Prop. 1999/2000:11

Personuppgiftslagens överföringsregler

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 7 oktober 1999

Lena Hjelm-Wallên

Britta Lejon

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås att personuppgiftslagens bestämmelse om förbud mot överföring av personuppgifter ändras. Överföring av personuppgifter till ett land som inte ingår i Europeiska unionen eller är anslutet till Europeiska ekonomiska samarbetsområdet (tredje land) skall inte längre vara förbjuden om det tredje landet har en adekvat nivå för skyddet av personuppgifter. När det gäller att avgöra om skyddsnivån är adekvat skall alla omständigheter kring överföringen beaktas. Ändringen medför att person-uppgiftslagen ansluter närmare till lydelsen i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

I propositionen föreslås också att ringa fall av överträdelser av personuppgiftslagens straffbestämmelse skall undantas från det straffbara området.

Ändringarna medför sammantagna att skyddet för personuppgifter i betydligt högre grad inriktas på de förfaranden som medför allvarliga integritetsrisker och att lagstiftningen närmar sig en sådan missbruksinriktad regleringsmodell som riksdagen uttalat sig för. Därigenom underlättas användningen av modern informationsteknik.

Ändringarna föreslås träda i kraft den 1 januari 2000.

1. Beslut

Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i personuppgiftslagen (1998:204).

2. Förslag till lag om ändring i personuppgiftslagen (1998:204)

Härigenom föreskrivs att 33 och 49 §§personuppgiftslagen (1998:204) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

33 §

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling

om landet inte

har en adekvat nivè för skyddet av personuppgifterna. Förbudet gäller

också överföring av personuppgifter för behandling i tredje land.

Frègan =om =en =skyddsnivè =ær adekvat skall bedömas med hænsyn till =samtliga =omstændigheter =som har =samband =med =överföringen. Særskild vikt skall læggas vid uppgifternas =art, =ændamèlet =med =behandlingen, hur længe behandlingen skall pègè, ursprungslandet, det slutliga bestæmmelselandet och de regler som finns för behandlingen i det tredje landet.

49 §

Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet

a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,

b) behandlar personuppgifter i strid med 13–21 §§,

c) för över personuppgifter till tredje land i strid med 33–35 §§, eller

d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §.

I ringa fall döms inte till ansvar.

Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.

Denna lag träder i kraft den 1 januari 2000.

3. Ärendet och dess beredning

Personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998. Genom personuppgiftslagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

Regeringen gav den 22 oktober 1998 Datainspektionen i uppdrag att bland annat utreda det närmare behovet av att göra undantag från förbudet i 33 § personuppgiftslagen när det gäller överföringar av personuppgifter till tredje land som typiskt sett inte innebär några risker för de registrerade eller det annars mot bakgrund av allmänhetens intresse att sprida och inhämta information framstår som angeläget att undantag görs, särskilt i samband med behandling av personuppgifter i internationella kommunikationsnätverk, t.ex. Internet.

Datainspektionen redovisade den 1 mars 1999 ett förslag till regeringen i rapporten Personuppgifter på Internet. Enligt förslaget skulle en bestämmelse införas i personuppgiftsförordningen (1998:1191) som tillåter viss överföring till tredje land. Datainspektionens förslag har remissbehandlats. En förteckning över remissinstanserna finns i

bilaga 1. Remiss-

svaren finns tillgängliga i Justitiedepartementet (dnr Ju1999/1126).

I ett betänkande (bet. 1998/99:KU15) behandlade konstitutionsutskottet ett antal motioner från den allmänna motionstiden 1998 som rör frågor om personuppgiftslagen och andra integritetsfrågor. Konstitutionsutskottet hemställde den 2 mars 1999 att riksdagen skulle ge regeringen till känna vad utskottet anfört bland annat om de problem som var bakgrunden till uppdraget till Datainspektionen. Riksdagen godkände den 10 mars vad utskottet hemställt (rskr.1998/99:147).

Sedan Datainspektionens förslag remissbehandlats utarbetades inom Justitiedepartementet en promemoria Ändringar i personuppgiftslagen av den 1 juni 1999. Promemorians lagförslag finns i

bilaga 2. De remissin-

stanser som tagits upp i

bilaga 3 kallades till ett remissmöte i Justitiede-

partementet den 8 juni 1999. Anteckningar från remissmötet samt skriftliga remissvar finns tillgängliga i Justitiedepartementet (dnr Ju1999/1126). Datainspektionens förslag om kommuners och landstings möjligheter att sprida information m.m. bereds inom Justitiedepartementet.

Lagrèdet

Regeringen beslutade den 17 juni 1999 att inhämta Lagrådets yttrande över det lagförslag som finns i

bilaga= 4. Lagrådets yttrande finns i

bilaga 5. Lagrådets synpunkter behandlas i den allmänna motiveringen i

avsnitt 5 och i författningskommentaren. Vissa språkliga justeringar av lagtexten har gjorts efter det att Lagrådet yttrat sig.

Hänvisningar till S3

  • Prop. 1999/2000:11: Avsnitt 4.3.1

4. Bakgrund

4.1. Personuppgiftslagens tillkomst

4.1.1. EG±direktivet

Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG–direktivet) antogs den 24 oktober 1995. EG–direktivets syfte är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna emellan. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet finns i sin helhet intaget som bilaga i propositionen Personuppgiftslag (prop. 1997/98:44). Huvuddragen i direktivet är följande.

Direktivet är tillämpligt på all behandling av personuppgifter. Förutom automatiserad behandling omfattas också manuell behandling, dock endast sådan manuell behandling som sker i register som är sökbara utifrån särskilda kriterier. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten (t.ex. den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område) och inte heller på behandling som sker för personligt bruk. Behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande undantas från de flesta av direktivets bestämmelser.

Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet.

Personuppgifter får behandlas endast när samtycke lämnats, när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en i författning reglerad förpliktelse att behandling av uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller, slutligen, om det skett en intresseavvägning som resulterat i att behandling av personuppgifter skall få ske.

Känsliga uppgifter (uppgifter som avslöjar etniskt ursprung, religion, politisk åsikt, facklig tillhörighet, hälsotillstånd etc.) får inte behandlas. Dock gäller vissa undantag, bl.a. då den enskilde gett sitt uttryckliga samtycke, för ideella organisationers samt hälso- och sjukvårdens behov och vid författningsreglerade skyldigheter.

Medlemsstaterna skall bestämma på vilka villkor nationella identifikationsnummer, som t.ex. de svenska personnumren, får behandlas.

När personuppgifter samlas in skall de registrerade informeras om bl.a. vem som är registeransvarig och vad uppgifterna skall användas till.

All behandling av personuppgifter skall enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch– och sektorsreglering eller motsvarande från anmälningsskyldigheten undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter.

Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att tillsynsmyndigheten först kontrollerat behandlingen.

Den registrerade skall ha rätt att få sina rättigheter enligt den nationella lagen prövade av tillsynsmyndigheten och domstol.

Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en adekvat skyddsnivå.

Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha undersökningsbefogenheter och befogenheter att effektivt ingripa mot otilllåten behandling av personuppgifter.

Medlemsstaterna är skyldiga att genomföra direktivet i nationell rätt inom tre år efter antagandet den 24 oktober 1995. För de automatiserade behandlingar som pågår vid tiden för genomförandet finns möjlighet för medlemsstaterna att föreskriva en övergångsperiod på högst tre år. För redan existerande manuella register kan övergångsperioden utsträckas till, som längst, tolv år.

EG–direktivet skulle ha varit genomfört i medlemsstaterna senast den 24 oktober 1998. Hittills har bara drygt hälften av medlemsstaterna genomfört direktivet.

4.1.2. Datalagskommittêns förslag och personuppgiftslagen

Efter beslut av regeringen den 15 juni 1995 tillkallades en parlamentariskt sammansatt kommitté med uppgift att bland annat

göra en total revi-

sion av datalagen och analysera på vilket sätt EG–direktivet om personuppgifter skulle genomföras i svensk lagstiftning. Kommittén antog namnet Datalagskommittén. Den 2 april 1997 avgav kommittén betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39).

Vid remissbehandlingen av Datalagskommitténs förslag uttalade sig många remissinstanser för en lagstiftning enligt en s.k. missbruksmodell, dvs. en reglering som mer riktar sig mot att förbjuda sådan behandling av personuppgifter som inte bör vara tillåten än att reglera vad som är tillåtet.

Regeringen ansåg dock att det inte var möjligt att uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att införa en lag enligt en hanteringsmodell som reglerar vad som är tillåtet. Något konkret förslag till hur EG–direktivet på ett godtagbart sätt skulle kunna genomföras enligt en missbruksmodell hade heller inte framkommit under remissbehandlingen.

Vid införandet av personuppgiftslagen valde regeringen att i huvudsak låta lagen följa direktivets text och struktur. I propositionen understryker regeringen att det är EG–domstolen som slutligen har att tolka de begrepp och uttryck som direktivet innehåller (prop. 1997/98:44 s. 38).

Personuppgiftslagen omfattar automatiserad behandling av personuppgifter och manuell behandling av personuppgifter i register. Personuppgiftslagen är generellt tillämplig och omfattar även sådan verksamhet som faller utanför EG–rätten. Avvikande bestämmelser i lag eller förordning gäller framför personuppgiftslagen.

4.2. Reglerna om överföring av personuppgifter till tredje land

Reglerna i EG–direktivet och personuppgiftslagen om under vilka omständigheter personuppgifter får föras över till tredje land, dvs. en stat utanför EU eller EES, har en central roll. Utan sådana bestämmelser är det uppenbart att skyddsregler för behandlingen av personuppgifter skulle kunna kringgås genom att personuppgifter överförs till ett tredje land och behandlas där. Samtidigt medför det ökade internationella informationsutbytet att det måste finnas klara och användbara regler som i olika situationer gör det möjligt att föra över personuppgifter till tredje land.

4.2.1. EG±direktivets bestæmmelser om överföring av personuppgifter till tredje land

I artikel 25 och 26 i EG–direktivet finns det bestämmelser om överföring av personuppgifter till tredje land. Bestämmelserna innebär följande.

Medlemsstaterna skall föreskriva att överföring av personuppgifter, som är under behandling eller som är avsedda att behandlas efter överföring till tredje land, bara får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämpningen av de nationella bestämmelser som har antagits till följd av andra bestämmelser i direktivet.

Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas

  • uppgiftens art,
  • den eller de avsedda behandlingarnas ändamål,
  • den eller de avsedda behandlingarnas varaktighet,
  • ursprungslandet,
  • det slutliga bestämmelselandet,
  • de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land och
  • de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande tredje land.

Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå. Om kom-

missionen – i enlighet med en särskild beslutsprocedur som föreskrivs i direktivet – kommer fram till att ett tredje land inte erbjuder en adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till detta land. Kommissionen skall i sådant fall vid lämpligt tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har uppkommit. Kommissionen kan vidare – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet – konstatera att ett tredje land, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, har en adekvat skyddsnivå. Medlemsstaterna skall då vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Som exempel på internationella förpliktelser som åligger tredje land nämns särskilt sådana förpliktelser som är en följd av de förhandlingar som kommissionen har inlett och som gäller skydd för privatliv och enskilda personers grundläggande fri- och rättigheter.

Medlemsstaterna skall – utom där något annat föreskrivs för särskilda fall i den nationella lagstiftningen – föreskriva att överföring av personuppgifter till ett tredje land, som inte har en sådan adekvat skyddsnivå, får ske i följande fall.

  • Om den registrerade otvetydigt har samtyckt till den planerade överföringen.
  • Om överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att på den registrerades begäran genomföra åtgärder innan avtalet ingås.
  • Om överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och tredje man, där avtalet är i den registrerades intresse.
  • Om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk.
  • Om överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.
  • Om överföringen görs från ett register som 1) enligt lagar eller andra författningar är avsett att förse allmänheten med information och som 2) är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för att få tillgång är uppfyllda.

Det är vidare möjligt för medlemsstaterna att tillåta överföring av personuppgifter till ett tredje land med en icke adekvat skyddsnivå om den personuppgiftsansvarige ställer tillräckliga garantier för skyddet av privatliv och enskilda personers grundläggande fri- och rättigheter och för utövandet av sådana rättigheter. Sådana garantier kan framgå av lämpliga avtals-klausuler. Medlemsstaterna skall informera kommissionen om de överföringar som har tillåtits enligt denna bestämmelse. Om kommissionen eller en medlemsstat gör en invändning – på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – skall kommissionen vidta lämpliga åtgärder i enlighet med den särskilda beslutsprocedur som föreskrivs i direkti-

vet. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Om kommissionen å andra sidan – i enlighet med den särskilda beslutsprocedur som nyss nämnts – beslutar att vissa standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.

4.2.2. Allmænna övervæganden om överföringsreglerna i lagstiftningsærendet om personuppgiftslagen

Bestämmelserna i EG–direktivet om överföring till tredje land är detaljerade och komplicerade. Datalagskommittén gjorde den bedömningen att det i lagstiftningen inte borde införas mer komplicerade regler än nödvändigt med hänsyn till EG–direktivet (SOU 1998:39 s. 413).

Kommittén föreslog ett förbud mot överföring av personuppgifter till tredje land och konkreta undantag från förbudet för de situationer som räknas upp i artikel 26.1.a–e i EG–direktivet. En särskild bestämmelse om att personuppgifter utan vidare får föras över för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention föreslogs också mot bakgrund av Sveriges förpliktelser enligt konventionen. Vidare föreslogs bemyndiganden för regeringen att meddela föreskrifter för vissa situationer om undantag från förbudet. I några fall fick regeringen vidaredelegera föreskriftsrätten.

