Ds 2017:40
Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform
1. Sammanfattning
I april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Genom förordningen införs enhetliga, generella krav på behandling av personuppgifter. Förordningen ersätter Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som i Sverige har genomförts genom personuppgiftslagen (1998:204) samt ett stort antal specifika författningar med särskilda bestämmelser om behandling av personuppgifter inom ett särskilt område.
Med anledning av de nya EU-bestämmelserna redovisas i denna promemoria bedömningar och förslag till författningsändringar inom delar av Finansdepartementets ansvarsområde, bl.a. avseende den officiella statistiken.
Vidare föreslås vissa författningsändringar för att bl.a. förbättra statistikansvariga myndigheters förutsättningar att framställa statistik.
De flesta författningsändringarna föreslås träda i kraft den 25 maj 2018, vilket är samma dag som dataskyddsförordningen ska börja tillämpas.
2. Författningsförslag
2.1. Förslag till lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980
Härigenom föreskrivs att lagen (1979:217) om allmän folk- och bostadsräkning år 1980 ska upphöra att gälla den 25 maj 2018.
2.2. Förslag till lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning
Härigenom föreskrivs att lagen (1984:531) om 1985 års folk- och bostadsräkning ska upphöra att gälla den 25 maj 2018.
2.3. Förslag till lag om upphävande av lagen (1989:329) om en folk- och bostadsräkning år 1990
Härigenom föreskrivs att lagen (1989:329) om en folk- och bostadsräkning år 1990 ska upphöra att gälla den 25 maj 2018.
2.4. Förslag till lag om ändring i kasinolagen (1999:355)
Härigenom föreskrivs i fråga om kasinolagen (1999:355)
dels att 7 § ska upphöra att gälla,
dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.
3 a §
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
Även lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
Denna lag träder i kraft den 25 maj 2018.
2.5. Förslag till lag om ändring i lagen (2001:99) om den officiella statistiken
Härigenom föreskrivs i fråga om lagen (2001:99) om den officiella statistiken
dels att 23 § ska upphöra att gälla,
dels att rubriken närmast före 23 § ska utgå,
dels att 1, 2, 5, 14, 15, 18 och 26 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 15 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
1
Denna lag innehåller bestämmelser om officiell statistik.
Regeringen meddelar föreskrifter om vilka myndigheter som ansvarar för officiell statistik (statistikansvariga myndigheter).
Bestämmelserna i 14, 15 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.
Bestämmelserna i 14–16 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.
2 §
Personuppgiftslagen (1998:204) gäller vid framställning av statistik i den mån det inte finns avvikande bestämmelser i denna lag.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande be-
1 Senaste lydelse 2013:945.
stämmelser om sådan behandling.
Även lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
5 §
2
Den officiella statistiken ska framställas och offentliggöras med beaktande av behovet av skydd för fysiska och juridiska personers intressen.
Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400).
Bestämmelser om skydd mot kränkning av enskilds personliga integritet genom behandling av personuppgifter finns i personuppgiftslagen (1998:204) .
14 §
En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig
enligt personuppgiftslagen (1998:204) .
En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig.
Behandling av personuppgifter får omfatta uppgift om personnummer.
Trots första stycket kan en statistikansvarig myndighet agera
2 Senaste lydelse 2009:490.
personuppgiftsbiträde åt en annan statistikansvarig myndighet.
15 §
Personuppgifter som avses i
13 § och 21 § första stycket personuppgiftslagen (1998:204)
får behandlas om det följer av föreskrifter som regeringen meddelar.
Personuppgifter som avses i
artikel 9.1 och artikel 10 i Europaparlamentets och rådets förordning (EU) nr 2016/679 får
behandlas endast om det följer av föreskrifter som regeringen meddelar.
15 a §
Artiklarna 16, 18 och 21 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
18 §
Den som har fått personuppgifter som avses i 16 § första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller
utplåna uppgifter.
Den som har fått personuppgifter som avses i 16 § första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta eller blockera uppgifter.
26 §
Den som bryter mot 6 § skall dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken
eller personuppgiftslagen (1998:204). I ringa fall döms
inte till ansvar.
Den som bryter mot 6 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall döms inte till ansvar.
Denna lag träder i kraft den 25 maj 2018.
2.6. Förslag till lag om ändring i lagen (2004:543) om samtjänst vid medborgarkontor
Härigenom föreskrivs att 2 § lagen (2004:543) om samtjänst vid medborgarkontor ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §
3
Ett samtjänstavtal ska ange vilka förvaltningsuppgifter som ska omfattas av samtjänsten.
Förvaltningsuppgifter som innefattar myndighetsutövning eller som kräver tillgång till personuppgifter ska anges särskilt i avtalet.
Förvaltningsuppgifter som innefattar myndighetsutövning eller som kräver tillgång till personuppgifter ska anges särskilt i avtalet. Med personuppgifter
avses detsamma som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Av avtalet ska det även framgå vilken tillgång till personuppgifter som behövs för att de förvaltningsuppgifter som omfattas av avtalet ska kunna utföras.
Så snart ett samtjänstavtal har träffats eller ändrats ska en kopia av avtalet sändas in till regeringen eller den myndighet som regeringen bestämmer.
Denna lag träder i kraft den 25 maj 2018.
3 Senaste lydelse 2009:314.
2.7. Förslag till lag om ändring i lagen (2006:378) om lägenhetsregister
Härigenom föreskrivs i fråga om lagen (2006:378) om lägenhetsregister
dels att 24 § ska upphöra att gälla,
dels att rubriken närmast före 24 § ska utgå,
dels att 2 och 4 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 9 a §, och närmast före
9 a § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §
4
Den statliga lantmäterimyndigheten ska för de ändamål som anges i 5 § föra ett lägenhetsregister.
Personuppgiftslagen (1998:204) gäller vid behandling
av personuppgifter i lägenhets-
registret, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen .
Bestämmelser om behandling av
personuppgifter finns i Europa-
parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.
Även lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat
4 Senaste lydelse 2008:539.
följer av denna lag eller föreskrifter som har meddelats i anslutning till den.
4 §
5
Den statliga lantmäterimyndigheten är personuppgiftsansvarigt
enligt personuppgiftslagen (1998:204)
för lägenhets-
registret.
Den statliga lantmäterimyndigheten är personuppgiftsansvarig för lägenhetsregistret.
Undantag från rättigheter
9 a §
Artikel 18 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.
Denna lag träder i kraft den 25 maj 2018.
5 Senaste lydelse 2008:539.
2.8. Förslag till lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna
Härigenom föreskrivs att 5 § lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 §
Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i
(1998:204).
Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i Europaparlamentets och
rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Denna lag träder i kraft den 25 maj 2018.
2.9. Förslag till förordning om upphävande av förordningen (1984:532) om 1985 års folk- och bostadsräkning
Härigenom föreskrivs att förordningen (1984:532) om 1985 års folk- och bostadsräkning ska upphöra att gälla den 25 maj 2018.
2.10. Förslag till förordning om ändring i förordningen (1984:692) om det allmänna företagsregistret
Härigenom föreskrivs att 1, 15 och 16 §§ förordningen (1984:692) om det allmänna företagsregistret
6
ska ha följande
lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §
Statistiska centralbyrån skall föra ett allmänt företagsregister.
Centralbyrån är registeransvarig
för registret, som skall föras med
hjälp av automatisk databehandling.
Statistiska centralbyrån ska föra ett allmänt företagsregister.
Myndigheten är personuppgiftsansvarig för registret.
Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna förordning innehåller kompletterande bestämmelser om sådan behandling.
Även lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter
6 Förordningen omtryckt 1986:549.
enligt denna förordning, om inte annat följer av denna förordning.
15 §
Föreskrifterna i denna förordning inskränker inte myndigheternas skyldigheter enligt reglerna om allmänna handlingars offentlighet i tryckfrihetsförordningen eller enligt 15
kap. 4 eller 10 § sekretesslagen (1980:100) .
Föreskrifterna i denna förordning inskränker inte myndigheternas skyldigheter enligt reglerna om allmänna handlingars offentlighet i tryckfrihetsförordningen eller enligt
bestämmelserna i offentlighets- och sekretesslagen (2009:400).
16 §
Sådant utlämnande av uppgifter från det allmänna företagsregistret som inte grundas på tryckfrihetsförordningen eller
sekretesslagen (1980:100) sker
mot avgift.
Sådant utlämnande av uppgifter från det allmänna företagsregistret som inte grundas på tryckfrihetsförordningen eller
offentlighets- och sekretesslagen (2009:400)sker mot avgift.
Sådant utlämnande sker i form av utskrift, på medium för automatisk databehandling eller genom att en eller flera terminaler eller datorer ansluts till registret.
Denna förordning träder i kraft den 25 maj 2018.
2.11. Förslag till förordning om upphävande av förordningen (1989:330) om folk- och bostadsräkningen år 1990
Härigenom föreskrivs att förordningen (1989:330) om folk- och bostadsräkningen år 1990 ska upphöra att gälla den 25 maj 2018.
2.12. Förslag till förordning om ändring i förordningen (2001:100) om den officiella statistiken
Härigenom föreskrivs att 7 och 8 §§ förordningen (2001:100) om den officiella statistiken ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 §
7
När en statistikansvarig myndighet samlar in uppgifter för
den officiella statistiken från
någon annan än en statlig myndighet, ska den samtidigt lämna information om
När en statistikansvarig myndighet samlar in uppgifter för
framställning av statistik från
någon annan än en statlig myndighet, ska den samtidigt lämna information om
1. ändamålet med uppgiftsinsamlandet,
2. vilka bestämmelser skyldigheten att lämna uppgifter grundas på,
2. vilka bestämmelser en
eventuell skyldighet att lämna
uppgifter grundas på,
3. vem som samlar in uppgifterna eller på vems uppdrag insamlandet sker,
4. ifall samråd har skett med den organisation som företräder uppgiftslämnaren,
5. vilka bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400) som kan bli tillämpliga på uppgifterna hos den insamlande myndigheten,
6. vad som gäller om uppgifternas bevarande,
7. andra förhållanden som är av betydelse i sammanhanget, såsom den enskildes rätt att ansöka om information och få rättelse,
8. eventuella påföljder om uppgiftsskyldigheten inte fullgörs. Om uppgiftslämnandet är frivilligt, ska myndigheten upplysa om det.
8 §
I bilagan anges när det är tillåtet I bilagan anges när det är tillåtet
7 Senaste lydelse 2013:946.
att behandla sådana personuppgifter som avses i 15 § lagen (2001:99) om den officiella statistiken.
att behandla sådana personuppgifter som avses i 15 § lagen (2001:99) om den officiella statistiken.
Vid framställning av annan statistik än officiell statistik får personuppgifter enligt första stycket också behandlas om behandlingen
1. är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära, eller
2. ingår i ett forskningsprojekt och behandlingen har godkänts enligt lagen ( 2003:460 ) om etikprövning som avser människor .
Denna förordning träder i kraft den 1 januari 2018.
3. Ärendet
Den nuvarande allmänna regleringen om behandling av personuppgifter inom EU har i dag sin grund i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Denna lag är subsidiär i förhållande till andra lagar och förordningar och kompletteras av ett stort antal s.k. registerförfattningar.
Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta dataskyddsdirektivet – Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande förkortad dataskyddsförordningen. Förordningen antogs i april 2016 efter fyra års förhandlingar. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen baseras till stor del på dataskyddsdirektivet, men innehåller också ett antal nyheter.
Dataskyddsförordningen kommer att utgöra grunden för den generella personuppgiftsbehandlingen inom EU. Att det är en förordning innebär att reglerna kommer att vara direkt tillämpliga och gälla på samma sätt i alla EU:s medlemsstater. Detta innebär också att PUL och den tillhörande personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter i anslutning till
denna reglering måste upphävas. Dataskyddsförordningen lämnar dessutom utrymme för kompletterande nationella bestämmelser med ytterligare krav eller undantag. Regeringen tillsatte mot denna bakgrund Dataskyddsutredningen, som gavs i uppdrag att föreslå anpassningar och kompletterande författningsbestämmelser på generell nivå. Syftet med utredningen var att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling på plats när förordningen börjar tillämpas. Utredningen har lämnat sina förslag i betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39).
