Ds 2017:28
En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde
Sammanfattning
EU:s dataskyddsförordning (EU 2016/679) som ersätter dataskyddsdirektivet (95/46/EG) ska börja tillämpas den 25 maj 2018. Det innebär att den svenska regleringen om behandling av personuppgifter måste anpassas efter EU:s nya dataskyddsreform. I promemorian redogörs för de konsekvenser som dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Näringsdepartementets verksamhetsområde och de författningsändringar som bedöms nödvändiga med anledning av dataskyddsförordningen och personuppgiftslagens (1998:204) och personuppgiftsförordningens (1998:1191) upphävande. Uppdraget omfattar att se över de s.k. registerförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter som tillhör verksamhetsområdet. Att analysera eller beskriva vilka förändringar i stort som dataskyddsförordningen i sig innebär innefattas inte i uppdraget och redovisas därför inte i promemorian. De genomgånga författningarna innehåller kompletterande bestämmelser till dataskyddsförordningen och gäller utöver eller före den nya nationella regleringen som på ett generellt plan kompletterar dataskyddsförordningen. För att en bestämmelse om personuppgiftsbehandling i en registerförfattning eller annan sektorslagstiftning ska vara tillåten i nationell rätt måste den vara förenlig med dataskyddsförordningen. Sådana bestämmelser behöver således anpassas efter den nya dataskyddsreformen. En utgångspunkt för anpassningen av författningarna har varit att den personuppgiftsbehandling som är tillåten i dag ska kunna fortsätta om det finns förutsättningar för sådan behandling i dataskyddsförordningen. Förslagen berör bestämmelser om bl.a. rätten till rättelse och begränsning av behandling. Vidare föreslås att hänvisningar till personuppgiftslagen i vissa fall ska ersättas av hänvisningar till dataskyddsförordningen. Promemorian innefattar också en redogörelse för de anpassningar som vissa av författningarna inom sektorn för elektronisk
Sammanfattning Ds 2017:28
kommunikation bedöms behöva med anledning av att personuppgiftslagen och personuppgiftsförordningen ska upphävas.
Författningsändringarna föreslås träda i kraft den 25 maj 2018. Samma dag ska dataskyddsförordningen börja tillämpas. Enligt förslaget till dataskyddslag kommer den också att börja gälla den 25 maj 2018 (SOU 2017:39).
1. Författningsförslag
1.1. Förslag till lag om ändring i rennäringslagen (1971:437)
Härigenom föreskrivs att 74 § rennäringslagen (1971:437) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
74 §1
Ärenden om registrering av renmärke prövas av Sametinget. Sametinget är personuppgiftsansvarigt för renmärkesregistret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret skall innehålla uppgifter om ett renmärkes utseende, den sameby där märket får användas samt märkesinnehavarens namn, person- eller organisationsnummer och adress.
Personuppgiftslagen (1998:204) gäller för behandling av personuppgifter, utöver vad som sägs i andra och tredje styckena.
Sametinget är personuppgiftsansvarigt för behandlingen av
personuppgifter i renmärkesregist-
ret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret ska innehålla uppgifter om ett renmärkes utseende, den sameby där märket får användas samt märkesinnehavarens namn, person- eller organisationsnummer och adress.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende
1 Senaste lydelse 2006:802.
Författningsförslag Ds 2017:28
på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utöver vad som sägs i andra och tredje styckena gäller även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning vid behandling av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.2. Förslag till lag om ändring i skogsvårdslagen (1979:429)
Härigenom föreskrivs i fråga om skogsvårdslagen (1979:429)2
dels att 32 g § ska upphöra att gälla,
dels att 32 b, 32 c, 32 e och 40 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
32 b §3
I fråga om personuppgifter
skall registret över fysiska och
juridiska personer, som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
I fråga om personuppgifter
ska registret över fysiska och
juridiska personer, som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana näringsidkare som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana näringsidkare,
2. aktualisering, komplettering eller kontroll av uppgifter om sådana näringsidkare i kund- eller verksamhetsregister eller liknande register, eller
3. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-
3. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2
och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av per-
2 Senaste lydelse 2002:614. 3 Senaste lydelse 2002:614.
Författningsförslag Ds 2017:28
sonuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
32 c §4
I fråga om personuppgifter
skall registret över godkända frö-
källor ha till ändamål att till-
handhålla uppgifter för
I fråga om personuppgifter
ska registret över godkända frö-
källor ha till ändamål att till-
handahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana frökällor som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana frökällor,
2. omsättning av skogsodlingsmaterial och fast egendom på vilken en frökälla registrerats,
3. aktualisering, komplettering eller kontroll av uppgifter om frökällor i kund- eller verksamhetsregister eller liknande register, eller
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2
och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679.
32 e §5
Skogsstyrelsen är personuppgiftsansvarig enligt personupp-
giftslagen (1998:204) för de re-
gister som avses i 32 a § första stycket.
Skogsstyrelsen är personuppgiftsansvarig för behandlingen av
personuppgifter i de register som
avses i 32 a § första stycket.
4 Senaste lydelse 2002:614. 5 Senaste lydelse 2002:614.
Ds 2017:28 Författningsförslag
40 §6
Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol. Detsamma
gäller beslut om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) och beslut om rättelse enligt 28 § samma lag.
Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol.
Naturvårdsverket får överklaga Skogsstyrelsens beslut i fall som avses i 25 § andra stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 25 maj 2018.
6 Senaste lydelse 2005:1164.
Författningsförslag Ds 2017:28
1.3. Förslag till lag om ändring i lagen (2003:389) om elektronisk kommunikation
Härigenom föreskrivs att 6 kap. 1 och 2 §§ lagen om (2003:389) om elektronisk kommunikation ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 kap.
1 §7
I detta kapitel avses med elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilda abonnenten eller användaren av informationen,
integritetsincident: en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster,
internetåtkomst: möjlighet till överföring av ip-paket som ger användaren tillgång till internet,
meddelandehantering: utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program,
misslyckad uppringning: uppringning som kopplas fram utan att nå en mottagare,
trafikuppgift: uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande.
Begreppen behandling, personuppgiftsansvarig och samtycke har i kapitlet samma inne-
Begreppen behandling, personuppgiftsansvarig och samtycke har i kapitlet samma inne-
7 Senaste lydelse 2012:127.
Ds 2017:28 Författningsförslag
börd som ipersonuppgiftslagen
( 1998:204 ).
börd som i Europaparlamentets
och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
2 §8
I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller per-
sonuppgiftslagen (1998:204 ) , om inte annat följer av denna lag.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.
I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller
Europaparlamentets och rådets förordning (EU) 2016/679. Bestämmelserna i förordningen (EU) 2016/679 ska dock inte tillämpas vid behandling av personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät, inom sådana områden där tillhandahållaren redan omfattas av särskilda skyldigheter för samma ändamål enligt denna lag.
Även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling som avses i första stycket, om inte annat följer av denna lag.
8 Senaste lydelse 2009:500.
Författningsförslag Ds 2017:28
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 20–23 §§.
Denna lag träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.4. Förslag till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet
Härigenom föreskrivs att 3 § och rubriken närmast före 3 § lagen (2006:24) om nationella toppdomäner för Sverige på Internet ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till annan lag
3 §
Bestämmelserna i personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i administrationen av en nationell toppdomän för Sverige, om inte annat följer av denna lag.
Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om behandling av personuppgifter. Om inte annat följer av denna lag, gäller även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning vid behandling av personuppgifter i administrationen av en nationell toppdomän för Sverige.
Författningsförslag Ds 2017:28
lag eller enligt föreskrifter som meddelats med stöd av lagen.
Denna lag träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.5. Förslag till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter
Härigenom föreskrivs att 6 och 7 §§ lagen (2007:1150) om tillsyn över hundar och katter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Jordbruksverket är personuppgiftsansvarigt enligt person-
hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
Jordbruksverket är personuppgiftsansvarigt för behandling-
en av personuppgifter i hund-
registret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
7 §
För behandling av personuppgifter gäller, utöver vad som sägs i 5 och 6 §§, personuppgiftslagen (1998:204) . Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter som utförs enligt denna lag.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Utöver vad som sägs i 5 och 6 §§ denna lag gäller vid behandling
Författningsförslag Ds 2017:28
av personuppgifter även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna lag träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.6. Förslag till lag om ändring i lagen (2009:619) om djurskyddskontrollregister
Härigenom föreskrivs i fråga om lagen (2009:619) om djurskyddskontrollregister
dels att 11 § ska upphöra att gälla,
dels att 3, 5, 6 och 12 §§ ska ha följande lydelse,
dels att rubriken närmast före 3 § ska ha följande lydelse och att
rubriken närmast före 11 § ska utgå.
Nuvarande lydelse Föreslagen lydelse
Förhållandet till
Förhållandet till annan lag
3 §
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i djurskyddskontrollregistret om inte annat följer av denna lag eller av föreskrifter som har meddelats med stöd av denna lag.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Om inte annat följer av denna lag eller av föreskrifter som har meddelats med stöd av denna lag, gäller vid behandling av personuppgifter i djurskyddskontrollregistret även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Författningsförslag Ds 2017:28
5 §
Personuppgifter får behandlas i djurskyddskontrollregistret för att
1. i verksamhet hos Jordbruksverket planera, samordna, administrera, följa upp och rapportera om djurskyddskontrollen enligt djurskyddslagen (1988:534) samt enligt de EG-förordningar som kompletteras av den lagen,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EG-förordningar som kompletteras av den lagen, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruksverket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för landsbygdsutvecklingsåtgärder enligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EG:s förordningar om strukturstöd och om stöd till utveckling av landsbygden.
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. I övrigt gäller 9 § första
stycket d och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. Att personuppgifter även
får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
6 §
I djurskyddskontrollregistret får endast behandlas sådana uppgifter om den som är föremål för djurskyddskontroll enligt djurskyddslagen (1988:534) och de EG-förordningar som kompletteras av den lagen, som behövs för de ändamål som anges i 5 §.
Sådana personuppgifter som avses i 13 § personuppgiftslagen
(1998:204) får inte behandlas.
Sådana personuppgifter som avses i artikel 9 i Europaparla-
mentets och rådets förordning (EU) 2016/679 får inte behand-
las.
Ds 2017:28 Författningsförslag
Regeringen meddelar närmare föreskrifter om vilka personuppgifter som får behandlas i djurskyddskontrollregistret.
12 §
Personuppgifter som behandlas i djurskyddskontrollregistret ska gallras när de inte längre är nödvändiga för de ändamål som anges i 5 §.
Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter, eller i det enskilda fallet besluta, om
1. att personuppgifter får bevaras för historiska, statistiska och
vetenskapliga ändamål, och
1. att personuppgifter får be-
varas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål och,
2. att gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Denna lag träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.7. Förslag till lag om ändring i postlagen (2010:1045)
Härigenom förskrivs att 2 kap. 17 § postlagen (2010:1045) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
17 §
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 14 och 15 §§.
För utlämnande av annan personuppgift i postverksamhet än som avses i 14 § första och tredje styckena gäller personupp-
För utlämnande av annan personuppgift i postverksamhet än som avses i 14 § första och tredje styckena gäller Europa-
parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.8. Förslag till lag om ändring i lagen (2011:725) om behörighet för lokförare
Härigenom föreskrivs i fråga om lagen (2011:725) om behörighet för lokförare
dels 4 kap. 4 § ska upphöra att gälla,
dels att 4 kap. 1, 8, 13, 16, 22, och 25 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
1 §
I detta kapitel finns bestämmelser om register över förarbevis (förarbevisregistret), kompletterande intyg (intygsregister) och tillståndshavare (tillståndsregistret).
Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i de register som anges i första stycket, om inte annat följer av denna lag eller förordning som har meddelats med stöd av lagen.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Om inte annat följer av denna lag eller förordning som har meddelats med stöd av lagen, gäller vid behandling av personuppgifter i de register som anges i första stycket även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Författningsförslag Ds 2017:28
8 §
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning. I
övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning. Att
personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
13 §
Känsliga personuppgifter som avses i13 § personuppgiftslagen
(1998:204) får inte användas som
sökbegrepp.
Känsliga personuppgifter som avses i artikel 9 i Europaparla-
mentets och rådets förordning (EU) 2016/679 får inte använ-
das som sökbegrepp.
16 §
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning. I
övrigt gäller 9 § första stycket d) och andra stycket personuppgiftslagen (1998:204) .
Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning. Att
personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
22 §
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan
Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan
Ds 2017:28 Författningsförslag
lag eller förordning. I övrigt gäller
9 § första stycket d) och andra stycket personuppgiftslagen (1998:204) .
lag eller förordning. Att person-
uppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
25 §
Regeringen eller den myndighet som regeringen bestämmer får beträffande de intygsregister som inte förs av det allmänna meddela föreskrifter eller i det enskilda fallet besluta om att
1. personuppgifter ska bevaras för historiska, statistiska eller
vetenskapliga ändamål, eller
1. personuppgifter ska bevaras för arkivändamål av allmänt
intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller
2. gallring av personuppgifter ska ske senast vid en viss tidpunkt. Regeringen meddelar föreskrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
Denna lag träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.9. Förslag till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter
Härigenom föreskrivs att 8 § lagen (2013:315) om intelligenta transportsystem vid vägtransporter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 §
I personuppgiftslagen (1998:204), lagen (2003:389)
om elektronisk kommunikation och lagen (2001:558) om vägtrafikregister finns bestämmelser om behandling av personuppgifter och integritetsskydd.
I Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning, lagen (2003:389) om
elektronisk kommunikation och lagen (2001:558) om vägtrafikregister finns bestämmelser om behandling av personuppgifter och integritetsskydd.
I lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen finns bestämmelser om vidareutnyttjande av handlingar hos statliga och kommunala myndigheter.
I produktansvarslagen (1992:18) finns bestämmelser om skadeståndsansvar för produkter med säkerhetsbrister.
Denna lag träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.10. Förslag till lag om ändring i lagen (2013:1164) om elektroniska vägtullssystem
Härigenom föreskrivs att 7, 25, 26 och 28 §§ lagen (2013:1164) om elektroniska vägtullssystem ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 §
En betalningsförmedlare ska
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt personuppgiftslagen
(1998:204),
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt Europaparlamentets
och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),
2. informera väganvändarna om sin täckning enligt 6 § och eventuella förändringar av den,
3. vid behov förse de väganvändare med vilka avtal om förmedling av vägtull har träffats med fordonsutrustning som uppfyller föreskrivna tekniska krav och visa att utrustningen uppfyller kraven,
4. tillhandahålla lämpliga tjänster och tekniskt stöd för anpassning av fordonsutrustning,
5. ansvara för de fasta parametrar för klassificering av ett fordon som är lagrade i fordonsutrustningen eller hos betalningsförmedlaren,
6. se till att variabla parametrar för klassificering av ett fordon kan ställas in manuellt genom fordonsutrustningen,
Författningsförslag Ds 2017:28
7. föra en förteckning över fordonsutrustning som inte längre är godkänd och som hänför sig till ett avtal mellan förmedlaren och en väganvändare,
8. offentliggöra sina villkor för att träffa avtal med en väganvändare, och
9. samarbeta med avgiftsupptagare vid indrivning av vägtullar.
25 §
I fråga om behandling av personuppgifter finns bestämmelser i personuppgiftslagen (1998:204).
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig enligt per-
sonuppgiftslagen för den behand-
ling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig enligt per-
sonuppgiftslagen för den behand-
ling av personuppgifter som verksamheten innebär.
I fråga om behandling av personuppgifter finns bestämmelser i Europaparlamentets och rådets
förordning (EU) 2016/679 och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
26 §
Den myndighet som regeringen bestämmer ska föra ett register över vägtullsområden och betalningsförmedlare (vägtullsregistret).
Den myndighet som avses i första stycket är personuppgiftsansvarig för registret enligt
personuppgiftslagen (1998:204) .
Den myndighet som avses i första stycket är personuppgiftsansvarig för behandling av
personuppgifter i registret.
Ds 2017:28 Författningsförslag
28 §
Den myndighet som regeringen bestämmer utövar tillsyn över att avgiftsupptagare på enskild väg och betalningsförmedlare följer denna lag och föreskrifter som har meddelats i anslutning till lagen samt över att den tekniska utrustningen i ett vägtullssystem uppfyller föreskrivna krav.
I personuppgiftslagen (1998:204) finns bestämmelser
om tillsyn över behandlingen av personuppgifter.
I Europaparlamentets och rådets förordning (EU) 2016/679 och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning finns
bestämmelser om tillsyn över behandlingen av personuppgifter.
Denna lag träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.11. Förslag till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg
Härigenom föreskrivs att 18 § lagen (2014:52) om infrastrukturavgifter på väg ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
18 §9
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig enligt personupp-
giftslagen (1998:204) för den be-
handling av personuppgifter som verksamheten innebär.
Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
I fråga om infrastrukturavgifter på vägar som avses i 1 § första stycket 1 finns bestämmelser om personuppgiftsansvar i lagen (2001:558) om vägtrafikregister.
Denna lag träder i kraft den 25 maj 2018.
9 Senaste lydelse 2014:1561.
Ds 2017:28 Författningsförslag
1.12. Förslag till förordning om ändring i patentkungörelsen (1967:838)
Härigenom föreskrivs i fråga om patentkungörelsen (1967:838)10
dels att 38 f § och 38 g § ska upphöra att gälla,
dels att 38 c § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
38 c §11
Patentverket är personuppgiftsansvarig enligt personupp-
giftslagen (1998:204) för de
register som avses i 38 §.
Patentverket är personuppgiftsansvarig för behandling av
personuppgifter i de register som
avses i 38 §.
Denna förordning träder i kraft den 25 maj 2018.
10 Senaste lydelse av 38 f § 2001:774 38 g § 2001:77. 11 Senaste lydelse 2007:1120.
Författningsförslag Ds 2017:28
1.13. Förslag till förordning om ändring i mönsterskyddsförordningen (1970:486)
Härigenom föreskrivs i fråga om mönsterskyddsförordningen (1970:486)12
dels att 20 e § och 20 f § ska upphöra att gälla,
dels att 20 b § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
20 b §13
Registreringsmyndigheten är personuppgiftsansvarig enligt per-
sonuppgiftslagen (1998:204) för
mönsterregistret och det diarium som avses i 6 §.
Registreringsmyndigheten är personuppgiftsansvarig för be-
handlingen av personuppgifter i
mönsterregistret och i det diarium som avses i 6 §.
Denna förordning träder i kraft den 25 maj 2018.
12 Senaste lydelse av 20 e § 2001:776 20 f § 2001:776. 13 Senaste lydelse 2001:776.
Ds 2017:28 Författningsförslag
1.14. Förslag till förordning om ändring i handelsregisterförordningen (1974:188)
Härigenom föreskrivs i fråga om handelsregisterförordningen (1974:188)14
dels att 1 e § ska upphöra att gälla,
dels att 1 a, 1 b, 1 f, 1g och 1 h §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 a §15
Handelsregistret skall ge offentlighet åt den information som ingår i registret.
I fråga om personuppgifter
skall registret ha till ändamål att
tillhandahålla uppgifter för
Handelsregistret ska ge offentlighet åt den information som ingår i registret.
I fråga om personuppgifter
ska registret ha till ändamål att
tillhandahålla uppgifter för
1. affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där företagsanknuten information utgör underlag för prövningar eller beslut,
2. förvärv, avyttring eller förvaltning av företag som registreras i handelsregistret,
3. aktualisering, komplettering eller kontroll av företagsanknuten information som finns i kund- eller medlemsregister eller liknande register,
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-
uppgiftslagen (1998:204), eller
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2
och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria
14 Senaste lydelse 2001:930. 15 Senaste lydelse 2001:930.
Författningsförslag Ds 2017:28
flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),
eller
5. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och
a) som avser näringsidkare som registreras i handelsregistret,
b) som för att kunna utföras förutsätter tillgång till företagsanknuten information, eller
c) som avser fullgörande av underrättelseskyldighet.
1 b §16
Registreringsmyndigheten är personuppgiftsansvarig enligt per-
sonuppgiftslagen (1998:204) för
handelsregistret.
Registreringsmyndigheten är personuppgiftsansvarig för be-
handlingen av personuppgifter i
handelsregistret.
1 f §17
I fråga om rättelse av personuppgifter i handelsregistret tillämpas 26 § förvaltningslagen (1986:223)i stället för 28 § per-
I fråga om rättelse av personuppgifter i handelsregistret tillämpas 26 § förvaltningslagen (1986:223) i stället för artikel 16
i Europaparlamentets och rådets förordning (EU) 2016/679.
1g §18
Information som ska lämnas
enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta
uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta
Information som ska lämnas enligt artikel 15 i Europaparla-
mentets och rådets förordning (EU) 2016/679 behöver inte
omfatta uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det,
16 Senaste lydelse 2001:930. 17 Senaste lydelse 2001:930. 18 Senaste lydelse 2008:108.
Ds 2017:28 Författningsförslag
uppgift i en sådan handling.
Om informationen inte inne-
håller uppgift i en sådan hand-
ling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.
ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen saknar en uppgift som finns i en sådan handling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.
1h §19
Att beslut om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol följer av 22 a § förvaltningslagen (1986:223) .
Rätten till begränsning av behandling av personuppgifter enligt artikel 18 i Europaparlamentets och rådets förordning (EU) 2016/679 gäller inte behandlingen av personuppgifter i registret.
Denna förordning träder i kraft den 25 maj 2018.
19 Senaste lydelse 2008:108.
Författningsförslag Ds 2017:28
1.15. Förslag till förordning om ändring i förordningen (1977:945) om trädgårdsväxters sundhet, sortäkthet och kvalitet
Härigenom föreskrivs att 3 c § förordningen (1977:945) om trädgårdsväxters sundhet, sortäkthet och kvalitet ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 c §20
Personuppgiftslagen (1998:204) gäller utöver denna förordning vid behandling av personuppgifter i registret.
Jordbruksverket är personuppgiftsansvarigt för registret.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna förordning innehåller kompletterande bestämmelser om sådan behandling. Utöver vad som följer av denna förordning, gäller vid behandling av personuppgifter i registret även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Jordbruksverket är personuppgiftsansvarigt för behandling-
en av personuppgifter i registret.
Denna förordning träder i kraft den 25 maj 2018.
20 Senaste lydelse 2016:1182.
Ds 2017:28 Författningsförslag
1.16. Förslag till förordning om ändring i förordningen (1980:789) om åtgärder mot förorening från fartyg
Härigenom föreskrivs att 9 kap. 12 § förordningen (1980:789) om åtgärder mot förorening från fartyg ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 kap.
12 §21
Om det följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller annars är skyldigt att följa, får en flaggstatsrapport eller annan underrättelse till följd av ett brott enligt lagen (1980:424) om åtgärder mot förorening från fartyg utan
hinder 33 § personuppgiftslagen (1998:204) sändas till en ut-
ländsk myndighet eller en mellanfolklig organisation.
Om det följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller annars är skyldigt att följa, får en flaggstatsrapport eller annan underrättelse till följd av ett brott enligt lagen (1980:424) om åtgärder mot förorening från fartyg sändas till en utländsk myndighet eller en mellanfolklig organisation.
Denna förordning träder i kraft den 25 maj 2018.
21 Senaste lydelse 2001:1292.
Författningsförslag Ds 2017:28
1.17. Förslag till förordning om ändring i jaktförordningen (1987:905)
Härigenom föreskrivs att 52 h § jaktförordningen (1987:905) ska upphöra att gälla.22
Denna förordning träder i kraft den 25 maj 2018.
22 Senaste lydelse 2000:1216.
Ds 2017:28 Författningsförslag
1.18. Förslag till förordning om ändring i förordningen (1992:308) om utländska filialer m.m.
Härigenom föreskrivs i fråga om förordningen (1992:308) om utländska filialer m.m.23
dels att 13 e och 13 g §§ ska upphöra att gälla, dels att 13 a, 13 b och 13 f §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
13 a §24
Filialregistret skall ge offentlighet åt den information som ingår i registret.
I fråga om personuppgifter
skall registret ha till ändamål att
tillhandahålla uppgifter för
Filialregistret ska ge offentlighet åt den information som ingår i registret.
I fråga om personuppgifter
ska registret ha till ändamål att
tillhandahålla uppgifter för
1. affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där företagsanknuten information utgör underlag för prövningar eller beslut,
2. förvärv, avyttring eller förvaltning av företag som registreras i filialregistret,
3. aktualisering, komplettering eller kontroll av företagsanknuten information som finns i kund- eller medlemsregister eller liknande register,
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-
uppgiftslagen (1998:204), eller
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2
och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende
23 Senaste lydelse av 13 e § 2001:931 13 g § 2008:109. 24 Senaste lydelse 2001:931.
Författningsförslag Ds 2017:28
på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), eller
5. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och
a) som avser filialer som registreras i filialregistret,
b) som för att kunna utföras förutsätter tillgång till företagsanknuten information, eller
c) som avser fullgörande av underrättelseskyldighet.
13 b §25
Registreringsmyndigheten är personuppgiftsansvarig enligt per-
sonuppgiftslagen (1998:204) för
filialregistret.
Registreringsmyndigheten är personuppgiftsansvarig för be-
handlingen av personuppgifter i
filialregistret.
13 f §26
Information som ska lämnas enligt 26 § personuppgiftslagen
(1998:204) behöver inte omfatta
uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen inte inne-
håller uppgift i en sådan hand-
ling som avses i första stycket,
Information som ska lämnas enligt artikel 15 i Europaparla-
mentets och rådets förordning (EU) 2016/679 behöver inte
omfatta uppgift i en handling som har kommit in till registreringsmyndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen saknar en
uppgift som finns i en sådan hand-
ling som avses i första stycket,
25 Senaste lydelse 2001:931. 26 Senaste lydelse 2008:109.
Ds 2017:28 Författningsförslag
ska det framgå av informationen att handlingen behandlas av myndigheten.
ska det framgå av informationen att handlingen behandlas av myndigheten.
Denna förordning träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.19. Förslag till förordning om ändring i förordningen (1993:1270) om förande av samfällighetsföreningsregister
Härigenom föreskrivs att 13 § förordningen (1993:1270) om förande av samfällighetsföreningsregister ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
13 §
För registerutdrag får tas ut avgift enligt bestämmelserna i 20– 24 §§avgiftsförordningen (1992:191), varvid avgiftsklass A tillämpas. För utdrag som expedieras i registreringsärende får ingen avgift tas.
Avgift enligt första stycket skall inte tas ut för en underrättelse enligt 10 § datalagen (1973:289) .
I Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) finns bestämmelser om avgiftsfri information vid behandling av personuppgifter.
Denna förordning träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.20. Förslag till förordning om ändring i utsädesförordningen (2000:1330)
Härigenom föreskrivs att 20 c § utsädesförordningen (2000:1330) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
20 c §27
Personuppgiftslagen (1998:204) gäller utöver denna förordning när personuppgifter behandlas i registret.
Jordbruksverket är personuppgiftsansvarigt för registret.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna förordning innehåller kompletterande bestämmelser om sådan behandling. Utöver denna förordning, gäller vid behandling av personuppgifter i registret även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Jordbruksverket är personuppgiftsansvarigt för behandling
av personuppgifter i registret.
Denna förordning träder i kraft den 25 maj 2018.
27 Senaste lydelse 2016:1181.
Författningsförslag Ds 2017:28
1.21. Förslag till förordning om ändring i vägmärkesförordningen (2007:90)
Härigenom föreskrivs att 2 kap.12 §vägmärkesförordningen (2007:90) ska ha följande lydelse.
Nuvarande lydelse
2 kap.
12 §28
Anvisningsmärken är följande. Märke Närmare föreskrifter – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
E24 Automatisk trafikövervakning
Märket anger att automatisk övervakning med kamera eller motsvarande sker på en plats eller vägsträcka för övervakning av trafikregler, beskattning eller avgiftsbeläggning. Märket anger vidare att personuppgifter kan registreras enligt personuppgifts-
lagen (1998:201), lagen
(2001:558) om vägtrafikregister eller annan registerlag. Gäller anvisningen en längre vägsträcka, anges sträckans längd på tilläggstavla T1, vägsträckas längd. Märket upprepas på lämpliga avstånd.
Föreslagen lydelse
E24 Automatisk trafikövervakning
Märket anger att automatisk övervakning med kamera eller motsvarande sker på en plats
28 Senaste lydelse 2008:1180.
Ds 2017:28 Författningsförslag
eller vägsträcka för övervakning av trafikregler, beskattning eller avgiftsbeläggning. Märket anger vidare att personuppgifter kan registreras enligt Europaparla-
mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning, lagen
(2001:558) om vägtrafikregister eller annan registerlag. Gäller anvisningen en längre vägsträcka, anges sträckans längd på tilläggstavla T1, vägsträckas längd. Märket upprepas på lämpliga avstånd.
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Denna förordning träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.22. Förslag till förordning om ändring i förordningen (2007:951) med instruktion för Post- och telestyrelsen
Härigenom föreskrivs att 13 § förordningen (2007:951) med instruktion för Post- och telestyrelsen ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
13 §29
Post- och telestyrelsen får, med de begränsningar som följer av personuppgiftslagen (1998:204)och offentlighets- och sekretesslagen (2009:400), till myndigheter och enskilda sälja uppgifter ur Post- och telestyrelsens frekvens- och tillståndsregister.
Post- och telestyrelsen får, med de begränsningar som följer av Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning
och offentlighets- och sekretesslagen (2009:400), till myndigheter och enskilda sälja uppgifter ur Post- och telestyrelsens frekvens- och tillståndsregister.
Uppgifterna får lämnas ut via terminal, på medium för automatisk databehandling eller på annat sätt. Grunderna för prissättningen beslutas av Post- och telestyrelsen.
Uppgifter som avser den registrerades personliga förhållanden får inte säljas, om de kan antas utgöra ett hot mot den registrerades personliga integritet. Om den registrerade har anmält till Post- och
29 Senaste lydelse 2014:8.
Ds 2017:28 Författningsförslag
telestyrelsen att han eller hon önskar att uppgifterna inte används för direktreklam, får de inte säljas för det ändamålet.
Denna förordning träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.23. Förslag till förordning om ändring i förordningen (2007:1110) med instruktion för Bolagsverket
Härigenom föreskrivs att 7 § förordningen (2007:1110) med instruktion för Bolagsverket ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 §30
Bolagsverket får till en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet föra över personuppgifter i den utsträckning uppgifterna ingår i verkets
1. aktiebolagsregister,
2. handelsregister,
3. föreningsregister,
4. filialregister,
5. EEIG-register,
6. företagsinteckningsregister,
7. europabolagsregister,
8. europakooperativsregister,
9. bankregister, 10. försäkringsregister, 11. register över anknutna ombud enligt lagen (2007:528) om värdepappersmarknaden, 12. inteckningsbrevsregister, 13. register över verksamhetsutövare enligt 6 kap. 3 § lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism, eller 14. register över europeiska grupperingar för territoriellt samarbete.
En överföring av personuppgifter enligt första stycket får endast ske om den är förenlig med artikel 49.2 i Europaparlamentets och rådets förordning (EU)
30 Senaste lydelse 2009:706.
Ds 2017:28 Författningsförslag
2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Denna förordning träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.24. Förslag till förordning om ändring i förordningen (2007:1111) med instruktion för Patent- och registreringsverket
Härigenom föreskrivs att 4 § förordningen (2007:1111) med instruktion för Patent- och registreringsverket ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 §31
Patent- och registreringsverket får till en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet föra över personuppgifter i den utsträckning uppgifterna ingår i patent-, varumärkes- eller mönsterdokumentation som
1. utgör allmän handling hos verket, eller
2. ingår i verkets
a) patentregister eller diarium enligt 7 § patentkungörelsen (1967:838),
b) varumärkesregister eller diarium enligt 1 kap. 1 § andra stycket varumärkesförordningen (2011:594),
c) mönsterregister eller diarium enligt 6 § mönsterskyddsförordningen (1970:486), eller
d) register över periodiska skrifter.
En överföring av personuppgifter enligt första stycket får endast ske om den är förenlig med artikel 49.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upp-
31 Senaste lydelse 2011:601.
Ds 2017:28 Författningsförslag
hävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Denna förordning träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.25. Förslag till förordning om ändring i förordningen (2009:620) om djurskyddskontrollregister
Härigenom föreskrivs att 8 § förordningen (2009:620) om djurskyddskontrollregister ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 §
Jordbruksverket får efter samråd med Riksarkivet meddela föreskrifter, eller i det enskilda fallet besluta, om att personuppgifter ska gallras senast vid en viss tidpunkt.
Riksarkivet får dock meddela föreskrifter om att personuppgifter får bevaras för historiska,
statistiska och vetenskapliga ändamål.
Riksarkivet får dock meddela föreskrifter om att personuppgifter får bevaras för arkivända-
mål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Denna förordning träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.26. Förslag till förordning om ändring i förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete
Härigenom föreskrivs i fråga om förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete att 3, 4, 7, 8 och 9 §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §
Registret ska ge offentlighet åt den information som ingår i registret.
I fråga om personuppgifter ska registret ha till ändamål att tillhandahålla uppgifter för
1. affärsverksamhet, kreditgivning eller annan allmän eller enskild verksamhet där den information som ingår i registret utgör underlag för prövningar eller beslut,
2. förvaltning av grupperingar som registreras i registret,
3. aktualisering, komplettering eller kontroll av information som finns i kund- eller medlemsregister eller liknande register,
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av 11 § person-
uppgiftslagen (1998:204), eller
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2
och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), eller
5. verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning och
Författningsförslag Ds 2017:28
a) som avser grupperingar som registreras i registret,
b) som för att kunna utföras förutsätter tillgång till information som ingår i registret, eller
c) som avser fullgörande av underrättelseskyldighet.
4 §
Bolagsverket är personuppgiftsansvarigt enligt personupp-
giftslagen (1998:204) för registret.
Bolagsverket är personuppgiftsansvarigt för behandlingen
av personuppgifter i registret.
7 §
Information som ska lämnas enligt 26 § personuppgiftslagen
(1998:204) behöver inte omfatta
uppgift i en handling som har kommit in till Bolagsverket, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen inte inne-
håller uppgift i en sådan handling
som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.
Information som ska lämnas enligt artikel 15 i Europaparla-
mentets och rådets förordning (EU) 2016/679 behöver inte om-
fatta uppgift i en handling som har kommit in till Bolagsverket, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling.
Om informationen saknar en
uppgift som finns i en sådan hand-
ling som avses i första stycket, ska det framgå av informationen att handlingen behandlas av myndigheten.
8 §
Bestämmelserna i 48 § personuppgiftslagen (1998:204) om skadestånd gäller vid behandling av personuppgifter enligt denna förordning.
Rätten till begränsning av behandling av personuppgifter enligt artikel 18 i Europaparlamentets och rådets förordning (EU) 2016/679 gäller inte vid behandlingen av personuppgifter i registret.
Ds 2017:28 Författningsförslag
9 §
I fråga om rättelse av personuppgifter i registret tillämpas 26 § förvaltningslagen (1986:223) i stället för 28 § personuppgifts-
lagen (1998:204).
I fråga om rättelse av personuppgifter i registret tillämpas 26 § förvaltningslagen i stället för artikel 16 i Europaparlamen-
tets och rådets förordning (EU) 2016/679.
Denna förordning träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.27. Förslag till förordning om ändring i förordningen (2010:1053) om auktorisation av patentombud
Härigenom föreskrivs i fråga om förordningen (2010:1053) om auktorisation av patentombud
dels att 12 § ska upphöra att gälla,
dels 11 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
11 §
Patentombudsnämnden är personuppgiftsansvarig enligt person-
uppgiftslagen (1998:204) för re-
gistret.
Patentombudsnämnden är personuppgiftsansvarig för behand-
lingen av personuppgifter i re-
gistret.
Denna förordning träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.28. Förslag till förordning om ändring i varumärkesförordningen (2011:594)
Härigenom föreskrivs i fråga om varumärkesförordningen (2011:594)
dels att 1 kap. 6 § ska upphöra att gälla,
dels att 1 kap. 3 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
3 §
Patent- och registreringsverket är personuppgiftsansvarigt en-
ligt personuppgiftslagen (1998:204)
för varumärkesregistret och diariet över varumärkesärenden.
Patent- och registreringsverket är personuppgiftsansvarigt för
behandlingen av personuppgifter i
varumärkesregistret och i diariet över varumärkesärenden.
Denna förordning träder i kraft den 25 maj 2018.
Författningsförslag Ds 2017:28
1.29. Förslag till förordning om ändring i förordningen (2011:728) om behörighet för lokförare
Härigenom föreskrivs att 6 § förordningen (2011:728) om behörighet för lokförare ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Den som för ett register som avses i lagen (2011:725) om behörighet för lokförare får besluta att personuppgifter som behandlas i registret ska bevaras för
historiska, statistiska eller vetenskapliga ändamål trots att upp-
gifterna skulle ha gallrats enligt 4 kap. 5 § lagen om behörighet för lokförare eller enligt föreskrifter meddelade i anslutning till den lagen.
Den som för ett register som avses i lagen (2011:725) om behörighet för lokförare får besluta att personuppgifter som behandlas i registret ska bevaras för
arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål trots att uppgifterna
skulle ha gallrats enligt 4 kap. 5 § lagen om behörighet för lokförare eller enligt föreskrifter meddelade i anslutning till den lagen.
Denna förordning träder i kraft den 25 maj 2018.
Ds 2017:28 Författningsförslag
1.30. Förslag till förordning om ändring i förordningen (2014:836) om näringsförbud
Härigenom föreskrivs i fråga om förordningen (2014:836) om näringsförbud
dels att 17 § och 18 § ska upphöra att gälla,
dels att 7 § och 16 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 §
Näringsförbudsregistret förs med hjälp av automatiserad behandling och används för
1. samordnad registrering av och information om meddelade näringsförbud och tillfälliga näringsförbud,
2. framställning för intyg och registerutdrag,
3. framställning av bevis om meddelade näringsförbud och tillfälliga näringsförbud samt bevis om frihet från näringsförbud, och
4. underrättelser enligt 12 §. Bolagsverket är personuppgiftsansvarigt enligt personupp-
giftslagen (1998:204) för behand-
ling av personuppgifter i näringsförbudsregistret.
Bolagsverket är personuppgiftsansvarigt för behandling av personuppgifter i näringsförbudsregistret.
Bolagsverket ska se till att det inte uppkommer otillbörligt intrång i de registrerades personliga integritet eller risker från säkerhetssynpunkt. För dessa syften får verket i enskilda fall ställa upp särskilda villkor för behandlingen av personuppgifter.
16 §
Bolagsverket får för de ändamål som anges i 15 § och i den utsträckning det är förenligt med 33 § personuppgiftslagen (1998:204) medge direktåtkomst till näringsförbudsregistret.
Bolagsverket får medge direktåtkomst till näringsförbudsregistret för de ändamål som anges i 15 § och i den utsträckning det är förenligt med bestämmelserna om överföring av personuppgifter till tredjeländer eller internationella organisationer i Europaparlamen-
Författningsförslag Ds 2017:28
Endast en myndighet får dock medges direktåtkomst till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, om inte undantag från förbudet att behandla sådana uppgifter har meddelats med stöd av 21 § personuppgiftslagen (1998:204) .
tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
En myndighet får medges direktåtkomst till personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel. Andra än myndigheter får endast medges direktåtkomst till sådana personuppgifter om behandlingen är tillåten enligt 3 kap. 10 eller 12 §§ lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Denna förordning träder i kraft den 25 maj 2018.
2. Utredningens uppdrag och arbete
2.1. Bakgrund
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet har huvudsakligen införlivats i svensk rätt genom personuppgiftslagen (1998:204), vars syfte är att skydda fysiska personer mot att deras personliga integritet kränks genom behandling av personuppgifter. Till skillnad från dataskyddsdirektivet är personuppgiftslagen tillämplig på personuppgiftsbehandling även utanför EU-rättens område. Lagen är dessutom subsidiär, vilket innebär att bestämmelserna inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Sådana bestämmelser som kompletterar den generella regleringen om behandling av personuppgifter i personuppgiftslagen finns traditionellt i svensk rätt i s.k. registerförfattningar eller andra sektorsspecifika författningar.
Som en del av EU:s dataskyddsreform antogs den 27 april 2016 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning). I promemorian kommer den att benämnas dataskyddsförordningen.1 Dataskyddsförordningen utgör en generell reglering
1 Som en del i dataskyddsreformen inom EU antogs samtidigt även ett separat direktiv som är anpassat efter de förutsättningar som gäller på det brottsbekämpande området. Direktivet ersätter rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet). Hur det nya dataskyddsdirektivet ska genomföras i svensk rätt behandlas i SOU 2017:29.
Utredningens uppdrag och arbete Ds 2017:28
för personuppgiftsbehandling inom EU och ersätter dataskyddsdirektivet när den ska börja tillämpas den 25 maj 2018. Det huvudsakliga syftet med dataskyddsförordningen är att ytterligare harmonisera och effektivisera behandlingen av personuppgifter inom unionen för att förbättra den fria rörligheten av personuppgifter på den inre marknaden och öka skyddet för fysiska personer.
I förhållande till dataskyddsdirektivet och personuppgiftslagen innebär dataskyddsförordningen en rad nyheter. Exempel på nyheter är utökade rättigheter för den registrerade att kontrollera behandling av personuppgifter och ändringar avseende tillsyn och sanktioner. Dataskyddsförordningen är direkt tillämplig i svensk rätt och innebär att personuppgiftslagen, personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter måste upphävas. Dataskyddsförordningen förutsätter i vissa fall, och möjliggör i andra fall, att medlemsstaterna i den nationella rätten inför eller behåller kompletterande bestämmelser av olika slag vid anpassningen till den nya förordningen.
Eftersom dataskyddsförordningen behöver kompletteras med nationella regler har regeringen tillsatt en utredning (Dataskyddsutredningen, SOU 2017:39) som har haft i uppdrag att ta fram en generell reglering. Dataskyddsutredningens förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, kallas i promemorian för dataskyddslagen. Dataskyddsutredningen har bl.a. haft i uppdrag att undersöka vilka kompletterande nationella föreskrifter, exempelvis processuella bestämmelser som dataskyddsförordningen kräver, överväga vilka kompletterande bestämmelser om behandling av känsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen och undersöka om det finns behov av generella bestämmelser om personuppgiftsbehandling utanför EU-rättens tillämpningsområde. Det ingick inte i Dataskyddsutredningens uppdrag att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.2 Det finns därmed ett behov av att se över befintliga registerförfattningar och andra sektors- eller myndighetsspecifika lagar och förordningar som utöver personuppgiftslagen innehåller bestämmelser om behandling av personuppgifter och som berörs av dataskydds-
2SOU 2017:39 s. 77 och dir. 2016:15.
