Prop. 2017/18:107

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 22 februari 2018

Ardalan Shekarabi

Magnus Bengtson (Finansdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås lagändringar inom delar av Finansdepartementets ansvarsområde, bl.a. avseende den officiella statistiken, med anledning av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen ersätter Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som i Sverige har genomförts genom personuppgiftslagen (1998:204) och ett stort antal specifika författningar med särskilda bestämmelser om behandling av personuppgifter inom särskilda områden.

Lagändringarna föreslås träda i kraft den 25 maj 2018, vilket är samma dag som dataskyddsförordningen ska börja tillämpas.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. lag om ändring i kasinolagen (1999:355),

2. lag om ändring i lagen (2001:99) om den officiella statistiken,

3. lag om ändring i lagen (2006:378) om lägenhetsregister,

4. lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna,

5. lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980,

6. lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning,

7. lag om upphävande av lagen (1989:329) om en folk- och bostadsräkning år 1990.

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag om ändring i kasinolagen (1999:355)

Härigenom föreskrivs i fråga om kasinolagen (1999:355)

dels att 7 § ska upphöra att gälla,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

3 a §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

2.2. Förslag till lag om ändring i lagen (2001:99) om den officiella statistiken

Härigenom föreskrivs i fråga om lagen (2001:99) om den officiella statistiken

dels att 18 och 23 §§ ska upphöra att gälla,

dels att rubriken närmast före 23 § ska utgå,

dels att 1, 2, 5, 14, 15 och 26 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 15 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §1

Denna lag innehåller bestämmelser om officiell statistik. Regeringen meddelar föreskrifter om vilka myndigheter som ansvarar för officiell statistik (statistikansvariga myndigheter).

Bestämmelserna i 14, 15 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.

Bestämmelserna i 14–16 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.

2 §

Personuppgiftslagen (1998:204) gäller vid framställning av statistik i den mån det inte finns avvikande bestämmelser i denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av

1 Senaste lydelse 2013:945.

denna lag eller föreskrifter som har meddelats i anslutning till lagen.

5 §2

Den officiella statistiken ska framställas och offentliggöras med beaktande av behovet av skydd för fysiska och juridiska personers intressen.

Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot kränkning av enskilds personliga integritet genom behandling av personuppgifter finns i personuppgiftslagen (1998:204) .

14 §

En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig enligt personuppgiftslagen (1998:204).

En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig.

Behandling av personuppgifter får omfatta uppgift om personnummer.

Trots vad som anges i första stycket kan en statistikansvarig myndighet vara personuppgiftsbiträde åt en annan statistikansvarig myndighet.

15 §

Personuppgifter som avses i 13 § och 21 § första stycket person-uppgiftslagen (1998:204)får behandlas om det följer av föreskrifter som regeringen meddelar.

Personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 i EU:s dataskyddsförordning får behandlas om det följer av föreskrifter som regeringen meddelar.

Vid framställning av annan statistik än officiell statistik får personuppgifter enligt första stycket också behandlas om behandlingen

1. är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den

2 Senaste lydelse 2009:490. Ändringen innebär att tredje stycket tas bort.

risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära, eller

2. ingår i ett forskningsprojekt och behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

15 a §

Artiklarna 16 och 18 i EU:s dataskyddsförordning om rätten till rättelse och rätten till begränsning av behandling av personuppgifter gäller inte vid behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

26 §

Den som bryter mot 6 § skall dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalkeneller person-uppgiftslagen (1998:204). I ringa fall döms inte till ansvar.

Den som bryter mot 6 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall döms det inte till ansvar.

Denna lag träder i kraft den 25 maj 2018.

2.3. Förslag till lag om ändring i lagen (2006:378) om lägenhetsregister

Härigenom föreskrivs i fråga om lagen (2006:378) om lägenhetsregister

dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 2 och 4 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

Den statliga lantmäterimyndigheten ska för de ändamål som anges i 5 § föra ett lägenhetsregister.

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i lägenhetsregistret, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen .

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1 Senaste lydelse 2008:539.

4 §2

Den statliga lantmäterimyndigheten är personuppgiftsansvarigt enligt personuppgiftslagen (1998:204) för lägenhetsregistret.

Den statliga lantmäterimyndigheten är personuppgiftsansvarig för lägenhetsregistret.

Begränsning av behandling av personuppgifter

9 a §

Artikel 18 i EU:s dataskyddsförordning om rätten till begränsning av behandling av personuppgifter gäller inte vid behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse 2008:539.

2.4. Förslag till lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna

Härigenom föreskrivs att 5 § lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i per-sonuppgiftslagen (1998:204).

Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna lag träder i kraft den 25 maj 2018.

2.5. Förslag till lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980

Härigenom föreskrivs att lagen (1979:217) om allmän folk- och bostadsräkning år 1980 ska upphöra att gälla den 25 maj 2018.

2.6. Förslag till lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning

Härigenom föreskrivs att lagen (1984:531) om 1985 års folk- och bostadsräkning ska upphöra att gälla den 25 maj 2018.

2.7. Förslag till lag om upphävande av lagen (1989:329) om en folk- och bostadsräkning år 1990

Härigenom föreskrivs att lagen (1989:329) om en folk- och bostadsräkning år 1990 ska upphöra att gälla den 25 maj 2018.

3. Ärendet och dess beredning

Den nuvarande allmänna regleringen om behandling av personuppgifter inom EU har sin grund i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Denna lag är subsidiär i förhållande till andra lagar och förordningar och kompletteras av ett stort antal s.k. registerförfattningar.

Den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta dataskyddsdirektivet – Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordningen antogs i april 2016 efter fyra års förhandlingar. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen baseras till stor del på dataskyddsdirektivet, men innehåller också ett antal nyheter.

Dataskyddsförordningen kommer att utgöra grunden för den generella personuppgiftsbehandlingen inom EU. Att det är en förordning innebär att reglerna kommer att vara direkt tillämpliga och gälla på samma sätt i alla EU:s medlemsstater. Detta innebär också att PUL och den tillhörande personuppgiftsförordningen (1998:1191), samt de föreskrifter som Datainspektionen meddelat i anslutning till denna reglering, måste upphävas. Dataskyddsförordningen lämnar dessutom utrymme för kompletterande nationella bestämmelser med ytterligare krav eller undantag.

Regeringen tillsatte mot denna bakgrund Dataskyddsutredningen, som gavs i uppdrag att föreslå anpassningar och kompletterande författningsbestämmelser på generell nivå. Syftet med utredningen var att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling på plats när förordningen börjar tillämpas (dir. 2016:15). Utredningen redovisade sitt uppdrag i betänkandet Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). Regeringen har i propositionen Ny dataskyddslag (prop. 2017/18:105) lämnat lagförslag som huvudsakligen överensstämmer med utredningens förslag.

Utöver den översyn av det generella regelverket som gjorts av Dataskyddsutredningen behöver en översyn även göras av de sektorsspecifika författningarna. Bland det mest uppenbara är att hänvisningar som i dag görs till PUL behöver ändras. Därutöver behöver en genomgång göras av författningarna för att säkerställa att regleringen är förenlig med den nya dataskyddsförordningen.

Statistiska centralbyrån (SCB) har till regeringen inkommit med en hemställan om ändringar i lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken (Fi2017/02207/SFÖ). Även Brottsförebyggande rådet har inkommit med en skrivelse om behovet av att behandla känsliga personuppgifter vid vissa

undersökningar (Ju2017/05725/KRIM). Riksrevisionen har vidare i sin granskningsrapport Tillgänglighet till SCB:s registerdata – en fråga om prioriteringar (RiR 2017:14) funnit att bristande tillgänglighet till SCB:s registerdata försvårar forskning och utveckling. Bland annat bedöms de komplexa regelverken som omger registerdata bidra till att utlämnandeprocessen tar lång tid och kan uppfattas som godtycklig.

Mot denna bakgrund har promemorian Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform (Ds 2017:40) tagits fram i Regeringskansliet. I promemorian görs en inventering av de författningar som reglerar personuppgiftsbehandlingar inom Finansdepartementets område, dock inte författningar på finansmarknads-, skatte-, tull-, eller exekutionsområdet. Vidare behandlas inte förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte. Behovet av ändringar i denna förordning kommer övervägas i samband med beredningen av förslagen i betänkandet digitalforvaltning.nu (SOU 2017:23). Utöver anpassningar till den nya EU-rättsliga regleringen lämnas förslag till vissa andra ändringar för att underlätta tillämpningen av regelverket.

En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Finansdepartementet (Fi2017/03287/ESA).

Lagrådet

Regeringen beslutade den 25 januari 2018 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådets förslag behandlas i författningskommentaren. Regeringen följer Lagrådets förslag.

Hänvisningar till S3

4. Nuvarande reglering

Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet har, i enlighet med vad som ovan anförts, genomförts i svensk rätt huvudsakligen genom PUL. Grundläggande bestämmelser om den personliga integriteten, bl.a. avseende den enskildes privat- och familjeliv, finns vidare i regeringsformen (RF). Skyddet för den personliga integriteten stärktes den 1 januari 2011 genom ikraftträdandet av ett nytt andra stycke i 2 kap. 6 § RF. Regleringen innebär att var och en och gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får under vissa omständigheter enligt 2 kap. 20 och 21 §§ RF begränsas genom lag.

PUL syftar till att skydda enskilda individer mot att deras personliga integritet kränks genom helt eller delvis automatiserad behandling av

personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Lagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff.

Av de grundläggande kraven på behandling av personuppgifter följer bl.a. att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Om de grundläggande kraven är uppfyllda får personuppgifter enligt huvudregeln bara behandlas om den registrerade lämnar sitt samtycke till det. Det finns dock flera undantag från denna huvudregel, t.ex. om behandlingen är nödvändig vid myndighetsutövning, när en arbetsuppgift av allmänt intresse ska utföras, för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, för att ett avtal med den registrerade ska kunna fullgöras eller efter en intresseavvägning.

För behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. gäller särskilda regler (13 och 21 §§ PUL). Känsliga personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Huvudregeln är att det är förbjudet att behandla uppgifter av detta slag. Från förbudet finns en rad undantag. Känsliga personuppgifter får behandlas om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt själv offentliggjort uppgifterna, eller om det är nödvändigt för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, för att skydda den registrerades eller någon annans vitala intressen eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Undantag görs också för behandling inom ideella organisationer och hälso- och sjukvården samt för ändamål som rör forskning och statistik. Undantaget för forskning gäller om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor och för statistik om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Som huvudregel är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet regeringen bestämmer får dock meddela föreskrifter om undantag från huvudregeln och i enskilda fall även besluta om undantag från denna.

PUL är subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning (2 §). Det finns en stor mängd sådana bestämmelser i särskilda registerförfattningar och i författningar som primärt inte reglerar behandling av personuppgifter.

5. Nya förutsättningar

Även om EU:s dataskyddsförordning, i enlighet med vad som anförts i avsnitt 3, blir direkt tillämplig i medlemsstaterna både förutsätter och möjliggör förordningen kompletterande nationella bestämmelser av olika slag. Vidare klargör skäl 8 till förordningen att medlemsstaterna kan införliva delar av den i nationell rätt i den utsträckning som det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som bestämmelserna ska tillämpas på.

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innehåller också nya bestämmelser.

Med personuppgifter avses enligt artikel 4 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en s.k. identifierare, t.ex. ett namn, ett identifikationsnummer, en lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

För bolag, myndigheter och andra organisationer som samlar in personuppgifter medför förordningen vissa förändringar. Den innebär bl.a. strängare krav på att personuppgiftsansvariga ska informera om hur de hanterar enskildas personuppgifter, utförligare regler om rätten att få uppgifter raderade och att enskilda i vissa situationer ska kunna säga nej till att en myndighet eller ett bolag använder deras personuppgifter.

För att behandling av personuppgifter ska vara laglig krävs att ett av villkoren i artikel 6.1 a–f i dataskyddsförordningen är uppfyllda:

a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

En skillnad mot dataskyddsdirektivet är att offentliga myndigheter inte kommer att kunna behandla personuppgifter med stöd av en sådan intresseavvägning som avses i artikel 6.1 f (motsvarande artikel 7 f i dataskyddsdirektivet). Utöver kravet på rättslig grund i artikel 6 innehåller

artikel 5 ett antal principer som ska gälla vid behandling av personuppgifter. Bland annat uppställs krav på att uppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar vissa kategorier av personuppgifter är förbjuden. De personuppgifter som avses är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer eller uppgifter som rör hälsa eller sexualliv eller sexuella läggning. Ett motsvarande förbud finns i PUL, men detta omfattar inte sexuell läggning och genetiska eller biometriska uppgifter (13 § PUL). Förbudet är förenat med ett antal direkt tillämpliga undantag (se artikel 9.2–9.4 i förordningen, jfr 15–19 §§ PUL). För att vissa av undantagen ska vara tillämpliga krävs dock att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller i nationell rätt. Regeringen har i propositionen Ny dataskyddslag föreslagit att vissa generella bestämmelser ska införas i dataskyddslagen om bl.a. nödvändig behandling av känsliga personuppgifter.

