten genom eget vållande, ska ersättningen efter vad som är skäligt sättas ned eller helt falla bort.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Paragrafen behandlar rätten till skadestånd. Övervägandena finns i avsnitt 7.2.3.

Ändringarna är av samma slag som ändringarna i 51 § lagen (1955:227) om inskrivning av rätt till luftfartyg. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Författningskommentar Ds 2017:19

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.12. Förslaget till lag om ändring i växtförädlarrättslagen (1997:306)

9 kap. Ansvar och ersättningsskyldighet m.m.

5 a § Om sökanden visar sannolika skäl för att någon har gjort ett intrång i en växtförädlarrätt får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av innehavaren av växtförädlarrätten eller den som på grund av licens har rätt att utnyttja växtsorten. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som har innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller

förberedelse till intrång.

Ds 2017:19 Författningskommentar

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

Paragrafen innehåller grundläggande bestämmelser om informationsföreläggande. Övervägandena finns i avsnitt 5.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 c § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

5 b § Ett informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 9 kap. 5 a § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

Paragrafen innehåller bestämmelser som begränsar möjligheterna för domstolen att meddela ett informationsföreläggande. Övervägandena finns i avsnitt 8.1.

Ändringen är av samma slag som ändringen i 7 kap. 53 d § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

5 e § Personuppgifter om lagöverträdelser som innefattar brott enligt 9 kap. 1 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Paragrafen innehåller regler om behandlingen av personuppgifter om lagöverträdelser som innefattar brott, närmare angivna i 1 §. Övervägandena finns i avsnitt 4.3.

Författningskommentar Ds 2017:19

Ändringarna är av samma slag som ändringarna i 7 kap. 53 g § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.13. Förslaget till lag om ändring i lagen (2000:224) om fastighetsregister

Inledande bestämmelser

1 § För de ändamål som anges i 2 § ska med hjälp av automatiserad behandling föras ett register benämnt fastighetsregistret. Detta ska ge offentlighet åt den information som ingår i registret (fastighetsanknuten information).

I paragrafen behandlas hur fastighetsregistret ska föras och syftet med registret. Övervägandena finns i avsnitt 8.1.

Paragrafen ändras på så sätt att en hänvisning till personuppgiftslagens (1998:204) definition av personuppgifter i det hittillsvarande andra stycket tas bort. Personuppgifter definieras numera i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Registerändamål

2 § I fråga om personuppgifter ska registret ha till ändamål att tillhandahålla uppgifter för

1. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och

Ds 2017:19 Författningskommentar

a) som avser sådan egendom som registreras i fastighetsregistret,

b) som för att kunna utföras förutsätter tillgång till fastighetsanknuten information, eller

c) som avser fullgörande av underrättelseskyldighet,

2. omsättning av sådan egendom som registreras i fastighetsregistret,

3. kreditgivning, försäkringsgivning eller annan allmän eller enskild verksamhet där fastighetsanknuten information utgör underlag för prövningar eller beslut,

4. fastighetsförvaltning, byggande eller annan liknande åtgärd,

5. aktualisering, komplettering eller kontroll av fastighetsanknuten information som finns i kund- eller medlemsregister eller liknande register,

6. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2 och 21.3 i

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

eller

7. fullgörande av informationsansvar eller samarbete enligt lagen (2010:1767) om geografisk miljöinformation, om en personuppgift utgörs av en fastighets registerbeteckning eller adress.

Paragrafen behandlar fastighetsregistrets ändamål. Övervägandena finns i avsnitt 8.1.

I punkten 6 ersätts, utan ändring i sak, en hänvisning till personuppgiftslagen (1998:204) med en hänvisning till dataskyddsförordningen.

Personuppgiftsansvarig, m.m.

5 § Den statliga lantmäterimyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som sker i fastighetsregistret.

Paragrafen behandlar personuppgiftsansvaret för fastighetsregistret. Övervägandena finns i avsnitt 5.3.

Genom ändringen tas en hänvisning till personuppgiftslagen (1998:204) bort. Personuppgiftsansvaret och dess närmare innebörd regleras hädanefter i dataskyddsförordningen.

Författningskommentar Ds 2017:19

Skadestånd

13 § I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

I 19 kap. fastighetsbildningslagen (1970:988) och i 18 och 19 kap. jordabalken finns ytterligare bestämmelser om skadestånd på grund av fel i fastighetsregistrets allmänna del och i dess inskrivningsdel.

Paragrafen behandlar rätten till skadestånd. Övervägandena finns i avsnitt 7.2.3.

I första stycket, som enligt nuvarande ordning hänvisar till personuppgiftslagen (1998:204), erinras om att den registrerade vid felaktig personuppgiftsbehandling har rätt till ersättning enligt dataskyddsförordningen (artikel 82).

Rättelse

14 § I fråga om rättelse av personuppgifter i fastighetsregistrets allmänna del och i dess inskrivningsdel finns bestämmelser i19 kap. fastighetsbildningslagen (1970:988) och 19 kap. jordabalken.

Bestämmelser om rättelse av personuppgifter i fastighetsregistrets

övriga delar finns i Europaparlamentets och rådets förordning (EU)

2016/679. Frågor om sådan rättelse får prövas även av någon annan

än den personuppgiftsansvarige, om regeringen för en viss del av registret eller för vissa uppgifter har föreskrivit det.

Paragrafen behandlar rätten till rättelse i fastighetsregistret. Övervägandena finns i avsnitt 6.4.3.

I första stycket tas en hänvisning till personuppgiftslagen (1998:204) bort.

I andra stycket, som enligt nuvarande ordning hänvisar till personuppgiftslagen, erinras om rätten till rättelse enligt dataskyddsförordningen. Vidare görs ändringar i anledning av den personuppgiftsansvariges ansvar för rättelse enligt dataskyddsförordningen. Ändringarna medför att den registrerade alltid har rätt att vända sig till den personuppgiftsansvarige med en begäran om rättelse, även om regeringen föreskriver att någon annan än den personuppgiftsansvarige också får pröva frågor om rättelse i andra

Ds 2017:19 Författningskommentar

delar än som avses i första stycket, dvs. adressdelen, byggnadsdelen och taxeringsuppgiftsdelen.

Begränsning av behandling

15 § I fråga om begränsning av behandling av personuppgifter i

fastighetsregistrets allmänna del och i dess inskrivningsdel finns bestämmelser i 19 kap. fastighetsbildningslagen (1970:988) och 19 kap. jordabalken .

Bestämmelser om begränsning av behandling av personuppgifter i fastighetsregistrets övriga delar finns i Europaparlamentets och rådets förordning (EU) 2016/679.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i fastighetsregistret. Övervägandena finns i avsnitt 6.6.

Genom paragrafen erinras dels om dataskyddsförordningens bestämmelser om begränsning av behandling (artikel 18), dels om att rätten till begränsning av behandling för fastighetsregistrets allmänna del och inskrivningsdel behandlas i 19 kap. fastighetsbildningslagen och 19 kap. jordabalken. De bestämmelserna innebär en inskränkning av rätten till begränsning av behandling. Paragrafen är utformad på motsvarande sätt som 14 §. Se vidare författningskommentaren till 19 kap. 25 a § jordabalken.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

Författningskommentar Ds 2017:19

11.14. Förslaget till lag om ändring i revisorslagen (2001:883)

Revisorns skyldigheter

Interna rutiner för rapportering av överträdelser

26 a § Ett registrerat revisionsbolag ska ha ändamålsenliga rutiner för att hantera anställdas rapportering av misstänkta överträdelser av de bestämmelser som gäller för bolagets verksamhet.

I paragrafen behandlas interna rutiner för rapportering av överträdelser. Övervägandena finns i avsnitt 8.1.

Paragrafen ändras på så sätt att en erinran i det hittillsvarande andra stycket om att personuppgiftslagen (1998:204) gäller tas bort. Allmänna bestämmelser om personuppgiftsbehandling finns hädanefter i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Uppgiftslämnande m.m. 27 c § Revisorsinspektionen får på begäran lämna ut uppgifter till

en behörig myndighet i ett tredjeland, om utlämnandet är förenligt med Europaparlamentets och rådets förordning (EU) 2016/679 av

den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och om

1. uppgifterna har samband med revision av ett företag som har sitt säte inom EES och som har emitterat värdepapper upptagna till handel i tredjelandet eller ingår i en koncern, för vilken koncernredovisning upprättas i tredjelandet,

2. Europeiska kommissionen har beslutat att myndigheten uppfyller tillräckliga krav i enlighet med artikel 47.3 i Europaparlamentets och rådets direktiv 2006/43/EG av den 17 maj 2006 om lagstadgad revision av årsredovisning, årsbokslut och koncernredovisning och om ändring av rådets direktiv 78/660/EEG och 83/349/EEG samt om upphävande av rådets direktiv 84/253/EEG, och

Ds 2017:19 Författningskommentar

3. Revisorsinspektionen har träffat ett samarbetsavtal med myndigheten. Genom samarbetsavtalet ska det säkerställas

1. att tredjelandets behöriga myndighet inte utnyttjar uppgifterna för annat ändamål än verksamhet som motsvarar den som Revisorsinspektionen bedriver enligt denna lag, och

2. att revisionsklientens affärsintressen inte skadas. Uppgifterna får inte lämnas ut, om den sak som begäran avser redan prövas eller har prövats av Revisorsinspektionen.

Paragrafen behandlar utlämnande av uppgifter till ett tredjeland. Övervägandena finns i avsnitt 8.1.

I första stycket ersätts en hänvisning till personuppgiftslagen (1998:204) med en hänvisning till dataskyddsförordningen. Förutsättningarna för ett utlämnande av personuppgifter till tredje land framgår av kapitel 5 i dataskyddsförordningen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.15. Förslaget till lag om ändring i aktiebolagslagen (2005:551)

5 kap. Aktiebok

Gemensamma bestämmelser

Arkivering

4 § Bolaget är personuppgiftsansvarigt för den behandling av personuppgifter som förandet av aktieboken innebär. I avstämningsbolag är det, sedan ett avstämningsregister har upprättats, i stället värdepapperscentralen som är personuppgiftsansvarig, om det är en svensk värdepapperscentral som ansvarar för att föra aktieboken.

Paragrafen behandlar personuppgiftsansvar. Övervägandena finns i avsnitten 6.4.2, 7.2.2 och 8.1.

Författningskommentar Ds 2017:19

Ändringarna är av samma slag som ändringarna i 3 kap. 9 § lagen (1987:667) om ekonomiska föreningar. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.16. Förslaget till lag om ändring i lagen (2008:990) om företagshypotek

4 kap. Inskrivningsförfarandet

Företagsinteckningsregister och inskrivningsmyndighet

1 § För inskrivning enligt denna lag ska det föras ett register med hjälp av automatiserad behandling, benämnt företagsinteckningsregistret. Detta ska ge offentlighet åt den information som ingår i registret.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om registrets innehåll, närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen får meddela föreskrifter om expeditionsavgifter för bevis om inskrivningsåtgärd.

Paragrafen behandlar hur företagsinteckningsregistret ska föras och syftet med registret. Övervägandena finns i avsnitt 5.3.

I andra stycket tas en hänvisning till personuppgiftslagen (1998:204) bort såvitt gäller personuppgiftsansvaret. Innebörden av detta ansvar framgår numera av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Ds 2017:19 Författningskommentar

Anteckning och rättelse i företagsinteckningsregistret

21 § En uppgift som har förts in i företagsinteckningsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av inskrivningsmyndighetens eller någon annans skrivfel eller liknande förbiseende eller till följd av något tekniskt fel. I fråga om personuppgifter gäller därutöver rätten till rättelse enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Det inbördes företrädet mellan inteckningar som berörs av en rättelse ska bestämmas efter vad som är skäligt, om rättelsen kan skada den vars egendom har intecknats eller någon innehavare av företagsinteckningsbrev.

Innan rättelse sker, ska inskrivningsmyndigheten ge den som berörs av åtgärden, om han eller hon är känd, tillfälle att yttra sig. Även den myndighet som avses i 5 kap. 3 § ska ges tillfälle att yttra sig. Något yttrande behöver dock inte inhämtas, om det är uppenbart obehövligt.

En anteckning om ärendet ska göras i registret, om inte beslut meddelas samma dag som ärendet har tagits upp.

Paragrafen behandlar rätten till rättelse i företagsinteckningsregistret. Övervägandena finns i avsnitt 6.4.3.

Ändringarna är av samma slag som ändringarna i 19 kap. 22 § jordabalken. Se vidare författningskommentaren till den paragrafen.

Begränsning av behandling

22 a § Rätten till begränsning av behandling av personuppgifter enligt

Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i företagsinteckningregistret. Övervägandena finns i avsnitt 6.6.

Paragrafen motsvarar 19 kap. 25 a § jordabalken. Se vidare författningskommentaren till den paragrafen.

Författningskommentar Ds 2017:19

5 kap. Rätt till ersättning i vissa fall

1 § Om någon lider skada till följd av ett tekniskt fel i företagsinteckningsregistret eller i någon anordning som hos inskrivningsmyndigheten eller annan statlig myndighet är ansluten till registret, har han eller hon rätt till ersättning av staten.

Ersättningen ska efter skälighet sättas ned eller helt falla bort, om den skadelidande har medverkat till förlusten genom eget vållande.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Paragrafen behandlar rätten till skadestånd. Övervägandena finns i avsnitt 7.2.3.

I tredje stycket görs ändringar av samma slag som ändringarna i 19 kap. 39 d § jordabalken. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

11.17. Förslaget till lag om ändring i lagen (2008:1075) om inteckningsbrevsregister

Rättelse

11 § En uppgift i inteckningsbrevsregistret ska rättas, om uppgiften innehåller någon uppenbar oriktighet till följd av att Bolagsverket eller någon annan har gjort sig skyldig till skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. I fråga om personuppgifter gäller därutöver rätten till rättelse enligt

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), dock enbart i den utsträckning som rättelse kan ske utan skada för den registrerade eller andras rättigheter eller friheter.

Ds 2017:19 Författningskommentar

Den vars rätt berörs ska ges tillfälle att yttra sig.

Paragrafen behandlar rätten till rättelse i inteckningsbrevsregistret. Övervägandena finns i avsnitt 6.4.3.

Ändringarna är av samma slag som ändringarna i 19 kap. 22 § jordabalken. Se vidare författningskommentaren till den paragrafen.

Begränsning av behandling

11 a § Rätten till begränsning av behandling av personuppgifter enligt

Europaparlamentets och rådets förordning (EU) 2016/679 gäller enbart i den utsträckning som behandlingen kan begränsas utan skada för den registrerade eller andras rättigheter eller friheter.

Paragrafen, som är ny, behandlar rätten till begränsning av behandling i inteckningsbrevsregistret. Övervägandena finns i avsnitt 6.6.

Paragrafen motsvarar 19 kap. 25 a § jordabalken. Se vidare författningskommentaren till den paragrafen.

Bemyndigande m.m.

18 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om inteckningsbrevsregistrets innehåll, närmare ändamål och behandling av uppgifter samt om personuppgiftsansvar.

Regeringen eller den myndighet som regeringen bestämmer kan

med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

förandet av registret och om ingivning av ansökningar i registreringsärenden.

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela vissa föreskrifter. Övervägandena finns i avsnitt 5.3.

I första stycket tas en hänvisning till personuppgiftslagen (1998:204) bort såvitt gäller personuppgiftsansvaret. Innebörden av detta ansvar framgår numera av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter

Författningskommentar Ds 2017:19

och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Skadestånd

19 § Den som lider skada genom att en uppgift i inteckningsbrevsregistret är oriktig eller missvisande eller i något annat fall genom fel i samband med att registret läggs upp eller förs, har rätt till ersättning av staten, om det inte visas att felaktigheten beror på en omständighet utanför Bolagsverkets kontroll vars följder verket inte skäligen kunde ha undvikit eller övervunnit.

Ersättning enligt första stycket kan i skälig utsträckning sättas ned eller falla bort, om vållande på den skadelidandes sida har medverkat till skadan.

I Europaparlamentets och rådets förordning (EU) 2016/679 finns bestämmelser om ersättning vid felaktig personuppgiftsbehandling.

Paragrafen behandlar rätten till skadestånd. Övervägandena finns i avsnitt 7.2.3.

I tredje stycket görs ändringar av samma slag som ändringarna i 19 kap. 39 d § jordabalken. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

Ds 2017:19 Författningskommentar

11.18. Förslaget till lag om ändring i varumärkeslagen (2010:1877)

9 kap. Informationsföreläggande och intrångsundersökning

Informationsföreläggande

Grundläggande bestämmelser

1 § Om en sökande visar sannolika skäl för att någon har gjort ett varumärkesintrång, får domstolen vid vite besluta att någon eller några av dem som anges i andra stycket ska ge sökanden information om ursprung och distributionsnät för de varor eller tjänster som intrånget gäller (informationsföreläggande). Ett sådant beslut får meddelas på yrkande av den som innehar varukännetecknet enligt 1 kap. 6–8 §§ eller den som på grund av licens har rätt att utnyttja detta. Det får bara meddelas om informationen kan antas underlätta utredning av ett intrång som avser varorna eller tjänsterna.

Skyldigheten att lämna information omfattar den som

1. har gjort eller medverkat till intrånget,

2. i kommersiell skala har förfogat över en vara som intrånget gäller,

3. i kommersiell skala har använt en tjänst som intrånget gäller,

4. i kommersiell skala har tillhandahållit en elektronisk kommunikationstjänst eller en annan tjänst som har använts vid intrånget, eller

5. har identifierats av någon som anges i 2–4 såsom delaktig i tillverkningen eller distributionen av en vara eller tillhandahållandet av en tjänst som intrånget gäller.

Information om varors eller tjänsters ursprung och distributionsnät kan särskilt avse

1. namn på och adress till producenter, distributörer, leverantörer och andra som innehaft varorna eller tillhandahållit tjänsterna,

2. namn på och adress till avsedda grossister och detaljister, och

3. uppgifter om hur mycket som har producerats, levererats, mottagits eller beställts och om vilket pris som har bestämts för varorna eller tjänsterna.

Första–tredje styckena tillämpas också i fråga om försök eller förberedelse till intrång.

I fråga om personuppgifter är både sökanden och den informationsskyldige skyldiga att behandla uppgifterna enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den

Författningskommentar Ds 2017:19

27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Domstolen ska i sitt beslut upplysa om detta och om att både sökanden och den informationsskyldige kan vara personuppgiftsansvariga.