Ds 2017:28 Utredningens uppdrag och arbete
förordningens tillämpningsområde. En rad olika utredningar har därför, inom olika områden, tillsatts för att analysera konsekvenserna av EU:s dataskyddsreform och anpassa sådana författningar till dataskyddsförordningens införande och personuppgiftslagens upphävande. Inom Näringsdepartementets verksamhetsområde finns det ett antal lagar och förordningar som innehåller bestämmelser om personuppgiftsbehandling av olika slag eller hänvisningar till personuppgiftslagen och som samlat behöver ses över för att bl.a. se vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling.
2.2. Uppdragets omfattning och avgränsning
I uppdraget ingår att utifrån dataskyddsförordningen och upphävandet av den gällande nationella regleringen undersöka vilka konsekvenser det medför i fråga om personuppgiftsbehandling inom Näringsdepartementets verksamhetsområde.3
Inom departementets verksamhetsområde finns ett antal stora myndigheter som t.ex. Post- och telestyrelsen, Jordbruksverket, Lantmäteriet, Trafikverket, Sjöfartsverket, Luftfartsverket, Konkurrensverket, Livsmedelsverket, Boverket, Patent- och registreringsverket och Transportstyrelsen. Det finns även mindre myndigheter som Patentombudsnämnden.4 Inom verksamhetsområdet faller också en rad olika förvaltnings- och lagstiftningsärenden så som användningen av informationsteknik, elektronisk kommunikation, sjöfart, luftfart, konkurrens- och marknadsfrågor, jordbruk, skogsbruk, transport, utsädeskontroll, växtskydd, patent, skydd för varumärken, mönster och rennäring.
De aktuella myndigheterna har inte sällan att inom ramen för sin verksamhet tillämpa olika författningar som sorterar under olika departement. Bolagsverket är exempelvis en myndighet under Näringsdepartementets verksamhetsområde som vid hanteringen av personuppgifter i särskilda register tillämpar särreglering i förhållande till
3 Uppdraget framgår av bilaga 1. 4 Jfr förordningen (1996:1515) med instruktion för Regeringskansliet.
Utredningens uppdrag och arbete Ds 2017:28
personuppgiftslagen som faller in under olika departement.5 Denna promemoria tar endast upp de konsekvenser och de rättsliga förändringar som dataskyddsförordningen och personuppgiftslagens upphävande medför inom verksamhetsområdet med utgångspunkt och fokus på de författningar som tillhör Näringsdepartementet.
Uppdraget omfattar inte att analysera de sektorsspecifika författningarna inom verksamhetsområdet utifrån det nya dataskyddsdirektivet om brottsbekämpande verksamhet. Inte heller ingår det i uppdraget att anpassa författningarna efter andra rättsakter än dataskyddsförordningen eller att se över tillsynsfrågor över den personliga integriteten som aktualiseras med anledning av dataskyddsförordningen. Dataskyddsutredningen har utrett i vilken utsträckning det behövs kompletterande bestämmelser om utövandet av tillsynsmyndighetens befogenheter. Själva utövandet av dessa befogenheter har behandlats av Utredningen om tillsynen över den personliga integriteten i betänkandet SOU 2016:65. I SOU 2016:65 behandlas bl.a. tillsynsansvaret över bestämmelserna i lagen (2003:389) om elektronisk kommunikation, lagen (2006:24) om nationella toppdomäner för Sverige på Internet och lagen (2011:725) om behörighet för lokförare. Det är Post- och telestyrelsen respektive Transportstyrelsen som utövar tillsyn i dessa fall. Anpassning av tillsynsregler och av tillsynsmyndigheternas befogenheter lämnas med hänvisning till de tidigare utredningarna utanför översynen i denna promemoria.
2.3. Utredningens arbete
Författningsinventering
Promemorian är främst en lagteknisk översyn av de gällande författningar som tillhör Näringsdepartementets verksamhetsområde. En av departementet tillhandahållen författningslista utgör basen för den författningsinventering som gjorts. Den sökmetod som har använts för att genomsöka författningarna och finna bestämmelser om personuppgiftsbehandling och dataskyddsrättslig reglering har
5 Jfr exempelvis handelsregisterlagen (1974:157) och aktiebolagsförordningen (2005:559) som tillhör Justitiedepartementets ansvarsområde och handelsregisterförordningen (1974:188) som tillhör Näringsdepartementet.
Ds 2017:28 Utredningens uppdrag och arbete
utgått från en juridisk databas med slagning på sökord. De sökord som använts är bl.a. ”register”, ”personuppgiftslagen”, ”personuppgift”, ”direktåtkomst”, ”direkt marknadsföring”, ”personnummer”, ”automatiserad”, ”elektronisk” och ”tredjeland”. Även om en sökning har gjorts i varje författning på sökord som vanligen kan relateras till den typ av reglering som avses, kan det inte uteslutas att det på grund av en bestämmelses utformning finns reglering i de genomsökta författningarna som inte påträffats. Det kan inte heller uteslutas att det finns ytterligare författningar som faller under verksamhetsområdet än de som ingått i inventeringen. Listan över vilka författningar som omfattats av författningsinventeringen finns i bilaga 2. Listan är sorterad efter SFS-nummer.
De lagar och förordningar som innehåller bestämmelser om behandling av personuppgifter, förande av register och annan typ av reglering med inslag av dataskyddsbestämmelser har under arbetets gång samlats och sorterats utifrån liknande lagtekniska formuleringar. De bortsorterade författningarna är sådana som inte innehåller några bestämmelser om personuppgiftsbehandling och som inte heller innehåller någon annan form av dataskyddsreglering. Alla författningarna som anges i bilagan är således inte relevanta för översynen i promemorian.
Eftersom tyngdpunkten i denna utredning är anpassning av författningarna är en utgångspunkt att befintlig dataskyddsreglering bör behållas i den mån som dataskyddsförordningen tillåter en nationell reglering. De avvägningar som legat till grund för bestämmelserna och som är förenliga med dataskyddsförordningen bör därför som huvudprincip godtas. Det är rimligt att anta att en avvägning mellan behovet av att behandla en personuppgift på ett effektivt och rättsäkert sätt och rätten till skydd av personuppgifter i varje specifikt fall har skett i tidigare lagstiftningsarbete. Ett krav på proportionalitet mellan behovet av att behandla en personuppgift och intresset av skydd för personuppgifter gäller även enligt nuvarande dataskyddsreglering.
Vid anpassningen av befintlig reglering som avser behandling av personuppgifter inom verksamhetsområdet finns det inte anledning att frångå befintlig författningsteknik. Författningarna som är aktuella i denna översyn är uppbyggda på ett sådant sätt att de endast innehåller bestämmelser som kompletterar eller som avviker från per-
Utredningens uppdrag och arbete Ds 2017:28
sonuppgiftslagen. Anpassningen av författningarna kommer därmed att följa den metod som författningen utformats efter.
Det är emellertid inte bara författningsteknik som är varierande inom verksamhetsområdet utan även terminologin i författningarna är skiftande.6 Samordning av begrepp och definitioner kan emellertid inte ske enbart inom ett enskilt verksamhetsområde. Eftersom ändringar i terminologi dessutom skulle kunna innebära en materiell ändring föreslår jag inga ändringar av förekommande begrepp förutom där dataskyddsförordningens eller dataskyddslagens bestämmelser direkt kräver en anpassning av begreppet till det nya regelverket.
Kontakter
Utredningen har haft kontakt och samråd med tillsatta kommittéer och andra utredningar inom Regeringskansliet med uppdrag att utreda behandling av personuppgifter till följd av dataskyddsförordningen samt det nya dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. Kontakterna har bl.a. skett genom en informell samordningsgrupp. I den mån författningarna på författningslistan har anknytning till ett annat departement har samråd skett med den utredning avseende dataskydd som har tillsatts på området. Kontakt har också tagits med några av de myndigheter som berörs av de författningar som ligger inom Näringsdepartementets verksamhetsområde så som Transportstyrelsen, Post- och telestyrelsen och Bolagsverket.
Promemorians innehåll
Promemorian utgör inte en heltäckande genomgång av dataskyddsförordningens bestämmelser. Nedslag görs endast i de artiklar i dataskyddsförordningen som bedöms vara av betydelse för de författningar som finns inom verksamhetsområdet. För en mera fullständig genomgång hänvisas till Dataskyddsutredningens betänkande (SOU 2017:39). Där finns också dataskyddsförordningen
6 Jfr Informationshanteringsutredningens betänkande Myndighetsdatalag (SOU 2015:39) särskilt kapitel 4.
Ds 2017:28 Utredningens uppdrag och arbete
återgiven i sin helhet. Promemorian kan således läsas tillsammans med SOU 2017:39.
3. Utgångspunkter i gällande rätt
3.1. Internationell och EU-rättslig reglering om behandling av personuppgifter
3.1.1. FN
I FN:s allmänna förklaring om de mänskliga rättigheterna och i konventionen om medborgerliga och politiska rättigheter finns artiklar (12 respektive 17) om rätten till skydd av enskildas privata sfär mot intrång från andra. Av artikel 29 i den allmänna förklaringen om de mänskliga rättigheterna framgår vidare att en person vid utövandet av sina rättigheter och friheter endast får underkastas sådana inskränkningar som har fastställts i lag.
3.1.2. Europakonventionen
Europakonventionen till skydd för de mänskliga rättigheterna och grundläggande friheterna (Europakonventionen) gäller som lag i Sverige. Av artikel 8 framgår att var och en har rätt till respekt för privatliv, familjeliv, hem och korrespondens. Skyddet i artikel 8 är inte absolut utan kan inskränkas genom lag om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. En lag eller annan föreskrift får inte meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 § regeringsformen). Behandling av personuppgifter och skyddet för den personliga integriteten kan beroende på omständigheterna omfattas av skyddet i artikel 8. EU-domstolen har fastslagit att artikel 8 i Europakonventionen har betydelse vid
Utgångspunkter i gällande rätt Ds 2017:28
sidan av dataskyddsdirektivet vid bedömning av nationella regler som tillåter behandling av personuppgifter.1
3.1.3. Europarådets dataskyddskonvention
Bestämmelser om behandling av personuppgifter finns också i Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen. Samtliga medlemsstater inom EU har ratificerat konventionen som är bindande. Ett tilläggsprotokoll (ETS 181) till konventionen innehåller bestämmelser om överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet antogs år 2001. Konventionen innehåller grundläggande principer för dataskydd som de konventionsanslutna staterna ska beakta i sin nationella lagstiftning. Syftet med konventionen är att säkerställa rätten till personlig integritet vid databehandling av personuppgifter. Europarådet har även utfärdat ett antal sektorsvisa rekommendationer som inte är bindande för konventionsanslutna stater. Rekommendationerna avser bl.a. s.k. profilering och direkt marknadsföring.
3.1.4. OECD:s riktlinjer
Organisationen för ekonomiskt samarbete och utveckling, OECD, har utarbetat riktlinjer avseende integritetsskydd och persondataflöde. Riktlinjerna som antogs 1980 tillsammans med en rekommendation till medlemsländerna om att beakta riktlinjerna i nationell lagstiftning reviderades 2013. Syftet med riktlinjerna är att undvika de risker för personlig integritet och individens frihet som behandling av personuppgifter kan utgöra. Riktlinjerna är tillämpliga på personuppgiftsbehandling som sker i den privata så väl som den offentliga sektorn samt på uppgifter som lagras automatiskt och som förs manuellt.
1 Dom Österreichischer Rundfunk m.fl. C-465/00, C-138/01 och C-139/01, EU:C:2003:294.
Ds 2017:28 Utgångspunkter i gällande rätt
3.1.5. EU:s rättighetsstadga
Den Europeiska unionens stadga om de grundläggande rättigheterna (rättighetsstadgan) är en del av EU:s primärrätt och är bindande för EU:s institutioner och medlemsstater vid tillämpning av unionsrätten (artikel 61.1 Lissabonfördraget och artikel 51 rättighetsstadgan). I rättighetsstadgans artikel 8 anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Uppgifterna ska bl.a. behandlas lagenligt för bestämda ändamål och med lagenlig grund. Vidare har var och en rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. Denna grundläggande rättighet är nära anknuten till artikel 7 i samma stadga avseende rätten till respekt för privatlivet och familjelivet. Rätten till respekt för privatlivet vad avser behandling av personuppgifter omfattar varje uppgift som rör en fysisk person som är namngiven eller som på annat sätt kan identifieras.2 Av artikel 52 framgår att begränsningar i utövandet av de rättigheter och friheter som erkänns i stadgan ska vara föreskrivna i lag och förenliga med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får vidare, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
3.2. Nationell rätt
3.2.1. Regeringsformen
I 2 kap. 6 § andra stycket regeringsformen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får enligt 2 kap. 20 § regeringsformen under vissa förutsättningar göras genom lag.
2 Dom Volker und Markus Schecke GbR m.fl. C-92/09 och C-93/09 EU:C 2010:662.
Utgångspunkter i gällande rätt Ds 2017:28
3.2.2. Offentlighets- och sekretesslagen
Genom grundlagarna har varje svensk medborgare en principiell rätt att ta del av allmänna handlingar (2 kap. 1 § tryckfrihetsförordningen).3 Rätten att ta del av allmänna handlingar får begränsas bl.a. med hänsyn till skyddet för enskilds personliga eller ekonomiska förhållanden. En sådan begränsning ska anges i en bestämmelse i offentlighets- och sekretesslagen (2009:400), OSL, eller i en annan lag som offentlighets- och sekretesslagen hänvisar till (jfr 2 kap. 2 § tryckfrihetsförordningen). I offentlighets- och sekretesslagen finns en samlad reglering av sekretess för allmänna handlingar och tystnadsplikt i den offentliga sektorn. Många av de sekretessbestämmelser som skyddar enskildas personliga och ekonomiska förhållanden innebär också ett skydd för personuppgifter. I 21 kap. 7 § OSL finns en bestämmelse som kan hindra utlämnande av personuppgifter om det kan antas att ett utlämnande skulle medföra att dessa kommer att behandlas i strid med personuppgiftslagen. Offentlighets- och sekretesslagen innehåller vidare bl.a. bestämmelser avseende myndigheters utlämnande av uppgifter till andra myndigheter efter begäran (6 kap. 5 § OSL). I 10 kap. finns sekretessbrytande bestämmelser och undantag från sekretess (16–28 §§) avseende uppgiftslämnande som gäller till förmån för myndigheter.
3.2.3. Särskilda registerförfattningar och andra sektorsspecifika författningar
Personuppgiftslagen som enligt 2 § är subsidiär i förhållande till annan lag eller förordning innehåller generella bestämmelser som ska tillämpas av både myndigheter, privata organisationer och enskilda. Redan vid lagens tillkomst förutsattes att behov av undantag och precisering, i enlighet med svensk lagstiftningstradition, skulle tillgodoses genom särskilda registerförfattningar. Personuppgiftslagen kompletteras därför av ett stort antal registerförfattningar och dataskyddsreglering i andra sektorsspecifika författningar. Dessa innehåller bestämmelser bl.a. om hur statliga och kommunala myndigheter får behandla personuppgifter. Det huvudsakliga syftet med
3 Jfr RÅ 2003 ref. 83 och 14 kap. 5 § tryckfrihetsförordningen. Samma rätt finns även för utländska medborgare.
Ds 2017:28 Utgångspunkter i gällande rätt
sådana författningar har traditionellt varit att reglera inrättandet och användningen av stora register eller andra omfattande samlingar av personuppgifter i den offentliga sektorn. Vid införandet av personuppgiftslagen ansåg regeringen att det inte fanns anledning att avvika från systemet med särregler i särskilda författningar och att reglering av myndighetsregister med ett stort antal registrerade och känsligt innehåll alltjämt bör regleras i lag.4 Av Dataskyddsutredningens utredningsdirektiv framgår att regeringen i vart fall för närvarande har för avsikt att behålla den traditionella regleringen med en generell lag som kompletteras med särskilda bestämmelser i registerförfattningar och andra sektorsspecifika författningar. Särregleringen får naturligtvis inte stå i strid med den EU-rättsliga regleringen eller med de internationella åtaganden som Sverige har.
Informationshanteringsutredningen (SOU 2015:39) har relativt nyligen gjort en övergripande genomgång av den svenska registerlagstiftningen som kompletterar personuppgiftslagen. De fann mer än ett hundratal författningar med olika lagteknisk utformning. Vissa av författningarna har utredningen bedömt som s.k. renodlade registerförfattningar: Andra har sorterats som informationshanteringsförfattningar med övergripande funktion att utöver eller i stället för personuppgiftslagen särreglera personuppgiftsbehandling i vissa verksamheter. Den tredje kategorin av författningar som utredningen identifierat syftar egentligen inte till att reglera förandet av ett visst register eller annan behandling av personuppgifter utan innehåller endast något eller några inslag av dataskydd och utgör således i den egenskapen en särreglering i förhållande till personuppgiftslagen. Sådan reglering kan t.ex. gälla förandet av ett visst register. Utredningen konstaterar att registerförfattningarna, som tidigare varit föremål för kritik, är ett komplext och svåröverskådligt område bl.a. med hänsyn till att vissa författningar inte låter sig sorteras in i en kategori.5
Inom Näringsdepartementets verksamhetsområde finns ett antal lagar och förordningar som innehåller bestämmelser om personuppgiftsbehandling. Det är olika varianter av specialregleringar som antingen kompletterar personuppgiftslagen eller ersätter lagens bestämmelser helt eller delvis. Det är dels fråga om särskilda registerförfatt-
4Prop. 1997/98:44 s. 41. 5SOU 2015:39 s. 96 ff.
Utgångspunkter i gällande rätt Ds 2017:28
ningar som reglerar hur myndigheter får behandla personuppgifter i ett visst register, dels andra författningar som primärt reglerar annat än personuppgiftsbehandling men som även innehåller inslag av dataskyddsbestämmelser.
En förekommande typ av författning inom verksamhetsområdet är sådana som reglerar s.k. publicitetsregister. Sådana register avser olika slags egendom, rättigheter eller behörigheter som patent eller bolag. I dessa fall är det främst fråga om register med givna ändamål att förse allmänheten med information som preciserats i författningen. I publicitetsregistren spelar den dataskyddande regleringen inte någon framträdande roll i jämförelse med den reglering som bestämmelserna i övrigt ger uttryck för bl.a. i fråga om anmälnings- eller ansökningsförfaranden och över vilka uppgifter som ska registreras i registret samt vilka rättsverkningar en registrering medför.6 Det förekommer dock såvitt avser behandling av personuppgifter att det i författningen finns bestämmelser om registrets ändamål, personuppgiftsansvar, sökbegränsningar, direktåtkomst, rättelse och skadestånd. Inom Näringsdepartementets verksamhetsområde kan i dessa sammanhang nämnas handelsregistret och varumärkesregistret samt myndigheter som Patent- och registeringsverket och Bolagsverket, vars verksamheter delvis är knutna till och regleras av registerförfattningar.
Vissa författningar innehåller enstaka eller flera bestämmelser till skydd för den personliga integriteten vid behandling av personuppgifter. Andra författningar anger endast att det ska föras ett register men saknar i övrigt helt dataskyddsbestämmelser om hur eventuella personuppgifter får behandlas. Det finns också exempel på författningar där den dataskyddsrättsliga regleringen av består av bestämmelser om it-system för elektronisk behandling av uppgifter vid ärendehanteringen utan att författningen anger om det kan vara fråga om personuppgifter (t.ex. förordning [2015:406] om stöd för landsbygdsutvecklingsåtgärder). I några författningar finns begränsningar av vem som inom en myndighet får ta del av uppgifter och hur de får sökas fram. Vidare innehåller en del författningar endast dataskyddsbestämmelser med innebörden att personuppgiftslagens bestämmelser om skadestånd och rättelse även gäller för behandling enligt den författningen. En annan variant är att det anges ett
6 Öman, 2006, Särskilda registerförfattningar, Festskrift till Peter Seipel s. 688.
Ds 2017:28 Utgångspunkter i gällande rätt
undantag från personuppgiftslagens grundläggande förbud mot överföring av personuppgifter till tredjeland. Det finns också myndigheter vars personuppgiftsbehandling vid ärendehantering och övrig verksamhet endast regleras genom personuppgiftslagen.
De författningar som tillhör Näringsdepartementets verksamhetsområde uppvisar sammanfattningsvis lagstiftningstekniskt vissa gemensamma drag även om strukturen på området inte är enhetlig. I följande avsnitt redogörs för de allmänna överväganden och förslag som dataskyddsförordningen och personuppgiftslagens upphävande generellt medför för regleringen om personuppgiftsbehandling inom verksamhetsområdet.
4. Grundläggande bestämmelser om behandling av personuppgifter
4.1. Inledande utgångspunkter för översynen
Den föreslagna dataskyddslagen kommer inte att utgöra en fullständig ersättning av regleringen i personuppgiftslagen och personuppgiftsförordningen, utan den huvudsakliga regleringen om behandling av personuppgifter kommer fortsättningsvis att finnas i dataskyddsförordningen. Den kompletterande dataskyddslagen föreslås bli subsidiär i förhållande till bestämmelser i annan lag eller förordning som rör behandling av personuppgifter och som avviker från lagen. Dataskyddslagen förtydligar och preciserar i vissa fall dataskyddsförordningens reglering och i andra fall gör den generella undantag från dataskyddsförordningens bestämmelser. Även om Dataskyddsutredningens lagförslag ännu inte har lett till någon lagstiftning finns det anledning att beakta de förslag som utredningen har lämnat vid anpassningen av de författningar som aktualiseras inom ramen för denna utredning. Bedömningarna och förslagen i promemorian tar därför utgångspunkt i den generella föreslagna regleringen i SOU 2017:39.
Skydd för den personliga integriteten finns också inom EU:s sektorsspecifika rättsakter. Ett sådant exempel är direktivet om integritet och elektronisk kommunikation1 som är avsett att precisera och komplettera bestämmelserna i dataskyddsdirektivet. Direktivet är bl.a. genomfört genom lagen (2003:389) om elektronisk kommunikation. Inom ramen för den digitala inre marknaden presenterade
1 Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
kommissionen i januari 2017 ett förslag till ny förordning om respekt för privatlivet och skydd av personuppgifter i elektronisk kommunikation (förordning om integritet och elektronisk kommunikation).2 Förslaget ska anpassa reglerna för elektronisk kommunikation till de standarder som fastställs i dataskyddsförordningen. Förslaget till förordning om integritet och elektronisk kommunikation kommer, om det antas, att ersätta direktivet om integritet och elektronisk kommunikation. Behovet av anpassningar till dataskyddsförordningen för bl.a. lagen om elektronisk kommunikation och förordningen (2003:396) om elektronisk kommunikation behandlas med hänsyn till det pågående översynsarbetet på unionsnivå särskilt i avsnitt 6.
4.2. Dataskyddsförordningens tillämpningsområde
4.2.1. Tillämpningsområdet för dataskyddsförordningen i förhållande till verksamhetsområdet
Dataskyddsdirektivet reglerar den allmänna behandlingen av personuppgifter inom EU med vissa undantag för sådana områden som faller utanför unionsrättens område, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Vilka verksamheter som omfattas av unionsrättens tillämpningsområde följer av fördragen och EU-domstolens praxis. Personuppgiftslagens tillämpningsområde är vidare än dataskyddsdirektivets. Lagen är generellt tillämplig, vilket innebär att den gäller även för sådan behandling som faller utanför dataskyddsdirektivets tillämpningsområde.
I svensk rätt har utgångspunkten varit att områden som inte omfattas av dataskyddsdirektivets tillämpningsområde så långt som möjligt ska vara i överensstämmelse med personuppgiftslagen. Därför har även vissa registerförfattningar och annan sektorslagstiftning ett vidare tillämpningsområde än vad dataskyddsdirektivet kräver. Vissa författningar omfattar verksamhet som faller utanför unionsrätten eller till exempel juridiska personer. Sådana särbestäm-
2 COM (2017) 10 final förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG.
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
melser har ofta föranletts av särskilda förhållanden i den reglerade verksamheten.3
Dataskyddsförordningens materiella tillämpningsområde avgränsas i artikel 2.2 i förordningen. I bestämmelsen räknas de behandlingar av personuppgifter som undantas från dataskyddsförordningens tillämpningsområde upp. Dataskyddsförordningen ska inte tillämpas på behandling av personuppgifter som utgör ett led i verksamhet som inte omfattas av unionsrätten, unionens gemensamma utrikes- och säkerhetspolitik, eller på behandling som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Den ska inte heller tillämpas på fysiska personers privata behandling av personuppgifter utan koppling till yrkes- eller affärsverksamhet.
Dataskyddsförordningen ska vidare inte påverka tillämpningen av direktiv 2000/31/EG4, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12–15 i det nämnda direktivet. Det sistnämnda undantaget hänvisar till det s.k. e-handelsdirektivet som huvudsakligen har införts i svensk rätt genom lagen (2002:562) om elektronisk handel och andra informationssamhällets tjänster.5
Dataskyddsutredningen föreslår en bestämmelse om materiellt tillämpningsområde som innebär att dataskyddsförordningen, i den ursprungliga lydelsen, och dataskyddslagen i tillämpliga delar även ska gälla vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (särskilda bestämmelser om den gemensamma utrikes- och säkerhetspolitiken). Den nationella regleringen kommer således genom den föreslagna dataskyddslagen att ha ett vidare tillämpningsområde än vad dataskyddsförordningen kräver. Vilka verksamheter som kan falla utanför unionsrättens tillämpningsområde och därmed även utanför dataskyddsförordningens tillämpningsområde är enligt Dataskyddsutredningen oklart. Som exempel ges sådan verksamhet som
3 Öman, 2006, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 694. 4 Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden. Jfr skäl 21 i dataskyddsförordningen. 5 Enligt 1 § lagen om elektronisk handel och andra informationssamhällets tjänster är lagen inte tillämplig på behandling av personuppgifter.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
rör nationell säkerhet, vilket också uttryckligen anges i skäl 16 i dataskyddsförordningen. Enligt Dataskyddsutredningens bedömning är det sannolikt bara i den offentliga sektorn som det kan förekomma verksamhet som betraktas som en strikt nationell angelägenhet och som därmed faller utanför unionsrättens tillämpningsområde i den mening som avses i artikel 2.2 a i dataskyddsförordningen även vid en restriktiv tolkning av undantaget från dataskyddsförordningens tillämpningsområde.6 Eftersom dataskyddslagen föreslås bli subsidiär är det möjligt att genom en sektorsspecifik författning göra undantag från den föreslagna bestämmelsen om utsträckt tillämpning av dataskyddsförordningens bestämmelser.
Frågan om vad som skulle kunna falla utanför unionsrätten och därmed utanför dataskyddsförordningens tillämpningsområde behandlas också i promemorian Anpassningar av de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna till dataskyddsförordningen (Ds 2017:19 s. 102–103). I den promemorian görs bedömningen att de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna med inslag av dataskyddsreglering omfattas av dataskyddsförordningens tillämpningsområde. För de fastighetsrättsliga författningarna som ingår i promemorians översyn konstateras dock att frågan om vad som faller utanför unionsrätten är mer komplicerad än för övriga områden, bl.a. eftersom EU enligt artikel 345 i fördraget om Europeiska unionens funktionssätt inte ska ingripa i medlemsstaternas egendomsordning. Med hänsyn till att det inte skulle påverka innehållet i den nationella egendomsordningen och att rättspraxis från EU-domstolen om dataskyddsdirektivets tillämpningsområde talar för en snäv tolkning även av undantaget från dataskyddsförordningens tillämpningsområde i artikel 2.2 a, görs dock bedömningen att även de fastighetsrättsliga författningarna med inslag av dataskyddsreglering direkt omfattas av dataskyddsförordningens tillämpningsområde.
6SOU 2017:39 s. 91 ff.
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
4.2.2. Författningarna inom verksamhetsområdet omfattas av tillämpningsområdet
Bedömning: Författningsregleringen av personuppgiftsbehand-
ling inom verksamhetsområdet omfattas av dataskyddsförordningens tillämpningsområde. Den ska därför anpassas till dataskyddsförordningen.
Näringsdepartementets verksamhetsområde är brett och omfattar en rad olika rättsområden som t.ex. transporträtt, associationsrätt, immaterialrätt och rättslig reglering avseende jord- och skogsbruk, livsmedel och djurskydd.
Transporträttsliga, immaterialrättsliga och associationsrättsliga författningar samt författningar som reglerar livsmedels-, skogs- och jordbruksfrågor omfattas av unionsrätten. Det är emellertid inte omöjligt att en viss behandling som sker till följd av en författning eller i en verksamhet som omfattas av denna översyn skulle kunna anses falla utanför dataskyddsförordningens tillämpningsområde. Dataskyddsförordningen uppställer inga hinder mot att registerförfattningar och annan sektorslagstiftning har ett vidare tillämpningsområde än förordningen. Sektorsspecifika dataskyddsbestämmelser kan därmed omfatta sådan verksamhet som faller utanför dataskyddsförordningens tillämpningsområde på samma sätt som i dag. Genom den föreslagna bestämmelsen i dataskyddslagen kommer den svenska regleringen om behandling av personuppgifter även fortsättningsvis att ha ett vidare tillämpningsområde än vad dataskyddsförordningen kräver. Författningar som avser verksamhet som faller utanför unionsrättens tillämpningsområde kommer alltså som utgångspunkt att omfattas av den huvudsakliga regleringen i dataskyddsförordningen och dataskyddslagen i tillämpliga delar. För att en registerförfattning eller annan sektorsspecifikförfattning ska falla utanför tillämpningsområdet krävs en särskild bestämmelse i författningen som gör undantag från den föreslagna bestämmelsen i dataskyddslagen. Även sådana författningar behöver därmed ses över och vid behov anpassas till den nya dataskyddsrättsliga regleringen.
Till Näringsdepartementets verksamhetsområde hör en rad författningar som reglerar olika plan-, bygg- och bostadsfrågor. Förordningen (1993:1270) om förande av samfällighetsföreningsregister m.m. är den enda författning med sådan anknytning som påträffats
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
vid författningsinventeringen och som dessutom innehåller dataskyddsrättsliga bestämmelser. Förordningen reglerar bl.a. hur Lantmäteriet ska föra ett register över samfällighetsföreningar och vilka personuppgifter registret ska innehålla. Den reglerar alltså innehållet i ett myndighetsregister och styr vilka uppgifter som ska antecknas avseende samfälligheten. En sådan reglering har inte någon påverkan på den nationella egendomsordningen. Jag bedömer därför att förordningen omfattas av dataskyddsförordningens tillämpningsområde.
Jag bedömer även att övriga författningar som innehåller bestämmelser om dataskydd och personuppgiftsbehandling inom verksamhetsområdet omfattas av unionsrätten och därmed direkt av dataskyddsförordningens materiella tillämpningsområde.
4.3. Rättslig grund för behandling av personuppgifter
4.3.1. Dataskyddsförordningen
För att behandling av personuppgifter ska vara laglig enligt dataskyddsförordningen krävs att behandlingen utgår från minst en av de rättsliga grunderna i artikel 6 i dataskyddsförordningen. Uppräkningen av rättsliga grunder i artikeln är uttömmande. Villkoren i artikel 6 är till viss del överlappande och flera grunder kan därför vara tillämpliga på samma behandling. I huvudsak är grunderna i artikel 6 desamma som i artikel 7 i dataskyddsdirektivet, som har införts i svensk rätt genom 10 § PUL.
Behandling enligt dataskyddsförordningen är bl.a. tillåten om
- den registrerade har lämnat sitt samtycke,
- om behandlingen är nödvändig för att fullgöra ett avtal eller en rättslig förpliktelse som åvilar den personuppgiftsansvarige,
- om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftansvariges myndighetsutövning.
En väsentlig ändring i dataskyddsförordningen i förhållande till dataskyddsdirektivet och personuppgiftslagen är att myndigheter inte längre får behandla personuppgifter med stöd av en s.k. intresseavvägning (jfr artikel 7 f i dataskyddsdirektivet och 10 § f PUL). Den
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
möjligheten kvarstår endast för enskilda aktörer (artikel 6.1 andra stycket i dataskyddsförordningen). Personuppgiftsbehandling som en myndighet utför som ett led i fullgörandet av sina uppgifter och som i dag sker med stöd av en intresseavvägning har således inte någon rättslig grund i dataskyddsförordningen, om den inte är tillåten på grund av någon av de andra rättsliga grunderna i artikel 6 i dataskyddsförordningen.
Om behandlingen är tillåten enligt en eller flera av de grunder som räknas upp i artikel 6 i dataskyddsförordningen, måste också samtliga krav i artikel 5 följas. Det räcker således inte med att behandlingen uppfyller en rättslig grund för att behandlingen av personuppgifter ska vara laglig. Artikel 5 och 6 utgör tillsammans de allmänna förutsättningarna för när behandling av personuppgifter är tillåten enligt dataskyddsförordningen.
I artikel 5.1 i dataskyddsförordningen anges ett antal principer för hur behandling av personuppgifter ska ske. Bestämmelsen motsvarar i huvudsak artikel 6 i dataskyddsdirektivet och 9 § PUL. Det är den personuppgiftsansvarige som ska se till att behandlingen sker i enlighet med de uppräknade principerna (artikel 5.2 i dataskyddsförordningen).
När det är fråga om behandling som grundar sig på samtycke i artikel 6.1 a i dataskyddsförordningen krävs för att behandlingen ska vara laglig utöver att kraven i artikel 5 är uppfyllda även att kraven på hur samtycket ska vara utformat i artiklarna 7 och 8 är uppfyllda. Om behandlingen innefattar känsliga personuppgifter eller personuppgifter som rör fällande brottmålsdomar och överträdelser måste behandlingen även uppfylla kraven i artikel 9 respektive 10. Motsvarande gäller också vid tillämpning av bestämmelserna om överföring av personuppgifter till tredjeland och internationella organisationer.
De rättsliga grunder som finns angivna i artikel 6 i dataskyddsförordningen är direkt tillämpliga och avser både offentliga och privata aktörer. För att de rättsliga grunderna i artikel 6.1 c och e i dataskyddsförordningen ska kunna tillämpas finns emellertid ytterligare förutsättningar som ska vara uppfyllda i artikel 6.3 i dataskyddsförordningen. Dessa grunder, som avser behandling som är nöd-
vändig för att fullgöra en rättslig förpliktelse och behandling som
är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, är av
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
stor betydelse för den personuppgiftsbehandling som sker hos myndigheter och i annan författningsreglerad verksamhet.
För att behandla personuppgifter när behandlingen är nödvändig för att utföra en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning anges i artikel 6.3 första stycket att de grunder för behandlingen som avses i artikel 6.1 punkt 1 c och e ska fastställas i enlighet med unionsrätten eller en
medlemsstats nationella rätt som den personuppgiftsansvarige om-
fattas av. Motsvarande krav finns inte i dataskyddsdirektivet. Av skäl 45 till dataskyddsförordningen framgår att behandling som grundar sig på en rättslig förpliktelse, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Vidare anges att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse, eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
I artikel 6.3 andra stycket i dataskyddsförordningen anges vidare att syftet med behandlingen ska fastställas i den rättsliga grunden, eller i fråga om behandling enligt punkt 1 e, vara nödvändig för att utföra
en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. De följande avsnitten behandlar
innebörden av begreppen i artikel 6.1 c och e samt i artikel 6.3 första och andra styckena i dataskyddsförordningen. Dataskyddsutredningen har redogjort för utredningens tolkning av begreppen och bestämmelsernas innebörd i sitt betänkande. Dataskyddsutredningens bedömningar redovisas i korthet i anslutning till varje avsnitt nedan.
Grunden för behandlingen ska vara fastställd
Kravet i artikel 6.3 första stycket på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten bedömer Dataskyddsutredningen som ett ytterligare villkor för att punkterna i artikel 6.1 c och e i dataskyddsförordningen ska kunna tillämpas. Med grunden för behandlingen avses enligt Data-
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
skyddsutredningen den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Det är därmed den rättsliga förpliktelsen, uppgiften av allmänt intresse eller myndighetsutövningen som ska vara fastställd i unionsrätten eller den nationella rätten, inte själva behandlingen i sig. En rättslig förpliktelse är enligt Dataskyddsutredningen fastställd i svensk rätt om den gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Vidare är uppgifter av allmänt intresse enligt utredningens mening fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.7
Vad innebär kravet på nödvändig behandling?
För att behandling av personuppgifter ska vara tillåten krävs i artikel 6 i dataskyddsförordningen att behandlingen är nödvändig. Det gäller inte då behandlingen sker med stöd av samtycke. Begreppet nödvändig är unionsrättsligt och finns också i dataskyddsdirektivet. EU-domstolen har i dom den 16 december 2008 i mål C-524/06 Huber ansett att ett centraliserat register innehållande uppgifter kan vara nödvändigt om det bidrar till att effektivisera tillämpningen av bestämmelserna om uppehållsrätt, trots att ett regionalt register innehöll alla relevanta uppgifter som behövdes för att kunna utföra en uppgift. Domen bör enligt Dataskyddsutredningen kunna utgöra stöd även vid tolkningen av begreppet i dataskyddsförordningen.8
Vad innebär begreppen rättslig förpliktelse, myndighetsutövning och utförande av en uppgift av allmänt intresse?
Begreppen rättslig förpliktelse, myndighetsutövning och utförande av en uppgift av allmänt intresse finns också i artikel 7 i dataskyddsdirektivet och är i huvudsak utformade på samma sätt som i dataskyddsförordningen.
7SOU 2017:39 s. 22, 108 ff. 8SOU 2017:39 s. 106.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
Vad som avses med begreppet rättslig förpliktelse är inte klarlagt. Dataskyddsutredningens bedömning är att begreppet rättslig förpliktelse bör tolkas och tillämpas på samma sätt i dataskyddsförordningen som det gjorts i dataskyddsdirektivet.9 I tidigare förarbeten har angetts att begreppet borde ha en EU-gemensam innebörd och att de nationella rättsordningarna bestämmer vilka rättsliga skyldigheter den personuppgiftsansvarige har, samt att unionsrätten också, direkt eller indirekt, kan innebära rättsliga skyldigheter. Skyldigheten måste dock alltid åligga den personuppgiftsansvarige och ingen annan.10 Enligt Artikel 29-gruppen omfattar begreppet både privat och offentlig sektor och kräver att den personuppgiftsansvarige inte får ha någon valmöjlighet om förpliktelsen ska uppfyllas eller inte.11 Förpliktelsen får alltså inte vara alltför svepande eller ge den personuppgiftsansvarige för stor handlingsfrihet om hur den ska uppfyllas.
I artikel 6.3 andra stycket i dataskyddsförordningen anges att syftet med behandlingen ska fastställas i den rättsliga grunden. Bestämmelsen är direkt tillämplig. Dataskyddsutredningen har tolkat bestämmelsen så att syftet med behandlingen ska vara bestämt av den författning som anger eller ger stöd för den rättsliga förpliktelsen. Vidare anför utredningen att lydelsen eventuellt kan komma att begränsa tillämpningsområdet för artikel 6.1 c, jämfört med hur 10 § b PUL har tillämpats.12
Myndighetsutövning är förmodligen ett unionsrättsligt begrepp.
I avsaknad av praxis från EU-domstolen har det i tidigare förarbeten anförts att begreppet bör tolkas så att det som i Sverige brukar anses vara myndighetsutövning faller in under begreppet.13 Enligt artikel 6.3 andra stycket i dataskyddsförordningen ska syftet med behandlingen vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Dataskyddsutredningen gör bedömningen att ändamålet med behandlingen av personuppgifter måste vara nödvändigt för att utföra myndighetsutövningen men att det
9SOU 2017:39 s. 113. 10SOU 1997:39 s. 363. 11 Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG s. 20. 12SOU 2017:39 s. 114–118. 13SOU 1997:39 s. 365.
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
inte behöver framgå av det sammanhang där den myndighetsutövande befogenheten fastställs.14
Begreppet uppgift av allmänt intresse är ett unionsrättsligt begrepp som ännu inte getts någon närmare innebörd av EU-domstolen. Det finns inte någon definition i dataskyddsdirektivet eller i dataskyddsförordningen. Dataskyddsdirektivets begrepp har av Artikel 29-gruppen bedömts vara relevant i både offentlig och privat sektor.15 Det har inte ansetts vara av någon betydelse om uppgiften utförs i vinstgivande syfte.16 Arkivering, forskning och framställning av statistik har i svensk rätt tagits upp som exempel på vad som kan vara en uppgift av allmänt intresse enligt dataskyddsdirektivets bestämmelser.
Begreppets innebörd utreds också i Dataskyddsutredningens betänkande. För att myndigheternas verksamhet ska kunna fungera är det, enligt Dataskyddsutredningens bedömning, mycket som talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än vad det i dag har enligt den gällande dataskyddsregleringen. Enligt dagens reglering anses i Sverige mycket behandling som är nödvändig i t.ex. myndigheternas verksamhet tillåten efter en intresseavvägning enligt 10 § PUL. I avsaknad av vägledande domar från EU-domstolen, förefaller det enligt Dataskyddsutredningen rimligt att i stället anta att samtliga uppgifter som utförs av myndigheter i syfte att uppfylla ett uttryckligt uppdrag är av allmänt intresse.
Även i fråga om behandling för att utföra en uppgift av allmänt intresse anges i artikel 6.3 andra stycket i dataskyddsförordningen att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften. Enligt Dataskyddsutredningens bedömning innebär detta att ändamålet med behandlingen inte behöver framgå av den författning eller det beslut där själva uppgiften fastställs. Att det måste finnas ett samband mellan behandlingen och uppgiften av allmänt intresse respektive myndighetsutövningen framgår dock av artikel 5.1 b i dataskyddsförordningen.17
14SOU 2017:39 s. 120. 15 Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG s. 22. 16SOU 1997:39 s. 364. 17SOU 2017:39 s. 126–129.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
Dataskyddsutredningen föreslår att det i dataskyddslagen tas in bestämmelser som tydliggör förutsättningarna för när personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen och när personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen.18
Kompletterande bestämmelser i nationell rätt
Dataskyddsförordningen innebär begränsningar i medlemsstaternas möjligheter att införa eller behålla nationell reglering om personuppgiftsbehandling. I vissa delar förutsätter eller medger dataskyddsförordningen att medlemsstaterna har en nationell reglering som kompletterar dataskyddsförordningens bestämmelser eller gör undantag från den unionsrättsliga regleringen. Det är dessutom enligt skäl 8 i dataskyddsförordningen tillåtet att i nationell rätt införliva delar av dataskyddsförordningen. Det får ske där dataskyddsförordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser och i den utsträckning det är nödvändigt för samstämmigheten och begripligheten av bestämmelserna.
När det är tillåtet med nationell reglering framgår bl.a. i respektive artikel i dataskyddsförordningen. Det är exempelvis tillåtet för medlemsstaterna att närmare bestämma på vilka särskilda villkor som nationella identifikationsnummer får behandlas (artikel 87) eller att införa begränsningar som inskränker tillämpningsområdet för de rättigheter och skyldigheter som föreskrivs i vissa artiklar (artikel 23).