I artikel 9.2 j i dataskyddsförordningen anges att förbudet mot behandling av känsliga personuppgifter under vissa förutsättningar inte gäller om behandlingen är nödvändig för bl.a. statistiska ändamål i enlighet med artikel 89.1

Artikel 10 i dataskyddsförordningen reglerar personuppgiftsbehandling som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 (jfr 21 § PUL). Sådana uppgifter får endast behandlas under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter vidtagits. Formuleringen ”under kontroll av en myndighet” finns även i dataskyddsdirektivet och har i svensk rätt tolkats som att förbud ska gälla för andra än myndigheter att behandla berörda personuppgifter (prop. 1997/98:44 s. 75). Dataskyddsförordningen medger att det i nationell rätt föreskrivs att även andra ska få behandla sådana personuppgifter som avses i artikel 10, under förutsättning att lämpliga skyddsåtgärder vidtas.

Hänvisningar till S5

  • Prop. 2017/18:107: Avsnitt 9.2

6. Särskilt om personuppgiftsbehandlingar för statistiska ändamål

Hänvisningar till S6

  • Prop. 2017/18:107: Avsnitt 8.6.1

6.1. Vad är statistik och officiell statistik?

Med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Även resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns ofta statistik. I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den

insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Statistiska resultat kan i sin tur användas för olika ändamål, bl.a. vetenskapliga forskningsändamål. Statistiska resultat består inte av personuppgifter, utan av aggregerade personuppgifter, och ska inte resultera i att uppgifterna används till stöd för åtgärder eller beslut som avser en särskild fysisk person (se skäl 162 i dataskyddsförordningen).

Behandling av personuppgifter för statistiska ändamål förekommer inom såväl den offentliga som den privata sektorn, både som en självständig verksamhet och som en uppföljande åtgärd till annan verksamhet. Om statistikverksamheten inte är reglerad särskilt gäller i dag PUL för behandlingen av personuppgifter. Statistiska undersökningar kan också utgöra en integrerad del av ett forskningsprojekt. Regeringen har i propositionen Ny dataskyddslag gjort bedömningen att sådan behandling av personuppgifter som sker under forskarens ansvar bör prövas utifrån de bestämmelser som gäller vid behandling för forskningsändamål (prop. 2017/18:105 s. 124).

Viss statistik har sådan grundläggande betydelse för allmän information, utredningsverksamhet och forskning att den i Sverige utgör s.k. officiell statistik, vilket innebär att den omfattas av en särskild reglering i lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Den officiella statistiken ska enligt denna reglering vara objektiv och allmänt tillgänglig samt framställas utifrån vetenskapliga metoder. Statistikprodukterna ska innehålla en redogörelse för vilken kvalitet som statistiken uppfyller. Vad som är officiell statistik och vilken myndighet som ansvarar för den anges i bilagan till förordningen om den officiella statistiken.

6.2. Särskilda bestämmelser om registrerades rättigheter vid personuppgiftsbehandling för statistikändamål

I PUL finns ett antal generella bestämmelser om rättigheter för den registrerade – dvs. den som personuppgifterna avser – som ska tillämpas vid framställning av statistik, i den mån det inte finns avvikande bestämmelser i annan lag eller författning. Det rör sig bl.a. om den registrerades rätt till information och rättelse av uppgifter. I lagen och förordningen om den officiella statistiken finns ett fåtal särskilda rättigheter för den registrerade, och undantag från dessa, som således gäller i stället för den generella regleringen i PUL.

Enligt 16 § lagen om den officiella statistiken, som endast avser uppgifter som använts för officiell statistik, finns möjlighet att lämna ut uppgifter av detta slag med löpnummer, under förutsättning att uppgifterna ska användas för forskning eller statistik. I dessa fall finns skyldigheter för den statistikansvariga myndigheten att vidta åtgärder för att bl.a. rätta felaktiga uppgifter, samtidigt som mottagaren inte behöver uppfylla vissa skyldigheter som anges i PUL, nämligen skyldighet att lämna information till den registrerade eller att på begäran rätta, blockera eller utplåna uppgifter.

I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för statistiska ändamål. Enligt artikel 5.1 b gäller t.ex. att vidarebehandling av personuppgifter för sådana ändamål inte ska anses oförenlig med de ursprungliga ändamålen. Om uppgifterna enbart kommer att behandlas för statistiska ändamål får dessa enligt artikel 5.1 e vidare lagras under en längre tid än vad som normalt gäller. Bestämmelserna i artikel 5 är direkt tillämpliga, och kräver därmed inga nationella författningsåtgärder, och utgår från att lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med artikel 89.1.

I artikel 14.1–4 i dataskyddsförordningen finns bestämmelser om den personuppgiftsansvariges informationsplikt när personuppgifter inte har erhållits från den registrerade. Dessa bestämmelser ska enligt artikel 14.5 b inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vid behandling för bl.a. statistiska ändamål i enlighet med artikel 89.1. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. På motsvarande sätt anges i artikel 17.3 d att rätten att få uppgifter raderade inte gäller i den utsträckning som uppgifterna behövs för sådan behandling som är nödvändig för bl.a. statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten att få uppgifter raderade sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

Artikel 89 i dataskyddsförordningen ställer krav på skyddsåtgärder vid behandling för bl.a. statistikändamål, men ger också medlemsstaterna möjlighet till relativt omfattande undantag från flera av de rättigheter som annars tillkommer den registrerade. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering, dvs. att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, iakttas. Dessa åtgärder får inbegripa s.k. pseudonymisering, vilket innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att ändamålen kan uppfyllas på det sättet.

Enligt artikel 89.2 i dataskyddsförordningen får vid behandling för bl.a. statistiska ändamål undantag göras från de registrerades rätt att få bekräftelse på om personuppgifter rörande honom eller henne behandlas och rätten till bl.a. registerutdrag, att få felaktiga personuppgifter rättade, att under vissa förutsättningar kräva att behandlingen begränsas samt att göra invändningar (se artikel 15, 16, 18 och 21), under förutsättning att vissa villkor uppfylls och skyddsåtgärder vidtas. Detta får dock bara göras i den utsträckning som rättigheterna sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de aktuella ändamålen och att undantagen krävs för att uppnå dessa ändamål.

Utöver den särskilda regleringen för vissa ändamål i artikel 89 finns också en generell möjlighet enligt artikel 23 att under vissa förutsättningar begränsa tillämpningsområdet för ett stort antal av förordningens stadgade skyldigheter och rättigheter. En sådan begränsning ska dock bl.a. ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna samt utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.

Hänvisningar till S6-2

  • Prop. 2017/18:107: Avsnitt 8.4, 9.2

7. Generella utgångspunkter

7.1. Kravet på särskilt författningsstöd för behandling av personuppgifter i den offentliga sektorn

Regeringens bedömning: Kravet på rättsligt stöd i EU:s dataskyddsförordning innebär inga ytterligare begränsningar för svenska myndigheters generella rätt att behandla personuppgifter jämfört med gällande rätt.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Samtliga remissinstanser, utom Datainspektionen, instämmer i eller har inte något att invända mot bedömningen. Datainspektionen anser att utgångspunkten i promemorian inte ger ett korrekt resultat eftersom denna inte utgår från förordningen som primär rättskälla och mot bakgrund av den bedömer vilken lagstiftning som både kan införas för att precisera tillämpningen av dataskyddsförordningen, alternativt krävs för att ge stöd för den behandling som pågår i dag. Detta innebär en risk för att sådan behandling av personuppgifter som genomförs i dag inte kommer kunna utföras när förordningen börjar tillämpas samt för att vissa normkonflikter inte fångas upp. Myndigheten anför vidare att när frågan om rättslig grund utifrån artikel 6 behandlas i promemorian görs inte några analyser av hur nu gällande bestämmelser uppfyller de krav på tydlighet, precisering, förutsägbarhet och proportionalitet som följer av artikel 5 och skäl 41 i förordningen. Det finns därför enligt myndigheten inte tillräckligt stöd för bedömningen att det i nationell rätt finns en fastställd rättslig grund som uppfyller dataskyddsförordningens krav.

Skälen för regeringens bedömning: I artikel 6 i dataskyddsförordningen anges grunderna för när behandling av personuppgifter är laglig.

Till skillnad från regleringen i det tidigare dataskyddsdirektivet och PUL tillåter, i enlighet med vad som anförts i avsnitt 5, förordningen inte att myndigheter behandlar personuppgifter med stöd av en intresseavvägning till förmån för den personuppgiftsansvariges eller tredje parts berättigade intresse när de fullgör sina uppgifter (artikel 6.1 andra stycket). Myndigheter behöver således kunna stödja sin behandling på någon av de grunder som anges i artikel 6.1 a–e. För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den också vara nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden. Som regeringen har konstaterat i propositionen Ny dataskyddslag har nödvändighetskravet inte ansetts utgöra ett krav på att det utan behandlingen skulle vara omöjligt att fullgöra en förpliktelse eller utföra en uppgift; effektivitetsvinster kan vara tillräckliga för att behandlingen ska anses nödvändig (prop. 2017/18:105 s. 46).

De statliga och kommunala myndigheternas personuppgiftsbehandling kan till stor del antas ske med stöd av den rättsliga grund som anges i artikel 6.1 e i dataskyddsförordningen, dvs. behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Även de övriga grunderna i artikel 6.1

kan dock aktualiseras i en inte obetydlig utsträckning, t.ex. grunden i artikel 6.1 c, som möjliggör sådana behandlingar som är nödvändiga för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Det bör också framhållas att en och samma behandling kan vara tillåten enligt flera grunder.

Enligt artikel 6.3 måste grunden för behandling av personuppgifter som bygger på någon av de rättsliga grunderna i artikel 6.1 c och e fastställas i unionsrätten eller den nationella rätten. Regeringen har i propositionen Ny dataskyddslag bedömt att med grunden för behandlingen avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen (prop. 2017/18:105 s. 49). Detta innebär att varje enskild behandling inte behöver regleras särskilt för att vara tillåten.

För närvarande sker myndigheternas behandling av personuppgifter till viss del med stöd av bestämmelser i särskilda registerförfattningar, men även i stor utsträckning enbart med stöd av den generella regleringen i PUL, t.ex. 10 § b, c och d PUL. Enligt de sistnämnda bestämmelserna får personuppgifter behandlas utan att samtycke från den registrerade föreligger, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet, vitala intressen för den registrerade ska kunna skyddas eller för att en arbetsuppgift av allmänt intresse ska kunna utföras.

När det gäller dataskyddsförordningens krav på rättsligt stöd för behandling som enbart stödjer sig på artikel 6.1 c eller e kan för svensk del konstateras att myndigheter är förhindrade att agera utanför sitt uppdrag, vilket ytterst regleras genom legalitetsprincipen i 1 kap. 1 § tredje stycket RF. All verksamhet hos statliga myndigheter ska således ha stöd i rättsordningen, oavsett om en uppgift regleras genom lag, förordning eller ett beslut. Motsvarande gäller även för kommuner och landsting (se t.ex. 2 kap. 1 § kommunallagen [2017:725]).

Syftet med regeringens förslag har varit att göra de ändringar i författningarna som är nödvändiga för att den nationella regleringen inte ska komma i konflikt med regleringen på EU-nivå. Regeringen bedömer att den översyn som gjorts och de ändringar som föreslås är tillräckliga för att undvika sådana konflikter som Datainspektionen påtalar. När det gäller Datainspektionens önskemål om ytterligare analys kan konstateras att artikel 5 i förordningen i stora drag motsvarar artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL. Kraven i skäl 41 till förordningen att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsebar är ett uttryck för legalitetsprincipen och utgör inte heller någon nyhet inom svensk lagstiftning. Kravet på proportionalitet finns i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) som inkorporerats i svensk rätt. Enligt 2 kap. 19 § RF får lagar och andra föreskrifter inte meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Regeringen bedömer sammanfattningsvis att de överväganden som Datainspektionen efterlyser redan har gjorts avseende de aktuella regleringarna. De bedömningar som då gjordes kvarstår alltjämt i dag.

Mot denna bakgrund bedöms kravet på rättsligt stöd i dataskyddsförordningen i praktiken inte innebära några begränsningar för myndigheters

generella rätt att behandla personuppgifter utöver vad som redan gäller i dag.