Utöver den översyn av det generella regelverket som gjorts av Dataskyddsutredningen behöver en översyn även göras av sektorsspecifika författningar. Bland det mest uppenbara är att hänvisningar som i dag görs till PUL behöver ändras så att hänvisning i stället sker till dataskyddsförordningen eller att regleringen ändras på annat sätt. Därutöver behöver en genomgång göras av författningarna för att säkerställa att regleringen är förenlig med den nya dataskyddsförordningen.
Statistiska centralbyrån (SCB) har till regeringen inkommit med en hemställan om ändringar i lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken (Fi2017/02207/SFÖ). Även Brottsförebyggande rådet har inkommit med en skrivelse om behovet att behandla känsliga personuppgifter vid vissa undersökningar (Ju2017/05725/KRIM). Riksrevisionen har i sin granskningsrapport Tillgänglighet till SCB:s registerdata – en fråga om prioriteringar (RiR 2017:14) funnit att bristande tillgänglighet till SCB:s registerdata försvårar forskning och utveckling. Bland annat bedöms de komplexa regelverken som omger registerdata bidra till att utlämnandeprocessen tar lång tid och kan uppfattas som godtycklig.
I denna promemoria görs en inventering av författningar som reglerar personuppgiftsbehandlingar inom Finansdepartementets område, dock inte författningar på finansmarknads-, skatte-, tull-, eller exekutionsområdet. Vidare behandlas inte förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte. Behovet av ändringar i denna förordning kommer övervägas i samband med beredningen av förslagen i betänkandet digitalforvaltning.nu (SOU 2017:23). Utöver anpassningar till den
nya regleringen i EU lämnas förslag till vissa andra ändringar för att underlätta tillämpningen av regelverket och för att åstadkomma en mer ändamålsenlig reglering av tillgängligheten till data och skyddet för den personliga integriteten.
4. Nuvarande ordning
Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet har, i enlighet med vad som ovan anförts, genomförts i svensk rätt huvudsakligen genom PUL. Grundläggande bestämmelser om den personliga integriteten, bl.a. avseende den enskildes privat- och familjeliv, finns vidare i regeringsformen (RF). Skyddet för den personliga integriteten stärktes den 1 januari 2011 genom ikraftträdandet av ett nytt andra stycke i 2 kap. 6 § RF. Den aktuella bestämmelsen innebär att var och gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Under vissa omständigheter får skyddet enligt 2 kap. 20 och 21 §§ RF begränsas genom lag.
PUL syftar till att skydda människor mot att deras personliga integritet kränks genom helt eller delvis automatiserad behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff.
Med vissa grundläggande krav på behandling av personuppgifter avses bl.a. att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Om de grundläggande kraven är uppfyllda får personuppgifter enligt huvudregeln bara behandlas om den registrerade lämnar sitt samtycke till det. Det
finns dock flera undantag från denna huvudregel, t.ex. om behandlingen är nödvändig vid myndighetsutövning, när en arbetsuppgift av allmänt intresse ska utföras, för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att ett avtal med den registrerade ska kunna fullgöras eller efter en intresseavvägning.
För behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. gäller särskilda regler (13 och 21 §§ PUL). Känsliga personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Huvudregeln är att det är förbjudet att behandla uppgifter av detta slag. Från förbudet finns en rad undantag. Känsliga personuppgifter får behandlas om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt själv offentliggjort uppgifterna (15 §) eller om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten (16 § första stycket a), för att skydda den registrerades eller någon annans vitala intressen (16 § första stycket b), eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 § första stycket c). Undantag görs också för behandling inom ideella organisationer (17 §) och hälso- och sjukvården (18 §) samt för ändamål som rör forskning och statistik (19 §). Undantaget för forskning gäller om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor och för statistik att samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Som huvudregel är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet regeringen bestämmer får dock meddela föreskrifter om undantag från huvudregeln och i enskilda fall även besluta om undantag från denna (21 §).
PUL är subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning (2 §). Det finns en stor mängd sådana bestämmelser i
särskilda registerförfattningar och i författningar som primärt inte reglerar behandling av personuppgifter.
5. Nya förutsättningar
Även om dataskyddsförordningen, i enlighet med vad som anförts i avsnitt 3, blir direkt tillämplig i medlemsstaterna både förutsätter och möjliggör förordningen kompletterande nationella bestämmelser av olika slag. Vidare klargör skäl 8 till förordningen att medlemsstaterna kan införliva delar av den i nationell rätt i den utsträckning som det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som bestämmelserna ska tillämpas på.
Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innehåller också nya bestämmelser.
Med personuppgifter avses enligt artikel 4 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en s.k. identifierare, t.ex. ett namn, ett identifikationsnummer, en lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
För bolag, myndigheter och andra organisationer som samlar in personuppgifter medför förordningen vissa förändringar. Den innebär bl.a. strängare krav på att personuppgiftsansvariga ska informera om hur de hanterar enskildas personuppgifter, utförligare regler om rätten att få uppgifter raderade och att enskilda i vissa situationer ska kunna säga nej till att en myndighet eller ett bolag använder ens personuppgifter.
För att behandling av personuppgifter ska vara laglig krävs att ett av villkoren i artikel 6.1 a–f i dataskyddsförordningen är uppfyllda:
a) Den registrerade har lämnat sitt samtycke till att dennes
personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket
den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig
förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är
av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av
allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den
personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
En skillnad mot dataskyddsdirektivet är att offentliga myndigheter inte kommer att kunna behandla personuppgifter med stöd av en sådan intresseavvägning som avses i artikel 6.1 f (motsvarande artikel 7 f i dataskyddsdirektivet).
I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar vissa kategorier av personuppgifter är förbjuden. De personuppgifter som avses är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer eller uppgifter som rör hälsa eller sexualliv eller sexuella läggning. Ett motsvarande förbud finns i PUL, men detta omfattar inte genetiska eller biometriska uppgifter (13 § PUL). Förbudet är förenat med ett antal direkt tillämpliga undantag (se art. 9.2–9.4 i förordningen, jfr 15–19 §§ PUL). För att vissa av undantagen ska vara tillämpliga krävs dock att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller i nationell rätt. Dataskyddsutredningen har i sitt betänkande föreslagit att sådana
undantag ska införas i svensk rätt för bl.a. nödvändig behandling vid myndigheters handläggning av ärenden (SOU 2017:39 s. 42).
I artikel 9.2 j i dataskyddsförordningen anges att förbudet mot behandling av känsliga personuppgifter under vissa förutsättningar inte gäller om behandlingen är nödvändig för bl.a. statistiska ändamål i enlighet med artikel 89.1
Artikel 10 i dataskyddsförordningen reglerar personuppgiftsbehandling som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 (jfr 21 § PUL). Sådana uppgifter får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Begreppet ”under kontroll av en myndighet” återfinns även i dataskyddsdirektivet och har i svensk rätt tolkats som att förbud ska gälla för andra än myndigheter att behandla berörda personuppgifter (prop. 1997/98:44 s. 75). Dataskyddsförordningen medger att det i nationell rätt föreskrivs att även andra ska få behandla sådana personuppgifter som avses i artikel 10, under förutsättning att tillräckliga skyddsåtgärder vidtas.
6. Särskilt om personuppgiftsbehandlingar för statistiska ändamål
6.1. Vad är statistik och officiell statistik?
Med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Även resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns ofta statistik. I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Statistiska resultat kan i sin tur användas för olika ändamål, bl.a. vetenskapliga forskningsändamål. Statistiska resultat består inte av personuppgifter, utan av aggregerade personuppgifter, och ska inte resultera i att uppgifterna används till stöd för åtgärder eller beslut som avser en särskild fysisk person (se skäl 162 i dataskyddsförordningen).
Behandling av personuppgifter för statistiska ändamål förekommer inom såväl offentlig som privat sektor, både som en självständig verksamhet och som en uppföljande åtgärd till annan verksamhet. Om statistikverksamheten inte är reglerad särskilt gäller i dag PUL för behandlingen av personuppgifter. Statistiska undersökningar kan också utgöra en integrerad del av ett forskningsprojekt. Dataskyddsutredningen har gjort bedömningen att all behandling av personuppgifter i sådana projekt, som inte är särskilt reglerade, bör bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål (SOU 2017:39 s. 234).
Viss statistik har sådan grundläggande betydelse för allmän information, utredningsverksamhet och forskning att den i Sverige
utgör s.k. officiell statistik, vilket innebär att den omfattas av en särskild reglering i lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Den officiella statistiken ska enligt denna reglering vara objektiv och allmänt tillgänglig samt framställas utifrån vetenskapliga metoder. Statistikprodukterna ska innehålla en redogörelse för vilken kvalitet som statistiken uppfyller. Vad som är officiell statistik och vilken myndighet som ansvarar för den anges i bilagan till förordningen om den officiella statistiken.
6.2. Särskilda bestämmelser om registrerades rättigheter vid personuppgiftsbehandling för statistikändamål
I PUL finns ett antal generella bestämmelser om rättigheter för den registrerade – dvs. den som personuppgifterna avser – som ska tillämpas vid framställning av statistik, i den mån det inte finns avvikande bestämmelser i annan lag eller författning. Det rör sig bl.a. om den registrerades rätt till information (26 §) och rättelse av uppgifter (28 §). I lagen och förordningen om den officiella statistiken finns ett fåtal särskilda rättigheter för den registrerade, och undantag från dessa, som således gäller i stället för den generella regleringen i PUL.
Enligt 16 § lagen om den officiella statistiken, som endast avser uppgifter som använts för officiell statistik, finns möjlighet att lämna ut uppgifter av detta slag med löpnummer under förutsättning att uppgifterna ska användas för forskning eller statistik. I dessa fall finns skyldigheter för den statistikansvariga myndigheten att vidta åtgärder för att bl.a. rätta felaktiga uppgifter, samtidigt som mottagaren inte behöver uppfylla vissa skyldigheter som anges i PUL om information till den registrerade eller att på begäran rätta, blockera eller utplåna uppgifter. Vid insamling av uppgifter för den officiella statistiken finns vidare enligt 7 § förordningen om den officiella statistiken en utökad informationsskyldighet för myndigheten.
I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för statistiska ändamål. Enligt artikel 5.1 b gäller t.ex. att vidarebehandling av personupp-
gifter för sådana ändamål inte ska anses oförenlig med de ursprungliga ändamålen. Om uppgifterna enbart kommer att behandlas för statistiska ändamål får dessa enligt artikel 5.1 e vidare lagras under en längre tid än vad som normalt gäller. Bestämmelserna i artikel 5 är direkt tillämpliga, och kräver därmed inga nationella författningsåtgärder, och utgår från att lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med artikel 89.1.
I artikel 14.1–4 i dataskyddsförordningen finns bestämmelser om den personuppgiftsansvariges informationsplikt när personuppgifter inte har erhållits från den registrerade. Dessa bestämmelser ska enligt artikel 14.5 b inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vid behandling för bl.a. statistiska ändamål i enlighet med artikel 89.1. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. På motsvarande sätt anges i artikel 17.3 d att rätten att få uppgifter raderade inte gäller i den utsträckning som uppgifterna behövs för sådan behandling som är nödvändig för bl.a. statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten att få uppgifter raderade sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.
Artikel 89 i dataskyddsförordningen ställer krav på skyddsåtgärder vid behandling för bl.a. statistikändamål, men ger också medlemsstaterna möjlighet till relativt omfattande undantag från flera av de rättigheter som annars tillkommer den registrerade. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering, dvs. att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, iakttas. Dessa åtgärder får inbegripa s.k. pseudonymisering, vilket innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att ändamålen kan uppfyllas på det sättet.