Av artikel 6.2 i dataskyddsförordningen framgår vidare att medlemsstaterna för att följa punkterna i artikel 6.1 c och e, får införa eller behålla mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. En sådan reglering får innehålla specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Det gäller även personuppgiftsbehandling i enlighet med 9 kap. i dataskyddsförordningen (behandling av yttrande- och informationsfrihet, allmänhetens tillgång till allmänna handlingar, behandling av nationella identifikationsnummer, behandling i anställningsförhållanden
18SOU 2017:39 s. 113, 119 och 122.
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
och skyddsåtgärder samt undantag för bl.a. arkivändamål). Av skäl 10 till dataskyddsförordningen framgår dessutom att medlemsstaterna vid behandling av personuppgifter vid fullgörande av en rättslig förpliktelse, utförande av en uppgift av allmänt intresse och myndighetsutövning, bör tillåtas att införa och behålla nationella bestämmelser för att närmare fastställa hur bestämmelserna i dataskyddsförordningen ska tillämpas. Det gäller också behandling av känsliga personuppgifter. Denna typ av bestämmelser om behandling av personuppgifter finns i dag framförallt i registerförfattningarna.
I artikel 6.3 andra stycket i dataskyddsförordningen anges vidare att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Som exempel på särskilda bestämmelser anges de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Även sådana bestämmelser finns redan i svensk rätt i registerförfattningarna eller annan dataskyddsrättslig reglering. Dataskyddsförordningen uppställer dock en form av bortre gräns för den nationella regleringen. Av artikel 6.3 andra stycket sista meningen i dataskyddsförordningen framgår nämligen att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Dataskyddsutredningen anser att de författningstekniker som använts i renodlade registerförfattningar är användbara för att specificera villkoren för behandling både enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen. Detsamma gäller dataskyddsbestämmelser i en författning som reglerar vem som ska utföra en viss uppgift eller hur en verksamhet ska bedrivas.19
19SOU 2017:39 s.134.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
4.3.2. Det finns rättslig grund för behandling av personuppgifter inom verksamhetsområdet
Bedömning: Med stöd av artikel 6.2 och 6.3 i dataskyddsför-
ordningen är det tillåtet att i registerförfattningar- och sektorsspecifika författningar behålla eller införa bestämmelser som preciserar hur personuppgifter får behandlas när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Bestämmelser som återspeglar vad som gäller enligt dataskyddsförordningen kan med stöd av samma artiklar behållas eller införas.
Myndigheters och privata aktörers behandling av personuppgifter som är nödvändig till följd av en författningsreglering har stöd i artikel 6 i dataskyddsförordningen. Det behövs därmed inte några författningsändringar i detta avseende.
Det finns ett antal författningar som tillhör verksamhetsområdet som kräver behandling av personuppgifter, antingen i ett ärendesystem eller i regelrätta register som sker under sådana omständigheter att behandlingen omfattas av dataskyddsförordningen. Som exempel på behandling av personuppgifter till följd av en författningsreglering kan nämnas förande av handelsregistret, hundregistret, databasen över hästdjur, vägtullregistret och certifikatregistret. Författningsreglerad verksamhet inom verksamhetsområdet kan regelmässigt sägas utgöra uppgifter av allmänt intresse, även om uppgifterna inte innebär myndighetsutövning. Det gäller oavsett om det är en myndighet eller privata aktörer som genom en författning tilldelats uppgifter som har lagts fast av riksdagen eller regeringen (eller som följer av unionsrätten). I många fall innefattar dock en uppgift som är av allmänt intresse också myndighetsutövning. I vissa fall, t.ex. när en myndighet är skyldig att föra ett register, är en sådan författningsreglerad skyldighet en rättslig förpliktelse.
Uppgifterna och förpliktelserna är genom författningarna inom verksamhetsområdet fastställda i den nationella rätten. Behandling av personuppgifter som är nödvändig till följd av en författning har därmed stöd i dataskyddsförordningen.
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
Vilken rättslig grund i artikel 6 i dataskyddsförordningen som behandlingen stödjer sig på har emellertid betydelse för tillämpningen av andra bestämmelser i dataskyddsförordningen. Det gäller bl.a. för den registrerades rätt till radering enligt artikel 17 och rätten att göra invändningar enligt artikel 21. Rätten att göra invändningar saknas i de fall behandlingen grundar sig på en rättslig förpliktelse. Att syftet med behandlingen ska vara bestämt av den författning som anger eller ger stöd för den rättsliga förpliktelsen enligt artikel 6.3 andra stycket innebär inte att det nödvändigtvis måste framgå av samma författning. En myndighets uppdrag enligt myndighetsinstruktionen eller regleringsbrevet kan också enligt Dataskyddsutredningen i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister.20 Bolagsverket har exempelvis till uppgift enligt 3 § förordningen (2007:1110) med instruktion för Bolagsverket att föra register över näringsförbud. Syftet med behandlingen av personuppgifter i registret framgår emellertid av lagen (2014:836) om näringsförbud och förordningen (2014:936) om näringsförbud. En sådan ordning bedöms, i avsaknad av vägledning i praxis om hur bestämmelsen ska tolkas, kunna uppfylla kraven i artikel 6.3 i dataskyddsförordningen.
4.3.3. Bestämmelser om samtycke som rättslig grund kan vara kvar
Bedömning: En bestämmelse som kräver samtycke för enskildas
behandling av personuppgifter kan vara kvar. En sådan bestämmelse begränsar inte innebörden av artikel 6.1 a i dataskyddsförordningen.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Enligt artikel 7 a i dataskyddsdirektivet är samtycke en rättslig grund för behandling av personuppgifter. Direktivets bestämmelser är införlivade i 10 § PUL som innebär att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen. En definition av samtycke finns i 3 § PUL.
I förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen regleras bl.a. en personuppgiftsbehandling som kräver samtycke. En producentorganisation, som erkänts av Jordbruksverket, får med stöd av samtycke behandla personuppgifter som lämnats ut från Havs- och vattenmyndighetens databas till producentorganisationen. Det gäller om syftet med behandlingen är att förmedla överlåtelser mellan fiskare av sådana fiskemöjligheter som avses i 2 kap. 7 § femte stycket samma förordning. Uppgifterna får bara behandlas om den registrerade har lämnat sitt samtycke till behandlingen (jfr 2 kap. 8 a–b §§). Även i 6 § lagen (2006:24) om nationella toppdomäner för Sverige på Internet finns en bestämmelse om behandling av personuppgifter som är knuten till samtycke. Enligt fjärde stycket i den bestämmelsen får personuppgifter i registret över tilldelade domännamn under toppdomänen endast göras tillgängliga på internet om den registrerade har samtyckt till det.
Behandling av personuppgifter är laglig även enligt dataskyddsförordningen om den registrerade har lämnat sitt samtycke (artikel 6.1 a i dataskyddsförordningen). Artikel 6.1 a i dataskyddsförordningen är direkt tillämplig och tillåter inte begränsande bestämmelser i nationell rätt. En definition av samtycke finns i artikel 4 i dataskyddsförordningen. Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Definitionen i dataskyddsförordningen bedöms i allt väsentligt motsvara definitionen av samtycke i dataskyddsdirektivet och i personuppgiftslagen. Dataskyddsförordningen innehåller emellertid utöver definitionen av samtycke ytterligare förutsättningar som är mer specificerade än vad som var fallet med dataskyddsdirektivet och personuppgiftslagen (jfr artiklarna 7 och 8). Även skälen (32, 42 och 43) till dataskyddsförordningen ger ytter-
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
ligare ledning för den närmare innebörden och tillämpningen av dataskyddsförordningens bestämmelser om samtycke.
Bestämmelser om samtycke som rättslig grund kan vara kvar
Den avvägning som gjorts vid införandet av bestämmelserna i förordningen om fisket, vattenbruket och fiskerinäringen och lagen om nationella toppdomäner för Sverige på Internet om vilken grund en annan aktör än en myndighet enligt författning kan grunda behandling av personuppgifter på bör godtas. Bestämmelserna kan inte förstås på annat sätt än att de innebär att den behandling av personuppgifter som avses i paragraferna endast får ske med stöd av den rättsliga grunden samtycke.
En bestämmelse som kräver samtycke för enskildas behandling av personuppgifter kan vara kvar, eftersom den inte på något sätt begränsar innebörden av artikel 6.1 a i dataskyddsförordningen. Inte heller kan en sådan bestämmelse enligt min mening sägas utgöra en specificering av dataskyddsförordningens bestämmelse. Det är därmed tillåtet att i nationell rätt peka ut i en författning att viss behandling av personuppgifter i en särskild verksamhet endast är tillåten med det stöd som finns i artikel 6.1 a i dataskyddsförordningen. En sådan bestämmelse bedöms i vart fall kunna behållas enligt skäl 8 i dataskyddsförordningen. Det är nämligen tillåtet att införliva delar av dataskyddsförordningen i nationell rätt. I denna bedömning vägs det in att syftet med bestämmelsen är att utgöra ett skydd för den registrerade.
I 2 kap. 8 § c förordningen om fisket, vattenbruket och fiskerinäringen anges att en producentorganisation får ha direktåtkomst till vissa i författningen angivna uppgifter i Havs- och vattenmyndighetens databas. Det gäller dock endast om den som uppgifterna rör har samtyckt till sådan åtkomst. Denna begränsning bör ses som en skyddsåtgärd i dataskyddsförordningens mening. Det är därmed en fråga som är skild från den rättsliga grunden för behandlingen av personuppgifterna. Att en bestämmelse om direktåtkomst till en myndighets databas begränsas till att avse sådana uppgifter som omfattas av samtycke från den registrerade bedöms utgöra ytterligare en åtgärd som är till skydd för den personliga integriteten. Den är därmed förenlig med dataskyddsförordningen.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
4.4. Bestämmelser om behandling av personuppgifter
4.4.1. Bestämmelser om förhållandet till andra regler om behandling av personuppgifter kan vara kvar
Förslag: De författningar som i dag har en bestämmelse som
anger hur författningen förhåller sig till personuppgiftslagen ska i stället upplysa om att det finns bestämmelser om behandling av personuppgifter i dataskyddsförordningen och att författningen innehåller kompletterande bestämmelser till dataskyddsförordningen. Sådana bestämmelser ska också, i relevanta fall, upplysa om att dataskyddslagen även gäller vid behandling enligt författningen.
Rena upplysningsbestämmelser som hänvisar till personuppgiftslagen kan också vara kvar men ska i stället hänvisa till dataskyddsförordningen och dataskyddslagen i relevanta delar.
Bedömning: Nya bestämmelser som upplyser om hur författ-
ningen förhåller sig till dataskyddsförordningen och dataskyddslagen behöver inte införas i de författningar som tillhör verksamhetsområdet.
Nationell rätt och dataskyddsförordningen
I författningar som utgör en särreglering till personuppgiftslagen finns det ofta en bestämmelse om hur författningen förhåller sig till personuppgiftslagen. Flera av förordningarna som innehåller bestämmelser om behandling av personuppgifter inom verksamhetsområdet saknar dock helt en sådan reglering. I vissa författningar förekommer upplysningsbestämmelser om en viss bestämmelse i personuppgiftslagen.
När dataskyddsförordningen ska börja tillämpas kommer den generella regleringen om behandling av personuppgifter att finnas där. Den föreslagna dataskyddslagen kommer, liksom personuppgiftslagen i dag, att vara subsidiär i förhållande till avvikande be-
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
stämmelser om behandling av personuppgifter i annan lag eller förordning.21
Bestämmelser om författningens förhållande till andra regler om personuppgiftsbehandling kan vara kvar
Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och gäller framför nationell rätt. Författningarna inom verksamhetsområdet gäller utöver den generella regleringen i personuppgiftslagen. Förhållandet mellan dataskyddslagen och författningarna kommer därmed att motsvara det nuvarande förhållandet till personuppgiftslagen. Det behövs egentligen ingen särskild bestämmelse för att uppnå det förhållandet eftersom dataskyddslagen föreslås bli subsidiär. För att tydliggöra att författningen innehåller kompletterande bestämmelser till dataskyddsförordningen och avvikande bestämmelser som ska tillämpas framför regleringen i dataskyddslagen, bör dock en upplysning om hur delarna av regelverket kring personuppgiftsbehandling förhåller sig till varandra finnas kvar i de fall författningen i dag innehåller en sådan bestämmelse. I författningar som saknar en bestämmelse om hur den förhåller sig till den generella regleringen finns det inget särskilt behov av nya bestämmelser.
Rena upplysningsbestämmelser som hänvisar till personuppgiftslagens bestämmelser kan också kvartstå av tydlighetsskäl (jfr dock avsnitt 5.8.1 om överklagandehänvisningar). Sådana bestämmelser bör ändras genom att bestämmelsen i stället hänvisar till dataskyddsförordningen och, när det är relevant, till den föreslagna dataskyddslagen.
4.4.2. Ändamålsbestämmelser kan vara kvar
Förslag: En ändamålsbestämmelse som innehåller en hänvisning
till den s.k. finalitetsprincipen i personuppgiftslagen (9 § första stycket d och andra stycket PUL gäller i övrigt) ska i stället hänvisa till artikel 5.1 b i dataskyddsförordningen.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
Bedömning: Ändamålsbestämmelser utgör när behandlingen sker
med stöd av artikel 6.1 c eller e i dataskyddsförordningen en i nationell rätt tillåten anpassning enligt artikel 6.2 och 6.3 och kan därmed vara kvar. Dataskyddsförordningen föranleder inga ändringar av befintliga ändamålsbestämmelser inom verksamhetsområdet.
Det är tillåtet att behålla bestämmelser som innebär att personuppgifter får behandlas även för andra ändamål än det för vilket uppgifterna samlats in.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Enligt artikel 6.1 i dataskyddsdirektivet ska medlemsstaterna bl.a. föreskriva att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Motsvarande bestämmelse har införts i 9 § c PUL. Som regel medför bestämmelserna i 23-25 §§ PUL om information till den registrerade att ändamålen måste anges redan när behandlingen påbörjas.22 Utgångspunkten i personuppgiftslagen är att det är den personuppgiftsansvarige som bestämmer ändamålen för personuppgiftsbehandlingen. För myndigheter är det dock vanligt förekommande att lagstiftaren genom en författning anger för vilka ändamål som personuppgifter får behandlas. Bestämmelser om vilka uppgifter som får registreras och om ändamålen med behandlingen utgör tillsammans ramen för vilken behandling som är tillåten enligt författningen. Att ändamålen ska vara särskilda innebär att ändamålsangivelserna inte får vara alltför allmänt hållna.
I registerförfattningar för myndigheter är det inte ovanligt att ändamålen delas upp i primära och i sekundära ändamål. Syftet med en sådan uppdelning är att tydliggöra hur uppgifterna får användas i myndighetens verksamhet och hur de får behandlas genom utlämnande till andra.23
Den s.k. finalitetsprincipen innebär att uppgifterna efter insamlingen inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (9 § d PUL). Enligt 9 § andra
22Prop. 1997/98:44 s. 62 f. 23 Lindblom och Öman, Personuppgiftslagen (19 maj 2018, Zeteo) kommentaren till 9 § PUL.
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
stycket PUL ska en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses vara oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in. Finalitetsprincipen återfinns i dataskyddsdirektivet i artikel 6.1 b.
Av artikel 5.1 b i dataskyddsförordningen framgår att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga, legitima och ha bestämts vid den tidpunkt då uppgifterna samlades in (skäl 39 i dataskyddsförordningen). Ändamålet med personuppgiftsbehandlingen måste således vara uttryckligt angivet och tillräckligt tydligt.
Av artikel 6.3 andra stycket i dataskyddsförordningen framgår att den nationella rätten kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det är t.ex. möjligt att reglera för vilka ändamål personuppgifter får lämnas ut samt ändamålsbegränsningar.
Det är också möjligt att i nationell rätt reglera vilken vidarebehandling (finalitetsprincipen) som lagstiftaren anser vara förenlig med dataskyddsförordningen. Av skäl 50 till dataskyddsförordningen framgår att om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaterna i den nationella rätten närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör enligt dataskyddsförordningen betraktas som förenlig och laglig behandling av uppgifter. När vidarebehandlingen är förenlig med de ursprungliga ändamålen, krävs enligt skäl 50 till dataskyddsförordningen inte någon annan rättslig grund än den för vilka personuppgifterna ursprungligen samlades in. Behandlingen kan således ske med stöd av samma grund för vilken uppgifterna samlades in, så länge det är fråga om samma personuppgiftsansvarige. Detta är en nyhet i förhållande till dataskyddsdirektivet.
Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
rätt, som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bl.a. beakta de omständigheter som anges i artikel 6.4 a–e i dataskyddsförordningen.
Ändamålsbestämmelser kan vara kvar
All behandling av personuppgifter måste vila på en rättslig grund. I detta avseende innebär dataskyddsförordningen ingen skillnad i förhållande till personuppgiftslagen och dataskyddsdirektivet. När behandlingen sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen får medlemsstaternas nationella rätt innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningens bestämmelser bl.a. avseende ändamålsbegränsningar. Det förutsätter att den nationella rätten uppfyller ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas.
Även om principerna för personuppgiftsbehandling i artikel 5 i dataskyddsförordningen och de rättsliga grunderna i artikel 6 i dataskyddsförordningen i teorin kan behandlas var för sig, är artiklarna i praktiken så nära relaterade att de i princip är överlappande. Ett angivet sekundärt ändamål i en författning som innebär att en uppgift får lämnas ut i enlighet med lag eller förordning, grundas exempelvis på en bestämmelse om utlämnande som torde kunna utgöra en rättslig förpliktelse men också en uppgift av allmänt intresse. I sammanhanget kan artikel 30 i dataskyddsförordningen nämnas. Enligt den bestämmelsen ska varje personuppgiftsansvarig, med något undantag, föra ett register över behandling som utförs under dess ansvar. Registret ska bl.a. innehålla ändamålen med behandlingen. Information om ändamålen med behandlingen och den rättsliga grunden för behandlingen ska dessutom ges till den registrerade enligt artiklarna 13-14 i dataskyddsförordningen. En personuppgiftsansvarig, däribland myndigheter, är således även enligt dataskyddsförordningen skyldig att ange den yttre ramen för vilka uppgifter som behandlas och ändamålen för insamlingen. Bestämmelser om ändamål i de författningar där sådana finns kan således vara kvar.
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
Behandling av personuppgifter för andra ändamål än de ursprungliga
Lagen (2009:619) om djurskyddskontrollregister och lagen (2011:725) om behörighet för lokförare innehåller i anslutning till ändamålsbestämmelserna en hänvisning till 9 § första stycket d och andra stycket PUL. En sådan hänvisning finns för att förtydliga att finalitetsprincipen gäller vid personuppgiftsbehandling enligt författningen och att insamlade personuppgifter även får behandlas för historiska, statistiska eller vetenskapliga ändamål. Att finalitetsprincipen är tillämplig innebär således att redan insamlade uppgifter får behandlas för andra ändamål än dem för vilka de har samlats in, under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.
Utformningen av sådana hänvisningar har behandlats bl.a. i förslaget om lagstiftning för behandling av personuppgifter på socialförsäkringsområdet. Lagrådet invände då att de ändamålsbestämmelser som använts i registerförfattningar inte tydligt nog gav uttryck för att personuppgifterna även ska få behandlas för andra ändamål än de som angetts i författningen ifråga. Regeringen ansåg därmed att det skulle införas en uttrycklig bestämmelse om att 9 § första stycket d och andra stycket PUL gäller ifråga om behandling av personuppgifter för annat ändamål än vad som anges i författningen. Regeringen betonade dock mot bakgrund av att en sådan reglering vid den tiden saknades i andra registerförfattningar att det inte var fråga om en materiell regel, utan endast om ett förtydligande.24
En hänvisning till finalitetsprincipen kan vara kvar
Finalitetsprincipen är alltjämt gällande vid behandling av personuppgifter. Dataskyddsförordningens bestämmelser är emellertid utförligare än motsvarigheten i dataskyddsdirektivet. Artikel 6.4. i dataskyddsförordningen innehåller vägledande omständigheter som den personuppgiftsansvarige ska beakta vid bedömningen av om behandling för andra ändamål är förenligt med de ändamål för vilka uppgifterna samlades in.
Grundläggande bestämmelser om behandling av personuppgifter Ds 2017:28
Artikel 5.1 b i dataskyddsförordningen är direkt tillämplig, vilket innebär att bestämmelsen gäller för den behandling som registerförfattningen omfattar, om inte annat framgår av författningen i fråga (jfr artikel 23 i dataskyddsförordningen).
Någon egentlig hänvisning till finalitetsprincipen krävs därmed inte för att den ska vara tillämplig. En bestämmelse som förtydligar att 9 § första stycket d och andra stycket PUL i övrigt gäller, har införts för att klargöra att ändamålsbestämmelsen i författningen inte är uttömmande. Det kan därför av tydlighetsskäl finnas anledning att behålla en sådan hänvisning. Att behålla en sådan hänvisning är enligt min bedömning förenligt med dataskyddsförordningen. Regleringen bör därmed, när den tidigare har syftat till att klargöra att de uppräknade ändamålen i den aktuella författningen inte är uttömmande behållas men med en hänvisning till artikel 5.1 b i dataskyddsförordningen.
4.4.3. Bestämmelser om vem som är personuppgiftsansvarig är tillåtna
Förslag: Hänvisningar till personuppgiftslagen ska tas bort.
Bedömning: Bestämmelser som pekar ut den som är person-
uppgiftsansvarig kan behållas. Bestämmelser som pekar ut en registerförande myndighet, utan att ange den personuppgiftsansvarige behöver inte kompletteras med en sådan reglering.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Det förekommer att det i en författning anges vem som är personuppgiftsansvarig för behandlingen av personuppgifter. Ofta är det en myndighet som pekas ut som personuppgiftsansvarig. En sådan bestämmelse finns t.ex. för djurskyddskontrollregistret. I 2 kap. 8 b § förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen anges i stället att en producentorganisation som erkänts av Jordbruksverket är personuppgiftsansvarig. I 2 § förordningen (1993:1270) om förande av samfällighetsföreningsregister pekas den registerföran-
Ds 2017:28 Grundläggande bestämmelser om behandling av personuppgifter
de myndigheten ut, men regleringen innehåller ingen uttrycklig bestämmelse om vem som är personuppgiftsansvarig. Det förekommer också bestämmelser som fördelar personuppgiftsansvaret som även kan tillämpas på enskilda aktörer, exempelvis i 4 kap. 19 § lagen (2011:7259) om behörighet för lokförare, eller 25 § lagen (2013:1164) om elektroniska vägtullsystem.
Enligt dataskyddsförordningens definition i artikel 4.7 är en personuppgiftsansvarig en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Vidare anges i definitionen att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Av skäl 45 till dataskyddsförordningen framgår att unionsrätten eller nationell rätt bör reglera frågan om en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en myndighet. Det samma gäller om en fysisk eller juridisk person omfattas av offentligrättslig lagstiftning eller om detta motiveras av allmänintresset, av civilrättslig lagstiftning.
Det är tillåtet att i nationell rätt behålla bestämmelser om vem som är personuppgiftsansvarig
Det framgår av lydelsen i dataskyddsförordningen att det är tillåtet att i nationell rätt föreskriva vem som är personuppgiftsansvarig. Bestämmelserna i dataskyddsförordningen medför således ingen förändring i detta avseende. Något behov av att komplettera de genomgångna författningarna som saknar bestämmelser om personuppgiftsansvarig finns inte. Det beror på att dataskyddsförordningen inte ställer upp något krav på att sådana bestämmelser ska finnas. I de författningar som utpekar vem som är personuppgiftsansvarig enligt personuppgiftslagen kan hänvisningen till lagen tas bort. Någon erinran om dataskyddsförordningen behövs inte.
5. Övriga förutsättningar för behandling av personuppgifter
5.1. Känsliga personuppgifter
Förslag: Hänvisningar till 13 § PUL ska ersättas av hänvisningar
till artikel 9 i dataskyddsförordningen.
Bedömning: Befintliga bestämmelser om behandling av känsliga
personuppgifter inom verksamhetsområdet är förenliga med dataskyddsförordningen. Artikel 9 i dataskyddsförordningen föranleder inga ytterligare författningsändringar.
5.1.1. Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Artikel 8.1 i dataskyddsdirektivet innehåller ett förbud mot behandling av personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening och uppgifter som rör hälsa och sexualliv. I samma artikel anges också uttryckliga undantag från förbudet bl.a. vid samtycke eller när behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. Medlemsstaterna får vidare under förutsättning att lämpliga skyddsåtgärder införs och av hänsyn till ett viktigt allmänt intresse besluta om undantag från förbudet (artikel 8.2–4).
Det är enligt 13 § PUL förbjudet att behandla s.k. känsliga personuppgifter, dvs. personuppgifter som rör hälsa eller sexualliv och personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack-
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
förening. Undantag från förbudet finns i 15-19 §§ PUL. I 20 § PUL finns ett bemyndigande att föreskriva ytterligare undantag. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om ytterligare undantag från förbudet i 13 § PUL, om det behövs med hänsyn till ett viktigt allmänt intresse.
Två bestämmelser inom verksamhetsområdet förhåller sig direkt till regleringen om känsliga personuppgifter i personuppgiftslagen. Det är 6 § lagen (2009:619) om djurskyddskontrollregister och 4 kap. 9 § lagen (2011:725) om behörighet för lokförare. Av andra författningar1 framgår att uppgifter om exempelvis hälsa kan förekomma i ett register eller i en databas i den verksamhet som tillämpar någon av författningarna. Dessa författningar innehåller inte några särskilda dataskyddsbestämmelser.
I artikel 9.1 i dataskyddsförordningen finns ett förbud mot behandling av personuppgifter i vissa särskilda fall. Förbudet i artikel 9.1 är direkt tillämpligt. Sådana särskilda kategorier av personuppgifter som bl.a. innefattar uppgifter om ras, etniskt ursprung, hälsa eller sexualliv betecknas ofta som känsliga personuppgifter. Begreppet känsliga personuppgifter används i den föreslagna dataskyddslagen och kommer därför att användas i denna promemoria. Dataskyddsförordningen innebär i förhållande till dagens reglering i dataskyddsdirektivet och personuppgiftslagen att även behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en person och uppgifter om sexuell läggning omfattas av reglerna om känsliga personuppgifter.
I artikel 9.2 anges under vilka omständigheter känsliga personuppgifter får behandlas trots förbudet. Undantagen från förbudet hänvisar i vissa fall (artikel 9.2 a, b, g, h, i och j, 9.3. och 9.4) till medlemsstaternas nationella rätt och innehåller även vissa krav på skyddsåtgärder eller lämpliga och särskilda åtgärder. Hur hänvisningarna till nationell rätt eller hur kraven på åtgärder ska tolkas framgår inte tydligt av skälen till dataskyddsförordningen. Inte heller är det tydligt vilken betydelse det har att hänvisningarna har utformats på olika sätt.
1 Exempelvis luftfartsförordningen (2010:770), fartygssäkerhetslagen (2003:364) och lagen (1997:736) om färdtjänst samt lagen (1997:735) om riksfärdtjänst.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Förslaget till dataskyddslag
Enligt Dataskyddsutredningens bedömning betyder kravet på stöd i nationell rätt att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i den generella lagen eller i sektorsspecifik reglering. Dataskyddsutredningen föreslår i sitt betänkande en generell reglering som gäller utöver vad som framgår av artikel 9.2 a, c, d, e eller f i dataskyddsförordningen. Utredningen bedömer att en specificering av undantagen i artikel 9.2 i dataskyddsförordningen på nationell nivå, oavsett hur hänvisningarna till nationell rätt ska tolkas, inte är oförenlig med dataskyddsförordningen. Förslaget till dataskyddslag innehåller således bestämmelser om under vilka förutsättningar som känsliga personuppgifter får behandlas inom arbetsrätten, för ett viktigt allmänt intresse, inom hälso- och sjukvården och social omsorg samt för arkivändamål och statistiska ändamål.
För en behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse ställer artikel 9.2 g i dataskyddsförordningen upp krav på lämpliga och särskilda åtgärder. Det innebär enligt Dataskyddsutredningen att så väl undantaget som de särskilda och lämpliga åtgärderna bör regleras och preciseras i nationell rätt. Den reglering som föreslås för myndigheters behandling av känsliga personuppgifter i vissa fall (3 kap. 3 § dataskyddslagen) är inte avgränsad till visst område, viss verksamhet eller en viss typ av ärenden. Dataskyddsutredningen bedömer mot denna bakgrund att ytterligare åtgärder bör införas i nationell rätt för att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En sådan åtgärd är det föreslagna sökförbudet i 3 kap. 4 § dataskyddslagen. Där framgår att en myndighet vid behandling som enbart sker med stöd av bestämmelsen i 3 kap. 3 § samma lag inte får använda sökbegrepp som avslöjar känsliga personuppgifter. Att regleringen innehåller vissa klart begränsande rekvisit är också sådana åtgärder som föranletts av dataskyddsförordningens krav på proportionalitet och skyddsåtgärder. Förslaget till dataskyddslag innehåller också ett bemyndigande. Regeringen får enligt den föreslagna bestämmelsen meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i data-
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
skyddsförordningen om det behövs med hänsyn till ett viktigt allmänt intresse.2
Vad innefattas i begreppet viktigt allmänt intresse?
I dataskyddsförordningen förekommer i flera artiklar olika uttryck som rör allmänt intresse. Av artikel 9.2 g framgår att behandling av känsliga personuppgifter får ske trots förbudet, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse för unionen eller för en medlemsstat. Begreppet viktigt allmänt intresse finns också i dataskyddsdirektivet. Av artikel 8.4 i direktivet framgår att undantag från förbudet mot behandling av känsliga uppgifter får göras med hänsyn till ett sådant intresse. Samma artikel förutsätter också för att behandling ska vara tillåten att det finns lämpliga skydds-
åtgärder.
I svenskt lagstiftningsarbete har det ansetts vara ett viktigt allmänt intresse att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredsställande sätt.3 Regeringen har också ansett att intresset av insyn i och kontroll av partiers och valkandidaters finansiering får anses vara ett sådant viktigt allmänt intresse som avses i dataskyddsdirektivet.4 Att utlämnande kan ske enligt den grundlagsfästa offentlighetsprincipen ansågs i förarbetena till per-sonuppgiftslagen vara ett viktigt allmänt intresse.5 Att kommuner, trafikhuvudmän, beställningscentraler och trafikutövare kan utföra sina arbetsuppgifter inom färdtjänsten och riksfärdtjänsten på ett tillfredsställande sätt har också ansetts falla in under begreppet.6Enligt Dataskyddsutredningens bedömning är det ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt och samtidigt tillgodose kraven på allmänhetens tillgång till handlingar i tryckfrihetsförordningen och offentlighets- och sekretesslagen.7
2SOU 2017:39 s. 162 ff. 3Prop. 2000/01:80 s. 144. 4Prop. 2013/14:70 s. 75. 5Prop. 1997/98:44 s. 44. 6SOU 2003:87 s. 178. 7 SOU 2017: 39 s. 174 ff.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
5.1.2. Kraven för behandling av känsliga personuppgifter får preciseras
Det är även i sektorsspecifik reglering tillåtet att genom särskilda bestämmelser specificera vissa av undantagen i artikel 9.2 i dataskyddsförordningen från förbudet att behandla s.k. känsliga personuppgifter. Av skäl 10 till dataskyddsförordningen framgår att medlemsstaterna får specificera bestämmelser om behandling av känsliga personuppgifter. Enligt skäl 8 är det dessutom tillåtet att i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga införliva delar av dataskyddsförordningen i nationell rätt.
Undantaget i artikel 9.2 g i dataskyddsförordningen som avser behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse är av betydelse för behandling av personuppgifter som förekommer inom verksamhetsområdet. Att behandla känsliga personuppgifter är tillåtet enligt artikeln om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Att det är verksamheten och inte själva behandlingen i sig som ska vara reglerad enligt artikeln överensstämmer med hur artikel 6 i dataskyddsförordningen har tolkats av Dataskyddsutredningen. I vissa fall där dataskyddsförordningen ställer upp krav på att säkerhetsåtgärder ska vidtas eller att lämpliga och särskilda åtgärder ska vidtas, kan de olika formuleringarna i artikel 9.2 innebära att dessa åtgärder behöver fastställas i nationell rätt. Sådana åtgärder skulle exempelvis kunna vara sekretess- eller tystnadspliktsbestämmelser i en särskild författning.
5.1.3. Hänvisningar till personuppgiftslagen ska ersättas med hänvisningar till dataskyddsförordningen
I 6 § lagen om djurskyddskontrollregister anges att känsliga personuppgifter inte får behandlas i registret. Bestämmelsen hänvisar till 13 § PUL. En sådan bestämmelse som medför att känsliga personuppgifter inte får behandlas överensstämmer med huvudregeln i
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
dataskyddsförordningen och kan därmed behållas. Hänvisningen till 13 § PUL bör dock ersättas med en hänvisning till artikel 9 i dataskyddsförordningen.
5.1.4. Bestämmelser som anger under vilka förutsättningar det är tillåtet att behandla känsliga personuppgifter kan vara kvar
I 4 kap. 9 § lagen om behörighet för lokförare regleras under vilka förutsättningar personuppgifter om en persons fysiska och psykiska hälsa får behandlas i det s.k. förarbevisregistret. Känsliga personuppgifter som rör den registrerades hälsa får behandlas i registret om uppgifterna är nödvändiga för handläggning av ett ärende, eller för något av de ändamål som anges i 8 § samma lag, om det är nödvändigt med hänsyn till ändamålet. Att registret ska innehålla dessa uppgifter framgår av direktivet och kommissionens beslut (2010/17/EG).
I förarbetena (prop. 2010/11:122 s. 70) till bestämmelsen gjordes bedömningen att inget av undantagen i personuppgiftslagen var tillämpligt och att det därför behövdes en särskild bestämmelse som angav att behandling av känsliga personuppgifter som rör hälsa är tillåten i förarbevisregistret. Behandling av personuppgifter om hälsa torde därmed vara nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i dataskyddsförordningen) som är fastställt i nationell rätt genom den aktuella bestämmelsen. Författningen innehåller också bestämmelser om lämpliga och särskilda åtgärder i form av förbud mot vissa sökbegrepp och begränsning av åtkomst till uppgifterna för personal. Mot denna bakgrund bedöms bestämmelsen i lagen om behörighet för lokförare vara förenlig med dataskyddsförordningen. Bestämmelsen utgör alltjämt en särreglering som ska tillämpas framför de generella bestämmelserna i den föreslagna dataskyddslagen.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
5.1.5. Det behövs inga nya bestämmelser om behandling av känsliga personuppgifter
Några andra bestämmelser om känsliga personuppgifter eller hänvisningar till 13 § PUL än de som angetts ovan finns inte i författningarna som tillhör verksamhetområdet. De föreslagna undantagen i dataskyddslagen för behandling av känsliga personuppgifter är avsedda att vara generellt tillämpliga regler som ska gälla för verksamheter som inte har någon sektorsspecifik reglering av sin behandling av känsliga personuppgifter.
Det föreslagna undantaget i 3 kap. 3 § dataskyddslagen avser myndigheters behandling i vissa fall. Det ersätter bl.a. en del av den behandling av känsliga personuppgifter som i dag är tillåten enligt 8 § personuppgiftsförordningen (1998:1191) och missbruksregeln i 5 a § PUL.8 Känsliga personuppgifter får enligt den föreslagna bestämmelsen med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende, om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Vid författningsinventeringen har några författningar påträffats som det finns anledning att kommentera närmare på grund av den nya regleringen om behandling av känsliga personuppgifter i dataskyddsförordningen och de föreslagna bestämmelserna i dataskyddslagen. Det gäller framför allt med hänsyn till dataskyddsförordningens utgångspunkt att den nationella rätten i vissa fall ska innehålla bestämmelser om skyddsåtgärder och lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det är författningar där det framgår att det i verksamheten till följd av ärendehantering, antingen i ett register eller i en databas, kan förekomma behandling av uppgifter om hälsa. Sådan behandling sker i dag regelmässigt under sådana förutsättningar att dataskyddsförordningen blir tillämplig (jfr artikel 2.1 i dataskyddsförordningen).
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Sjömansregistret och certifikatregistret
Enligt 22 § mönstringslagen (1983:929) ska Transportstyrelsen med hjälp av automatisk databehandling föra ett register över sjömän och handelsfartyg där sjömän tjänstgör (sjömansregistret). Genom bestämmelsen är kraven i Europaparlamentets och rådets direktiv 2012/35/EU av den 21 november 2012 om ändring av direktiv 2008/106/EG om minimikrav på utbildning för sjöfolk och i den s.k. STCW-konventionen på att föra ett register uppfyllt. Enligt 23 § mönstringslagen ska sjömansregistret bl.a. innehålla uppgifter om de enskilda sjömännens identitet, kvalifikationer och statusen på sjömännens behörighetsbevis och intyg. Enligt tidigare förarbeten är det av stor betydelse från integritetssynpunkt att registret inte belastas med några i förhållande till ändamålet artfrämmande uppgifter, som exempelvis uppgifter om hälsotillstånd.9 I 22 kap. 1 § OSL finns en sekretessbestämmelse för uttag ur sjömansregistret.
I den mån det förekommer känsliga uppgifter om hälsa i sjömansregistret har behandling av sådana personuppgifter i registret stöd i nationell rätt. Artikel 9 i dataskyddsförordningen bedöms inte ge upphov till någon ytterligare reglering. Det samma gäller exempelvis 4 kap. 8 § luftfartsförordningen (2010:770) som anger att Transportstyrelsen ska föra register över innehavare av elevtillstånd, behörighetbevis och flygcertifikat samt utländska certifikat som godkänt (certifikatregistret). Registret innehåller enligt författningstexten bl.a. uppgifter om innehavarnas fysiska och psykiska lämplighet. För uppgifter i registret finns en tillämplig sekretessbestämmelse i 29 kap. 9 § OSL.
Situationer där andra än myndigheter behandlar känsliga personuppgifter
Inom verksamhetsområdet har det också påträffats författningar som ger stöd för andra än myndigheter att föra register innehållande hälsouppgifter. Att inom ramen för denna utredning göra en exakt genomgång av vilka känsliga personuppgifter som behandlas i dessa register, som inte innehåller någon dataskyddsreglering, är inte möjligt. Enligt 4 kap. 16 § fartygsäkerhetsförordningen (2003:438)
9 Jfr prop. 2013/14:132 s. 11–12 och prop. 1983/84:1 s. 23.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
ska en redare föra ett register över all anställd sjöpersonals utbildning, behörighet, relevant arbetserfarenhet och medicinska status samt hålla registret lättillgängligt för kontroll. Det är således inte fråga om en myndighet eller ett sådant organ som jämställs med myndigheter (jfr 1 kap. 5 § förslaget till dataskyddslag). Fartygssäkerhetsförordningen kompletterar fartygssäkerhetslagen (2003:364), som innehåller bestämmelser om sjösäkerhet, exempelvis krav på fartyg och deras bemanning, om arbetsmiljön på fartyg och om tillsyn. I 9 kap. 5 § fartygssäkerhetslagen finns en tystnadsplikt för uppgifter som lämnas till tillsynsmyndigheten. I offentlighets- och sekretesslagen finns det också en bestämmelse om sekretess hos tillsynsmyndigheten. En sådan nationell reglering där registret förs med ett tillsynssyfte, där det finns sekretessbestämmelser avseende tillsynen och där registret avser ett begränsat antal personer, bedöms uppfylla kraven på lämpliga och särskilda åtgärder i dataskyddsförordningen. Således är den nationella regleringen förenlig med dataskyddsförordningen även för det fall den innebär att redaren måste behandla känsliga personuppgifter.
Det finns också anledning att nämna lagen (1997:736) om färdtjänst och lagen (1997:735) om riksfärdtjänst som kan innebära personuppgiftsbehandling som innefattar känsliga personuppgifter hos kommuner, trafikhuvudmän och enskilda. Sådan behandling sker i dag med stöd av personuppgiftslagen. Både lagen om färdtjänst och lagen om riksfärdtjänst innehåller bestämmelser om att en tillståndgivare trots sekretess får lämna ut uppgifter om enskildas personliga förhållanden till en beställningscentral för transporter eller en trafikutövare, om uppgifterna behövs för att anordna transport som avses i lagen. Personer som är eller har varit verksamma inom enskild verksamhet som bedrivs yrkesmässigt och som omfattas av lagarna får inte heller obehörigen röja vad de i verksamheten fått veta om någons personliga förhållanden.
Personuppgiftsbehandling inom färdtjänst och riksfärdtjänst har tidigare behandlats i delbetänkandet Behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten (SOU 2003:4). I betänkandet konstaterades att automatiserade och manuella register får anses vara en nödvändig förutsättning för en effektiv och ändamålsenlig behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten. Vidare angavs att verksamheterna kan innefatta en betydande hantering av personuppgifter och i vissa fall en direkt eller indirekt
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
behandling av känsliga personuppgifter.10 Enligt utredningen skedde personuppgiftsbehandlingen med stöd av samtycke. Utredningen föreslog att behandlingen i stället borde ske med stöd av en registerförfattning och bedömde att det var ett viktigt allmänt intresse att kommuner, trafikhuvudmän, beställningscentraler och trafikutövare har möjlighet att utföra sina arbetsuppgifter inom färdtjänsten och riksfärdtjänsten på ett tillfredsställande sätt.11 Förslaget till registerförfattningar för färdtjänsten och riksfärdtjänsten har inte genomförts.
Att behandlingen av personuppgifter måste ha rättslig grund och dessutom uppfylla något undantag från förbudet att behandla känsliga personuppgifter gäller alltjämt i dataskyddsförordningen. Även i dataskyddsförordningen är det exempelvis med den registrerades uttryckliga samtycke tillåtet att behandla känsliga personuppgifter. Det framgår direkt av artikel 9.2 a i dataskyddsförordningen. I dataskyddsförordningen anges dock i skälen (43) att ett samtycke inte bör utgöra rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en myndighet och att det därför är osannolikt att samtycket har lämnats frivilligt. Enligt Dataskyddsutredningen kan myndigheternas utrymme för att grunda behandling på samtycke från den registrerade antas minska på grund av formuleringen i skäl 43 i dataskyddsförordningen.12 Att samtycket för att vara frivilligt måste ge individen en faktisk möjlighet att undgå betydande negativa konsekvenser om han eller hon inte samtycker var emellertid också en förutsättning enligt dataskyddsdirektivet.13 Det är således oklart hur stort utrymmet är för myndigheter att fortsättningsvis behandla känsliga personuppgifter med stöd av samtycke. För enskilda aktörer kvarstår möjligheterna att stödja behandling av känsliga personpersonuppgifter med stöd av uttryckligt samtycke om inte behandlingen av personuppgifter beror på myndighetsutövning.