Hänvisningar till S7-1

7.2. Hänvisningar till dataskyddsförordningen

Regeringens förslag: Bestämmelser om personuppgiftslagens tillämplighet i lagen om den officiella statistiken och lagen om lägenhetsregister ska ersättas med upplysningsbestämmelser om EU:s dataskyddsförordning. Av lagarna ska det framgå att de kompletterar dataskyddsförordningen samt att även den föreslagna dataskyddslagen gäller vid behandling av personuppgifter om inte annat följer av de särskilda författningarna. Andra hänvisningar som görs till personuppgiftslagen i de båda lagarna ska ändras till att avse motsvarande bestämmelser i dataskyddsförordningen eller tas bort om de inte fyller någon funktion.

Regeringens bedömning: Behovet av hänvisningar till dataskyddsförordningen i författningar som inte uttryckligen hänvisar till personuppgiftslagen bör prövas från fall till fall.

Promemorians förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Remissinstanserna tillstyrker eller har inte något att invända mot regeringens förslag och bedömning.

Skälen för regeringens förslag och bedömning: Förhållandet mellan

PUL och särskilda författningar kan se olika ut. I lagen om den officiella statistiken och lagen (2006:378) om lägenhetsregister anges att PUL gäller vid personuppgiftsbehandlingar, såvitt annat inte följer av den särskilda författningen. Dessa bestämmelser behöver nu ändras. I stället för att ange att PUL gäller vid behandling av personuppgifter i den mån annat inte följer av den aktuella författningen, bör i stället en upplysningsbestämmelse om dataskyddsförordningens tillämplighet införas. Det bör vidare tydliggöras att de nationella bestämmelser som införs med stöd av dataskyddsförordningen inte innebär att regleringen i förordningen är att betrakta som subsidiär i förhållande till den nationella rätten. Detta kan ske genom att det i de berörda författningarna tas in en upplysningsbestämmelse om att deras bestämmelser kompletterar dataskyddsförordningen. Även andra hänvisningar som görs till PUL i de båda lagarna bör ändras till att avse motsvarande bestämmelser i dataskyddsförordningen (se vidare avsnitt 8.3). Eftersom dessa hänvisningar ger lagen ett materiellt innehåll ska de göras dynamiska, dvs. avse den vid varje tidpunkt gällande lydelsen av förordningen. Detta innebär att förändringar som görs i förordningen omedelbart får genomslag. Hänvisningar som inte längre fyller någon funktion bör tas bort.

Den personuppgiftsbehandling som regleras i de särskilda lagar som behandlas i denna proposition kommer även i viss utsträckning omfattas av den generella dataskyddslagen. En upplysningsbestämmelse om dataskyddslagens tillämplighet bör därför införas i anslutning till respektive upplysningsbestämmelse om dataskyddsförordningen. Till skillnad från dataskyddsförordningen kommer emellertid dataskyddslagen att vara subsidiär till de särskilda författningarna, vilket bör framgå av regleringen.

Vidare finns författningar som innehåller bestämmelser om personuppgiftsbehandlingar, men som inte uttryckligen hänvisar till PUL. Dessa är kasinolagen (1999:355) och lagen (2004:543) om samtjänst vid medborgarkontor. Hur dessa lagar ska hanteras bör dock avgöras från fall till fall (se avsnitt 12 och 13).

7.3. Bestämmelser om rättelse och skadestånd

Regeringens förslag: De bestämmelser i lagen om den officiella statistiken, lagen om lägenhetsregister och kasinolagen som gör personuppgiftslagens bestämmelser om rättelse och skadestånd tillämpliga vid överträdelser av de angivna lagarna ska upphävas.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker förslaget eller har inte något att invända mot detta.

Skälen för regeringens förslag: Som anges i avsnitt 7.2 kan förhållandet mellan PUL och särskilda författningar se olika ut. PUL:s bestämmelser om rättelse (28 §) och skadestånd (48 §) reglerar förfaranden i strid med PUL. Mot denna bakgrund har det ansetts behöva särskilt anges att dessa bestämmelser ska tillämpas vid förfaranden som strider mot andra författningar för att de ska bli tillämpliga.

Efter införandet av dataskyddsförordningen, och de bestämmelser om skadestånd och rättsmedel som regeringen föreslagit i propositionen Ny dataskyddslag, bedöms det inte finnas något behov av de hänvisningar som i dag finns i 23 § lagen om den officiella statistiken, 24 § lagen om lägenhetsregister och 7 § kasinolagen. Det föreslås därför att denna reglering ska utgå.

Hänvisningar till S7-3

  • Prop. 2017/18:107: Avsnitt 13

8. Statistikansvariga myndigheters framställning av statistik

Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse (se avsnitt 6.1). Nedan redovisas bedömningar och förslag på ändringar i statistikförfattningarna som föranleds av dataskyddsförordningens ikraftträdande, men även vissa förslag som syftar till att öka

Hänvisningar till S8

  • Prop. 2017/18:107: Avsnitt 15

möjligheterna att framställa statistik.

8.1. Rättslig grund

Regeringens bedömning: Det bedöms inte finnas behov av någon ny reglering för att uppfylla dataskyddsförordningens krav på rättslig grund när statistikansvariga myndigheter utan samtycke samlar in och i övrigt behandlar personuppgifter vid framställning av statistik.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Alla remissinstanser utom Datainspektionen instämmer i bedömningen eller har inte något att invända mot denna. Datainspektionen saknar en analys av om nu gällande bestämmelser rörande annan statistik än officiell statistik är förenliga med dataskyddsförordningen och efterfrågar en större tydlighet beträffande vilken statistik som en statistikansvarig myndighet kan framställa med eget rättsligt stöd, samt hur kraven i 2 kap. 6 § andra stycket och 2 kap. 20–22 §§ RF samt i dataskyddsförordningen uppfylls. Datainspektionen bedömer att de statistikansvariga myndigheterna inte har något rättsligt stöd att behandla personuppgifter utanför de statistikområden som framgår av bilagan till förordningen om den officiella statistiken.

Skälen för regeringens bedömning: Den grundläggande regleringen av statistikansvariga myndigheters rätt att behandla personuppgifter för framställning av statistik finns i 14 och 15 §§ lagen om den officiella statistiken. I 14 § första stycket ges en generell rätt att, utan samtycke av den registrerade, behandla personuppgifter för framställning av statistik.

För sådan behandling är den statistikansvariga myndigheten personuppgiftsansvarig. Bestämmelsen gäller enligt 1 § tredje stycket även vid framställning av annan statistik hos en statistikansvarig myndighet än officiell statistik. Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Statistikansvariga myndigheter har således en generell rätt att utan samtycke behandla personuppgifter för framställning av statistik. Genom regleringen i lagen och förordningen om den officiella statistiken bedöms statistikansvariga myndigheter ha en rättslig grund att i enlighet med artikel 6.1 e i dataskyddsförordningen behandla personuppgifter för statistikändamål.

Statliga myndigheter kan enligt svensk rätt tilldelas rättsliga förpliktelser och uppgifter av allmänt intresse även genom regeringsbeslut (se prop. 2017/18:105 s. 50 och 56). Den rättsliga grunden för behandling av personuppgifter kan således preciseras i de statistikansvariga myndigheternas instruktioner och regleringsbrev. Som exempel kan nämnas förordningen (2016:822) med instruktion för Statistiska centralbyrån. Av denna framgår att SCB ansvarar för att utveckla, framställa och sprida officiell statistik och annan statlig statistik, samt att myndigheten inom ramen för sin statistikverksamhet ska utföra uppdrag åt andra myndigheter, i den utsträckning som den har tillgängliga resurser för det. SCB har därmed, enligt artikel 6.1 e i dataskyddsförordningen, rättslig grund för att också utanför de statistikområden inom vilka myndigheten ska producera officiell statistik, samla in och i övrigt behandla personuppgifter för statistiska ändamål utan samtycke från de registrerade. Det bör heller inte uteslutas att det i vissa fall kan finnas ytterligare stöd i

dataskyddsförordningen för en statistikansvarig myndighets behandling av personuppgifter, exempelvis i artikel 6.1 c.

När det gäller Datainspektionens påpekande om behovet av en analys av hur regleringen kring rättsligt stöd för annan statistik förhåller sig till dataskyddsförordningen och RF, samt en större tydlighet beträffande vilken statistik en statistikansvarig myndighet kan framställa med eget rättsligt stöd, gör regeringen följande överväganden. I enlighet med vad som anförts i avsnitt 7.1 bedömer regeringen att överväganden av regleringens tydlighet, precisering, förutsägbarhet och proportionalitet redan har gjorts. Bestämmelsen i 2 kap. 6 § RF har vidare inte ansetts utgöra något hinder mot att i 14 § lagen om den officiella statistiken föreskriva en generell rätt att behandla personuppgifter för framställning av statistik, utan närmare specificering i bilagan till förordningen om den officiella statistiken. Sammantaget bedömer regeringen att nödvändiga överväganden gällande statistikförfattningarnas förenlighet med grundlag och författningsprinciper redan gjorts och att författningarna uppfyller föreskrivna krav.

Hänvisningar till S8-1

  • Prop. 2017/18:107: Avsnitt 8.2

8.2. Personuppgiftsansvar

Regeringens bedömning: En statistikansvarig myndighet ska fortfarande ha ett utpekat personuppgiftsansvar vid behandling av personuppgifter i samband med statistikframställning. En sådan myndighets behandling av personuppgifter i samband med uppdragsverksamhet åt forskare är att betrakta som behandling av personuppgifter för statistiska ändamål.

Regeringens förslag: En statistikansvarig myndighet ska kunna vara personuppgiftsbiträde åt en annan statistikansvarig myndighet.

Promemorians bedömning och förslag överensstämmer med regeringens.

Remissinstanserna: Remissinstanserna tillstyrker eller har inte något att invända mot bedömningen och förslaget. Inspektionen för socialförsäkringen anser att en statistikansvarig myndighet i vissa situationer ska kunna agera personuppgiftsbiträde även åt andra myndigheter.

Skälen för regeringens bedömning och förslag: Begreppet personuppgiftsansvarig är centralt både i dataskyddsdirektivet och dataskyddsförordningen. I artikel 4 i dataskyddsförordningen definieras begreppet som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning benämns personuppgiftsbiträde.

Som anförts i avsnitt 8.1 anger 14 § lagen om den officiella statistiken att en statistikansvarig myndighet är personuppgiftsansvarig enligt PUL vid framställning av statistik. Någon skillnad i innebörden av begreppet personuppgiftsansvarig finns inte mellan dataskyddsdirektivet, PUL och

dataskyddsförordningen. Det finns därför inte skäl att föreslå en ändrad reglering med anledning av den nya förordningen, bortsett från att hänvisningen till PUL ska utgå.

Den nuvarande regleringen innebär att en statistikansvarig myndighet är personuppgiftsansvarig även vid utförande av uppdragsverksamhet, då beställaren anger vilka personuppgifter som ska behandlas och för vilka ändamål. Även om förhållandet mellan myndigheten och beställaren kan tala för att myndigheten i stället bör betraktas som ett personuppgiftsbiträde finns starka skäl som talar för att behålla den nuvarande ordningen, bl.a. den stora kunskap som finns hos myndigheten om hur det statistiska materialet kan användas.

Det förekommer dock i stor utsträckning att en statistikansvarig myndighet utför uppdrag åt en annan statistikansvarig myndighet. För SCB är det enligt 4 § i myndighetens instruktion en skyldighet att utföra sådana uppdrag och de ska prioriteras i förhållande till andra uppdrag. Definitionen av personuppgiftsansvarig innebär att personuppgiftsansvaret kan vara delat mellan två eller fler aktörer. I detta fall riskerar dock en sådan konstruktion att leda till en oklarhet i ansvarsfördelningen eftersom statistikansvaret är särskilt reglerat. I förarbetena till lagen om den officiella statistiken anges vidare att dagens reglering bygger på principen att ansvaret för elektroniskt lagrad information ska ligga hos den myndighet som ansvarar för den statistik för vilken behandlingen utförs (prop. 2000/01:27 s. 72). Detta kan uppfattas som motstridigt jämfört med ordalydelsen i 14 § lagen om den officiella statistiken, som anger att en statistikansvarig myndighet får behandla personuppgifter för framställning av statistik och att myndigheten är personuppgiftsansvarig för sådan behandling. Det finns därför skäl att klargöra att en statistikansvarig myndighet, utan hinder av vad som anges i 14 § lagen om den officiella statistiken, kan vara personuppgiftsbiträde åt en annan statistikansvarig myndighet. Regeringen anser dock inte att det, som Inspektionen för socialförsäkringen föreslagit, finns skäl att utvidga förslaget så att en statistikansvarig myndighet kan vara personuppgiftsbiträde även åt andra myndigheter.