Paragrafen innehåller bestämmelser om informationsföreläggande. Övervägandena finns i avsnitt 5.3.

Ändringarna är av samma slag som ändringarna i 7 kap. 53 c § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

2 § Ett beslut om informationsföreläggande får meddelas endast om skälen för åtgärden uppväger den olägenhet eller det men i övrigt som åtgärden innebär för den som drabbas av den eller för något annat motstående intresse.

Skyldigheten att lämna information enligt 1 § omfattar inte uppgifter vars yppande skulle röja att uppgiftslämnaren eller någon honom eller henne närstående som avses i 36 kap. 3 § rättegångsbalken har begått en brottslig handling.

Paragrafen innehåller bestämmelser som begränsar möjligheterna för domstolen att meddela ett informationsföreläggande. Övervägandena finns i avsnitt 8.1.

Ändringen är av samma slag som ändringen i 7 kap. 53 d § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

10 kap. Övriga bestämmelser

Behandling av personuppgifter

3 § Personuppgifter om lagöverträdelser som innefattar brott enligt 8 kap. 1 § får behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.

Paragrafen innehåller regler om behandlingen av personuppgifter om lagöverträdelser som innefattar brott, närmare angivna i 8 kap. 1 §. Övervägandena finns i avsnitt 4.3.

Ds 2017:19 Författningskommentar

Ändringarna är av samma slag som ändringarna i 7 kap. 53 g § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk. Se vidare författningskommentaren till den paragrafen.

Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Lagen träder i kraft den 25 maj 2018. Övervägandena finns i avsnitt 9.

Bilaga 1

215

I

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679

av den 27 april 2016

om skydd för fysiska personer med avseende på behandling av personuppgifter och om

det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän

dataskyddsförordning)

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

med beaktande av Regionkommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)

Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i

Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget

om Europeiska unionens funktionssätt (EUF-fördraget) föreskriver att var och en har rätt till skydd av de

personuppgifter som rör honom eller henne.

(2)

Principerna och reglerna för skyddet för fysiska personer vid behandling av deras personuppgifter bör, oavsett

deras medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, särskilt deras rätt till

skydd av personuppgifter. Avsikten med denna förordning är att bidra till att skapa ett område med frihet,

säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och

konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.

(3)

Europaparlamentets och rådets direktiv 95/46/EG (4) syftar till att harmonisera skyddet av fysiska personers

grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av

personuppgifter mellan medlemsstaterna.

4.5.2016

L 119/1

Europeiska unionens officiella tidning

SV

(1) EUT C 229, 31.7.2012, s. 90.

(2) EUT C 391, 18.12.2012, s. 127.

(3) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av

den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.

(4) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling

av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

Ds 2017:19

Bilaga 1

216

(4)

Behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter

är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande

rättigheter i enlighet med proportionalitetsprincipen. Denna förordning respekterar alla grundläggande rättigheter

och iakttar de friheter och principer som erkänns i stadgan, såsom de fastställts i fördragen, särskilt skydd för

privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, tankefrihet, samvetsfrihet och

religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk

domstol samt kulturell, religiös och språklig mångfald.

(5)

Den ekonomiska och sociala integration som uppstått tack vare den inre marknaden har lett till en betydande

ökning av de gränsöverskridande flödena av personuppgifter. Utbytet av personuppgifter mellan offentliga och

privata aktörer, inbegripet fysiska personer, sammanslutningar och företag, över hela unionen har ökat. Nationella

myndigheter i medlemsstaterna uppmanas i unionsrätten att samarbeta och utbyta personuppgifter för att vara i

stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat.

(6)

Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av

personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det

möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en

helt ny omfattning. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, världen över.

Tekniken har omvandlat både ekonomin och det sociala livet, och bör ytterligare underlätta det fria flödet av

personuppgifter inom unionen samt överföringar till tredjeländer och internationella organisationer, samtidigt

som en hög skyddsnivå säkerställs för personuppgifter.

(7)

Dessa förändringar kräver en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av

kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala

ekonomin över hela den inre marknaden. Fysiska personer bör ha kontroll över sina egna personuppgifter. Den

rättsliga säkerheten och smidigheten för fysiska personer, ekonomiska operatörer och myndigheter bör stärkas.

(8)

Om denna förordning föreskriver förtydliganden eller begränsningar av dess bestämmelser genom

medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för

samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på,

införliva delar av denna förordning i nationell rätt.

(9)

Målen och principerna för direktiv 95/46/EG är fortfarande giltiga, men det har inte kunnat förhindra bristande

enhetlighet i genomförandet av dataskyddet i olika delar av unionen, rättsosäkerhet eller allmänt spridda

uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av

internet. Skillnader i nivån på skyddet av fysiska personers rättigheter och friheter, särskilt rätten till skydd av

personuppgifter, vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av

personuppgifter över hela unionen. Dessa skillnader kan därför utgöra ett hinder för att bedriva ekonomisk

verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina

skyldigheter enligt unionsrätten. De varierande skyddsnivåerna beror på skillnader i genomförandet och

tillämpningen av direktiv 95/46/EG.

(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av

personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling

av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna

om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör

säkerställas i hela unionen. Vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för

att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgift­

sansvarige, bör medlemsstaterna tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa

hur bestämmelserna i denna förordning ska tillämpas. Jämte den allmänna och övergripande lagstiftning om

dataskydd varigenom direktiv 95/46/EG genomförs har medlemsstaterna flera sektorsspecifika lagar på områden

som kräver mer specifika bestämmelser. Denna förordning ger dessutom medlemsstaterna handlingsutrymme att

specificera sina bestämmelser, även för behandlingen av särskilda kategorier av personuppgifter (nedan kallade

känsliga uppgifter). Denna förordning utesluter inte att det i medlemsstaternas nationella rätt fastställs närmare

omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig

behandling av personuppgifter.

4.5.2016

L 119/2

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

217

(11) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och

specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av

personuppgifter klargörs, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att

reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i

medlemsstaterna.

(12) I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för

fysiska personer när det gäller behandling av personuppgifter och bestämmelser om den fria rörligheten för

personuppgifter.

(13) För att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som

hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs en förordning som skapar

rättslig säkerhet och öppenhet för ekonomiska aktörer, däribland mikroföretag samt små och medelstora företag,

och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt

ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar, så att övervakningen av behandling

av personuppgifter blir enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyn­

digheterna i olika medlemsstater effektivt. För att den inre marknaden ska fungera väl krävs att det fria flödet av

personuppgifter inom unionen inte begränsas eller förbjuds av skäl som har anknytning till skydd för fysiska

personer med avseende på behandling av personuppgifter. För att ta hänsyn till mikroföretagens samt de små och

medelstora företagens särskilda situation innehåller denna förordning ett undantag för organisationer som

sysselsätter färre än 250 personer med avseende på registerföring. Dessutom uppmanas unionens institutioner

och organ samt medlemsstaterna och deras tillsynsmyndigheter att vid tillämpningen av denna förordning ta

hänsyn till mikroföretagens samt de små och medelstora företagens särskilda behov. Begreppen mikroföretag

samt små och medelstora företag bör bygga på artikel 2 i bilagan till kommissionens rekommendation

2003/361/EG (1).

(14) Det skydd som ska tillhandahållas enligt denna förordning bör tillämpas på fysiska personer, oavsett

medborgarskap eller hemvist, med avseende på behandling av deras personuppgifter. Denna förordning omfattar

inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer,

exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(15) För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara

teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara

tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller

är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt

särskilda kriterier, bör inte omfattas av denna förordning.

(16) Denna förordning är inte tillämplig på frågor som rör skyddet av grundläggande rättigheter och friheter eller det

fria flödet av personuppgifter på områden som inte omfattas av unionsrätten, såsom verksamhet rörande

nationell säkerhet. Denna förordning är inte tillämplig på medlemsstaternas behandling av personuppgifter när de

agerar inom ramen för unionens gemensamma utrikes- och säkerhetspolitik.

(17) Europaparlamentets och rådets förordning (EG) nr 45/2001 (2) är tillämplig på den behandling av

personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av

unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till

principerna och bestämmelserna i den här förordningen och tillämpas mot bakgrund av den här förordningen.

För att tillhandahålla en stark och sammanhängande ram för dataskyddet inom unionen bör nödvändiga

anpassningar av förordning (EG) nr 45/2001 göras när den här förordningen har antagits, så att de båda

förordningarna kan tillämpas samtidigt.

(18) Denna förordning är inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet

som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes-

eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan omfatta

4.5.2016

L 119/3

Europeiska unionens officiella tidning

SV

(1) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (K(2003) 1422)

(EUT L 124, 20.5.2003, s. 36).

(2) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu­

tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001,

s. 1).

Ds 2017:19

Bilaga 1

218

korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan

verksamhet. Denna förordning är dock tillämplig på personuppgiftsansvariga eller personuppgiftsbiträden som

tillhandahåller utrustning för behandling av personuppgifter för sådan privat verksamhet eller hushålls­

verksamhet.

(19) Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter,

säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på

behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna

förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt,

nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 (1). Medlemsstaterna får anförtro behöriga

myndigheter i den mening som avses i direktiv (EU) 2016/680 uppgifter som inte nödvändigtvis utförs för att

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda

mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för

dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna

förordning.

Vad gäller dessa behöriga myndigheters behandling av personuppgifter för ändamål som omfattas av

tillämpningsområdet för denna förordning, bör medlemsstaterna kunna bibehålla eller införa mer specifika

bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning. I sådana bestämmelser får det

fastställas mer specifika krav för dessa behöriga myndigheters behandling av personuppgifter för dessa andra

ändamål, med beaktande av respektive medlemsstats konstitutionella, organisatoriska och administrativa struktur.

När privata organs behandling av personuppgifter omfattas av tillämpningsområdet för denna förordning, bör

denna förordning ge medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och

rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för

att skydda särskilda viktiga intressen, däribland allmän säkerhet samt förebyggande, förhindrande, utredning,

avslöjande och lagföring av brott eller verkställande av straffrättsliga påföljder eller skydd mot samt förebyggande

och förhindrande av hot mot den allmänna säkerheten. Detta är exempelvis relevant i samband med bekämpning

av penningtvätt eller verksamhet vid kriminaltekniska laboratorier.

(20) Eftersom denna förordning bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter,

skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden

för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av

personuppgifter. Tillsynsmyndigheternas behörighet bör inte omfatta domstolars behandling av personuppgifter

när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets

oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Det bör vara möjligt att

anförtro tillsynen över sådan behandling av uppgifter till särskilda organ inom medlemsstaternas rättsväsen, vilka

framför allt bör säkerställa efterlevnaden av bestämmelserna i denna förordning, främja domstolsväsendets

medvetenhet om sina skyldigheter enligt denna förordning och hantera klagomål relaterade till sådan behandling

av uppgifter.

(21) Denna förordning påverkar inte tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG (2), särskilt

bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det direktivet. Syftet med det

direktivet är att bidra till att den inre marknaden fungerar väl genom att säkerställa fri rörlighet för informations­

samhällets tjänster mellan medlemsstaterna.

(22)

All behandling av personuppgifter som sker inom ramen för arbetet på personuppgiftsansvarigas eller personupp­

giftsbiträdens verksamhetsställen inom unionen bör ske i överensstämmelse med denna förordning, oavsett om

behandlingen i sig äger rum inom unionen. Verksamhetsställe innebär det faktiska och reella utförandet av

verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial

eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.

4.5.2016

L 119/4

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga

myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga

påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (se sidan 89 i detta nummer av

EUT).

(2) Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster,

särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”) (EGT L 178, 17.7.2000, s. 1).

Ds 2017:19

Bilaga 1

219

(23) För att fysiska personer inte ska fråntas det skydd som denna förordning ger dem bör sådan behandling av

personuppgifter om registrerade personer som befinner sig i unionen vilken utförs av en personuppgiftsansvarig

eller ett personuppgiftsbiträde som inte är etablerad inom unionen omfattas av denna förordning, om

behandlingen avser utbjudande av varor eller tjänster inom unionen till de registrerade, oavsett om detta är

kopplat till en betalning. I syfte att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder

varor eller tjänster till registrerade som befinner sig i unionen bör man fastställa om det är uppenbart att den

personuppgiftsansvarige eller personuppgiftsbiträdet avser att erbjuda tjänster till registrerade i en eller flera av

unionens medlemsstater. Medan enbart åtkomlighet till den personuppgiftsansvariges, personuppgiftsbiträdets

eller en mellanhands webbplats i unionen, till en e-postadress eller andra kontaktuppgifter eller användning av ett

språk som allmänt används i det tredjeland där den personuppgiftsansvarige är etablerad inte är tillräckligt för att

fastställa en sådan avsikt, kan faktorer som användning av ett språk eller en valuta som allmänt används i en eller

flera medlemsstater med möjlighet att beställa varor och tjänster på detta andra språk, eller omnämnande av

kunder eller användare som befinner sig i unionen, göra det uppenbart att den personuppgiftsansvarige avser att

erbjuda varor eller tjänster till registrerade inom unionen.

(24) Den behandling av personuppgifter som avser registrerade som befinner sig i unionen som utförs av en

personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen bör också omfattas av

denna förordning, om den hör samman med övervakningen av de registrerade personernas beteende när de

befinner sig i unionen. För att avgöra huruvida en viss behandling kan anses övervaka beteendet hos registrerade,

bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med

hjälp av teknik som profilerar fysiska personer, i synnerhet för att fatta beslut rörande honom eller henne eller för

att analysera eller förutsäga hans eller hennes personliga preferenser, beteende och attityder.

(25) Om medlemsstaternas nationella rätt är tillämplig i kraft av folkrätten, bör denna förordning också vara tillämplig

på personuppgiftsansvariga som inte är etablerade inom unionen, exempelvis i en medlemsstats diplomatiska

beskickning eller konsulat.

(26) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person.

Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att

kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om

en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den

personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt

identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att

användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader

och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som

den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen

information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som

anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör

därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller

forskningsändamål.

(27) Denna förordning gäller inte behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får

fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer.

(28) Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och

hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett

uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för

dataskydd.

(29) För att skapa incitament för tillämpning av pseudonymisering vid behandling av personuppgifter bör åtgärder för

pseudonymisering som samtidigt medger en allmän analys vara möjliga inom samma personuppgiftsansvarigs

verksamhet, när den personuppgiftsansvarige har vidtagit de tekniska och organisatoriska åtgärder som är

nödvändiga för att se till att denna förordning genomförs för berörd uppgiftsbehandling och att kompletterande

uppgifter för tillskrivning av personuppgifterna till en specifik registrerad person förvaras separat. Den

personuppgiftsansvarige som behandlar personuppgifterna bör ange behöriga personer inom samma personupp­

giftsansvarigs verksamhet.

4.5.2016

L 119/5

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

220

(30) Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och

protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår

som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas

för att skapa profiler för fysiska personer och identifiera dem.

(31) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig

förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter

eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte

betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild

utredning av allmänt intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga

myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i

enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters

behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är

tillämpliga på behandlingens ändamål.

(32) Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och

otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter

rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan

inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på

informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i

sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter.

Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all

behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för

samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara

tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(33) Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga

forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till

vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.

Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av

forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(34) Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade

genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför

allt kromosom-, DNA- eller RNA-analys eller av en annan form av analys som gör det möjligt att inhämta

motsvarande information.

(35) Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd

som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda­

hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv

2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att

identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en

kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om

exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades

fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan

sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(36) Den personuppgiftsansvariges huvudsakliga verksamhetsställe i unionen bör vara den plats i unionen där den

personuppgiftsansvarige har sin centrala förvaltning, såvida inte beslut om ändamålen och medlen för behandling

av personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen; i sådant fall

4.5.2016

L 119/6

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande

hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

Ds 2017:19

Bilaga 1

221

bör det andra verksamhetsstället anses vara det huvudsakliga verksamhetsstället. En personuppgiftsansvarigs

huvudsakliga verksamhetsställe inom unionen bör avgöras med beaktande av objektiva kriterier och bör

inbegripa den faktiska och reella ledning som fattar de huvudsakliga besluten vad avser ändamål och medel för

behandlingen med hjälp av en stabil struktur. Detta kriterium bör inte vara avhängigt av om behandlingen av

personuppgifter utförs på detta ställe. Att tekniska medel och teknik för behandling av personuppgifter eller

behandlingsverksamhet finns och används visar i sig inte att det rör sig om ett huvudsakligt verksamhetsställe

och utgör därför inte avgörande kriterier för ett huvudsakligt verksamhetsställe. Personuppgiftsbiträdets

huvudsakliga verksamhetsställe bör vara den plats i unionen där denne har sin centrala förvaltning eller, om

denne inte har någon central förvaltning inom unionen, den plats inom unionen där den huvudsakliga

behandlingen sker. I fall som omfattar både en personuppgiftsansvarig och ett personuppgiftsbiträde bör den

behöriga ansvariga tillsynsmyndigheten fortfarande vara tillsynsmyndigheten i den medlemsstat där den

personuppgiftsansvarige har sitt huvudsakliga verksamhetsställe, men den tillsynsmyndighet som gäller för

personuppgiftsbiträdet bör betraktas som en berörd tillsynsmyndighet och den tillsynsmyndigheten bör delta i det

samarbetsförfarande som föreskrivs i denna förordning. Om utkastet till beslut endast gäller den personuppgift­

sansvarige, bör tillsynsmyndigheterna i den eller de medlemsstater där personuppgiftsbiträdet har ett eller flera

verksamhetsställen inte under några omständigheter betraktas som berörda tillsynsmyndigheter. Om

behandlingen utförs av en koncern bör det kontrollerande företagets huvudsakliga verksamhetsställe betraktas

som koncernens huvudsakliga verksamhetsställe, utom då behandlingens ändamål och de medel med vilka den

utförs fastställs av ett annat företag.

(37) En koncern bör innefatta ett kontrollerande företag och de företag som detta företag kontrollerar (kontrollerade

företag), varvid det kontrollerande företaget bör vara det företag som kan utöva ett dominerande inflytande på de

övriga företagen i kraft av exempelvis ägarskap, finansiellt deltagande eller de bestämmelser som det regleras av

eller befogenheten att införa regler som rör personuppgiftsskyddet. Ett företag med kontroll över behandlingen av

personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en

koncern.