Behandling av känsliga personuppgifter kan också vara tillåten enligt artikel 9.2 g i dataskyddsförordningen. Som framgått ovan konstaterades i SOU 2003:4 att automatiserade och manuella re-
10SOU 2003:87 s. 161 ff. 11SOU 2003:4 s. 63 och SOU 2003:87 s. 176 ff. 12SOU 2017:39 s. 123. 13 Jfr Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet samtycke s. 13–14.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
gister får anses vara en nödvändig förutsättning för en effektiv och ändamålsenlig behandling av personuppgifter inom färdtjänsten och riksfärdtjänsten. Enligt Dataskyddsutredningens bedömning är det i avsaknad av vägledande domar från EU-domstolen rimligt att anta att de obligatoriska uppgifter som utförs av kommuner och landsting, till följd av deras skyldigheter enligt lag eller förordning, är av allmänt intresse i dataskyddsförordningens mening.14
Den behandling av känsliga personuppgifter som sker hos en myndighet med anledning av lagen om färdtjänst och lagen om riksfärdtjänst har stöd i den föreslagna dataskyddslagens bestämmelser. För enskilda aktörer, där uppgifterna inte har samband med myndighetsutövning är befintliga bestämmelser i de aktuella lagarna tillsammans med bestämmelser om sekretess och tystnadsplikt tillräckliga åtgärder för att uppfylla kraven på lämpliga och särskilda åtgärder i artikel 9.2 g i dataskyddsförordningen. Någon ytterligare lagreglering bedöms sammanfattningsvis inte behövas för att det ska vara tillåtet att behandla känsliga personuppgifter för andra än myndigheter i färdtjänsten och riksfärdtjänsten. Även om en behandling av känsliga personuppgifter är tillåten enligt dataskyddslagen eller enligt en sektorsspecifik reglering måste den självklart i det enskilda fallet uppfylla dataskyddsförordningens krav i övrigt, exempelvis principerna för behandling i artikel 5, för att vara laglig.
5.2. Behandling av personuppgifter genom utlämnande
5.2.1. Tryckfrihetsförordningen, yttrandefrihetsgrundlagen och dataskyddsregleringen
Att lämna ut personuppgifter med stöd av 2 kap. tryckfrihetsförordningen utgör en behandling av personuppgifter enligt så väl dataskyddsdirektivet som dataskyddsförordningen. Ett utlämnande av personuppgifter har i förarbetena till personuppgiftslagen ansetts vara tillåtet enligt artikel 7 i dataskyddsdirektivet eftersom de registeransvariga myndigheterna är rättsligt förpliktade att följa grund-
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
lagsreglerna om utlämnade av allmänna handlingar och utlämnandet utgör ett led i myndighetsutövning.
Regeringen bedömer i Dataskyddsutredningens utredningsdirektiv att det genom dataskyddsförordningens artiklar 85 och 86 är tydligare än i dataskyddsdirektivet att den nya dataskyddsreformen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Förslaget till dataskyddslag innehåller en bestämmelse som erinrar om att bestämmelserna i dataskyddslagen och i dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. När det gäller utlämnande av känsliga personuppgifter utgör bestämmelserna i offentlighets- och sekretesslagen sådana åtgärder som medför att det är möjligt att göra undantag från förbudet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse. Att utlämnande kan ske enligt offentlighetsprincipen är ett sådant intresse.15
Om personuppgifterna lämnas ut i form av allmänna handlingar med stöd av bestämmelserna i tryckfrihetsförordningen aktualiseras inte en prövning av finalitetsprincipen.16 Det beror på att personuppgiftslagen inte är tillämplig på den personuppgiftsbehandling som myndighetens utlämnande innebär när det sker med stöd av tryckfrihetsförordningen. Vid utlämnande av personuppgifter mellan myndigheter har personuppgiftslagen i tidigare utredningsarbete ansetts tillämplig på den behandling som själva utlämnandet innebär eftersom det bedömts att myndigheter inte kan åberopa handlingsoffentlighet.17 Vad gäller offentliga uppgifter i allmänna handlingar har dock Justitiekanslern ansett att offentlighetsprincipen är tillämplig även myndigheter emellan (JK 1985 s. 104 och jfr SOU 2003:99). En längre gående uppgiftsskyldighet för myndigheter gentemot andra myndigheter än vad som regleras i 6 kap. 5 § OSL kan följa av särskilda föreskrifter.
15 Jfr prop. 1997/98:44 s. 44. 16SOU 2015:39 s. 69. 17SOU 2015:39 s. 448.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
5.2.2. Bestämmelser om uppgiftsskyldighet är förenliga med dataskyddsförordningen
Bedömning: Befintliga bestämmelser om uppgiftsskyldighet
inom verksamhetsområdet är förenliga med dataskyddsförordningen.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Offentlighets- och sekretesslagen innehåller flera bestämmelser som påverkar hur myndigheter får och ska lämna information till varandra. I 10 kap. 28 § OSL anges att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldigheten följer av lag eller förordning. En sekretessprövning behöver inte ske vid utlämnandet av uppgifterna utan det är tillräckligt med en prövning av vilka uppgifter som kan lämnas ut med stöd av uppgiftsskyldigheten. För att en bestämmelse om uppgiftsskyldighet ska vara sekretessbrytande måste den uppfylla vissa krav på konkretion. Den kan ta sikte på utlämnande av uppgifter av ett speciellt slag, gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information.18 En bestämmelse om mer generellt samarbete mellan myndigheter är inte av det slag att den utgör en uppgiftsskyldighet i den mening som avses i 10 kap. 28 § OSL. Inte heller 6 kap. 5 § OSL angående myndigheternas upplysningsplikt har den effekten. Detsamma gäller den allmänna samverkansskyldigheten myndigheter emellan enligt 6 § förvaltningslagen (1986:223).
Flera författningar inom verksamhetsområdet innehåller regler om hur uppgifter får eller ska lämnas myndigheter emellan och om vilka uppgifter som omfattas. Förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen innehåller en uppgiftsskylighet liksom lagen (2009:619) om djurskyddskontrollregister för att nämna några exempel.
18 Lenberg m.fl. Offentlighet- och sekretesslagen (7 mars 2017, Zeteo), kommentaren till 10 kap. 28 § OSL.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Varken dataskyddsdirektivet eller personuppgiftslagen innehåller några särskilda bestämmelser om hur eller på vilket sätt personuppgifter får lämnas mellan myndigheter. Inte heller dataskyddsförordningen innehåller några särskilda bestämmelser som tar sikte på utlämnande av personuppgifter mellan myndigheter.
Bestämmelser om uppgiftsskyldighet är förenliga med dataskyddsförordningen
Dataskyddsförordningen innehåller inte några särskilda bestämmelser som reglerar utlämnande av personuppgifter mellan myndigheter. Vid ett utlämnande av personuppgifter till följd av en uppgiftsskyldighet i lag eller förordning gäller därmed de grundläggande principerna för behandling av personuppgifter. Utlämnandet av personuppgifter måste således enligt dataskyddsförordningens bestämmelser, liksom enligt den nuvarande regleringen, ha en rättslig grund och följa de principer som finns i artikel 5 i dataskyddsförordningen. Utlämnandet ska således t.ex. vara förenligt med finalitetsprincipen. Ett utlämnade till en annan myndighet har i tidigare förarbeten ansetts vara förenligt med finalitetsprincipen om det är tillåtet enligt offentlighets- och sekretesslagen.19
I en specifik situation är dock dataskyddsförordningen inte fullt tillämplig vid utlämnande till en myndighet. En myndighet som i sin myndighetsutövning och på grund av en rättslig förpliktelse tar emot en personuppgift undantas från förordningens bestämmelser i vissa fall. Myndigheten anses nämligen i den situationen inte som mottagare av uppgiften i förordningens mening. Det innebär att den personuppgiftsansvarige inte behöver förse den registrerade med information om mottagarna eller kategorierna av mottagare (jfr artikel 13,14, 15,19, 30 i dataskyddsförordningen).
Enligt artikel 6.1 c i dataskyddsförordningen är behandlingen laglig om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse. En uppgiftsskyldighet i en författning skulle kunna utgöra en rättslig förpliktelse i förordningens mening. Enligt artikel 6.2 och 6.3 är det tillåtet med mer specifika bestämmelser för personuppgiftsbehandling som grundas på en rättslig förpliktelse. Den rättsliga
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
grunden får bl.a. innehålla bestämmelser avseende de enheter till vilka personuppgifter får lämnas ut och för vilka ändamål. Bestämmelser om uppgiftsskyldighet inom verksamhetsområdet är således förenliga med dataskyddsförordningen.
5.2.3. Bestämmelser om elektroniskt utlämnande kan vara kvar
Bedömning: Bestämmelser om hur elektroniskt utlämnande får
ske är förenliga med dataskyddsförordningen och behöver inte ändras.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
I registerförfattningarna finns ibland bestämmelser som syftar till att reglera om och i vilka fall personuppgifter får lämnas ut i elektronisk form.
Inom verksamhetsområdet finns flera författningar som särskilt reglerar behandling av personuppgifter genom utlämnande på medium för automatiserad behandling och elektroniskt utlämnande. Flera författningar har också bestämmelser om utlämnande genom en s.k. direktåtkomst. Ett sådant exempel finns i 7 § förordningen (2011:728) om behörighet för lokförare. Där anges att direktåtkomst till förarbevisregistret och intygsregister samt utlämnande av personuppgifter ur dessa register på medium för automatiserad behandling endast får medges om direktåtkomst eller utlämnande i varje enskilt fall föregås av en motiverad begäran. I 8 c § förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen anges bl.a. när en producentorganisation som erkänts av Jordbruksverket får ha direktåtkomst till uppgifter i Havs- och vattenmyndighetens databas. Andra exempel på utformning av direktåtkomster inom verksamhetsområdet är de som finns i de immaterialrättsliga förordningarna (jfr 20 d § mönsterskyddsförordningen [1970:486] och 38 e § patentkungörelsen [1967:838]). Det kan vara fråga om direktåtkomst myndigheter emellan (jfr 23 a–b §§ mönstringslagen [1983:929]) eller
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
direktåtkomst för andra aktörer till en myndighets register (jfr 16 § förordningen [2014:936] om näringsförbud).
Det finns inte i den nuvarande regleringen i personuppgiftslagen eller personuppgiftsförordningen några bestämmelser som tar direkt sikte på under vilka former ett elektroniskt utlämnande får ske.
Inte heller dataskyddsförordningen innehåller några särskilda bestämmelser om sättet för att få lämna ut personuppgifter. För att ett utlämnande av personuppgifter på medium för automatiserad behandling, genom annat elektroniskt utlämnande eller genom direktåtkomst ska vara förenligt med dataskyddsförordningen krävs, som för all personuppgiftsbehandling, att kraven i artikel 5 och 6 i dataskyddsförordningen är uppfyllda. I de fall utlämnandet avser känsliga personuppgifter eller uppgifter om lagöverträdelser, måste det även uppfylla kraven i artikel 9 och artikel 10. Även de allmänna bestämmelserna om grundläggande krav på säkerhet vid behandling innebär att den personuppgiftsansvarige måste vidta åtgärder för behandlingen ska vara tillåten.
Bestämmelser om elektroniskt utlämnande kan vara kvar
När det gäller elektroniskt utlämnande av personuppgifter innebär dataskyddsförordningen jämfört med dataskyddsdirektivet och personuppgiftslagen inget nytt. Bestämmelser om direktåtkomst eller annat elektroniskt utlämnande är inte oförenliga med dataskyddsförordningen. Bestämmelser som uppställer villkor för under vilka förutsättningar som direktåtkomst får medges påverkas därmed inte heller av dataskyddsförordningen.
5.2.4. Bestämmelser om försäljning av personuppgifter är förenliga med dataskyddsförordningen
Förslag: Hänvisningen till personuppgiftslagen i 13 § förord-
ningen med instruktion för Post- och telestyrelsen ska ersättas med en hänvisning till dataskyddsförordningen.
Bedömning: Bestämmelser om försäljning av personuppgifter är
förenliga med dataskyddsförordningen.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
I två av myndighetsinstruktionerna inom verksamhetsområdet finns bestämmelser om försäljning av uppgifter. Sådana bestämmelser finns i 9 § förordningen (2008:1300) med instruktion för Transportstyrelsen och 13 § förordningen (2007:951) med instruktion för Post- och telestyrelsen. I 14 § förordningen (1993:1270) om förande av samfällighetsföreningsregister m.m. anges under vilka förutsättningar som Lantmäteriet får sälja personuppgifter.
Det finns inget förbud mot försäljning av personuppgifter i personuppgiftslagen. Inte heller återfinns några sådana förbudsbestämmelser i dataskyddsdirektivet. I den tidigare datalagen (1973:289), som personuppgiftslagen ersatt, fanns det däremot en bestämmelse i 7 § första stycket 3 som särskilt reglerade försäljning av personuppgifter. I förarbetena till bestämmelsen i datalagen definierades försäljning av personuppgifter som de fall när en myndighet lämnar ut uppgifter mot ersättning för myndighetens arbete för uttaget av uppgifterna och övriga kostnader och det sker på ett sätt som innebär att myndigheten går utöver sina skyldigheter enligt tryckfrihetsförordningens bestämmelser om utlämnande av allmänna handlingar. Det framhölls också att ett utlämnande som innebär att myndigheten går utöver sina skyldigheter i tryckfrihetsförordningen, inte fick stå i strid med den då gällande datalagen.20
Försäljning av personuppgifter har berörts i förarbetena till lagen (2000:224) om fastighetsregister. Försäljningen av uppgifter bedömdes då kunna grundas på artikel 7 e (arbetsuppgift av allmänt intresse) i dataskyddsdirektivet när det gäller försäljning till myndigheter och andra som bedriver statlig eller kommunal verksamhet. I övrigt gjorde regeringen bedömningen att artikel 7 f (intresseavvägning) kunde bli aktuell.21 Även Offentlighets- och sekretesskommittén har behandlat frågan om försäljning av personuppgifter och konstaterade då att det var svårt att av de allmänt hållna bestämmelserna i personuppgiftslagen läsa ut i vilka fall, utöver då samtycke har lämnats, som försäljning av personuppgifter kunde vara tillåten.22
20Prop. 1990/91:60 s. 46 ff. 21Prop. 1999/2000:39 s. 102. 22SOU 2001:3 s. 204.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Det finns inte någon särskild bestämmelse i dataskyddsförordningen som medför att försäljning av personuppgifter skulle vara otillåten. Något hinder mot nationell reglering finns således inte. Försäljningsverksamheten måste dock vara förenlig med gällande bestämmelser till skydd för den personliga integriteten. För att en behandling av personuppgifter ska vara tillåten krävs dels en rättslig grund, dels att behandlingen i sig uppfyller de grundläggande kraven för behandling av personuppgifter. Försäljning av personuppgifter får därmed endast ske om försäljningen omfattas av ändamålen för behandlingen och om den har en rättslig grund (artikel 6 i dataskyddsförordningen).
Bestämmelser försäljning av personuppgifter är förenliga med dataskyddsförordningen
I författningsinventeringen påträffades tre bestämmelser som rör försäljning av uppgifter från en myndighet. De aktuella myndigheterna är Transportstyrelsen, Post- och telestyrelsen och Lantmäteriet. I den mån försäljningen avser personuppgifter ska det utlämnande som försäljningen innebär vara förenligt med den dataskyddsrättsliga regleringen. Principerna och de rättsliga grunderna för när personuppgiftsbehandling är tillåten gäller alltjämt. Det innebär bl.a. att även när det är fråga om försäljning av personuppgifter måste ett utlämnande av personuppgiften vara förenligt med ändamålen för det registret som uppgiften hämtas ur.
I förarbetena till fastighetsregistret har grunden i 10 § f PUL omnämnts. Denna möjlighet till behandling finns som ovan angetts inte kvar i dataskyddsförordningen när myndigheterna fullgör sina uppgifter. Av Dataskyddsutredningens betänkande framgår emellertid att utredningen anser att mycket talar för att dataskyddsförordningen medför en utvidgning av det unionsrättsliga begreppet uppgift av allmänt intresse. Dataskyddsutredningen resonerar vidare att det i avsaknad av vägledande domar från EU-domstolen förefaller rimligt med hänsyn till svensk förvaltningstradition att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även myndigheters befogenhet att bedriva viss uppdragsverksamhet
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
kan enligt Dataskyddsutredningen vara motiverad av ett allmänt intresse.23
Om behandlingen grundar sig på artikel 6.1 e i dataskyddsförordningen, dvs. behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, krävs också att grunden för behandlingen är fastställd i enlighet med unionsrätten eller nationell rätt (artikel 6.3 i dataskyddsförordningen). Det räcker således inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse utan uppgiften måste också vara fastställd i enlighet med gällande rätt.
Inom verksamhetsområdet finns ett uttryckligt författningsstöd för Transportstyrelsen, Post- och telestyrelsen och Lantmäteriet att under vissa förutsättningar sälja personuppgifter. Flera samhällsviktiga verksamheter och funktioner förutsätter att det finns tillgång till uppgifter ur register som syftar till att ge allmänheten viss information. Den behandling som ett utlämnande genom försäljning innebär torde således vara nödvändig för att utföra en uppgift av allmänt intresse, och därmed kunna stödjas på minst en utav de angivna rättsliga grunderna i artikel 6 i dataskyddsförordningen. Hänvisningen till personuppgiftslagen i 13 § förordningen med instruktion för Post- och telestyrelsen måste dock ersättas med en hänvisning till dataskyddsförordningen. I övrigt bedöms regleringen som förenlig med dataskyddsförordningen.
5.2.5. Överföring av personuppgifter till tredjeland är tillåtet i särskilda situationer
Förslag: Bestämmelser som rör överföringar av personuppgifter
från register som är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse ska kompletteras. Kompletteringen innebär att överföringen endast får ske om den är förenlig med artikel 49.2 i dataskyddsförordningen.
Hänvisningen till personuppgiftslagen i 9 kap. 12 § förordningen om åtgärder mot förorening från fartyg ska tas bort.
23SOU 2017:39 s. 123 ff.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Hänvisningen till personuppgiftslagen i 16 § förordningen om näringsförbud ska tas bort och ersättas av en hänvisning till dataskyddsförordningen.
Bedömning: Bestämmelser om överföring av personuppgifter till
tredjeland inom verksamhetsområdet kan vara kvar eftersom de är förenliga med regleringen i dataskyddsförordningen.
Dataskyddsdirektivet och nationell rätt
I dataskyddsdirektivet finns bestämmelser som begränsar överföring av personuppgifter till ett s.k. tredjeland. Bestämmelserna i direktivet har implementerats genom 33-35 §§ PUL. Med tredjeland avses i personuppgiftslagen en stat som varken ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet, EES (3 § PUL). Någon definition av tredjeland finns inte i dataskyddsdirektivet.24
Utgångspunkten är i artikel 25.1 i dataskyddsdirektivet att medlemsstaterna ska föreskriva att överföring till tredjeland endast får ske om tredjelandet säkerställer en adekvat skyddsnivå. Bestämmelsen har genomförts i 33 § PUL som anger att det är förbjudet att till tredjeland föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland.
I artikel 26.1 a–f i dataskyddsdirektivet anges i vilka fall medlemsstaterna får föreskriva att överföring till tredjeland som inte har en adekvat skyddsnivå är tillåten. Enligt artikel 26.1 d får en sådan överföring bl.a. ske om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Ytterligare en grund för överföring är att den görs från ett offentligt register som enligt lag eller annan författning är avsett att ge allmänheten information och som är tillgängligt för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet (artikel 26.1 f). Av skäl 58 till direktivet framgår bl.a. att om överföringen utförs med utgångspunkt i ett
24 Jfr SOU 1997:39 s. 295 och prop. 1997/98:44 s. 93.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
register som upprättats genom lagstiftning bör den inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. Artikel 26 i dataskyddsdirektivet har implementerats genom 34 § PUL som anger när det trots förbudet är tillåtet att föra över personuppgifter till tredjeland. Personuppgiftslagen innehåller inte någon motsvarighet till dataskyddsdirektivets bestämmelse om överföringar från ett offentligt register.
I 35 § PUL ges regeringen eller den myndighet som regeringen bestämmer möjlighet att meddela föreskrifter om undantag från förbudet mot överföring till tredjeland om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen får vidare under sådana förutsättningar även i enskilda fall besluta om undantag från förbudet mot överföring till tredjeland (35 § PUL tredje stycket).
Dataskyddsförordningen
I dataskyddsförordningen regleras överföring av personuppgifter till tredjeländer och internationella organisationer i kapitel 5. Någon uttrycklig definition av tredjeland finns inte i dataskyddsförordningen. Av skäl 101 framgår emellertid att bestämmelserna om tredjeland avser flöden av personuppgifter till och från länder utanför unionen. Däremot definieras internationell organisation i artikel 4 i dataskyddsförordningen. Någon motsvarighet till begreppet internationell organisation finns inte i dataskyddsdirektivet. Vid anpassningen av de bestämmelser som innehåller en motsvarighet till den definition av tredjeland som i dag finns i 3 § personuppgiftslagen25utgår jag från att de stater som är anslutna till EES inte kommer att innefattas i begreppet tredjeland. Om en inkorporering av dataskyddsförordningen inte sker i dessa stater behöver lydelsen i bestämmelserna anpassas efter begreppet tredjeland i dataskyddsförordningen.26
25 Det avser 4 § förordningen (2007:1111) med instruktion för Patent- och registreringsverket, 7 § förordningen (2007:1110) med instruktion för Bolagsverket, 24 d § utsädesförordningen (2000:1330) och 29 a § växtförädlarrättsförordningen (1997:383). 26 Jfr definitionen av tredjeland i förslaget till brottsdatalag i SOU 2017:29 s. 32, 575 och 578.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Som en allmän princip för överföring av personuppgifter anges i artikel 44 att överföring av personuppgifter som är under behandling eller avsedda att behandlas efter det att de har överförts till tredjeland eller en internationell organisation bara får ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser, uppfyller villkoren i kapitel 5 i dataskyddsförordningen.
Om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå får personuppgifter överföras till ett tredjeland eller en internationell organisation enligt artikel 45 i dataskyddsförordningen.
I avsaknad av ett beslut om adekvat skyddsnivå får en personuppgiftsansvarig eller ett personuppgiftsbiträde, enligt artikel 46, endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder. Exempelvis är bindande företagsbestämmelser en lämplig skyddsåtgärd. Ytterligare ett villkor är att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.
Det är tillåtet att föra över personuppgifter i särskilda situationer
Om det inte finns ett beslut från kommissionen eller om lämpliga skyddsåtgärder saknas får en överföring, eller uppsättning av överföringar, av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av de villkor som anges i artikel 49 i dataskyddsförordningen är uppfyllt.27 De inledande villkoren i artikel 49.1 a–c gäller inte för åtgärder som vidtas av myndigheter som ett led i myndighetsutövning (artikel 49.3). Detta är en nyhet i förhållande till dataskyddsdirektivet. Någon sådan begränsning finns inte för övriga undantag i artikeln.
En överföring kan enligt artikel 49.1 d i dataskyddsförordningen ske om den är nödvändig av viktiga skäl som rör allmänintresset. Det krävs då att allmänintresset är erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av (artikel 49.4).
27 Jfr artikel 26.1 a–f i dataskyddsdirektivet och 34 § PUL.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Det är alltså allmänintresset i sig som ska vara erkänt i unionsrätten eller den nationella rätten. Skäl 112 till dataskyddsförordningen skulle kunna ge ledning för i vilka situationer som undantaget är tänkt att tillämpas. Skälet anger som exempel på viktiga allmänintressen internationella utbyten av uppgifter mellan t.ex. konkur rensmyndigheter och finanstillsynsmyndigheter.
En överföring är även tillåten om den är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke (artikel 49.1 e och f). Till sist är en överföring tillåten om villkoret i artikel 49.1 g som avser överföringar från ett register är uppfyllt. Det ska då vara fråga om ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information. Vidare anges att registret ska vara tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som det i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet. En sådan överföring får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen endast göras på begäran av dessa personer eller om de själva är mottagarna.
Det finns vidare i artikel 49.5 ett uttryckligt utrymme för att i nationell rätt göra undantag från dataskyddsförordningens reglering. En sådan bestämmelse i nationell rätt ska med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter.28 Formuleringen medför att det endast kan bli fråga om begränsande nationella bestämmelser jämfört med den övriga regleringen om tredjelandsöverföringar i dataskyddsförordningen.
28 Jfr skäl 112 till dataskyddsförordningen. Där anges i stället särskilda kategorier av uppgifter.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Bestämmelser om överföringar i särskilda situationer kan behållas
Regleringen om överföringar av personuppgifter till tredjeland i personuppgiftslagen kommer att upphävas. Förlaget till dataskyddslag med anslutande förordning innehåller inga motsvarande bestämmelser. Bestämmelserna i dataskyddsförordningen är direkt tillämpliga. En överföring till tredjeland eller en internationell organisation får således ske även utan nationella bestämmelser när överföringen är tillåten enligt dataskyddsförordningens reglering. För att villkoret i artikel 49.1 d i dataskyddsförordningen ska kunna tillämpas är det emellertid en förutsättning att allmänintresset ska vara erkänt i nationell rätt eller i unionsrätten.
Av tydlighetsskäl kan det vara lämpligt att behålla en reglering som klargör att förutsättningarna för att överföra personuppgifter till tredjeland är uppfyllda i vissa situationer. Enligt artikel 6.2 i dataskyddsförordningen är det tillåtet att behålla mer specifika bestämmelser i den nationella rätten och fastställa specifika krav för uppgiftsbehandling. Det gäller när behandlingen grundas på en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. En förutsättning är att sådana bestämmelser behövs för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Även andra åtgärder för att säkerställa en laglig och rättvis behandling är tillåtna i dessa fall. Att i nationell rätt behålla bestämmelser som utgör specificeringar av dataskyddsförordningens reglering i artikel 49.1 för när myndigheter får föra över personuppgifter till ett tredjeland är därför, enligt min bedömning, förenligt med dataskyddsförordningen. Att en överföring får ske till internationella organisationer även om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.1 i dataskyddsförordningen eller lämpliga skyddsåtgärder enligt artikel 46 framgår direkt av dataskyddsförordningens bestämmelser i artikel 49.
Särregleringen i förhållande till personuppgiftslagen som påträffats på Näringsdepartementets verksamhetsområde avser enligt min bedömning överföringar som omfattas av villkoren i artikel 49.1 d eller g i dataskyddsförordningen. Det innebär att överföringen är nödvändig av viktiga skäl som rör allmänintresset eller görs från ett register. Det är i samtliga påträffade fall fråga om myndigheter som behandlar och som för över personuppgifterna.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
I 10 kap.17–18 §§luftfartsförordningen (2010:770) och 4 kap. 10 § lagen (2011:725) om behörighet för lokförare finns bestämmelser som innebär att uppgifter kan behöva lämnas till andra länder. Efter underhandskontakt anger Transportstyrelsen att frågan om utlämnande av personuppgifter till tredjeland i praktiken inte är relevant för de reglerade situationerna. Det finns därmed inte något behov av anpassning med anledning av dataskyddsförordningen.
Hänvisning till 33 § PUL
I 16 § förordningen (2014:936) om näringsförbud finns en hänvisning till förbudet mot överföring av personuppgifter till tredjeland. Denna bestämmelse bör i stället hänvisa till bestämmelserna om överföringar till tredjeland och internationella organisationer i dataskyddsförordningen.
Överföringar från register hos Bolagsverket och Patent- och registreringsverket
I 7 § förordningen (2007:1110) med instruktion för Bolagsverket anges att personuppgifter får föras över till tredjeland land i den utsträckning uppgifterna ingår i de register myndigheten för. Vilka register det är fråga om anges i paragrafen. I uppräkningen ingår exempelvis handelsregistret. En liknande reglering finns i förordningen (2007:1111) med instruktion för Patent- och registreringsverket.
Båda bestämmelserna har av Informationshanteringsutredningen kopplats till möjligheten att föreskriva undantag för offentliga register enligt artikel 26.1 f.29 Bestämmelsen i myndighetsinstruktionen för Patent- och registreringsverket syftar till att säkerställa offentliga register på internet.30
Det finns i dataskyddsdirektivet så väl som i dataskyddsförordningen utrymme för att tillåta överföringar av personuppgifter från register som förs av en myndighet i syfte att förse allmänheten med information. För att undantaget ska vara tillämpligt krävs att det är fråga om ett unionsrättsligt eller nationellt reglerat register
29SOU 2015:39 s. 482. 30 Öman och Lindblom, Personuppgiftslagen, (2 juni 2017, Zeteo), kommentaren till 35 § PUL.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
med syfte att ge allmänheten information, eller som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse. Skäl 111 till dataskyddsförordningen anger bl.a. att artikeln är tillämplig när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse.
Överföringar till tredjeland är tillåtna enligt Bolagsverkets myndighetsinstruktion från aktiebolagsregistret, handelsregistret, registret över europeiska grupperingar för territoriellt samarbete, filialregistret, föreningsregistret, EEIG-registret, företagsinteckningsregistret och bankregistret. Dessa register är sådana register som uttryckligen enligt författning syftar till att ge offentlighet åt den information som ingår i registren. Övriga register som räknas upp i instruktionen har även de tidigare bedömts omfattas av undantaget i dataskyddsdirektivet. De register som avses är europabolagsregistret, europakooperativsregistret, försäkringsregistret, registret över anknutna ombud enligt lagen (2007:528) om värdepappersmarknaden, inteckningsbrevregistret och registret över verksamhetsutövare enligt 6 kap. 3 § lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism. Undantaget i dataskyddsdirektivet och dataskyddsförordningen är i princip likalydande. Det finns därmed inte utifrån dataskyddsförordningens reglering skäl att göra en annan bedömning än den som gjordes när bestämmelsen i instruktionen för Bolagsverket infördes.
Patent- och registreringsverket får till en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet överföra personuppgifter som ingår i
- patent-, varumärkes- eller mönsterdokumentation som utgör allmän handling hos verket,
- patentregister eller diarium enligt 7 § patentkungörelsen
(1967:838),
- varumärkesregister eller diarium enligt 1 kap. 1 § andra stycket varumärkesförordningen (2011:594),
- mönsterregister eller diarium enligt 6 § mönsterskyddsförordningen (1970:486), eller
- register över periodiska skrifter.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Dessa register och diarium syftar enligt de angivna förordningarna till att ge offentlighet åt den information som registreras. Även dessa bestämmelser bör omfattas av undantaget för offentlighetsregister (artikel 49.1 g i dataskyddsförordningen).
En överföring får dock inte enligt artikel 49.2 i dataskyddsförordningen omfatta alla personuppgifter eller hela kategorier av personuppgifter i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna. En liknande formulering fanns i ingresskälen till dataskyddsdirektivet. Eftersom skälet numera har lyfts in i artikeltexten i dataskyddsförordningen bör ett tillägg som erinrar om att överföringar måste ske i överenstämmelse med artikel 49.2 göras i de bestämmelser som avser överföringar från sådana register. Sammanfattningsvis gör jag bedömningen att rättsläget rörande överföringar från offentlighetsregister inte ändras genom dataskyddsförordningen.
Överföring av uppgifter som ingår i en publikation
I 29 a § växtförädlarrättsförordningen (1997:383) och 24 d § utsädesförordningen (2000:1330) finns bestämmelser som medför att Jordbruksverket får till en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet föra över personuppgifter i den utsträckning uppgifterna ingår i den publikation som det hänvisas till i samma författning. Bestämmelserna är förenliga med undantagen i dataskyddsförordningen. Även här är syftet att de aktuella uppgifterna ska offentliggöras.
Rätt att få uppgifter ur sjömansregistret
I mönstringslagen (1983:929) finns en bestämmelse som bl.a. innebär att en medlemsstat i EU eller en stat som har tillträtt den internationella sjöfartsorganisationens konvention om normer för sjöfolks utbildning, certifiering och vakthållning från 1978 (STCW-konventionen) ska ha rätt att få ut vissa uppgifter ur sjömansregistret efter en begäran (23 a §). Regleringen ersätter de bestämmelser i personuppgiftslagen som reglerar möjligheten att överföra personuppgifter
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
till tredjeland. Även denna reglering är förenlig med bestämmelserna i dataskyddsförordningen.
Förordningen om åtgärder mot förorening från fartyg
I 9 kap. 12 § förordningen (1980:789) om åtgärder mot förorening från fartyg har regeringen gjort undantag från 33 § PUL för internationellt myndighetssamarbete. Enligt paragrafen får en flaggstatsrapport eller annan underrättelse till följd av ett brott enligt lagen (1980:424) om åtgärder mot förorening från fartyg sändas till en utländsk myndighet eller en mellanfolklig organisation. Förutsättningen är att skyldigheten att lämna uppgifterna följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller annars är skyldigt att följa.31 En flaggstatsrapport innebär i det här fallet att en annan stat underrättas om att ett brott mot ett förbud mot utsläpp kan ha begåtts på ett fartyg registrerat i staten.32 Syftet är att lagföring ska ske i den staten i stället för i Sverige. Ett beslut om att skicka en flaggstatsrapport kan fattas av Riksåklagaren, eller under vissa förutsättningar av Transportstyrelsen.33
Enligt artikel 2.2 d i dataskyddsförordningen är personuppgiftsbehandling som faller inom 2016 års dataskyddsdirektivs tillämpningsområde undantagen från förordningens tillämpningsområde. I förslaget till brottsdatalag (SOU 2017:29) för de rättsvårdande myndigheterna knyts lagens tillämpningsområde både till vilket syfte behandling av personuppgifter har och till att det är en behörig myndighet som utför den. En behörig myndighet föreslås av utredningen att definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften.34
När Transportstyrelsen beslutar att översända en flaggstatsrapport agerar den inte i egenskap av behörig myndighet i den mening
31 11 kap. 16 § lagen om åtgärder mot förorening från fartyg. 32 9 kap. 8 § förordningen om åtgärder mot förorening från fartyg. 33 9 kap. 10 § förordningen om åtgärder mot förorening från fartyg. 34SOU 2017:29 s. 169–173.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
som avses i den föreslagna brottsdatalagen. En överföring av personuppgifter som sker i samband med att Transportstyrelsen skickar en flaggstatsrapport till den stat där fartyget är registrerat bör således bedömas i förhållande till dataskyddsförordningen. Eftersom personuppgiftslagen kommer att upphävas måste hänvisningen till 33 § tas bort. Att en överföring av personuppgifter får ske framgår direkt av bestämmelsen. Hänvisningen till förbudet mot överföringar till tredjeland (33 § PUL) behöver därmed inte ersättas med en hänvisning till dataskyddsförordningen. Bestämmelsen i övrigt bedöms vara förenlig med dataskyddsförordningens reglering om överföring av personuppgifter till tredjeland och internationella organisationer (jfr artikel 49. 1 d viktiga skäl som rör allmänintresset).
Paragrafen kan emellertid också behöva ses över utifrån direktivet om brottsbekämpande verksamhet i den del där Riksåklagaren beslutar att tillställa en främmande stat en flaggstatsrapport. Att anpassa författningarna efter det nya dataskyddsdirektivet faller dock utanför ramen för detta uppdrag.
Krävs det ett bemyndigande för de bestämmelser som tagits in i förordning?
Någon motsvarighet till bemyndigandet i 35 § PUL finns inte i den föreslagna dataskyddslagen. När överföringar av personuppgifter får ske regleras direkt i dataskyddsförordningen. Nationella bestämmelser om överföringar av personuppgifter till tredjeland måste vara i överensstämmelse med förutsättningarna för överföringar till tredjeland och internationella organisationer i dataskyddsförordningen för att vara tillåtna. Bestämmelser om tredjelandsöverföringar finns i fem förordningar inom verksamhetsområdet. Bestämmelserna i växtförädlarrättsförordningen och utsädesförordningen avser offentliga uppgifter och bestämmelserna i myndighetsinstruktionerna har kopplats till dataskyddsdirektivets undantag för offentliga register. De aktuella bestämmelserna omfattas enligt min bedömning av regeringens restkompetens enligt 8 kap. 7 § regeringsformen. Bestämmelsen i förordningen om åtgärder mot förorening från fartyg kan eventuellt ha införts med stöd av bemyndigandet i personuppgiftslagen. Även denna bestämmelse omfattas enligt min uppfattning av 8 kap. 7 § regeringsformen.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
5.3. Säkerhets- och skyddsåtgärder vid personuppgiftsbehandling
5.3.1. Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Personuppgifter ska i enligt med dataskyddsdirektivets principer för personuppgiftsbehandling (artikel 6.1 c) vara adekvata och relevanta och inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. Principen har införlivats i 9 § e och f PUL.
Artikel 17 i dataskyddsdirektivet behandlar säkerhet vid personuppgiftsbehandling. Den registeransvarige ska enligt bestämmelsen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Medlemsstaterna ska också föreskriva att den personuppgiftsansvarige när behandling utförs för dennes räkning ska välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska och organisatoriska åtgärder som måste vidtas. Av artikel 16 i dataskyddsdirektivet framgår vidare att den som får tillgång till personuppgifter med anledning av sitt arbete, får behandla uppgifterna endast enligt instruktion från den registeransvarige, om han eller hon inte är skyldig att göra det enligt lag. Dataskyddsdirektivets artiklar om sekretess och särkerhet vid behandling har införlivats genom 30–31 §§ PUL. I 32 § PUL finns en bestämmelse om tillsynsmyndighetens möjligheter att besluta om säkerhetsåtgärder.
Enligt principen om uppgiftsminimering i dataskyddsförordningen (artikel 5.1 c) ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. I förhållande till dataskyddsdirektivet innehåller dataskyddsförordningen en ny princip om integritet och konfidentialitet i artikel 5.1 f. Det innebär att den personuppgiftsansvarige med användning av lämpliga tekniska eller organisatoriska åtgärder ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna. Det omfattar skydd mot obehörig eller otillåten behandling, och mot förlust, förstöring eller skada genom olyckshändelse. Det är den personuppgiftsansvarige som ansvarar för att principerna efterlevs (artikel 5.2). Vilka allmänna skyldigheter den personuppgiftsansvarige har anges i 4 kap. i dataskyddsförordningen.
I artikel 25 i dataskyddsförordningen, som är direkt tillämplig, regleras bl.a. vilka faktorer som den personuppgiftsansvarige ska be-
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
akta vid fastställandet av vilka medel behandlingen ska utföras med, och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder. Som exempel på sådana åtgärder anges pseudonymisering.35 Åtgärderna ska bl.a. vara utformade för ett effektivt genomförande av dataskyddsprinciper så som uppgiftsminimering. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet.
Även artikel 32 i dataskyddsförordningen reglerar säkerhet för personuppgifter i samband med behandling. Artikeln är direkt tillämplig och preciserar de åtgärder som den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta. Någon sådan exemplifiering av skyddsåtgärder finns inte i direktivets mer allmänna reglering om säkerhetåtgärder. En annan nyhet i förhållande till direktivet är personuppgiftsbiträdets eget ansvar för att vidta säkerhetsåtgärder.
5.3.2. Generella bestämmelser om säkerhets- och skyddsåtgärder
Bedömning: Dataskyddsförordningen kräver inga anpassningar
av bestämmelser om generella säkerhets- och skyddsåtgärder.
I förordningarna som rör register med uppgifter som syftar till att ge offentlighet åt den information som ingår i registren, har det införts en bestämmelse om säkerhets- och skyddsåtgärder. Den innebär att en angiven myndighet ska se till att det inte uppkommer något otillbörligt intrång i de registrerades personliga integritet eller några risker från säkerhetssynpunkt.36 För dessa syften får myndigheten i enskilda fall ställa upp villkor för behandlingen av personuppgifter. I förarbetena till företagsinteckningsregistret kommenteras en
35 Jfr definitionen av begreppet i artikel 4 i dataskyddsförordningen. 36 Se t.ex. handelsregisterförordningen (1974:188), patentkungörelsen (1967:838), mönsterskyddsförordningen (1970:486), förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete, förordningen (2014:936) om näringsförbud, varumärkesförordningen (2011:594) och förordningen (1992:308) om utländska filialer.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
motsvarande bestämmelse.37 Regeringen uttalade där att även om det primära syftet med registren är att ge offentlighet åt information kan vissa slag av bearbetningar få icke önskvärda effekter med hänsyn till enskildas personliga integritet. Risken för det ökar om många personuppgifter samlas i ett enda register. Bestämmelsen innebär inte någon generell föreskriftsrätt utan är ett bemyndigande att fatta beslut om ytterligare villkor i enskilda fall. Detta kan aktualiseras t.ex. när myndigheterna ska medge direktåtkomst till uppgifter i registren. I samtliga av de till verksamhetsområdet tillhörande förordningarna är den myndighet som kan meddela sådana särskilda villkor också personuppgiftsansvarig. Bestämmelsen innebär begränsningar för användningen av personuppgifter i offentliga register. Den erinrar också om den personuppgiftsansvariges skyldigheter vid behandling av personuppgifter. Sådana bestämmelser utgör därmed en tillåten nationell reglering när personuppgiftsbehandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen. Bestämmelserna kan därmed vara kvar i förordningarna.
5.3.3. Bestämmelser om sökbegrepp m.m. kan vara kvar
Bedömning: Bestämmelser om sökbegrepp och behörighets-
eller åtkomstbegränsningar utgör sådana tekniska och organisatoriska åtgärder som den personuppgiftsansvarige kan vidta enligt artikel 32 i dataskyddsförordningen. Sådana bestämmelser utgör en tillåten specificering enligt 6.2 och 6.3 i samma förordning när behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning. Bestämmelser om sökbegränsningar är av samma skäl förenliga med dataskyddsförordningen och kan vara kvar.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
I personuppgiftslagen finns det grundläggande bestämmelser om krav på säkerhet vid behandling av personuppgifter. Bestämmelserna medför att det i vissa fall behöver vidtas åtgärder för att till exempel förhindra missbruk. I en del andra författningar förekommer det därför bestämmelser som preciserar de allmänna kraven i personuppgiftslagen angående lämpliga säkerhetsåtgärder. Syftet med sådana regler är främst att motverka risker för otillbörliga integritetsintrång vid myndigheters hantering av personuppgifter. En typ av skyddsåtgärd som är vanligt förekommande i författningar som utgör en särreglering i förhållande till personuppgiftslagen är s.k. sökbegränsningar. Det innebär att en myndighets möjligheter att sammanställa uppgifter underkastas rättsliga begränsningar. En sökbegränsning kan även påverka vad som är allmänna handlingar hos en myndighet.
Ett exempel på en bestämmelse inom verksamhetsområdet som utgör en specificering av de grundläggande kraven på säkerhet i personuppgiftslagen är 9 § lagen (2009:619) om djurskyddskontrollregister. Jordbruksverket har bemyndigats att meddela föreskrifter i frågor som rör informationssäkerhet vid direktåtkomst. I 10 § samma lag anges att sådan åtkomst ska vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna. Ett annat exempel på en begränsning i samband med reglering av direktåtkomst finns i förordningen (2006:815) om provtagning på djur m.m. I mönstringsförordningen (1984:831) finns bestämmelser om sökbegrepp. Vid sökning av uppgifter ur sjömansregistret genom direktåtkomst får endast födelsedatum och löpnummer på det dokument vars uppgifter ska kontrolleras användas som sökbegrepp (jfr 17 §). En begränsning av åtkomst till uppgifter finns också i 4 kap. 13 § lagen (2011:725) om behörighet för lokförare. Den innebär att åtkomst till personuppgifter ska vara förbehållen de tjänstemän som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna. Dessa typer av reglering har inte någon direkt motsvarighet i dataskyddsdirektivet eller i personuppgiftslagen.