Regeringens förslag i propositionen till personuppgiftslagen stämde i väsentliga delar överens med kommitténs förslag och antogs av riksdagen med en mindre språklig justering.

4.2.3. Personuppgiftslagens regler om överföring av personuppgifter till tredje land

Enligt 33 § personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i ett tredje land.

Med tredje land avses enligt definitionen i 3 § personuppgiftslagen ett land utanför EU eller EES.

Det finns vissa generella undantag från förbudet. Enligt 34 § första stycket personuppgiftslagen är det tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att

a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras,

c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller

d) vitala intressen för den registrerade skall kunna skyddas.

Enligt 34 § andra stycket personuppgiftslagen är det också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig

till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.

Regeringen har också möjlighet att i vissa fall besluta om undantag från förbudet. I några av dessa fall kan regeringen delegera föreskriftsrätten vidare.

Regeringen får enligt 35 § första stycket personuppgiftslagen meddela föreskrifter om undantag från förbudet i 33 § för överföring av personuppgifter till vissa stater. Enligt samma lagrum får regeringen också meddela föreskrifter om att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter.

Regeringen eller den myndighet regeringen bestämmer får vidare enligt 35 § andra stycket personuppgiftslagen meddela föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Enligt 35 § tredje stycket personuppgiftslagen får regeringen under de förutsättningar som nämns i andra stycket i enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.

Genom personuppgiftsförordningen (1998:1191) har regeringen till Datainspektionen delegerat vidare möjligheten att meddela föreskrifter enligt 35 § andra stycket personuppgiftslagen, när det gäller automatiserad behandling av personuppgifter, om att överföring är tillåten om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Datainspektionen kan också fatta beslut i enskilda fall.

4.3. Datainspektionens förslag

4.3.1. Debatten i Sverige efter personuppgiftslagens ikrafttrædande

I samband med ikraftträdandet av personuppgiftslagen möttes lagens regler om överföring av personuppgifter till tredje land av kritik. Reglerna ansågs medföra en oönskad begränsning av möjligheten att använda sig av modern informationsteknik, som t.ex. elektronisk post eller elektroniska anslagstavlor. Flera exempel nämndes i debatten där en tillämpning av personuppgiftslagens regler ansågs leda till orimliga resultat eftersom uppgifterna bedömdes vara harmlösa i den mening att en spridning av uppgifterna inte borde kunna leda till någon integritetskränkning.

Som angetts i avsnitt 3 gav regeringen den 22 oktober 1998 Datainspektionen i uppdrag att bl.a. utreda det närmare behovet av att göra undantag från förbudet i 33 § personuppgiftslagen när det gäller överföringar av personuppgifter till tredje land som typiskt sett inte innebär några risker för de registrerade eller det annars mot bakgrund av allmänhetens intresse att sprida och inhämta information framstår som angeläget att undantag görs, särskilt i samband med behandling av personuppgifter i internationella kommunikationsnätverk, t.ex. Internet. Datainspektionen

redovisade ett förslag till regeringen den 1 mars 1999 i rapporten Personuppgifter på Internet.

Hänvisningar till S4-3-1

4.3.2. En specialbestæmmelse för informationsspridning och kommunikation i personuppgiftsförordningen

Enligt Datainspektionen borde det, såvitt här är av intresse, i personuppgiftsförordningen införas en bestämmelse med följande lydelse.

För informationsspridning eller kommunikation får personuppgifter i löpande text föras över till tredje land via Internet eller annat nät om texten framställts för sådant ändamål och omständigheterna är sådana att det är uppenbart att det saknas risk för kränkning av den registrerades personliga integritet.

I rapporten pekade Datainspektionen på att en alternativ lösning vore att ändra lydelsen av överföringsförbudet i 33 § personuppgiftslagen så att det mer liknar EG–direktivets förbud mot överföring i artikel 25.1. Datainspektionen föreslog dock inte en sådan lösning med hänsyn till att den skulle kunna resultera i bristande förutsebarhet och dessutom inte kunde anses rymmas i Datainspektionens uppdrag.

4.3.3. Konstitutionsutskottets uttalanden

Konstitutionsutskottet anförde i sitt ovan nämnda betänkande bland annat (s. 23):

I flertalet motioner begärs att en översyn av den nuvarande lagstiftningen görs i syfte att åstadkomma ett mer modernt regelverk som tar sikte på missbruk av personuppgifter. Enligt utskottets mening bör en översyn av personuppgiftslagen komma till stånd med syfte att, så långt det är möjligt inom EG–direktivets ram, åstadkomma en förändring av lagstiftningen i den riktning som föreslås i motionerna. Utskottet kan härvid konstatera att det inom IT–kommissionens rättsliga observatorium pågår ett arbete med att diskutera och analysera alternativa lagstiftningsmodeller. Enligt utskottets mening bör dock – i avvaktan på en teknikoberoende integritetslagstiftning – intensifierade åtgärder vidtas för att åstadkomma en lagstiftning som syftar till att ingripa mot missbruk av personuppgifter och inte mot själva hanteringen av sådana uppgifter.

Särskilt med anledning av Datainspektionens förslag uttalade utskottet (s. 24–25):

Utskottet utgår från att regeringen därefter – inom de ramar som EG– direktivet uppställer – genomför de förändringar som krävs för att motverka de problem med personuppgiftslagens utformning som regeringsuppdraget avsåg att komma till rätta med, förändringar som kan behöva gå längre än vad Datainspektionen föreslagit. Regeringen är naturligtvis oförhindrad att, om så krävs, föreslå riksdagen förändringar i personuppgiftslagen. Utskottet utgår från att förändringar genomförs skyndsamt.

4.3.4. Synpunkter som framförts vid remissbehandlingen av Datainspektionens förslag

Vid remissbehandlingen av Datainspektionens förslag välkomnade de flesta förslaget att mjuka upp det strikta överföringsförbudet. En del remissinstanser ansåg dock förslaget otillräckligt eller betydelselöst. Några remissinstanser, bland annat

Riksdagens ombudsmæn (JO) och Kammar-

rætten i Göteborg, godtog förslaget i avvaktan på en grundligare översyn. Svea hovrætt, Statskontoret, Patent- och registreringsverket (PRV), Sveriges =industriförbund, =Svenska =Arbetsgivareföreningen =(SAF), =Svenska IT-företagens organisation och BitoS uttalade sig för att en justering av

33 § personuppgiftslagen borde göras så att bestämmelsen mer liknar motsvarande bestämmelse i EG–direktivet. Invändningar eller tveksamhet från normgivningssynpunkt framfördes också vad gäller möjligheten att genomföra förslaget i förordningsform.

Posten AB, Telia= AB och Da-

taföreningen uttalade sig för att förslaget under alla omständigheter borde

genomföras i lag.