(38) Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker,

följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt

skydd bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte eller för att skapa

personlighets- eller användarprofiler samt insamling av personuppgifter med avseende på barn när tjänster som

erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör inte krävas

för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

(39) Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska

personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i

vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all

information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och

lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till

registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information

för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse

på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna

om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de

kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna

behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.

Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de

behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är

begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte

rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt

bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder

bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer

lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig

användning av personuppgifter och den utrustning som används för behandlingen.

(40) För att behandling ska vara laglig bör personuppgifterna behandlas efter samtycke från den berörda registrerade

eller på någon annan legitim grund som fastställts i lag, antingen i denna förordning eller i annan unionsrätt eller

4.5.2016

L 119/7

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

222

medlemsstaternas nationella rätt enligt denna förordning, vilket inbegriper att de rättsliga skyldigheter som åligger

den personuppgiftsansvarige måste fullgöras eller att ett avtal i vilket den registrerade är part måste genomföras

eller att åtgärder på begäran av den registrerade måste vidtas innan avtalet ingås.

(41) När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis

en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella

ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och

precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid

Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.

(42) När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade

har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det

finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt

samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (1) bör en förklaring om samtycke som den

personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med

användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den

registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för

vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har

någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(43) För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av

personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp­

giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att

samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Samtycke

antas inte vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av

personuppgifter, trots att detta är lämpligt i det enskilda fallet, eller om genomförandet av ett avtal – inbegripet

tillhandahållandet av en tjänst – är avhängigt av samtycket, trots att samtycket inte är nödvändigt för ett sådant

genomförande.

(44) Behandling bör vara laglig när den är nödvändig i samband med avtal eller när det finns en avsikt att ingå ett

avtal.

(45) Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling

som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i

unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag

för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en

rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift

av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten

eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings

allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personupp­

giftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till

vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra

en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt bör också reglera frågan

huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighets­

utövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentlig­

rättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål,

såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning,

exempelvis en yrkesorganisation.

(46) Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av

avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på

4.5.2016

L 119/8

Europeiska unionens officiella tidning

SV

(1) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

Ds 2017:19

Bilaga 1

223

grundval av en annan fysisk persons grundläggande intressen bör i princip endast äga rum om behandlingen inte

uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och

intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av

humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer,

särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(47) En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken

personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de

registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de

registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Ett sådant berättigat

intresse kan till exempel finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och

den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den

personuppgiftsansvarige. Ett berättigat intresse kräver under alla omständigheter en noggrann bedömning, som

inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med

detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske. Den registrerades

intressen och grundläggande rättigheter skulle i synnerhet kunna väga tyngre än den personuppgiftsansvariges

intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig

någon ytterligare behandling. Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den

rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte

gälla den behandling de utför som ett led i fullgörandet av sina uppgifter. Sådan behandling av personuppgifter

som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personupp­

giftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.

(48) Personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha

ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland

annat för behandling av kunders eller anställdas personuppgifter. De allmänna principerna för överföring av

personuppgifter, inom en koncern, till företag i tredjeland påverkas inte.

(49) Behandling av personuppgifter utgör ett berättigat intresse för berörd personuppgiftsansvarig i den mån den är

absolut nödvändig och proportionell för att säkerställa nät- och informationssäkerhet, dvs. förmågan hos ett nät

eller ett informationssystem att vid en viss tillförlitlighetsnivå tåla olyckshändelser, olagliga handlingar eller

illvilligt uppträdande som äventyrar tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade

eller överförda personuppgifter och säkerheten hos besläktade tjänster som tillhandahålls av – eller är tillgängliga

via – dessa nät och system, av myndigheter, incidenthanteringsorganisationer (Cert), enheter för hantering av

datasäkerhetsincidenter, tillhandahållare av elektroniska kommunikationsnät och kommunikationstjänster och

tillhandahållare av säkerhetsteknik och säkerhetstjänster. Detta skulle t.ex. kunna innefatta att förhindra obehörigt

tillträde till elektroniska kommunikationsnät och felaktig kodfördelning och att sätta stopp för överbelastnings­

attacker och skador på datasystem och elektroniska kommunikationssystem.

(50) Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör endast vara

tillåten, när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall

krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter

medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i

myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller

medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling

bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga

eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av

uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten eller i

medlemsstaternas nationella rätt kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa

om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna

ursprungligen insamlades bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den

ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen

med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de

registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige i fråga om den

4.5.2016

L 119/9

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

224

art, den planerade ytterligare behandlingens konsekvenser för de registrerade samt förekomsten av lämpliga

skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på

medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i

syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att

behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla

omständigheter bör tillämpningen av principerna i denna förordning, särskilt informationen till den registrerade

om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas. Om den

personuppgiftsansvarige anmäler möjliga brott eller hot mot den allmänna säkerheten och i enskilda fall eller i

flera fall som rör samma brott eller hot mot den allmänna säkerheten överför dessa personuppgifter till en

behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse. Sådan

överföring i den personuppgiftsansvariges berättigade intresse eller ytterligare behandling av personuppgifter bör

emellertid vara förbjuden, om behandlingen inte är förenlig med lagstadgad eller yrkesmässig tystnadsplikt eller

annan bindande tystnadsplikt.

(51) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter

bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de

grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som

avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen

godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte

systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras

som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av

en fysisk person. Sådana personuppgifter bör inte behandlas, såvida inte behandling medges i särskilda fall som

fastställs i denna förordning, med beaktande av att det i medlemsstaternas lagstiftning får införas särskilda

bestämmelser om dataskydd för att anpassa tillämpningen av bestämmelserna i denna förordning i syfte att

fullgöra en rättslig skyldighet eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den

personuppgiftsansvarige har fått i uppgift att utföra. Utöver de särskilda kraven för sådan behandling, bör de

allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för

laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av

personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller

för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som

bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(52) Undantag från förbudet att behandla särskilda kategorier av personuppgifter bör även tillåtas om de föreskrivs i

unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda

personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta, i synnerhet i fråga om

behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner, och för

hälsosäkerhetsändamål, övervaknings- och varningssyften, förebyggande eller kontroll av smittsamma sjukdomar

och andra allvarliga hot mot hälsan. Detta undantag får göras för hälsoändamål, inbegripet folkhälsa och

förvaltningen av hälso- och sjukvårdstjänster, särskilt för att säkerställa kvalitet och kostnadseffektivitet i de

förfaranden som används vid prövningen av ansökningar om förmåner och tjänster inom sjukförsäkringssystemet,

eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska

ändamål. Genom undantag bör man även tillåta behandling av sådana personuppgifter där så krävs för

fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta sker inom ett domstolsförfarande eller

inom ett administrativt eller ett utomrättsligt förfarande.

(53) Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i

hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort,

särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system,

inbegripet behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana

uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell

och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av

kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller

hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt

intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten

eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs

av allmänt intresse på folkhälsoområdet. Denna förordning bör därför innehålla harmoniserade villkor för

behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när

behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade

4.5.2016

L 119/10

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

225

yrkesmässig tystnadsplikt. Unionsrätten eller medlemsstaternas nationella rätt bör föreskriva särskilda och

lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. Medlemsstaterna

bör få behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska

uppgifter eller uppgifter om hälsa. Detta bör emellertid inte hindra det fria flödet av personuppgifter inom

unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter.

(54) På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier

av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och

särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas

enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (1), nämligen alla aspekter som

rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans

bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och

allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.

Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för

andra ändamål av tredje part, exempelvis arbetsgivare eller försäkrings- och bankföretag.

(55) Myndigheters behandling av personuppgifter på officiellt erkända religiösa sammanslutningars vägnar i syften

som fastställs i grundlag eller i folkrätten anses också grunda sig på ett allmänt intresse.

(56) Om det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska

partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får

behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder

fastställs.

(57) Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denne att identifiera

en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att

kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning.

Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade

lämnat som stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad,

till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den

registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(58) Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad,

lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder

visualisering. Denna information kan ges elektroniskt, exempelvis på en webbplats, när den riktas till

allmänheten. Detta är särskilt relevant i situationer där mängden olika aktörer och den tekniska komplexiteten

gör det svårt för den registrerade att veta och förstå om personuppgifter som rör honom eller henne samlas in,

vem som gör det och för vilket syfte, exempelvis i fråga om reklam på nätet. Eftersom barn förtjänar särskilt

skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk

som barnet lätt kan förstå.

(59) Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning,

inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller

radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör

också tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter

behandlas elektroniskt. Personuppgiftsansvariga bör utan onödigt dröjsmål och senast inom en månad vara

skyldiga att besvara registrerades önskemål och lämna en motivering, om de inte avser att uppfylla sådana

önskemål.

4.5.2016

L 119/11

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och

hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

Ds 2017:19

Bilaga 1

226

(60) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och

syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs

för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika

omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt

om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även

informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna

om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade

symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen.

Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(61) Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid

den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från

en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan

lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till

denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än

det för vilket uppgifterna insamlades, bör denne före ytterligare behandling informera den registrerade om detta

andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den

registrerade på grund av att olika källor har använts, bör allmän information ges.

(62) Det är dock inte nödvändigt att införa någon skyldighet att tillhandahålla information, om den registrerade redan

innehar denna information, om registreringen eller utlämnandet av personuppgifterna uttryckligen föreskrivs i lag

eller om det visar sig vara omöjligt eller skulle medföra orimliga ansträngningar att tillhandahålla den registrerade

informationen. Det sistnämnda skulle särskilt kunna vara fallet om behandlingen sker för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I detta avseende bör

antalet registrerade, uppgifternas ålder och lämpliga skyddsåtgärder beaktas.

(63) Den registrerade bör ha rätt att få tillgång till personuppgifter som insamlats om denne samt på enkelt sätt och

med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna

kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa,

exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande

läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom

och underrättelse om framför allt orsaken till att personuppgifterna behandlas, om möjligt vilken tidsperiod

behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk

behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan

behandling. Om möjligt bör den personuppgiftsansvarige kunna ge fjärråtkomst till ett säkert system genom

vilket den registrerade kan få direkt åtkomst till sina personuppgifter. Denna rätt bör inte inverka menligt på

andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt

som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all

information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den

personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken

behandling en framställan avser, innan informationen lämnas ut.

(64) Personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär

tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare. Personuppgiftsansvariga bör inte

behålla personuppgifter enbart för att kunna agera vid en potentiell begäran.

(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av

uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den

personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och

kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för

vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller

invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller

4.5.2016

L 119/12

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

227

hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt

relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna

med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna

utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock

vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig

förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts

den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande,

utövande eller försvar av rättsliga anspråk.

(66)

För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgift­

sansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska

åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den

registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I

samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik

och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera

de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(67) Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda

personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller

tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av

behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för

ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör

klart anges inom systemet.

(68) För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna

behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon

har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt

format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att

utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den

registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig

för att ett avtal ska kunna genomföras. Den bör inte vara tillämplig om behandlingen utgår från en annan rättslig

grund än samtycke eller avtal. På grund av sin art bör denna rättighet inte utövas mot personuppgiftsansvariga

som behandlar personuppgifter som ett led i myndighetsutövning. Därför bör den inte vara tillämplig när

behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personupp­

giftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs

av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom

eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla

behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning

personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och

friheter enligt denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd

radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i

synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för

genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av

avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en

personuppgiftsansvarig till en annan.

(69) När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av

allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på

grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt

att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör

ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den

registrerades intressen eller grundläggande rättigheter och friheter.

(70) Om personuppgifter behandlas för direktmarknadsföring, bör den registrerade, oavsett om det handlar om

inledande eller ytterligare behandling, ha rätt att när som helst kostnadsfritt invända mot sådan behandling,

inbegripet profilering, i den mån denna är kopplad till direktmarknadsföring. Denna rättighet bör uttryckligen

meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.

4.5.2016

L 119/13

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

228

(71) Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av

personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför

rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett

automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling

omfattar ”profilering” i form av automatisk behandling av personuppgifter med bedömning av personliga

aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades

arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende,

vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i

betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering,

bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den

personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier

och skatteundandragande som genomförs i enlighet med unionsinstitutionernas eller de nationella

tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en

tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av

ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga

samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga

skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att

framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att

överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och transparent behandling med avseende på den registrerade, med beaktande av

omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige

använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och

organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter

korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar

potentiella risker för den registrerades intressen och rättigheter och förhindrar bland annat diskriminerande

effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse,

medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller som leder till åtgärder

som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av

personuppgifter bör endast tillåtas på särskilda villkor.

(72) Profilering omfattas av denna förordnings bestämmelser om behandling av personuppgifter, såsom de rättsliga

grunderna för behandlingen och principer för dataskydd. Europeiska dataskyddsstyrelsen som inrättas genom

denna förordning (nedan kallad styrelsen) bör kunna utfärda riktlinjer i detta avseende.

(73) Begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller

radering av personuppgifter, rätten till dataportabilitet, rätten att göra invändningar, profileringsbaserade beslut

samt information till den registrerade om personuppgiftsincidenter och vissa av den personuppgiftsansvariges

relaterade skyldigheter kan införas genom unionsrätten eller medlemsstaternas nationella rätt, i den mån de är

nödvändiga och proportionella i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten,

exempelvis för att skydda människoliv, särskilt vid naturkatastrofer eller katastrofer framkallade av människan, vid

förebyggande, förhindrande, utredning och lagföring av brott eller verkställande av straffrättsliga sanktioner,

inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten eller

överträdelser av etiska principer för reglerade yrken, vad gäller unionens eller en medlemsstats övriga viktiga mål

av allmänt intresse, särskilt om de är av stort ekonomiskt eller finansiellt intresse för unionen eller en

medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse, ytterligare behandling av

arkiverade personuppgifter för att tillhandahålla specifik information om politiskt beteende under tidigare

totalitära regimer eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd,

folkhälsa och humanitära skäl. Dessa begränsningar bör överensstämma med kraven i stadgan och den europeiska

konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(74) Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs

på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och

kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör

inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska

personers rättigheter och friheter.

4.5.2016

L 119/14

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

229

(75) Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till

följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i

synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat

anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt

hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas

sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter

behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i

fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt

överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms,

framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa,

personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa

eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer,

framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal

registrerade.

(76) Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån

behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv

bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77) Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder

och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den

risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt

fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd

certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också

utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers

rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan

risk.

(78) Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att

lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna

visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt

för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat

bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet

om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbe­

handlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid

utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på

behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av

dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter,

tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen,

säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende

dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga

upphandlingar.

(79)

Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbi­

trädenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt

fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt

fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en

behandling utförs på en personuppgiftsansvarigs vägnar.

(80) När personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade inom unionen behandlar

personuppgifter om registrerade som befinner sig inom unionen och det bakomliggande syftet med uppgiftsbe­

handlingen är att erbjuda de registrerade personerna i unionen varor eller tjänster, oberoende av om de

registrerade personerna måste betala för dem, eller att övervaka deras beteende i den mån beteendet äger rum i

unionen, bör de personuppgiftsansvariga eller personuppgiftsbiträdena utnämna en företrädare, såvida inte

behandlingen endast är tillfällig, inte omfattar behandling i stor omfattning av särskilda kategorier av

personuppgifter eller behandling av personuppgifter om fällande domar i brottmål samt överträdelser och det är

4.5.2016

L 119/15

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

230

osannolikt att den inbegriper en risk för fysiska personers rättigheter och friheter, med beaktande av

behandlingens art, sammanhang, omfattning och ändamål eller om den personuppgiftsansvarige är en myndighet

eller ett organ. Företrädaren bör agera på den personuppgiftsansvariges eller på personuppgiftsbiträdets vägnar

och kan kontaktas av samtliga tillsynsmyndigheter. Företrädaren bör uttryckligen utses genom en skriftlig

fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet att agera på dennes vägnar med

avseende på dennes skyldigheter enligt denna förordning. Utnämningen av företrädaren inverkar inte på den

personuppgiftsansvariges eller på personuppgiftsbiträdets ansvar enligt denna förordning. Företrädaren bör utföra

sina uppgifter i enlighet med erhållen fullmakt från den personuppgiftsansvarige eller från personuppgiftsbiträdet,

vilket inbegriper samarbete med de behöriga tillsynsmyndigheterna i fråga om alla åtgärder som vidtas för att

sörja för efterlevnad av denna förordning. Den utsedda företrädaren bör underkastas verkställighetsförfaranden i

händelse den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter.

(81) För att se till att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska

utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt

ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga

om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller

kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Personuppgifts­

biträdets anslutning till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett

sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av ett

personuppgiftsbiträde, bör hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller

medlemsstaternas nationella rätt mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet

för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av

registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen

för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den

personuppgiftsansvarige och personuppgiftsbiträdet får välja att använda sig av ett enskilt avtal eller standardav­

talsklausuler som antingen antas direkt av kommissionen eller av en tillsynsmyndighet i enlighet med

mekanismen för enhetlighet och därefter antas av kommissionen. Efter det att behandlingen på den personupp­

giftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna,

beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den

unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(82) För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra

register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden

bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så

att det kan tjäna som grund för övervakningen av behandlingen.

(83)

För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgift­

sansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom

kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet,

med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ

av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker

som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller

otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts,

lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(84) I syfte att sörja för bättre efterlevnad av denna förordning när behandlingen sannolikt kan innebära en hög risk

för fysiska personers rättigheter och friheter, bör den personuppgiftsansvarige vara ansvarig för att en konsekvens­

bedömning utförs avseende datasskydd för att bedöma framför allt riskens ursprung, art, särdrag och allvar.

Resultatet av denna bedömning bör beaktas vid fastställandet av de lämpliga åtgärder som ska vidtas för att visa

att behandlingen av personuppgifter är förenlig med denna förordning. I de fall en konsekvensbedömning

avseende dataskydd ger vid handen att uppgiftsbehandlingen medför en hög risk, som den personuppgift­

sansvarige inte kan begränsa genom lämpliga åtgärder med avseende på tillgänglig teknik och genomförande­

kostnader, bör ett samråd med tillsynsmyndigheten ske före behandlingen.

(85) En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk,

materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till

begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt

hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som

omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så

4.5.2016

L 119/16

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

231

snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personupp­

giftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så

är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i

enlighet med ansvarsprincipen, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra

en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör

skälen till fördröjningen åtfölja anmälan och information får lämnas i omgångar utan otillbörligt vidare dröjsmål.