Det finns inte någon bestämmelse i dataskyddsförordningen som särskilt tar sikte på sökbegränsningar eller sökbegrepp. Detsamma gäller behörighetsstyrningar/åtkomstbegränsningar.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
När det gäller känsliga personuppgifter föreslår Dataskyddsutredningen att dataskyddslagen ska innehålla en bestämmelse om att myndigheter vid viss behandling inte får använda sökbegrepp som avslöjar känsliga personuppgifter. Begränsningen gäller bl.a. när känsliga personuppgifter behandlas av en myndighet i löpande text. I avsaknad av sektorsspecifik reglering föreslås således ett förbud för myndigheter att söka på känsliga personuppgifter då sådana uppgifter behandlas enbart med stöd av 3 kap. 3 § dataskyddslagen.38
Befintliga bestämmelser om sökbegrepp m.m. kan vara kvar
Den personuppgiftsansvarige har ett ansvar enligt dataskyddsförordningen för att vidta tekniska och organisatoriska åtgärder på eget initiativ. Det hindrar emellertid inte att specifika åtgärder kan fastställas i nationell rätt när dataskyddsförordningen tillåter det. Att i en författning ange att det vid en sökning i ett system endast får användas vissa sökbegrepp får anses utgöra en säkerhets- eller skyddsåtgärd i dataskyddsförordningens mening. Även behörighets- och åtkomstbegränsningar får anses vara sådana åtgärder. En sökning är en form av behandling av personuppgifter i dataskyddsförordningens mening. Den måste därmed uppfylla kraven i dataskyddsförordningen för att vara tillåten. Dataskyddsförordningen reglerar inte uttryckligen frågan om sökbegränsningar. En sökbegränsning i en författning kan därmed behållas med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen när det är fråga om myndigheters eller enskildas behandling som grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Känsliga personuppgifter som sökbegrepp
I lagen (2011:725) om behörighet för lokförare finns bestämmelser som rör personuppgifter om hälsa. I 4 kap. 13 § anges att känsliga personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp. Begränsningen gäller förarbevisregistret som förs av Transportstyrelsen. En sådan bestämmelse som anger att känsliga personuppgifter inte får användas som sökbegrepp bedöms som förenlig
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
med dataskyddsförordningen eftersom den överensstämmer med förbudet i artikel 9 i dataskyddsförordningen. Hänvisningen till personuppgiftslagen ska dock ersättas med en hänvisning till artikel 9 i dataskyddsförordningen. En sådan reglering gäller framför det föreslagna sökförbudet i dataskyddslagen om att myndigheter inte får använda sökbegrepp som avslöjar känsliga personuppgifter.
Handelsregisterförordningen innehåller också en bestämmelse om vad som får användas som sökbegrepp vid sökning i registret och vid sökningar efter handlingar som getts in i registreringsärenden (1 i §). Bestämmelsen anger också hur en sökning efter uppgifter får ske i fråga om ett registrerat trossamfund. Även en sådan reglering kommer att gälla framför den föreslagna dataskyddslagens bestämmelse om att myndigheter inte får använda sökbegrepp som avslöjar känsliga personuppgifter.
5.4. Den registrerades rättigheter
5.4.1. Inledning
Kapitel 3 i dataskyddsförordningen innehåller bestämmelser om den registrerades rättigheter. Rättigheterna i dataskyddsförordningen är direkt tillämpliga men är inte absoluta rättigheter. Det finns alltså möjlighet att under vissa förutsättningar begränsa den registrerades rättigheter.
I följande kapitel analyseras bestämmelserna endast utifrån den särreglering som finns i förhållande till personuppgiftslagen i dag och om det utifrån förändringarna i rättigheter för den registrerade finns behov och möjlighet att införa begränsningar av dessa rättigheter. Syftet är således inte att ge en heltäckande redogörelse av dataskyddsförordningens reglering.
5.4.2. Begränsningar i den registrerades rättigheter och den personuppgiftsansvariges skyldigheter
I dataskyddsdirektivet finns i artikel 13.1 möjlighet att i nationell rätt begränsa omfattningen av vissa skyldigheter och rättigheter som anges i direktivet. Enligt artikeln får en sådan begränsning ske i fall då begränsningen är en nödvändig åtgärd med hänsyn till de
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
intressen som räknas upp i samma artikel. Undantag av detta slag har införts både i personuppgiftslagen och i registerförfattningar.
Vissa av artiklarna i kapitel 3 i dataskyddsförordningen innehåller även möjligheter att under vissa förutsättningar inskränka den aktuella rättigheten. I dataskyddsförordningen finns dessutom en generell bestämmelse i artikel 23 som ger medlemsstaterna möjlighet att i den nationella rätten införa undantag från vissa av de rättigheter som de registrerade har enligt dataskyddsförordningen. En sådan begränsning är möjlig om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Begränsningen ska vidare syfta till att säkerställa ett antal uppräknade intressen. Det skulle exempelvis inom Näringsdepartementets verksamhetsområde kunna röra viktiga mål av generellt allmänt intresse eller skydd för den registrerades och andras rättigheter och friheter.
Sådana lagstiftningsåtgärder som skulle kunna komma i fråga ska enligt artikel 23.2 innehålla specifika bestämmelser, när så är relevant, avseende t.ex. ändamålen med behandlingen, eller kategorierna av behandling och av personuppgifter. Något sådant krav finns inte i artikel 13 i dataskyddsdirektivet.
5.4.3. Rätten till information
Förslag: Hänvisningar till 26 § personuppgiftslagen ska ersättas
av hänvisningar till artikel 15 i dataskyddsförordningen. Hänvisningen till datalagen i förordningen om förande av samfällighetsföreningsregister ska ersättas med en bestämmelse som upplyser om att dataskyddsförordningen innehåller bestämmelser om rätt till avgiftsfri information efter ansökan.
Bedömning: Bestämmelser som rör rätten till information om
uppgifter i handlingar som den enskilde redan har tagit del av är förenliga med dataskyddsförordningen. Rätten till information enligt dataskyddsförordningen föranleder inga övriga författningsändringar inom verksamhetsområdet.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Dataskyddsdirektivet och nationell rätt
Personuppgiftslagen innehåller flera bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om behandling av personuppgifter om honom eller henne pågår. Undantag från den personuppgiftsansvariges informationsskyldighet finns uppräknade i personuppgiftslagen. Ett sådant undantag gäller om uppgifterna omfattas av tystnadsplikt eller sekretess.
Bestämmelserna i 23–27 §§ PUL innehåller regler om information till den registrerade. Enligt 23 § PUL ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av personuppgifter när dessa samlats in från den registrerade själv. Av 24 § PUL framgår när information ska lämnas om personuppgifterna samlats in från någon annan källa än den registrerade. I 25 § PUL anges vad informationen ska omfatta. Information behöver inte lämnas om sådant som den registrerade känner till. Regleringen i 23–25 §§ PUL motsvaras i dataskyddsdirektivet av artiklarna 10 och 11.
I 26 § PUL regleras vilken information som den personuppgiftsansvarige är skyldig att lämna efter ansökan dvs. under vilka omständigheter som den registrerade har rätt till ett s.k. registerutdrag. Bland annat måste den registrerade ansöka skriftligen hos den personuppgiftsansvarige. Den personuppgiftsansvarige är skyldig att efter en sådan ansökan lämna besked om personuppgifter som rör den sökande behandlas eller inte. Skyldigheten behöver endast fullgöras en gång per kalenderår. Informationen ska lämnas inom en månad från det att ansökan gjordes men kan vid särskilda skäl lämnas senast fyra månader efter det att ansökan gjordes. Motsvarande bestämmelse om den registrerades rätt till tillgång till personuppgifter finns i artikel 12 i dataskyddsdirektivet.
Information som ska tillhandahållas enligt artiklarna 13 och 14 dataskyddsförordningen
Enligt artiklarna 13 och 14 i dataskyddsförordningen ska den personuppgiftsansvarige självmant lämna viss information till den registrerade om personuppgifterna har samlats in från den registrerade respektive om personuppgifterna inte erhållits från den registrerade. Någon författning som i dag innehåller en särreglering i för-
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
hållande till 23–25 §§ PUL och därmed även i förhållande till rätten till information enligt artiklarna 13 och 14 i dataskyddsförordningen har inte påträffats vid författningsinventeringen. Artiklarna 13–14 föranleder därför inte några författningsändringar. Att det inte finns någon reglering beträffande informationsskyldighet tyder på ett det inte heller generellt finns något sådant behov i förhållande till regleringen i dataskyddsförordningen.
Den registrerades rätt till tillgång enligt artikel 15 dataskyddsförordningen
Den registrerade ska enligt artikel 15 i dataskyddsförordningen ha rätt att få en bekräftelse på om personuppgifter som rör honom eller henne behandlas. Om så är fallet, ska den registrerade få tillgång till personuppgifterna och den information som räknas upp i artikeln. Den personuppgiftsanvarige ska underlätta utövandet av rättigheten och ska på begäran, utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information enligt artikel 15 om de åtgärder som vidtagits. Under vissa förutsättningar kan den angivna tidfristen förlängas (artikel 12.3).
I vissa författningar förekommer det i dag bestämmelser som har modifierat skyldigheten att lämna information efter ansökan från den registrerade. I tre förordningar inom verksamhetsområdet som reglerar register som syftar till att ge offentlighet åt den information som finns i registret förekommer bestämmelser som innebär ett av-
steg från den information som ska lämnas enligt 26 § PUL. Informa-
tionen behöver inte omfatta uppgift i en handling som har kommit in till myndigheten, om den enskilde har tagit del av handlingens innehåll. Om den enskilde begär det, ska dock informationen även omfatta uppgift i en sådan handling. Om informationen inte innehåller uppgift i en sådan handling, ska det framgå av informationen att handlingen behandlas av myndigheten. Sådana bestämmelser finns i 13 f § förordningen (1992:308) om utländska filialer m.m., 7 § förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete och i 1 g § handelsregisterförordningen (1974:188).
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Bestämmelser som anger att ett s.k. registerutdrag inte behöver omfatta uppgifter i handlingar som den enskilde har tagit del av kan vara kvar
Regleringen i artikel 15 i dataskyddsförordningen om den registrerades rätt till tillgång gäller direkt. Det finns dessutom i artikel 12.3 tidfrister inom vilken begärd information ska lämnas. Rätten till information är en förutsättning för att enskilda ska kunna kontrollera om personuppgiftsbehandlingen är laglig och att uppgifterna är korrekta samt för att de ska kunna begära exempelvis rättelse av personuppgifterna. Rätten utgör en viktig del av integritetsskyddet särskilt i regelrätta register. Rätten får bl.a. vägas mot att myndigheternas skyldighet att utge information i vissa fall kan ses som betungande. Det gäller särskilt då myndigheten utöver förandet av ett offentligt register även har en omfattande ärendehantering.
Det saknas förarbeten till 13 f § förordningen (1992:308) om utländska filialer m.m., 7 § förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete och i 1 g § handelsregisterförordningen (1974:188). Oavsett bakgrunden till införandet av bestämmelserna innebär regleringen inte någon egentlig inskränkning av rätten till information enligt artikel 15 i dataskyddsförordningen. Den enskilde har genom bestämmelsen inte fråntagits rätten att få information om uppgifter i en handling som har kommit in till myndigheten. Bestämmelserna kan därmed vara kvar. Hänvisningen till 26 § PUL ska ersättas med en hänvisning till artikel 15 i dataskyddsförordningen.
Någon övrig särreglering inom verksamhetsområdet avseende rätten till information efter ansökan har inte påträffats. Det finns därmed inte anledning att inom ramen för denna utredning göra ytterligare författningsändringar med anledning av artikel 15 i dataskyddsförordningen.
Även dataskyddsförordningen innehåller en rätt till avgiftsfria registerutdrag
I artikel 12.5 i dataskyddsförordningen anges bl.a. att åtgärder som vidtas enligt artikel 15 ska tillhandahållas kostnadsfritt. Om begäran från en registrerad är uppenbart ogrundad eller orimlig, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
administrativa kostnaderna för att tillhandahålla informationen eller vidta den åtgärd som begärts. Den personuppgiftsansvarige kan i den situationen också välja att vägra att tillmötesgå begäran. Vid bedömningen av om begäran är uppenbart ogrundad eller orimlig får särskilt beaktas deras repetitiva art. Bevisbördan har lagts på den personuppgiftsansvarige som ska visa att begäran är uppenbart ogrundad eller orimlig.
I artikel 15.3 i dataskyddsförordningen anges vidare att den personuppgiftsansvarige ska förse den registrerade med en kopia av personuppgifter som är under behandling. För eventuella ytterligare kopior får den personuppgiftsansvarige ta ut en rimlig avgift. Denna reglering skiljer sig från dess motsvarighet i personuppgiftslagen som anger att den personuppgiftsansvarige en gång per kalenderår gratis ska lämna ett sådant besked (26 §).
I 13 § förordningen (1993:1270) om förande av samfällighetsföreningsregister anges bl.a. att avgift enligt bestämmelsens första stycke inte ska tas ut för en underrättelse enligt 10 § datalagen (1973:289). Bestämmelsen i datalagen gav den enskilde en rätt till insyn i personregister efter en skriftlig begäran. Ett sådant registerutdrag hade den enskilde rätt att få kostnadsfritt en gång per år. Hänvisningen till datalagen framstår inte som motiverad utifrån övergångsbestämmelserna till personuppgiftslagen. Hänvisningen till datalagen bör därmed kunna ersättas med en upplysningsbestämmelse om rätten att få ett s.k. registerutdrag kostnadsfritt enligt dataskyddsförordningens reglering. Några övriga författningsändringar behövs inte med anledning av att bestämmelsen i personuppgiftslagen försvinner och ersätts av dataskyddsförordningens reglering. Vad som utgör en orimlig och ogrundad begäran från den registrerade får således bedömas av den personuppgiftsansvarige.
5.4.4. Rätten till rättelse
Förslag: Bestämmelser i registerförfattningar som hänvisar till
28 § PUL ska tas bort.
Bestämmelser om rättelse av personuppgifter som innebär att 26 § förvaltningslagen ska tillämpas kan vara kvar men ska i stället hänvisa till dataskyddsförordningen.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Bedömning: Artikel 16 i dataskyddsförordningen föranleder inte
i övrigt några författningsändringar.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
En rätt för den registrerade att få personuppgifter rättade, utplånade eller blockerade finns i artikel 12 b i dataskyddsdirektivet. Artikel 12 c i dataskyddsdirektivet anger vidare att medlemstaterna ska säkerställa att varje registrerad har rätt att få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b, om inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.
Direktivets bestämmelser har införlivats genom 28 § PUL. Där framgår att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Bestämmelsen i personuppgiftslagen har rubriken ”rättelse” men av ordalydelsen och av förarbetena framgår att det med rättelse menas rättelse i den vidare bemärkelsen korrigering, som alltså kan ske genom de alternativa metoderna rättelse, blockering och utplåning. Det är i princip den personuppgiftsansvarige som själv väljer korrigeringsmetod, dvs. om de aktuella personuppgifterna ska rättas, blockeras eller utplånas. Av annan lagstiftning eller på grund av omständigheterna i ett enskilt fall kan dock följa att vissa korrigeringsmetoder inte kan användas.
Personuppgiftslagens bestämmelse om rättelse avser endast behandling som skett enligt personuppgiftslagen eller föreskrifter som har meddelats i anslutning till lagen. För att bestämmelsen ska bli tillämplig på en behandling enligt en annan författning krävs således
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
en hänvisning i den författningen till personuppgiftslagens bestämmelser.39
Inom verksamhetsområdet finns det i två förordningar som avser förande av register bestämmelser som innebär att 26 § förvaltningslagen (1986:223) ska tillämpas på frågan om rättelse av personuppgifter i stället för 28 § PUL. Det är 1 f § handelsregisterförordningen (1974:188) och 9 § förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete.
Av 26 § förvaltningslagen framgår att ett beslut som innehåller en uppenbar oriktighet till följd av myndighetens eller någon annans skrivfel, räknefel eller liknande förbiseende, får rättas av den myndighet som har meddelat beslutet. Innan rättelse sker ska myndigheten ge den som är part tillfälle att yttra sig, om ärendet avser myndighetsutövning mot någon enskild och åtgärden inte är obehövlig.
Till skillnad från förvaltningslagen är bestämmelsen i personuppgiftslagen inte relaterad till skrivfel eller liknande och den innehåller inte heller något uppenbarhetsrekvisit. Kravet på oriktighet har ansetts utgöra ett avsteg från bestämmelsen om rättelse i personuppgiftslagen (jfr exempelvis Ds 2007:20). En sådan begränsning behövde även vara förenlig med dataskyddsdirektivet. Dataskyddsdirektivet tillåter undantag och begränsningar från den registrerades rätt att få tillgång till uppgifter, inklusive rätten till rättelse. En förutsättning är att en sådan begränsning är en nödvändig åtgärd med hänsyn till bl.a. ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller skydd av den registrerades eller andras fri- och rättigheter (artikel 13). Vid en registrering som får betydande rättsliga och ekonomiska verkningar har rätten till rättelse i annat lagstiftningsarbete begränsats bl.a. på så sätt att det endast är möjligt när uppgiften är uppenbart oriktig. En sådan begränsning har ansetts förenlig med dataskyddsdirektivet eftersom den avser att skydda andras fri- och rättigheter.40
Den registrerade har utan onödigt dröjsmål enligt artikel 16 i dataskyddsförordningen rätt till rättelse av felaktiga personuppgifter som rör honom eller henne. Samma bestämmelse ger också den registrerade rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
39 Jfr t.ex. prop. 2008/09:143 s. 33. 40 Jfr exempelvis prop. 2002/03:49 s. 134 och Ds 2007:20 s. 70.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Bestämmelsen i artikel 16 i dataskyddsförordningen om rätt till rättelse är direkt tillämplig men kan begränsas i nationell rätt enligt de förutsättningar som anges i artikel 23 i dataskyddsförordningen. Rätten till radering regleras i artikel 17. Artikel 18 reglerar begränsning av behandling. Dessa artiklar behandlas i följande avsnitt.
Bestämmelser som hänvisar till 28 § PUL ska tas bort
Eftersom dataskyddsförordningens reglering om rättelse är direkt tillämplig oavsett vilken nationell reglering som gäller för behandlingen behövs det inte någon hänvisning till dataskyddsförordningen. Bestämmelser som i dag hänvisar till 28 § PUL bör därmed tas bort. Sådana hänvisningar finns i lagen (2009:619) om djurskyddskontrollregister, lagen (2006:24) om nationella toppdomäner för Sverige på Internet, lagen (2007:1150) om tillsyn över hundar och katter, skogsvårdslagen (1979:429), lagen (2011:725) om behörighet för lokförare, jaktförordningen (1987:905), förordningen (2014:936) om näringsförbud, patentkungörelsen (1967:838), mönsterskyddsförordningen (1970:486), varumärkesförordningen (2011:594), förordningen (2010:1053) om auktorisation av patentombud och förordningen (1992:308) om utländska filialer.
Bestämmelser som innebär att 26 § FL ska tillämpas i stället för reglerna om rättelse i dataskyddsförordningen kan vara kvar
Rättelse enligt 26 § förvaltningslagen förutsätter dels att det är uppenbart att uppgiften är oriktig, dels att felet beror på skrivfel, räknefel eller liknande förbiseende. Dessa krav utgör en begränsning i förhållande till regleringen i artikel 16 i dataskyddsförordningen. En sådan begränsning har tidigare i vissa register ansetts förenlig med dataskyddsdirektivet och kan även vara förenlig med dataskyddsförordningen.
De författningar inom verksamhetsområdet som innehåller en sådan reglering är 9 § förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete och 1 f § handelsregisterförordningen (1974:188). För dessa register är det i första hand undantaget i artikel 23.1 i) i dataskyddsförordningen som är aktuellt. Undantaget innebär att begränsningen av rättigheter får ske
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
för att säkerställa skydd för den registrerades eller andras fri- och rättigheter. Motsvarande undantag finns också i dataskyddsdirektivet (jfr artikel 13 g).
Registrering av uppgifter i handelsregistret har långtgående rättsverkningar. Ett exempel på det är att registreringen är en förutsättning för att ett handelsbolag ska bildas och bli en juridisk person. Ett annat att den som träder i affärsförbindelse med en registrerad organisation kan kontrollera denna. Europeiska grupperingar för territoriellt samarbete är juridiska personer som skapas för att lokala och regionala myndigheter i minst två EU-länder ska kunna samarbeta. Det är mot denna bakgrund som möjligheten att kräva rättelse med stöd av personuppgiftslagen begränsats.
Den registrerades rättigheter får begränsas om det utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa angivna intressen. En begränsning av rätten till rättelse i handelsregistret och i registret över europeiska grupperingar för territoriellt samarbete uppfyller med hänsyn till de rättsverkningar som är förenade med införandet i dessa register detta krav.
De aktuella författningarna bedöms också vara förenliga med kraven som anges i artikel 23.2 i dataskyddsförordningen. De innehåller relevanta bestämmelser bl.a. om ändamålen med behandlingen och kategorierna av personuppgifter. Att behålla befintliga bestämmelser som innebär att 26 § förvaltningslagen ska tillämpas i stället för reglerna om rättelse i dataskyddsförordningen är därmed förenligt med förordningen.
Det har inom ramen för ett angränsande anpassningsarbete (Ds 2017:19 Anpassningar av de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna till dataskyddsförordningen) argumenterats för att rätten till rättelse enligt förvaltningslagen bör utökas. Motivet skulle vara att det i ett enskilt fall kan saknas behov av ett sådant skydd som bestämmelsen innebär. En generell inskränkning är därför enligt promemorians bedömning inte nödvändig eller proportionell i förhållande till syftet. Rättelse av personuppgifter bör därför kunna ske även om oriktigheten inte är uppenbar eller beror på något annat förhållande, under förutsättning att den kan ske utan skada för den registrerade eller andras rättigheter och friheter.41
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Det framstår som väsentligt att samma regler gäller för offentliga register med likartade syften. En utökning av rättelsemöjligheterna i handelsregistret och registret över europeiska grupperingar för territoriellt samarbete innebär dock enligt min mening en materiell ändring som inte direkt föranleds av en anpassning efter dataskyddsförordningens reglering. Möjligheten till undantag från den registrerades rättigheter kan inte enligt min bedömning anses ha minskat med dataskyddsförordningen. Konsekvenserna av en sådan ändring för exempelvis handelsregistret är också svåröverblickbara. Dessutom torde en sådan ändring även innebära att bestämmelsen om skadestånd i dataskyddsförordningen blir tillämplig till skillnad från tidigare. Mot denna bakgrund gör jag bedömningen att en utökning av möjligheten till rättelse och de därmed sammanhängande materiella övervägandena inte omfattas av detta uppdrag.42 Eftersom bestämmelserna i förordningarna som tillhör verksamhetsområdet enligt min bedömning är förenliga med dataskyddsförordningen bör bestämmelserna endast justeras på så sätt att de hänvisar till rättelsebestämmelsen i dataskyddsförordningen.
Någon övrig reglering som i dag utgör särskilda eller exklusiva rättelsebestämmelser avseende personuppgifter finns inte i de genomgångna författningarna. I de fall där författningen innehåller andra bestämmelser om ändring av registrerade förhållanden eller uppgifter med ett annat syfte än rättelse av personuppgifter, som exempelvis förordningen (1986:172) om luftfartygsregistret, är utgångspunkten att den personuppgiftsbehandling som förekommer i registret sker med stöd av personuppgiftslagen. För de författningar där 28 § PUL i dag gäller bedöms inget undantag från artikel 16 i dataskyddsförordningen behövas. Den registrerades rätt till rättelse föranleder därmed inga ytterligare ändringar i författningarna som anges i bilaga 2.
42 Jfr också SOU 2017:37 s. 354–359 Utredningen om organiserad och systematisk ekonomisk brottslighet mot välfärden anser att Bolagsverkets förutsättningar att behandla personuppgifter bör ses över bl.a. för myndigheten ska kunna kontrollera uppgifter i syfte att säkerställa att uppgifterna bl.a. i aktiebolagsregistret, handelsregistret och föreningsregistret i större utsträckning speglar verkliga förhållanden.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
5.4.5. Rätten till radering
Bedömning: Rätten till radering föranleder inga författnings-
ändringar inom verksamhetsområdet.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Den registrerade har en rätt till utplåning enligt artikel 12.b i dataskyddsdirektivet. Denna bestämmelse har i svensk rätt genomförts genom 28 § PUL, tillsammans med rätten till rättelse och blockering.
I artikel 17 i dataskyddsförordningen finns en rätt till radering, en s.k. rätt att bli glömd. Artikeln är direkt tillämplig. Av artikel 17.1–2 framgår under vilka förutsättningar som rättigheten gäller. I artikel 17.3 anges när punkterna 1–2 inte ska gälla. Rätten till radering ska till exempel inte gälla i den utsträckning behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Inte heller gäller rätten i den utsträckning behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
Det behövs inga särskilda undantag från artikel 17 inom verksamhetsområdet
Den nuvarande regleringen i 28 § PUL inkluderar åtgärden utplåning. I dataskyddsförordningen har det däremot gjorts en åtskillnad mellan å ena sidan att rätta felaktiga personuppgifter och komplettera ofullständiga personuppgifter (artikel 16) och å andra sidan att personuppgifterna ska raderas t.ex. för att de behandlats på olagligt sätt (artikel 17). I några författningar inom verksamhetsområdet anges rätten till utplåning genom en hänvisning till 28 § PUL. Dessa hänvisningar kan tas bort och behöver inte ersättas. Motivet för ställningstagandet är detsamma som för motsvarande bedömning avseende rättelse, se avsnitt 5.4.4. Hänvisningen är således inte längre nödvändig för att åtgärden ska kunna tillämpas.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
I förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete och handelsregisterförordningen (1974:188) anges att rättelse inte kan ske enligt 28 § PUL utan endast under de förutsättningar som anges i 26 § FL. Det innebär att den enskilde inte kan kräva utplåning. De aktuella författningarna innehåller andra bestämmelser om hur uppgifter som registrerats får ändras (jfr 13 § handelsregisterlagen och 16 § förordning om register över europeiska grupperingar för territoriellt samarbete).
Artikel 17 i dataskyddsförordningen är av begränsad betydelse när det är fråga om myndigheter och offentlig verksamhet som behandlar personuppgifter. Av artikel 17.3 b i dataskyddsförordningen framgår nämligen att rätten till radering inte gäller i den utsträckning som behandlingen är nödvändig för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Handelsregistret och registret över europeiska grupperingar för territoriellt samarbete förs av Bolagsverket. De förs för att ge offentlighet åt uppgifterna i registren. Behandlingen är därmed sådan som avses i artikel 17.3 b i dataskyddsförordningen. Jag bedömer därför att något särskilt undantag från artikel 17 inte behövs i de aktuella förordningarna.
Mycket av den personuppgiftsbehandling som sker med stöd av författningarna inom verksamhetsområdet sker med stöd av artikel 6.1 c eller e i dataskyddsförordningen. När det är fallet gäller inte rätten till radering (artikel 17.3 i dataskyddsförordningen). Dataskyddsbestämmelserna inom verksamhetsområdet behöver således inte kompletteras för att begränsa rätten till radering.
5.4.6. Rätten till begränsning av behandling
Förslag: Handelsregisterförordningen och förordningen om re-
gister över europeiska grupperingar för territoriellt samarbete ska kompletteras så att det blir tydligt att rätten till begränsning av behandling fortfarande är inskränkt.
Bedömning: Rätten till begränsning av behandling föranleder
inte andra författningsändringar eller nya bestämmelser.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Enligt artikel 12 b i dataskyddsdirektivet ska medlemsstaterna säkerställa att den registrerade, i förekommande fall, får sådana uppgifter som inte behandlas i enlighet med direktivets bestämmelser blockerade. Artikeln införlivades i 28 § PUL.
Enligt artikel 18 i dataskyddsförordningen har den registrerade rätt att kräva att personuppgiftsbehandlingen avseende honom eller henne begränsas under vissa förutsättningar. Vad som åsyftas med begränsning av behandling förtydligas i artikel 4.3 i dataskyddsförordningen. Med begränsning avses markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. Artikel 18 är direkt tillämplig. I artikel 18.2 anges vissa undantag när personuppgifter får behandlas trots att behandlingen har begränsats. Det får exempelvis ske för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller en medlemsstat.
Rätten till begränsning av behandling ska inte gälla för bl.a. handelsregistret
Hänvisningar i dataskyddsbestämmelser till 28 § PUL innefattar också blockering av personuppgifter. Sådana hänvisningar bör i enlighet med vad som angetts avseende rättelse och radering tas bort eftersom de inte behövs.
Rätten till rättelse av personuppgifter enligt 28 § PUL gäller inte för personuppgifter i handelsregistret respektive registret över europeiska grupperingar för territoriellt samarbete. Istället kan rättelse ske endast enligt 26 § förvaltningslagen. Det innebär att korrigeringsalternativet blockering av personuppgifter inte är tillgängligt enligt gällande rätt. I avsnitt 5.4.4 om rättelse finns en beskrivning av de rättsverkningar registren har. Mot den bakgrunden anser jag att rätten till begränsning bör vara inskränkt även när dataskyddsförordningen ska börja tillämpas. I artikel 18.2 anges visserligen när personuppgifter får behandlas även om behandlingen har begränsats, bl.a. för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänt intresse för unionen eller en medlemsstat. I registret över europeiska grupperingar för territo-
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
riellt samarbete och handelsregistret där rättelse ska ske enligt förvaltningslagen kan en mer generös bestämmelse om begränsning av behandling än vad som utgör gällande rätt ha verkningar för andras rättigheter och friheter. Bolagetsverket bör alltså på motsvarande sätt som gäller i dag inte vara skyldigt att begränsa behandlingen av personuppgifterna enligt artikel 18 i dataskyddsförordningen i dessa register.
För att få göra undantag från den direkt tillämpliga bestämmelsen i artikel 18 måste lagstiftningen överensstämma med kraven i artikel 23 i dataskyddsförordningen. Med hänsyn till den begränsade betydelse artikeln kan förmodas få för den registrerade i dessa register bedöms inte ett sådant undantag som en oproportionerlig åtgärd. De aktuella författningarna är också förenliga med kraven i artikel 23.2. För övriga författningar bedöms artikel 18 inte föranleda några författningsändringar.
5.4.7. Mottagare ska underrättas
Bedömning: Artikel 19 föranleder inga författningsändringar
inom verksamhetsområdet.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Av 28 § PUL framgår att den personuppgiftsansvarige i vissa fall ska underrätta en tredje man, till vilken uppgifterna har lämnats ut, om den vidtagna korrigeringsåtgärden. Motsvarigheten finns i artikel 12 c i dataskyddsdirektivet. Enligt artikel 19 i dataskyddsförordningen ska den personuppgiftsansvarige underrätta varje mottagare om de eventuella rättelser, raderingar eller begränsningar av behandling som har skett. Åtgärden behöver dock inte vidtas om det visar sig omöjligt eller om det skulle medföra en oproportionell ansträngning.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Artikel 19 leder inte till några författningsändringar
Bestämmelsen bedöms inte föranleda några särskilda åtgärder i de genomgångna författningarna.
5.4.8. Rätten till dataportabilitet
Bedömning: Rätten till dataportabilitet leder inte till några för-
fattningsändringar inom verksamhetsområdet.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Dataskyddsdirektivet saknar bestämmelser om dataportabilitet. Det finns inte heller någon sådan reglering i personuppgiftslagen.
Enligt artikel 20 i dataskyddsförordningen har den registrerade en rätt till dataportabilitet. En förutsättning för att rätten ska kunna tillämpas är att behandlingen grundar sig på samtycke eller avtal. Bestämmelsen är direkt tillämplig.
Artikel 20 leder inte till några författningsändringar
Om en behandling är nödvändig för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, är det tillåtet att i nationell rätt specificera tillämpningen. Den möjligheten saknas om den rättsliga grunden är avtal eller samtycke. Eftersom rätten till dataportabilitet endast gäller om behandlingen grundar sig på samtycke eller avtal kan det således inte bli aktuellt med specificeringar i nationell rätt. I två författningar inom verksamhetsområdet finns det bestämmelser som avser behandling som grundas på den rättsliga grunden samtycke. Det är förordningen (1994:1716) om fisket, vattenbruket och fiskerinäringen och i lagen (2006:24) om nationella toppdomäner för Sverige på Internet, se avsnitt 4.3.3. Något behov av undantag enligt artikel 23 från rättigheten bedöms inte finnas i dessa författningar. Artikel 20 föranleder därmed inte några författningsändringar inom verksamhetsområdet.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
5.4.9. Rätten att göra invändningar
Bedömning: Bestämmelser som klargör att den registrerade inte
lagligen kan motsätta sig personuppgiftsbehandling kan behållas när behandlingen sker med stöd av artikel 6.1 e i dataskyddsförordningen.
När en myndighet genom en författning har ålagts att föra ett offentligt register kan behandling av personuppgifter ske med stöd av den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen. Även andra register som en myndighet genom författning åläggs att föra och som ska innehålla vissa angivna uppgifter kan utgöra behandling som är nödvändig för att fullgöra en rättslig förpliktelse. Under sådana omständigheter gäller inte rätten att invända mot personuppgiftsbehandling enligt artikel 21 i dataskyddsförordningen. Något undantag från rätten att göra invändningar enligt artikel 21 behöver därför inte införas i övriga författningar inom verksamhetsområdet.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Av 12 § PUL framgår att behandling är tillåten enbart i de fall när den registrerade har lämnat sitt samtycke enligt 10 § (tillåten behandling), 15 § (känsliga personuppgifter) eller 34 § (överföring av personuppgifter till tredjeland) och att samtycket kan återkallas när som helst. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. I andra stycket samma bestämmelse anges att en registrerad utöver behandling som sker med stöd av samtycke och behandling för ändamål som rör direkt marknadsföring inte har rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt personuppgiftslagen. I författningar som utgör en särreglering i förhållande till personuppgiftslagen förekommer bestämmelser som anger att den registrerade inte kan motsätta sig den behandling av personuppgifter som är tillåten enligt författningen i fråga. I författningar där en viss typ av behandling kräver samtycke för att vara tillåten kan det också finnas särskilda bestämmelser om återkallelse av samtycke. Så är exempelvis fallet med lagen om elektronisk kommunikation (6 kap. 6 § och 6 kap. 9 § tredje stycket LEK).
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Den registrerades rätt att göra invändningar finns i artikel 14 i dataskyddsdirektivet. I de fall en behandling är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning eller för ändamål som rör berättigade intressen hos den registeransvarige, kan den registrerade enligt direktivet motsätta sig behandling av uppgifter som rör honom, utom när nationell lagstiftning föreskriver något annat. Artikeln behandlar också rätten att invända mot direkt marknadsföring. Promemorian behandlar direkt marknadsföring i avsnitt 5.4.10.
Det finns i två författningar inom verksamhetsområdet bestämmelser som utgör en särreglering i förhållande till 12 § PUL. I lagen (2009:619) om djurskyddskontrollregister finns en bestämmelse som anger att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig behandlingen (2 §). Bakgrunden till regleringen är att utformningen av 12 § PUL är sådan att den inte täcker in behandling som sker enligt andra författningar. För att registret ska tjäna sitt syfte ansåg regeringen att det inte är möjligt att låta den enskilde få avgöra om uppgifter om honom eller henne ska få dokumenteras i registret eller inte.43 Samma typ av bestämmelse finns i 4 kap. 3 § lagen (2011:725) om behörighet för lokförare. Regeringen ansåg i det fallet att det fanns behov av att säkerställa att den enskilde inte kan hindra att uppgifter förs in i de olika registren då EU-direktiv kräver att uppgifterna registreras.44
Den registrerade ska enligt artikel 21.1 i dataskyddsförordningen, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på en uppgift av allmänt intresse, myndighetsutövning eller en intresseavvägning, inbegripet profilering som grundar sig på dessa bestämmelser. Artikeln är direkt tillämplig och den personuppgiftsansvarige får vid en invändning inte längre behandla personuppgifterna om inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Att det är den personuppgiftsansvarige som har bevisbördan är en skillnad i förhållande till dataskyddsdirektivet.
43Prop. 2008/09:143 s. 20. 44Prop. 2010/11:122 s. 64.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Artikel 21 behandlar också rätten att göra invändningar mot direkt marknadsföring och en invändningsrätt med en hänvisning till direktivet om integritet och elektronisk kommunikation. Rätten till invändningar under dessa omständigheter behandlas i avsnitt 5.4. 10 och 6.2.5.
Av artikel 18.1 d i dataskyddsförordningen framgår att den registrerade som huvudregel har rätt till begränsning av behandling bl.a. om den registrerade har gjort en invändning enligt artikel 21.1 i väntan på prövning av berättigade skäl. Om behandlingen har begränsats får sådana personuppgifter med undantag för lagring endast behandlas under de omständigheter som anges i bestämmelsen.
Dataskyddsförordningen ger inte samma utrymme för nationell reglering som dataskyddsdirektivet. I artikel 14 a i dataskyddsdirektivet anges nämligen ”utom när den nationella lagstiftningen föreskriver annat”. I dataskyddsförordningen kan rätten att göra invändningar i stället begränsas i unionsrätten eller i nationell rätt om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa i dataskyddsförordningen angivna mål (artikel 23). En begränsning kan bl.a. ske i syfte att säkerställa viktiga mål av generellt allmänt intresse eller skydd av den registrerades eller andras rättigheter och friheter. Vad gäller viktiga mål av allmänt intresse anges i skäl 73 till dataskyddsförordningen att det kan vara fråga om offentliga register som förs av hänsyn till ett allmänt intresse. Någon definition av offentliga register förutom den allmänna definitionen av register i artikel 4.6 finns inte i dataskyddsförordningen. Lagstiftningsåtgärder som begränsar tillämpningsområdet för de skyldigheter och rättigheter som räknas upp i artikel 23.1 bör, när så är relevant, innehålla specifika bestämmelser avseende ändamål, kategorier, omfattningen av de införda begränsningarna, skyddsåtgärder m.m.
Bestämmelser som inskränker rätten att göra invändningar kan finnas kvar
Dataskyddsutredningens förslag till dataskyddslag innehåller ingen generell bestämmelse som ersätter 12 § PUL. Undantag från rätten att göra invändningar bör i stället enligt utredningens mening över-
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
vägas på sektorsspecifik nivå, om villkoren för behandling av personuppgifter med stöd av artikel 6.1 e specificeras genom författning.45
En bestämmelse om att en behandling är tillåten även om den registrerade motsätter sig den utgör en begränsning i rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen. Två bestämmelser med denna innebörd finns i lag inom verksamhetsområdet.46 Behovet av begränsningen har motiverats i förarbetena till bestämmelserna.47 Aktuella författningar innehåller dessutom flera specifika bestämmelser som kan utgöra sådana lagstiftningsåtgärder som en författning ska innehålla enligt artikel 23.2 a–h i dataskyddsförordningen. Det kan till exempel vara specifika bestämmelser om ändamålen med behandlingen, skyddsåtgärder eller specificering av den personuppgiftsansvarige. Det finns därmed förutsättningar för att behålla bestämmelser som klargör att den registrerade inte kan motsätta sig en sådan behandling av personuppgifter som är tillåten enligt författningen i fråga.
Rätten att göra invändningar gäller inte när skyldigheten att föra ett register är författningsreglerad
Rätten att göra invändningar enligt dataskyddsdirektivet och artikel 21 i dataskyddsförordningen gäller endast vid behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Det finns alltså ingen sådan rätt om behandlingen av personuppgifter grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige enligt artikel 6.1 c i dataskyddsförordningen. Någon sådan rätt finns inte heller enligt dataskyddsdirektivet.
Dataskyddsutredningen har bedömt att rätten att invända inte gäller vid behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse, såsom när en myndighet genom författning ålagts att föra ett offentligt register.48 Det skulle innebära att det i offentliga register där det inte förefaller rimligt att den registrerade med stöd av dataskyddsregleringen ska kunna hindra att behandling sker i enlighet
45SOU 2017:39 s. 208. 46 2 § lagen om djurskyddskontrollregister och 4 kap. 3 § lagen om behörighet för lokförare. 47Prop. 2008/09:143 s. 20 och prop. 2010/11:122 s. 64. 48SOU 2017:39 s. 207.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
med gällande rätt, inte behövs någon reglering för att inskränka rätten att motsätta sig behandling som är laglig.
Inom verksamhetsområdet finns ett antal register som förs med hänsyn till viktiga allmänintressen där myndigheten genom författning är ålagd att föra ett register. En typ av författningar är sådana som reglerar s.k. publicitetsregister som finns över olika slags egendom eller rättigheter, till exempel bolag eller behörigheter. Det är fråga om regelrätta register som har till ändamål att förse allmänheten med information och där det i författningen anges vilken typ av information som ska regleras.
Bolagsverket är en utav de myndigheter under Näringsdepartementet som har en författningsreglerad skyldighet att föra ett antal register bl.a. över handelsbolag och enskilda näringsidkare (handelsregistret). Bolagsverket för även register över utländska filialer, europeiska grupperingar för territoriellt samarbete, och näringsförbud. Att myndigheten enligt författning är skyldig att föra dessa register utgör enligt min bedömning en rättslig förpliktelse.
Beträffande det register som innehåller näringsförbud och tillfälliga näringsförbud finns den rättsliga förpliktelsen i 40 § lagen (2014:836) om näringsförbud. Förordningen (2014:936) om näringsförbud innehåller bestämmelser om vilka uppgifter registret får innehålla. Den uppdelningen i reglering av olika status påverkar enligt min bedömning inte att det är fråga om en rättslig förpliktelse. Även en sådan ordning bedöms uppfylla kravet i artikel 6.3 om att syftet med behandlingen ska fastställas i den rättsliga grunden. Således finns ingen rätt att göra invändningar.
Patent- och registeringsverket är en annan myndighet som för register som syftar till att ge offentlighet åt den information som finns i registren. Registren och diarierna ska enligt författning innehålla vissa uppgifter. De författningar som aktualiseras inom ramen för denna utredning är de register och offentliga diarier som förs med stöd av bl.a. patentkungörelsen (1967:838), mönsterskyddsförordningen (1970:486) och varumärkesförordningen (2011:594). Inom immaterialrättens område finns också växtförädlarrättsförordningen (1997:383) som anger att ett växtsortregister ska föras och vilka uppgifter som ska föras in i det registret. Detta register förs av Jordbruksverket. Den personuppgiftsbehandling som förekommer i enlighet med dessa författningar i de nämnda registren och diarierna
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
bedöms också som nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvariga myndigheten.