När det gäller detaljsynpunkter framfördes kritik mot att begränsa förslaget till löpande text och att bestämmelsen bara skulle avse text som framställts för information eller kommunikation. Uppenbarhetsrekvisitet uppfattades av några remissinstanser som alltför restriktivt.

Datainspektionens förslag att ge större förutsättningar för vissa slag av behandlingar fick således ett i grunden positivt bemötande. Tungt vägande synpunkter framkom dock för att i stället göra justeringar i personuppgiftslagens bestämmelser om överföring av personuppgifter till tredje land. Inom Justitiedepartementet utarbetades därför en promemoria och departementet bjöd därefter in remissinstanserna till ett remissmöte för att diskutera förslagen i promemorian.

5. Lättnader i förbudet mot överföring av personuppgifter till tredje land

Regeringens förslag:=mßìíéèïêêáãàîíæÛáßèí=àöìÜïÞ=çéî=öðßìàöìãèá=Ûð

personuppgifter till tredje land ändras så att lydelsen ansluter närmare till motsvarande bestämmelse i EG–direktivet. Överföring till tredje land kommer härigenom inte längre att vara förbjuden om skyddsnivån i det tredje landet är adekvat.

Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter kring överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet

Promemorians förslag: Öðßìßèííîäççßì=ã=íÛå=çßÞ=ìßáßìãèáßèíK Remissinstanserna: =cöìíæÛáßî=âÛì=îãææíîóìåîí=Ûð=íå=áéîî=íéç=íÛçîæãáÛ

remissinstanser.

Socialstyrelsen har dock anfört att det kan råda viss

tveksamhet om bedömningen av regleringens konsekvenser verkligen kommer att visa sig hålla.

Sveriges industriförbund har framfört samma

synpunkt som

Socialstyrelsen med tillägget att det är angeläget att till-

lämpningen blir sådan som förutses i promemorian.

IT±kommissionen har

anfört att förslaget är djärvt och går i rätt riktning men att invändningar kan göras mot resonemanget om att överföringsförbudet kan sättas ur spel bara för att uppgifterna spritts till andra EU

±länder, som ju har en

adekvat skyddsnivå.

Posten AB och Sveriges advokatsamfund har påtalat

att det med den föreslagna lydelsen till en början kan vara svårt för en personuppgiftsansvarig att avgöra vad som är adekvat skyddsnivå.

Sveri-

ges =advokatsamfund har också efterlyst fler exemplifieringar av försla-

gets konsekvenser.

=Justitiekanslern och IT±kommissionen har framfört

liknande synpunkter.

Dataföreningen =i =Sverige har uttalat att det är en

fördel att bestämmelsen inte använder oklara begrepp som t.ex. löpande text och harmlösa uppgifter.

Datainspektionen har uttalat förståelse för

förslaget att lösa problematiken på lagnivå men påtalat att det är viktigt att hålla i minnet att de grundläggande reglerna för när en behandling är tillåten fortfarande gäller. Enligt

Domstolsverket bör tolkningen att även

en avsaknad av skydd kan anses som adekvat skyddsnivå framgå klarare av lagtexten.

IT±kommissionen har efterlyst en justering av lagtexten så

att den inte talar om adekvat skyddsnivå i ett visst land.

Svenska journa-

listförbundet har inte haft någon invändning mot förslaget som sådant

men har framhållit att det är otillräckligt.

Skælen för regeringens förslag:=aßè=èïðÛìÛèÞß=Üßíîäççßæíßè=ã=PP=§

personuppgiftslagen förbjuder överföring av personuppgifter till tredje land. I de situationer som räknas upp i 34 och 35 §§ kan undantag från förbudet göras.

Motsvarande regel om överföring till tredje land i EG–direktivet (artikel 25.1) förbjuder överföring till ett tredje land för det fall nivån för

skyddet av personuppgifter i det tredje landet inte är adekvat. En överföring till ett land som har en adekvat skyddsnivå är således tillåten.

Det är enligt regeringens mening angeläget att en överföring till ett tredje land kan äga rum om skyddsnivån är tillräcklig i det tredje landet. Det har självfallet inget egenvärde att hindra en överföring till ett tredje land om uppgifterna åtnjuter ett godtagbart skydd där.

Möjligheten att föra över personuppgifter till ett tredje land som har en adekvat skyddsnivå bör komma till uttryck i den grundläggande förbudsregeln i personuppgiftslagen. Till detta kommer att frågan är av sådan betydelse för yttrande- och informationsfrihetsintressena att en reglering under alla omständigheter bör beslutas av riksdagen och alltså ges i lagform.

Förbudet i 33 § personuppgiftslagen bör alltså förses med ett undantag för det fall att skyddsnivån i det tredje landet är adekvat.

Lagrèdet har i sak inte haft någon erinran mot lagändringarna och har

påpekat att ändringen i 33 § innebär en utformning som närmare ansluter till direktivtexten. Enligt Lagrådet kan lagändringarna vara ett bidrag till att motverka de problem som är förknippade med att tillämpa den regleringsmodell som använts i direktivet och i personuppgiftslagen men som vållar de problem som berörs i konstitutionsutskottets betänkande 1998/99:KU15 (s. 22 f.). Lagrådet har vidare anfört att dessa problem dock egentligen enbart kan lösas genom en revidering av direktivet och att detta inte kan förväntas ske inom en nära framtid. Regeringen återkommer till frågan om åtgärder för att revidera direktivet i avsnitt 7.

Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter kring överföringen. Av EG–direktivet framgår att vissa omständigheter skall tilläggas särskild vikt vid prövningen om ett tredje lands skyddsnivå är adekvat. Dessa omständigheter är uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där. Dessa omständigheter bör nämnas i den svenska lagtexten.

Frågan om en skyddsnivå i ett visst land är adekvat kan alltså bedömas på olika sätt beroende på omständigheterna i det enskilda fallet. Det kan mycket väl tänkas att ett land har adekvat skyddsnivå på vissa områden men inte på andra.

För det fall kommissionen i enlighet med det förfarande som gäller för den kommitté som inrättats enligt artikel 31 i EG–direktivet har fattat beslut om att skyddsnivån i en viss stat är adekvat har regeringen, liksom hittills, möjlighet att meddela föreskrifter med ett innehåll som återspeglar beslutet.

En uppmjukning av förbudet kan få stor betydelse för möjligheten att använda sig av Internet eller andra internationella kommunikationsnätverk. Överföringar, t.ex. i form av elektronisk post, till länder med en adekvat skyddsnivå blir tillåtna om behandlingen i sig är tillåten enligt personuppgiftslagens övriga regler.