(86)

Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgift­

sincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens

rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva

personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de

potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt,

i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats av den eller andra

relevanta myndigheter, exempelvis brottsbekämpande myndigheter. Till exempel kräver behovet av att mildra en

omedelbar skaderisk att de registrerade underrättas omedelbart, medan behovet av att vidta lämpliga åtgärder vid

fortlöpande eller likartade personuppgiftsincidenter däremot kan motivera längre tid för underrättelsen.

(87) Det bör undersökas huruvida alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder har

vidtagits för att omedelbart fastställa om en personuppgiftsincident har ägt rum och skyndsamt informera

tillsynsmyndigheten och den registrerade. Att en anmälan gjordes utan onödigt dröjsmål bör fastställas med

hänsyn tagen bl.a. till personuppgiftsincidentens art och svårighetsgrad och dess följder och negativa effekter för

den registrerade. En sådan anmälan kan leda till ett ingripande från tillsynsmyndighetens sida i enlighet med dess

uppgifter och befogenheter enligt denna förordning.

(88) När ingående regler fastställs för format och förfaranden för anmälan av personuppgiftsincidenter, bör vederbörlig

hänsyn tas till omständigheterna kring incidenten, däribland om personuppgifterna var skyddade av lämpliga

tekniska skyddsåtgärder, som betydligt begränsar sannolikheten för identitetsbedrägeri eller andra former av

missbruk. Dessutom bör sådana regler och förfaranden beakta brottsbekämpande myndigheters berättigade

intressen, där en för tidig redovisning kan riskera att i onödan hämma utredning av omständigheterna kring en

personuppgiftsincident.

(89)

Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndighe­

terna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personupp­

giftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av

effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en

hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål.

Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för

vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgift­

sansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90) I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art,

omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende

dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung.

Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska

minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(91) Detta bör särskilt vara tillämpligt på storskalig uppgiftsbehandling med syftet att behandla betydande mängder

personuppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal

registrerade och sannolikt kommer att innebära en hög risk, exempelvis till följd av uppgifternas känsliga natur,

där i enlighet med den uppnådda nivån av teknisk kunskap en ny teknik används storskaligt, samt på annan

behandling som innebär en hög risk för registrerades rättigheter och friheter, framför allt när denna behandling

gör det svårare för de registrerade att utöva sina rättigheter. En konsekvensbedömning avseende dataskydd bör

4.5.2016

L 119/17

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

232

också göras, där personuppgifter behandlas i syfte att fatta beslut om specifika fysiska personer efter en

systematisk och omfattande bedömning av fysiska personers personliga aspekter på grundval av profilering av

dessa uppgifter eller efter behandling av särskilda kategorier av personuppgifter, biometriska uppgifter eller

uppgifter om fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder.

Likaså krävs en konsekvensbedömning avseende dataskydd för övervakning av allmän plats i stor omfattning,

särskilt vid användning av optisk-elektroniska anordningar, eller för all annan behandling där den behöriga

tillsynsmyndigheten anser att behandlingen sannolikt kommer att innebära en hög risk för de registrerades

rättigheter och friheter, framför allt på grund av att den hindrar de registrerade från att utöva en rättighet eller

använda en tjänst eller ett avtal eller på grund av att den systematiskt genomförs i stor omfattning. Behandling av

personuppgifter bör inte anses vara storskalig, om det är fråga om personuppgifter från patienter eller klienter

som behandlas av enskilda läkare, andra yrkesverksamma på hälsoområdet eller juridiska ombud. I dessa fall bör

en konsekvensbedömning avseende dataskydd inte vara obligatorisk.

(92) Ibland kan det vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på

ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam

tillämpnings- eller behandlingsplattform eller när flera personuppgiftsansvariga planerar att införa en gemensam

tillämpnings- eller behandlingsmiljö för en hel bransch eller ett helt segment eller för en allmänt utnyttjad

horisontell verksamhet.

(93) Medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning före behandlingen i samband med

antagandet av medlemsstaters nationella rätt som ligger till grund för utförandet av myndighetens eller det

offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.

(94) Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder,

säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers

rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som

är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med tillsynsmyndig­

heten innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling

samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av

fysiska personers rättigheter och friheter. Tillsynsmyndigheten bör inom en fastställd tid svara på en begäran om

samråd. Ett uteblivet svar från tillsynsmyndigheten inom denna tid bör dock inte hindra ett eventuellt ingripande

från tillsynsmyndighetens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet

befogenheten att förbjuda behandling. Som en del av denna samrådsprocess får resultatet av en konsekvens­

bedömning avseende dataskydd som utförs med avseende på behandlingen i fråga överlämnas till tillsynsmyndig­

heten, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(95) Personuppgiftsbiträdet bör vid behov och på begäran bistå den personuppgiftsansvarige med fullgörande av de

skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd

med tillsynsmyndigheten.

(96)

Ett samråd med tillsynsmyndigheten bör även ske som ett led i det förberedande arbetet med en lagstift­

ningsåtgärd som stadgar om behandling av personuppgifter i syfte att säkerställa att den avsedda behandlingen

överensstämmer med denna förordning och framför allt för att minska den risk den medför för den registrerade.

(97) När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter

som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personupp­

giftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk

övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgifts­

biträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och

uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om

dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att

övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas

kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande

verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling

4.5.2016

L 119/18

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

233

som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller

personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgift­

sansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.

(98)

Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att

tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom

vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I

synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personupp­

giftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers

rättigheter och friheter.

(99) Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör

sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som

mottas och de åsikter som framförs som svar på samråden.

(100) För att förbättra öppenheten och efterlevnaden av denna förordning bör införandet av certifieringsmekanismer

och dataskyddsförsegling och dataskyddsmärkning uppmuntras, så att registrerade snabbt kan bedöma nivån på

relevanta produkters och tjänsters dataskydd.

(101) Flöden av personuppgifter till och från länder utanför unionen och till och från internationella organisationer är

nödvändiga för utvecklingen av internationell handel och internationellt samarbete. Ökningen av dessa flöden har

medfört nya utmaningar och nya farhågor när det gäller skyddet av personuppgifter. Det är viktigt att den

skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när

personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare

i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från

tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma

eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och

internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna

förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om

överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personupp­

giftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(102) Denna förordning påverkar inte internationella avtal mellan unionen och tredjeländer som reglerar överföring av

personuppgifter, däribland lämpliga skyddsåtgärder för de registrerade. Medlemsstaterna får ingå internationella

avtal som innefattar överföring av personuppgifter till tredjeländer eller internationella organisationer i den mån

sådana avtal inte påverkar denna förordning eller andra bestämmelser i unionsrätten och innehåller en skälig nivå

av skydd för de registrerades grundläggande rättigheter.

(103) Kommissionen kan med verkan för hela unionen fastställa att ett tredjeland, ett territorium eller en specificerad

sektor i ett tredjeland eller en internationell organisation erbjuder en adekvat dataskyddsnivå och på så sätt skapa

rättslig säkerhet och enhetlighet i hela unionen vad gäller tredjelandet eller den internationella organisationen

som anses tillhandahålla en sådan skyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet

eller den internationella organisationen ske utan ytterligare tillstånd. Kommissionen kan också, efter att ha

underrättat tredjelandet eller den internationella organisationen och lämnat en fullständig motivering, besluta att

ett sådant beslut ska återkallas.

(104) I enlighet med de grundläggande värderingar som unionen bygger på, bl.a. skyddet av mänskliga rättigheter, bör

kommissionen i sin bedömning av tredjelandet eller ett territorium eller en specificerad sektor i ett tredjeland

beakta hur ett visst tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning samt internationella

människorättsnormer och -standarder samt landets allmänna lagstiftning och sektorslagstiftning, inklusive

lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän ordning och straffrätt. Vid antagandet

av ett beslut om adekvat skyddsnivå avseende ett territorium eller en specificerad sektor i ett tredjeland bör

hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och tillämpningsområdet för tillämpliga

rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör erbjuda garantier som säkerställer en

4.5.2016

L 119/19

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

234

tillfredsställande skyddsnivå som i huvudsak motsvarar den som säkerställs i unionen, i synnerhet när

personuppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet bör framför allt säkerställa en

effektiv oberoende dataskyddsövervakning och sörja för samarbetsmekanismer med medlemsstaternas dataskydds­

myndigheter, och de registrerade bör tillförsäkras effektiva och lagstadgade rättigheter samt effektiv administrativ

och rättslig prövning.

(105) Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har gjort bör

kommissionen beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens

deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter och genomförandet av

dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari 1981

om skydd för enskilda vid automatisk behandling av personuppgifter och dess tilläggsprotokoll beaktas.

Kommissionen bör samråda med styrelsen vid bedömningen av skyddsnivån i tredjeländer eller internationella

organisationer.

(106) Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor

i ett tredjeland eller en internationell organisation fungerar, och övervaka hur beslut som antas på grundval av

artikel 25.6 eller 26.4 i direktiv 95/46/EG fungerar. Kommissionen bör i sina beslut om adekvat skyddsnivå

föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör genomföras

i samråd med det berörda tredjelandet eller den berörda internationella organisationen, med beaktande av all

relevant utveckling i tredjelandet eller den internationella organisationen. Vid övervakningen och genomförandet

av den periodiska översynen bör kommissionen ta hänsyn till synpunkter och resultat från Europaparlamentet

och rådet samt andra relevanta organ och källor. Kommissionen bör inom rimlig tid utvärdera hur de sistnämnda

besluten fungerar och rapportera alla relevanta resultat till den kommitté, i den mening som avses i Europapar­

lamentets och rådets förordning (EU) nr 182/2011 (1), som inrättats enligt denna förordning och till Europapar­

lamentet och rådet.

(107) Kommissionen kan konstatera att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland

eller en internationell organisation inte längre säkerställer en adekvat dataskyddsnivå. Överföring av

personuppgifter till detta tredjeland eller till denna internationella organisation bör då förbjudas, såvida inte

kraven i denna förordning avseende överföring med stöd av lämpliga skyddsåtgärder, inbegripet bindande

företagsbestämmelser och undantag för särskilda situationer, är uppfyllda. I så fall bör det finnas möjlighet till

samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Kommissionen bör i god

tid informera tredjelandet eller den internationella organisationen om skälen och inleda samråd med tredjelandet

eller organisationen för att avhjälpa situationen.

(108) Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder

för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den

registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av bindande företagsbestämmelser, standard­

bestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits

av en tillsynsmyndighet eller avtalsbestämmelser som godkänts av en tillsynsmyndighet. Dessa skyddsåtgärder bör

säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för

behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är

tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva

kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för

behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Överföring

av uppgifter kan också utföras av offentliga myndigheter eller organ till offentliga myndigheter eller organ i

tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på

grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som

föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från den behöriga tillsynsmyndighe­

ten bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(109) Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbe­

stämmelser som antagits av kommissionen eller av en tillsynsmyndighet bör inte hindra att de infogar

4.5.2016

L 119/20

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer

för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

Ds 2017:19

Bilaga 1

235

standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett

annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under

förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av

kommissionen eller av en tillsynsmyndighet eller påverkar de registrerades grundläggande rättigheter eller friheter.

Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder

via avtalsmässiga åtaganden som kompletterar de standardiserade skyddsbestämmelserna.

(110) En koncern eller en grupp av företag som deltar i en gemensam ekonomisk verksamhet bör kunna använda sig

av godkända bindande företagsbestämmelser för sina internationella överföringar från unionen till organisationer

inom samma koncern eller grupp av företag som deltar i en gemensam ekonomisk verksamhet, under

förutsättning att företagsbestämmelserna inbegriper alla nödvändiga principer och bindande rättigheter som

säkerställer lämpliga skyddsåtgärder för överföringar eller kategorier av överföringar av personuppgifter.

(111) Det bör införas bestämmelser som ger möjlighet att under vissa omständigheter göra överföringar, om den

registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett

avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller

utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger

möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten eller medlemsstaternas

nationella rätt så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att

konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring

inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, och överföringen bör endast göras

när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer

eller om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(112) Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till

viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan konkurrensmyndigheter,

skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter,

till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning

inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att

skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes

fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat

skyddsnivå får unionsrätten eller medlemsstaternas nationella rätt med hänsyn till viktiga allmänintressen

uttryckligen fastställa gränser för överföringen av särskilda kategorier av uppgifter till ett tredjeland eller en

internationell organisation. Medlemsstaterna bör underrätta kommissionen om sådana bestämmelser. Varje

överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt

eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna

eller vara förenlig med internationell humanitär rätt, vilken är tillämplig vid väpnade konflikter, skulle kunna

anses vara nödvändig för ett betydande allmänintresse eller för att den är av vitalt intresse för den registrerade.

(113) Överföringar som kan anses vara icke återkommande och endast gäller ett begränsat antal registrerade kan också

vara möjliga när personuppgiftsansvarigas tvingande berättigade intressen motiverar detta, om inte den

registrerades intressen eller rättigheter och friheter väger tyngre än dessa intressen, och den personuppgift­

sansvarige har bedömt alla omständigheter kring uppgiftsöverföringen. Den personuppgiftsansvarige bör ta

särskild hänsyn till personuppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet samt

situationen i ursprungslandet, tredjelandet och det slutliga bestämmelselandet och bör tillhandahålla lämpliga

åtgärder för att skydda fysiska personers grundläggande rättigheter och friheter vid behandlingen av deras

personuppgifter. Sådana överföringar bör endast vara möjliga i vissa fall där inget av de andra skälen till

överföring är tillämpligt. För vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör hänsyn

tas till samhällets legitima förväntningar i fråga om ökad kunskap. Den personuppgiftsansvarige bör informera

tillsynsmyndigheten och den registrerade om överföringen.

(114) Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgift­

sansvarige eller personuppgiftsbiträdet i alla fall använda sig av lösningar som ger de registrerade verkställbara

och effektiva rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl

har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i

förhållande till dem.

4.5.2016

L 119/21

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

236

(115) Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som genomförs

av fysiska och juridiska personer under medlemsstaternas jurisdiktion. Detta kan inkludera rättsliga avgöranden

eller beslut av administrativa myndigheter i tredjeländer med krav på att personuppgiftsansvariga eller personupp­

giftsbiträden överför eller överlämnar personuppgifter, vilka inte grundar sig på något gällande internationellt

avtal, såsom ett fördrag om ömsesidig rättshjälp, mellan det begärande tredjelandet och unionen eller en

medlemsstat. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt

och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning.

Överföringar bör endast tillåtas om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda.

Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns

i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

(116) När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan

utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande

av denna information. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller

göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att arbeta tillsammans

över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, oenhetliga rättsliga

regelverk och praktiska hinder, som exempelvis bristande resurser. Närmare samarbete mellan dataskyddstillsyn­

smyndigheter bör därför främjas för att hjälpa dem att utbyta information och utföra utredningar med sina

internationella motparter. I syfte att bygga upp internationella samarbetsmekanismer för att underlätta och

tillhandahålla ömsesidig internationell hjälp med att kontrollera efterlevnaden av lagstiftningen till skydd för

personuppgifter, bör kommissionen och tillsynsmyndigheterna utbyta information och samarbeta, inom

verksamhet som rör utövandet av deras befogenheter, med behöriga myndigheter i tredjeländer, på grundval av

ömsesidighet och i överensstämmelse med denna förordning.

(117) Ett väsentligt inslag i skyddet av fysiska personer vid behandlingen av personuppgifter är att medlemsstaterna

inrättar tillsynsmyndigheter med behörighet att utföra sina uppgifter och utöva sina befogenheter under

fullständigt oberoende. Medlemsstaterna bör kunna inrätta fler än en tillsynsmyndighet om det behövs för att ta

hänsyn till den egna konstitutionella, organisatoriska och administrativa strukturen.

(118) Tillsynsmyndigheternas oberoende bör dock inte innebära att deras utgifter inte kan underkastas kontroll- eller

övervakningsmekanismer eller bli föremål för domstolsprövning.

(119) Om en medlemsstat inrättar flera tillsynsmyndigheter, bör den genom lagstiftning säkerställa att dessa

tillsynsmyndigheter effektivt deltar i mekanismen för enhetlighet. Medlemsstaten bör i synnerhet utnämna en

tillsynsmyndighet som fungerar som samlande kontaktpunkt för dessa myndigheters effektiva deltagande i

mekanismen för att säkra ett snabbt och smidigt samarbete med övriga tillsynsmyndigheter, styrelsen och

kommissionen.

(120) Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den

infrastruktur som är nödvändig för att den effektivt ska kunna utföra sina uppgifter, däribland de uppgifter som

är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. Varje

tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den övergripande statsbudgeten eller

nationella budgeten.

(121) De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas genom varje medlemsstats

lagstiftning och där bör i synnerhet föreskrivas att ledamöterna ska utnämnas genom ett öppet förfarande

antingen av medlemsstatens parlament, regering eller statschef, på grundval av ett förslag från regeringen, en

ledamot av regeringen, parlamentet eller en av parlamentets kammare eller av ett oberoende organ som enligt

medlemsstaternas nationella rätt har anförtrotts utnämningen. I syfte att säkerställa tillsynsmyndighetens

oberoende bör ledamoten eller ledamöterna handla med integritet, avstå från alla handlingar som står i strid med

deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som

står i strid med deras uppdrag. Tillsynsmyndigheten bör ha egen personal, som valts ut av tillsynsmyndigheten

eller ett oberoende organ som fastställs i medlemsstaternas nationella rätt, vilken uteslutande bör vara underställd

tillsynsmyndighetens ledamot eller ledamöter.

(122) Varje tillsynsmyndighet bör ha behörighet att inom sin medlemsstats territorium utöva de befogenheter och

utföra de uppgifter som den tilldelats i enlighet med denna förordning. Detta bör framför allt omfatta behandling

4.5.2016

L 119/22

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

237

inom ramen för verksamhet vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen

inom den egna medlemsstatens territorium, behandling av personuppgifter som utförs av myndigheter eller

privata organ som agerar i ett allmänt intresse, behandling som påverkar registrerade på dess territorium eller

behandling som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i

unionen när den rör registrerade som är bosatta på dess territorium. Detta bör inbegripa att hantera klagomål

som lämnas in av en registrerad, genomföra undersökningar om tillämpningen av denna förordning samt främja

allmänhetens medvetenhet om risker, bestämmelser, skyddsåtgärder och rättigheter när det gäller behandlingen av

personuppgifter.