Som framhållits i propositionen Ny dataskyddslag kan statistiska undersökningar vara en integrerad del av ett forskningsprojekt (prop. 2017/18:105 s. 124). I dessa fall menar regeringen att sådan behandling av personuppgifter som sker under forskarens ansvar bör bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål. Det utpekade personuppgiftsansvaret för statistikansvariga myndigheter gäller även vid uppdragsverksamhet som utförs åt forskare. I dessa fall behöver därför åtskillnad göras mellan behandling av personuppgifter för statistiska ändamål respektive för forskningsändamål, eftersom olika aktörer kommer att vara personuppgiftsansvariga i olika delar av behandlingen. Syftet med den statistikansvariga myndighetens behandling är just statistiska ändamål, även om uppgifterna därefter är avsedda att lämnas till en beställare för behandling för forskningsändamål.

8.3. Behandling av känsliga personuppgifter och uppgifter om lagöverträdelser

Regeringens förslag: Personuppgifter som avses i artikel 9.1 och artikel 10 i EU:s dataskyddsförordning ska få behandlas vid framtagande av officiell statistik om det följer av föreskrifter som regeringen meddelat.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Alla remissinstanser utom Datainspektionen tillstyrker förslaget eller har inte något att invända mot detta.

Datainspek-

tionen anser att promemorian saknar en tillräcklig analys av om författningsbestämmelserna angående behandling av känsliga personuppgifter uppfyller kraven i dataskyddsförordningen. Det saknas enligt myndigheten en redogörelse för de nackdelar, risker och problem som behandlingen leder till eller kan leda till för enskildas personliga integritet och ett ställningstagande till hur man kan minimera riskerna för de registrerade. Myndigheten anser därför att det inte är möjligt att genomföra en proportionalitetsbedömning.

Skälen för regeringens förslag: I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar särskilda kategorier av personuppgifter, som i stort motsvarar vad som i gällande rätt benämns känsliga personuppgifter, ska vara förbjuden. Förbudet är förenat med ett antal undantag, se artiklarna 9.2–9.4 i förordningen (jfr 15–19 §§ PUL). För att vissa av undantagen ska vara tillämpliga krävs att grunden för sådana behandlingar på olika sätt kommer till uttryck i unionsrätten eller nationell rätt.

I artikel 9.2 j finns undantag från förbudet av behandling av känsliga personuppgifter vid behandling som är nödvändig för bl.a. statistiska ändamål. Där anges att förbudet inte gäller om behandlingen är nödvändig för dessa ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller nationell rätt, som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

För behandlingar av uppgifter som rör fällande domar i brottmål samt överträdelser anges i artikel 10 att sådana behandlingar endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder fastställts för de registrerades rättigheter och friheter.

I gällande rätt regleras behandlingen av känsliga personuppgifter i bl.a. 13 § PUL. Utrymmet för att behandla känsliga personuppgifter är begränsat. Huvudregeln är att det är förbjudet att behandla uppgifter av detta slag. Från förbudet finns en rad undantag. För personuppgifter om lagöverträdelser m.m. är huvudregeln i 21 § PUL att det är förbjudet för andra än myndigheter att behandla dessa. För statistikansvariga myndigheter anges i 15 § lagen om den officiella statistiken att personuppgifter som avses i 13 § och 21 § första stycket PUL, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser, får behandlas om det följer av föreskrifter som regeringen meddelat. Sådana föreskrifter har meddelats i 8 § förordningen om den officiella statistiken och bilagan till

samma förordning, som reglerar sådan information som bedöms vara av grundläggande betydelse för samhället. Den nuvarande regleringen bedöms, tillsammans med de skyddsåtgärder för den registrerades rättigheter som redogörs för i avsnitt 8.5, uppfylla dataskyddsförordningens krav på undantag från förbudet om behandling av känsliga personuppgifter för statistiska ändamål. Det bedöms alltjämt finnas behov av en reglering av det aktuella slaget.

Även med beaktande av de potentiella risker för enskildas personliga integritet som en behandling av känsliga personuppgifter kan medföra, anser regeringen, med beaktande av det stora samhälleliga intresset och de nämnda skyddsåtgärderna, att den föreslagna regleringen är proportionerlig. Som framgår av avsnitt 7.1. är proportionalitetsbedömningar inte någon nyhet i svensk lagstiftning. När det gäller personuppgifter om lagöverträdelser innebär artikel 10 i dataskyddsförordningen vissa ändringar jämfört med tidigare bestämmelser i dataskyddsdirektivet, då tillämpningsområdet begränsats till enbart fällande brottmålsdomar. För att underlätta tillämpningen av lagen bör 15 § i detta avseende hänvisa direkt till regleringen i dataskyddsförordningen. Detta innebär en viss förändring i sak jämfört med tidigare, men är samma ordning som gäller enligt det generella regelverket.

I propositionen Ny dataskyddslag föreslår regeringen att personuppgifter som rör lagöverträdelser ska få behandlas av myndigheter. Vidare anges att behandling av känsliga personuppgifter får ske under de förutsättningar som anges i dataskyddsförordningen. Den reglering som nu föreslås i lagen om den officiella statistiken innebär således en inskränkning av möjligheten att behandla sådana personuppgifter jämfört med vad som kommer att gälla enligt den generella regleringen.

I avsnitt 8.6.2 redogörs för när känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas vid framtagande av annan statistik än officiell statistik.

8.4. Undantag från vissa av den registrerades rättigheter

Regeringens förslag: Vid behandling av personuppgifter som omfattas av lagen om den officiella statistiken ska den registrerade inte ha rätt att få uppgifter rättade eller kräva begränsning av behandlingen.

Regeringens bedömning: Ett undantag från dataskyddsförordningens bestämmelse om rätt till information bör inte införas i lagen om den officiella statistiken.

Dataskyddsförordningens bestämmelser om

rätten att göra invändningar blir inte tillämpliga vid behandling av personuppgifter som omfattas av lagen om den officiella statistiken.

Promemorians förslag: Överensstämmer delvis med regeringens. I promemorian föreslås även ett undantag från rätten att göra invändningar.

Remissinstanserna: Majoriteten av remissinstanserna tillstyrker förslagen eller har inte något att invända mot dessa. Datainspektionen efterfrågar en analys som visar att de föreslagna begränsningarna av de

registrerades rättigheter är proportionella mot det legitima mål som eftersträvas. Enligt myndigheten saknas en konkret redogörelse för vilka nackdelar eller risker behandlingen kan innebära för de registrerade och en analys om dessa undantag medför behov av ytterligare skyddsåtgärder. Analysen i promemorian visar inte heller att de nämnda skyddsåtgärderna är tillräckliga för att undantag ska kunna göras. Mot denna bakgrund bedömer myndigheten att förslaget inte är förenligt med dataskyddsförordningen. Pensionsmyndigheten ställer sig principiellt tveksam till inskränkningar av de rättigheter som gäller enligt förordningen och avstyrker förslaget att begränsa rätten att göra invändningar.

Skälen för regeringens förslag och bedömning: Som redogjorts för i avsnitt 6.2 innehåller dataskyddsförordningen ett antal direkt tillämpliga undantag från de rättigheter som annars följer av förordningen. För statistikansvariga myndigheter torde det främst vara artiklarna 14.5 b och 17.3 d som är relevanta. Dessa möjliggör undantag från rätten till information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade själv, och från rätten till radering. I vilken utsträckning som undantagen kan och bör tillämpas är upp till respektive myndighet att avgöra.

Behandling av personuppgifter för statistiska ändamål får enligt artikel 89.2 i nationell rätt undantas från den enskildes rätt till tillgång (artikel 15), rättelse (artikel 16), begränsning av behandling (artikel 18) och att göra invändningar (artikel 21).

Enligt artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas. Om så är fallet har den registrerade rätt att få tillgång till personuppgifterna och information om behandlingen, bl.a. om ändamålen med behandlingen och de kategorier av personuppgifter som behandlingen gäller. Rättigheten motsvarar i princip vad som i dag följer av 26 § första stycket PUL om registerutdrag. Denna reglering gäller även vid sådana behandlingar av personuppgifter som omfattas av lagen om den officiella statistiken. För att undantag ska kunna göras krävs enligt artikel 89.2 att rättigheten sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, i detta fall statistikframställning, och att undantagen krävs för att uppnå dessa. Det kan konstateras att bestämmelserna om registerutdrag tillämpats under många år, vilket i sig talar emot att det skulle påverka statistikframställningen i sådan omfattning som avses i dataskyddsförordningen. Vidare skulle den registrerade även med ett sådant undantag ha rätt att begära ut motsvarande uppgifter genom bestämmelserna om utlämnande av allmänna handlingar i 2 kap. tryckfrihetsförordningen, vilket innebär en motsvarande insats från den statistikansvariga myndighetens sida. Bestämmelserna om sekretess vid statistikframställning i 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, syftar till att skydda den enskilde, men gäller enligt 12 kap. 1 § samma lag inte i förhållande till den enskilde själv. Det saknas mot denna bakgrund skäl att införa ett undantag från artikel 15 i förordningen.

Artikel 16 anger att den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Bestämmelserna om rättelse motsvarar delvis 28 § PUL. Utöver rättelse

ska dock den registrerade också enligt artikel 16, med beaktande av ändamålet med behandlingen, ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom ett kompletterande utlåtande. Vidare framgår det av artikel 18 att den registrerade har rätt att under vissa förutsättningar kräva att behandlingen av personuppgifter begränsas, bl.a. om den registrerade bestrider personuppgifternas korrekthet (under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera uppgifterna). Behandlingen kan också begränsas om den är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. På motsvarande sätt kan behandlingen begränsas om den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Slutligen omfattas också situationer då den registrerade i enlighet med artikel 21.1 har invänt mot en behandling av personuppgifter i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades skäl.

Eftersom personuppgifterna som behandlas för statistikändamål inte får behandlas i syfte att kartlägga eller vidta åtgärder i fråga om enskilda individer torde den enskildes intresse av att begränsa behandlingen av vissa uppgifter eller att rätta en felaktig uppgift i dessa fall vara högst begränsad. En sådan ordning skulle vidare riskera att göra det omöjligt eller mycket svårare för statistikansvariga myndigheter att uppfylla ändamålen med sin verksamhet. Även om exempelvis ett tillägg i ett undantagsfall skulle vara av intresse för den enskilde kan det sakna betydelse för framställningen av den statistik som behandlingen syftar till. Med stöd av artikel 89.2 bör därför ett undantag från rätten i artikel 16 att få personuppgifter rättade eller kompletterade samt ett undantag för rätten i artikel 18 att kräva begränsning av behandlingen föras in i lagen om den officiella statistiken.

Rätten att göra invändningar mot behandling av personuppgifter som följer av artikel 21 motsvarar delvis regleringen i 11 § PUL. Den senare bestämmelsen gäller emellertid endast vid direkt marknadsföring, varför dataskyddsförordningen i detta avseende utvidgar rätten för den registrerade att göra invändningar mot behandlingen av personuppgifter. Rätten att göra invändningar gäller vid behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Rätten gäller enligt artikel 21.6 dock inte om personuppgifter behandlas för statistiska ändamål i enlighet med artikel 89.1 och behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, dvs. grundar sig på artikel 6.1 e. Som anges i avsnitt 7.1 bör artikel 6.1 e i stor utsträckning kunna utgöra en rättslig grund för statistikansvariga myndigheters behandling av personuppgifter. Sådan behandling kan även komma att ske med stöd av artikel 6.1 c. Vid sådan behandling är dock, som ovan anförts, inte rätten att göra invändningar tillämplig. Rätten kommer därmed inte att vara tillämplig vid statistiska behandlingar. Till skillnad mot vad som föreslås i promemorian saknas därmed anledning att införa ett undantag från rätten att göra invändningar.

Såväl Datainspektionen som Pensionsmyndigheten ifrågasätter bedömningen i promemorian att undantag ska göras från den registrerades rättigheter. Regeringen vill framhålla att rättigheterna enligt dataskydds-

förordningen är viktiga ur ett integritets- och rättssäkerhetsperspektiv. Utgångspunkten måste emellertid vara att sådan statistik som omfattas av lagen om den officiella statistiken, och som således produceras av statistikansvariga myndigheter, generellt sett har ett stort samhälleligt värde. Detta gäller oavsett om statistiken som framställs utgör officiell statistik eller inte. Den behandling av personuppgifter som sker enligt lagen, och som rör känsliga personuppgifter, får endast utföras i den utsträckning som särskild reglering tillåter detta. Lagen innehåller därutöver ytterligare bestämmelser som reglerar framställning av officiell statistik. De inskränkningar av de enskildas rättigheter som föreslås bedöms mot denna bakgrund som proportionerliga i förhållande till de begränsningar av den enskildes integritet och rättssäkerhet som dessa medför. Behovet av skyddsåtgärder för att uppfylla dataskyddsförordningens krav behandlas i avsnitt 8.5.