Enligt artikel 89.2 i dataskyddsförordningen får vid behandling för bl.a. statistiska ändamål undantag göras från de registrerades rätt att få bekräftelse på om personuppgifter rörande honom eller henne behandlas och rätten till bl.a. registerutdrag, att få felaktiga
personuppgifter rättade, att under vissa förutsättningar kräva att behandlingen begränsas samt att göra invändningar (se art. 15, 16, 18 och 21) under förutsättning att vissa villkor uppfylls och skyddsåtgärder vidtas. Detta får dock bara göras i den utsträckning som rättigheterna sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de aktuella ändamålen och att undantagen krävs för att uppnå dessa ändamål.
Utöver den särskilda regleringen för vissa ändamål i artikel 89 finns också en generell möjlighet i artikel 23 att under vissa förutsättningar begränsa tillämpningsområdet för ett stort antal av förordningens stadgade skyldigheter och rättigheter. En sådan begränsning ska dock bl.a. ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
7. Överväganden och förslag
7.1. Generella utgångspunkter
7.1.1. Kravet på särskilt författningsstöd för behandling av personuppgifter i den offentliga sektorn
Bedömning: Kravet på rättsligt stöd i dataskyddsförordningen
innebär inga ytterligare begränsningar för svenska myndigheters generella rätt att behandla personuppgifter jämfört med gällande rätt.
Skälen för bedömningen: I artikel 6 i dataskyddsförordningen
anges grunderna för när behandling av personuppgifter är laglig. Till skillnad från regleringen i det tidigare dataskyddsdirektivet och PUL tillåter, i enlighet med vad som anförts i avsnitt 5, förordningen inte att myndigheter behandlar personuppgifter med stöd av en intresseavvägning till förmån för den personuppgiftsansvariges eller tredje parts berättigade intresse när de fullgör sina uppgifter (art. 6.1 andra stycket). Myndigheter behöver således kunna stödja sin behandling på någon av de grunder som anges i artikel 6.1 a–e. För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den också vara nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden. Som Dataskyddsutredningen konstaterat har nödvändighetskravet inte ansetts utgöra ett krav på att det utan behandlingen skulle vara omöjligt att fullgöra en en förpliktelse eller utföra en uppgift; effektivitetsvinster kan vara tillräckliga för att behandlingen ska anses tillåten (se SOU 2017:39 s. 105 f. med vidare hänvisningar).
De statliga och kommunala myndigheternas personuppgiftsbehandling kan till stor del antas ske med stöd av den rättsliga
grund som anges i artikel 6.1 e i dataskyddsförordningen, dvs. behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Även de övriga grunderna i artikel 6.1 kan dock aktualiseras i en inte obetydlig utsträckning, t.ex. grunden i artikel 6.1 c, som möjliggör sådana behandlingar som är nödvändiga för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Det bör också framhållas att en och samma behandling kan vara tillåten enligt flera grunder.
Enligt artikel 6.3 måste grunden för behandling av personuppgifter som bygger på någon av de rättsliga grunderna i artikel 6.1 c och e fastställas i unionsrätten eller den nationella rätten. Dataskyddsutredningen har bedömt att med grunden för behandlingen avses den rättsliga förpliktelsen, dvs. uppgiften av allmänt intresse respektive myndighetsutövningen (SOU 2017:39 s. 108 f.). Detta innebär att varje enskild behandling inte behöver regleras särskilt för att vara tillåten.
För närvarande sker myndigheternas behandling av personuppgifter till viss del med stöd av bestämmelser i särskilda registerförfattningar, men även i stor utsträckning med stöd av den generella regleringen i PUL, t.ex. 10 § b, c och d PUL. Enligt de sistnämnda bestämmelserna får personuppgifter behandlas, utan att samtycke från den registrerade föreligger, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, vitala intressen för den registrerade ska kunna skyddas, eller för att en arbetsuppgift av allmänt intresse ska kunna utföras.
När det gäller dataskyddsförordningens krav på rättsligt stöd för behandling som enbart stödjer sig på artikel 6.1 c eller e kan för svensk del konstateras att myndigheter är förhindrade att agera utanför sitt uppdrag, vilket ytterst regleras genom legalitetsprincipen i 1 kap. 1 § tredje stycket RF. All verksamhet hos statliga myndigheter ska således ha stöd i rättsordningen, oavsett om en uppgift regleras genom lag, förordning eller ett beslut. Motsvarande gäller även för kommuner och landsting (se t.ex. 2 kap. 1 § kommunallagen [1991:900]).
Mot denna bakgrund bedöms kravet på rättsligt stöd i dataskyddsförordningen i praktiken inte innebära några begräns-
ningar för myndigheters generella rätt att behandla personuppgifter utöver vad som redan gäller i dag.
7.1.2. Hänvisningar till dataskyddsförordningen
Förslag: Bestämmelser om personuppgiftslagens tillämplighet i
lagen om den officiella statistiken och lagen om lägenhetsregister ska ersättas med upplysningsbestämmelser om dataskyddsförordningen. Av lagarna ska framgå att dessa kompletterar dataskyddsförordningen samt att även den föreslagna dataskyddslagen gäller vid behandling av personuppgifter. Dataskyddslagen ska vara subsidiär till övriga författningar. Andra hänvisningar som görs till personuppgiftslagen i de båda lagarna ska ändras till att avse motsvarande bestämmelser i dataskyddsförordningen eller tas bort om de inte fyller någon funktion.
Bedömning: Behovet av hänvisningar till dataskyddsförord-
ningen i författningar som inte uttryckligen hänvisar till personuppgiftslagen bör prövas från fall till fall.
Skälen för förslaget och bedömningen: Förhållandet mellan PUL och särskilda författningar kan se olika ut. I lagen (2001:99) om den officiella statistiken och lagen (2006:378) om lägenhetsregister anges att PUL gäller vid personuppgiftsbehandlingar såvitt annat inte följer av den särskilda författningen. Dessa bestämmelser behöver nu ändras. I stället för att ange att PUL gäller vid behandling av personuppgifter i den mån annat inte följer av den aktuella författningen, bör i stället en upplysningsbestämmelse om dataskyddsförordningens tillämplighet införas. Det bör vidare tydliggöras att de nationella bestämmelser som införs med stöd av dataskyddsförordningen inte innebär att regleringen i förordningen är att betrakta som subsidiär i förhållande till den nationella rätten. Detta kan ske genom att det i de berörda författningarna tas in en upplysningsbestämmelse om att deras bestämmelser kompletterar dataskyddsförordningen. I övrigt ska också andra hänvisningar som görs till PUL i de båda lagarna ändras till att avse motsvarande bestämmelser i dataskyddsförordningen (se också avsnitt 7.2.3 om regleringen av personuppgifter om lagöverträdelser). Hänvisningar som inte längre fyller någon funktion bör tas bort. Detta gäller
exempelvis 26 § lagen om den officiella statistiken, som anger att den som gör sig skyldig till olovlig identifiering inte ska dömas till straff om samma gärning är belagd med straff i brottsbalken eller PUL, eftersom något nytt straffstadgande inte införs i samband med att PUL upphör att gälla. Ett annat exempel är 5 § lagen om den officiella statistiken, som innehåller en upplysningsbestämmelse om PUL. Eftersom 2 § samma lag förelås innehålla en upplysning om dataskyddsförordningen fyller ytterligare en upplysning inget syfte.
Dataskyddsutredningen har lämnat ett förslag till lag som på generell nivå ska komplettera dataskyddsförordningen. Den personuppgiftsbehandling som regleras i de särskilda lagar som behandlas i denna promemoria kommer även i viss utsträckning omfattas av den generella dataskyddslagen. En upplysningsbestämmelse om dataskyddslagens tillämplighet bör därför införas i anslutning till upplysningsbestämmelsen om dataskyddsförordningen. Till skillnad från dataskyddsförordningen kommer emellertid dataskyddslagen att vara subsidiär till de särskilda författningarna, vilket bör komma till uttryck i regleringen.
Vidare finns författningar som innehåller bestämmelser om personuppgiftsbehandlingar men som inte uttryckligen hänvisar till PUL. Dessa är kasinolagen (1999:355), lagen (2004:543) om samtjänst vid medborgarkontor och förordningen (1984:532) om det allmänna företagsregistret. Hur dessa ska hanteras bör dock avgöras från fall till fall (se avsnitt 7.1.3, 7.5, 7.7 och 7.8).
7.1.3. Bestämmelser om rättelse och skadestånd
Förslag: De bestämmelser i lagen om den officiella statistiken,
lagen om lägenhetsregister och kasinolagen som gör personuppgiftslagens bestämmelser om rättelse och skadestånd tillämpliga vid överträdelser av de angivna lagarna ska upphävas.
Skälen för förslaget: Som anges i avsnitt 7.1.2 kan förhållandet mellan PUL och särskilda författningar se olika ut. PUL:s bestämmelser om rättelse (28 §) och skadestånd (48 §) reglerar förfaranden ”i strid med denna lag”, dvs. PUL. Mot denna bakgrund har det ansetts behöva särskilt anges att dessa bestämmelser ska tilläm-
pas vid förfaranden som strider mot andra författningar för att de ska bli tillämpliga.
Efter införandet av dataskyddsförordningen och de bestämmelser om skadestånd och rättsmedel som Dataskyddsutredningen har förslagit ska införas bedöms det inte finnas något behov av de hänvisningar som i dag finns i 23 § lagen om den officiella statistiken, 24 § lagen om lägenhetsregister och 7 § kasinolagen. Det föreslås därför att denna reglering ska utgå.
7.2. Statistikansvariga myndigheters framställning av statistik
Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse (se avsnitt 6.1). Nedan redovisas bedömningar och förslag på ändringar i statistikförfattningarna som föranleds av dataskyddsförordningens ikraftträdande, men även vissa förslag som syftar till att förtydliga och förenkla tillämpningen av regelverket.
7.2.1. Rättslig grund
Bedömning: Det bedöms inte finnas behov av någon ny
reglering för att uppfylla dataskyddsförordningens krav på rättslig grund när statistikansvariga myndigheter utan samtycke samlar in och i övrigt behandlar personuppgifter vid framställning av statistik.
Skälen för bedömningen: Den grundläggande regleringen av
statistikansvariga myndigheters rätt att behandla personuppgifter för framställning av statistik finns i 14 och 15 §§ lagen om den officiella statistiken. I 14 § första stycket ges en generell rätt att, utan samtycke av den registrerade, behandla personuppgifter för framställning av statistik. För sådan behandling är den statistikansvariga myndigheten personuppgiftsansvarig. Bestämmelsen gäller enligt 1 § tredje stycket även vid framställning av annan
statistik hos en statistikansvarig myndighet än officiell statistik. Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Statistikansvariga myndigheter har således en generell rätt att utan samtycke behandla personuppgifter för framställning av statistik. Genom regleringen i lagen och förordningen om den officiella statistiken bedöms statistikansvariga myndigheter ha en rättslig grund att i enlighet med artikel 6.1 e i dataskyddsförordningen att behandla personuppgifter för statistikändamål. Personuppgifter kan därmed samlas in och i övrigt behandlas för statistiska ändamål, utan samtycke från de registrerade. Det bör heller inte uteslutas att det i vissa fall kan finnas ytterligare stöd i dataskyddsförordningen för en statistikansvarig myndighets behandling av personuppgifter, exempelvis i artikel 6.1 c.
7.2.2. Personuppgiftsansvar
Bedömning: En statistikansvarig myndighet ska fortsatt ha ett
utpekat personuppgiftsansvar vid behandling av personuppgifter i samband med statistikframställning. En sådan myndighets behandling av personuppgifter i samband med uppdragsverksamhet åt forskare är att betrakta som behandling av personuppgifter för statistiska ändamål.