En behandling av personuppgifter som sker genom offentliggörande på Internet blir med en reglering av det slag som regeringen föreslår tillåten om den skyddsnivå som finns i de länder dit personuppgifterna kan

överföras är adekvat. Detta gäller självfallet, som Datainspektionen också påpekat, bara under förutsättning att behandlingen uppfyller personuppgiftslagens krav i övrigt. I de allra flesta fall innebär ett offentliggörande av personuppgifter på Internet att personuppgifterna förs över till länder som helt saknar skyddsregler för hur personuppgifter får behandlas. I många fall där en behandling i form av ett offentliggörande är tillåten enligt personuppgiftslagens regler (märk särskilt 9, 10 och 13–20 §§) och där således så gott som hela befolkningen i EU- och EES–staterna och andra stater med god skyddsnivå kan ta del av personuppgifterna framstår det som föga meningsfullt att ställa upp en begränsning för personuppgifternas överföring till andra stater i världen. En sådan begränsning förefaller egendomlig eftersom uppgifterna redan är tillgängliga för 100–tals miljoner människor. Något egentligt skydd för uppgifterna skulle en sådan begränsning i varje fall inte medföra eftersom uppgiften redan fått så stor spridning. I sådana situationer kan det ofta anses finnas adekvat skyddsnivå i ett tredje land, trots en total avsaknad av skyddsregler, helt enkelt därför att något skydd inte är nödvändigt eller inte skulle ha någon reell effekt.

I sitt remissvar över Datainspektionens förslag har

PRV framfört att

EG–direktivets överföringsregler torde kräva att något slags reell skyddsnivå finns i det tredje landet för att överföring skall få ske. EG–direktivet skulle alltså uppfattas som om det kräver att en bedömning skall göras av om vissa i det tredje landet gällande regler (oavsett om det är fråga om rättsliga regler eller t.ex. självregleringsmekanismer) är adekvata eller inte. Om denna uppfattning vore riktig skulle ett offentliggörande av personuppgifter på Internet aldrig kunna ske utan samtycke av den registrerade eftersom uppgifterna blir tillgängliga i länder som helt saknar skyddsregler. EG–direktivet anger i frågan om vad som utgör en adekvat skyddsnivå i artikel 25.2 uttryckligen att särskild vikt skall läggas vid bland annat de regler för behandlingen som finns i det tredje landet. Det som i EG–direktivet kallas adekvat skyddsnivå är alltså något annat än de regler som kan gälla i ett tredje land, nämligen ett uttryck för att omständigheterna kring överföringen sammantagna skall vara sådana att personuppgifter har ett tillräckligt skydd. Det kan alltså enligt regeringens uppfattning mycket väl finnas situationer där det inte finns några skyddsregler alls i det tredje landet men skyddsnivån ändå är adekvat.

I anledning av

IT±kommissionens synpunkt om konsekvensen av sprid-

ning av personuppgifter till andra EU–länder vill regeringen understryka att överföring till andra EU–länder är möjlig, inte för att skyddsnivån där är adekvat utan för att det är en följd av EG–direktivet att personuppgifter fritt kan flöda mellan medlemsstaterna. Om en personuppgift får behandlas på ett sätt som innebär offentliggörande får den också spridas till andra EU–länder. Om uppgifterna får behandlas på ett sådant sätt avgörs av personuppgiftslagens grundläggande bestämmelser.

Lagrèdet har som redan nämnts inte haft någon erinran mot regering-

ens förslag till ändringar av lagen. Lagrådet har dock ifrågasatt om regeringens resonemang om tolkningen av EG–direktivet kommer att visa sig hållbara. Enligt regeringens uppfattning finns det emellertid ingenting i ordalydelsen av EG–direktivets överföringsregler som talar mot den tolkning som regeringen gör. Den osäkerhet rörande tolkningen som Lagrå-

det pekat på är i varje fall inte sådan att det finns anledning att avstå från lagstiftning i enlighet med regeringens förslag.

Regeringen har förståelse för synpunkten att det skulle ha behövts fler exemplifieringar för att klarlägga vad som är tillåtet och inte och för synpunkten att det kan vara svårt att av lagtexten utläsa när överföring får ske. Det måste emellertid hållas i minnet att det är EG–direktivet som utgör grunden för tolkningen av den aktuella svenska lagbestämmelsen. Denna tolkning kommer ytterst att bli beroende av vilken bedömning EG–domstolen kan komma att göra av direktivtexten. Som regeringen angett i propositionen Sveriges medlemskap i Europeiska unionen (prop. 1994/95:19, del 1 s. 529) är utrymmet för uttalanden från lagstiftarens sida till vägledning för rättstillämpningen i sådana fall begränsat. Den nationella lagstiftaren gör därför klokt i att avhålla sig från sådana uttalanden i fall där mer än en tolkning låter sig göras. Av samma skäl bör lagtextens lydelse anknyta så nära som möjligt till EG–direktivets lydelse.

Effekten av en sådan justering av överföringsförbudet som nu föreslås kan jämföras med vilka möjligheter Datainspektionens förslag hade inneburit. Enligt Datainspektionens förslag skulle en överföring kunna ske om den uppfyller de specifika krav som ställs upp i den föreslagna bestämmelsen. Motsvarande krav för möjligheten till överföring finns inte i regeringens förslag utan bedömningen av vilken skyddsnivå som krävs måste göras med beaktande av samtliga omständigheter i det enskilda fallet. Utrymmet för vilka överföringar som kan anses tillåtna är alltså betydligt större med en reglering av detta slag. Genom regeringens förslag utnyttjas också all den handlingsfrihet som finns i EG–direktivet. De invändningar som Datainspektionen framfört i sin rapport om bristande möjlighet att förutse vad som är tillåtet har i och för sig visst fog men motiverar inte att detta handlingsutrymme inte tas till vara. Behandling av personuppgifter ger upphov till så komplexa rättsliga överväganden att det är ofrånkomligt att en bedömning måste göras i varje fall för sig.

Hänvisningar till S5

  • Prop. 1999/2000:11: Avsnitt 3

6. Straffbestämmelsen i personuppgiftslagen

Regeringens =förslag:=pîìÛààÜßíîäççßæíßè=ã=êßìíéèïêêáãàîíæÛáßè=äïíJ

teras så att gärningar som är ringa inte längre är straffbara.

Promemorians förslag:=Öðßìßèííîäççßì=ã=íÛå=çßÞ=ìßáßìãèáßèíK Remissinstanserna: cöìíæÛáßî=âÛì=îãææíîóìåîí=Ûð=íÛçîæãáÛ=ìßçãííãèíîÛèJ

ser. Flera remissinstanser, däribland

Svea =hovrætt, =Datainspektionen,

Socialstyrelsen, =Posten =AB, =Statskontoret, =Sveriges =industriförbund och Svenska tidningsutgivareföreningen, har uttryckt starkt stöd för förslaget.

Skælen för regeringens förslagW=^èðäèÞèãèáßè=Ûð=ãèàéìçÛîãéèíîßåèãå

i samhället ökar snabbt. Personuppgifter behandlas i dag t.ex. på Internet i en väsentligt större omfattning än vad som var fallet för bara några år sedan. Den ökade användningen innebär naturligtvis på många sätt ökade integritetsrisker. Det finns dock överträdelser av personuppgiftslagens straffbestämmelse som i det enskilda fallet inte framstår som särskilt straffvärda.