(123) Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i denna förordning och bidra till att

tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras

personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta

ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen, utan att det behövs

något avtal mellan medlemsstaterna om tillhandahållande av ömsesidigt bistånd eller om sådant samarbete.

(124) Om behandlingen av personuppgifter sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett

personuppgiftsbiträdes verksamhetsställe i unionen och den personuppgiftsansvarige eller personuppgiftsbiträdet

är etablerad i mer än en medlemsstat, eller om behandling som sker inom ramen för verksamhet vid ett enda

verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen i väsentlig grad

påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat, bör tillsyns­

myndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller

för detta enda verksamhetsställe tillhörande den personuppgiftsansvarige eller personuppgiftsbiträdet agera som

ansvarig myndighet. Denna bör samarbeta med de övriga myndigheter som berörs, eftersom den personuppgift­

sansvarige eller personuppgiftsbiträdet har ett verksamhetsställe inom deras medlemsstats territorium, eftersom

registrerade som är bosatta på deras territorium i väsentlig grad påverkas eller eftersom ett klagomål har lämnats

in till dem. Även när en registrerad som inte är bosatt i medlemsstaten har lämnat in ett klagomål, bör den

tillsynsmyndighet som klagomålet har lämnats in till också vara en berörd tillsynsmyndighet. Styrelsen bör inom

ramen för sina uppgifter kunna utfärda riktlinjer för alla frågor som rör tillämpningen av denna förordning,

framför allt för vilka kriterier som ska beaktas för att konstatera om behandlingen i fråga i väsentlig grad

påverkar registrerade i mer än en medlemsstat och för vad som utgör en relevant och motiverad invändning.

(125) Den ansvariga myndigheten bör ha behörighet att anta bindande beslut om åtgärder inom ramen för de

befogenheter som den tilldelats i enlighet med denna förordning. I egenskap av ansvarig myndighet bör tillsyns­

myndigheten nära involvera och samordna de berörda tillsynsmyndigheterna i beslutsfattandet. Om man beslutar

att helt eller delvis avslå den registrerades klagomål, bör detta beslut antas av den tillsynsmyndighet som

klagomålet har lämnats in till.

(126) Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna bör gemensamt enas om beslutet, som

bör rikta sig till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda

verksamhetsställe och vara bindande för den personuppgiftsansvarige och personuppgiftsbiträdet. Den personupp­

giftsansvarige eller personuppgiftsbiträdet bör vidta de åtgärder som krävs för att säkerställa efterlevnad av denna

förordning och genomförande av det beslut som den ansvariga tillsynsmyndigheten har anmält till den

personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe vad gäller behandling i

unionen.

(127) Varje tillsynsmyndighet som inte agerar som ansvarig tillsynsmyndighet bör vara behörig att behandla lokala fall,

om den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat men ärendet

för den specifika behandlingen endast avser behandling som utförs i en enda medlemsstat och endast omfattar

registrerade i denna enda medlemsstat, till exempel om ärendet avser behandling av anställdas personuppgifter

inom ramen för en medlemsstats specifika anställningsförhållanden. I sådana fall bör tillsynsmyndigheten utan

dröjsmål underrätta den ansvariga tillsynsmyndigheten om detta ärende. Efter att ha underrättats bör den

ansvariga tillsynsmyndigheten besluta huruvida den kommer att hantera ärendet i enlighet med bestämmelsen om

samarbete mellan den ansvariga tillsynsmyndigheten och andra berörda tillsynsmyndigheter (nedan kallad

mekanismen för en enda kontaktpunkt), eller om den tillsynsmyndighet som underrättade den bör behandla ärendet

på lokal nivå. När den ansvariga tillsynsmyndigheten beslutar huruvida den kommer att behandla ärendet, bör

den ta hänsyn till om den personuppgiftsansvarige eller personuppgiftsbiträdet har ett verksamhetsställe i den

medlemsstat där den tillsynsmyndighet som underrättade den ansvariga myndigheten är belägen för att säkerställa

ett effektivt genomförande av ett beslut gentemot den personuppgiftsansvarige eller personuppgiftsbiträdet. När

den ansvariga tillsynsmyndigheten beslutar att behandla ärendet, bör den tillsynsmyndighet som underrättade den

4.5.2016

L 119/23

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

238

ha möjlighet att lämna in ett förslag till beslut, som den ansvariga tillsynsmyndigheten bör ta största möjliga

hänsyn till när den utarbetar utkastet till beslut inom ramen för mekanismen för en enda kontaktpunkt.

(128) Bestämmelserna om den ansvariga tillsynsmyndigheten och mekanismen för en enda kontaktpunkt bör inte

tillämpas om behandlingen utförs av myndigheter eller privata organ i ett allmänt intresse. I sådana fall bör den

enda tillsynsmyndighet som är behörig att utöva de befogenheter som den tilldelas i enlighet med denna

förordning vara tillsynsmyndigheten i den medlemsstat där myndigheten eller det privata organet är etablerat.

(129) För att denna förordning ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndighe­

terna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefogenheter,

korrigerande befogenheter och befogenheter att ålägga sanktioner samt befogenheter att utfärda tillstånd och ge

råd, särskilt vid klagomål från fysiska personer och, utan att det påverkar åklagarmyndigheternas befogenheter

enligt medlemsstaternas nationella rätt, att upplysa de rättsliga myndigheterna om överträdelser av denna

förordning och delta i rättsliga förfaranden. Dessa befogenheter bör även omfatta en befogenhet att införa en

tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. Medlemsstaterna får fastställa andra

uppgifter med anknytning till skyddet av personuppgifter enligt denna förordning. Tillsynsmyndigheternas

befogenheter bör utövas opartiskt, rättvist och inom rimlig tid i överensstämmelse med lämpliga rättssäkerhets­

garantier i unionsrätten och i medlemsstaternas nationella rätt. Framför allt bör varje åtgärd vara lämplig,

nödvändig och proportionell för att säkerställa efterlevnad av denna förordning, med beaktande av

omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd innan några enskilda åtgärder

som påverkar honom eller henne negativt vidtas och vara utformad så att onödiga kostnader och alltför stora

olägenheter för de berörda personerna undviks. Undersökningsbefogenheten när det gäller tillträde till lokaler bör

utövas i enlighet med särskilda krav i medlemsstaternas nationella processrätt, såsom kravet på att inhämta

förhandstillstånd från rättsliga myndigheter. Varje rättsligt bindande åtgärd som vidtas av tillsynsmyndigheten bör

vara skriftlig, klar och entydig, innehålla information om vilken tillsynsmyndighet som har utfärdat åtgärden och

datum för utfärdandet, vara undertecknad av tillsynsmyndighetens chef eller en av dess ledamöter efter dennes

bemyndigande samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel.

Detta bör inte utesluta ytterligare krav enligt medlemsstaternas nationella processrätt. Antagande av ett rättsligt

bindande beslut innebär att det kan bli föremål för domstolsprövning i den medlemsstat till vilken den

tillsynsmyndighet som antog beslutet hör.

(130) Om den tillsynsmyndighet till vilken klagomålet har ingetts inte är den ansvariga tillsynsmyndigheten, bör den

ansvariga tillsynsmyndigheten nära samarbeta med den tillsynsmyndighet till vilken klagomålet har ingetts i

enlighet med de bestämmelser om samarbete och enhetlighet som fastställs i denna förordning. I sådana fall bör

den ansvariga tillsynsmyndigheten när den vidtar åtgärder avsedda att ha rättsverkan, inbegripet utdömandet av

administrativa sanktionsavgifter, ta största hänsyn till synpunkter från den tillsynsmyndighet till vilken klagomålet

har ingetts, vilken bör kvarstå som behörig för genomförande av utredningar på den egna medlemsstatens

territorium i samverkan med den behöriga tillsynsmyndigheten.

(131) Om en annan tillsynsmyndighet bör agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller

personuppgiftsbiträdets behandling men den sakfråga som klagomålet gäller eller den möjliga överträdelsen

endast rör den personuppgiftsansvariges eller personuppgiftsbiträdets behandling i den medlemsstat där

klagomålet har ingetts eller den eventuella överträdelsen har upptäckts, och frågan inte i väsentlig grad påverkar

eller inte sannolikt i väsentlig grad kommer att påverka registrerade i andra medlemsstater, bör den

tillsynsmyndighet som mottar ett klagomål eller upptäcker eller på annat sätt informeras om situationer som

innebär eventuella överträdelser av denna förordning försöka få till stånd en uppgörelse i godo med den

personuppgiftsansvarige och, om detta inte lyckas, utöva sina befogenheter fullt ut. Detta bör omfatta särskild

behandling som utförs inom tillsynsmyndighetens medlemsstats territorium eller med avseende på registrerade

inom denna medlemsstats territorium, behandling som utförs inom ramen för ett erbjudande om varor eller

tjänster som särskilt riktar sig till registrerade inom tillsynsmyndighetens medlemsstats territorium eller

behandling som måste bedömas med beaktande av relevanta rättsliga skyldigheter enligt medlemsstaternas

nationella rätt.

(132) Medvetandehöjande kampanjer från tillsynsmyndigheters sida riktade till allmänheten bör innefatta särskilda

åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små

och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang.

4.5.2016

L 119/24

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

239

(133) Tillsynsmyndigheterna bör hjälpa varandra att utföra sina uppgifter och ge ömsesidigt bistånd så att denna

förordning tillämpas och verkställs enhetligt på den inre marknaden. En tillsynsmyndighet som begärt ömsesidigt

bistånd får anta en provisorisk åtgärd, om den inte har fått något svar på en begäran om ömsesidigt bistånd inom

en månad från det att begäran mottogs av den andra tillsynsmyndigheten.

(134) Alla tillsynsmyndigheter bör om lämpligt delta i gemensamma insatser med andra tillsynsmyndigheter. Den

anmodade tillsynsmyndigheten bör vara skyldig att besvara en begäran inom en fastställd tidsperiod.

(135) För att denna förordning ska tillämpas enhetligt i hela unionen bör en mekanism för enhetlighet när det gäller

samarbete mellan tillsynsmyndigheterna skapas. Denna mekanism bör främst tillämpas när en tillsynsmyndighet

avser att anta en åtgärd som är avsedd att ha rättsverkan gällande behandlingar som i väsentlig grad påverkar ett

betydande antal registrerade i flera medlemsstater. Den bör också tillämpas när en berörd tillsynsmyndighet eller

kommissionen begär att ett sådant ärende ska hanteras inom ramen för mekanismen för enhetlighet. Mekanismen

bör inte påverka åtgärder som kommissionen kan komma att vidta när den utövar sina befogenheter enligt

fördragen.

(136) Vid tillämpningen av mekanismen för enhetlighet bör styrelsen inom en fastställd tidsperiod avge ett yttrande,

om en majoritet av dess ledamöter så beslutar eller om någon berörd tillsynsmyndighet eller kommissionen begär

detta. Styrelsen bör också ges befogenhet att anta rättsligt bindande beslut vid tvister mellan tillsynsmyndigheter.

För detta ändamål bör den, normalt med två tredjedelars majoritet av sina ledamöter, utfärda rättsligt bindande

beslut i tydligt fastställda fall då tillsynsmyndigheter har olika uppfattningar, framför allt när det gäller

mekanismen för samarbete mellan den ansvariga tillsynsmyndigheten och berörda tillsynsmyndigheter om

sakförhållandena, i synnerhet om huruvida denna förordning har överträtts.

(137) Det kan uppstå brådskande behov att agera för att skydda registrerades rättigheter och friheter, särskilt när fara

föreligger att säkerställandet av en registrerad persons rättighet kan komma att försvåras avsevärt. En

tillsynsmyndighet bör därför kunna vidta vederbörligen motiverade provisoriska åtgärder inom sitt territorium

med en viss giltighetsperiod, som inte bör överskrida tre månader.

(138) Tillämpningen av en sådan mekanism bör vara ett villkor för lagligheten av en åtgärd som är avsedd att ha

rättsverkan och som vidtas av tillsynsmyndigheten i de fall där denna tillämpning är obligatorisk. I andra ärenden

som inbegriper flera länder bör samarbetsmekanismen mellan den ansvariga tillsynsmyndigheten och berörda

tillsynsmyndigheter tillämpas, och ömsesidigt bistånd och gemensamma insatser kan utföras mellan de berörda

tillsynsmyndigheterna på bilateral eller multilateral basis utan att mekanismen för enhetlighet utlöses.

(139) I syfte att främja en enhetlig tillämpning av denna förordning bör styrelsen inrättas som ett oberoende

unionsorgan. För att styrelsen ska kunna uppfylla sina mål bör den vara en juridisk person. Styrelsen bör

företrädas av sin ordförande. Den bör ersätta arbetsgruppen för skydd av fysiska personer med avseende på

behandlingen av personuppgifter, som inrättades genom direktiv 95/46/EG. Den bör bestå av chefen för en

tillsynsmyndighet i varje medlemsstat och Europeiska datatillsynsmannen eller deras respektive företrädare.

Kommissionen bör delta i styrelsens verksamhet utan att ha rösträtt, och Europeiska datatillsynsmannen bör ha

specifik rösträtt. Styrelsen bör bidra till denna förordnings enhetliga tillämpning i hela unionen, bl.a. genom att

lämna råd till kommissionen, särskilt vad gäller skyddsnivån i tredjeländer eller internationella organisationer, och

främja samarbetet mellan tillsynsmyndigheterna i hela unionen. Styrelsen bör agera oberoende när den utför sina

uppgifter.

(140) Styrelsen bör biträdas av ett sekretariat som tillhandahålls av Europeiska datatillsynsmannen. Den personal vid

Europeiska datatillsynsmannen som medverkar i utförandet av de uppgifter som enligt denna förordning

anförtros styrelsen bör för sina uppgifter uteslutande ta emot instruktioner från styrelsens ordförande och

rapportera till denne.

(141) Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat

där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan,

4.5.2016

L 119/25

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

240

om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsyns­

myndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så

är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för

eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör

inom rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om

ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet, bör den registrerade

underrättas även om detta. För att förenkla inlämningen av klagomål bör varje tillsynsmyndighet vidta åtgärder,

såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att

andra kommunikationsformer utesluts.

(142) Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon

ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som

har inrättats i enlighet med en medlemsstats nationella rätt, som har stadgeenliga mål av allmänt intresse och

bedriver verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål

till en tillsynsmyndighet, om detta föreskrivs i medlemsstatens nationella rätt, att på den registrerades vägnar

utöva rätten till domstolsprövning eller att på den registrerades vägnar utöva rätten att ta emot ersättning. En

medlemsstat får föreskriva att ett sådant organ, en sådan organisation eller en sådan sammanslutning ska ha rätt

att lämna in ett klagomål i den medlemsstaten, oberoende av en registrerad persons mandat, och ha rätt till ett

effektivt rättsmedel, om det eller den har skäl att anse att en registrerad persons rättigheter har kränkts till följd

av behandling av personuppgifter som strider mot denna förordning. Detta organ, denna organisation eller denna

sammanslutning får inte ges rätt att kräva ersättning på en registrerad persons vägnar oberoende av den

registrerades mandat.

(143) Varje fysisk eller juridisk person har rätt att väcka ogiltighetstalan mot styrelsens beslut vid domstolen enligt de

villkor som föreskrivs i artikel 263 i EUF-fördraget. I sin egenskap av adressater för sådana beslut måste, i

enlighet med artikel 263 i EUF-fördraget, de berörda tillsynsmyndigheter som önskar överklaga dessa väcka talan

inom två månader efter det att beslutet meddelats dem. Om styrelsens beslut direkt och personligen berör en

personuppgiftsansvarig, ett personuppgiftsbiträde eller en enskild, kan den enskilde väcka ogiltighetstalan mot

besluten inom två månader efter det att de har offentliggjorts på styrelsens webbplats, i enlighet med artikel 263

i EUF-fördraget. Utan att det påverkar denna rätt inom ramen för artikel 263 i EUF-fördraget bör varje fysisk eller

juridisk person ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en

tillsynsmyndighet som har rättsliga följder för denna person. Sådana beslut avser särskilt tillsynsmyndighetens

utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål.

Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte

är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten.

Talan mot beslut som har fattats av en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där

tillsynsmyndigheten har sitt säte och bör genomföras i enlighet med den medlemsstatens nationella processrätt.

Dessa domstolar bör ha fullständig behörighet, vilket bör omfatta behörighet att pröva alla fakta och rättsliga

frågor som rör den tvist som anhängiggjorts vid dem.

Om talan avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma

medlemsstat. I samband med rättsmedel som avser tillämpningen av denna förordning kan eller, i det fall som

anges i artikel 267 i EUF-fördraget, måste nationella domstolar som anser att ett beslut om ett förhandsavgörande

är nödvändigt för att de ska kunna döma begära att domstolen meddelar ett förhandsavgörande om tolkningen

av unionsrätten, inbegripet denna förordning. Om dessutom ett beslut av en tillsynsmyndighet om genomförande

av ett beslut av styrelsen överklagas till en nationell domstol och giltigheten av styrelsens beslut ifrågasätts, har

inte den nationella domstolen befogenhet att förklara styrelsens beslut ogiltigt utan måste hänskjuta frågan om

giltighet till domstolen i enlighet med artikel 267 i EUF-fördraget såsom den tolkats av domstolen, närhelst den

anser att beslutet är ogiltigt. En nationell domstol får dock inte hänskjuta en fråga om giltigheten av styrelsens

beslut på begäran av en fysisk eller juridisk person som haft tillfälle att väcka ogiltighetstalan mot beslutet,

i synnerhet inte om denna person direkt och personligen berördes av beslutet men inte gjorde detta inom den

frist som anges i artikel 263 i EUF-fördraget.

(144) Om en domstol där ett förfarande inletts mot beslut som har fattats av en tillsynsmyndighet har skäl att tro att

ett förfarande rörande samma behandling, såsom samma sakfråga vad gäller behandling av samma personuppgift­

sansvarige eller samma personuppgiftsbiträde, eller samma händelseförlopp, har inletts vid en annan behörig

domstol i en annan medlemsstat, bör den kontakta denna domstol i syfte att bekräfta förekomsten av sådana

relaterade förfaranden. Om relaterade förfaranden pågår vid en domstol i en annan medlemsstat får alla andra

4.5.2016

L 119/26

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

241

domstolar än den domstol där förfarandet först inleddes låta förfarandena vila eller på en av parternas begäran

förklara sig obehöriga till förmån för den domstol där förfarandet först inleddes, om den domstolen har

behörighet i förfarandet i fråga och dess lagstiftning tillåter förening av sådana relaterade förfaranden.