Förslag: En statistikansvarig myndighet ska kunna agera
personuppgiftsbiträde åt en annan statistikansvarig myndighet.
Skälen för bedömningen och förslaget: Begreppet personupp-
giftsansvarig är centralt både i dataskyddsdirektivet och dataskyddsförordningen. I artikel 4 i dataskyddsförordningen definieras begreppet som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Den som behandlar personuppgifter för
den den personuppgiftsansvariges räkning benämns personuppgiftsbiträde.
Som anförts i avsnitt 7.2.1 anger 14 § lagen om den officiella statistiken att en statistikansvarig myndighet är personuppgiftsansvarig enligt PUL vid framställning av statistik. Någon skillnad i innebörden av begreppet personuppgiftsansvarig finns inte mellan dataskyddsdirektivet, PUL och dataskyddsförordningen. Det finns därför inte skäl att föreslå en ändrad reglering med anledning av den nya förordningen, bortsett från att hänvisningen till PUL ska utgå och ersättas av en hänvisning till förordningen (se avsnitt 7.1.2).
Den nuvarande regleringen innebär att en statistikansvarig myndighet är personuppgiftsansvarig även vid utförande av uppdragsverksamhet, då beställaren anger vilka personuppgifter som ska behandlas och för vilka ändamål. Även om förhållandet mellan myndigheten och beställaren kan tala för att myndigheten i stället bör betraktas som ett personuppgiftsbiträde finns starka skäl som talar för att behålla den nuvarande ordningen, bl.a. den stora kunskap som finns hos myndigheten om hur det statistiska materialet kan användas.
Det förekommer dock i stor utsträckning att en statistikansvarig myndighet utför uppdrag åt en annan statistikansvarig myndighet. För SCB är sådana uppdrag reglerade som en skyldighet för myndigheten och ska prioriteras i förhållande till andra uppdrag. Detta följer av 4 § förordningen (2016:822) med instruktion för Statistiska centralbyrån. Definitionen av personuppgiftsansvarig innebär att personuppgiftsansvaret kan vara delat mellan två eller fler aktörer. I detta fall riskerar dock en sådan konstruktion att leda till en oklarhet i ansvarsfördelningen eftersom statistikansvaret är särskilt reglerat. Det anges också i förarbetena att dagens reglering bygger på principen att ansvaret för elektroniskt lagrad information ska ligga hos den myndighet som ansvarar för den statistik för vilken behandlingen utförs (prop. 2000/01:27 s. 72). Detta kan uppfattas som motstridigt jämfört med ordalydelsen i 14 § lagen om den officiella statistiken. Det finns därför skäl att klargöra att en statistikansvarig myndighet, utan hinder av vad som anges i 14 §, kan agera personuppgiftsbiträde åt en annan statistikansvarig myndighet.
Som framhållits av Dataskyddsutredningen kan statistiska undersökningar vara en integrerad del av ett forskningsprojekt. I dessa fall menar utredningen att all behandling av personuppgifter bör bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål (SOU 2017:39 s. 234). Uttalandet avser behandlingar som utförs i enlighet med det generella regelverket för att behandla personuppgifter. För en statistikansvarig myndighet, vars framställning av statistik regleras särskilt, finns dock skäl att göra en annan bedömning. Det utpekade personuppgiftsansvaret för statistikansvariga myndigheter gäller även vid uppdragsverksamhet åt forskare. I dessa fall behöver behöver därför åtskillnad göras mellan behandling av personuppgifter för statistiska ändamål repektive för forskningsändamål, eftersom olika aktörer kommer att vara personuppgiftsansvariga i olika delar av behandlingen. Syftet med den statistikansvariga myndighetens behandling är just statistiska ändamål, även om uppgifterna därefter är avsedda att lämnas till en beställare för behandling för forskningsändamål.
7.2.3. Behandling av känsliga personuppgifter och uppgifter om lagöverträdelser
Förslag: Bestämmelsen om behandling av känsliga person-
uppgifter och lagöverträdelser i 15 § lagen om den officiella statistiken ska hänvisa till bestämmelserna om särskilda kategorier av personuppgifter och uppgifter om brott m.m. i dataskyddsförordningen. Vidare ska tydliggöras att sådana uppgifter endast får behandlas om det följer av föreskrifter som regeringen meddelat.
Skälen för förslaget: I artikel 9.1 i dataskyddsförordningen
anges att behandling som avslöjar särskilda kategorier av personuppgifter, i stort motsvarande vad som i gällande rätt benämns känsliga personuppgifter, ska vara förbjuden. Förbudet är förenat med ett antal undantag, se artiklarna 9.2–9.4 i förordningen (jfr 15– 19 §§ PUL). För att vissa av undantagen ska vara tillämpliga krävs att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller nationell rätt.
I artikel 9.2 j regleras undantag från förbudet av behandling av känsliga personuppgifter vid behandling som är nödvändig för bl.a. statistiska ändamål. Där anges att förbudet inte gäller om behandlingen är nödvändig för dessa ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller nationell rätt, som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
För uppgifter som rör fällande domar i brottmål samt överträdelser anges i artikel 10 att sådana behandlingar endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder fastställts för de registrerades rättigheter och friheter.
I gällande rätt regleras behandlingen av känsliga personuppgifter i bl.a. 13 § PUL. Utrymmet för att behandla känsliga personuppgifter är begränsat. Huvudregeln är att det är förbjudet att behandla uppgifter av detta slag. Från förbudet finns en rad undantag. För personuppgifter om lagöverträdelser m.m. är huvudregeln i 21 § PUL att det är förbjudet för andra än myndigheter att behandla dessa. För statistikansvariga myndigheters anges i 15 § lagen om den officiella statistiken att personuppgifter som avses i 13 § och 21 § första stycket PUL, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser, får behandlas om det följer av föreskrifter som regeringen meddelat. Sådana föreskrifter har meddelats i 8 § förordningen om den officiella statistiken och bilagan till samma förordning, som reglerar sådan information som bedöms vara av grundläggande betydelse för samhället. Nuvarande svenska reglering bedöms, tillsammans med de skyddsåtgärder för den registrerades rättigheter som redogörs för i avsnitt 7.2.5, uppfylla dataskyddsförordningens krav på undantag från förbudet om behandling av känsliga personuppgifter för statistiska ändamål. Vad gäller personuppgifter om lagöverträdelser innebär artikel 10 i dataskyddsförordningen vissa ändringar jämfört med tidigare bestämmelser i dataskyddsdirektivet, då tillämpningsområdet begränsats till enbart fällande brottmålsdomar (se också SOU 2017:39 s. 191 f.). För att underlätta tillämpningen av lagen bör 15 § i detta avseende hänvisa direkt till dataskyddsförordningens bestämmelse. Detta innebär en viss förändring jämfört med
tidigare, men är samma ordning som gäller enligt det generella regelverket.
Eftersom 15 § lagen om den officiella statistiken anger när behandling av vissa personuppgifter får ske följer att behandling inte får ske i andra fall. Ett förtydligande bör därför införas i lagtexten att sådana uppgifter som regleras i 15 § får behandlas endast om det följer av föreskrifter som regeringen meddelat.
I avsnitt 7.2.9 föreslås av andra skäl än ikraftträdandet av dataskyddsförordningen att statistikansvariga myndigheter ska få utökade möjligheter att i vissa fall behandla känsliga personuppgifter och personuppgifter om lagöverträdelser.
7.2.4. Undantag från vissa av den registrerades rättigheter
Förslag: Vid behandling av personuppgifter som omfattas av
lagen om den officiella statistiken ska den registrerade inte ha rätt att få uppgifter rättade, kräva begränsning av behandlingen eller göra invändningar mot denna.
Den nuvarande bestämmelse i lagen om den officiella statistiken som inskränker rätten att få uppgifter utplånade ska tas bort.
Skälen för förslagen: Som redogjorts för i avsnitt 6.2 innehåller
dataskyddsförordningen ett antal direkt tillämpliga undantag från de rättigheter som annars följer av förordningen. För statistikansvariga myndigheter torde det främst vara artiklarna 14.5 b och 17.3 d som är relevanta. Dessa möjliggör undantag från rätten till information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade själv, och från rätten till radering. I vilken utsträckning som undantagen kan och bör tillämpas är upp till respektive myndighet att avgöra.
För att undantagen från rätten till tillgång (art. 15), rättelse (art. 16), begränsning av behandling (art. 18) och att göra invändningar (art. 21) ska bli tillämpliga behöver dessa införas i nationell rätt. Sådana undantag får enligt artikel 89.2 bl.a. införas för behandling av personuppgifter för statistiska ändamål.
Enligt artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som
rör honom eller henne behandlas. Om så är fallet har den registrerade rätt att få tillgång till personuppgifterna och information om behandlingen, bl.a. om ändamålen med behandlingen och de kategorier av personuppgifter som behandlingen gäller. Rättigheten motsvarar i princip vad som i dag följer av 26 § första PUL om registerutdrag. Denna reglering gäller även vid sådana behandlingar av personuppgifter som omfattas av lagen om den officiella statstiken. För att undantag ska kunna göras krävs enligt artikel 89.2 att rättigheten sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, i detta fall statistikframställning, och att undantagen krävs för att uppnå dessa. Det kan konstateras att bestämmelserna om registerutdrag tillämpats under många år, vilket i sig talar emot att det skulle påverka statistikframställningen i sådan omfattning som avses i dataskyddsförordningen. Vidare skulle den registrerade även med ett sådant undantag ha rätt att begära ut motsvarande uppgifter genom bestämmelserna om utlämnande av allmänna handlingar i 2 kap. tryckfrihetsförordningen, vilket innebär en motsvarande insats från den statistikansvariga myndighetens sida. Bestämmelserna om sekretess vid statistikframställning som regleras i 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, syftar till att skydda den enskilde och gäller därmed enligt 12 kap. 1 § samma lag inte i förhållande till den enskilde själv. Det saknas mot denna bakgrund skäl att införa ett undantag från artikel 15 i förordningen.
Artikel 16 anger att den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Bestämmelserna om rättelse motsvarar delvis 28 § PUL. Utöver rättelse ska dock den registrerade också, med beaktande av ändamålet med behandlingen, ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom ett kompletterande utlåtande. Vidare framgår det av artikel 18 att den registrerade har rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, bl.a. om den registrerade bestrider personuppgifternas korrekthet (under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera uppgifterna). Behandlingen kan också begränsas om den är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. På motsvarande sätt kan behandlingen begränsas
om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Slutligen omfattas också situationer då den registrerade i enlighet med artikel 21.1 har invänt mot en behandling av personuppgifter i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.
Eftersom personuppgifterna som behandlas för statistikändamål inte får behandlas i syfte att kartlägga eller vidta åtgärder i fråga om enskilda individer torde den enskildes intresse av att begränsa behandlingen av vissa uppgifter eller att rätta en felaktig uppgift i dessa fall vara högst begränsad. En sådan ordning skulle riskera att göra det omöjligt eller mycket svårare för statistikansvariga myndigheter att uppfylla ändamålen med sin verksamhet. Även om exempelvis ett tillägg i ett undantagsfall skulle vara av intresse för den enskilde kan det sakna betydelse för framställningen av den statistik som behandlingen syftar till. Med stöd av artikel 89.2 bör därför ett undantag från rätten i artikel 16 att få personuppgifter rättade eller kompletterade samt ett undantag för rätten i artikel 18 att kräva begränsning av behandlingen föras in i lagen om den officiella statistiken.