I 18 § lagen om den officiella statistiken anges att den som fått avidentifierade personuppgifter utlämnade till sig för forsknings eller statistikändamål inte behöver rätta, blockera eller utplåna uppgifterna på begäran av den registrerade, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Bestämmelsen motsvaras i huvudsak av artikel 11 i dataskyddsförordningen. Efter införandet av dataskyddsförordningen bedöms det inte finnas något behov av att ha kvar regleringen i 18 § lagen om den officiella statistiken. Denna reglering ska därför utgå.

8.5. Lämpliga skyddsåtgärder

Regeringens bedömning: Den befintliga regleringen i offentlighets- och sekretesslagen, lagen om den officiella statistiken och förordningen om den officiella statistiken ger tillräckliga förutsättningar för att dataskyddsförordningens krav på skyddsåtgärder för behandling av personuppgifter för statistiska ändamål ska uppfyllas.

Promemorians bedömning: Överensstämmer i allt väsentligt med regeringens. I promemorians bedömning nämns inte uttryckligen förordningen om den officiella statistiken.

Remissinstanserna: Majoriteten av remissinstanserna instämmer i bedömningen eller har inte något att invända mot denna. Datainspektionen anför att en helhetsbedömning måste göras och att det inte är tillräckligt att enbart se till bestämmelser om sekretess, även om dessa är av vikt i sammanhanget. Behovet av skyddsåtgärder måste enligt myndigheten bedömas utifrån vilken behandling som ska ske och vilket integritetsintrång det är frågan om. Därutöver behöver frågan om konsekvensbedömning i samband med fastställande av rättslig grund beaktas enligt artikel 35.10 i dataskyddsförordningen. Pensionsmyndigheten instämmer i bedömningen i promemorian om att regleringen i OSL kan anses utgöra en sådan skyddsåtgärd som avses i artikel 89.1 i dataskyddsförordningen.

Myndigheten framhåller dock att det enligt dataskyddsförordningen ankommer på den personuppgiftsansvarige att för varje behandling ta

ställning till vilka skyddsåtgärder som krävs enligt artikel 89.1 för att uppfylla förordningens krav och att regleringen i OSL inte generellt kan anses uppfylla kravet på skyddsåtgärder.

Skälen för regeringens bedömning: Behandling av personuppgifter för statistiska ändamål ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter.

I myndigheternas statistikverksamhet gäller absolut sekretess enligt 24 kap. 8 § OSL för uppgift som avser en enskilds personliga eller ekonomiska förhållanden. Sekretessen bör utgöra en särskild skyddsåtgärd i dataskyddsförordningens mening. Vidare anges i 5 § lagen om den officiella statistiken att den officiella statistiken ska framställas och offentliggöras med beaktande av behovet av skydd för fysiska och juridiska personers intressen. Enligt 6 § gäller dessutom att uppgifter i den officiella statistiken inte får sammanföras med andra uppgifter i syfte att ta reda på en enskilds identitet. Överträdelser av bestämmelsen i 6 § är straffbelagda enligt 26 §. I 19 § finns vidare bestämmelser om gallring och arkivering. Av 10 § förordningen om den officiella statistiken följer att en statistikansvarig myndighet är skyldig att vara organiserad så att myndighetens verksamhet för framställning av statistik är avgränsad från myndighetens verksamhet i övrigt.

Regeringen vill med anledning av vad Datainspektionen och Pensionsmyndigheten anfört om behovet av skyddsåtgärder framhålla att de skyddsåtgärder som beskrivits ovan inte enbart utgörs av sekretessbestämmelser, utan även bestämmelser som reglerar statistikansvariga myndigheters verksamhet i övrigt. Därutöver har de statistikansvariga myndigheterna enligt bl.a. artikel 89.1 ett eget ansvar att vidta de organisatoriska åtgärder som kan bedömas nödvändiga ur ett skyddsperspektiv och som är anpassade till respektive verksamhet.

I samband med ändringar i statistikregleringen beaktar regeringen ändringens inverkan på den personliga integriteten. Konsekvensbedömningar görs därför kontinuerligt.

Sammantaget bedöms skyddsåtgärderna som omgärdar statistikframställningen hos de statistikansvariga myndigheterna ge tillräckliga förutsättningar för att dataskyddsförordningens krav på särskilda skyddsåtgärder ska uppfyllas.

Hänvisningar till S8-5

8.6. Skillnader mellan officiell statistik och annan statistik hos statistikansvariga myndigheter

Regeringens bedömning: Regleringen av statistikansvariga myndigheters framställning av statistik bör vara densamma för officiell statistik och annan statistik, om inte särskilda skäl talar för något annat.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Remissinstanserna instämmer i bedömningen eller har inte något att invända mot denna.

Skälen för regeringens bedömning: I 1 § tredje stycket lagen om den officiella statistiken anges att regleringen i 14, 15 och 19 §§, som avser

personuppgiftsbehandling, även ska gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet. I förarbetena anförde regeringen att det är betydelsefullt för den enskilde att samma regler gäller inom samma verksamhetsområde. Det ansågs inte som lämpligt att regler för uppgifter om en enskild ska vara olika hos samma myndighet och inom samma verksamhetsområde, endast av det skälet att uppgifterna i det ena fallet ska användas för officiell statistik och i det andra för annan statistik (prop. 2000/01:27 s. 66). Denna övergripande bedömning får anses gälla än i dag. Flera olika regelverk riskerar vidare att leda till osäkerhet för den enskilde om vilka rättigheter som finns i ett särskilt fall och också medföra en ökad osäkerhet hos de personuppgiftsansvariga eller andra som har att tillämpa regelverken.

Som anförts i avsnitt 3 har Riksrevisionen bedömt att bristande tillgänglighet till SCB:s registerdata försvårar forskning och utveckling, där bl.a. komplexa regelverk bedöms bidra till att utlämnandeprocessen tar lång tid och kan uppfattas som godtycklig (RiR 2017:14 s. 7). Många olika regelverk kan innehålla bestämmelser om hantering av personuppgifter. Det kan även uppkomma svåra gränsdragningar mellan berättigade ändamål och skyddet för den personliga integriteten.

Mot denna bakgrund bör regelverken för officiell statistik och annan statistik hos statistikansvariga myndigheter ses över för att säkerställa att det inte förekommer omotiverade skillnader. Utgångspunkten bör vara att regleringen av statistikansvariga myndigheters framställning av statistik bör vara densamma för officiell statistik och annan statistik, om inte särskilda skäl talar för något annat. Trots den bedömning som gjordes i samband med lagen om den officiella statistikens tillkomst finns vissa skillnader i de regler som gäller vid framtagande av officiell statistik och annan statistik. I avsnitt 8.6.1 behandlas en av dessa skillnader. I avsnitt 8.6.2 behandlas en situation då det finns särskilda skäl att ha olika regler för framställning av officiell statistik och annan statistik.

Hänvisningar till S8-6

  • Prop. 2017/18:107: Avsnitt 8.6.1

8.6.1. Utlämnande av uppgifter i vissa fall

Regeringens förslag: Bestämmelserna i 16 § lagen om den officiella statistiken, som möjliggör kompletteringar av tidigare utlämnade uppgifter, ska även gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Alla remissinstanser utom Datainspektionen tillstyrker förslaget eller har inte något att invända mot detta.

Datainspektionen avstyrker förslaget. Enligt myndigheten visar inte analysen i promemorian att den nationella rätten uppfyller dataskyddsförordningens krav på proportionalitet i artikel 6.3. Enligt Datainspektionen saknas en konkret redogörelse för vilka nackdelar eller risker utlämnandet kan innebära för de registrerade och en analys av om dessa undantag medför behov av ytterligare skyddsåtgärder.

Skälen för regeringens förslag: I 16 § lagen om den officiella statistiken finns bestämmelser om utlämnande av uppgifter i vissa fall. De

situationer som avses är när en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, men som genom att förses med en beteckning kan kopplas till ett personnummer eller motsvarande för att den statistikansvariga myndigheten som lämnat ut uppgifterna senare ska kunna komplettera dessa. Genom den möjlighet till identifiering som regleringen ger är uppgifterna att betrakta som personuppgifter enligt såväl PUL som dataskyddsförordningen (se också skäl 26 till förordningen). Detta skiljer sig således från en färdig statistikprodukt, eller vad förordningen betecknar som statistiska resultat, som består av aggregerade personuppgifter (se avsnitt 6 samt skäl 162 i förordningen). Bestämmelserna i 16 § räknas inte upp i 1 § tredje stycket lagen om den officiella statistiken och gäller således endast uppgifter som används vid framställning av officiell statistik.

Möjligheten att förse uppgifter med beteckningar, genom att använda s.k. kodnycklar, är avgörande för att lämna ut uppgifter till undersökningar som sträcker sig över en längre tid, s.k. longitudinella studier. Behovet av longitudinella studier och registerforskning har beskrivits utförligt i Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). Behovet av att lämna ut uppgifter till forskning och för statistikändamål framhålls också av SCB i den hemställan myndigheten inkommit med till regeringen (se avsnitt 3). Alternativen vore att begränsa möjligheterna till longitudinella studier kraftigt, eller att personuppgifter lämnas ut för forsknings- eller statistiska ändamål i sådant skick att de direkt kan hänföras till en enskild. Inget av dessa alternativ framstår som ändamålsenligt.

I dataskyddsförordningen används begreppet pseudonymisering, som i artikel 4.5 definieras som behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska eller organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. I skäl 28 i förordningen klargörs att pseudonymisering kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Pseudonymisering anges också som ett exempel på en sådan skyddsåtgärd som får vidtas för att se till att särskilt principen om uppgiftsminimering iakttas när personuppgifter behandlas för bl.a. statistiska ändamål (artikel 89.1 och skäl 156).

Mot bakgrund av det ovanstående står det klart att nuvarande principer i 16 § lagen om den officiella statistiken om möjligheten att förse utlämnade uppgifter med en beteckning för möjlighet till senare identifiering av fysiska personer är förenliga med dataskyddsförordningen. Som anförts i avsnitt 8.6 är det principiellt önskvärt med en så likartad reglering som möjligt av officiell statistik och annan statistik hos statistikansvariga myndigheter. Det gäller också för möjligheterna att lämna ut uppgifter med beteckningar som skapats av kodnycklar eller motsvarande. Mot bakgrund av syftet bakom lagen om den officiella statistiken, och även regeringens förväntningar att statistikansvariga myndigheter ska kunna utföra uppdrag även åt andra aktörer, bör regelverket ändras. Utifrån den registrerades perspektiv finns det ingenting som talar för att behandlingar

som görs för framtagande av annan statistik än sådan som utgör officiell statistik skulle medföra ett större intrång i den personliga integriteten. De fördelar som förslaget medför i form av ökad enhetlighet samt ökad tillgänglighet till data för forskning och statistik, bedöms därför klart överstiga de risker för otillbörligt intrång i den personliga integriteten som förslaget skulle kunna medföra. De allmänna skyddsåtgärder som redovisas i avsnitt 8.5 bedöms som tillräckliga för att tillgodose de registrerades rättigheter. Regeringen anser mot denna bakgrund, till skillnad från Datainspektionen, att det står klart att förslaget uppfyller dataskyddsförordningens krav på proportionalitet.

Mot denna bakgrund föreslås en ändring i 1 § lagen om den officiella statistiken som innebär att bestämmelserna i 16 § samma lag även ska gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet.

Hänvisningar till S8-6-1

8.6.2. Skillnader mellan officiell statistik och annan statistik avseende behandling av känsliga personuppgifter

Regeringens förslag: Vid framställning av annan statistik än officiell statistik ska en statistikansvarig myndighet få behandla känsliga personuppgifter och uppgifter om lagöverträdelser efter en prövning av om behandlingen är nödvändig för statistiska ändamål och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Vidare ska sådana personuppgifter få behandlas för forskningsprojekt under samma förutsättningar, om behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor.

Promemorians förslag överensstämmer i sak med regeringens. I promemorian föreslås att ändringen införs i förordningen om den officiella statistiken.

Remissinstanserna: Det stora flertalet av remissinstanserna tillstyrker förslaget eller har inte något att invända mot detta. Datainspektionen avstyrker förslaget. Myndigheten ifrågasätter att statistikansvariga myndigheter utanför sitt huvuduppdrag, framställning av officiell statistik, ska ha en betydligt vidare möjlighet att behandla känsliga personuppgifter.

Förslaget är enligt myndigheten inte analyserat utifrån regleringen i RF och dataskyddsförordningen vad gäller de nackdelar, risker och problem som behandlingen kan leda till för enskildas personliga integritet. Det har heller inte tagits ställning till hur man kan minimera riskerna för de registrerade.