Ett annat register som tillhör verksamhetområdet är registret över leverantörer av utsäde som ska föras av Jordbruksverket enligt utsädesförordningen (2000:1330).
Lantmäteriet för samfällighetsföreningsregistret. Syftet med registret är bl.a. att förse allmänheten och myndigheter med uppgifter om registrerade föreningar och samfälligheter. Enligt skogsvårdslagen (1979:429) är Skogsvårdsstyrelsen personuppgiftsansvarig för ett register över fysiska och juridiska personer som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material samt ett register över godkända frökällor. Dessa register ska ge offentlighet åt den information som ingår i registren.
För samtliga de uppräknade registren görs bedömningen att rätten att invända i artikel 21 i dataskyddsförordningen inte gäller. Artikel 21 föranleder därför sammanfattningsvis inte några författningsändringar när det gäller de uppräknade offentliga registren inom verksamhetsområdet.
Flera andra författningar som tillhör verksamhetsområdet reglerar förandet av olika myndighetsregister. En typ av sådana register är de som förs över innehavare av behörigheter och tillstånd m.m. Ett exempel är sjömansregistret som förs av Transportstyrelsen enligt mönstringslagen (1983:929) och innehåller bl.a. uppgifter om behörigheter för sjömän. Transportstyrelsen för också register som berör luftfart. Myndigheten ansvarar för både certifikatregistret och luftfartsregistret. Jordbruksverket för hundregistret enligt lagen (2007:1150) om tillsyn över hundar och katter och en databas över hästdjur enligt förordningen (2006:815) om provtagning på djur. Naturvårdsverket har vidare en skyldighet att föra jaktkorts- och jägarexamensregistren enligt jaktförordningen (1987:905). Transportstyrelsen49för vägtullsregistret med stöd av lagen (2013:1164) om elektroniska vägtullssystem.
För vissa register ovan ger den författningsreglering som anger att registret ska föras visst bedömningsutrymme beträffande vilka personuppgifter som ska registreras. Skyldigheten för myndigheten att föra registret är trots det en sådan rättslig förpliktelse som avses
49 8 § förordningen (2014: 59) om eletroniska vägtullsystem.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
i artikel 6.1 c i dataskyddsförordningen. Det är exempelvis fallet med leverantörsregistret som Jordsbruksverket för bl.a. med stöd av utsädesförordningen.
Även andra än myndigheter kan genom författning åläggas att föra ett register där behandlingen av personuppgifter bör kunna grundas på artikel 6.1 c i dataskyddsförordningen. Att en domänadministratör ska föra ett register över tilldelade domännamn enligt lagen (2006:24) om nationella toppdomäner för Sverige på Internet är ett sådant exempel. I förarbetena till lagen har det ansetts att den personuppgiftsbehandling som det innebär för domänadministratören att föra registret med angivande av vilka uppgifter som ska finnas i detta är behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse samt att den enskilde inte kan motsätta sig denna behandling.50 Det finns dock inget hinder mot att en behandling uppfyller förutsättningarna i flera grunder i artikel 6 för samma behandling.
I flera författningar som kompletterar EU-förordningar framgår av författningen att ett register ska föras utan att det närmare anges vilka uppgifter registret ska innehålla. Det framgår således inte om det överhuvudtaget kan förekomma personuppgifter i de register som förs med stöd av författningen.51 I den mån det förekommer personuppgiftsbehandling i sådana register och behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, innebär dataskyddsförordningen att rätten att invända mot behandling kommer att utvidgas. Möjligheterna för den registrerade att göra invändningar mot den behandling av personuppgifter som i dag sker hos myndigheter har utvidgats i de fall som behandlingen sker med stöd av artikel 6.1 e, dvs. med en fastställd uppgift av allmänt intresse som rättslig grund. Rätten att invända mot behandlingen kan även i dessa fall fylla en viktig funktion ur rättssäkerhetssynpunkt. Detta gäller enligt Dataskyddsutredningen i synnerhet i de fall då de närmare villkoren för behandlingen inte har reglerats i en sektorsspecifik författning (jfr SOU 2017:39 s. 208). Utifrån denna utrednings uppdrag är det svårt att bedöma i vilken utsträckning som personuppgiftsbehandling förekommer i sådana register som helt saknar
50Prop. 2004/05:175 s. 251. 51 Jfr exempelvis förordningen (2011:93) om stöd till insatser på livsmedelsområdet och förordningen (2012:872) om statlig finansiering genom regionala utvecklingsbolag.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
bestämmelser om personuppgiftsbehandling och stödjer eventuell behandling av personuppgifter enbart på personuppgiftslagen. Jag gör därför bedömningen att rätten till invändning inte bör begränsas ytterligare inom ramen för denna övergripande översyn. Dataskyddsutredningens uttalande och de skilda ämnesområdena som verksamhetsområdet omfattar understryker den slutsatsen. Artikel 21 i dataskyddsförordningen föranleder således inte några författningsändringar.
5.4.10. Direkt marknadsföring
Förslag: Bestämmelser som anger att ett visst register har till änd-
amål att tillhandahålla uppgifter för uttag av urval av personuppgifter för direkt marknadsföring med den begränsning som följer av 11 § PUL, ska i stället hänvisa till artikel 21.2–21.3 i dataskyddsförordningen.
Bedömning: Den registrerade har alltjämt rätt att invända mot
att personuppgifter behandlas med direkt marknadsföring som ändamål.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
I 11 § PUL anges att personuppgifter inte får behandlas för ändamål som rör direktmarknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen anmält att han eller hon motsätter sig sådan behandling. Bestämmelsen motsvaras av artikel 14 b i dataskyddsdirektivet. I flera författningar inom verksamhetsområdet finns en reglering avseende direkt marknadsföring i ändamålsbestämmelsen.
Även dataskyddsförordningen innehåller en rätt för den registrerade att när som helst invända mot behandling av personuppgifter som avser honom eller henne för direkt marknadsföring (artikel 21.2). Dataskyddsförordningens artikel inkluderar profilering i den utsträckning som denna har ett samband med direkt marknads-
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
föring.52 Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål (artikel 21.3). Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkt 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information (artikel 21.4). Av skäl 70 till dataskyddsförordningen framgår att den registrerade, oavsett om det handlar om inledande eller ytterligare behandling, har rätt att kostnadsfritt invända mot behandling för direkt marknadsföring.
Enligt skäl 47 till dataskyddsförordningen kan behandling av personuppgifter för direkt marknadsföring betraktas som ett berättigat intresse. Skälet berör den rättsliga grunden i artikel 6.1 f som avser behandling som är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter. Denna rättsliga grund kan inte längre användas av myndigheter när de utför behandling som ett led i fullgörandet av sina uppgifter. För enskilda aktörer kvarstår dock behandling med stöd av denna rättsliga grund.
Bestämmelser som hänvisar till 11 § PUL ska i stället hänvisa till dataskyddsförordningen
Rätten för den registrerade att motsätta sig behandling av personuppgifter som rör henne eller honom för direkt marknadsföring kvarstår med dataskyddsförordningen. Den registrerade kan alltjämt invända mot att personuppgifter behandlas med direkt marknadsföring som ändamål. Bestämmelsen i dataskyddsförordningen är direkt tillämplig. En ändamålbestämmelse som anger att ett visst register i fråga om personuppgifter ska ha till ändamål att tillhandahålla uppgifter för uttag av urval av personuppgifter för direkt marknadsföring kan vara kvar med en hänvisning till artikel 21.2 och 3 i dataskyddsförordningen.
52 Jfr artikel 4.4 i dataskyddsförordningen.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
5.4.11. Automatiserade beslut
Bedömning: Artikel 22 om automatiserat beslutsfattande föran-
leder inga författningsändringar.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Rätten att motsätta sig automatiserade beslut finns i artikel 15 i dataskyddsdirektivet. Bestämmelsen har genomförts genom 29 § PUL. I några författningar som tillhör verksamhetsområdet finns bestämmelser som innebär att beslut fattats genom automatiserad behandling av uppgifter. Av 8 kap. 13 § fordonsförordningen (2009:211) framgår att beslut i fråga om enskilt godkännande av fordon får fattas genom automatiserad behandling av uppgifter. Även av 12 § förordningen (2014:1564) om infrastruktur på väg framgår att Transportstyrelsen fattar automatiserade beslut om infrastrukturavgift genom automatiserad behandling av uppgifter i vägtrafikregistret. Vidare anges att myndigheten ska ompröva ett sådant beslut om den betalningsskyldige begär det eller det finns andra skäl. I 14 § förordningen (2007:1110) med instruktion för Bolagsverket finns ett undantag från myndighetsförordningen (2007:515) som avser beslut som fattas genom automatiserad behandling.
Av artikel 22 i dataskyddsförordningen framgår att den registrerade under vissa förutsättningar har en rätt att motsätta sig beslut som grundas enbart på automatiserad behandling, inbegripet profile-
ring, om beslutet har rättsliga följder för den registrerade eller på
liknande sätt i betydande grad påverkar denne. Vad som avses med profilering anges i artikel 4.4 i dataskyddsförordningen. Artikel 22.2 i dataskyddsförordningen innehåller dessutom flera undantag från huvudregeln att den registrerade har rätt att inte bli föremål för automatiserat beslutfattande. Ett sådant undantag är till exempel att artikel 22.1 inte ska tillämpas om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen (artikel 22.2 b och jfr även artikel 22.4).
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Artikel 22 om automatiserat beslutsfattande föranleder inga författningsändringar
Artikel 15 i dataskyddsdirektivet avser s.k. databehandlade beslut. Enligt bestämmelsen är det fråga om beslut som har rättsliga följder och som enbart grundas på automatisk behandling av uppgifter
som är avsedda att bedöma vissa personliga egenskaper. Artikel 22 i
dataskyddsförordningen avser beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Det framgår inte av skälen till dataskyddsförordningen att den skillnad i formulering som finns mellan dataskyddsdirektivets bestämmelse och artikel 22 i dataskyddsförordningen innebär någon ändring i sak. Följande bedömning utgår från att rättsläget är oförändrat och att artikel 22 endast avser automatiserade beslut som innefattar profilering. Det är därmed fråga om samma beslutsfattande som bestämmelsen i dataskyddsdirektivet tar sikte på. Automatiserat beslutsfattande i dataskyddsförordningen medför dock vissa skillnader jämfört med direktivet. Automatiserade beslut kan enligt dataskyddsförordningen fattas om beslutet grundar sig på uttryckligt samtycke. En annan skillnad är att det finns en begränsning avseende känsliga personuppgifter (artikel 22.4).
Beslut som fattas enligt de ovan angivna författningarna är sannolikt inte profileringsbaserade beslut. Bestämmelserna berörs därmed inte av artikel 22 i dataskyddsförordningen. För det fall artikel 22 ändå skulle anses vara tillämplig finns det i de aktuella bestämmelserna författningsstöd för myndigheternas beslutsfattande, och i förordningen om infrastruktur på väg och fordonsförordningen finns en möjlighet till omprövning av beslutet. Ett sådant förfarande bör vara förenligt med artikel 22.2 b.
Några andra bestämmelser som innebär att ett beslut fattas genom automatiserad behandling grundat på profilering och som därmed skulle utgöra en avvikande bestämmelse från 29 § PUL har inte påträffats (jfr bilaga 2). Rätten att inte bli föremål för automatiskt individuellt beslutsfattande föranleder därmed inga författningsändringar inom verksamhetsområdet.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
5.5. Personnummer och samordningsnummer
Bedömning: Artikel 87 om nationella identifikationsnummer i
dataskyddsförordningen föranleder inga författningsändringar inom verksamhetsområdet. Bestämmelser om personnummer och andra identitetsnummer kan vara kvar.
5.5.1. Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
I 22 § PUL finns i dag en reglering som innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen har införts mot bakgrund av artikel 8.7 i dataskyddsdirektivet, som överlämnar till medlemsstaterna att bestämma villkoren för när identifikationsnummer får behandlas. Bestämmelsen i personuppgiftslagen är således en nationell konstruktion och omfattar även samordningsnummer. Om samtycke till behandling av personnummer eller samordningsnummer inte finns är det den personuppgiftsansvarige som ska göra intresseavvägningen som bestämmelsen ger uttryck för.
Regeringen eller den myndighet som regeringen bestämmer får enligt 50 § c PUL meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.
Av artikel 87 i dataskyddsförordningen framgår att medlemsstaterna närmare får bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Vidare anges i andra meningen samma bestämmelse att i sådana fall ska nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen. Någon sådan formulering återfinns inte i dataskyddsdirektivet. Vad som kan utgöra lämpliga skyddsåtgärder vid behandling av identifikationsnummer preciseras inte närmare i skälen till dataskyddsförordningen. Dataskyddsförordningen lämnar således ett utrymme för medlemsstaterna att bestämma och precisera vilka åtgärder som kan komma ifråga.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
Dataskyddsutredningen föreslår att det i dataskyddslagen införs en bestämmelse som motsvarar 22 § PUL. Motivet är att den intresseavvägning som ska ske enligt bestämmelsen är väl anpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer. Regleringen utesluter inte enligt utredningens mening en särreglering i sektorslagstiftning. Det förutsätter dock att dataskyddsförordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter iakttas. Dataskyddslagen föreslås också innehålla ett bemyndigande för regeringen att meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.53
5.5.2. Artikeln om nationella identifikationsnummer medför inga författningsändringar
Personnummer och samordningsnummer har getts en särskild ställning i dataskyddsförordningen genom att medlemsstaterna ges möjlighet att införa särskilda villkor för behandlingen.
De flesta av de påträffade bestämmelserna om personnummer i författningarna som finns i bilaga 2 avser behandling som är klart motiverad med hänsyn till vikten av en säker identifiering. Inte i något fall kan bestämmelserna sägas uppställa särskilda villkor för behandling av person- eller samordningsnummer. I vissa fall finns uttryckligt stöd för att behandla personnummer i ett offentligt register som förs med automatiserad behandling, i andra fall innebär bestämmelserna att personnummer behandlas i samband med ärendehantering efter en ansökan eller anmälan eller att beslutade tillstånd innehåller en uppgift om personnummer.
Enligt förordningen (1992:308) om utländska filialer m.m. ska exempelvis personnummer registreras och ingå i filialregistret som förs av Bolagsverket (14 §). Personummer ska också registreras i registret över europeiska grupperingar för territoriellt samarbete,54 i registret över patentombud liksom i näringsförbudregistret. I det sistnämnda registret får personnummer och andra identitetsnummer
53SOU 2017:39 s. 199–200. 5421 § förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete, 13 § förordningen (2010:1053) om auktorisation av patentombud, 9 § förordningen (2014:936) om näringsförbud.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
behandlas för de ändamål som angivits i förordningen (15 § andra stycket förordningen [2014:936] om näringsförbud). Av bilagan till förordningen (2009:620) om djurskyddskontrollsregister framgår att personnummer för kontrollobjekt förekommer i djurskyddskontrollregistret. Likaså får personnummer eller samordningsnummer behandlas i det s.k. hundregistret. (7 § förordningen [2007:1240] om tillsyn över hundar). Även rennäringsregistret innehåller personuppgifter i form av personnummer i enlighet med 74 § rennäringslagen (1971:437). I andra författningar som t.ex. förordningen (1999:272) om handel med begagnade varor anges att personnummer ska inges vid registrering (5 och 7 §§). I några fall är det fråga om andra än myndigheter som i en viss verksamhet ska registrera personnummer. En pantbok ska till exempel under vissa förutsättningar innehålla personnummer.55
En avvägning av behovet av behandling av personnummer eller samordningsnummer får anses ha skett redan vid införandet av sådana bestämmelser. Den avvägningen överensstämmer med de överväganden som ska ske vid behandling av personnummer enligt regleringen i personuppgiftslagen och i den föreslagna dataskyddslagen. Eftersom bestämmelserna är förenliga med regleringen i personuppgiftslagen, är de också förenliga med den föreslagna bestämmelsen i dataskyddslagen och därmed även artikel 87 i dataskyddsförordningen.
5.6. Fällande domar i brottmål och överträdelser
Förslag: Bestämmelsen i 16 § förordningen om näringsförbud
ska anpassas till bestämmelserna om behandling av personuppgifter som rör lagöverträdelser i den föreslagna dataskyddslagen.
Bedömning: Myndigheters möjligheter att behandla personupp-
gifter om lagöverträdelser m.m. påverkas inte av dataskyddsförordningen. Artikel 10 i dataskyddsförordningen föranleder inte några författningsändringar inom verksamhetsområdet med undantag för förordningen om näringsförbud.
55 Jfr pantbanksförordningen (1995:1189).
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
5.6.1. Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder regleras i dataskyddsdirektivet i artikel 8.5. Sådan behandling får endast utföras under kontroll av en myndighet eller om lämpliga skyddsåtgärder finns i nationell lag, med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock endast föras under kontroll av en myndighet. Medlemsstaterna får också föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål ska behandlas under kontroll av en myndighet.
Direktivets bestämmelse har införlivats i svensk rätt genom 21 § PUL som innebär ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Paragrafen innehåller också undantag för behandling för forskningsändamål av andra än myndigheter och bemyndiganden att meddela undantag från förbudet. I personuppgiftsförordningen har regeringen bemyndigat Datasinspektionen att meddela föreskrifter om undantag från förbudet i 21 § PUL.
I dataskyddsförordningen regleras behandling av personuppgifter som rör fällande domar i brottmål och överträdelser i artikel 10. Dataskyddsförordningens bestämmelse är något annorlunda jämfört med dataskyddsdirektivet och personuppgiftslagen. Uppgifter om lagöverträdelser är i dataskyddsförordningen ändrat till personuppgifter som rör överträdelser och brottmålsdomar är ändrade till fällande brottmålsdomar. Dataskyddsförordningens bestämmelse innehåller inte, till skillnad från dataskyddsdirektivet, någon reglering av administrativa sanktioner eller avgöranden i tvistemål.
Dataskyddsutredningen har bedömt att det i dataskyddslagen bör tas in bestämmelser om behandling av personuppgifter som rör lagöverträdelser. Regleringen som föreslås skiljer sig från den bestämmelse som finns i personuppgiftslagen. Dataskyddslagens bestämmelse är till exempel inte utformad som ett förbud med undantag. Utredningen anser inte heller att det finns stöd i dataskyddsförordningen att föreskriva ett förbud mot behandling av personuppgifter om administrativa frihetsberövanden. De begrepp som används
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
i dataskyddslagen skiljer sig också från de uttryck som finns i artikel 10 till dataskyddsförordningen. Förslaget i dataskyddslagen innebär således att personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte får behandlas av andra än myndigheter (3 kap. 9 §). Vidare får den myndighet som regeringen bestämmer i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 § (3 kap. 10 §). I 3 kap. 12 § föreslås ett bemyndigande som innebär att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter. I 3 kap. 11 § föreslås också en bestämmelse som anger att behandling av sådana uppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.56
5.6.2. Konsekvenser för författningarna inom verksamhetsområdet
Dagens reglering uppställer inget krav på särskilt författningsstöd för myndigheters behandling av personuppgifter om lagöverträdelser m.m. Dataskyddsförordningen och den föreslagna regleringen i dataskyddslagen innebär ingen ändring i detta avseende. I författningarna inom verksamhetsområdet finns det endast en paragraf som förhåller sig till bestämmelsen om lagöverträdelser i personuppgiftslagen. I 16 § andra stycket i förordningen (2014:936) om näringsförbud anges följande.
Endast en myndighet får dock medges direktåtkomst till personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, om inte undantag från förbudet att behandla sådana uppgifter har meddelats med stöd av 21 § personuppgiftslagen.
Hänvisningen till personuppgiftslagen i bestämmelsen måste tas bort. Fråga är då hur bestämmelsen ska utformas. De delar av artikel 10 i dataskyddsförordningen som rör behandling av uppgifter om fällande domar i brottmål, överträdelser och därmed sammanhängande
56SOU 2017:39 s. 192–196, 371.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
säkerhetsåtgärder under kontroll av en myndighet är direkt tillämpliga. Dataskyddsutredningen föreslår att dataskyddslagen ska innehålla en bestämmelse som delvis motsvarar det första ledet i artikel 10 i dataskyddsförordningen. Begreppen i 3 kap. 9 § i förslaget till dataskyddslag är som ovan angetts dock annorlunda utformade än dataskyddsförordningens bestämmelse. Bestämmelsen i förordningen om näringsförbud bör anpassas efter bestämmelserna i förslaget till dataskyddslag. Ordalydelsen i 16 § andra stycket i förordningen om näringsförbud ska därmed ändras till att avse ”behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott, eller straffprocessuella tvångsmedel.”
Ändringen innebär i praktiken inte någon förändring för en myndighet som medges direktåtkomst. Inte heller för andra än myndigheter innebär en anpassning av bestämmelsen till dataskyddslagens reglering någon utvidgning av vilka personuppgifter som kan omfattas av en direktåtkomst jämfört med vilka uppgifter som omfattas av 21 § PUL.
5.7. Bevarande, lagring och gallring
Förslag: Formuleringar om att personuppgifter får bevaras för
historiska, statistiska eller vetenskapliga ändamål ska anpassas till dataskyddsförordningens terminologi och därmed ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Bedömning: Bestämmelser om gallring och bevarande kan behål-
las om den ursprungliga behandlingen grundar sig på artikel 6.1 c eller e i dataskyddsförordningen. Bestämmelser angående bevarande, lagring och gallring som preciserar principerna i artikel 5 i dataskyddsförordningen är förenliga med förordningen.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
5.7.1. Dataskyddsdirektivet och nationell rätt
Enligt artikel 6.1 e i dataskyddsdirektivet gäller som huvudregel att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Direktivet tillåter undantag från huvudregeln under vissa förutsättningar.
I personuppgiftslagen finns det bestämmelser om hur länge personuppgifter får bevaras. Enligt 9 § PUL ska den personuppgiftsansvarige se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Behövs uppgifterna inte längre för ändamålen ska de förstöras eller avidentifieras.57 Personuppgifter får dock bevaras under längre tid för historiska, statistiska och vetenskapliga ändamål. Bestämmelserna i personuppgiftslagen hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar (8 § PUL). Gallring och bevarande av allmänna handlingar sker i stället enligt bestämmelserna i arkivlagen (1990:782). Utgångspunkten i arkivlagen är att allmänna handlingar ska bevaras (3 och 10 §§arkivlagen). I registerförfattningarna är däremot ofta presumtionen den motsatta. Principen om att gallring ska ske har i förarbeten bl.a. motiverats utifrån hänsyn till integritetsintressen som kan föreligga på de särskilda registerförfattningarnas område. Hur regleringen utformats beror på hur integritetskänslig informationshanteringen bedömts vara och för vilka ändamål som personuppgiftsbehandlingen sker.
Det är inte ovanligt att registerförfattningar innehåller särskilda bestämmelser om bevarande och gallring av personuppgifter eller bemyndigande att meddela föreskrifter. Sådana bestämmelser återfinns även i några av författningarna inom verksamhetsområdet och utgör en särreglering i förhållande till arkivlagen som annars skulle gälla. Ett exempel är 12 § i lagen (2009:619) om djurskyddskontrollregister och 8 § förordningen (2009:620) om djurskyddskontrollregister. Även 4 kap. 5 § lagen (2011:725) om behörighet för lokförare och förordningen (2011:728) om behörighet för lokförare innehåller särskilda bestämmelser om bevarande och gallring (6 och 8 §§).
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
En något svårplacerad bestämmelse som utgör en särreglering i förhållande till personuppgiftslagen finns i 4 § förordningen (1993:1270) om samfällighetsregister. Paragrafen anger bl.a. att personuppgifter ska tas bort ur registret sedan en berörd persons befattning i föreningen eller samfälligheten upphört, och sedan anspråk inte längre kan riktas mot denna person med anledning av uppdraget. Det aktuella registret förs av Lantmäteriet.
5.7.2. Dataskyddsförordningen och dataskyddslagen
Av artikel 5.1 e i dataskyddsförordningen framgår att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Huvudregeln har således inte ändrats i förhållande till dataskyddsdirektivets bestämmelser. Personuppgifter får dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse (historiska ändamål i dataskyddsdirektivet), vetenskapliga eller historiska forskningsändamål (vetenskapliga ändamål i dataskyddsdirektivet) eller för statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen. Sådan behandling förutsätter dock att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter. Innebörden av begreppet arkivändamål av allmänt intresse är unionsrättsligt, men saknar en definition i dataskyddsförordningen. Vad som avses med statistiska ändamål anges i skäl 162 i dataskyddsförordningen. Begreppet ”vetenskapliga eller historiska forskningsändamål” behandlas bl.a. i skäl 159 och historiska forskningsändamål beskrivs i skäl 160.
Enligt artikel 5.1 b i dataskyddsförordningen ska ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte anses vara oförenlig med de ursprungliga ändamålen. Artikel 5.1 b och e i dataskyddsförordningen är direkt tillämpliga.
Enligt Dataskyddsutredningens bedömning har myndigheter och andra organ som omfattas av arkivlagstiftningen redan enligt gällande rätt rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse. Den behandling av personuppgifter som
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
myndigheter och andra organ utför när de som en följd av arkivlagens bestämmelser arkiverar sina allmänna handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen, och det krävs därför inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs.58 Förslaget till dataskyddslag innehåller också en reglering avseende känsliga personuppgifter och personuppgifter som rör lagöverträdelser. Utredningen föreslår att sådana uppgifter ska få behandlas för arkivändamål av allmänt intresse, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv (3 kap. 6 och 11 §§ dataskyddslagen).
5.7.3. Bestämmelser som rör bevarande, lagring och gallring kan vara kvar
Inom verksamhetsområdet finns bestämmelser som innebär att personuppgifter ska bevaras under viss tid eller gallras efter en viss tidpunkt. Artikel 6.3 i dataskyddsförordningen tillåter medlemsstaterna att införa eller behålla särskilda bestämmelser om bl.a. lagringstid när behandlingen grundar sig på artikel 6.1 c och e i dataskyddsförordningen. Det är därmed möjligt att behålla särskilda bestämmelser om gallring och bevarande i de författningar som finns inom verksamhetsområdet. Tidigare bedömningar av vilka lagrings- eller gallringstider som är nödvändiga är alltjämt relevanta. Dataskyddsförordningen påverkar inte bestämmelser om bemyndigande.
Innebörden av bestämmelsen i 4 § förordningen om samfällighetsregister är att personuppgifter under vissa angivna förutsättningar ska tas bort ur registret när registreringen inte längre har några rättsverkningar. En sådan bestämmelse är förenlig med dataskyddsförordningen och ger närmast uttryck för de principer som finns i artikel 5 i dataskyddsförordningen.
Dataskyddsförordningen innehåller flera begrepp som är i behov av tolkning. För att vid övergången till den nya dataskyddsregleringen underlätta tillämpningen bör terminologiska skillnader i
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
möjligaste mån undvikas. Någon skillnad mellan dataskyddsdirektivets ”vetenskapliga ändamål” och dataskyddsförordningens ”vetenskapliga och historiska forskningsändamål” går inte att utläsa av dataskyddsförordningen. Därför bör formuleringar om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål för att överensstämma med dataskyddsförordningens reglering. En sådan ändring berör endast lagen och förordningen om djurskyddskontrollregister samt lagen och förordningen om behörighet för lokförare och bedöms inte innebära en ändring i sak.
5.8. Rättsmedel och skadestånd
5.8.1. Det behövs inga upplysningsbestämmelser om överklagande
Förslag: Bestämmelser om att en myndighets beslut om rättelse
eller ett avslag på ansökan om information enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol ska tas bort.
Bedömning: Dataskyddslagen innehåller generella processuella
bestämmelser och är tillämplig i den mån inte annat föreskrivs i annan lag eller förordning. Därmed behövs inte någon överklagandehänvisning till dataskyddslagen i de författningar som innehåller kompletterande bestämmelser om personuppgiftsbehandling inom verksamhetsområdet.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
I personuppgiftslagen finns bestämmelser om överklagande i 51– 53 §§. Bestämmelserna avser överklagande av tillsynsmyndighetens beslut och rätten att överklaga vissa andra myndighetsbeslut. Någon motsvarighet till 52 § PUL finns inte i dataskyddsdirektivet. Direktivet ger dock en rätt att föra talan vid domstol (artikel 22) och av artikel 28.3 framgår att beslut av en tillsynsmyndighet som går en part emot kan överklagas till domstol.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
Bestämmelsen i 52 § PUL om överklagande av en myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § infördes 2007. Regeringen konstaterade då att vissa myndighetsbeslut enligt personuppgiftslagen kunde överklagas enligt allmänna förvaltningsrättsliga principer trots att det saknades en uttrycklig bestämmelse i lagen. Efter införandet av personuppgiftslagen hade det också vid utformningen av vissa registerlagar bedömts att myndighetsbeslut som direkt berör den enskilde skulle kunna överklagas. Genom införandet av överklagandebestämmelsen i 52 § PUL var det inte längre nödvändigt att i särskilda registerförfattningar ta in en överklagandebestämmelse som hänvisar till personuppgiftlagen. Så länge sådana särskilda bestämmelser finns gäller de framför personuppgiftslagen.59
Inom verksamhetsområdet finns upplysningsbestämmelser avseende avslag på ansökan om information enligt 26 § PUL och beslut om rättelse enligt 28 § samma lag som hänvisar till antingen personuppgiftslagens eller förvaltningslagens överklagandebestämmelser. De författningar som innehåller sådana bestämmelser är förordningen (2014:936) om näringsförbud, förordningen (1992:308) om utländska filialer m.m., handelsregisterförordningen (1974:188), mönsterskyddsförordningen (1970:486), patentkungörelsen (1967:838) och skogsvårdslagen (1979:429). Exempel på överklagandebestämmelser som hänvisar till personuppgiftslagens reglering är 40 § skogsvårdslagen och 18 § förordningen om näringsförbud. Patentkungörelsen (1967:838) är ett exempel på en förordning som innehåller en överklagandehänvisning med en annan utformning. Av 38 g § patentkungörelsen följer att beslut om rättelse eller avslag på ansökan om information enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol vilket följer av 22 a § förvaltningslagen (1986:223). Samma lydelse återfinns i 20 f § mönsterskyddsförordningen (1970:486) och 13 g § förordning (1992:308) om utländska filialer m.m. I 1 h § handelsregisterförordningen anges att det följer av 22 a § förvaltningslagen att avslag på ansökan om information enligt 26 § PUL får överklagas till allmän förvaltningsdomstol.
I åttonde kapitlet i dataskyddsförordningen finns bestämmelser om rättsmedel, ansvar och sanktioner. Bestämmelserna är mer om-
59Prop. 2005/06:173 s. 50 ff.
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
fattande än den tidigare regleringen i dataskyddsdirektivet, och innefattar bl.a. en rätt för varje registrerad som anser att personuppgiftsbehandling som avser honom eller henne strider mot dataskyddsförordningen att lämna in klagomål till en tillsynsmyndighet. Artikel 78 ger varje fysisk eller juridisk person rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet. En registrerad ska vidare enligt artikel 79 i dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde.
Dataskyddslagen föreslås innehålla processuella bestämmelser som innebär att om den personuppgiftsansvarige är en myndighet ska myndighetens beslut avseende behandlingen av personuppgifter i vissa fall få överklagas av den registrerade till allmän förvaltningsdomstol. Sådana beslut som kan överklagas är enligt förslaget beslut enligt artikel 12.5, 15–19 eller 21 i dataskyddsförordningen.60
Det behövs inga bestämmelser om rättsmedel i de författningar som innehåller kompletterande bestämmelser
Dataskyddslagen gäller om inte annat anges i lag eller förordning. Bestämmelser som upplyser om att ett avslag på en ansökan om information enligt 26 § PUL, eller ett beslut om rättelse enligt 28 § PUL, får överklagas hos allmän förvaltningsdomstol är inte längre behövliga eftersom dataskyddslagen innehåller processuella regler som kompletterar dataskyddsförordningen. Att beslut som meddelats av en myndighet i egenskap av personuppgiftsansvarig avseende rätten till information (artikel 12.5), registerutdrag m.m. (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invändningar (artikel 21) kan överklagas framgår av 8 kap. 2 § dataskyddslagen. Någon upplysning om att det finns bestämmelser om överklagande i dataskyddslagen bedöms inte heller behövas i de författningar där frågan aktualiserats.
60SOU 2017:39 s. 301 ff.
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
5.8.2. Det behövs inga bestämmelser om skadestånd
Förslag: Bestämmelser med hänvisningar till personuppgifts-
lagens reglering om skadestånd ska tas bort.
Bedömning: Det behövs inga hänvisningsbestämmelser om skade-
stånd vid felaktig personuppgiftsbehandling i de författningar inom verksamhetsområdet som innehåller kompletterande bestämmelser om personuppgiftsbehandling.
Dataskyddsdirektivet, nationell rätt och dataskyddsförordningen
Enligt artikel 23.1 i dataskyddsdirektivet ska medlemsstaterna föreskriva att var och en som lidit skada till följd av en otillåten behandling eller någon annan åtgärd som är oförenlig med nationella bestämmelser som antagits till följd av direktivet, har rätt till ersättning av den registeransvarige för den skada som han eller hon lidit.
I 48 § PUL anges att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat.
Flera författningar inom verksamhetsområdet innehåller bestämmelser som innebär att personuppgiftslagens bestämmelser om skadestånd gäller när behandling sker i strid med författningen i fråga. Sådana bestämmelser finns i lagen (2009:619) om djurskyddskontrollregister, lagen (2011:725) om behörighet för lokförare, förordningen (2014:936) om näringsförbud, patentkungörelsen (1967:838), mönsterskyddsförordningen (1970:486), handelsregisterförordningen (1974:188), jaktförordningen (1987:905), varumärkesförordningen (2011:594), förordningen (2010:1053) om auktorisation av patentombud, förordningen (2009:705) om register över europeiska grupperingar för territoriellt samarbete, förordningen (1992:308) om utländska filialer, lagen (2006:24) om nationella toppdomäner för Sverige på Internet, lagen (2007:1150) om tillsyn av katt och hund samt skogsvårdslagen (1979:429).
Anledningen till att det finns sådana bestämmelser är att 48 § PUL endast reglerar skadeståndsskyldigheten i förhållande till en be-
Ds 2017:28 Övriga förutsättningar för behandling av personuppgifter
handling av personuppgifter som skett i strid med personuppgiftslagen och inte behandling som skett i strid med andra författningar.
Dataskyddsförordningens bestämmelse om skadestånd i artikel 82.1 är direkt tillämplig och omfattar även behandling som sker med stöd av en kompletterande författning. I skäl 146 anges att behandling som strider mot dataskyddsförordningen även omfattar behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med dataskyddsförordningen och medlemsstaternas nationella rätt med närmare specifikation av dataskyddsförordningens bestämmelser.
Dataskyddsutredningen föreslår att det i dataskyddslagen ska förtydligas att rätten till ersättning enligt dataskyddsförordningen även gäller vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen. Av 8 kap. 1 § i förslaget till dataskyddslag framgår att rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Några andra nationella bestämmelser rörande förfarandet för att få ett skadestånd, utöver dem som finns i rättegångsbalken och skadeståndslagen (1972:207), behövs inte enligt Dataskyddsutredningens bedömning. Utredningens uppfattning är att dataskyddsförordningens krav på rättsmedel enligt artikel 79 dataskyddsförordningen därmed är uppfyllda.61
Det behövs inga särskilda bestämmelser om skadestånd
Skadeståndsbestämmelsen i personuppgiftslagen gäller alltså endast behandling som skett i strid med lagen. Den omfattar inte behandling som skett i strid med den reglering som finns i andra författningar som innehåller personuppgiftsreglering. Att den registrerade kan ha rätt till ersättning framgår numera av artikel 82 i dataskyddsförordningen och av den generella regleringen i förslaget till dataskyddslag. Bestämmelsen i förslaget till dataskyddslag upplyser om att den rätt till ersättning som regleras i dataskyddsförordningen även gäller vid överträdelser av de bestämmelser om behandling av personuppgifter som finns i andra författningar som kompletterar data-
Övriga förutsättningar för behandling av personuppgifter Ds 2017:28
skyddsförordningen, till exempel i registerförfattningar och annan sektorslagstiftning. Någon särskild överklagandehänvisning behövs således inte längre i de författningar som innehåller kompletterande bestämmelser till dataskyddsförordningen. De bestämmelser som i dag hänvisar till 48 § PUL kan därmed tas bort.
6. Anpassning av vissa författningar inom sektorn för elektronisk kommunikation
6.1. Direktivet om integritet och elektronisk kommunikation och lagen (2003:389) om elektronisk kommunikation
6.1.1. Inledning
Lagen (2003:389) om elektronisk kommunikation, LEK, gäller elektroniska kommunikationsnät och kommunikationstjänster med tillhörande installationer och tjänster samt annan radioanvändning. I 6 kap. LEK finns bestämmelser om behandling av trafikuppgifter och integritetsskydd. Det är huvudsakligen genom dessa bestämmelser som Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) ändrat genom direktiv 2009/136/EG, har införlivats i svensk rätt.
Till skillnad från dataskyddsdirektivet är direktivet om integritet och elektronisk kommunikation inte begränsat till behandling av personuppgifter som är helt eller delvis automatiserad, ingår i eller är avsedd att ingå i ett register som är sökbart på särskilda kriterier. Det omfattar i stället all behandling av personuppgifter på de områden som direktivet reglerar. Skyddet omfattar dessutom till skillnad från dataskyddsdirektivet juridiska personers berättigade intressen. Vissa av bestämmelserna i 6 kap. LEK är dock endast tillämpliga på fysiska personer. Direktivet om integritet och elektronisk kommunikation innehåller hänvisningar till dataskyddsdirektivet i flera artiklar bl.a. avseende samtycke, rättslig prövning, ansvar och sanktioner.
Anpassning av vissa författningar inom sektorn för elektronisk kommunikation Ds 2017:28
Dessa har införts i lagen om elektronisk kommunikation genom hänvisningar till personuppgiftslagen.1
6.1.2. Hänvisningar till personuppgiftslagen i 6 kap. LEK – gällande rätt
Begreppen behandling, personuppgiftsansvarig och samtycke har samma innebörd i LEK som i personuppgiftslagen (6 kap. 1 § LEK). Tidigare användes begreppet personuppgiftsansvarig i den s.k. cookiebestämmelsen (6 kap. 18 § LEK). Bestämmelsen har emellertid ändrats för att införliva delar av det s.k. e-datadirektivet.2 Begreppet används därmed inte längre i bestämmelsen.
I personuppgiftslagen är definitionen av samtycke varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Definitionen är huvudsakligen densamma som i dataskyddsdirektivet. I definitionen i personuppgiftslagen finns begreppet otvetydig som lades till i samband med att lagen infördes. Begreppet otvetydig har en EU-gemensam innebörd.3 Begreppet behandling (av personuppgifter) definieras också i 3 § PUL. Formuleringen är avsedd att motsvara dataskyddsdirektivets definition.
I 6 kap. 2 § LEK regleras förhållandet till personuppgiftslagen. I bestämmelsen anges att vid behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller personuppgiftslagen, om inte annat följer av lagen om elektronisk kommunikation. I den utsträckning som lagen om elektronisk kommunikation innehåller särskilda bestämmelser om behandling av personuppgifter som avviker från personuppgiftslagen ska således den först nämnda lagen tillämpas. Denna tillämpning överensstämmer med förhållandet mellan dataskyddsdirektivet och direktivet om integritet och elektronisk kommunikation.4
1 Jfr prop. 2002/03:110 s. 266. 2 Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 och prop. 2010/11:115. 3Prop. 1997/98:44 s. 116. 4 Direktivet om integritet och elektronisk kommunikation skäl 10 och 12 och prop. 2002/03:110 s. 390.
Ds 2017:28 Anpassning av vissa författningar inom sektorn för elektronisk kommunikation
Genom bestämmelsen i 6 kap. 2 § andra stycket LEK är reglerna i personuppgiftslagen om rättelse och skadestånd tillämpliga även vid behandling av personuppgifter som sker enligt lagen om elektronisk kommunikation.5
6.1.3. Dataskyddsförordningens förhållande till direktivet om integritet och elektronisk kommunikation
Av artikel 95 i dataskyddsförordningen framgår hur dataskyddsförordningen förhåller sig till direktivet om integritet och elektronisk kommunikation. Förordningen ska enligt artikeln inte innebära några ytterligare förpliktelser för fysiska eller juridiska personer som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen, när det gäller områden inom vilka de redan omfattas av särskilda skyldigheter för samma ändamål i enlighet med direktiv 2002/58/EG. Som ett förtydligande till artikeln anges i skäl 173 i dataskyddsförordningen att dataskyddsförordningen bör vara tillämplig på alla frågor som gäller skyddet av grundläggande rättigheter och friheter i förhållande till behandlingen av personuppgifter, vilka inte omfattas av särskilda skyldigheter med samma mål som anges i direktiv 2002/58/EG, däribland den personuppgiftsansvariges skyldigheter och fysiska personers rättigheter.
I artikel 3 i direktivet om integritet och elektronisk kommunikation, som ändrats genom direktiv 2009/136/EG, anges att direktivet ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom gemenskapen, inbegripet allmänna kommunikationsnät som stödjer datainsamling och identifieringsutrustning. Tillämpningsområdet för direktivet överensstämmer med artikel 95 i dataskyddsförordningen. Dataskyddsförordningen ska således inte tillämpas där direktivet om integritet och elektronisk kommunikation innehåller särskilda bestämmelser som har samma syfte (i den engelska versionen ”same objektive set out”).6Förhållandet mellan dataskyddsförordningen och direktivet om inte-
5Prop. 2002/03:110 s. 266. 6 Jfr Article 29 Data protection working party Opinion 03/2016 on the evaluation and review of the ePrivacy Directive (2002/58/EC).
Anpassning av vissa författningar inom sektorn för elektronisk kommunikation Ds 2017:28
gritet och elektronisk kommunikation är därmed detsamma som mellan dataskyddsdirektivet och direktivet om integritet och elektronisk kommunikation.
Det finns i artikel 21.5 i dataskyddsförordningen en hänvisning till direktivet om integritet och elektronisk kommunikation avseende den registrerades rätt att göra invändningar. När det gäller användningen av informationssamhällets tjänster, och trots vad som sägs i direktiv 2002/58/EG, får den registrerade enligt artikel 21.5 i dataskyddsförordningen utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer. Vad som avses med informationssamhällets tjänster framgår av artikel 4.25 i dataskyddsförordningen. Där anges att definitionen avser alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535.
Artikel 21.5 omnämns inte särskilt i skälen till dataskyddsförordningen.