Rätten att göra invändningar som följer av artikel 21 motsvarar delvis regleringen i 11 § PUL. Den senare bestämmelsen gäller emellertid endast vid direkt marknadsföring, varför dataskyddsförordningen i detta avseende utvidgar rätten för den registrerade att göra invändningar mot behandlingen av personuppgifter. Rätten att göra invändningar gäller vid behandling av personuppgifter som grundar sig på artikel 6.1 e eller f, vilket alltså inkluderar behandlingar som är nödvändiga för att utföra en uppgift av allmänt intresse. Som anges i avsnitt 7.1.1 bör artikel 6.1 e i stor utsträckning kunna utgöra en rättslig grund för statistikansvariga myndigheter vid behandling av personuppgifter. En rätt att göra invändningar i enlighet med artikel 21 skulle riskera att leda till stora brister i bl.a. den officiella statistikens kvalitet. Det är därför nödvändigt att i lagen om den officiella statistiken införa ett undantag från artikel 21 för att det bakomliggande syftet med framställningen av statistik hos statistikansvariga myndigheter ska kunna uppnås.
I 18 § lagen om den officiella statistiken anges att den som fått avidentiferade personuppgifter utlämnade till sig för forsknings- eller statistikändamål inte behöver rätta, blockera eller utplåna uppgifterna på begäran av den registrerade, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade (jfr art. 11.2 i dataskyddsförordningen). En begäran om att uppgifter ska utplånas bör i detta sammanhang jämställas med att de ska raderas. I enlighet med vad som anförts i avsnitt 6.2 regleras rätten till radering i artikel 17 i dataskyddsförordningen, med direkt tillämpliga undantag i samma artikel, där i synnerhet artikel 17.3 torde vara relevant för statistikansvariga myndigheter. Några ytterligare undantag får inte föras in i nationell rätt. Bestämmelsen i 18 § bör därför ändras och rätten till utplåning av uppgifter tas bort.
7.2.5. Lämpliga skyddsåtgärder
Bedömning: Den befintliga regleringen i offentlighets- och
sekretesslagen och lagen om den officiella statistiken uppfyller dataskyddsförordningens krav på skyddsåtgärder för behandling av personuppgifter för statistiska ändamål.
Skälen för bedömningen: Behandling av personuppgifter för
statistiska ändamål ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts.
I myndigheternas statistikverksamhet gäller absolut sekretess enligt 24 kap. 8 § OSL för uppgift som avser en enskilds personliga eller ekonomiska förhållanden. Sekretessen bör utgöra en särskild skyddsåtgärd i dataskyddsförordningens mening. Vidare anges i 5 § lagen om den officiella statistiken att den officiella statistiken ska framställas och offentliggöras med beaktande av behovet av skydd för fysiska och juridiska personers intressen. Enligt 6 § gäller dessutom att uppgifter i den officiella statistiken inte får sammanföras med andra uppgifter i syfte att ta reda på en enskilds identitet. Överträdelser av bestämmelsen i 6 § är straffbelagda enligt 26 §. I 19 § finns vidare bestämmelser om gallring och arkivering. Av 10 §
förordningen om den officiella statistiken följer att en statistikansvarig myndighet är skyldig att vara organiserad så att myndighetens verksamhet för framställning av statistik är avgränsad från myndighetens verksamhet i övrigt.
Sammantaget bedöms skyddsåtgärderna som omgärdar statistikframställningen hos statistikansvariga myndigheter väl uppfylla dataskyddsförordningens krav på särskilda skyddsåtgärder.
7.2.6. Skillnader mellan officiell statistik och annan statistik hos statistikansvariga myndigheter
Bedömning: Regleringen av statistikansvariga myndigheters
framställning av statistik bör vara enhetlig för officiell statistik och annan statistik, om inte särskilda skäl talar för annat.
Skälen för bedömningen: I 1 § tredje stycket lagen om den
officiella statistiken anges att regleringen i 14, 15 och 19 §§, som avser personuppgiftsbehandling, även ska gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet. I förarbetena anförde regeringen att det är betydelsefullt för den enskilde att samma regler gäller inom samma verksamhetsområde. Det ansågs inte som lämpligt att regler för uppgifter om en enskild ska vara olika hos samma myndighet och inom samma verksamhetsområde endast av det skälet att uppgifterna i det ena fallet ska användas för officiell statistik och i det andra för annan statistik (prop. 2000/01:27 s. 66). Denna övergripande bedömning får anses stå sig än i dag. Flera olika regelverk riskerar vidare att leda till osäkerhet för den enskilde om vilka rättigheter som finns i ett särskilt fall och också medföra en ökad osäkerhet hos de personuppgiftsansvariga eller andra som har att tillämpa regelverken.
Som anförts i avsnitt 3 har Riksrevisionen bedömt att bristande tillgänglighet till SCB:s registerdata försvårar forskning och utveckling, där bl.a. komplexa regelverk bedöms bidra till att utlämnandeprocessen tar lång tid och kan uppfattas som godtycklig (RiR 2017:14 s. 7). Många olika regelverk kan innehålla bestämmelser om hantering av personuppgifter. Det kan även uppkomma
svåra gränsdragningar mellan berättigade ändamål och skyddet för den personliga integriteten.
Mot denna bakgrund bör regelverken för officiell statistik och annan statistik hos statistikansvariga myndigheter ses över för att säkerställa att det inte förekommer omotiverade skillnader. Utgångspunkten bör vara att regleringen av statistikansvariga myndigheters framställning av statistik bör vara enhetlig för officiell statistik och annan statistik, om inte särskilda skäl talar för något annat.
Trots den bedömning som gjordes i samband med lagen om den officiella statistikens tillkomst finns vissa skillnader i de regler som gäller vid framtagande av officiell statistik och annan statistik. I de följande avsnitten behandlas några av dessa skillnader.
7.2.7. Utlämnande av uppgifter i vissa fall
Förslag: Bestämmelserna i 16 § lagen om den officiella statisti-
ken som möjliggör kompletteringar av tidigare utlämnade uppgifter ska även gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.
Skälen för förslaget: I 16 § lagen om den officiella statistiken
finns bestämmelser om utlämnande av uppgifter i vissa fall. De situationer som avses är när en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, men som genom att förses med en beteckning kan kopplas till ett personnummer eller motsvarande för att den statistikansvariga myndigheten som lämnat ut uppgifterna senare ska kunna komplettera dessa. Genom den möjlighet till identifiering som regleringen ger är uppgifterna att betrakta som personuppgifter enligt såväl PUL som dataskyddsförordningen (se också skäl 26 till förordningen). Detta skiljer sig således från en färdig statistikprodukt, eller vad förordningen betecknar som statistiska resultat, som består av aggregerade personuppgifter (se avsnitt 6 samt skäl 162 i förordningen). Bestämmelserna räknas inte upp i 1 § tredje stycket lagen om den officiella statistiken och gäller således endast uppgifter som används vid framställning av officiell statistik.
Möjligheten att förse uppgifter med beteckningar, genom att använda s.k. kodnycklar, är avgörande för att lämna ut uppgifter till
undersökningar som sträcker sig över en längre tid, s.k. longitudinella studier. Behovet av longitudinella studier och registerforskning har beskrivits utförligt i Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). Behovet av att lämna ut uppgifter till forskning och för statistikändamål framhålls också av SCB i den hemställan myndigheten inkommit med till regeringen (se avsnitt 3). Alternativen vore att begränsa möjligheterna till longitudinella studier kraftigt, eller att personuppgifter lämnas ut för forsknings- eller statistiska ändamål i sådant skick att de direkt kan hänföras till en enskild. Inget av dessa alternativ framstår som ändamålsenligt.
I dataskyddsförordningen används begreppet pseudonymisering, som i artikel 4.5 definieras som behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska eller organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. I skäl 28 i förordningen klargörs att pseudonymisering kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Pseudonymisering anges också som ett exempel på en sådan skyddsåtgärd som får vidtas för att se till att särskilt principen om uppgiftsminimering iakttas när personuppgifter behandlas för bl.a. statistiska ändamål (art. 89.1 och skäl 156).
Mot bakgrund av det ovanstående står det klart att nuvarande principer i 16 § lagen om den officiella statistiken om möjligheten att förse utlämnade uppgifter med en beteckning för möjlighet till senare identifiering av fysiska personer är förenliga med dataskyddsförordningen. Som anförts i avsnitt 7.2.6 är det principiellt önskvärt med en så likartad reglering som möjligt av officiell statistik och annan statistik hos statistikansvariga myndigheter. Det gäller också för möjligheterna att lämna ut uppgifter med beteckningar som skapats av kodnycklar eller motsvarande. Mot bakgrund av syftet bakom lagen om den officiella statistiken, och även regeringens förväntningar att statistikansvariga myndigheter ska kunna utföra uppdrag även åt andra aktörer, bör regelverket ändras. Utifrån den registrerades perspektiv finns det ingenting
som talar för att behandlingar som görs för framtagande av annan statistik än sådan som utgör officiell statistik skulle medföra ett större intrång i den personliga integriteten. De fördelar som förslaget medför i form av ökad enhetlighet samt ökad tillgänglighet till data för forskning och statistik, bedöms därför klart överstiga de risker för otillbörligt intrång i den personliga integriteten som förslaget skulle kunna medföra.
Mot denna bakgrund föreslås en ändring i 1 § lagen om den officiella statistiken som innebär att bestämmelserna i 16 § samma lag även ska gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.
7.2.8. Information
Förslag: Bestämmelsen i 7 § förordningen om den officiella
statistiken om statistikansvariga myndigheters skyldighet att lämna information vid uppgiftsinsamling ska gälla även vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.
Skäl för förslaget: För att ha möjligheter till insyn och även
kunna vidta åtgärder för att utöva sina rättigheter är det viktigt att den registrerade får den information som behövs. I 7 § förordningen om den officiella statistiken finns därför en särskild skyldighet för statistikansvariga myndigheter att lämna information när den samlar in uppgifter från någon annan än en statlig myndighet. Regleringen i 7 § avser i dag bara officiell statistik. Det finns emellertid inga principiella skäl att göra skillnad på officiell statistik och annan statistik i detta avseende. Tvärtom talar starka skäl för en enhetlig hantering, vilket gör det enklare för myndigheterna att tillämpa regelverket och minskar därigenom risken för den registrerade att inte få den information som krävs.
Mot denna bakgrund föreslås att samma informationsbestämmelse som gäller vid framställning av officiell statistik också ska gälla vid en statistikansvarig myndighets framställning av annan statistik.
7.2.9. Skillnader mellan officiell statistik och annan statistik avseende känsliga personuppgifter m.m.
Förslag: Vid framställning av annan statistik än officiell statistik
ska en statistikansvarig myndighet få behandla känsliga personuppgifter eller uppgifter om lagöverträdelser efter en prövning om behandlingen är nödvändig för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Vidare ska sådana personuppgifter få behandlas för utlämnande till forskningsprojekt under samma förutsättningar, om behandlingen har godkänts enligt lagen om etikprövning som avser människor.
Skälen för förslaget: Enligt 15 § lagen om den officiella stati-
stiken får statistikansvariga myndigheter behandla känsliga personuppgifter eller uppgifter som rör lagöverträdelser om det följer av föreskrifter som regeringen meddelar. Detta gäller enligt 1 § tredje stycket oavsett om behandlingen avser officiell statistik eller annan statistik. Regeringen har meddelat sådana föreskrifter i 8 § förordningen om den officiella statistiken som hänvisar till bilagan till förordningen. I bilagan anges vilka myndigheter som får behandla vissa känsliga personuppgifter för särskilt angivna ändamål. Vidare anges i 9 § förordningen om den officiella statistiken att uppgifter som behandlas för framställning av officiell statistik även får behandlas för framställning av annan statistik och forskning. Detta gäller dock endast om ändamålet med behandlingen inte är oförenligt med det ändamål för vilket uppgifterna samlades in.
En följd av regleringen är att en statistikansvarig myndighet vid behandling av känsliga personuppgifter eller personuppgifter som rör lagöverträdelser inte kan stödja sig på den registrerades samtycke, om inte regeringen meddelat några föreskrifter om behandling av känsliga personuppgifter med stöd i ett samtycke.