Skälen för regeringens förslag

Förutsättningarna för att behandla känsliga personuppgifter

Enligt 15 § lagen om den officiella statistiken får statistikansvariga myndigheter behandla känsliga personuppgifter eller uppgifter som rör lagöverträdelser om det följer av föreskrifter som regeringen meddelar.

Detta gäller enligt 1 § tredje stycket oavsett om behandlingen avser officiell statistik eller annan statistik. Regeringen har meddelat sådana föreskrifter i 8 § förordningen om den officiella statistiken som hänvisar till bilagan till förordningen. I bilagan anges vilka myndigheter som får behandla vissa känsliga personuppgifter för särskilt angivna ändamål. Vidare anges i 9 § förordningen om den officiella statistiken att uppgifter som behandlas för framställning av officiell statistik även får behandlas för framställning av annan statistik och forskning. Detta gäller dock endast om ändamålet med behandlingen inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Som anges i avsnitt 8.3 får känsliga personuppgifter enligt dataskyddsförordningen behandlas utan samtycke för statistiska ändamål om en sådan behandling är nödvändig på grundval av unionsrätten eller nationell rätt, som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. När det gäller personuppgifter som rör lagöverträdelser medger dataskyddsförordningen (artikel 10) att dessa behandlas av offentliga myndigheter, förutsatt att det finns en rättslig grund för behandlingen enligt artikel 6.1.

Den nuvarande regleringen i 15 § lagen om den officiella statistiken och i förordningen om den officiella statistiken, som begränsar möjligheterna att behandla känsliga personuppgifter till vissa särskilt angivna områden, bör även fortsättningsvis gälla vid framtagande av officiell statistik, som är förenad med uppgiftsskyldighet för bl.a. enskilda organisationer, men inte för privatpersoner. När det gäller framställning av annan statistik hos statistikansvariga myndigheter finns dock anledning att pröva om denna reglering är ändamålsenlig.

Behov av större möjligheter till behandling

Genom att en statistikansvarig myndighet utför uppdrag åt andra aktörer i samhället ökar möjligheterna att utnyttja det statistiska materialet och myndighetens statistiska kompetens. Detta avspeglas bl.a. i SCB:s regleringsbrev för 2017. Som angetts ovan är dock de statistikansvariga myndigheterna med nuvarande reglering förhindrade att åta sig uppdrag som innebär att känsliga personuppgifter eller personuppgifter om lagöverträdelser behandlas i andra fall än de som anges i förordningen om den officiella statistiken. I vissa fall leder detta till att statistikansvariga myndigheter inte kan utföra de uppgifter av allmänt intresse som de tilldelats. Regleringen är i detta avseende mer strikt för statistikansvariga myndigheter än för andra aktörer. Samtidigt finns ett mervärde i att myndigheternas material och kompetens kommer samhället till godo. Det bör därför prövas om statistikansvariga myndigheter ska ges utvidgade möjligheter att behandla sådana typer av personuppgifter.

SCB har i sin hemställan till regeringen (se avsnitt 3) framfört att det finns behov av att myndigheten utan samtycke ska få behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. även vid framställning av annan statistik än officiell statistik. SCB föreslår att det införs en generell rätt för myndigheten att för framställning av statistik behandla sådana personuppgifter som avses i 15 § lagen om den officiella

statistiken. Det är dock svårt att förutse vilka konsekvenser som ett sådant generellt bemyndigande skulle få för den personliga integriteten. En sådan reglering bör därför inte införas. Det bedöms dock finnas behov av att kunna behandla andra känsliga personuppgifter eller uppgifter om lagöverträdelser än de som anges i bilagan till förordningen om den officiella statistiken i angelägna forsknings- och statistikprojekt. Det framstår inte som ändamålsenligt om regelverket hindrar att SCB eller andra statistikansvariga myndigheter, vars statistiska kunnande ska komma samhället till godo, inte kan anlitas för sådana uppdrag. Hos andra aktörer kan känsliga personuppgifter i sådana uppdrag behandlas om det sker i enlighet med nuvarande bestämmelser i 19 § PUL. Dessa anger att känsliga personuppgifter får behandlas utan samtycke för forskningsändamål som godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor samt för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan komma att innebära. Regeringen har i propositionen Ny dataskyddslag föreslagit att motsvarande reglering såvitt avser behandling av känsliga personuppgifter för statistiska ändamål förs in i den föreslagna dataskyddslagen. Vad avser offentliga myndigheters behandling av personuppgifter som rör lagöverträdelser ges denna rätt, som tidigare nämnts, direkt av dataskyddsförordningen. Forskningsdatautredningen har vidare föreslagit att det i en ny forskningsdatalag tas in en bestämmelse som tillåter att känsliga personuppgifter och personuppgifter som rör lagöverträdelser får behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor (SOU 2017:50). Förslaget motsvarar den nuvarande regleringen i 19 § första stycket PUL.

Då de statistikansvariga myndigheternas särskilda kunskaper om att framställa statistik i enlighet med vad som anförts ovan är en viktig resurs för samhället finns ett behov av att utvidga möjligheterna för dessa att behandla känsliga personuppgifter och uppgifter om lagöverträdelser vid framställning av annan statistik än officiell statistik. Regeringen bedömer mot denna bakgrund, till skillnad från Datainspektionen, att det finns särskilda skäl för att i detta avseende reglera officiell statistik och annan statistik olika.

Utökade möjligheter till behandling

Mot bakgrund av vad som ovan anförts föreslås att statistikansvariga myndigheter ska få behandla känsliga personuppgifter vid framställning av annan statistik än officiell statistik efter en prövning motsvarande den som föreslås i dataskyddslagen.

Därutöver föreslås att statistikansvariga myndigheter efter en motsvarande prövning ska kunna behandla uppgifter om lagöverträdelser vid framställning av annan statistik än officiell statistik. En sådan prövning är inte nödvändig enligt dataskyddsförordningen, i och med att förbudet mot att behandla personuppgifter om lagöverträdelser, på motsvarande sätt som 21 § PUL, inte träffar offentliga myndigheter. Med hänsyn till den

stora mängd personuppgifter som hanteras av statistikansvariga myndigheter framstår det emellertid som lämpligt att regleringen av dessa även fortsättningsvis är mer strikt än för andra myndigheter. Möjligheterna att pröva samhällsintresset av ett statistikprojekt bedöms också som tillräckliga för att syftet bakom förändringen, att det statistiska kunnandet ska komma samhället till godo, ska kunna uppnås.

Även behandlingar av känsliga personuppgifter och uppgifter om lagöverträdelser för forskningsändamål bör i enlighet med vad som ovan anförts, och under samma villkor, tillåtas. En statistikansvarig myndighets egen behandling av uppgifterna bör ses som behandling för statistiska ändamål (se avsnitt 8.2), oavsett om uppgifterna därefter lämnas ut för forsknings- eller statistiska ändamål. Som ett förtydligande bör dock ett uttryckligt stöd för statistikansvariga myndigheter att behandla sådana uppgifter när myndigheten på uppdrag lämnar ut statistiska framställningar till forskningsprojekt införas. Det bör därför särskilt anges att sådan behandling är tillåten om den är en del i ett forskningsprojekt som är godkänt enligt etikprövningslagen.

Den nu föreslagna regleringen innebär således utvidgade möjligheter för statistikansvariga myndigheter att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser vid framställning av annan statistik än officiell statistik. Till skillnad från vad som vore fallet med ett generellt bemyndigande att behandla känsliga personuppgifter och uppgifter om lagöverträdelser innebär den föreslagna lösningen ett krav på att nödvändigheten av behandlingen och samhällsintresset ska väga tyngre än risken för otillbörligt intrång i den personliga integriteten. En prövning av detta ska göras för varje forsknings eller statistikprojekt. Vid forskningsprojekt garanteras lämpligheten och nödvändigheten av behandlingen genom etikprövningslagen (se också SOU 2017:50 s. 441 f.).

Till skillnad från vad som föreslås i promemorian anser regeringen att regleringen bör ske i lag och inte genom förordning. Regleringen kommer därmed att ligga på samma normnivå som den generella bestämmelsen i den föreslagna dataskyddslagen.

Datainspektionen har anfört att förslaget saknar en tillräcklig analys. I enlighet med vad regeringen anfört i avsnitt 8.3 och 8.5 bedöms dock en utökad möjlighet till behandling som proportionerlig med beaktande av det stora samhälleliga intresset och de skyddsåtgärder som omgärdar framställningen av statistik.

Hänvisningar till S8-6-2

9. Lägenhetsregistret

Lägenhetsregistret är ett landsomfattande register för bostadslägenheter i Sverige. Registret regleras i lagen (2006:378) om lägenhetsregister och förordningen (2007:108) om lägenhetsregister. Uppgifterna i lägenhetsregistret används för folkbokföringen, framställning av statistik, forskning samt planering, uppföljning och utvärdering av bostadsbestånd och byggande. Med hjälp av lägenhetsregistret kan t.ex. SCB ta fram hushålls- och bostadsstatistik utan att genomföra de omfattande och kostnadskrävande folk- och bostadsräkningar som tidigare genomfördes vart femte

år, senast 1990. Den som är bosatt i en fastighet som innehåller flera bostadslägenheter ska numera folkbokföras på fastigheten och lägenheten. Genom att lägenhetsnummer som finns i lägenhetsregistret registreras i folkbokföringen kan hushålls- och bostadsstatistik framställas.

Det är den statliga lantmäterimyndigheten (Lantmäteriet) som för lägenhetsregistret, vilket framgår av 2 § lagen om lägenhetsregister. I 6 § anges vilka uppgifter som lägenhetsregistret får innehålla, bl.a. lägenhetsnummer, antal rum, kökstyp och bostadsarea. Lägenhetsregistret innehåller inte uppgifter som direkt kan hänföras till en fysisk person som är i livet, men genom kopplingen med bl.a. lägenhetsnummer innehåller det uppgifter som indirekt kan göra det. Uppgifter i lägenhetsregistret kan därför utgöra personuppgifter. Enligt 2 § lagen om lägenhetsregister ska PUL gälla vid behandling av personuppgifter i lägenhetsregistret, om inte annat följer av lagen med tillhörande föreskrifter eller av 2 § PUL. Lantmäteriet är enligt 4 § lagen om lägenhetsregister personuppgiftsansvarig för lägenhetsregistret. I 5 § regleras för vilka ändamål som uppgifter i lägenhetsregistret får behandlas. Dessa ändamål är folkbokföring, framställning av statistik, forskning samt planering, uppföljning och utvärdering av bostadsbestånd och byggande.

Uppgifter till lägenhetsregistret får enligt 8 § lagen om lägenhetsregister hämtas från fastighetsregistret och från fastighetsägare. Utöver Lantmäteriet är respektive kommun behörig att föra in, ändra och ta bort vissa uppgifter i lägenhetsregistret. Kommunen ska också enligt 10 § fastställa en belägenhetsadress för varje entré samt, om det finns mer än en bostadslägenhet med samma belägenhetsadress, fastställa lägenhetsnummer för varje lägenhet. Vidare ska kommunen löpande registrera ändringar och kompletteringar av vissa uppgifter, vilket framgår av 13 §. Varje fastighetsägare är enligt 14 § bl.a. skyldig att lämna uppgifter till kommunen som föranleder ändringar eller kompletteringar av lägenhetsregistret.

Hänvisningar till S9

  • Prop. 2017/18:107: Avsnitt 10, 9.1

9.1. Rättslig grund

Regeringens bedömning: Det finns en rättslig grund för Lantmäteriet, kommuner och fastighetsägare att behandla personuppgifter i samband med förandet av lägenhetsregistret.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Remissinstanserna instämmer i bedömningen eller har inte något att invända mot denna.

Skälen för regeringens bedömning: Som anges i avsnitt 9 är det

Lantmäteriet som för och är personuppgiftsansvarig för lägenhetsregistret. Registret får inte innehålla andra uppgifter och uppgifterna får inte inhämtas på andra sätt än vad som lagen om lägenhetsregister uttryckligen ger stöd för. Detta talar för att lagligheten i de behandlingar av personuppgifter som Lantmäteriet vidtar, i sin roll som förare och personuppgiftsansvarig för lägenhetsregistret, främst ska anses grundad på en rättslig förpliktelse i enlighet med artikel 6.1 c i dataskyddsförordningen, även om uppgiften också kan betraktas som ett allmänt intresse i enlighet

med artikel 6.1 e. Detsamma får anses gälla för en kommun eller en fastighetsägare som fullgör sina skyldigheter enligt lagen.