Den ändring som föreslås i förbudet mot överföring av personuppgifter till tredje land medför också, som Datainspektionen påpekat i sin rapport, att det ibland kan vara svårt för den personuppgiftsansvarige att på förhand avgöra om en överföring är tillåten eller inte. Det kan förutses att det kommer att finnas situationer där det visar sig att den personuppgiftsansvarige gjort en felaktig bedömning men överträdelsen av överföringsförbudet inte är särskilt klandervärd. Det är angeläget att motverka sådana negativa konsekvenser.

Mot denna bakgrund bör gärningar som är ringa inte leda till straff.

Lagrèdet har beträffande effekten av den föreslagna avkriminalisering-

en uttalat att den inte påverkar det skadeståndsrättsliga ansvar som föreligger enligt lagens 48 § och som utgör en viktig sanktion vid överträdelser av personuppgiftslagens bestämmelser. Vidare har Lagrådet uttalat att det är svårt att ha någon bestämd uppfattning om i vad mån skadestånd kan utgå i de fall av överträdelser av förbudet mot överföring av personuppgifter till tredje land vilka nu föreslås bli straffria, men att redan denna tveksamhet kan motverka syftet med avkriminaliseringen.

Som Lagrådet påpekat påverkar inte den föreslagna avkriminaliseringen det skadeståndsrättsliga ansvaret enligt personuppgiftslagen. Det skadeståndsrättsliga ansvaret är väsentligt eftersom det är ett krav enligt artikel 24 i EG–direktivet att Sverige har effektiva sanktioner mot överträdelser av reglerna. Regeringen är övertygad om att den praktiska betydelsen av avkriminaliseringen är väl ägnad att motverka den tveksamhet som kan uppstå hos personuppgiftsansvariga.

I anledning av de uttalanden som gjorts av konstitutionsutskottet om vikten av intensifierade åtgärder för att åstadkomma en lagstiftning som syftar till att ingripa mot missbruk av personuppgifter snarare än mot hanteringen av sådana uppgifter är det viktigt att varje möjlighet att ta ett steg i denna riktning tas till vara. Regeringens förslag till avkriminalise-

ring innebär att lagstiftningen kommer att närma sig en missbruksinriktad regleringsmodell.

7. Framtida åtgärder för att underlätta användningen av informationsteknik

IT–kommissionen har inom det arbete som bedrivs inom det IT–rättsliga observatoriet utfört en studie över möjligheten att åstadkomma en lagstiftning för skyddet av personuppgifter enligt en s.k. missbruksmodell (Det IT–rättsliga observatoriets rapport 8/98). Studien har diskuterats vid ett seminarium i observatoriets regi.

Regeringen avser att fortsätta arbetet med att undersöka alternativa lagstiftningsmetoder. Det är dock tydligt att det i det korta eller medellånga perspektivet inte kommer att vara möjligt att fullt ut föreslå en lagstiftning som helt är inriktad på att reglera vad som utgör ett missbruk av personuppgifter. Det är helt enkelt inte möjligt att åstadkomma en lagstiftning efter en sådan modell inom EG–direktivets ram. Däremot avser regeringen att, utöver vad som nu föreslås, noga överväga vilka ytterligare inslag av en mer missbruksinriktad reglering som kan genomföras inom ramen för EG–direktivet. Regeringen kommer också att studera hur stort utrymmet är för att tillåta överföring av personuppgifter till tredje land, särskilt i samband med publicering på Internet, om den personuppgiftsansvarige ställer tillräckliga garantier till skydd för den registrerade.

Sverige har i EU–samarbetet påtalat de problem som uppmärksammats i den svenska debatten. Sverige har också tillsammans med Österrike och Storbritannien tagit initiativet till en seminarieserie där företrädare för medlemsstaterna får möjlighet att presentera sin lagstiftning och diskutera tillämpningsproblem som uppstått i de olika länderna. Seminarieserien syftar bland annat till att identifiera områden där det kan finnas ett gemensamt intresse bland medlemsstaterna för en revidering av direktivet.

Senast hösten 2001 skall kommissionen föreslå nödvändiga förändringar i direktivet. Det är regeringens föresats att använda tiden fram till dess för att främja att ett förslag till revidering läggs fram och för att öka förståelsen för de förändringar som enligt svensk uppfattning är önskvärda.

Hänvisningar till S7

  • Prop. 1999/2000:11: Avsnitt 5

8. Ekonomiska konsekvenser av förslaget

Det kan inte förutses några konsekvenser av förslaget som medför ökade kostnader för det allmänna eller för samhället i övrigt. Däremot kan förslaget antas få en positiv effekt på samhällsekonomin i och med att det ökar möjligheten att använda sig av informationsteknik för spridning av personuppgifter utomlands. Någon närmare beräkning är inte möjlig att göra.

9. Författningskommentar

33

Förbudet mot att föra över personuppgifter till tredje land har modifierats på så sätt att överföring endast är förbjuden om landet inte har en adekvat nivå för skyddet av personuppgifterna.

Enligt ett nytt andra stycke skall frågan om en skyddsnivå är adekvat bedömas mot bakgrund av samtliga omständigheter kring överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler för behandlingen som finns i det tredje landet. Andra stycket har sin motsvarighet i artikel 25.2 i EG–direktivet. I den allmänna motiveringen avsnitt 5.1 diskuteras betydelsen av uppgifternas art och ändamålet med behandlingen. Med de regler som finns för behandlingen avses vad som i EG–direktivet uttryckts som ”de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där”. Även andra regler än de rent rättsliga reglerna, t.ex. förekomsten av mekanismer för självreglering, skall övervägas vid bedömningen. Reglerna måste inte direkt ta sikte på behandlingen men åtminstone till sin praktiska effekt beröra denna. Regler kan till exempel finnas som ställer upp allmänna begränsningar för att få utöva viss yrkesverksamhet som medför att de aktuella personuppgifterna åtnjuter skydd. Den faktiska efterlevnaden av reglerna får anses ingå bland de faktorer som skall tillmätas särskild vikt.

Lagrèdet har i sitt yttrande påpekat att uttrycken ”ursprungslandet” och

”det slutliga bestämmelselandet” till skillnad mot ”tredje land” inte är definierade i lagen. Uttrycken kan enligt Lagrådet avse andra länder än Sverige och det land dit överföringen sker. Som exempel anger Lagrådet att personuppgifter kan vara hämtade till Sverige från ett land inom eller utanför EU/EES och ha sin slutliga bestämmelseort i ett fjärde land och att skyddet i såväl det första som det sista landet då skall beaktas. Det är naturligtvis av stor betydelse för skyddet av personuppgifterna hur själva dataflödet ser ut. EG–direktivet och den svenska lagen anger uttryckligen att ursprungslandet och det slutliga bestämmelselandet tillhör de faktorer som skall tillmätas särskild vikt. Ursprungslandet avser det land varifrån personuppgifterna härrör medan det slutliga bestämmelselandet avser det land till vilka personuppgifterna kommer att överföras.