Dataskyddsförordningen medger att känsliga personuppgifter behandlas om den registrerade uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, förutsatt att något annat inte följer av unionsrätten
eller nationell rätt (art. 9.2 a). Som anges i avsnitt 7.2.3 får känsliga personuppgifter behandlas utan samtycke för statistiska ändamål om en sådan behandling är nödvändig på grundval av unionsrätten eller nationell rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Vad gäller personuppgifter som rör lagöverträdelser medger dataskyddsförordningen (art. 10) att dessa behandlas av offentliga myndigheter, förutsatt att det finns en rättslig grund för behandlingen enligt artikel 6.1.
I skäl 43 till dataskyddsförordningen anges dock att samtycke inte bör utgöra rättslig grund för att behandla personuppgifter i ett särskilt fall när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet. Uttalandet är inte förpliktigande, men bör likväl tjäna som utgångspunkt för den svenska regleringen. Uttalandet är också i linje med den nuvarande regleringen för statistikansvariga myndigheter vad avser känsliga personuppgifter. Denna ordning bör även fortsättningsvis gälla vid framtagande av officiell statistik, som regleras i lag och är förenad med uppgiftsskyldighet för bl.a. enskilda organisationer, men inte för privatpersoner.
När det gäller framställning av annan statistik hos statistikansvariga myndigheter finns dock anledning att pröva huruvida nämnda reglering av samtycke vid behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser är ändamålsenlig.
Genom att en statistikansvarig myndighet utför uppdrag åt andra aktörer i samhället ökar möjligheterna att utnyttja det statistiska materialet och myndighetens statistiska kompetens. Detta avspeglas bl.a. i SCB:s regleringsbrev för 2017. Som angetts ovan är dock de statistikansvariga myndigheterna med nuvarande reglering förhindrade att åta sig uppdrag som innebär att känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas med endast samtycke som grund. Regleringen är i detta avseende mer strikt för statistikansvariga myndigheter än för andra aktörer. Samtidigt finns ett mervärde i att myndigheternas material och kompetens kommer samhället till godo. Mot bakgrund av vad
som anges i skäl 43 i dataskyddsförordningen om särskilda krav på offentliga myndigheter avseende samtycke, framstår dock utökade möjligheter att behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser med endast samtycke som grund inte som den mest ändamålsenliga lösningen. Det bedöms därför finnas skäl att i detta avseende göra skillnad mellan framställningen av officiell statistik och annan statistik. I stället bör prövas om statistikansvariga myndigheter ska ges utvidgade möjligheter att på annan grund än samtycke behandla sådana typer av personuppgifter, vilket görs nedan.
SCB har i sin hemställan till regeringen (se avsnitt 3) framfört att det finns behov av att myndigheten utan samtycke ska få behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. även vid framställning av annan statistik än officiell statistik. SCB föreslår mot denna bakgrund att det införs en generell rätt för myndigheten att för framställning av statistik behandla sådana personuppgifter som avses i 15 § lagen om den officiella statistiken. Det är dock svårt att förutse vilka konsekvenser som ett sådan generellt bemyndigande skulle få för den personliga integriteten. En sådan reglering bör därför inte införas. Som anförts ovan finns dock ett tydligt behov av att kunna behandla andra känsliga personuppgifter eller uppgifter om lagöverträdelser än de som anges i bilagan till förordningen om den officiella statistiken i angelägna forsknings- och statistikprojekt. Det framstår inte som ändamålsenligt om regelverket hindrar att SCB eller andra statistikansvariga myndigheter, vars statistiska kunnande ska komma samhället till godo, inte kan anlitas för sådana uppdrag. För andra aktörer kan känsliga personuppgifter i sådana uppdrag behandlas om det är i enlighet med nuvarande bestämmelser i 19 § PUL. Dessa stadgar att känsliga personuppgifter får behandlas utan samtycke för forskningsändamål som godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor samt för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan komma att innebära. Dataskyddsutredningen har föreslagit att motsvarande reglering såvitt avser behandling av känsliga personuppgifter för statistiska ändamål förs in i den
föreslagna dataskyddslagen. Vad avser offentliga myndigheters behandling av personuppgifter som rör lagöverträdelser ges denna rätt, som tidigare nämnts, direkt av dataskyddsförordningen. Forskningsdatautredningen har vidare föreslagit att det i en ny forskningsdatalag tas in en bestämmelse som tillåter att känsliga personuppgifter och personuppgifter som rör lagöverträdelser får behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor (SOU 2017:50). Förslaget motsvarar den nuvarande regleringen i 19 § första stycket PUL.
Med utgångspunkten att de statistikansvariga myndigheternas särskilda kunskaper om att framställa statistik är en resurs för samhället finns ett behov av att utvidga möjligheterna för dessa att behandla känsliga personuppgifter och uppgifter om lagöverträdelser vid framställning av annan statistik än officiell statistik. I detta avseende finns alltså särskilda skäl för att reglera officiell statistik och annan statistik olika. Det föreslås därför att statistikansvariga myndigheter ska få behandla känsliga personuppgifter vid framställning av annan statistik än officiell statistik efter en prövning motsvarande den som föreslås i dataskyddslagen.
Därutöver föreslås att statistikansvariga myndigheter efter en motsvarande prövning ska kunna behandla uppgifter om lagöverträdelser vid framställning av annan statistik än officiell statistik. En sådan prövning är inte nödvändig enligt dataskyddsförordningen, i och med att förbudet mot att behandla personuppgifter om lagöverträdelser, på motsvarande sätt som 21 § PUL, inte träffar offentliga myndigheter. Med hänsyn till den stora mängd personuppgifter som hanteras av statistikansvariga myndigheter framstår det emellertid som lämpligt att regleringen av dessa även fortsättningsvis är mer strikt än för andra myndigheter. Möjligheterna att pröva samhällsintresset av ett statistikprojekt bedöms också som tillräckliga för att syftet bakom förändringen, att det statistiska kunnandet ska komma samhället till godo, ska kunna uppnås.
Även behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser för forskningsändamål bör i enlighet med vad som ovan anförts, och under samma villkor, tillåtas, med tillägget att forskningsprojektet ska ha godkänts enligt lagen om etikprövning av forskning som avser människor. En statistikansvarig myndighets egen behandling av uppgifterna bör ses som behand-
ling för statistiska ändamål (se avsnitt 7.2.2), oavsett om uppgifterna därefter lämnas ut för forsknings- eller statistiska ändamål. Som ett förtydligande bör dock ett uttryckligt stöd för statistikansvariga myndigheter att behandla sådana uppgifter när myndigheten på uppdrag lämnar ut statistiska framställningar till forskningsprojekt införas. Det bör därför i förordningen särskilt anges att sådan behandling är tillåten om den är en del i ett forskningsprojekt som är godkänt enligt etikprövningslagen.
Den nu föreslagna regleringen innebär således utvidgade möjligheter för statistikansvariga myndigheter att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser vid framställning av annan statistik än officiell statistik. I dessa fall kommer dock den särskilda regleringen fortsatt innebära striktare regler än vad som följer av det generella regelverket. Till skillnad från vad som vore fallet med ett generellt bemyndigande att behandla känsliga personuppgifter och uppgifter om lagöverträdelser innebär den föreslagna lösningen, där en prövning görs för varje forsknings- eller statistikprojekt, att kravet på nödvändighet av behandlingen och att samhällsintresset väger över risken för otillbörligt intrång i den personliga integriten. Vid forskningsprojekt garanteras lämpligheten och nödvändigheten av behandlingen genom etikprövningslagen (se också SOU 2017:50 s. 441 f.).
Sammantaget bedöms behovet av den utvidgade möjligheten för statistikansvariga myndigheter att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser klart överstiga risken för ett otillbörligt intrång i den personliga integriteten och på ett ändamålsenligt sätt balansera samhällets behov med den enskildes behov av skydd av den personliga integriteten.
7.3. Lägenhetsregistret
Lägenhetsregistret är ett landsomfattande register för bostadslägenheter i Sverige. Registret regleras i lagen (2006:378) om lägenhetsregister och förordningen (2007:108) om lägenhetsregister. Uppgifterna i lägenhetsregistret används för folkbokföringen, framställning av statistik, forskning samt planering, uppföljning och utvärdering av bostadsbestånd och byggande. Med hjälp av lägenhetsregistret kan t.ex. SCB ta fram hushålls- och
bostadsstatistik utan att genomföra de omfattande och kostnadskrävande folk- och bostadsräkningar som tidigare genomfördes vart femte år, senast 1990. För att hushålls- och bostadsstatistiken ska kunna framställas krävs att Skatteverket kompletterar folkbokföringsregistret med de lägenhetsnummer som finns i lägenhetsregistret. Befolkningen är numera folkbokförd på bostadslägenheter i stället för enbart på fastigheter som fallet var tidigare.
Det är den statliga lantmäterimyndigheten (Lantmäteriet) som för lägenhetsregistret, vilket framgår av 2 § lagen om lägenhetsregister. I 6 § anges vilka uppgifter som lägenhetsregistret får innehålla, bl.a. lägenhetsnummer, antal rum, kökstyp och bostadsarea. Lägenhetsregistret innehåller inte uppgifter som direkt kan hänföras till en fysisk person som är i livet, men genom kopplingen med bl.a. lägenhetsnummer innehåller det uppgifter som indirekt kan göra det. Uppgifter i lägenhetsregistret kan därför utgöra personuppgifter. Enligt 2 § lagen om lägenhetsregister ska PUL gälla vid behandling av personuppgifter i lägenhetsregistret, om inte annat följer av lagen med tillhörande föreskrifter eller av 2 § PUL. Lantmäteriet är enligt 4 § lagen om lägenhetsregister personuppgiftsansvarig för lägenhetsregistret. I 5 § regleras för vilka ändamål som uppgifter i lägenhetsregistret får behandlas. Dessa ändamål är folkbokföring, framställning av statistik, forskning samt planering, uppföljning och utvärdering av bostadsbestånd och byggande.
Uppgifter till lägenhetsregistret får enligt 8 § lagen om lägenhetsregister hämtas från fastighetsregistret och från fastighetsägare. Utöver Lantmäteriet är respektive kommun behörig att föra in, ändra och ta bort vissa uppgifter i lägenhetsregistret. Kommunen ska också enligt 10 § fastställa en belägenhetsadress för varje entré samt, om det finns mer än en bostadslägenhet med samma belägenhetsadress, fastställa lägenhetsnummer för varje lägenhet. Vidare ska kommunen löpande registrera ändringar och kompletteringar av vissa uppgifter, vilket framgår av 13 §. Varje fastighetsägare är enligt 14 § bl.a. skyldig att lämna uppgifter till kommunen som föranleder ändringar eller kompletteringar av lägenhetsregistret.
7.3.1. Rättslig grund
Bedömning: Det finns en rättslig grund för Lantmäteriet,
kommuner och fastighetsägare att behandla personuppgifter i samband med förandet av lägenhetsregistret.
Skälen för bedömningen: Som anges i avsnitt 7.3 är det Lant-
mäteriet som för och är personuppgiftsansvarig för lägenhetsregistret. Registret får inte innehålla andra uppgifter eller inhämtas på andra sätt än vad som lagen om lägenhetsregister uttryckligen ger stöd för. Detta talar för att lagligheten i de behandlingar av personuppgifter som Lantmäteriet vidtar, i sin roll som förare och personuppgiftsansvarig för lägenhetsregistret, främst ska anses grundad på en rättslig förpliktelse i enlighet med artikel 6.1 c i dataskyddsförordningen, även om uppgiften också kan betraktas som ett allmänt intresse i enlighet med artikel 6.1 e. Detsamma får anses gälla för en kommun eller en fastighetsägare som fullgör sina skyldigheter enligt lagen.