Förfarandena anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är

påkallad för att undvika att oförenliga domar meddelas som en följd av att förfarandena prövas i olika

rättegångar.

(145) När det gäller ett rättsligt förfarande mot en personuppgiftsansvarig eller ett personuppgiftsbiträde bör käranden

kunna välja att väcka talan antingen vid domstolarna i de medlemsstater där den personuppgiftsansvarige eller

personuppgiftsbiträdet är etablerad eller där den registrerade är bosatt, såvida inte den personuppgiftsansvarige är

en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning.

(146) Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida

till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgifts­

biträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för

skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut

återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra

bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna

förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i

enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna

förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. Om personupp­

giftsansvariga eller personuppgiftsbiträden medverkat vid samma behandling, bör varje personuppgiftsansvarig

eller personuppgiftsbiträde hållas ansvarig för hela skadan. Om de är förenade i samma rättsliga förfarande i

enlighet med medlemsstaternas nationella rätt, kan ersättningen dock fördelas i enlighet med varje personuppgift­

sansvarigs eller personuppgiftsbiträdes ansvar för den genom behandlingen uppkomna skadan, förutsatt att den

registrerade som lidit skada tillförsäkras full och effektiv ersättning. Varje personuppgiftsansvarig eller personupp­

giftsbiträde som har betalat full ersättning får därefter inleda förfaranden för återkrav mot andra personuppgift­

sansvariga eller personuppgiftsbiträden som medverkat vid samma behandling.

(147) Om särskilda bestämmelser om behörighet fastställs i denna förordning, framför allt vad gäller förfaranden för att

begära rättslig prövning som inbegriper ersättning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde,

bör inte allmänna bestämmelser om behörighet, såsom bestämmelserna i Europaparlamentets och rådets

förordning (EU) nr 1215/2012 (1), påverka tillämpningen av sådana särskilda bestämmelser.

(148) För att stärka verkställigheten av denna förordning bör det utdömas sanktioner, inbegripet administrativa

sanktionsavgifter, för överträdelser av denna förordning utöver eller i stället för de lämpliga åtgärder som tillsyns­

myndigheten vidtar i enlighet med denna förordning. Vid en mindre överträdelse eller om den sanktionsavgift

som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand

utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad

och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden

av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyn­

dighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personupp­

giftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer.

Utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhets­

garantier i överensstämmelse med allmänna principer inom unionsrätten och stadgan, vilket inbegriper ett

effektivt rättsligt skydd och korrekt rättsligt förfarande.

(149) Medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av denna

förordning, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen

för denna förordning. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som

gjorts genom överträdelser av denna förordning. Utdömandet av straffrättsliga påföljder för överträdelser av

sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av

principen ne bis in idem enligt domstolens tolkning.

(150) För att förstärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör

samtliga tillsynsmyndigheter ha befogenhet att utfärda administrativa sanktionsavgifter. Det bör i denna

4.5.2016

L 119/27

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande

och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).

Ds 2017:19

Bilaga 1

242

förordning anges vilka överträdelserna är, den övre gränsen för och kriterierna för fastställande av de

administrativa sanktionsavgifterna, som i varje enskilt fall bör bestämmas av den behöriga tillsynsmyndigheten

med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn bl.a. till

överträdelsens karaktär, svårighetsgrad och varaktighet samt till dess följder och till de åtgärder som vidtas för att

sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna

av överträdelsen. Om de administrativa sanktionsavgifterna åläggs ett företag, bör ett företag i detta syfte anses

vara ett företag i den mening som avses i artiklarna 101 och 102 i EUF-fördraget. Om de administrativa

sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna

inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift.

Mekanismen för enhetlighet kan också tillämpas för att främja en enhetlig tillämpning av administrativa

sanktionsavgifter. Medlemsstaterna bör fastställa om och i vilken utsträckning myndigheter ska omfattas av

administrativa sanktionsavgifter. Utfärdande av administrativa sanktionsavgifter eller utdelning av en varning

påverkar inte tillämpningen av tillsynsmyndigheternas övriga befogenheter eller av andra sanktioner enligt denna

förordning.

(151) Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning.

Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms

som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten

inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa

medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyn­

digheter. De behöriga nationella domstolarna bör därför beakta rekommendationen från den tillsynsmyndighet

som initierar sanktionsavgiften. De sanktionsavgifter som utdöms bör i alla händelser vara effektiva, proportionella

och avskräckande.

(152) Om denna förordning inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall, till exempel

vid fall av allvarliga överträdelser av denna förordning, bör medlemsstaterna genomföra ett system med effektiva,

proportionella och avskräckande sanktioner. Dessa sanktioners art, straffrättsliga eller administrativa, bör

fastställas i medlemsstaternas nationella rätt.

(153) Medlemsstaterna bör i sin lagstiftning sammanjämka bestämmelserna om yttrandefrihet och informationsfrihet,

vilket inbegriper journalistiska, akademiska, konstnärliga och/eller litterära uttrycksformer, med rätten till skydd

av personuppgifter i enlighet med denna förordning. Behandling av personuppgifter enbart för journalistiska,

akademiska, konstnärliga eller litterära ändamål bör undantas från vissa av kraven i denna förordning, så att

rätten till skydd av personuppgifter vid behov kan förenas med rätten till yttrandefrihet och informationsfrihet,

som följer av artikel 11 i stadgan. Detta bör särskilt gälla vid behandling av personuppgifter inom det

audiovisuella området och i nyhetsarkiv och pressbibliotek. Medlemsstaterna bör därför anta lagstiftningsåtgärder

som fastställer de olika undantag som behövs för att skapa en balans mellan dessa grundläggande rättigheter.

Medlemsstaterna bör fastställa sådana undantag med avseende på allmänna principer, de registrerades rättigheter,

personuppgiftsansvariga och personuppgiftsbiträden, överföring av uppgifter till tredjeländer eller internationella

organisationer, de oberoende tillsynsmyndigheterna, samarbete och enhetlighet samt specifika situationer där

personuppgifter behandlas. Om sådana undantag varierar från en medlemsstat till en annan, ska den nationella

rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas. För att beakta vikten av

rätten till yttrandefrihet i varje demokratiskt samhälle måste det göras en bred tolkning av vad som innefattas i

denna frihet, som till exempel journalistik.

(154) Denna förordning gör det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att

få tillgång till allmänna handlingar. Allmänhetens rätt att få tillgång till allmänna handlingar kan betraktas som

ett allmänt intresse. Personuppgifter i handlingar som innehas av en myndighet eller ett offentligt organ bör

kunna lämnas ut offentligt av denna myndighet eller detta organ, om utlämning stadgas i unionsrätten eller

i medlemsstatens nationella rätt som är tillämplig på myndigheten eller det offentliga organet. Denna rätt bör

sammanjämka allmänhetens rätt att få tillgång till allmänna handlingar och vidareutnyttjande av information från

den offentliga sektorn med rätten till skydd av personuppgifter och får därför innehålla föreskrifter om den

nödvändiga sammanjämkningen med rätten till skydd av personuppgifter enligt denna förordning. Hänvisningen

till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ

som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Europaparlamentets

och rådets direktiv 2003/98/EG (1) ska inte på något sätt påverka skyddsnivån för fysiska personer med avseende

4.5.2016

L 119/28

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga

sektorn (EUT L 345, 31.12.2003, s. 90).

Ds 2017:19

Bilaga 1

243

på behandling av personuppgifter enligt bestämmelserna i unionsrätten och i medlemsstaternas nationella rätt

och i synnerhet ändras inte de skyldigheter och rättigheter som anges i denna förordning genom det direktivet. I

synnerhet ska direktivet inte vara tillämpligt på handlingar till vilka, med hänsyn till skyddet av personuppgifter,

tillgång enligt tillgångsbestämmelserna är utesluten eller begränsad eller på delar av handlingar som är tillgängliga

enligt dessa bestämmelser men som innehåller personuppgifter vilkas vidareutnyttjande i lag har fastställts som

oförenligt med lagstiftningen om skydd för fysiska personer vid behandling av personuppgifter.

(155) En medlemsstatsnationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva

särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det

gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från

den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal

stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen,

men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och

förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.

(156) Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska

forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades

rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska

åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av

personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller

statistiska ändamål bör genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa

ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de

registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t. ex. pseudonymisering av personuppgifter).

Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Medlemsstaterna bör

på särskilda villkor med förbehåll för lämpliga skyddsåtgärder för de registrerade ha rätt att specificera och göra

undantag från kraven på information, rätten till rättelse eller radering av personuppgifter, rätten att bli bortglömd,

rätten till begränsning av behandlingen, rätten till dataportabilitet och rätten att göra invändning i samband med

behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska

forskningsändamål eller statistiska ändamål. Villkoren och säkerhetsåtgärderna i fråga kan medföra att de

registrerade måste följa särskilda förfaranden för att utöva dessa rättigheter, om det är lämpligt med hänsyn till

den särskilda behandlingens syfte tillsammans med tekniska och organisatoriska åtgärder som syftar till att

minimera behandlingen av personuppgifter i enlighet med principerna om proportionalitet och nödvändighet.

Behandling av personuppgifter för vetenskapliga ändamål bör även vara förenlig med annan relevant lagstiftning,

exempelvis om kliniska prövningar.

(157) Genom att koppla samman information från olika register kan forskare erhålla ny kunskap av stort värde med

avseende på medicinska tillstånd som exempelvis hjärt-kärlsjukdomar, cancer och depression. På grundval av

registren kan forskningsresultaten förbättras, eftersom de bygger på en större befolkningsgrupp. Forskning inom

samhällsvetenskap som bedrivs på grundval av register gör det möjligt för forskare att få grundläggande

kunskaper om sambandet på lång sikt mellan ett antal sociala villkor, exempelvis arbetslöshet och utbildning, och

andra livsförhållanden. Forskningsresultat som erhållits på grundval av register utgör en stabil, högkvalitativ

kunskap, som kan ligga till grund för utformningen och genomförandet av kunskapsbaserad politik, förbättra

livskvaliteten för ett antal personer och förbättra de sociala tjänsternas effektivitet. För att underlätta vetenskaplig

forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor

och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.

(158) Om personuppgifter behandlas för arkivändamål, bör denna förordning också gälla denna behandling, med

beaktande av att denna förordning inte bör gälla för avlidna personer. Offentliga myndigheter eller offentliga eller

privata organ som innehar uppgifter av allmänt intresse bör vara tillhandahållare som, i enlighet med

unionsrätten eller medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma,

organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för

allmänintresset. Medlemsstaterna bör också ha rätt att föreskriva att personuppgifter får vidarebehandlas för

arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära

regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

4.5.2016

L 119/29

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

244

(159) Om personuppgifter behandlas för vetenskapliga forskningsändamål, bör denna förordning också gälla denna

behandling. Behandling av personuppgifter för vetenskapliga forskningsändamål bör i denna förordning ges en

vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning

och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt

artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga

forskningsändamål bör också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att

tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål

bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom

ramen för vetenskapliga forskningsändamål. Om resultatet av vetenskaplig forskning, särskilt för hälso- och

sjukvårdsändamål, ger anledning till ytterligare åtgärder i den registrerades intresse, bör de allmänna reglerna i

denna förordning tillämpas på dessa åtgärder.

(160) Om personuppgifter behandlas för historiska forskningsändamål, bör denna förordning också gälla denna

behandling. Detta bör även omfatta forskning för historiska och genealogiska ändamål, med beaktande av att

denna förordning inte bör gälla för avlidna personer.

(161) När det gäller samtycke till deltagande i vetenskaplig forskning inom ramen för kliniska prövningar, bör de

relevanta bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 536/2014 (1) tillämpas.

(162) Om personuppgifter behandlas för statistiska ändamål, bör denna förordning gälla denna behandling.

Unionsrätten eller medlemsstaternas nationella rätt bör, inom ramen för denna förordning, fastställa statistiskt

innehåll, kontroll av tillgång, specifikationer för behandling av personuppgifter för statistiska ändamål och

lämpliga åtgärder till skydd för den registrerades rättigheter och friheter och för att säkerställa insynsskydd för

statistiska uppgifter. Med statistiska ändamål avses varje åtgärd som vidtas för den insamling och behandling av

personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat.

Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett

statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter,

utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller

beslut som avser en särskild fysiskperson.

(163) De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in

för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas,

framställas och spridas i enlighet med de statistiska principerna i artikel 338.2 i EUF-fördraget, medan

hanteringen av nationell statistik även bör överensstämma med medlemsstaternas nationella rätt. Europapar­

lamentets och rådets förordning (EG) nr 223/2009 (2) innehåller ytterligare preciseringar om statistisk konfiden­

tialitet för europeisk statistik.

(164) Vad beträffar tillsynsmyndigheternas befogenheter att från personuppgiftsansvariga eller personuppgiftsbiträden få

tillgång till personuppgifter och tillträde till lokaler, får medlemsstaterna, inom gränserna för denna förordning,

genom lagstiftning anta särskilda regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt, i den

mån detta är nödvändigt för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten. Detta

påverkar inte tillämpningen av medlemsstaternas befintliga skyldigheter att anta bestämmelser om tystnadsplikt,

där detta krävs enligt unionsrätten.

(165) Denna förordning är förenlig med kravet på att respektera och inte påverka den ställning som kyrkor och

religiösa sammanslutningar eller samfund har i medlemsstaterna enligt gällande grundlag i enlighet med

artikel 17 i EUF-fördraget.

(166) I syfte att uppnå målen för denna förordning, nämligen att skydda fysiska personers grundläggande rättigheter

och friheter och i synnerhet deras rätt till skydd av personuppgifter och för att säkra det fria flödet av

4.5.2016

L 119/30

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om

upphävande av direktiv 2001/20/EG (EUT L 158, 27.5.2014, s. 1).

(2) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av

Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till

Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG,

Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

Ds 2017:19

Bilaga 1

245

personuppgifter inom unionen, bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget

delegeras till kommissionen. Delegerade akter bör framför allt antas när det gäller kriterier och krav vad gäller

certifieringsmekanismer, information som ska ges med användning av standardiserade symboler och förfaranden

för att tillhandahålla sådana symboler. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under

sitt förberedande arbete, inklusive på expertnivå. När kommissionen förbereder och utarbetar delegerade akter bör

den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så

snabbt som möjligt och på lämpligt sätt.

(167) För att säkerställa enhetliga villkor för tillämpningen av denna förordning bör kommissionen ges genomförande­

befogenheter i enlighet med denna förordning. Dessa befogenheter bör utövas i enlighet med förordning (EU)

nr 182/2011. Kommissionen bör därvid överväga särskilda åtgärder för mikroföretag och små och medelstora

företag.

(168) Granskningsförfarandet bör användas vid antagande av genomförandeakter om standardavtalsklausuler mellan

personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, uppförandekoder,

tekniska standarder och mekanismer för certifiering, adekvat nivå på det skydd som lämnas av ett tredjeland, ett

territorium eller av en specificerad sektor inom det tredjelandet eller en internationell organisation,

standardiserade skyddsbestämmelser, format och förfaranden för elektroniskt utbyte av information mellan

personuppgiftsansvariga, personuppgiftsbiträden och tillsynsmyndigheter för bindande företagsbestämmelser,

ömsesidigt bistånd och tillvägagångssätt för elektroniskt utbyte av information mellan tillsynsmyndigheter samt

mellan tillsynsmyndigheter och styrelsen.

(169) Kommissionen bör när det föreligger tvingande skäl till skyndsamhet anta omedelbart tillämpliga

genomförandeakter, när tillgängliga bevis visar att ett tredjeland, ett territorium eller en specificerad sektor inom

det tredjelandet eller en internationell organisation inte upprätthåller en adekvat skyddsnivå.

(170) Eftersom målet för denna förordning, nämligen att säkerställa en likvärdig nivå för skyddet av fysiska personer

och det fria flödet av personuppgifter inom hela unionen, inte i tillräcklig utsträckning kan uppnås av

medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på

unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om

Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna

förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(171) Direktiv 95/46/EG bör upphävas genom denna förordning. Behandling som redan pågår den dag då denna

förordning börjar tillämpas bör bringas i överensstämmelse med denna förordning inom en period av två år från

det att denna förordning träder i kraft. Om behandlingen grundar sig på samtycke enligt direktiv 95/46/EG, är

det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna

fortsätta med behandlingen i fråga efter det att denna förordning börjar tillämpas, om det sätt på vilket samtycket

gavs överensstämmer med villkoren i denna förordning. Beslut av kommissionen som antagits och tillstånd från

tillsynsmyndigheterna som utfärdats på grundval av direktiv 95/46/EG ska fortsatt vara giltiga tills de ändras,

ersätts eller upphävs.

(172) Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett

yttrande den 7 mars 2012 (1).

(173) Denna förordning bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i

förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål

som anges i Europaparlamentets och rådets direktiv 2002/58/EG (2), däribland den personuppgiftsansvariges

skyldigheter och fysiska personers rättigheter. För att klargöra förhållandet mellan denna förordning och direktiv

2002/58/EG bör det direktivet ändras. När denna förordning har antagits, bör direktiv 2002/58/EG ses över,

framför allt för att säkerställa konsekvens med denna förordning.

4.5.2016

L 119/31

Europeiska unionens officiella tidning

SV

(1) EUT C 192, 30.6.2012, s. 7.

(2) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom

sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

Ds 2017:19

Bilaga 1

246

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte

1.

I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av

personuppgifter och om det fria flödet av personuppgifter.

2.

Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av

personuppgifter.

3.

Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för

fysiska personer med avseende på behandlingen av personuppgifter.

Artikel 2

Materiellt tillämpningsområde

1.

Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk

väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.

Denna förordning ska inte tillämpas på behandling av personuppgifter som

a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget,

c) en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes

hushåll,

d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa

straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna

säkerheten.

3.

Förordning (EG) nr 45/2001 är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner,

organ och byråer. Förordning (EG) nr 45/2001 och de av unionens övriga rättsakter som är tillämpliga på sådan

behandling av personuppgifter ska anpassas till principerna och bestämmelserna i denna förordning i enlighet med

artikel 98.

4.

Denna förordning påverkar inte tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstele­

vererande mellanhänders ansvar i artiklarna 12–15 i det direktivet.

Artikel 3

Territoriellt tillämpningsområde

1.

Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs

av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs

i unionen eller inte.