6.1.4. Översynen av direktivet om integritet och elektronisk kommunikation
I skäl 173 till dataskyddsförordningen anges att direktivet om integritet och elektronisk kommunikation bör ändras för att klargöra förhållandet mellan dataskyddsförordningen och direktivet. Översynen ska ske när dataskyddsförordningen antagits för att säkerställa konsekvens med dataskyddsförordningen. Det pågår för närvarande en översyn av direktivet om integritet och elektronisk kommunikation inom EU. Kommissionen har lagt fram ett förslag till en ny förordning som är avsedd att ersätta direktivet om integritet och elektronisk kommunikation.7 Förslaget till förordning om integritet och elektronisk kommunikation är avsett att specificera och komplettera dataskyddsförordningen. I ingressen till förslaget anges att alla frågor som avser behandling av personuppgifter som inte särskilt regleras i förslaget, täcks av dataskyddsförordningen. Av artikel 29 i förslaget framgår att den nya förordningen är tänkt att börja tillämpas
7 COM(2017) 10 final förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG (förordning om integritet och elektronisk kommunikation).
Ds 2017:28 Anpassning av vissa författningar inom sektorn för elektronisk kommunikation
samtidigt som dataskyddsförordningen dvs. den 25 maj 2018. Artikel 4 i förslaget hänvisar till dataskyddsförordningens definitioner. Även artikel 9 som avser samtycke anger att definitionen och villkoren för samtycke i artikel 4.11 och 7 i dataskyddsförordningen ska tillämpas i den nya förordningen.
Att dataskyddsförordningens definitioner föreslås bli tillämpliga även i den nya regleringen om elektronisk kommunikation överensstämmer med den europeiska datatillsynsmannens uppfattning som den kommit till uttryck i hans preliminära yttrande om översynen. Av yttrandet framgår bl.a. att definitionerna i dataskyddsförordningen bör vara tillämpliga på skyddet för den personliga integriteten i samband med elektronisk kommunikation.8 Denna uppfattning har också Artikel 29-gruppen gett uttryck för inför översynen. Enligt Artikel 29-gruppen bör den nya rättsaktens definition av samtycke utgå från dataskyddsförordningens definition i artikel 4.11 och skäl 32.9
När det gäller rättsmedel, ansvar och rätt till ersättning hänvisar förslaget till förordningen om integritet och elektronisk kommunikation (artiklarna 21 och 22) till motsvarande bestämmelser i dataskyddsförordningen (artiklarna 77, 78, 79 och 82).
Inom EU pågår även en översyn av andra direktiv som huvudsakligen genomförts genom lagen om elektronisk kommunikation.10Översynen utgör en del av kommissionens förslag till en moderniserad reglering av den elektroniska kommunikationssektorn. Regeringen har tillsatt en särskild utredare som ska se över bestämmelserna om skyldigheten att lagra uppgifter om elektronisk kommunikation som gäller för leverantörer av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster, samt bestämmelserna om de brottsbekämpande myndigheternas tillgång till sådana uppgifter. Uppdraget har föranletts bl.a. av EU-domstolens förhandsavgörande den 21 december 2016 i de förenade målen C-203/15 och C-698/15.11
8 Opinion 5/2016 Preliminary EDPS Opinion on the review of the ePrivacy Directive 2002/58/EC s. 9. 9 Article 29 Data protection working party Opinion 03/2016 on the evaluation and review of the ePrivacy Directive (2002/58/EC). 10 Jfr Regeringskansliet faktapromemoria 2016/17:FPM17. 11 Kommittédirektiv 2017:16.
Anpassning av vissa författningar inom sektorn för elektronisk kommunikation Ds 2017:28
6.2. Lagen om elektronisk kommunikation måste anpassas till dataskyddsförordningen
Förslag: Begreppen samtycke, personuppgiftsansvarig och be-
handling ska ha samma innebörd som i dataskyddsförordningen.
Förhållandet mellan lagen om elektronisk kommunikation, dataskyddsförordningen och den föreslagna dataskyddslagen ska framgå av lagen om elektronisk kommunikation.
Hänvisningen till personuppgiftslagens bestämmelser om rättelse och skadestånd ska tas bort.
Bedömning: Det behövs ingen hänvisning till dataskyddsför-
ordningens regler om rättelse, begränsning av behandling och radering samt skadestånd i lagen om elektronisk kommunikation.
Förordningen om elektronisk kommunikation och lagen om införande av lagen om elektronisk kommunikation bedöms inte behöva några författningsändringar för att anpassas till dataskyddsförordningen.
6.2.1. Avgränsning av promemorians förslag
Utredningens uppdrag innefattar inte att anpassa författningarna till andra rättsakter än dataskyddsförordningen. Som framgått ovan pågår arbetet inom EU med att anpassa direktivet om integritet och elektronisk kommunikation till dataskyddsförordningen. Sannolikt kommer det arbetet och annat pågående arbete inom EU med närliggande direktiv att leda till ett mera omfattande behov av förändringar i lagen om elektronisk kommunikation. Jag begränsar därför mina förslag och bedömningar till det som är nödvändigt som en följd av att personuppgiftslagen och personuppgiftsförordningen kommer att upphävas. Förslagen behöver således ses över och anpassas om förslaget till ny EU-förordning om integritet och elektronisk kommunikation antas.
Post- och telestyrelsen har tillsyn över integritetsfrågor som regleras i lagen om elektronisk kommunikation samt över lagen om nationella toppdomäner på Internet. Tillsynsansvaret har nyligen setts över (SOU 2016:65). I Dataskyddsutredningens uppdrag har det ingått att behandla i vilken utsträckning det behövs kompletterande
Ds 2017:28 Anpassning av vissa författningar inom sektorn för elektronisk kommunikation
bestämmelser i nationell rätt om tillsynsmyndighetens befogenheter. Reglerna om tillsyn i lagen om elektronisk kommunikation har således behandlats nyligen. Mot den bakgrunden omfattar mina förslag och bedömningar inte dessa frågor.
6.2.2. Begreppen behandling, samtycke och personuppgiftsansvarig bör ha samma innebörd som i dataskyddsförordningen
Av artikel 94 i dataskyddsförordningen framgår att hänvisningar till dataskyddsdirektivet upphör att gälla från och med den 25 maj 2018. Därefter ska hänvisningar till direktivet anses vara hänvisningar till dataskyddsförordningen. Detta omfattar även hänvisningar till dataskyddsdirektivet i direktivet om integritet och elektronisk kommunikation. Av skälen till dataskyddsförordningen framgår att avsikten är att förhållandet mellan rättsakterna ska vara oförändrat. Av förslaget till förordningen om integritet och elektronisk kommunikation framgår dessutom att begreppen behandling, samtycke och personuppgiftsansvarig är avsedda att ha samma innebörd som i dataskyddsförordningen. Den hänvisning som i dag finns i lagen om elektronisk kommunikation till definitionerna av begreppen behandling, samtycke och personuppgiftsansvarig i personuppgiftslagen måste således ändras till att avse motsvarande definition i dataskyddsförordningen. I den mån definitionerna innebär förändringar i sak, har annat inte framkommit än att det varit syftet med dataskyddsreformen på unionsnivå.
6.2.3. Förhållandet till annan lag
Eftersom personuppgiftslagen kommer att upphävas måste lagen om elektronisk kommunikation förhålla sig till dataskyddsförordningen. Bestämmelsen om hur lagen om elektronisk kommunikation förhåller sig till annan lag måste därför ändras.
I artikel 95 i dataskyddsförordningen anges hur dataskyddsförordningen ska tillämpas i förhållande till direktivet om integritet och elektronisk kommunikation som lagen om elektronisk kommunikation delvis bygger på. Artikeln syftar till att reglera hur dataskyddsförordningens bestämmelser ska tillämpas fram till att direk-
Anpassning av vissa författningar inom sektorn för elektronisk kommunikation Ds 2017:28
tivet om integritet och elektronisk kommunikation ändras för att uppnå överensstämmelse med dataskyddsförordningen. Av artikeln framgår att dataskyddsförordningens bestämmelser inte ska tillämpas om det skulle innebära ytterligare förpliktelser, utöver de som anges i direktivet om integritet och elektronisk kommunikation, för den som behandlar personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät i unionen.
Lagen om elektronisk kommunikation bör innehålla en upplysning om att bestämmelser om behandling av personuppgifter finns i dataskyddsförordningen. Av upplysningen bör det framgå att dataskyddsförordningen under vissa förutsättningar får stå tillbaka för direktivet om integritet och elektronisk kommunikation. Det är tillåtet att införliva delar av dataskyddsförordningen om det bedöms nödvändigt för att göra de nationella bestämmelserna begripliga (skäl 8 till dataskyddsförordningen). Artikel 95 kan därmed tas in i lagen om elektronisk kommunikation.
Post- och telestyrelsen har vid samråd påpekat att artikel 95 i dataskyddsförordningen innebär en viss materiell förändring i förhållande till den nuvarande lydelsen av lagen om elektronisk kommunikation. Artikel 95 gäller endast behandling av personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät. Det medför att behandling av personuppgifter som utförs av dem som tillhandahåller elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna kommer att regleras av dataskyddsförordningen och inte som idag av lagen om elektronisk kommunikation. Det är emellertid endast ett fåtal bestämmelser som gäller för dessa kategorier. Det saknas möjligheter att inom ramen för denna utredning identifiera vilka dessa bestämmelser är samt överväga om tillämpningen även i fortsättningen kan omfatta elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna. Det gäller särskilt mot bakgrund av det arbete som pågår inom EU med att se över övriga rättsakter som reglerar sektorn för elektronisk kommunikation.
Eftersom dataskyddslagen föreslås bli subsidiär ska regleringen i lagen om elektronisk kommunikation tillämpas i den mån författningarna reglerar samma företeelse. Någon särskild bestämmelse i lagen om elektronisk kommunikation för att uppnå detta förhållan-
Ds 2017:28 Anpassning av vissa författningar inom sektorn för elektronisk kommunikation
de krävs egentligen inte. Den föreslagna dataskyddslagen innehåller dock bl.a. en förtydligande bestämmelse av rätten till ersättning. Därför bör bestämmelsen om hur lagen om elektronisk kommunikation förhåller sig till annan lag även hänvisa till dataskyddslagen.
6.2.4. Rättelse och skadestånd
Enligt 6 kap. 2 § andra stycket LEK gäller bestämmelserna i personuppgiftslagen om rättelse och skadestånd även vid behandling av personuppgifter enligt lagen. En sådan hänvisning är inte längre nödvändig (jfr avsnitt 5.4.4 och 5.8.2), om inte författningen i fråga reglerar ett vidare område än dataskyddsförordningen. Ett exempel på en sådan situation är om regleringen om personuppgiftsbehandling även ska tillämpas på uppgifter om juridiska personer. När det gäller hänvisningen till rättelse och skadestånd i lagen om elektronisk kommunikation gäller den personuppgiftsbehandling. Tillämpningsområdet är således detsamma som för personuppgiftslagen och dataskyddsförordningen.
Rätten till rättelse, begränsning av behandling och radering följer direkt av dataskyddsförordningen. Det behövs därmed ingen särskild hänvisning till de bestämmelserna i registerförfattningar eller annan sektorsspecifik reglering. Detsamma gäller rätten till skadestånd. Att den registrerade kan ha rätt till ersättning framgår numera av artikel 82 i dataskyddsförordningen och av den generella regleringen i förslaget till dataskyddslag. Bestämmelsen i förslaget till dataskyddslag upplyser om att den rätt till ersättning som regleras i dataskyddsförordningen även gäller vid överträdelser av de bestämmelser om behandling av personuppgifter som finns i andra författningar som kompletterar dataskyddsförordningen, till exempel i registerförfattningar och annan sektorslagstiftning.
6.2.5. Vad innebär artikel 21.5 i dataskyddsförordningen?
Artikel 21 i dataskyddsförordningen reglerar rätten att göra invändningar mot behandling av personuppgifter. I artikel 21.5 finns en hänvisning till direktivet om integritet och elektronisk kommunikation.
Anpassning av vissa författningar inom sektorn för elektronisk kommunikation Ds 2017:28
Hänvisningen förklaras inte närmare i skälen till dataskyddsförordningen. Utifrån vad som anges i dataskyddsförordningen är det således svårt att utläsa vad artikel 21.5 i dataskyddsförordningen syftar på i direktivet om integritet och elektronisk kommunikation.
Av skäl 32 i dataskyddsförordningen framgår emellertid att samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.
Begreppet informationssamhällets tjänster återfinns också i artikel 5.3 i direktiv 2009/136/EG som behandlar s.k. cookies eller kakor och som utgör en ändring i direktivet om integritet och elektronisk kommunikation. Det enda stället som kakor nämns uttryckligen i dataskyddsförordningen är dock i skäl 30. Där anges att fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.
Att hänvisningen skulle kunna avse den s.k. cookiebestämmelsen stöds av en skrivning i Rådets ståndpunkt (EU) nr 6/2016 vid första behandlingen inför antagandet av dataskyddsförordningen. I rådets ståndpunkt finns en hänvisning till ”spåra mig inte-egenskaper” online. Där anges att när det gäller användningen av informationssamhällets tjänster får den registrerade utöva sin rätt att göra invändningar genom automatiserad användning av tekniska specifikationer (2016/C 159/02). Ståndpunkten anger således att artikel 21.5 syftar på användningen av ”spåra mig inte-egenskaper” online t.ex. genom att göra inställningar i en webbläsare. Om användaren slår på denna
Ds 2017:28 Anpassning av vissa författningar inom sektorn för elektronisk kommunikation
funktion så skickas automatiskt en önskan till berörd webbplatsinnehavare att användaren inte vill bli spårad vad gäller de aktiviteter som genomförs på webbplatsen.
Av ordalydelsen i artikel 21.5 i dataskyddsförordningen framgår att bestämmelsen ska tillämpas framför en avvikande reglering i direktivet om integritet och elektronisk kommunikation. Invändningen kan alltså göras på ett automatiserat sätt trots vad som sägs i direktivet om integritet och elektronisk kommunikation. Någon anpassning av 6 kap. 18 § LEK torde därmed inte behövas.
Förordningen om elektronisk kommunikation och lagen om införande av lagen om elektronisk kommunikation bedöms inte behöva några lagtekniska författningsändringar med anledning av personuppgiftslagens upphävande.
7. Ikraftträdande- och övergångsbestämmelser
Förslag: Författningsändringarna ska träda i kraft den 25 maj
2018.
Bedömning: Det behövs inga övergångsbestämmelser för de
föreslagna författningsändringarna.
Dataskyddsförordningen trädde i kraft den 24 maj 2016 och den ska tillämpas från och med den 25 maj 2018 (artikel 99.1–2 i dataskyddsförordningen). De författningsändringar som föreslås i promemorian syftar till att anpassa författningarna inom Näringsdepartementets verksamhetsområde till dataskyddsförordningens bestämmelser och personuppgiftslagens upphävande. Genom de föreslagna ändringarna bedöms författningarna överensstämma med de krav som följer av dataskyddsförordningen. Den föreslagna dataskyddslagen innehåller generella kompletterande bestämmelser till dataskyddsförordningen och föreslås träda i kraft samma dag som dataskyddsförordningen ska börja tillämpas. De föreslagna ändringarna i denna promemoria finns i författningar som kompletterar dataskyddsförordningen. Förslagen innehåller ibland även hänvisningar till dataskyddslagen. De föreslagna författningsändringarna bör därmed träda i kraft när dataskyddsförordningen ska börja tillämpas, dvs. den 25 maj 2018. Något behov av övergångsbestämmelser i de berörda författningarna finns inte.
Av skäl 171 till dataskyddsförordningen framgår att behandling
som redan pågår den dag då dataskyddsförordningen börjar tilläm-
pas bör bringas i överensstämmelse med dataskyddsförordningen inom en period av två år från det att dataskyddsförordningen träder i kraft. Av skäl 171 framgår också att om behandlingen grundar sig
Ikraftträdande- och övergångsbestämmelser Ds 2017:28
på samtycke enligt dataskyddsdirektivet är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den personuppgiftsansvarige ska kunna fortsätta med behandlingen efter den 25 maj 2018, om det sätt som samtycket gavs på överensstämmer med kraven i dataskyddsförordningen.
Skälet ger således stöd för att personuppgiftsansvariga förutsätts ha anpassat sin personuppgiftsbehandling till dataskyddsförordningen vid den tid då dataskyddsförordningen ska börja tillämpas. Personuppgiftsansvariga måste därmed anpassa sin behandling så att exempelvis en begäran om information från en registrerad som inkommit före den 25 maj 2018 kan besvaras i enlighet med dataskyddsförordningens regelverk.
I förslaget till dataskyddslag finns en övergångsbestämmelse som innebär att 48 § PUL om skadeståndsskyldighet för personuppgiftsansvariga och möjlighet att jämka sådan ersättningsskyldighet bör fortsätta att gälla för skada som har orsakats före upphävandet av personuppgiftslagen. Motsvarande bör även gälla för de författningar inom verksamhetsområdet som har skadeståndsbestämmelser som hänvisar till 48 § PUL. I sådana fall bör äldre skadeståndsbestämmelser gälla, om skadan orsakats före den 25 maj 2018. Någon särskild övergångsbestämmelse om detta behövs emellertid inte. Det följer i stället av allmänna principer att äldre bestämmelser gäller om anspråket har uppkommit före dataskyddsförordningens i kraftträdande (jfr prop. 1972:5 s. 593 och prop. 2015/16:4 s. 205–206).
Artikel 95 i dataskyddsförordningen innehåller en särskild reglering av övergångskaraktär när det gäller förhållandet till direktivet om integritet och elektronisk kommunikation och dataskyddsförordningen. Några särskilda övergångsbestämmelser för de föreslagna författningsändringarna i lagen om elektronisk kommunikation bedöms inte behövas. Inte heller i övrigt finns det skäl att införa några övergångsbestämmelser.
8. Konsekvenser av förslagen
Bedömning: Författningsändringarna i denna promemoria med-
för inte några särskilda konsekvenser för de personuppgiftsansvariga myndigheterna och enskilda.
Genom författningsförslagen genomförs de anpassningar som bedöms nödvändiga av personuppgiftsregleringen inom Näringsdepartementets verksamhetsområde till de nya krav som dataskyddsförordningen uppställer. Förslagen i promemorian berör tillämpande myndigheter och aktörer i den privata sektorn i deras egenskap av personuppgiftsansvariga. Bland de myndigheter som berörs av de föreslagna ändringarna är Bolagsverket, Transportstyrelsen, Patent- och registreringsverket, Post- och telestyrelsen och Jordbruksverket.
Rättsläget ändras i mycket begränsad omfattning genom förslagen och ändringarna görs uteslutande i befintlig dataskyddsreglering. Förslagen bedöms därmed inte leda till några kostnadsökningar för dem som är personuppgiftsansvariga. Vilka regeländringar som dataskyddsförordningen medför i stort och vilka konsekvenser den förändrade dataskyddsregleringen generellt får behandlas inte inom ramen för detta uppdrag och utgör inte heller konsekvenser av de framlagda förslagen i denna promemoria. För en konsekvensbedömning av den generella kompletterande lagstiftningen till dataskyddsförordningen hänvisas till Dataskyddsutredningens betänkande SOU 2017:39.
Förslagen bedöms inte heller i övrigt ha några ekonomiska konsekvenser för andra än personuppgiftsansvariga myndigheter, kommuner, landsting, företag eller andra enskilda.
Några effekter för företagens arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt bedöms inte finnas. Inte heller bedöms
Konsekvenser av förslagen Ds 2017:28
förslagen få några konsekvenser för jämställdheten mellan kvinnor och män. Även beträffande sociala eller miljömässiga konsekvenser och påverkan på möjligheterna att nå de integrationspolitiska målen gör jag bedömningen att förslagen inte får några effekter.
9. Författningskommentar
9.1. Ikraftträdande
Samtliga författningsändringar föreslås träda i kraft den 25 maj 2018. Övervägandena finns i avsnitt 7.
9.2. Förslaget till lag om ändring i rennäringslagen (1971:437)
74 § Ärenden om registrering av renmärke prövas av Sametinget.
Sametinget är personuppgiftsansvarigt för behandlingen av personuppgifter i renmärkesregistret.
Registret får användas för att fastställa vem som är ägare till en ren. Registret ska innehålla uppgifter om ett renmärkes utseende, den sameby där märket får användas samt märkesinnehavarens namn, person- eller organisationsnummer och adress.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utöver vad som sägs i andra och tredje styckena gäller även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning vid behandling av personuppgifter.
Genom ändringen ersätts den tidigare hänvisningen till personuppgiftslagen i paragrafens fjärde stycke med en upplysning om att allmänna bestämmelser om personuppgiftsbehandling finns i dataskyddsförordningen och i dataskyddslagen. Övervägandena finns i avsnitt 4.4.1.
Författningskommentar Ds 2017:28
9.3. Förslaget till lag om ändring i skogsvårdslagen (1979:429)
32 b § I fråga om personuppgifter ska registret över fysiska och juridiska personer, som yrkesmässigt bedriver produktion eller införsel för saluföring av skogsodlingsmaterial eller handel med sådant material, ha till ändamål att tillhandahålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana näringsidkare som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana näringsidkare,
2. aktualisering, komplettering eller kontroll av uppgifter om sådana näringsidkare i kund- eller verksamhetsregister eller liknande register, eller
3. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2 och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Paragrafen som behandlar registrets ändamål ändras på så sätt att hänvisningen till personuppgiftslagen i punkt 3 ersätts, utan ändring i sak, med en hänvisning till motsvarande reglering i dataskyddsförordningen. Enligt artikel 21.2 har den registrerade rätt att motsätta sig behandling av personuppgifter för direkt marknadsföring. Om den registrerade gör en invändning mot behandling för direkt marknadsföring ska den personuppgiftsansvarige inte längre behandla personuppgifterna för sådana ändamål enligt artikel 21.3 i dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.2 och 5.4.10.
32 c § I fråga om personuppgifter ska registret över godkända frökällor ha till ändamål att tillhandhålla uppgifter för
1. verksamhet för vilken staten ansvarar enligt lag eller annan författning, och
a) som avser sådana frökällor som registrerats i registret, eller
b) som för att kunna utföras förutsätter tillgång till uppgifter om sådana frökällor,
2. omsättning av skogsodlingsmaterial och fast egendom på vilken en frökälla registrerats,
3. aktualisering, komplettering eller kontroll av uppgifter om frökällor i kund- eller verksamhetsregister eller liknande register, eller
Ds 2017:28 Författningskommentar
4. uttag av urval av personuppgifter för direkt marknadsföring, dock med den begränsning som följer av artikel 21.2 och 21.3 i Europaparlamentets och rådets förordning (EU) 2016/679.
Paragrafen som behandlar registrets ändamål ändras på så sätt att hänvisningen till personuppgiftslagen i punkt 4 ersätts med en hänvisning till motsvarande reglering i dataskyddsförordningen.
Innebörden av artikel 21.2 och 21.3 beskrivs kortfattat i författningskommentaren till 32 b §.
Övervägandena finns i avsnitt 4.4.1 och 5.4.10.
32 e § Skogsstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i de register som avses i 32 a § första stycket.
Genom ändringen tas en hänvisning till personuppgiftslagen bort. Vad som avses med personuppgiftansvarig framgår numera av dataskyddsförordningen. Övervägandet finns i avsnitt 4.4.3.
40 § Skogsstyrelsens beslut enligt denna lag eller enligt föreskrifter som har meddelats med stöd av lagen får överklagas hos allmän förvaltningsdomstol.
Naturvårdsverket får överklaga Skogsstyrelsens beslut i fall som avses i 25 § andra stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Genom ändringen tas andra meningen i första stycket bort. Att en myndighets beslut om avslag på ansökan om information och beslut om rättelse kan överklagas framgår av dataskyddslagen. Övervägandet finns i avsnitt 5.8.1.
9.4. Förslaget till lag om ändring i lagen (2003:389) om elektronisk kommunikation
6 kap.
1 § I detta kapitel avses med
elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och tv-program som är riktade till allmänheten via ett elektro-
Författningskommentar Ds 2017:28
niskt kommunikationsnät om denna information inte kan sättas i samband med den enskilda abonnenten eller användaren av informationen,
integritetsincident: en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster,
internetåtkomst: möjlighet till överföring av ip-paket som ger användaren tillgång till internet,
meddelandehantering: utbyte eller överföring av elektroniskt meddelande som inte är samtal och inte heller är information som överförs som del av sändningar av ljudradio- och tv-program,
misslyckad uppringning: uppringning som kopplas fram utan att nå en mottagare,
trafikuppgift: uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande.
Begreppen behandling, personuppgiftsansvarig och samtycke har i kapitlet samma innebörd som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Paragrafen behandlar särskilda definitioner vid behandling av trafikuppgifter och integritetsskydd. Genom ändringen i sista stycket anpassas paragrafen till definitionerna i artikel 4 i dataskyddsförordningen. Övervägandena finns i avsnitt 6.2.2.
2 § I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller Europaparlamentets och rådets förordning (EU) 2016/679. Bestämmelserna i förordningen (EU) 2016/679 ska dock inte tillämpas vid behandling av personuppgifter inom ramen för tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät, inom sådana områden där tillhandahållaren redan omfattas av särskilda skyldigheter för samma ändamål
enligt denna lag.
Även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling som avses i första stycket, om inte annat följer av denna lag.
I det allmännas verksamhet ska offentlighets- och sekretesslagen (2009:400) tillämpas i stället för 20–23 §§.
Ds 2017:28 Författningskommentar
Genom ändringen tas hänvisningen till personuppgiftslagen i första stycket bort. Allmänna bestämmelser om personuppgiftsbehandling finns numera i dataskyddsförordningen. Andra meningen motsvarar artikel 95 i dataskyddsförordningen. Ändringen påverkar behandling av personuppgifter som utförs av dem som tillhandahåller elektroniska kommunikationsnät och elektroniska kommunikationstjänster som inte är allmänna. Sådan behandling kommer att regleras av dataskyddsförordningen och inte av lagen om elektronisk kommunikation.
Hänvisningen till bestämmelserna om rättelse och skadestånd i personuppgiftslagen i paragrafens andra stycke tas bort. De behöver inte ersättas med hänvisningar till motsvarande bestämmelser i dataskyddsförordningen. Övervägandena finns i avsnitt 6.2.3 och 6.2.4.
9.5. Förslaget till lag om ändring i lagen (2006:24) om nationella toppdomäner för Sverige på Internet
Förhållandet till annan lag
3 § Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om behandling av personuppgifter. Om inte annat följer av denna lag, gäller även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning vid behandling av personuppgifter i administrationen av en nationell toppdomän för Sverige.
Genom ändringen tas hänvisningen till personuppgiftslagen i rubriken och i första stycket bort. Allmänna bestämmelser om personuppgiftsbehandling finns numera i dataskyddsförordningen och i dataskyddslagen. Formuleringen ”annan lag” omfattar inte bara bestämmelser i lagar antagna av den svenska riksdagen, utan även bestämmelser i direkt tillämpliga EU-förordningar.
Andra stycket i paragrafen ändras genom att hänvisningen till personuppgiftslagens bestämmelser om rättelse och skadestånd tas bort. Att rättelse och skadestånd gäller vid behandling av person-
Författningskommentar Ds 2017:28
uppgifter enligt lagen framgår numera av dataskyddsförordningen och av dataskyddslagen. Övervägandena finns i avsnitt 4.4.1, 5.4.4 och 5.8.2.
9.6. Förslaget till lag om ändring i lagen (2007:1150) om tillsyn över hundar och katter
Jordbruksverket är personuppgiftsansvarigt för behandlingen av per-
6 §
sonuppgifter i hundregistret. Regeringen eller, efter regeringens bemyndigande, Jordbruksverket får besluta att överlåta driften av registret till en annan myndighet eller till en organisation.
Ändringen innebär att en hänvisning till personuppgiftslagens begrepp personuppgiftsansvarig tagits bort. Innebörden av detta ansvar framgår numera av dataskyddsförordningen. Övervägandet finns i avsnitt 4.4.3.
Bestämmelser om behandling av personuppgifter finns i Europaparla-
7 §
mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Utöver vad som sägs i 5 och 6 §§ denna lag gäller vid behandling av personuppgifter även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Genom ändringen i första meningen har erinran om att personuppgiftslagen gäller utöver 5 och 6 §§ i lagen tagits bort. Allmänna bestämmelser om personuppgiftsbehandling finns numera i dataskyddsförordningen och dataskyddslagen. Övervägandena finns i avsnitt 4.4.1.
Ändringen innebär också att andra meningen i paragrafen och därmed hänvisningen till personuppgiftslagens bestämmelser om rättelse och skadestånd tas bort. Att rättelse och skadestånd gäller vid behandling av personuppgifter enligt lagen framgår numera av dataskyddsförordningen och av dataskyddslagen. Övervägandena finns i avsnitt 5.4.4 och 5.8.2.
Ds 2017:28 Författningskommentar
9.7. Förslaget till lag om ändring i lagen (2009:619) om djurskyddskontrollregister
Förhållandet till annan lag
Bestämmelser om behandling av personuppgifter finns i Europaparla-
3 §
mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Om inte annat följer av denna lag eller av föreskrifter som har meddelats med stöd av denna lag, gäller vid behandling av personuppgifter i djurskyddskontrollregistret även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Genom ändringen tas hänvisningen till personuppgiftslagen bort. Allmänna bestämmelser om behandling av personuppgifter finns numera i dataskyddsförordningen och i dataskyddslagen. Även hänvisningen i rubriken till personuppgiftslagen tas bort. Formuleringen ”annan lag” omfattar inte bara bestämmelser i lagar antagna av den svenska riksdagen, utan även bestämmelser i direkt tillämpliga EUförordningar. Övervägandena finns i avsnitt 4.4.1.
Personuppgifter får behandlas i djurskyddskontrollregistret för att
5 §
1. i verksamhet hos Jordbruksverket planera, samordna, administrera, följa upp och rapportera om djurskyddskontrollen enligt djurskyddslagen (1988:534) samt enligt de EG-förordningar som kompletteras av den lagen,
2. tillhandahålla information om djurskyddskontrollen som behövs i verksamhet hos länsstyrelserna för deras planering, uppföljning och kontroll enligt djurskyddslagen samt enligt de EG-förordningar som kompletteras av den lagen, och
3. tillhandahålla information som behövs i verksamhet hos Jordbruksverket och länsstyrelserna som underlag för beslut om och kontroll av direktstöd och stöd för landsbygdsutvecklingsåtgärder enligt lagen (1994:1710) om EG:s förordningar om jordbruksprodukter samt enligt lagen (1994:1708) om EG:s förordningar om strukturstöd och om stöd till utveckling av landsbygden.
Personuppgifter som behandlas för ändamål som anges i första stycket får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. Att personuppgifter även får
Författningskommentar Ds 2017:28
behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
Den tidigare hänvisningen till den s.k. finalitetsprincipen i personuppgiftslagen ersätts med en hänvisning till motsvarande reglering i dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.2.
I djurskyddskontrollregistret får endast behandlas sådana uppgifter
6 §
om den som är föremål för djurskyddskontroll enligt djurskyddslagen (1988:534) och de EG-förordningar som kompletteras av den lagen, som behövs för de ändamål som anges i 5 §.
Sådana personuppgifter som avses i artikel 9 i Europaparlamentets och rådets förordning (EU) 2016/679 får inte behandlas.
Regeringen meddelar närmare föreskrifter om vilka personuppgifter som får behandlas i djurskyddskontrollregistret.
Hänvisningen till 13 § PUL har ersätts med en hänvisning till artikel 9 i dataskyddsförordningen. Övervägandet finns i avsnitt 5.1.1 – 5.1.3.
12 § Personuppgifter som behandlas i djurskyddskontrollregistret ska gallras när de inte längre är nödvändiga för de ändamål som anges i 5 §.
Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter, eller i det enskilda fallet besluta, om
1. att personuppgifter får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål och
2. att gallring av personuppgifter ska ske senast vid en viss tidpunkt.
Formuleringen om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål har ändras för att bättre överensstämma med dataskyddsförordningens formulering. Övervägandena finns i avsnitt 5.7.
Ds 2017:28 Författningskommentar
9.8. Förslaget till lag om ändring i postlagen (2010:1045)
2 kap.
I det allmännas verksamhet ska offentlighets- och sekretesslagen
(2009:400) tillämpas i stället för 14 och 15 §§.
17 §
För utlämnande av annan personuppgift i postverksamhet än som avses i 14 § första och tredje styckena gäller Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid sådan behandling av personuppgifter.
Genom ändringen tas hänvisningen till personuppgiftslagen bort. Bestämmelser om behandling av personuppgifter finns numera i dataskyddsförordningen och i dataskyddslagen. Övervägandena finns i avsnitt 4.4.1.
Det ändrade stycket rör endast en specifik typ av behandling av personuppgifter nämligen utlämnande. Innebörden är att upplysa om att för uppgifter som inte omfattas av tystnadsplikt kan det ändå finnas dataskyddsbestämmelser som påverkar möjligheten att lämna ut uppgifterna. För de uppgifter som omfattas av tystnadsplikt gäller i stället att uppgifterna under vissa omständigheter ska lämnas ut (15 §).
Genom postlagen genomfördes Europaparlamentets och rådets direktiv 2008/6/EG av den 20 februari 2008 om ändring av direktiv 97/67/EG beträffande fullständigt genomförande av gemenskapens inre marknad för posttjänster. Av det direktivet framgår att medlemsstaterna bör se till att behandlingen av personuppgifter hos den som tillhandahåller posttjänster överensstämmer med dataskyddsdirektivet. Den aktuella regleringen har således införts med beaktande av dataskyddsdirektivet. Dataskyddsförordningen innebär inte någon förändring.
Författningskommentar Ds 2017:28
9.9. Förslaget till lag om ändring i lagen (2011:725) om behörighet för lokförare
4 kap.
I detta kapitel finns bestämmelser om register över förarbevis (förar-
1 §
bevisregistret), kompletterande intyg (intygsregister) och tillståndshavare (tillståndsregistret).
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling. Om inte annat följer av denna lag eller förordning som har meddelats med stöd av lagen, gäller vid behandling av personuppgifter i de register som anges i första stycket även lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Genom ändringen ersätts den tidigare hänvisningen till personuppgiftslagen med en upplysning om att allmänna bestämmelser om personuppgiftsbehandling finns i dataskyddsförordningen och i dataskyddslagen. Övervägandena finns i avsnitt 4.4.1.
8 § Personuppgifter som behandlas för ändamål som anges i 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 10 §, annan lag eller förordning. Att personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
Den tidigare hänvisningen till den s.k. finalitetsprincipen i personuppgiftslagen ersätts med en hänvisning till motsvarande reglering i dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.2.
Känsliga personuppgifter som avses i artikel 9 i Europaparlamentets
och rådets förordning (EU) 2016/679 får inte användas som sökbegrepp.
13 §
Hänvisningen till 13 § personuppgiftslagen ersätts med en hänvisning till artikel 9 i dataskyddsförordningen. Övervägandena finns i avsnitt 5.1.1–5.1.3 och 5.3.3.
Ds 2017:28 Författningskommentar
16 § Personuppgifter som behandlas för ändamål som anges i 15 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med 17 §, annan lag eller förordning. Att personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
Den tidigare hänvisningen till den s.k. finalitetsprincipen i personuppgiftslagen ersätts med en hänvisning till motsvarande reglering i dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.2.
22 § Personuppgifter som behandlas för ändamål som anges i 21 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med annan lag eller förordning. Att personuppgifter även får behandlas för andra ändamål framgår av artikel 5.1 b i Europaparlamentets och rådets förordning (EU) 2016/679.
Den tidigare hänvisningen till den s.k. finalitetsprincipen i personuppgiftslagen ersätts med en hänvisning till motsvarande reglering i dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.2.
25 § Regeringen eller den myndighet som regeringen bestämmer får beträffande de intygsregister som inte förs av det allmänna meddela föreskrifter eller i det enskilda fallet besluta om att
1. personuppgifter ska bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller
2. gallring av personuppgifter ska ske senast vid en viss tidpunkt. Regeringen meddelar föreskrifter om bevarande och gallring som avses i första stycket 1 och 2 för övriga register.
Genom ändringen anpassas paragrafens lydelse till dataskyddsförordningens bestämmelser. Övervägandena finns i avsnitt 5.7.
9.10. Förslaget till lag om ändring i lagen (2013:315) om intelligenta transportsystem vid vägtransporter
8 § I Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om
Författningskommentar Ds 2017:28
upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning, lagen (2003:389) om elektronisk kommunikation och lagen (2001:558) om vägtrafikregister finns bestämmelser om behandling av personuppgifter och integritetsskydd.
I lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen finns bestämmelser om vidareutnyttjande av handlingar hos statliga och kommunala myndigheter.
I produktansvarslagen (1992:18) finns bestämmelser om skadeståndsansvar för produkter med säkerhetsbrister.
Genom ändringen tas hänvisningen till personuppgiftslagen i första stycket bort. Allmänna bestämmelser om personuppgiftsbehandling finns numera i dataskyddsförordningen och i dataskyddslagen. Övervägandena finns i avsnitt 4.4.1.
9.11. Förslaget till lag om ändring i lagen (2013:1164) om elektroniska vägtullsystem
7 § En betalningsförmedlare ska
1. när ett avtal om förmedling av vägtull träffas med en väganvändare informera denne om den behandling av personuppgifter som avtalet medför och om väganvändarens rättigheter enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),
2. informera väganvändarna om sin täckning enligt 6 § och eventuella förändringar av den,
3. vid behov förse de väganvändare med vilka avtal om förmedling av vägtull har träffats med fordonsutrustning som uppfyller föreskrivna tekniska krav och visa att utrustningen uppfyller kraven,
4. tillhandahålla lämpliga tjänster och tekniskt stöd för anpassning av fordonsutrustning,
5. ansvara för de fasta parametrar för klassificering av ett fordon som är lagrade i fordonsutrustningen eller hos betalningsförmedlaren,
6. se till att variabla parametrar för klassificering av ett fordon kan ställas in manuellt genom fordonsutrustningen,
7. föra en förteckning över fordonsutrustning som inte längre är godkänd och som hänför sig till ett avtal mellan förmedlaren och en väganvändare,
Ds 2017:28 Författningskommentar
8. offentliggöra sina villkor för att träffa avtal med en väganvändare, och
9. samarbeta med avgiftsupptagare vid indrivning av vägtullar.
Genom ändringen tas en hänvisning till personuppgiftslagen i punkt 1 bort. Vilka rättigheter väganvändare har framgår numera av dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.1.
25 § I fråga om behandling av personuppgifter finns bestämmelser i Europaparlamentets och rådets förordning (EU) 2016/679 och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.
En avgiftsupptagare, eller den som för avgiftsupptagarens räkning tar upp vägtullar, är personuppgiftsansvarig för den behandling av personuppgifter som en underrättelse enligt 19 § innebär.
En betalningsförmedlare är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
I första stycket tas hänvisningen till personuppgiftslagen bort. Allmänna bestämmelser om personuppgiftsbehandling finns i stället i dataskyddsförordningen och i dataskyddslagen. Övervägandena finns i avsnitt 4.4.1.
Genom ändringen tas också hänvisningarna till personuppgiftslagen i andra och tredje styckena såvitt gäller personuppgiftsansvar bort. Innebörden av ett sådant ansvar framgår numera av dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.3.
26 § Den myndighet som regeringen bestämmer ska föra ett register över vägtullsområden och betalningsförmedlare (vägtullsregistret).
Den myndighet som avses i första stycket är personuppgiftsansvarig för behandling av personuppgifter i registret.
Genom ändringen tas hänvisningen till personuppgiftslagen i andra stycket bort. Innebörden av personuppgiftsansvar framgår numera av dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.3.
28 § Den myndighet som regeringen bestämmer utövar tillsyn över att avgiftsupptagare på enskild väg och betalningsförmedlare följer denna lag och föreskrifter som har meddelats i anslutning till lagen samt över att den tekniska utrustningen i ett vägtullssystem uppfyller föreskrivna krav.
I Europaparlamentets och rådets förordning (EU) 2016/679 och i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskydds-
Författningskommentar Ds 2017:28
förordning finns bestämmelser om tillsyn över behandlingen av personuppgifter.
Genom ändringen ersätts upplysningen i andra stycket om att det finns bestämmelser om tillsyn i personuppgiftslagen med en hänvisning till dataskyddsförordningens och dataskyddslagens bestämmelser om tillsyn. Övervägandena finns i avsnitt 4.4.1.
9.12. Förslaget till lag om ändring i lagen (2014:52) om infrastrukturavgifter på väg
18 § Den som tar ut infrastrukturavgifter på vägar som avses i 1 § första stycket 2 är personuppgiftsansvarig för den behandling av personuppgifter som verksamheten innebär.
I fråga om infrastrukturavgifter på vägar som avses i 1 § första stycket 1 finns bestämmelser om personuppgiftsansvar i lagen (2001:558) om vägtrafikregister.
I första stycket tas en hänvisning till personuppgiftslagen bort gällande personuppgiftsansvaret. Innebörden av ett sådant ansvar framgår numera av dataskyddsförordningen. Övervägandena finns i avsnitt 4.4.3.
Bilaga 1
Uppdrag att analysera konsekvenserna av EU:s dataskyddsförordning inom Näringsdepartementets verksamhetsområde
Sammanfattning av uppdraget
Utredaren ska – analysera vilka konsekvenser Europaparlamentets och rådets för-
ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen, medför i fråga om personuppgiftsbehandling inom Näringsdepartementets verksamhetsområde samt – föreslå behövliga och lämpliga anpassningar av författningar inom
verksamhetsområdet, dock inte lagen (2001:558) om vägtrafikregister och förordningen (2001:650) om vägtrafikregister, eller nya författningar till följd av den nya förordningen.
Bakgrund
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dataskydds-
Bilaga 1 Ds 2017:28
direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204).
Den 27 april 2016 antogs dataskyddsförordningen, som utgör en ny generell reglering för personuppgiftsbehandling inom EU. Förordningen ersätter det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018.
Inom Näringsdepartementets verksamhetsområde finns ett tjugotal lagar och ett trettiotal förordningar som innehåller bestämmelser om personuppgiftsbehandling av olika slag eller hänvisningar till personuppgiftslagen.
Behovet av utredning
Dataskyddsförordningen kommer att utgöra grunden för generell personuppgiftsbehandling inom EU. I egenskap av förordning har den allmän giltighet och är bindande och direkt tillämplig i medlemsstaterna. Utgångspunkten är att en EU-förordning inte ska genomföras nationellt, men förordningen kan innebära behov av att anpassa nationella författningar och t.ex. upphäva nationella bestämmelser som står i strid med förordningen. Den nya dataskyddsförordningen medför bl.a. att personuppgiftslagen och personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter i anslutning till denna reglering måste upphävas.