Ovan nämnda resonemang kan dock inte tillämpas på kommuner och fastighetsägare när de behandlar personuppgifter från lägenhetsregistret i egenskap av användare av registret. Sådana behandlingar grundar sig inte på kommunens eller fastighetsägarens skyldigheter enligt lagen om lägenhetsregister. Rättsligt stöd för sådana behandlingar måste därför sökas på annan grund, t.ex. en kommuns skyldighet att planera sitt bostadsbestånd eller de berättigade intressen som en fastighetsägare efter en intresseavvägning kan anses ha att behandla uppgifterna.
7.3.2. Undantag från den registrerades rättigheter
Förslag: Vid behandling av personuppgifter som omfattas av
lagen om lägenhetsregister ska den registrerade inte ha rätt till begränsning av behandlingen.
Bedömning: Några undantag från dataskyddsförordningens
rätt till information och rättelse bör inte införas i lagen om lägenhetsregister. Dataskyddsförordningens bestämmelser om rätten att göra invändningar blir inte tillämpliga vid behandling av personuppgifter i lägenhetsregistret.
Skälen för förslaget och bedömningen: Enligt artikel 89.2 i
dataskyddsförordningen finns en möjlighet att göra undantag från de rättigheter som tillkommer registrerade i artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för statistiska ändamål (se avsnitt 5 och 6.2). Detsamma gäller vid behandling för vetenskapliga eller historiska forskningsändamål.
Den behandling av personuppgifter som sker när uppgifter lämnas ut från Lantmäteriet för framställning av statistik eller för forskning i enlighet med 5 § lagen om lägenhetsregister bör anses utgöra sådan behandling som avses i artikel 89.2. Eftersom registret enligt 5 § har flera syften bör dock eventuella begränsningar av den registrerades rättigheter, som införs med stöd av artikel 89.2, utformas restriktivt.
Som anförts i avsnitt 7.2.4 om statistikansvariga myndigheters skyldighet att lämna registerutdrag reglerar artikel 15 i dataskyddsförordningen i princip vad som i dag följer av 26 § första PUL om registerutdrag. Bestämmelsen i PUL gäller även vid sådana behandlingar av personuppgifter som omfattas av lagen om lägenhetsregister. I likhet med bedömningen som görs i avsnitt 7.2.4 saknas anledning att inskränka den enskildes rättigheter enligt artikel 15 även när det gäller behandling av nu aktuellt slag.
När det gäller enskildas rätt att enligt artikel 16 utan onödigt dröjsmål få felaktiga personuppgifter rättade, motsvarar detta dagens regelverk i 28 § PUL. Denna ordning bör också fortsätta gälla. I artikel 16 anges att den registrerade, med beaktande av ändamålet med behandlingen, ska ha rätt att att komplettera ofullständiga personuppgifter, bl.a. genom ett kompletterande utlåtande. Eftersom lägenhetsregistret kan användas för annat än statistik-
framställning bör den enskilde ha ett berättigat intresse av att kunna lämna kompletterande uppgifter. För användarna av registret bör eventuella extra åtgärder för Lantmäteriets del inte heller påverka registrets kvalitet eller användbarhet i nämnvärd utsträckning. Kravet som uppställs i artikel 89.2 för att undantag ska kunna göras – att en rättighet sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen – kan därför inte anses vara uppfyllt. Till skillnad från den bedömning som gjorts i avsnitt 7.2.4 avseende lagen om den officiella statistiken bör rättigheterna som följer av artikel 16 därför gälla oinskränkt vid behandling av personuppgifter i lägenhetsregistret.
Som anges i avsnitt 7.2.4 framgår av artikel 18 att den registrerade har rätt att kräva att behandlingen av personuppgifter begränsas under vissa förutsättningar. I likhet med vad som anförts i avsnitt 7.2.4 om den officiella statistiken framstår det som mindre lämpligt att behandlingen av personuppgifter i lägenhetsregistret på begäran ska kunna begränsas. Den situation som främst bör bli aktuell i detta fall är om uppgifterna inte är korrekta. Om uppgifterna är felaktiga finns dock möjlighet till rättelse. Att begränsa behandlingen av uppgifterna i lägenhetsregistret under den tid som riktigheten kontrolleras, eller på någon annan av de grunder som anges i artikel 18, skulle innebära en risk för att de uppgifter som lämnas ut för forskning och framställning av statistik vid ett givet tillfälle inte är fullständiga. Vidare riskerar det merarbete som åtgärderna medför, som får anses mer långtgående än att erbjuda den registrerade möjlighet att komplettera ofullständiga uppgifter i enlighet med artikel 16, att få negativa konsekvenser på registerhållningen i övrigt. Med stöd av artikel 89.2 bör därför ett undantag från den registrerades rättigheter i artikel 18 föras in i lagen om lägenhetsregister.
Rätten att göra invändningar som följer av artikel 21.1 avser behandlingar som grundar sig på artikel 6.1 e och f. Som redogjorts för ovan bör de behandlingar som sker vid utlämnande av uppgifter från lägenhetsregistret anses grunda sig på sådana rättsliga skyldigheter som avses i artikel 6.1 c. Artikel 21.1 torde därför inte aktualiseras i fråga om personuppgifter i lägenhetsregistret.
7.4. Folk- och bostadsräkningar
Förslag: Särskilda författningar om folk- och bostadsräkningar
upphävs.
Skälen för förslaget: Före lägenhetsregistrets tillkomst fram-
ställdes, som anförts i avsnitt 7.3, statistik på folk- och bostadsräkningsområdet genom särskilda folk- och bostadsräkningar, vilka genomfördes av SCB. Folk- och bostadsräkningarna reglerades särskilt i lagar och förordningar, som fortfarande formellt gäller och reglerar bl.a. skyldigheter för SCB och enskilda som ska lämna uppgifter. Flertalet av bestämmelserna i de aktuella författningarna är i dag obsoleta eftersom folk- och bostadsräkningarna redan genomförts. Behovet av de övriga bestämmelserna, som i stor utsträckning innehåller hänvisningar till den sedan länge upphävda datalagen (1973:289), bedöms vara högst begränsat. Författningarna bör därför upphävas.
7.5. Det allmänna företagsregistret
I det allmänna företagsregistret finns uppgifter om Sveriges samtliga företag, myndigheter, organisationer och alla deras arbetsställen. Registret uppdateras kontinuerligt med uppgifter från Skatteverket, Bolagsverket och SCB:s egna utredningar. Företagsregistret är ursprungskällan till många andra register med uppgifter om företag. Registret ligger till grund för statistiska undersökningar och sammanställningar av uppgifter om företag och arbetsställen i Sverige. Registret regleras i förordningen (1984:692) om det allmänna företagsregistret. Förordningen saknar bestämmelser som uttryckligen reglerar hanteringen av personuppgifter. Företagsregistret innehåller dock bl.a. uppgifter om enskilda näringsidkare, inklusive personnummer, som utgör personuppgifter i dataskyddsförordningens mening. SCB anvarar för registret.
7.5.1. Personuppgiftsansvar och rättslig grund
Förslag: SCB:s personuppgiftsansvar för företagsregistret klar-
görs och en hänvisning till de allmänna bestämmelserna om personuppgiftsbehandling införs i förordningen om det allmänna företagsregistret.
Skälen för förslaget: SCB ska enligt 1 § förordningen
(1984:692) om det allmänna företagsregistret föra ett allmänt företagsregister. Myndigheten är registeransvarig för registret, som ska föras med hjälp av automatisk databehandling.
Det finns skäl att mönstra ut begreppet registeransvarig mot det numera vedertagna begreppet personuppgiftsansvarig. Det saknas vidare numera anledning att särskilt reglera att registret ska föras med hjälp av automatisk databehandling. En uttrycklig hänvisning till dataskyddsförordningen och att förordningen om det allmänna företagsregistret kompletterar denna avseende personuppgiftsbehandlingar bör dock föras in i förordningen, liksom en upplysning om att dataskyddslagen också kompletterar dataskyddsförordningen, om annat inte följer av förordningen om det allmänna företagsregistret (se vidare avsnitt 7.1.2).
SCB:s utpekade ansvar för och skyldighet att föra registret bör sammantaget betraktas som en sådan rättslig förpliktelse som avses i artikel 6.1 c dataskyddsförordningen och därmed utgöra stöd för myndighetens rätt att behandla personuppgifter. Myndigheten har genom regleringen i 5 § förordningen om det allmänna företagsregistret också rättsligt stöd för att tillhandahålla personuppgifter från företagsregistret till myndigheter och enskilda. Stödet för SCB att tillhandahålla uppgifter ska dock inte jämställas med en rättighet för myndigheter och enskilda att använda uppgifterna. Deras senare behandling behöver vara förenlig med någon av de grunder som anges i artikel 6 i dataskyddsförordningen, t.ex. en reglerad myndighetsuppgift eller ett berättigat intresse hos ett företag.
7.5.2. Bestämmelser om sekretess
Förslag: Befintliga hänvisningar till den upphävda sekretess-
lagen i förordningen om det allmänna företagsregistret ska ändras så att de i stället hänvisar till offentlighets- och sekretesslagen.
Skälen för förslaget: I förordningen om det allmänna företags-
registret finns i 15 och 16 §§ alltjämt hänvisningar till sekretesslagen (1980:100), som upphävdes när OSL trädde i kraft den 30 juni 2009. Enligt övergångsbestämmelserna till OSL ska de nya bestämmelserna tillämpas även om det i lag eller annan författning hänvisats till bestämmelser i sekretesslagen. De hänvisningar som gjorts i förordningen om det allmänna företagsregistret har därför kunnat tillämpas även efter OSL:s ikraftträdande. I samband med att förordningen uppdateras bör dock hänvisningarna till bestämmelserna i sekretesslagen bytas ut mot hänvisningar till motsvarande bestämmelser i OSL.
7.6. Databasen för övervakning av och tillsyn över finansmarknaderna
Förslag: Hänvisningen i lagen om en databas för övervakning av
och tillsyn över finansmarknaderna till personuppgiftslagen ska ersättas med en hänvisning till dataskyddsförordningen.
Skälen för förslaget: Uppgifter som behövs för Riksbankens
och Finansinspektionens övervakning av och tillsyn över finansmarknaderna får enligt lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna behandlas i en gemensam databas hos SCB. Databasen får enligt 5 § inte innehålla personuppgifter, som definieras på samma sätt som i PUL. Eftersom databasen inte innehåller personuppgifter påverkas den i sig inte av dataskyddsförordningen. Däremot behöver definitionen av personuppgift vara densamma som i dataskyddsförordningen och inte hänvisa till PUL.
Mot denna bakgrund föreslås att bestämmelsen i 5 § lagen om en databas för övervakning av och tillsyn över finansmarknaderna ändras så att den i stället hänvisar till den definition av personuppgifter som görs i dataskyddsförordningen.
7.7. Samtjänst vid medborgarkontor
Förslag: Ett klargörande görs i lagen om samtjänst vid med-
borgarkontor av att begreppet personuppgifter har samma innebörd som i dataskyddsförordningen.
Skälen för förslaget: Genom lagen (2004:543) och förord-
ningen (2009:315) om samtjänst vid medborgarkontor möjliggörs för statliga myndigheter, kommuner och landsting att ingå avtal om att för varandras räkning bistå med hjälp till enskilda och även handlägga vissa förvaltningsärenden. Inga hänvisningar till PUL finns i dag i lagen eller förordningen. Däremot finns i lagens 2, 5 och 9 §§ bestämmelser om personuppgifter. För att tydligggöra att detta begrepp har samma innebörd som i dataskyddsförordningen bör en bestämmelse om detta föras in i lagen.
Lagen om samtjänst vid medborgarkontor möjliggör för myndigheter på olika nivåer att avtala om att utföra uppgifter för varandras räkning. Grunden för att behandla personuppgifter får dock sökas i de författningar som reglerar respektive myndighets verksamhet. Eftersom personuppgiftsbehandlingar således inte sker med samtjänstlagen som grund bör inte en generell upplysningsbestämmelse om dataskyddsförordningen (se avsnitt 7.1.2) införas i lagen.