Det ovan nämnda resonemanget kan dock inte tillämpas på kommuner och fastighetsägare när de behandlar personuppgifter från lägenhetsregistret i egenskap av användare av registret. Sådana behandlingar grundar sig inte på kommunens eller fastighetsägarens skyldigheter enligt lagen om lägenhetsregister. Rättsligt stöd för sådana behandlingar måste därför sökas på annan grund, t.ex. en kommuns skyldighet att planera sitt bostadsbestånd eller de berättigade intressen som en fastighetsägare efter en intresseavvägning kan anses ha av att behandla uppgifterna.

Hänvisningar till S9-1

9.2. Undantag från den registrerades rättigheter

Regeringens förslag: Vid behandling av personuppgifter som omfattas av lagen om lägenhetsregister ska den registrerade inte ha rätt till någon begränsning av behandlingen.

Regeringens bedömning: Några undantag från dataskyddsförordningens rätt till information och rättelse bör inte införas i lagen om lägenhetsregister. Dataskyddsförordningens bestämmelser om rätten att göra invändningar blir inte tillämpliga vid behandling av personuppgifter i lägenhetsregistret.

Promemorians förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Samtliga remissinstanser utom Datainspektionen tillstyrker eller har inte något att invända mot förslaget och bedömningen.

Datainspektionen efterfrågar en analys som visar att den föreslagna begränsningen är proportionell mot det legitima mål som eftersträvas. Då promemorian saknar en närmare redovisning av de frågor som är relevanta för en proportionalitetsbedömning bedömer myndigheten att förslaget inte är förenligt med dataskyddsförordningen. Myndigheten framhåller vidare att begränsningen av rättigheter, som sker med stöd av artikel 89.2, omfattar all behandling som sker med stöd av denna lag, trots att det i promemorian konstateras att behandling kan ske på andra rättsliga grunder än allmänt intresse, t.ex. efter en intresseavvägning. Om behandling sker med en intresseavvägning som rättslig grund finns det inte något utrymme att begränsa rättigheter med stöd av artikel 89.2.

Skälen för regeringens förslag och bedömning: Enligt artikel 89.2 i dataskyddsförordningen finns en möjlighet att göra undantag från de rättigheter som tillkommer registrerade i artiklarna 15, 16, 18 och 21 vid behandling av personuppgifter för statistiska ändamål (se avsnitt 5 och 6.2). Detsamma gäller vid behandling för vetenskapliga eller historiska forskningsändamål.

Den behandling av personuppgifter som sker när uppgifter lämnas ut från Lantmäteriet för framställning av statistik eller för forskning i enlighet med 5 § lagen om lägenhetsregister bör anses utgöra sådan behandling som avses i artikel 89.2. Eftersom registret enligt 5 § har flera syften bör dock eventuella begränsningar av den registrerades rättigheter, som införs med stöd av artikel 89.2, utformas restriktivt.

Som anförts i avsnitt 8.4 om statistikansvariga myndigheters skyldighet att lämna registerutdrag reglerar artikel 15 i dataskyddsförordningen i princip vad som i dag följer av 26 § första stycket PUL om registerutdrag. Bestämmelsen i PUL gäller även vid sådana behandlingar av personuppgifter som omfattas av lagen om lägenhetsregister. I enlighet med den bedömning som gjorts i avsnitt 8.4 saknas anledning att inskränka den enskildes rättigheter enligt artikel 15 även när det gäller behandling av nu aktuellt slag.

Enskildas rätt att enligt artikel 16 i dataskyddsförordningen utan onödigt dröjsmål få felaktiga personuppgifter rättade, motsvarar dagens reglering i 28 § PUL. Denna ordning bör också fortsätta att gälla. I artikel 16 anges att den registrerade, med beaktande av ändamålet med behandlingen, ska ha rätt att komplettera ofullständiga personuppgifter, bl.a. genom ett kompletterande utlåtande. Eftersom lägenhetsregistret kan användas för annat än statistikframställning bör den enskilde ha ett berättigat intresse av att kunna lämna kompletterande uppgifter. För användarna av registret bör eventuella extra åtgärder för Lantmäteriets del inte heller påverka registrets kvalitet eller användbarhet i nämnvärd utsträckning. Kravet som uppställs i artikel 89.2 för att undantag ska kunna göras – att en rättighet sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen – kan därför inte anses vara uppfyllt. Till skillnad från den bedömning som gjorts i avsnitt 8.4 avseende lagen om den officiella statistiken bör rättigheterna som följer av artikel 16 därför gälla oinskränkt vid behandling av personuppgifter i lägenhetsregistret.

Som anges i avsnitt 8.4 framgår av artikel 18 att den registrerade har rätt att kräva att behandlingen av personuppgifter begränsas under vissa förutsättningar. I likhet med vad som anförts i avsnitt 8.4 om lagen om den officiella statistiken framstår det som mindre lämpligt att behandlingen av personuppgifter i lägenhetsregistret på begäran ska kunna begränsas. Den situation som främst torde aktualisera en tillämpning av artikel 18 är om uppgifterna om den registrerade inte är korrekta. Om uppgifterna är felaktiga finns dock möjlighet till rättelse. Att begränsa behandlingen av uppgifterna i lägenhetsregistret under den tid som riktigheten kontrolleras, eller på någon annan av de grunder som anges i artikel 18, skulle innebära en risk för att de uppgifter som lämnas ut för forskning och framställning av statistik vid ett givet tillfälle inte är fullständiga. Vidare riskerar det merarbete som åtgärderna medför, som får anses mer långtgående än att erbjuda den registrerade möjlighet att komplettera ofullständiga uppgifter i enlighet med artikel 16, att få negativa konsekvenser på registerhållningen i övrigt. Datainspektionen ifrågasätter undantaget. Som framhållits i avsnitt 8.4 är de rättigheter som den enskilde ges enligt dataskyddsförordningen viktiga ur ett integritets- och rättssäkerhetsperspektiv. De skäl som ovan angetts för varför ett undantag bör göras från rätten att begränsa uppgifter väger enligt regeringens mening dock så tungt att ett undantag bedöms som proportionerligt. Den behandling som aktualiseras är, till skillnad från vad Datainspektionen antyder, sådan behandling som genomförs av registerföraren, dvs. Lantmäteriet, och som grundar sig på en rättslig förpliktelse alternativt ett allmänt intresse. Med stöd av artikel 89.2 bör därför ett undantag från den registrerades rättigheter i artikel 18 föras in i lagen om lägenhetsregister.

Rätten att göra invändningar som följer av artikel 21.1 avser behandlingar som grundar sig på artikel 6.1 e och f. Som redogjorts för ovan bör de behandlingar som sker vid utlämnande av uppgifter från lägenhetsregistret anses grunda sig på sådana rättsliga skyldigheter som avses i artikel 6.1 c. Regleringen i artikel 21.1 torde därför inte aktualiseras vid behandling av personuppgifter i lägenhetsregistret.

Hänvisningar till S9-2

10. Folk- och bostadsräkningar

Regeringens förslag: De särskilda författningar om folk- och bostadsräkningar som fortfarande gäller ska upphävas.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker förslaget eller har inte något att invända mot detta.

Skälen för regeringens förslag: Före lägenhetsregistrets tillkomst framställdes, som anförts i avsnitt 9, statistik på folk- och bostadsräkningsområdet genom särskilda folk- och bostadsräkningar, vilka genomfördes av SCB. Folk- och bostadsräkningarna reglerades särskilt i lagar och förordningar, som fortfarande formellt gäller och reglerar bl.a. skyldigheter för SCB och enskilda som ska lämna uppgifter. Flertalet av bestämmelserna i de aktuella författningarna är i dag obsoleta, eftersom folk- och bostadsräkningarna redan genomförts. Behovet av de övriga bestämmelserna, som i stor utsträckning innehåller hänvisningar till den sedan länge upphävda datalagen (1973:289), bedöms vara högst begränsat.

Författningarna bör därför upphävas.

Hänvisningar till S10

11. Databasen för övervakning av och tillsyn över finansmarknaderna

Regeringens förslag: Hänvisningen i lagen om en databas för övervakning av och tillsyn över finansmarknaderna till personuppgiftslagen ska ersättas med en hänvisning till EU:s dataskyddsförordning.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker förslaget eller har inte något att invända mot detta.

Skälen för regeringens förslag: Uppgifter som behövs för Riksbankens och Finansinspektionens övervakning av och tillsyn över finansmarknaderna får enligt lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna behandlas i en gemensam databas hos

SCB. Databasen får enligt 5 § inte innehålla personuppgifter, som definieras på samma sätt som i PUL. Eftersom databasen inte innehåller

personuppgifter påverkas den i sig inte av dataskyddsförordningen. Däremot behöver definitionen av personuppgift vara densamma som i dataskyddsförordningen och inte hänvisa till PUL.

Mot denna bakgrund föreslås att bestämmelsen i 5 § lagen om en databas för övervakning av och tillsyn över finansmarknaderna ändras så att den i stället hänvisar till den definition av personuppgifter som görs i dataskyddsförordningen.

12. Samtjänst vid medborgarkontor

Regeringens bedömning: Det bedöms inte finnas behov av något klargörande i lagen om samtjänst vid medborgarkontor av att begreppet personuppgifter har samma innebörd som i EU:s dataskyddsförordning.

Promemorians förslag överensstämmer inte med regeringens bedömning. I promemorian föreslås att ett klargörande görs i lagen av att begreppet personuppgifter har samma innebörd som i dataskyddsförordningen.

Remissinstanserna: Samtliga remissinstanser utom Datainspektionen tillstyrker promemorians förslag eller har inte något att invända mot detta.

Datainspektionen anför att det är oklart vilken rättslig grund som behandlingen av personuppgifter enligt lagen stödjer sig på och vilka personuppgifter som avses. Det saknas vidare enligt myndigheten en analys om bestämmelserna i lagen uppfyller förordningens krav på tydlighet, precisering och förutsägbarhet samt proportionalitet. Myndigheten anser därför att förslaget inte är förenligt med dataskyddsförordningen.

Skälen för regeringens förslag: Genom lagen (2004:543) och förordningen (2009:315) om samtjänst vid medborgarkontor möjliggörs för statliga myndigheter, kommuner och landsting att ingå avtal om att för varandras räkning bistå med hjälp till enskilda och även handlägga vissa förvaltningsärenden. Inga hänvisningar till PUL finns i dag i lagen eller förordningen. Däremot finns i lagens 2, 5 och 9 §§ bestämmelser om personuppgifter. Ett förtydligande av att begreppet har samma innebörd som i dataskyddsförordningen bedöms dock inte som nödvändigt.

Datainspektionen ifrågasätter förslagets förenlighet med dataskyddsförordningen. Lagen om samtjänst vid medborgarkontor möjliggör för myndigheter på olika nivåer att avtala om att utföra uppgifter för varandras räkning. Grunden för att behandla personuppgifter får dock sökas i de författningar som reglerar respektive myndighets verksamhet. Som regeringen anfört i avsnitt 7.1 har en bedömning av dessa författningars tydlighet, precisering, förutsägbarhet och proportionalitet redan gjorts.

Eftersom personuppgiftsbehandlingar således inte sker med samtjänstlagen som grund bör inte en generell upplysningsbestämmelse om dataskyddsförordningen (se avsnitt 7.2) införas i lagen.

Hänvisningar till S12

13. Kasinolagen

Regeringens förslag: En ny paragraf införs i kasinolagen med en upplysning om tillämpningen av EU:s dataskyddsförordning och som klargör att den föreslagna dataskyddslagen ska tillämpas i den utsträckning kasinolagen inte innehåller några avvikande bestämmelser.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker förslaget eller har inte något att invända mot detta.

Skälen för regeringens förslag: I kasinolagen finns bestämmelser om roulettspel, tärningsspel, kortspel och liknande spel som anordnas i lokaler som huvudsakligen används för det ändamålet. I 5–8 §§ finns bestämmelser om registrering, som kräver att personuppgifter behandlas.

Kasinolagen innehåller ingen definition av personuppgifter och inte heller någon bestämmelse som klargör att PUL generellt gäller vid sådan behandling av personuppgifter som lagen förutsätter eller om att kasinolagen helt eller delvis ersätter PUL. I lagens 7 § anges dock att bestämmelserna om rättelse och skadestånd i PUL också gäller vid behandling av personuppgifter enligt kasinolagen (se vidare avsnitt 7.3).

Bestämmelserna i kasinolagen ålägger ansvariga för kasinospel att behandla personuppgifter för att föra register. Den rättsliga grunden för behandlingen får därmed betraktas som en rättslig förpliktelse i enlighet med artikel 6.1 c i dataskyddsförordningen. Eftersom kasinolagen anger en rättslig grund för att behandla personuppgifter bör också en upplysningsbestämmelse införas i lagen om det regelverk som ska tillämpas vid sådana behandlingar. En upplysning om dataskyddsförordningen och att kasinolagen kompletterar denna bör därför införas i lagen. Vidare bör också anges att den föreslagna dataskyddslagen innehåller kompletterande bestämmelser till dataskyddsförordningen och att denna lag är subsidiär till kasinolagen.