Regeringen har den 25 februari 2016 tillsatt en utredning som har i uppdrag att ta fram en nationell reglering som på ett generellt plan kompletterar förordningen (dir. 2016:15). Utredningen ska bl.a. undersöka vilka kompletterande nationella föreskrifter, exempelvis processuella bestämmelser, som förordningen kräver och överväga vilka kompletterande bestämmelser om t.ex. behandling av känsliga personuppgifter och personnummer som bör införas i den svenska generella regleringen. Uppdraget omfattar däremot inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bl.a. finns i de särskilda registerförfattningarna.
Det finns därför behov av att samlat undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling inom Näringsdepartementets verksamhetsområde samt analysera vilka anpassningar av författningar som krävs eller bör
Bilaga 1
göras med anledning av den nya EU-regleringen och personuppgiftslagens upphävande. Det bör också övervägas om nya författningar behövs. En generell översyn av lagen (2001:558) om vägtrafikregister och förordningen (2001:650) om vägtrafikregister pågår för närvarande inom Näringsdepartementet, varför dessa författningar inte ska omfattas av uppdraget.
Uppdraget
Utredaren ska – undersöka vilka konsekvenser dataskyddsförordningen medför i
fråga om personuppgiftsbehandling inom Näringsdepartementets verksamhetsområde, – undersöka vilka anpassningar av de författningar som hör till
Näringsdepartementets verksamhetsområde, bortsett från lagen (2001:558) om vägtrafikregister och förordningen (2001:650) om vägtrafikregister, som är behövliga eller lämpliga med anledning av dataskyddsförordningen, och – överväga om det inom Näringsdepartementets verksamhetsom-
råde behövs ytterligare nationella anpassningar eller begränsningar avseende skyldigheter och rättigheter enligt dataskyddsförordningen.
Om utredaren bedömer att författningar behöver ändras eller att nya författningar behövs, ska utredaren lämna förslag till författningstext.
Det är viktigt att den nationella regleringen är så enhetlig som möjligt i sin utformning, vilket t.ex. innebär att termer, uttryck och struktur samt hänvisningar till dataskyddsförordningen är enhetliga. Detta ska utredaren beakta i sitt uppdrag.
Vid utförandet av uppdraget är det också viktigt att – i den mån utrymme finns på nationell nivå – hitta lämpliga avvägningar mellan skyddet för den personliga integriteten och myndigheters, företags och enskildas behov av att kunna behandla personuppgifter eller att använda informations- och kommunikationsteknik inom olika områden.
Bilaga 1 Ds 2017:28
Om förslagen som lämnas påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska utredaren föreslå en finansiering.
Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Utredaren ska därför hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och inom EU. Detta innebär bl.a. att utredaren ska följa och i lämplig omfattning samråda med övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk.
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också inhämta synpunkter och upplysningar från de myndigheter och andra organisationer som kan vara berörda av aktuella frågor.
Redovisning av uppdraget
Uppdraget ska redovisas senast den 30 juni 2017.
Bilaga 2
Författningslista
Kungörelse (1904:12 s.3) angående vad till svenska handelns och
sjöfartens betryggande under krig mellan främmande makter bör iakttagas m.m. Kungörelse (1917:250) angående ströängars utbytande mot annan
mark Lag (1918:399) om förbud mot utsläppande av tjur eller hingst å
samfälld betesmark Lag (1921:378) om ströängars indragande till kronan Lag (1922:133) om förbud mot utsläppande av bagge å samfälld
betesmark Lag (1926:1) innefattande bestämmelser i anledning av konven-
tionen den 9 maj 1925 mellan Sverige och Finland ang. renar i gränsområdena Kungörelse (1926:3) innefattande bestämmelser i anledning av
konventionen den 9 maj 1925 mellan Sverige och Finland ang. renar i gränsområdena Kungörelse (1926:8) angående inskränkning i betesrätt å sådan
ohägnad mark inom Älvsborgs län, som skall anses vara till gemensamt mulbete upplåten Lag (1933:269) om ägofred Kungörelse (1933:518) med vissa bestämmelser i anledning av lagen
den 2 juni 1933 (nr 269) om ägofred Kungörelse (1933:519) om ersättning till vissa synemän samt till
sakkunnigt biträde vid förrättning enligt lagen om ägofred Kungörelse (1933:520) angående rese- och traktamentsklass i vissa
fall för förrättningsman och sakkunnigt biträde vid förrättning enligt lagen om ägofred
Bilaga 2 Ds 2017:28
Kungörelse (1933:521) med vissa föreskrifter i fråga om redo-
visning av förrättningsakt rörande förrättning enligt lagen om ägofred Kungörelse (1933:668) om beskaffenheten av laggillt stängsel i
vissa delar av riket m.m. Kungörelse (1934:59) om bestridande med allmänna medel av vissa
med betesreglering förenade kostnader Kungörelse (1935:47) angående viss uppgiftsskyldighet i fråga om
hamnar och lastageplatser även som kanaler och andra vattentrafikleder Kungörelse (1940:72) med vissa föreskrifter i fråga om redovisning
av förrättningsakt m.m. rörande förrättning enligt lagen den 3 september 1939 (nr 608) om enskilda vägar Lag (1940:176) med vissa bestämmelser om fraktfart med svenska
fartyg Lag (1945:119) om stängselskyldighet för järnväg m.m. Lag (1946:741) om förlängning av tiden för vissa servitut Lag (1952:166) om häradsallmänningar Lag (1952:167) om allmänningsskogar i Norrland och Dalarna Kungörelse (1954:555) angående mätbrev för fart genom Suez-
kanalen Kungörelse (1954:556) angående mätbrev för fart genom Panama-
kanalen Kungörelse (1955:674) om överflyttande å Sjöfartsverket av de
uppgifter, som tillkomma lotsverket och sjökarteverket, även som av vissa uppgifter, som tillkomma kommerskollegium samt väg- och vattenbyggnadsstyrelsen Förordning (1956:183) angående omreglering av vissa ersättningar
på grund av statsunderstödd olycksfallsförsäkring för fiskare Förordning (1956:413) om klassificering av kött Lag (1957:390) om fiskearrenden Lag (1959:517) om förlängning av tiden för vissa servitut Kungörelse (1959:518) rörande tillämpning av lagarna den
6 december 1946 (nr 741) och den 4 december 1959 (nr 517) om förlängning av tiden för vissa servitut
Bilaga 2
Kungörelse (1960:516) med tillämpningsföreskrifter till lagen
(1940:176) med vissa bestämmelser om fraktfart med svenska fartyg Kungörelse (1965:561) om statistiska uppgifter angående väg-
trafikolyckor Lag (1966:314) om kontinentalsockeln Kontinentalsockelförordning (1966:315) Lag (1966:319) om rätt till sand-, grus- och stentäkt inom vissa
allmänna vattenområden Kungörelse (1966:320) om upplåtelse från staten av rätt till sand-,
grus- eller stentäkt inom vissa allmänna vattenområden Kungörelse (1967:558) om tillämpning av svensk standard inom
viss byggnadsverksamhet Patentkungörelse (1967:838) Kungörelse (1967:845) om införsel och användning av reservdelar
och tillbehör till luftfartyg utan hinder av patent Kungörelse (1967:895) om ersättning till nämndemän för vissa
syner och besiktningar Kungörelse (1968:536) om ny internationell signalbok för sjöfarten Lag (1970:299) om skydd mot flyghavre Förordning (1970:300) om skydd mot flyghavre Förordning (1970:340) om skolskjutsning Kungörelse (1970:344) om kompetenskrav för förare av större
fritidsbåtar Mönsterskyddsförordning (1970:486) Rennäringslag (1971:437) Väglag (1971:948) Kungörelse (1971:1065) om viss underrättelseskyldighet i mål
angående förrättning enligt lagen (1939:608) om enskilda vägar Förordning (1971:1152) om allmänna jordbruksarrenden Kungörelse (1972:17) om behandling av föremål som upphittats
inom flygplats eller på luftfartyg, m.m. Lag (1972:114) med anledning av konventionen den 9 februari 1972
mellan Sverige och Norge om renbetning
Bilaga 2 Ds 2017:28
Kungörelse (1972:115) med anledning av konventionen den
9 februari 1972 mellan Sverige och Norge om renbetning Lag (1972:175) med vissa bestämmelser om bokföring av bostads-
lån m.m. Växtskyddslag (1972:318) Lag (1972:435) om överlastavgift Lag (1972:752) med anledning av införandet av ny vägtrafik-
lagstiftning Kungörelse (1973:105) om länsbeteckningar Sjömanslag (1973:282) Kungörelse (1973:686) om registrering av svenska kommunala
vapen Handelsregisterförordning (1974:188) Bisjukdomslag (1974:211) Bisjukdomsförordning (1974:212) Förordning (1974:235) om tillstånd till sjöfart i inrikes trafik med
utländskt fartyg m.m. Kungörelse (1974:661) om uppgifter för galt- och betäcknings-
statistiken Förordning (1975:49) om gemensam kontrollstämpel m.m. för
arbeten av guld, silver eller platina Lag (1975:74) med bemyndigande att meddela vissa föreskrifter för
trädgårdsnäringen Lag (1975:87) om förbud för redare att i visst fall lämna ut
handling som angår den svenska sjöfartsnäringen Lag (1975:88) med bemyndigande att meddela föreskrifter om
trafik, transporter och kommunikationer Lag (1975:417) om sambruksföreningar Lag (1975:424) om uppgiftsskyldighet vid grundvattentäkts-
undersökning och brunnsborrning Förordning (1975:425) om uppgiftsskyldighet vid
grundvattentäktsundersökning och brunnsborrning Förordning (1976:100) om vissa officiella beteckningar Lag (1976:206) om felparkeringsavgift
Bilaga 2
Utsädeslag (1976:298) Lag (1976:447) om rätt för erkänd arbetslöshetskassa att pröva
fråga om statsbidrag till fiskeföretag Förordning (1976:933) om kungörande av uppgifter ur aktie-
bolagsregistret m.m. Förordning (1976:1111) med tillkännagivande att Organisationen
för ekonomiskt samarbete och utveckling antagit deklaration om internationella investeringar och multinationella företag Förordning (1976:1128) om felparkeringsavgift Lag (1977:67) om tilläggsavgift i kollektiv persontrafik Förordning (1977:68) om tilläggsavgift i kollektiv persontrafik Förordning (1977:774) om rätt att bruka finländsk terrängskoter i
Sverige Förordning (1977:945) om trädgårdsväxters sundhet, sortäkthet
och kvalitet Förordning (1977:1025) om avgifter i vissa tryckfrihetsärenden Förordning (1978:205) om internationellt certifikat för fritids-
fartyg Förordning (1978:218) om patent- och registreringsverkets
verksamhet som internationell myndighet enligt konventionen om patentsamarbete Lag (1978:234) om nämnder för vissa trafikfrågor Förordning (1978:250) om statligt stöd till jordbrukets
rationalisering Förordning (1979:38) om läkarintyg för sjöfolk Jordförvärvslag (1979:230) Skogsvårdslag (1979:429) Lag (1979:558) om handikappanpassad kollektivtrafik Lag (1979:631) om beslutanderätt för stiftelse som har bildats för
att främja industriellt utvecklingsarbete Förordning (1979:1036) om högsta pris för vissa lastbilstransporter Förordning (1979:1082) om lokala trafikföreskrifter i vissa fall Containerlag (1980:152)
Bilaga 2 Ds 2017:28
Förordning (1980:301) om upphävande av brevet den 10 mars 1972
angående tillstånd för utländsk medborgare att tjänstgöra som radiotelegrafist i svenskt fartyg Förordning (1980:398) om handikappanpassad kollektivtrafik Förordning (1980:402) om stöd till offentliga karantäner för djur Lag (1980:424) om åtgärder mot förorening från fartyg Lag (1980:565) om undantag från fastighetsbildningslagen (1979:988)
och jordförvärvslagen (1979:230) vid friköp av kronotorp Containerförordning (1980:640) Förordning (1980:770) om beräkning av kapitalbelopp m.m. inom
sjömanspensioneringen Förordning (1980:789) om åtgärder mot förorening från fartyg Förordning (1980:896) om viltvårdsområden Lag (1980:1097) om Svenska skeppshypotekskassan Förordning (1981:340) om avgift för administration av statliga
bostadslån m.m. Lag (1981:369) om statens övertagande av skogsvårdsstyrelsernas
egendom Lag (1981:533) om fiskevårdsområden Krigsveterinärförordning (1981:648) Lag (1981:655) om vissa avgifter i allmän hamn Lag (1981:1104) om verksamheten hos vissa regionala alarmerings-
centraler Lag (1982:129) om flyttning av fordon i vissa fall Förordning (1982:198) om flyttning av fordon i vissa fall Förordning (1982:569) om lotsning m.m. Förordning (1983:140) om statsbidrag för omhändertagande av
oljeavfall m.m. från fartyg Förordning (1983:744) om trafiken på Göta kanal Mönstringslag (1983:929) Lag (1983:1015) med anledning av Sveriges tillträde till konven-
tionen den 6 april 1974 om en uppförandekod för linjekonferenser
Bilaga 2
Förordning (1983:1021) om tilläggslån för ombyggnad av bostads-
hus m.m. Lag (1984:318) om kontrollavgift vid olovlig parkering Förordning (1984:321) om kontrollavgift vid olovlig parkering Mönstringsförordning (1984:831) Lag (1985:126) om åtgärder till skydd för svensk sjöfart Förordning (1985:200) om järnvägs befordringsskyldighet m.m. Förordning (1985:201) om behandling av föremål som har upp-
hittats i spårvägs-, tunnelbane- eller busstrafik Lag (1985:277) om vissa bulvanförhållanden Lag (1985:1075) om rätt att anlägga enskilda järnvägar m.m. Förordning (1986:172) om luftfartygsregistret m.m. Förordning (1986:255) om pristillägg på renkött Sjötrafikförordning (1986:300) Svävarfartsförordning (1986:305) Lag (1986:371) om flyttning av fartyg i allmän hamn Lag (1987:24) om kommunal parkeringsövervakning m.m. Förordning (1987:26) om parkeringsvakter i kommuner Lag (1987:147) om regionplanering för kommunerna i Stockholms
län Jaktlag (1987:259) Jaktförordning (1987:905) Förordning (1987:1179) om statsbidrag till företag som utför
funktionstest av lantbrukssprutor Lag (1988:15) om förbud mot vissa radar- och laservarnare Förordning (1988:103) om lån till den mindre skeppsfarten Djurskyddslag (1988:534) Djurskyddsförordning (1988:539) Förordning (1988:541) med instruktion för Centrala försöks-
djursnämnden Förordning (1988:563) om vad som avses med krigsmateriel i lagen
(1971:1078) om försvarsuppfinningar Förordning (1989:281) om Jordfonden
Bilaga 2 Ds 2017:28
Lag (1989:532) om tillstånd för anställning på fartyg Förordning (1989:548) om tillstånd för anställning på fartyg Lag (1989:567) om ändrade betalningsvillkor för vissa statliga
bostadslån m.m. Förordning (1989:891) om statsbidrag till enskild väghållning Förordning (1990:292) om upphävande av tjänstebrevsrätt och
frankeringsfrihet Lag (1990:712) om undersökning av olyckor Förordning (1990:717) om undersökning av olyckor Förordning (1990:916) om vissa lån till forskningsinriktat
experimentbyggande Lag (1990:1079) om tillfälliga bilförbud Förordning (1990:1080) om tillfälliga bilförbud Lag (1990:1157) om säkerhet vid tunnelbana och spårväg Förordning (1990:1165) om säkerhet vid tunnelbana och spårväg Lag (1990:1364) om ändring av plan- och bostadsverkets namn Minerallag (1991:45) Förordning (1991:102) om poliseskort Förordning (1991:1096) med anledning av Närings- och teknik-
utvecklingsverkets inrättande Förordning (1991:1216) om vägtrafikombud Förordning (1991:1803) om rätt för norska och åländska trafik-
skolor att bedriva övningskörning i Sverige Förordning (1991:1881) om medgivande enligt sjömanslagen
(1973:282) Lag (1992:160) om utländska filialer m.m. Mineralförordning (1992:285) Förordning (1992:308) om utländska filialer m.m. Lag (1992:1684) om EG-handelsgödsel Förordning (1993:185) om arbetsförhållanden vid vissa inter-
nationella vägtransporter Förordning (1993:221) för Sveriges lantbruksuniversitet Rennäringsförordning (1993:384)
Bilaga 2
Förordning (1993:712) om den statliga fonden för fukt- och
mögelskador i småhus m.m. Fiskelag (1993:787) Skogsvårdsförordning (1993:1096) Förordning (1993:1148) om egenavgifter vid resor med riks-
färdtjänst Förordning (1993:1270) om förande av samfällighetsförenings-
register m.m. Förordning (1993:1334) med bemyndigande för Sjöfartsverket att
fastställa avgifter för viss kanaltrafik Förordning (1993:1741) med anledning av Telestyrelsens namn-
byte till Post- och telestyrelsen Förordning (1994:246) om ersättning för vissa merkostnader och
förluster med anledning av Tjernobylolyckan Förordning (1994:254) om beslutanderätt i vissa frågor enligt
kungörelsen (1962:538) om förbättringslån Förordning (1994:542) om utförsel av levande djur m.m. Förordning (1994:549) om nedsättning av socialavgifter Förordning (1994:1162) om skeppsmätning Förordning (1994:1279) med bemyndigande att meddela före-
skrifter och andra beslut enligt sjölagen (1994:1009) Förordning (1994:1297) om vilotider vid vissa vägtransporter inom
landet Förordning (1994:1313) om avgifter vid veterinär yrkesutövning Lag (1994:1708) om EG:s förordningar om miljö- och strukturstöd
och om stöd till utveckling av landsbygden Lag (1994:1709) om EG:s förordningar om den gemensamma
fiskeripolitiken Lag (1994:1710) om EG:s förordningar om jordbruksprodukter Förordning (1994:1716) om fisket, vattenbruket och fiskeri-
näringen Förordning (1994:1808) om behöriga myndigheter på den civila
luftfartens område Förordning (1994:1830) om införsel av levande djur m.m.
Bilaga 2 Ds 2017:28
Lag (1994:2087) med anledning av Sveriges tillträde till den
multilaterala överenskommelsen om undervägsavgifter Vägtrafikförordning (1995:137) för den kommunala organisationen
för räddningstjänst under utbildning och höjd beredskap Förordning (1995:436) om behörig myndighet enligt vissa EU-
rättsakter rörande järnväg m.m. Förordning (1995:911) om övertagande av vissa lån för bostads-
ändamål Pantbankslag (1995:1000) Förordning (1995:1100) med instruktion för Svenska FAO-
kommittén Förordning (1995:1122) om statlig garanti för fartygsfinansiering Pantbanksförordning (1995:1189) Lag (1995:1393) om kommunal lantmäterimyndighet Förordning (1995:1459) om avgifter vid lantmäteriförrättningar Lag (1995:1649) om byggande av järnväg Lag (1996:18) om vissa säkerhets- och miljökrav på fritidsbåtar Lag (1996:19) om begränsning av rätten att bedriva linjesjöfart på
Gotland Förordning (1996:53) om vissa säkerhets- och miljökrav på fritids-
båtar Förordning (1996:93) om nationellt stöd till jordbruket i norra
Sverige Lag (1996:506) om överlåtelse av en förvaltningsuppgift till en
övervakningskommitté m.m. Förordning (1996:880) om finansiering genom stiftelsen Industri-
fonden Förordning (1996:911) om avgifter för vissa ärenden enligt lagen
(1981:131) om kallelse på okända borgenärer Förordning (1996:1128) med anledning av Sveriges tillträde till den
multilaterala överenskommelsen om undervägsavgifter Lag (1996:1179) om ändrade förutsättningar för vissa statligt
reglerade bostadslån m.m. Förordning (1997:263) om länsplaner för regional transport-
infrastruktur
Bilaga 2
Växtförädlarrättsförordning (1997:383) Förordning (1997:686) om ansökan och redovisning av eko-
nomiskt bidrag från Europeiska gemenskapen till de svenska delarna av de transeuropeiska transportnätverken Lag (1997:735) om riksfärdtjänst Lag (1997:736) om färdtjänst Förordning (1997:748) om begränsning av rätten att bedriva
linjesjöfart på Gotland Förordning (1997:1121) om farledsavgift Lag (1997:1144) om försöksverksamhet med vidgad samordnad
länsförvaltning i Gotlands län Förordning (1998:8) om röjningsbidrag till äppel- och päronodlare Körkortslag (1998:488) Lag (1998:492) om biluthyrning Lag (1998:493) om trafikskolor Förordning (1998:780) om biluthyrning Förordning (1998:786) om internationella vägtransporter inom
Europeiska ekonomiska samarbetsområdet (EES) Förordning (1998:898) om inrättande, utvidgning och avlysning av
allmän farled och allmän hamn Förordning (1998:915) om miljöhänsyn i jordbruket Lag (1998:958) om vilotid för sjömän Förordning (1998:962) om vilotid för sjömän Förordning (1998:978) om trafikskolor Körkortsförordning (1998:980) Trafikförordning (1998:1276) Förordning (1998:1343) om stöd till fiskevården Förordning (1998:1345) om stöd till biodling Förordning (1998:1355) om trafik med höghastighetsfartyg Förordning (1999:215) om lotsavgifter Lag (1999:271) om handel med begagnade varor Förordning (1999:272) om handel med begagnade varor Epizootilag (1999:657)
Bilaga 2 Ds 2017:28
Zoonoslag (1999:658) Epizootiförordning (1999:659) Zoonosförordning (1999:660) Lag (1999:779) om handel med ädelmetallarbeten Förordning (1999:780) om handel med ädelmetallarbeten Förordning (1999:1382) om stödområden för vissa regionala
företagsstöd Lag (2000:150) om marktjänster på flygplatser Förordning (2000:151) om marktjänster på flygplatser Förordning (2000:281) om regionalt transportbidrag Förordning (2000:284) om stöd till kommersiell service Lag (2000:592) om viltvårdsområden Lag (2000:1025) om innebörden av begreppen jordbruks-,
trädgårds- och skogsprodukter i konkurrenslagen (2008:579) Isbrytarförordning (2000:1149) Utsädesförordning (2000:1330) Lag (2000:1377) med bemyndigande om utjämning av taxor för
vissa lastbilstransporter Lag (2000:1383) om kommunernas bostadsförsörjningsansvar Förordning (2001:167) om bidrag till fartygsförlagd utbildning Förordning (2001:531) om statligt investeringsbidrag för byggande av
bostäder som upplåts med hyresrätt i områden med bostadsbrist Lag (2001:559) om vägtrafikdefinitioner Förordning (2001:651) om vägtrafikdefinitioner Viltskadeförordning (2001:724) Förordning (2001:770) om sjöfartsstöd Förordning (2001:1194) om statsbidrag till kooperativ utveckling,
m.m. Förordning (2002:105) om förteckning över kommunala bostads-
företag Förordning (2002:147) om EG:s stöd för informationskampanjer
och säljfrämjande åtgärder för jordbruksprodukter
Bilaga 2
Lag (2002:562) om elektronisk handel och andra informations-
samhällets tjänster Fordonslag (2002:574) Förordning (2002:664) om statligt stöd för vissa kommunala
åtaganden för boendet Förordning (2003:108) om tillämpning av lagen (1998:958) om
vilotid för sjömän Lag (2003:347) om kreditering på skattekonto av belopp som
beviljats för byggande av mindre hyresbostäder och studentbostäder Fartygssäkerhetslag (2003:364) Lag (2003:367) om lastning och lossning av bulkfartyg Lag (2003:389) om elektronisk kommunikation Lag (2003:390) om införande av lagen (2003:389) om elektronisk
kommunikation Förordning (2003:396) om elektronisk kommunikation Förordning (2003:397) om införande av lagen (2003:389) om
elektronisk kommunikation Fartygssäkerhetsförordning (2003:438) Förordning (2003:439) om lastning och lossning av bulkfartyg Förordning (2003:440) om säkerheten på örlogsfartyg Förordning (2003:506) om investeringsstimulans för byggande av
mindre hyresbostäder och studentbostäder Förordning (2003:596) om bidrag för projektverksamhet inom den
regionala tillväxtpolitiken Förordning (2003:767) om finansiering av Post- och telestyrelsens
verksamhet Förordning (2004:5) om prissättning vid internationella gods-
transporter på väg Tillkännagivande (2004:12) om den EG-förordning som avses i
lagen (1992:1684) om EG-gödselmedel Förordning (2004:13) om EG-gödselmedel Förordning (2004:105) om statlig kreditgaranti för lån för
bostadsbyggande m.m.
Bilaga 2 Ds 2017:28
Förordning (2004:283) om sjöfartsskydd Lag (2004:487) om sjöfartsskydd Förordning (2004:501) om införande av driftsrestriktioner vid
flygplatser Järnvägslag (2004:519) Järnvägsförordning (2004:526) Förordning (2004:865) om kör- och vilotider samt färdskrivare,
m.m. Lag (2004:1100) om luftfartsskydd Förordning (2004:1101) om luftfartsskydd Lag (2004:1167) om vägtransportledare Förordning (2004:1169) om vägtransportledare Lag (2005:395) om arbetstid vid visst vägtransportarbete Förordning (2005:399) om arbetstid vid visst vägtransportarbete Förordning (2005:422) om övervakning av zoonoser och zoo-
notiska smittämnen hos djur och i livsmedel Lag (2005:426) om arbetstid m.m. för flygpersonal inom civilflyget Jordförvärvsförordning (2005:522) Förordning (2005:531) om avgift för färd på Svinesunds-
förbindelsen Lag (2005:590) om insyn i vissa finansiella förbindelser m.m. Förordning (2005:801) om restriktioner för luftfart inom vissa
områden Lag (2006:24) om nationella toppdomäner för Sverige på Internet Förordning (2006:25) om nationella toppdomäner för Sverige på
Internet Lag (2006:418) om säkerhet i vägtunnlar Förordning (2006:421) om säkerhet i vägtunnlar Livsmedelslag (2006:804) Lag (2006:805) om foder och animaliska biprodukter Lag (2006:806) om provtagning på djur m.m. Lag (2006:807) om kontroll av husdjur, m.m.
Bilaga 2
Förordning (2006:812) om offentlig kontroll av livsmedel som
importeras från tredje land Livsmedelsförordning (2006:813) Förordning (2006:814) om foder och animaliska biprodukter Förordning (2006:815) om provtagning på djur, m.m. Förordning (2006:816) om kontroll av husdjur m.m. Förordning (2006:817) om växtskydd m.m Förordning (2006:1024) om omstruktureringsstöd till socker-
producenter Tillkännagivande (2006:1036) om de EG-bestämmelser som
kompletteras av växtskyddslagen (1972:318) Tillkännagivande (2006:1039) om de EG-bestämmelser som
kompletteras av zoonoslagen (1999:658) Förordning (2006:1165) om avgifter för offentlig kontroll av foder
och animaliska biprodukter Förordning (2006:1166) om avgifter för offentlig kontroll av
livsmedel och vissa jordbruksprodukter Lag (2006:1209) om hamnskydd Förordning (2006:1213) om hamnskydd Förordning (2006:1577) om driftbidrag till icke statliga flygplatser Förordning (2007:33) om befälhavares skyldighet vid faror för
sjötrafiken och sjönöd Vägmärkesförordning (2007:90) Förordning (2007:160) om stöd till planeringsinsatser vid vindkraft Förordning (2007:231) om elektroniskt kungörande av vissa trafik-
föreskrifter Förordning (2007:273) om försiktighetsåtgärder vid odling,
transport m.m. av genetiskt modifierade grödor Lag (2007:459) om strukturfondspartnerskap Förordning (2007:482) om diversifierings- och övergångsstöd till
sockerproducenter Förordning (2007:623) om statligt bidrag för kommunala hyres-
garantier
Bilaga 2 Ds 2017:28
Förordning (2007:624) om statliga ersättningsgarantier för bo-
städer Lag (2007:629) om tävling med hästdjur Förordning (2007:630) om tävling med hästdjur Förordning (2007:713) om regionalt tillväxtarbete Tillkännagivande (2007:934) om de EG-bestämmelser som
kompletteras av epizootilagen (1999:657) Förordning (2007:951) med instruktion för Post- och telestyrelsen Förordning (2007:964) med instruktion för Statens väg- och transportforskningsinstitut Förordning (2007:1110) med instruktion för Bolagsverket Förordning (2007:1111) med instruktion för Patent- och
registreringsverket Förordning (2007:1117) med instruktion för Konkurrensverket Lag (2007:1150) om tillsyn över hundar och katter Lag (2007:1157) om yrkesförarkompetens Förordning (2007:1161) med instruktion för Sjöfartsverket Förordning (2007:1240) om tillsyn över hundar Förordning (2007:1244) om konsekvensutredning vid regelgivning Förordning (2007:1470) om yrkesförarkompetens Förordning (2008:20) om statliga kreditgarantier för förvärv av
bostad Förordning (2008:81) om stöd till anläggning av kanalisation Lag (2008:475) om kör- och vilotid vid internationell järnvägstrafik Konkurrenslag (2008:579) Lag (2008:580) om gruppundantag för konkurrensbegränsande avtal om viss taxisamverkan Lag (2008:581) om gruppundantag för vertikala konkurrens-
begränsande avtal Lag (2008:582) om gruppundantag för konkurrensbegränsande
specialiseringsavtal Lag (2008:583) om gruppundantag för konkurrensbegränsande
avtal om forskning och utveckling
Bilaga 2
Lag (2008:584) om gruppundantag för vertikala konkurrens-
begränsande avtal inom motorfordonssektorn Lag (2008:585) om gruppundantag för vissa konkurrens-
begränsande avtal inom försäkringssektorn Lag (2008:586) om gruppundantag för konkurrensbegränsande
avtal om tekniköverföring Konkurrensförordning (2008:604) Förordning (2008:770) om tillsynsmyndighet för kör- och vilotid
vid internationell järnvägstrafik Lag (2008:1048) om skyldighet för kommunerna att lämna uppgifter
om djurskydd m.m. Lag (2008:1049) om förbud mot utsläppande på marknaden av päls
av katt och hund m.m. Förordning (2008:1050) om förbud mot utsläppande på marknaden
av päls av katt och hund m.m. Förordning (2008:1103) om överlastavgift Förordning (2008:1233) med instruktion för Sveriges geologiska
undersökning Förordning (2008:1300) med instruktion för Transportstyrelsen Förordning (2008:1411) om försöksverksamhet med villkorlig kör-
kortsåterkallelse Förordning (2009:1) om miljö- och trafiksäkerhetskrav för
myndigheters bilar och bilresor Förordning (2009:28) om synemän vid jordbruksarrende Lag (2009:121) om utbildning till förare av mopeder, snöskotrar
och terränghjulingar Förordning (2009:145) med instruktion för Tillväxtverket Förordning (2009:146) med instruktion för Myndigheten för
tillväxtpolitiska utvärderingar och analyser Förordning (2009:186) om utbildning till förare av mopeder,
snöskotrar och terränghjulingar Fordonsförordning (2009:211) Militärtrafikförordning (2009:212) Förordning (2009:236) om en nationell plan för transport-
infrastruktur
Bilaga 2 Ds 2017:28
Förordning (2009:237) om statlig medfinansiering till vissa
regionala kollektivtrafikanläggningar m.m. Förordning (2009:250) om behörig svensk myndighet i fråga om
långväga identifiering och spårning av fartyg Förordning (2009:251) om bearbetningsanläggningar för vatten-
bruksdjur Lag (2009:302) om verksamhet inom djurens hälso- och sjukvård Lag (2009:619) om djurskyddskontrollregister Förordning (2009:620) om djurskyddskontrollregister Lag (2009:704) om europeiska grupperingar för territoriellt sam-
arbete Förordning (2009:705) om register över europeiska grupperingar
för territoriellt samarbete Lag (2009:866) om överlåtbara fiskerättigheter Förordning (2009:867) om överlåtbara fiskerättigheter Förordning (2009:946) med instruktion för Lantmäteriet Förordning (2009:1101) med instruktion för Verket för inno-
vationssystem Barlastvattenlag (2009:1165) Lag (2009:1254) om officiella veterinärer Förordning (2009:1263) om förvaltning av björn, varg, järv, lo och kungsörn Förordning (2009:1386) om verksamhet inom djurens hälso- och
sjukvård Förordning (2009:1390) om officiella veterinärer Förordning (2009:1393) med instruktion för Skogsstyrelsen Förordning (2009:1394) med instruktion för Statens veterinär-
medicinska anstalt Förordning (2009:1396) om stöd till företag med avlägset belägen
djurhållning för vissa veterinärkostnader Förordning (2009:1397) om veterinär service av allmänt ekono-
miskt intresse Lag (2009:1424) om kontroll av skyddade beteckningar på jord-
bruksprodukter och livsmedel
Bilaga 2
Förordning (2009:1425) om kontroll av skyddade beteckningar på
jordbruksprodukter och livsmedel Förordning (2009:1426) med instruktion för Livsmedelsverket Förordning (2009:1464) med instruktion för Statens jordbruksverk Förordning (2010:184) med instruktion för Luftfartsverket Förordning (2010:185) med instruktion för Trafikverket Förordning (2010:186) med instruktion för Trafikanalys Förordning (2010:387) om kontroll av förvaltningen av offentliga
medel i europeiska grupperingar för territoriellt samarbete Luftfartslag (2010:500) Luftfartsförordning (2010:770) Lag (2010:879) om allmännyttiga kommunala bostadsaktiebolag Plan- och bygglagen (2010:900) Postlag (2010:1045) Postförordning (2010:1049) Lag (2010:1052) om auktorisation av patentombud Förordning (2010:1053) om auktorisation av patentombud Förordning (2010:1054) med instruktion för Patentombuds-
nämnden Lag (2010:1065) om kollektivtrafik Lag (2010:1350) om uppgiftsskyldighet i fråga om marknads- och
konkurrensförhållanden Vägsäkerhetslag (2010:1362) Vägsäkerhetsförordning (2010:1367) Förordning (2010:1491) om handel med sälprodukter Förordning (2010:1578) om provavgifter för körkort och yrkes-
mässig trafik, m.m. Förordning (2010:1579) om arbetstid m.m. för flygpersonal inom
civilflyget Förordning (2010:1879) om stöd till vissa åtgärder inom skogs-
bruket Förordning (2011:93) om stöd till insatser på livsmedelsområdet
Bilaga 2 Ds 2017:28
Förordning (2011:118) om myndigheters inhämtande av yttrande
från Regelrådet Plan- och byggförordning (2011:338) Förordning (2011:339) om handikappanpassning av vissa bygg-
nader Förordning (2011:474) om förenklat tillträde till växtgenetiska
resurser Varumärkesförordning (2011:594) Förordning (2011:595) om administrativ hävning av en firma-
registrering Förordning (2011:658) om undanröjande av vrak som hindrar sjö-
fart eller fiske Lag (2011:725) om behörighet för lokförare Förordning (2011:728) om behörighet för lokförare Lag (2011:846) om miljökrav vid upphandling av bilar och vissa
kollektivtrafiktjänster Förordning (2011:847) om miljökrav vid upphandling av bilar och
vissa kollektivtrafiktjänster Lag (2011:866) om flygplatsavgifter Förordning (2011:867) om flygplatsavgifter Förordning (2011:926) om EU:s förordningar om pris- och
marknadsreglering av jordbruksprodukter Förordning (2011:977) med bemyndigande att meddela föreskrifter
om avgifter för vissa ärenden om dödande av förkommen handling Förordning (2011:978) om avgifter för vissa ärenden om dödande
av förkommen handling Förordning (2011:1060) om kontroll vid export av livsmedel Lag (2011:1070) om handel med sälprodukter Förordning (2011:1126) om kollektivtrafik Förordning (2011:1159) om allmännyttiga kommunala bostads-
aktiebolag Förordning (2011:1160) om regionala bostadsmarknadsanalyser
och kommunernas bostadsförsörjningsansvar Förordning (2011:1494) om vissa fiskarter från Östersjöområdet
Bilaga 2
Förordning (2011:1533) om behörigheter för sjöpersonal Förordning (2012:30) om Flegtlicenser för import av timmer Förordning (2012:31) om stöd till insatser på skogsområdet Förordning (2012:39) om offentlig medfinansiering av projekt för
utbyggnad av it-infrastruktur Yrkestrafiklag (2012:210) Taxitrafiklag (2012:211) Yrkestrafikförordning (2012:237) Taxitrafikförordning (2012:238) Förordning (2012:365) om häradsallmänningar Förordning (2012:540) om stöd för vissa kostnader i samband med
kastrering av grisar eller för vaccinering för galtlukt Förordning (2012:545) om stöd till planeringsinsatser för lands-
bygdsutveckling i strandnära lägen Förordning (2012:546) med instruktion för Boverket Vägförordning (2012:707) Förordning (2012:708) om byggande av järnväg Förordning (2012:824) om stöd till inventering av mark för
byggande av studentbostäder Förordning (2013:44) om en gemensam inlämningsfunktion för
skogsägare Förordning (2013:145) om stöd för innovativt byggande av bostäder
för unga Lag (2013:283) om bevakning ombord på svenskt fartyg Förordning (2013:284) om bevakning ombord på svenskt fartyg Lag (2013:315) om intelligenta transportsystem vid vägtransporter Lag (2013:363) om kontroll av ekologisk produktion Lag (2013:388) om tillämpning av Europeiska unionens statsstöds-
regler Tillkännagivande (2013:419) om de EU-bestämmelser som komplet-
teras av djurskyddslagen (1998:534) Förordning (2013:470) om tillämpning av Europeiska unionens
statsstödsregler
Bilaga 2 Ds 2017:28
Förordning (2013:922) om stöd till kommuner för inventering av
den fysiska tillgängligheten i flerbostadshusbeståndet Lag (2013:1054) om marknadsföring av modersmjölksersättning
och tillskottsnäring Förordning (2013:1059) om kontroll av ekologisk produktion Förordning (2013:1102) om stöd till utvecklingsprojekt för jäm-
ställda offentliga miljöer i städer och tätorter Lag (2013:1164) om elektroniska vägtullssystem Lag (2014:52) om infrastrukturavgifter på väg Förordning (2014:59) om elektroniska vägtullssystem Förordning (2014:139) om statligt stöd till tillhandahållare av
grundläggande betaltjänster Lag (2014:227) om färdigställandeskydd Lag (2014:447) om rätt att ta fordon i anspråk för fordringar på
vissa skatter och avgifter Tillkännagivande (2014:787) om de EU-bestämmelser som komp-
letteras av lagen (2006:805) om foder och animaliska biprodukter Förordning (2014:835) om stöd till nationella utvecklingsprojekt
om tillämpningen av plan- och bygglagen (2010:900) Lag (2014:836) om näringsförbud Lag (2014:899) om riktlinjer för kommunala markanvisningar Förordning (2014:936) om näringsförbud Lag (2014:1005) om virkesmätning Förordning (2014:1006) om virkesmätning Lag (2014:1009) om handel med timmer och trävaror Förordning (2014:1010) om handel med timmer och trävaror Lag (2014:1020) om redovisningscentraler för taxitrafik Förordning (2014:1101) om EU:s direktstöd till jordbrukare Förordning (2014:1315) om tillfälligt stöd för upparbetning och
lagring av brandskadat virke från brandområdet i Västmanland Förordning (2014:1383) om förvaltning av EU:s strukturfonder Lag (2014:1437) om åtgärder vid hindrande av fortsatt färd Förordning (2014:1487) om att fartyg tillhör Rhensjöfarten
Bilaga 2
Tillkännagivande (2014:1526) om de EU-bestämmelser som komplet-
teras av livsmedelslagen (2006:804) Förordning (2014:1528) om statligt stöd till produktion av biogas Förordning (2014:1564) om infrastrukturavgifter på väg Förordning (2015:17) om åtgärder vid hindrande av fortsatt färd Förordning (2015:208) om statligt stöd till forskning och utveckling
samt innovation Förordning (2015:210) om statligt stöd för att regionalt främja små
och medelstora företag Förordning (2015:211) om statligt stöd till regionala investeringar Förordning (2015:212) om statligt stöd inom Europeiska regionala
utvecklingsfonden Förordning (2015:216) om trafikbuller vid bostadsbyggnader Lag (2015:280) om rapportering av olyckor vid olje- och gasverk-
samhet till havs utanför Europeiska unionen Förordning (2015:305) om rapportering av olyckor vid olje- och
gasverksamhet till havs utanför Europeiska unionen Förordning (2015:307) om ersättning för skyddsutrustning och
installation av skyddsutrustning i järnvägens kommunikationssystem Förordning (2015:406) om stöd för landsbygdsutvecklingsåtgärder Förordning (2015:407) om lokalt ledd utveckling Förordning (2015:518) om tillfälligt stöd för dieselbränsle som har
förbrukats av skogsmaskiner i brandområdet i Västmanland Förordning (2015:579) om stöd för att främja hållbara stadsmiljöer Förordning (2015:610) om en särskild åtgärd för att stödja
jordbrukare inom sektorn för animalieproduktion Tillkännagivande (2015:942) om de EU-bestämmelser som komplet-
teras av lagen (2006:806) om provtagning på djur, m.m. Tillkännagivande (2015:943) om de EU-bestämmelser som komplet-
teras av lagen (2006:807) om kontroll av husdjur, m.m. Lag (2015:1073) om särskilda åtgärder vid allvarlig fara för den
allmänna ordningen eller den inre säkerheten i landet Lag (2016:96) om fritidsbåtar och vattenskotrar
Bilaga 2 Ds 2017:28
Förordning (2016:98) om fritidsbåtar och vattenskotrar Förordning (2016:349) om Skogsstyrelsens planering, uppföljning
och utvärdering av tillsyn Förordning (2016:364) om statsbidrag till kommuner för ökat bostadsbyggande Förordning (2016:383) om intelligenta transportsystem vid
vägtransporter Radioutrustningslag (2016:392) Radioutrustningsförordning (2016:394) Förordning (2016:398) om stöd till utemiljöer i vissa bostads-
områden Förordning (2016:448) om stöd för strategisk användning av
spetsteknik för hållbar stadsutveckling Lag (2016:534) om åtgärder för utbyggnad av bredbandsnät Förordning (2016:538) om åtgärder för utbyggnad av bredbandsnät Förordning (2016:602) om finansiering av Post- och telestyrelsens
verksamhet Förordning (2016:605) om tillämpning av Europeiska unionens
statsstödsregler Förordning (2016:623) om redovisningscentraler för taxitrafik Förordning (2016:723) om vissa identitetskontroller vid allvarlig
fara för den allmänna ordningen eller den inre säkerheten i landet Lag (2016:767) om överlämnande av vissa förvaltningsuppgifter
till nationellt utvecklingsbolag Lag (2016:768) om marin utrustning Förordning (2016:770) om marin utrustning Förordning (2016:837) om stöd för renovering och energi-
effektivisering i vissa bostadsområden Förordning (2016:880) om statligt stöd för att anordna och
tillhandahålla hyresbostäder och bostäder för studerande Förordning (2016:881) om statligt investeringsstöd för hyres-
bostäder och bostäder för studerande Förordning (2016:1048) med instruktion för Myndigheten för
tillväxtpolitiska utvärderingar och analyser