De närmare gränsdragningarna om vad som i det enskilda fallet utgör adekvat skyddsnivå får avgöras i rättstillämpningen.

Det är den personuppgiftsansvarige som har bevisbördan för att skyddsnivån i det tredje landet är adekvat. En annan sak är att det i många fall inte kommer att krävas mycket för att beviskravet skall anses uppfyllt.

Paragrafens tillämpning på elektronisk post och internationella kommunikationsnätverk har kommenterats ovan i den allmänna motiveringen i avsnitt 5.1.

49

Enligt ett nytt andra stycke skall ansvar inte ådömas i ringa fall.

Vad som är ringa fall får bedömas med hänsyn till samtliga omständigheter i det enskilda fallet. Alla faktorer som uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen orsakat skall vägas in vid bedömningen av om en överträdelse är att betrakta som ringa.

Av grunderna för 5 § andra stycket lagen (1964:163) om införande av brottsbalken följer att en gärning som innebär en överträdelse av personuppgiftslagens straffbestämmelse, som begåtts före lagens ikraftträdande och som skulle ha bedömts som ringa om det nya andra stycket hade gällt då, inte skall leda till straff.

Lagrèdet har uttalat att avkriminaliseringen inte torde bli tillämplig i

de fall där datalagen skall tillämpas enligt övergångsbestämmelserna till personuppgiftslagen.

Förteckning över remissinstanser, Datainspektionens förslag

Remissyttranden över Datainspektionens rapport Personuppgifter på Internet av den 1 mars 1999 har avgetts av Riksdagens ombudsmän (JO), Svea hovrätt, Malmö tingsrätt, Kammarrätten i Göteborg, Justitiekanslern, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Överstyrelsen för civil beredskap, Socialstyrelsen, Post- och telestyrelsen, Vägverket, Kommunikationsforskningsberedningen, Posten AB, Telia AB, Statskontoret, Riksrevisionsverket, Humanistisk–samhällsvetenskapliga forskningsrådet, Juridiska fakultetsnämnden vid Stockholms universitet, Riksarkivet, Patent- och registreringsverket, Lantmäteriverket, Stockholms kommun, Jönköpings kommun, Malmö kommun, Göteborgs kommun, Umeå kommun, Stockholms läns landsting, Svenska Kommunförbundet, Landstingsförbundet, Sveriges advokatsamfund, Sveriges industriförbund, Företagarnas riksorganisation, Sveriges Radio AB, Sveriges Television AB, Tjänstemännens centralorganisation (TCO), Sveriges Akademikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO), Svenska Arbetsgivareföreningen, Svenska journalistförbundet, Svenska tidningsutgivareföreningen, Dataföreningen i Sverige, Föreningen Grävande Journalister, Svenska IT–företagens organisation, BitoS, Ungdomsstyrelsen, Claes Tullbrink, Anders Björngreen och Jacob Palme.

Promemorians lagförslag

Förslag till lag om ändring i personuppgiftslagen (1998:204)

Härigenom föreskrivs att 33 och 49 §§personuppgiftslagen (1998:204) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

33 §

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling

om landet inte

har en adekvat nivè för skyddet av personuppgifter. =Förbudet gäller

också överföring av personuppgifter för behandling i tredje land.

Frègan =om =en =skyddsnivè =ær adekvat skall bedömas med hænsyn till =samtliga =omstændigheter =som har =samband =med =överföringen. Særskild vikt skall læggas vid uppgiftens =art, =ændamèlet =med =behandlingen, hur længe behandlingen =varar, =ursprungslandet, =det slutliga bestæmmelselandet och de regler som finns för behandlingen i det tredje landet.

49 §

Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet

a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,

b) behandlar personuppgifter i strid med 13–21 §§,

c) för över personuppgifter till tredje land i strid med 33–35 §§, eller

d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §.

I =ringa =fall =av =brott =mot =första stycket döms inte till ansvar.

Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.

Denna lag träder i kraft den 1 december 1999.

Förteckning över remissinstanser, Promemorians förslag

Remissyttranden över Justitiedepartementets promemoria av den 1 juni 1999 har avgetts av: Svea hovrätt, Justitiekanslern, Domstolsverket, Rikspolisstyrelsen, Datainspektionen, Socialstyrelsen, Post- och telestyrelsen, Vägverket, Posten AB, Telia AB, Statskontoret, Riksarkivet, Patent- och registreringsverket, Landstingsförbundet, Sveriges advokatsamfund, Sveriges industriförbund, Tjänstemännens centralorgansiation (TCO), Svenska Arbetsgivareföreningen, Svenska journalistförbundet, Svenska tidningsutgivareföreningen, Dataföreningen i Sverige, Svenska IT-företagens organisation, BitoS och IT–kommisssionen.

Följande remissinstanser har beretts tillfälle men avstått från att yttra sig över promemorian: Riksdagens ombudsmän (JO), Malmö tingsrätt, Kammarrätten i Göteborg, Riksåklagaren, Juridiska fakultetsnämnden vid Stockholms universitet, Svenska Kommunförbundet, Sveriges Radio AB, Sveriges Television AB, Sveriges Akademikers Centralorganisation (SACO), Landsorganisationen i Sverige (LO), Föreningen Grävande Journalister och Tele 2 AB.

Lagrådsremissens lagförslag

Förslag till lag om ändring i personuppgiftslagen (1998:204)

Härigenom föreskrivs att 33 och 49 §§personuppgiftslagen (1998:204) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

33 §

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

Det är förbjudet att till tredje land föra över personuppgifter som är under behandling

om landet inte

har en adekvat nivè för skyddet av personuppgifterna. Förbudet gäller

också överföring av personuppgifter för behandling i tredje land.

Frègan =om =en =skyddsnivè =ær adekvat skall bedömas med hænsyn till =samtliga =omstændigheter =som har =samband =med =överföringen. Særskild vikt skall læggas vid uppgiftens =art, =ændamèlet =med =behandlingen, hur længe behandlingen =varar, =ursprungslandet, =det slutliga bestæmmelselandet och de regler som finns för behandlingen i det tredje landet.

49 §

Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet

a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,

b) behandlar personuppgifter i strid med 13–21 §§,

c) för över personuppgifter till tredje land i strid med 33–35 §§, eller

d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §.

Ansvar =för =en =gærning =enligt första stycket skall inte dömas ut i ringa fall.

Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.

Denna lag träder i kraft den 1 december 1999.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 1999-09-10

Nærvarande: =àKÞK=äïíîãîãßìåÞßî=iÛìí=ÅK=_ßÝåçÛèI=ìßáßìãèáíìåÞßî

Susanne Billum, justitierådet Göran Regner.

Enligt en lagrådsremiss den 17 juni 1999 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i personuppgiftslagen (1998:204).