4.5.2016

L 119/32

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

247

2.

Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i

unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen,

om behandlingen har anknytning till

a) utbjudande av varor eller tjänster till sådana registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds

kostnadsfritt eller inte, eller

b) övervakning av deras beteende så länge beteendet sker inom unionen.

3.

Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som

inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

Artikel 4

Definitioner

I denna förordning avses med

1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en

registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti­

fikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska,

psykiska, ekonomiska, kulturella eller sociala identitet,

2. behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av

personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering,

strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring,

spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

3. begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i

framtiden,

4. profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används

för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna

fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet,

beteende, vistelseort eller förflyttningar,

5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan

tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa

kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer

att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,

6. register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om

samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

7. personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt

eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om

ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den

personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i

medlemsstaternas nationella rätt,

8. personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar

personuppgifter för den personuppgiftsansvariges räkning,

9. mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp­

gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta

4.5.2016

L 119/33

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

248

personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella

rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig

med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,

10. tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade,

den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller

personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

11. samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den

registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av

personuppgifter som rör honom eller henne,

12. personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller

till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt

behandlats,

13. genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk

person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från

en analys av ett biologiskt prov från den fysiska personen i fråga,

14. biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons

fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna

fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,

15. uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda­

hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,

16. huvudsakligt verksamhetsställe:

a) när det gäller en personuppgiftsansvarig med verksamhetsställen i mer än en medlemsstat, den plats i unionen

där vederbörande har sin centrala förvaltning, om inte besluten om ändamålen och medlen för behandlingen av

personuppgifter fattas vid ett annat av den personuppgiftsansvariges verksamhetsställen i unionen och det

sistnämnda verksamhetsstället har befogenhet att få sådana beslut genomförda, i vilket fall det verksamhetsställe

som har fattat sådana beslut ska betraktas som det huvudsakliga verksamhetsstället,

b) när det gäller ett personuppgiftsbiträde med verksamhetsställen i mer än en medlemsstat, den plats i unionen där

vederbörande har sin centrala förvaltning eller, om personuppgiftsbiträdet inte har någon central förvaltning i

unionen, det av personuppgiftsbiträdets verksamhetsställen i unionen där den huvudsakliga behandlingen inom

ramen för verksamheten vid ett av personuppgiftsbiträdets verksamhetsställen sker, i den utsträckning som

personuppgiftsbiträdet omfattas av särskilda skyldigheter enligt denna förordning,

17. företrädare: en i unionen etablerad fysisk eller juridisk person som skriftligen har utsetts av den personuppgift­

sansvarige eller personuppgiftsbiträdet i enlighet med artikel 27 och företräder denne i frågor som gäller dennes

skyldigheter enligt denna förordning,

18. företag: en fysisk eller juridisk person som bedriver ekonomisk verksamhet, oavsett dess juridiska form, vilket

inbegriper partnerskap eller föreningar som regelbundet bedriver ekonomisk verksamhet,

19. koncern: ett kontrollerande företag och dess kontrollerade företag,

20. bindande företagsbestämmelser: strategier för skydd av personuppgifter som en personuppgiftsansvarig eller ett

personuppgiftsbiträde som är etablerad på en medlemsstats territorium använder sig av vid överföringar eller en

uppsättning av överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett

eller flera tredjeländer inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet,

21. tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 51,

4.5.2016

L 119/34

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

249

22. berörd tillsynsmyndighet: en tillsynsmyndighet som berörs av behandlingen av personuppgifter på grund av att

a) den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad på tillsynsmyndighetens medlemsstats

territorium,

b) registrerade som är bosatta i den tillsynsmyndighetens medlemsstat i väsentlig grad påverkas eller sannolikt i

väsentlig grad kommer att påverkas av behandlingen, eller

c) ett klagomål har lämnats in till denna tillsynsmyndighet,

23. gränsöverskridande behandling:

a) behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en

medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personupp­

giftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller

b) behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe

tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad

påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat,

24. relevant och motiverad invändning: en invändning mot ett förslag till beslut avseende frågan huruvida det föreligger en

överträdelse av denna förordning eller huruvida den planerade åtgärden i förhållande till den personuppgift­

sansvarige eller personuppgiftsbiträdet är förenlig med denna förordning, av vilken invändning det tydligt framgår

hur stora risker utkastet till beslut medför när det gäller registrerades grundläggande rättigheter och friheter samt

i tillämpliga fall det fria flödet av personuppgifter inom unionen,

25. informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv

(EU) 2015/1535 (1),

26. internationell organisation: en organisation och dess underställda organ som lyder under folkrätten, eller ett annat

organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.

KAPITEL II

Principer

Artikel 5

Principer för behandling av personuppgifter

1.

Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet

och öppenhet).

b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som

är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller

historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de

ursprungliga ändamålen (ändamålsbegränsning).

c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgifts­

minimering).

d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att

personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål

(korrekthet).

4.5.2016

L 119/35

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska

föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).

Ds 2017:19

Bilaga 1

250

e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är

nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i

den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska

forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska

och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades

rättigheter och friheter (lagringsminimering).

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig

eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga

tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.

Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artikel 6

Laglig behandling av personuppgifter

1.

Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika

ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på

begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för

en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsan­

svariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade

intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver

skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

2.

Medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av

bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare

fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling,

inbegripet för andra specifika situationer då uppgifter behandlas i enlighet med kapitel IX.

3.

Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

a) unionsrätten, eller

b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara

nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets­

utövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i

denna förordning, bland annat: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken

typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut

och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling,

inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda

4.5.2016

L 119/36

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

251

situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse

och vara proportionell mot det legitima mål som eftersträvas.

4.

Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på

den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och

proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgift­

sansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personupp­

gifterna ursprungligen samlades in bland annat beakta följande:

a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare

behandlingen.

b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den

personuppgiftsansvarige.

c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9

eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.

d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7

Villkor för samtycke

1.

Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har

samtyckt till behandling av sina personuppgifter.

2.

Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om

samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt

tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna

förordning, ska denna del inte vara bindande.

3.

De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka

lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den

registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4.

Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet

av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av

personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8

Villkor som gäller barns samtycke avseende informationssamhällets tjänster

1.

Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a

behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska

sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har

föräldraansvar för barnet.

Medlemsstaterna får i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder

inte är under 13 år.

4.5.2016

L 119/37

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

252

2.

Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller

godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3.

Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om

giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Artikel 9

Behandling av särskilda kategorier av personuppgifter

1.

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk

övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt

identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska

vara förbjuden.

2.

Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera

specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte

kan upphävas av den registrerade.

b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina

skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd,

i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som

antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades

grundläggande rättigheter och intressen fastställs.

c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen

när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening

eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att

behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av

organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan

den registrerades samtycke.

e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f) Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av

domstolarnas dömande verksamhet.

g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller

medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det

väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att

säkerställa den registrerades grundläggande rättigheter och intressen.

h) Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin,

bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård,

behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på

grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på

hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett

skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård

och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt,

där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt

tystnadsplikt.

4.5.2016

L 119/38

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

253

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål

eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella

rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till

dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades

grundläggande rättigheter och intressen.

3.

Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna

behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller

medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person

som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som

fastställs av nationella behöriga organ.

4.

Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller

biometriska uppgifter eller uppgifter om hälsa.

Artikel 10

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande

säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt

unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och

friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Artikel 11

Behandling som inte kräver identifiering

1.

Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre

kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara

tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att

följa denna förordning.

2.

Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att denne inte är i stånd att

identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana

fall ska artiklarna 15–20 inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa

artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

KAPITEL III

Den registrerades rättigheter

Avsnitt 1

Insyn och villkor

Artikel 12

Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av

den registrerades rättigheter

1.

Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information

som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en

koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för

information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form,

inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas

muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.

4.5.2016

L 119/39

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

254

2.

Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter i enlighet med

artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den

registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att

han eller hon inte är i stånd att identifiera den registrerade.

3.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en

månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt

artiklarna 15–22. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad

begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan

förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade

lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade

inte begär något annat.

4.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige

utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder

inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

5.

Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas

enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart

ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den

åtgärd som begärts, eller

b) vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

6.

Utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att

betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare

information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.

7.

Den information som ska tillhandahållas de registrerade i enlighet med artiklarna 13 och 14 får tillhandahållas

kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över

den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.

8.

Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 för att fastställa vilken

information som ska visas med hjälp av symboler och förfaranden för att tillhandahålla sådana symboler.

Avsnitt 2

Information och tillgång till personuppgif ter

Artikel 13

Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade

1.

Om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgift­

sansvarige, när personuppgifterna erhålls, till den registrerade lämna information om följande:

a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för

behandlingen.

4.5.2016

L 119/40

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

255

d) Om behandlingen är baserad på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en

internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas

eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga

eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.

Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personupp­

gifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och transparent

behandling:

a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som

används för att fastställa denna period.

b) Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av

personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt

rätten till dataportabilitet.

c) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, att det föreligger en rätt att när som helst återkalla

sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

d) Rätten att inge klagomål till en tillsynsmyndighet.

e) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är

nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de

möjliga följderna av att sådana uppgifter inte lämnas.

f) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det

åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda

följderna av sådan behandling för den registrerade.

3.

Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för

vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information

om detta andra syfte samt ytterligare relevant information enligt punkt 2.

4.

Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

Artikel 14

Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade

1.

Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige förse den

registrerade med följande information:

a) Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.

b) Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.

c) Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för

behandlingen.

d) De kategorier av personuppgifter som behandlingen gäller.

e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

4.5.2016

L 119/41

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

256

f) I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland

eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller

saknas eller, när det gäller de överföringar som avses i artiklarna 46, 47 eller artikel 49.1 andra stycket, hänvisning

till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.

Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande

information, vilken krävs för att säkerställa rättvis och transparent behandling när det gäller den registrerade:

a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som

används för att fastställa denna period.

b) Om behandlingen grundar sig på artikel 6.1 f, den personuppgiftsansvariges eller en tredje parts berättigade intressen.

c) Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av

personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt

rätten till dataportabilitet.

d) Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a, rätten att när som helst återkalla sitt samtycke, utan

att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

e) Rätten att inge klagomål till en tillsynsmyndighet.

f) Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga

källor.

g) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det

åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda

följderna av sådan behandling för den registrerade.

3.

Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

a) inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de

särskilda omständigheter under vilka personuppgifterna behandlas,

b) om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första

kommunikationen med den registrerade, eller

c) om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

4.

Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för

vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information

om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.

Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

a) den registrerade redan förfogar över informationen,

b) tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning,

särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller

statistiska ändamål i enlighet med artikel 89.1, eller i den mån den skyldighet som avses i punkt 1 i den här artikeln

sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i

sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och

friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,

c) erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats

nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades

berättigade intressen, eller

d) personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas

nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

4.5.2016

L 119/42

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

257

Artikel 15

Den registrerades rätt till tillgång

1.

Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör

honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a) Ändamålen med behandlingen.

b) De kategorier av personuppgifter som behandlingen gäller.

c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt

mottagare i tredjeländer eller internationella organisationer.

d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt,

de kriterier som används för att fastställa denna period.

e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller

begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f) Rätten att inge klagomål till en tillsynsmyndighet.

g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter

kommer.

h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det

åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda

följderna av sådan behandling för den registrerade.

2.

Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha

rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen.

3.

Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under

behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig

avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska

informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något

annat.

4.

Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

Avsnitt 3

Rättelse och radering

Artikel 16

Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som

rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att

komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 17

Rätt till radering (”rätten att bli bortglömd”)

1.

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter

raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något

av följande gäller:

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

4.5.2016

L 119/43

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

258

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och

det finns inte någon annan rättslig grund för behandlingen.

c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för

behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d) Personuppgifterna har behandlats på olagligt sätt.

e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas

nationella rätt som den personuppgiftsansvarige omfattas av.

f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i

artikel 8.1.

2.

Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera

personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för

genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som

behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller

reproduktioner av dessa personuppgifter.

3.

Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a) För att utöva rätten till yttrande- och informationsfrihet.

b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats

nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller

som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt

artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar

uppnåendet av syftet med den behandlingen.

e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Artikel 18

Rätt till begränsning av behandling

1.

Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av

följande alternativ är tillämpligt:

a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige

möjlighet att kontrollera om personuppgifterna är korrekta.

b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en

begränsning av deras användning.

c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den

registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den

personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

2.

Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring,

endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller

för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för

unionen eller för en medlemsstat.

4.5.2016

L 119/44

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

259

3.

En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgift­

sansvarige innan begränsningen av behandlingen upphör.

Artikel 19

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av

behandling

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella

rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1

och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige

ska informera den registrerade om dessa mottagare på den registrerades begäran.

Artikel 20

Rätt till dataportabilitet

1.

Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har

tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att

överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits

personuppgifterna hindrar detta, om

a) behandlingen grundar sig på samtycke enligt artikel 6.1 a eller artikel 9.2 a eller på ett avtal enligt artikel 6.1 b, och

b) behandlingen sker automatiserat.

2

Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av

personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.

3.

Utövandet av den rätt som avses i punkt 1 i den här artikeln ska inte påverka tillämpningen av artikel 17. Den

rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är

ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

4.

Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

Avsnitt 4

Rätt att göra invändningar och automatiserat individuellt beslutsfattande

Artikel 21

Rätt att göra invändningar

1.

Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra

invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f,

inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla

personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den

registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga

anspråk.

2.

Om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända

mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering

i den utsträckning som denna har ett samband med sådan direkt marknadsföring.

3.

Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre

behandlas för sådana ändamål.

4.5.2016

L 119/45

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

260

4.

Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2

uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

5.

När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får

den registrerade utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

6.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i

enlighet med artikel 89.1 ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att

göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig

för att utföra en uppgift av allmänt intresse.

Artikel 22

Automatiserat individuellt beslutsfattande, inbegripet profilering

1.

Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling,

inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar

honom eller henne.

2.

Punkt 1 ska inte tillämpas om beslutet

a) är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,

b) tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som

fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller

c) grundar sig på den registrerades uttryckliga samtycke.

3.

I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa

den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personupp­

giftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.

Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1,

såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har

vidtagits.

Avsnitt 5

Begränsningar

Artikel 23

Begränsningar

1.

Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller

personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter

och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de

rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för

andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett

demokratiskt samhälle i syfte att säkerställa

a) den nationella säkerheten,

b) försvaret,

c) den allmänna säkerheten,

4.5.2016

L 119/46

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

261

d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga

sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en

medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa

och social trygghet,

f) skydd av rättsväsendets oberoende och rättsliga åtgärder,

g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för

lagreglerade yrken,

h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall

som nämns i a–e och g,

i) skydd av den registrerade eller andras rättigheter och friheter,

j) verkställighet av civilrättsliga krav.

2.

Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så

är relevant, avseende

a) ändamålen med behandlingen eller kategorierna av behandling,

b) kategorierna av personuppgifter,

c) omfattningen av de införda begränsningarna,

d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller

kategorierna av behandling,

g) riskerna för de registrerades rättigheter och friheter, och

h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

KAPITEL IV

Personuppgiftsansvarig och personuppgiftsbiträde

Avsnitt 1

Allmänna skyldigheter

Artikel 24

Den personuppgiftsansvariges ansvar

1.

Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolik­

hetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga

tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna

förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.

Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan­

svariges genomförande av lämpliga strategier för dataskydd.

3.

Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som

avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

4.5.2016

L 119/47

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

262

Artikel 25

Inbyggt dataskydd och dataskydd som standard

1.

Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning,

sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och

friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva

behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är

utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av

de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades

rättigheter skyddas.

2.

Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet,

säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den

skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras

tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes

medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3.

En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1

och 2 i den här artikeln följs.

Artikel 26

Gemensamt personuppgiftsansvariga

1.

Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska

de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt

respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den

registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13

och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs

genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för

arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.

Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas

respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt

för den registrerade.

3.

Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna

förordning med avseende på och emot var och en av de personuppgiftsansvariga.

Artikel 27

Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i

unionen

1.

Om artikel 3.2 tillämpas ska den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen utse en

företrädare i unionen.

2.

Skyldigheten enligt punkt 1 i denna artikel ska inte gälla

a) tillfällig behandling som inte omfattar behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i

artikel 9.1, eller behandling av personuppgifter avseende fällande domar i brottmål samt överträdelser, som avses i

artikel 10, och som sannolikt inte kommer att medföra en risk för fysiska personers rättigheter och friheter, med

hänsyn till behandlingens art, sammanhang, omfattning och ändamål, eller

b) en offentlig myndighet eller ett offentligt organ.

4.5.2016

L 119/48

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

263

3.

Företrädaren ska vara etablerad i en av de medlemsstater där de registrerade, vars personuppgifter behandlas i

samband med att de erbjuds varor eller tjänster, eller vars beteende övervakas, befinner sig.

4.

Företrädaren ska på den personuppgiftsansvariges eller personuppgiftsbiträdets uppdrag, utöver eller i stället för

den personuppgiftsansvarige eller personuppgiftsbiträdet, fungera som kontaktperson för i synnerhet tillsynsmyndigheter

och registrerade, i alla frågor som har anknytning till behandlingen, i syfte att säkerställa efterlevnad av denna

förordning.

5.

Att den personuppgiftsansvarige eller personuppgiftsbiträdet utser en företrädare ska inte påverka de rättsliga

åtgärder som skulle kunna inledas mot den personuppgiftsansvarige eller personuppgiftsbiträdet.

Artikel 28

Personuppgiftsbiträden

1.

Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast

anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska

åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades

rättigheter skyddas.

2.

Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt

förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska

personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts­

biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot

sådana förändringar.

3.

När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan

rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med

avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och

ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och

rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

a) endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet

när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna

behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas

av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan

uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt

denna rätt,

b) säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller

omfattas av en lämplig lagstadgad tystnadsplikt,

c) ska vidta alla åtgärder som krävs enligt artikel 32,

d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,

e) med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och

organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att

svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f) ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med

beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,

g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den

personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga

kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och

h) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs

i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av

den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

4.5.2016

L 119/49

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

264

Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om

han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas

dataskyddsbestämmelser.

4.

I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling

på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt

enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som

de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet

enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska

åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet

inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig

gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

5.