7.8. Kasinolagen
Förslag: En ny paragraf införs i kasinolagen med en upplysning
om tillämpningen av dataskyddsförordningen och som klargör att den föreslagna dataskyddslagen ska tillämpas i den utsträckning som kasinolagen inte innehåller några avvikande bestämmelser.
Skälen för förslaget: I kasinolagen finns bestämmelser om
roulettspel, tärningsspel, kortspel och liknande spel som anordnas i lokaler som huvudsakligen används för det ändamålet. I 5–8 §§ finns bestämmelser om registrering, som kräver att personuppgifter behandlas. Kasinolagen innehåller ingen definition av personuppgifter och innehåller inte heller någon bestämmelse som klargör att PUL generellt gäller vid sådan behandling av personuppgifter som lagen förutsätter eller att kasinolagen helt eller delvis ersätter PUL. I lagens 7 § anges dock att bestämmelserna om rättelse och skadestånd i PUL också gäller vid behandling av personuppgifter enligt kasinolagen (se vidare avsnitt 7.1.3).
Bestämmelserna i kasinolagen ålägger ansvariga för kasinospel att behandla personuppgifter för att föra register. Den rättsliga grunden för behandlingen får därmed betraktas som en rättslig förpliktelse i enlighet med artikel 6.1 c i datakyddsförordningen. Eftersom kasinolagen anger en rättslig grund för att behandla personuppgifter bör också en upplysningsbestämmelse införas i lagen om det regelverk som ska tillämpas vid sådana behandlingar. En upplysning om dataskyddsförordningen och att kasinolagen kompletterar denna bör därför införas i lagen. Vidare bör också anges den föreslagna dataskyddslagen innehåller kompletterande bestämmelser till dataskyddsförordningen och att denna lag är subsidiär till kasinolagen.
8. Ikraftträdande och övergångsbestämmelser
Förslag: De föreslagna ändringarna ska träda i kraft den 25 maj
2018, med undantag för ändringarna i förordningen om den officiella statistiken, som ska träda i kraft den 1 januari 2018.
Bedömning: Det behövs inte några övergångsbestämmelser.
Skälen för förslaget och bedömningen: Huvuddelen av de
föreslagna författningsändringarna har lämnats med anledning av den beslutade dataskyddsförordningen, som kommer att träda i kraft den 25 maj 2018. De ändringsförfattningar som innehåller hänvisningar till dataskyddsförordningen och den föreslagna dataskyddslagen bör därför träda i kraft den dagen.
Förslaget till ändring i förordningen om den officiella statistiken innehåller varken hänvisningar till dataskyddsförordningen eller den föreslagna dataskyddslagen. Det är angeläget att den föreslagna ändringen kan träda i kraft så snart som möjligt, vilket bedöms vara den 1 januari 2018.
Något behov av övergångsbestämmelser bedöms inte finnas.
9. Konsekvenser
Bedömning: Förslagen medför inte någon risk för otillbörliga
intrång i den personliga integriteten.
Förslagen medför inte behov av ytterligare medel för de berörda myndigheterna.
Förslagen innebär inte några nya åtaganden eller kostnader för företag.
Skälen för bedömningarna: Skyddet för den personliga integri-
teten bedöms stärkas genom ikraftträdandet av dataskyddsförordningen också på de områden som behandlas i denna promemoria. I de fall som undantag från dataskyddsförordningens bestämmelser föreslagits har andra berättigade intressen ansetts väga tyngre än skyddet för den personliga integriteten.
De ändringar som föreslås som inte föranletts av dataskyddsförordningens ikraftträdande innebär större möjligheter att behandla personuppgifter, inklusive känsliga sådana, inom ramen för vad som är förenligt med dataskyddsförordningen. Det handlar till stor del om utmönstringar av skillnader mellan officiell statistik och annan statistik eller mellan statistikansvariga myndigheter och andra personuppgiftsansvariga. Även i de fall som den personliga integriteten teoretiskt sett skulle kunna försvagas, är bedömningen att dessa försvagningar inte innebär otillbörliga intrång i den personliga integriteten (se vidare avsnitt 7.2).
De aktuella förslagen handlar till stor del om att uppdatera det befintliga regelverket till EU:s dataskyddsförordning. De undantag från dataskyddsförordningens bestämmelser som föreslagits bedöms inte öka de statliga myndigheternas eller kommunernas eller landstingens kostnader. Dessa bedöms sammantaget kunna bidra till en mer effektiv och ändamålsenlig förvaltning.
Förslagen påverkar endast i begränsad utsträckning företag och innebär inga nya åtaganden eller kostnader för dessa.
10. Författningskommentar
10.1. Förslaget till lag om ändring i kasinolagen (1999:355)
3 a §
Paragrafen är ny och behandlas i avsnitt 7.8.
Paragrafen innehåller en upplysning om dataskyddsförordningen och reglerar i vilken utsträckning som den föreslagna dataskyddslagen ska tillämpas vid behandling av personuppgifter enligt kasinolagen och föreskrifter som meddelats i anslutning till denna.
I första stycket anges att datakyddsförordningen ska tillämpas vid behandling av personuppgifter enligt kasinolagen och att den senare lagen innehåller kompletterande bestämmelser om sådan behandling. Kompletterande bestämmelser finns i 5–8 §§kasinolagen, som bl.a. innehåller krav på att registrera kasinobesökare, inklusive deras personnummer.
Av andra stycket framgår att den föreslagna dataskyddslagen är tillämplig också på behandlingar av personuppgifter som omfattas av kasinolagen. Dataskyddslagen är dock subsidiär till kasinolagen och föreskrifter som meddelats i anslutning till denna.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 8.
Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.
10.2. Förslaget till lag om ändring i lagen (2001:99) om den officiella statistiken
1 §
Paragrafen behandlas i avsnitt 7.2.7.
I tredje stycket läggs 16 § i uppräkningen över vilka bestämmelser som ska gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet. I 16 § regleras utlämnande av personuppgifter som inte direkt kan hänföras till en enskild och möjligheten att förse dessa med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. Denna möjlighet är avgörande för att lämna ut uppgifter till undersökningar som sträcker sig över en längre tid. Av 17 § framgår att sådana uppgifter endast får utlämnas för att behandlas för forskning eller statistik.
2 §
Paragrafen behandlas i avsnitt 7.1.2.
Ändringen i första stycket innebär att en hänvisning till PUL utgår och ersätts av en hänvisning till dataskyddsförordningen och en upplysning om att lagen om den officiella statistiken innehåller bestämmelser som kompletterar regleringen i förordningen.
I andra stycket införs en hänvisning till bestämmelserna i den föreslagna dataskyddslagen, som kompletterar regleringen i dataskyddsförordningen. Av hänvisningen framgår att regleringen i dataskyddslagen är subsidiär till bestämmelserna i lagen om den officiella statistiken och de föreskrifter som meddelats i anslutning till den.
5 §
Paragrafen behandlas i avsnitt 7.1.2.
I paragrafen har tredje stycket upphävts, som innehöll en upplysning om bestämmelser i PUL.
14 §
Paragrafen behandlas i avsnitt 7.1.2 och 7.2.2.
I första stycket tas en hänvisning till PUL bort. Det tredje stycket är nytt och klargör att en statistikansvarig myndighet kan agera personuppgiftsbiträde åt en annan statistikansvarig myndighet, utan hinder av bestämmelsen i det första stycket, som anger att en statistikansvarig myndighet är personuppgiftsansvarig vid framställning av statistik. Bestämmelsen aktualiseras när en statistikansvarig har i uppdrag att bedriva uppdragsverksamhet åt andra statistikansvariga myndigheter.
15 §
Paragrafen behandlas i avsnitt 7.2.3.
Paragrafen innehåller bestämmelser om när känsliga personuppgifter respektive personuppgifter om lagöverträdelser får behandlas. Ändringen innebär att en hänvisning till PUL ersätts av en hänvisning till aktuella bestämmelser i dataskyddsförordningen. Vad gäller behandling av personuppgifter som rör lagöverträdelser har bestämmelsen i artikel 10 i dataskyddsförordningen en något annan innebörd än tidigare reglering, som utgick från dataskyddsdirektivet, då tillämpningsområdet begränsats till enbart fällande brottmålsdomar. Vidare klargörs att sådana personuppgifter som regleras i paragrafen får behandlas endast om det följer av föreskrifter som regeringen meddelat. Tillägget är ett förtydligande och någon ändring i sak är inte avsedd.
15 a §
Paragrafen behandlas i avsnitt 7.2.4.
Paragrafen är ny och innehåller undantag från vissa av de rättigheter som genom dataskyddsförordningen tillkommer den registrerade. I paragrafen undantas rättigheterna i artiklarna 16, 18 och 21 i dataskyddsförordningen, dvs. rätten till rättelse, rätten att begränsa behandlingen av personuppgifter samt rätten att göra invändningar, i sin helhet vid behandling av personuppgifter enligt lagen.
18 §
Paragrafen behandlas i avsnitt 7.2.4.
Ändringen innebär att den rätt som den registrerade hittills haft att enligt lagen få sina personuppgifter utplånade slopas, då en motsvarande rättighet finns i en direkt tillämplig reglering om rätt till radering i artikel 17.1 i dataskyddsförordningen. I artikel 17.3, som också är direkt tillämplig, finns vissa undantag från denna rättighet.
26 §
Paragrafen behandlas i avsnitt 7.1.2.
Ändringen innebär att straffstadgandet i PUL inte längre ska vara en konkurrerande bestämmelse till brottet olovlig identifering.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 8.
Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.
10.3. Förslaget till lag om ändring i lagen om samtjänst (2004:543) vid medborgarkontor
2 §
Paragrafen behandlas i avsnitt 7.7.
I andra stycket införs en definition av personuppgifter, som hänvisar till dataskyddsförordningen.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 8.
Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.
10.4. Förslaget till lag om ändring i lagen (2006:378) om lägenhetsregister
2 §
Paragrafen behandlas i avsnitt 7.1.2.
Ändringen i andra stycket innebär att en hänvisning till PUL utgår och ersätts av en hänvisning till dataskyddsförordningen och en upplysning om att lagen om den officiella statistiken innehåller bestämmelser som kompletterar regleringen i förordningen.
I tredje stycket införs en hänvisning till bestämmelserna i den föreslagna dataskyddslagen, som kompletterar regleringen i dataskyddsförordningen. Av hänvisningen framgår att regleringen i dataskyddslagen är subsidiär till bestämmelserna i lagen om lägenhetsregister och de föreskrifter som meddelats i anslutning till den.
4 §
Paragrafen behandlas i avsnitt 7.1.2.
I bestämmelsen anges att den statliga lantmäterimyndigheten, dvs. Lantmäteriet, är personuppgiftsansvarig för registret. Ändringen innebär att en hänvisning till PUL tas bort. Begreppets betydelse följer direkt av dataskyddsförordningen (jfr 1 §).
9 a §
Paragrafen behandlas i avsnitt 7.3.2.
Genom införandet av paragrafen, som är ny, undantas den rätt till begränsning av behandling av personuppgifter som annars tillkommer den registrerade i vissa fall i enlighet med artikel 18 i dataskyddsförordningen. Bestämmelsen möjliggör för registerföraren att fortsätta behandla personuppgifter utan samtycke från den registrerade.
Ikraftträdandebestämmelse
Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.
10.5. Förslaget till lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna
5 §
Paragrafen behandlas i avsnitt 7.6.
Ändringen innebär att en hänvisning till PUL ersätts av en hänvisning till dataskyddsförordningen. Ändringen förändrar i övrigt inte bestämmelsens innebörd.
Ikraftträdandebestämmelse
Bestämmelsen behandlas i avsnitt 8.
Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.