Förslaget har inför Lagrådet föredragits av hovrättsassessorn Klas Reinholdsson.

Förslaget föranleder följande yttrande av Lagrådet:

De föreslagna lagändringarna syftar till att underlätta användningen av modern informationsteknik. De innebär dels att förbudet i 33 § personuppgiftslagen mot överföring av personuppgifter till land utanför EU/EES mjukas upp, dels att ansvar för brott mot bl.a. detta förbud inte skall ådömas i ringa fall. I sak har Lagrådet i och för sig ingen erinran mot lagändringarna, som beträffande 33 § innebär en utformning som närmare ansluter sig till artikel 25 i EG:s direktiv om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Lagändringarna kan vara ett bidrag till att motverka de problem som är förknippade med att tillämpa den regleringsmodell som används i direktivet och i personuppgiftslagen men som vållar de problem som berörs i konstitutionsutskottets betänkande 1998/99:KU15 (s. 22 f.). Dessa problem kan dock egentligen lösas enbart genom en revidering av direktivet vilken inte kan förväntas ske inom en nära framtid.

Lagrådet vill vidare anföra följande med anledning av förslaget.

33 §

Det framgår av förarbetena till personuppgiftslagen att det nuvarande förbudet mot överföring av personuppgifter till tredje land (dvs. ett land utanför EU/EES) var avsett att bli kompletterat med föreskrifter av regeringen eller Datainpektionen om undantag från förbudet mot överföring utöver dem som finns i lagens 34 §, se 35 § första stycket och prop. 1997/98:44 s. 96. Några sådana föreskrifter av allmän karaktär har emellertid inte meddelats. I den mån sådana undantagsföreskrifter inte skulle vara mera utförliga och ha större konkretion än vad som nu föreslås som ändringar i 33 §, är det en fördel att reglerna tas in i själva lagen med hänsyn till bl.a. att många enskilda personer och företag skall tillämpa reglerna.

En fråga som kan ställas med anledning av lagförslaget är vilken praktisk betydelse ändringen i 33 § får. För den enskilde kommer det att vara svårt att bedöma om förbudet i sin nya utformning gäller eller inte, när det är fråga om att t.ex. lägga ut personuppgifter på en webbplats som är allmänt tillgänglig på Internet. En sådan åtgärd medför att uppgifterna blir tillgängliga i hela världen och därmed kan anses överförda till alla länder. Huruvida alla länder då har en adekvat skyddsnivå ter sig nästan omöjligt att veta, särskilt som också den faktiska efterlevnaden av befintliga regler i länderna skall tas med i bedömningen. En tanke som avspeglas i remissen är att vissa uppgifter kan vara av sådan beskaffenhet att de normalt framstår som så harmlösa att det inte har någon betydelse om det finns något skydd alls. En sådan tanke ter sig dock svårförenlig med de ganska höga krav på skydd för alla slags personuppgifter som direktivet ställer. Det ter sig med hänsyn till direktivet också diskutabelt att, som görs i remissen, hävda att personuppgifter får överföras till ett land utanför EU/EES därför att uppgifterna görs offentliga inom EU/EES–området och därmed får sådan spridning inom detta att skyddet mot överföring till tredje land inte skulle få någon reell effekt.

Lagändringen kan innebära att enskilda inte anser sig med tillräcklig säkerhet kunna avgöra om en avsedd överföring till tredje land är tillåten enligt 33 § i dessa nya lydelse och därför avstår. Å andra sidan kanske paragrafen inte efterlevs därför att den uppfattas som en orealistiskt hämsko på kommunikationen via bl.a. Internet.

Det kan visserligen sägas att den föreslagna ändringen i 49 § som innebär att ringa fall av överträdelser av förbudet i 33–35 §§ blir straffria minskar den tvekan som enskilda kan ha angående en tillämnad överförings tillåtlighet. Den föreslagna avkriminaliseringen påverkar emellertid inte det skadeståndsrättsliga ansvar som föreligger enligt lagens 48 § och som utgör en viktig sanktion vid överträdelser av personuppgiftslagens bestämmelser (se a. prop. s. 105 ff.). I vad mån skadestånd kan utgå i de fall av överträdelser av förbudet mot överföring av personuppgifter till tredje land vilka nu föreslås bli straffria är svårt att ha någon bestämd uppfattning om, men redan denna tveksamhet kan motverka syftet med avkriminaliseringen.

I det nya andra stycket i 33 § används uttrycken ”ursprungslandet” och ”det slutliga bestämmelselandet”. De återfinns i artikel 25.2 i EG:s direktiv, men de är till skillnad mot ”tredje land” inte definierade i lagen. Uttrycken kan avse andra länder än Sverige och det land dit överföringen sker. Så t.ex. kan personuppgifter vara hämtade till Sverige från ett land inom eller utanför EU/EES och ha sin slutliga bestämmelseort i ett fjärde land. Skyddet i såväl det första som det sista landet skall då beaktas.

49 §

Utöver vad som sagts under 33 § kan anmärkas att den föreslagna avkriminaliseringen i ringa fall inte torde bli tillämplig i den situationen att personuppgifter överförts till tredje land, inte i strid med 3335 §§personuppgiftslagen, utan i strid med 11 § datalagen som enligt övergångsbestämmelserna till personuppgiftslagen alltjämt är tillämplig i fråga om behandling av personuppgifter som påbörjats före den 24 oktober 1998. I vissa fall kan det vara svårt att avgöra vilken av lagarna som är tillämplig på en överföring och därmed vilka ”ringa fall” som är straffria. Beträffande de förmodligen inte så få fall där den gamla lagen skall tilllämpas ännu cirka två år, inträder inte den lättnad i regelverket som nu föreslås genom avkriminalisering i ringa fall.

Det nya andra stycket avser alla de gärningar som räknas upp i första stycket, dvs. också andra överträdelser än otillåten överföring av personuppgifter till tredje land. I remissen berörs inte vilka konsekvenser avkriminaliseringen får för dessa andra fall. Så t.ex. behandlas inte i vilken mån avkriminaliseringen kan anses förenlig med direktivets krav i artikel 24 på effektiva sanktioner vid överträdelser av de bestämmelser som har antagits för att genomföra direktivet. Såvitt Lagrådet kan bedöma hindrar dock inte direktivet den föreslagna avkriminaliseringen, även om denna omfattar också överträdelser där skadeståndsansvar enligt 48 § personuppgiftslagen inte kommer i fråga.

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 7 oktober 1999.

Närvarande: statsrådet Hjelm-Wallén, ordförande, och statsråden Freivalds, Thalén, Winberg, Ulvskog, Lindh, Sahlin, von Sydow, Klingvall, Pagrotsky, Messing, Engqvist, Rosengren, Larsson, Wärnersson, Lejon, Lövdén, Ringholm

Föredragande: statsrådet Lejon

Regeringen beslutar proposition 1999/2000:11 Personuppgiftslagens överföringsregler.