Ett personuppgiftsbiträdes anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd

certifieringsmekanism som avses i artikel 42 får användas för att visa att tillräckliga garantier tillhandahålls, så som avses

punkterna 1 och 4 i den här artikeln.

6.

Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i den här artikeln får, utan att det påverkar

tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras

på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i den här artikeln, inbegripet när de ingår i en

certifiering som i enlighet med artiklarna 42 och 43 beviljats den personuppgiftsansvarige eller personuppgiftsbiträdet.

7.

Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här artikeln,

i enlighet med det granskningsförfarande som avses i artikel 93.2.

8.

En tillsynsmyndighet får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i den här

artikeln, i enlighet med den mekanism för enhetlighet som avses i artikel 63.

9.

Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett

elektroniskt format.

10.

Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för

behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen, utan att

det påverkar tillämpningen av artiklarna 82, 83 och 84.

Artikel 29

Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets

överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgift­

sansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Artikel 30

Register över behandling

1.

Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som

utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift­

sansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.

b) Ändamålen med behandlingen.

c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

4.5.2016

L 119/50

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

265

d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i

tredjeländer eller i internationella organisationer.

e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i

artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

2.

Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av

behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgift­

sansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller

personuppgiftsbiträdets företrädare samt dataskyddsombudet.

b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.

c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet

identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i

artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.

d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

3.

De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4.

På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgift­

sansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

5.

De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter

färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades

rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som

avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.

Artikel 31

Samarbete med tillsynsmyndigheten

Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran

samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

Avsnitt 2

Säkerhet för personuppgif ter

Artikel 32

Säkerhet i samband med behandlingen

1.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning,

sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och

friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder

för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

4.5.2016

L 119/51

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

266

b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlings­

systemen och -tjänsterna,

c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk

incident,

d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska

åtgärder som ska säkerställa behandlingens säkerhet.

2.

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i

synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig

åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3.

Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som

avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

4.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person

som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till

personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller

medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Artikel 33

Anmälan av en personuppgiftsincident till tillsynsmyndigheten

1.

Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte

senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är

behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska

personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en

motivering till förseningen.

2.

Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap

om en personuppgiftsincident.

3.

Den anmälan som avses i punkt 1 ska åtminstone

a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet

registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information

kan erhållas,

c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin­

cidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4.

Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen

tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.

Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring

personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det

möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Artikel 34

Information till den registrerade om en personuppgiftsincident

1.

Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den

personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

4.5.2016

L 119/52

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

267

2.

Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar

beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 33.3 b, c

och d.

3.

Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder

tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra

uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

b) Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades

rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande

åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4.

Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får

tillsynsmyndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att

personuppgiftsbiträdet gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

Avsnitt 3

Konsekvensbedömning avseende dataskydd samt föregående samråd

Artikel 35

Konsekvensbedömning avseende dataskydd

1.

Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning,

sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den

personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för

skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga

risker.

2.

Den personuppgiftsansvarige ska rådfråga dataskyddsombudet, om ett sådant utsetts, vid genomförande av en

konsekvensbedömning avseende dataskydd.

3.

En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk

behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller

på liknande sätt i betydande grad påverkar fysiska personer.

b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter

som rör fällande domar i brottmål och överträdelser som avses i artikel 10.

c) Systematisk övervakning av en allmän plats i stor omfattning.

4.

Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som

omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1. Tillsynsmyndigheten ska

översända dessa förteckningar till den styrelse som avses i artikel 68.

5.

Tillsynsmyndigheten får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter

som inte kräver någon konsekvensbedömning avseende dataskydd. Tillsynsmyndigheten ska översända dessa

förteckningar till styrelsen.

6.

Innan de förteckningar som avses i punkterna 4 och 5 antas ska den behöriga tillsynsmyndigheten tillämpa den

mekanism för enhetlighet som avses i artikel 63 om en sådan förteckning inbegriper behandling som rör erbjudandet av

varor eller tjänster till registrerade, eller övervakning av deras beteende i flera medlemsstater, eller som väsentligt kan

påverka den fria rörligheten för personuppgifter i unionen.

4.5.2016

L 119/53

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

268

7.

Bedömningen ska innehålla åtminstone

a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt,

den personuppgiftsansvariges berättigade intresse,

b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att

säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de

registrerades och andra berörda personers rättigheter och berättigade intressen.

8.

De berörda personuppgiftsansvarigas eller personuppgiftsbiträdenas efterlevnad av godkända uppförandekoder

enligt artikel 40 ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av

dessa personuppgiftsansvariga eller personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvens­

bedömning avseende dataskydd.

9.

Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras

företrädare om den avsedda behandlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller

behandlingens säkerhet.

10.

Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella

rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller

serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en

allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, ska punkterna 1–7 inte gälla, om

inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.

11.

Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i

enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

Artikel 36

Förhandssamråd

1.

Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning

avseende dataskydd enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgift­

sansvarige vidtar åtgärder för att minska risken.

2.

Om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 skulle strida mot denna

förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska tillsyns­

myndigheten inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgift­

sansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har

enligt artikel 58. Denna period får förlängas med sex veckor beroende på hur komplicerad den planerade behandlingen

är. Tillsynsmyndigheten ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en

sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till

förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att tillsynsmyndigheten erhåller den information

som den har begärt med tanke på samrådet.

3.

Vid samråd med tillsynsmyndigheten enligt punkt 1 ska den personuppgiftsansvarige till tillsynsmyndigheten

lämna

a) i tillämpliga fall de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga

och personuppgiftsbiträden som medverkar vid behandlingen, framför allt vid behandling inom en koncern,

b) ändamålen med och medlen för den avsedda behandlingen,

c) de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt

denna förordning,

d) i tillämpliga fall kontaktuppgifter till dataskyddsombudet,

4.5.2016

L 119/54

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

269

e) konsekvensbedömningen avseende dataskydd enligt artikel 35, och

f) all annan information som begärs av tillsynsmyndigheten.

4.

Medlemsstaterna ska samråda med tillsynsmyndigheten vid utarbetandet av ett förslag till lagstiftningsåtgärd som

ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör

behandling.

5.

Trots vad som sägs i punkt 1 får det i medlemsstaternas nationella rätt krävas att personuppgiftsansvariga ska

samråda med, och erhålla förhandstillstånd av, tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling

för utförandet av en uppgift som den personuppgiftsansvarige utför av allmänt intresse, inbegripet behandling avseende

social trygghet och folkhälsa.

Avsnitt 4

Dataskyddsombud

Artikel 37

Utnämning av dataskyddsombudet

1.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna

ett dataskyddsombud om

a) behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av

domstolarnas dömande verksamhet,

b) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av

sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de

registrerade i stor omfattning, eller

c) den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av

särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och

överträdelser, som avses i artikel 10.

2.

En koncern får utnämna ett enda dataskyddsombud om det på varje etableringsort är lätt att nå ett

dataskyddsombud.

3.

Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda

dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och

storlek.

4.

I andra fall än de som avses i punkt 1 får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella

rätt, ska den personuppgiftsansvarige eller personuppgiftsbiträdet eller sammanslutningar och andra organ som

företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden utnämna ett dataskyddsombud. Dataskydd­

sombudet får agera för sådana sammanslutningar och andra organ som företräder personuppgiftsansvariga eller

personuppgiftsbiträden.

5.

Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om

lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39.

6.

Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra

uppgifterna på grundval av ett tjänsteavtal.

7.

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska offentliggöra dataskyddsombudets kontaktuppgifter

och meddela dessa till tillsynsmyndigheten.

Artikel 38

Dataskyddsombudets ställning

1.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt

och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

4.5.2016

L 119/55

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

270

2.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de

uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt

tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

3.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot

instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av

den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska

rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

4.

Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes

personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.

Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller

konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

6.

Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts­

biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Artikel 39

Dataskyddsombudets uppgifter

1.

Dataskyddsombudet ska ha minst följande uppgifter:

a) Att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som

behandlar om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskydds­

bestämmelser.

b) Att övervaka efterlevnaden av denna förordning, av andra av unionens eller medlemsstaternas dataskyddsbe­

stämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter,

inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande

granskning.

c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den

enligt artikel 35.

d) Att samarbeta med tillsynsmyndigheten.

e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd

som avses i artikel 36, och vid behov samråda i alla andra frågor.

2.

Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade

med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Avsnitt 5

Uppförandekod och cer tif iering

Artikel 40

Uppförandekoder

1.

Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av

uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika

sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

2.

Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgifts­

biträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna

förordning, till exempel när det gäller

a) rättvis och öppen behandling,

4.5.2016

L 119/56

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

271

b) personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,

c) insamling av personuppgifter,

d) pseudonymisering av personuppgifter,

e) information till allmänheten och de registrerade,

f) utövande av registrerades rättigheter,

g) information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar

för barn,

h) åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i

enlighet med artikel 32,

i) anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till

registrerade,

j) överföring av personuppgifter till tredjeländer eller internationella organisationer,

k) utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga

och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77

och 79.

3.

Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt

punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas

av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna

förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till

tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller

personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande

instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.

4.

Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det

organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av

personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller

befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

5.

Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en

uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller

utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida

utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det

utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.

6.

Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda

uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra

uppförandekoden.

7.

Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig

enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses

i artikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning

är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.

8.

Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med

denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt

yttrande till kommissionen.

9.

Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som

getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas

i enlighet med det granskningsförfarande som avses i artikel 93.2.

4.5.2016

L 119/57

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

272

10.

Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt

punkt 9 offentliggörs på lämpligt sätt.

11.

Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem

på lämpligt sätt.

Artikel 41

Övervakning av godkända uppförandekoder

1.

Utan att det påverkar den berörda tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 får

övervakningen av efterlevnaden av en uppförandekod i enlighet med artikel 40 utföras av ett organ som har en lämplig

expertnivå i förhållande till kodens syfte och som ackrediteras för detta ändamål av den behöriga tillsynsmyndigheten.

2.

Ett organ som avses i punkt 1 får ackrediteras för att övervaka efterlevnaden av en uppförandekod om detta organ

har

a) visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte på ett sätt som den behöriga tillsyns­

myndigheten finner tillfredsställande,

b) upprättat förfaranden varigenom det kan bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas

lämplighet för att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över

hur den fungerar,

c) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på

vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde,

och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

d) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att dess uppgifter och uppdrag inte

leder till en intressekonflikt.

3.

Den behöriga tillsynsmyndigheten ska inlämna utkastet till kriterier för ackreditering av ett organ som avses i

punkt 1 i den här artikeln till styrelsen i enlighet med den mekanism för enhetlighet som avses i artikel 63.

4.

Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och tillämpningen av

bestämmelserna i kapitel VIII ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för tillräckliga

skyddsåtgärder, vidta lämpliga åtgärder i fall av en personuppgiftsansvarigs eller ett personuppgiftsbiträdes överträdelse

av uppförandekoden, inbegripet avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgifts­

biträdet från uppförandekoden. Det ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen för

att de vidtagits.

5.

Den behöriga tillsynsmyndigheten ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för

ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet strider mot denna förordning.

6.

Denna artikel ska inte gälla behandling som utförs av offentliga myndigheter och organ.

Artikel 42

Certifiering

1.

Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå,

införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att

personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med denna förordning. De särskilda

behoven hos mikroföretag samt små och medelstora företag ska beaktas.

4.5.2016

L 119/58

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

273

2.

Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som är godkända enligt punkt 5 i

denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna

förordning, inrättas för att visa att det föreligger lämpliga garantier som tillhandahålls av personuppgiftsansvariga och

personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, inom ramen för överföringar av

personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 f. Sådana personuppgift­

sansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt

bindande instrument, att tillämpa dessa lämpliga garantier, inbegripet när det gäller registrerades rättigheter.

3.

Certifieringen ska vara frivillig och tillgänglig via ett öppet förfarande.

4.

En certifiering i enlighet med denna artikel minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets

ansvar för att denna förordning efterlevs och påverkar inte uppgifter och befogenheter för de tillsynsmyndigheter som är

behöriga enligt artikel 55 eller 56.

5.

En certifiering i enlighet med denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den

behöriga tillsynsmyndigheten på grundval av kriterier som godkänts av den behöriga myndigheten enligt artikel 58.3

eller av styrelsen enligt artikel 63. Om kriterierna har godkänts av styrelsen får detta leda till en gemensam certifiering,

det europeiska sigillet för dataskydd.

6.

Den personuppgiftsansvarige eller det personuppgiftsbiträde som låter sin behandling av uppgifter omfattas av

certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43 eller, i tillämpliga fall, den behöriga

tillsynsmyndigheten, med all information och tillgång till behandlingsförfaranden som krävs för att genomföra certifier­

ingsförfarandet.

7.

Certifiering ska utfärdas till en personuppgiftsansvarig eller ett personuppgiftsbiträde för en period på högst tre år

och får förnyas på samma villkor under förutsättning att kraven fortsätter att vara uppfyllda. Certifiering ska,

i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om

kraven för certifieringen inte eller inte längre uppfylls.

8.

Styrelsen ska samla alla certifieringsmekanismer och sigill och märkningar för dataskydd i ett register och

offentliggöra dem på lämpligt sätt.

Artikel 43

Certifieringsorgan

1.

Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58

ska certifieringsorgan som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten

för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h när så är nödvändigt, utfärda och förnya certifiering.

Medlemsstat ska säkerställa att dessa certifieringsorgan är ackrediterade av en av eller båda följande:

a) Den tillsynsmyndighet som är behörig enligt artikel 55 eller 56,

b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG)

nr 765/2008 (1) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den

tillsynsmyndighet som är behörig enligt artikel 55 eller 56.

2.

Certifieringsorgan som avses i punkt 1 får ackrediteras i enlighet med den punkten endast om de har

a) visat oberoende och expertis i förhållande till certifieringens syfte på ett sätt som den behöriga tillsynsmyndigheten

finner tillfredsställande,

4.5.2016

L 119/59

Europeiska unionens officiella tidning

SV

(1) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i

samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).

Ds 2017:19

Bilaga 1

274

b) förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkänts av den tillsynsmyndighet som är

behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,

c) upprättat förfaranden för utfärdande, periodisk översyn och återkallande av certifiering, sigill och märkningar för

dataskydd,

d) upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av certifieringen eller det sätt på vilket

certifieringen har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att

göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och

e) på ett sätt som den behöriga tillsynsmyndigheten finner tillfredsställande visat att deras uppgifter och uppdrag inte

leder till en intressekonflikt.

3.

Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske på grundval av

kriterier som godkänts av den tillsynsmyndighet som är behörig enligt artikel 55 eller 56, eller av styrelsen enligt

artikel 63. I händelse av ackreditering enligt punkt 1 b i den här artikeln ska dessa krav komplettera dem som föreskrivs

i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.

4.

De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen

eller återkallelsen av certifieringen, utan att det påverkar den personuppgiftsansvariges eller personuppgiftsbiträdets

ansvar att efterleva denna förordning. Ackrediteringen ska utfärdas för en period på högst fem år och får förnyas på

samma villkor under förutsättning att certifieringsorganet uppfyller de krav som anges i denna artikel.

5.

De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till

beviljandet eller återkallelsen av den begärda certifieringen.

6.

De krav som avses i punkt 3 i den här artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av

tillsynsmyndigheten i ett lättillgängligt format. Tillsynsmyndigheterna ska också översända dessa krav och kriterier till

styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem på

lämpligt sätt.

7.

Utan att det påverkar tillämpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackre­

diteringsorganet återkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för

ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av certifieringsorganet strider mot denna

förordning.

8.

Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att närmare ange de

krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.

9.

Kommissionen får anta genomförandeakter för att fastställa tekniska standarder för certifieringsmekanismer och

sigill och märkningar för dataskydd samt rutiner för att främja och erkänna dessa certifieringsmekanismer, sigill och

märkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

KAPITEL V

Överföring av personuppgifter till tredjeländer eller internationella organisationer

Artikel 44

Allmän princip för överföring av uppgifter

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett

tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och

personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel,

inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat

tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att

den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

4.5.2016

L 119/60

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

275

Artikel 45

Överföring på grundval av ett beslut om adekvat skyddsnivå

1.

Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat

att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella

organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2.

När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta

a) rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning,

både allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och

straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning,

dataskyddsregler, yrkesregler och säkerhetsbestämmelser, inbegripet regler för vidare överföring av personuppgifter till

ett annat tredjeland eller en annan internationell organisation, som ska följas i det landet eller den internationella

organisationen, rättspraxis samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och

rättslig prövning för de registrerade vars personuppgifter överförs,

b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar

tillsyn över den internationella organisationen, som har ansvar för att säkerställa och kontrollera att dataskyddsregler

följs, inklusive lämpliga verkställighetsbefogenheter, ge de registrerade råd och assistans när det gäller utövandet av

deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och

c) vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort,

eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i

multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.

3.

Kommissionen får, efter att ha bedömt om det föreligger en adekvat skyddsnivå, genom en genomförandeakt

besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en

internationell organisation säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln.

Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant

utveckling i det tredjelandet eller den internationella organisationen. Beslutets territoriella och sektorsmässiga tillämpning

ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är

tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings­

förfarande som avses i artikel 93.2.

4.

Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan

påverka hur beslut som antagits enligt punkt 3 i den här artikeln och beslut som antagits på grundval av artikel 25.6 i

direktiv 95/46/EG fungerar.

5.

Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här

artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en

internationell organisation inte längre säkerställer adekvat skydd i den mening som avses i punkt 2 i den här artikeln

och, i den mån det behövs, genom genomförandeakter återkalla, ändra eller upphäva det beslut som avses i punkt 3 i

den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande

som avses i artikel 93.2.

När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet ska kommissionen anta omedelbart

tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.3.

6.

Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den

situation som lett till beslutet enligt punkt 5.

7.

Beslut enligt punkt 5 i den här artikeln ska inte påverka överföring av personuppgifter till tredjelandet, ett

territorium eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella organisationen i fråga

enligt artiklarna 46–49.

8.

Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de

tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för

vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.

4.5.2016

L 119/61

Europeiska unionens officiella tidning

SV

Ds 2017:19

Bilaga 1

276

9.

De beslut som antas av kommissionen på grundval av artikel 25.6 i direktiv 95/46/EG ska förbli i kraft tills de

ändrats, ersatts eller upphävts av ett kommissionsbeslut som antagits i enlighet med punkt 3 eller 5 i den här artikeln.

Artikel 46

Överföring som omfattas av lämpliga skyddsåtgärder

1.

I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig ell