Hänvisningar till S13

14. Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: De föreslagna ändringarna ska träda i kraft den 25 maj 2018.

Regeringens bedömning: Det finns inte behov av några övergångsbestämmelser.

Promemorians förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Ingen remissinstans har särskilt kommenterat förslaget och bedömningen.

Skälen för regeringens förslag och bedömning: Huvuddelen av de föreslagna lagändringarna har lämnats med anledning av den beslutade

dataskyddsförordningen, som kommer att träda i kraft den 25 maj 2018. Lagändringarna bör därför träda i kraft den dagen.

Något behov av övergångsbestämmelser bedöms inte finnas.

Hänvisningar till S14

15. Konsekvenser

Regeringens bedömning: Förslagen medför inte någon risk för otillbörliga intrång i den personliga integriteten.

Förslagen medför inte behov av ytterligare medel för de berörda myndigheterna.

Förslagen innebär inte några nya åtaganden eller kostnader för företag.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans har särskilt kommenterat bedömningarna.

Skälen för regeringens bedömning: Skyddet för den personliga integriteten bedöms stärkas genom ikraftträdandet av dataskyddsförordningen också på de områden som behandlas i denna proposition. I de fall som undantag från dataskyddsförordningens bestämmelser föreslagits har andra berättigade intressen ansetts väga tyngre än skyddet för den personliga integriteten.

De ändringar som föreslås som inte föranletts av dataskyddsförordningens ikraftträdande innebär större möjligheter att behandla personuppgifter inom ramen för vad som är förenligt med förordningen. Även i de fall som den personliga integriteten teoretiskt sett skulle kunna försvagas, bedöms dessa försvagningar inte innebära otillbörliga intrång i den personliga integriteten (se vidare avsnitt 8).

De aktuella förslagen handlar till stor del om att uppdatera det befintliga regelverket till dataskyddsförordningen. De undantag från dataskyddsförordningens bestämmelser som föreslagits bedöms inte öka de statliga myndigheternas eller kommunernas eller landstingens kostnader. De bedöms i stället sammantaget kunna bidra till en mer effektiv och ändamålsenlig förvaltning. Förslagen påverkar endast i begränsad utsträckning företag och innebär inga nya åtaganden eller kostnader för dessa.

Hänvisningar till S15

16. Författningskommentar

16.1. Förslaget till lag om ändring i kasinolagen (1999:355)

3 a §

Paragrafen är ny och behandlas i avsnitt 13.

Paragrafen innehåller en upplysning om dataskyddsförordningen och reglerar i vilken utsträckning som den föreslagna dataskyddslagen ska tillämpas vid behandling av personuppgifter enligt kasinolagen och föreskrifter som meddelats i anslutning till denna. Med behandling av personuppgifter avses detsamma som i dataskyddsförordningen.

I första stycket anges att dataskyddsförordningen ska tillämpas vid behandling av personuppgifter enligt kasinolagen och att den senare lagen innehåller kompletterande bestämmelser om sådan behandling.

Av andra stycket framgår att den föreslagna dataskyddslagen också är tillämplig vid behandling av personuppgifter som omfattas av kasinolagen. Dataskyddslagen är dock subsidiär till kasinolagen och föreskrifter som meddelats i anslutning till denna.

Ikraftträdandebestämmelse

Bestämmelsen behandlas i avsnitt 14.

Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.

Hänvisningar till S16-1

16.2. Förslaget till lag om ändring i lagen (2001:99) om den officiella statistiken

1 §

Paragrafen behandlas i avsnitt 8.6.1.

I tredje stycket läggs 16 § till i uppräkningen över vilka bestämmelser som ska gälla vid framställning av annan statistik än officiell statistik hos en statistikansvarig myndighet. I 16 § regleras utlämnande av personuppgifter som inte direkt kan hänföras till en enskild och möjligheten att förse dessa med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. Denna möjlighet är avgörande för att lämna ut uppgifter till undersökningar som sträcker sig över en längre tid. Av 17 § framgår att sådana uppgifter endast får lämnas ut för att behandlas för forskning eller statistik.

2 §

Paragrafen behandlas i avsnitt 7.2.

Ändringen i första stycket innebär att en hänvisning till PUL utgår och ersätts av en hänvisning till dataskyddsförordningen och en upplysning om

att lagen om den officiella statistiken innehåller bestämmelser som kompletterar regleringen i förordningen.

I andra stycket införs en hänvisning till bestämmelserna i den föreslagna dataskyddslagen, som kompletterar regleringen i dataskyddsförordningen. Av hänvisningen framgår att regleringen i dataskyddslagen är subsidiär till bestämmelserna i lagen om den officiella statistiken och de föreskrifter som meddelats i anslutning till den.

Med behandling av personuppgifter avses detsamma som i dataskyddsförordningen.

5 §

Paragrafen behandlas i avsnitt 7.2.

I paragrafen har tredje stycket upphävts, som innehöll en upplysning om bestämmelser i PUL.

14 §

Paragrafen behandlas i avsnitt 7.2 och 8.2.

I första stycket tas en hänvisning till PUL bort. Det tredje stycket är nytt och klargör att en statistikansvarig myndighet kan vara personuppgiftsbiträde åt en annan statistikansvarig myndighet, utan hinder av bestämmelsen i det första stycket, som anger att en statistikansvarig myndighet är personuppgiftsansvarig vid framställning av statistik. Med personuppgiftsbiträde avses detsamma som i dataskyddsförordningen. Bestämmelsen aktualiseras när en statistikansvarig har i uppdrag att bedriva uppdragsverksamhet åt andra statistikansvariga myndigheter.

15 §

Paragrafen behandlas i avsnitt 8.3 och 8.6.2.

Paragrafen innehåller bestämmelser om när känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas.

I första stycket ersätts en hänvisning till PUL av en hänvisning till aktuella bestämmelser i dataskyddsförordningen. När det gäller behandling av personuppgifter som rör lagöverträdelser har bestämmelsen i artikel 10 i dataskyddsförordningen en något annan innebörd än tidigare reglering, som utgick från dataskyddsdirektivet, då tillämpningsområdet enligt förordningen begränsats till enbart fällande domar i brottmål och överträdelser samt därmed sammanhängande säkerhetsåtgärder.

Andra stycket är nytt och reglerar när det är tillåtet att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser vid framställning av annan statistik än officiell statistik. Enligt bestämmelserna är detta tillåtet om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som

behandlingen kan innebära, eller om behandlingen ingår i ett forskningsprojekt och behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

För att behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser ska kunna ske krävs dock även att den statistikansvariga myndigheten har en rättslig grund för behandlingen.

15 a §

Paragrafen behandlas i avsnitt 8.4.

Paragrafen är ny och innehåller undantag från två av de rättigheter som genom dataskyddsförordningen tillkommer den registrerade. Av paragrafen framgår att rättigheterna i artiklarna 16 och 18 i dataskyddsförordningen, dvs. rätten till rättelse och rätten till begränsning av behandlingen av personuppgifter, inte gäller vid behandling av personuppgifter enligt lagen.

Paragrafen har utformats i enlighet med Lagrådets förslag.

26 §

Paragrafen behandlas i avsnitt 7.2.

Ändringen, som innebär att hänvisningen till straffstadgandet i PUL tas bort, är en följdändring av att PUL upphör att gälla.

Ikraftträdandebestämmelse

Bestämmelsen behandlas i avsnitt 14.

Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.

Hänvisningar till S16-2

16.3. Förslaget till lag om ändring i lagen (2006:378) om lägenhetsregister

2 §

Paragrafen behandlas i avsnitt 7.2.

Ändringen i andra stycket innebär att en hänvisning till PUL utgår och ersätts av en hänvisning till dataskyddsförordningen och en upplysning om att lagen om lägenhetsregister innehåller bestämmelser som kompletterar regleringen i förordningen.

I tredje stycket införs en hänvisning till bestämmelserna i den föreslagna dataskyddslagen, som kompletterar regleringen i dataskyddsförordningen. Av hänvisningen framgår att regleringen i dataskyddslagen är subsidiär till bestämmelserna i lagen om lägenhetsregister och de föreskrifter som meddelats i anslutning till den.

Med behandling av personuppgifter avses detsamma som i dataskyddsförordningen.

4 §

Paragrafen behandlas i avsnitt 7.2.

I bestämmelsen anges att den statliga lantmäterimyndigheten, dvs. Lantmäteriet, är personuppgiftsansvarig för registret. Ändringen innebär att en hänvisning till PUL tas bort. Med personuppgiftsansvarig avses detsamma som i dataskyddsförordningen.

9 a §

Paragrafen behandlas i avsnitt 9.2.

Genom införandet av paragrafen, som är ny, undantas den rätt till begränsning av behandling av personuppgifter som annars tillkommer den registrerade i vissa fall i enlighet med artikel 18 i dataskyddsförordningen. Bestämmelsen möjliggör för registerföraren, dvs. Lantmäteriet, att fortsätta behandla personuppgifter utan samtycke från den registrerade.

Rubriken närmast före paragrafen har utformats i enlighet med Lagrådets förslag.

Ikraftträdandebestämmelse

Bestämmelsen behandlas i avsnitt 14.

Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.

Hänvisningar till S16-3

16.4. Förslaget till lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna

5 §

Paragrafen behandlas i avsnitt 11.

Ändringen innebär att en hänvisning till PUL ersätts av en hänvisning till dataskyddsförordningen.

Ikraftträdandebestämmelse

Bestämmelsen behandlas i avsnitt 14.

Av bestämmelsen framgår att lagen träder i kraft den 25 maj 2018.

Hänvisningar till S16-4

Sammanfattning av promemorian Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform (Ds 2017:40)

I april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Genom förordningen införs enhetliga, generella krav på behandling av personuppgifter. Förordningen ersätter Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som i Sverige har genomförts genom personuppgiftslagen (1998:204) samt ett stort antal specifika författningar med särskilda bestämmelser om behandling av personuppgifter inom ett särskilt område.

Med anledning av de nya EU-bestämmelserna redovisas i denna promemoria bedömningar och förslag till författningsändringar inom delar av Finansdepartementets ansvarsområde, bl.a. avseende den officiella statistiken.

Vidare föreslås vissa författningsändringar för att bl.a. förbättra statistikansvariga myndigheters förutsättningar att framställa statistik.

De flesta författningsändringarna föreslås träda i kraft den 25 maj 2018, vilket är samma dag som dataskyddsförordningen ska börja tillämpas.

Lagförslag i promemorian Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Förslag till lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980

Härigenom föreskrivs att lagen (1979:217) om allmän folk- och bostadsräkning år 1980 ska upphöra att gälla den 25 maj 2018.

Förslag till lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning

Härigenom föreskrivs att lagen (1984:531) om 1985 års folk- och bostadsräkning ska upphöra att gälla den 25 maj 2018.

Förslag till lag om upphävande av lagen (1989:329) om en folk- och bostadsräkning år 1990

Härigenom föreskrivs att lagen (1989:329) om en folk- och bostadsräkning år 1990 ska upphöra att gälla den 25 maj 2018.

Förslag till lag om ändring i kasinolagen (1999:355)

Härigenom föreskrivs i fråga om kasinolagen (1999:355)

dels att 7 § ska upphöra att gälla,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

3 a §

Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.

Även lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.

Denna lag träder i kraft den 25 maj 2018.

Förslag till lag om ändring i lagen (2001:99) om den officiella statistiken

Härigenom föreskrivs i fråga om lagen (2001:99) om den officiella statistiken

dels att 23 § ska upphöra att gälla,

dels att rubriken närmast före 23 § ska utgå,

dels att 1, 2, 5, 14, 15, 18 och 26 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 15 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §5

Denna lag innehåller bestämmelser om officiell statistik.

Regeringen meddelar föreskrifter om vilka myndigheter som ansvarar för officiell statistik (statistikansvariga myndigheter).

Bestämmelserna i 14, 15 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.

Bestämmelserna i 14–16 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.

2 §

Personuppgiftslagen (1998:204) gäller vid framställning av statistik i den mån det inte finns avvikande bestämmelser i denna lag.

Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.

Även lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter

5 Senaste lydelse 2013:945.

som har meddelats i anslutning till den.

5 §6

Den officiella statistiken ska framställas och offentliggöras med beaktande av behovet av skydd för fysiska och juridiska personers intressen.

Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot kränkning av enskilds personliga integritet genom behandling av personuppgifter finns i personuppgiftslagen (1998:204) .

14 §

En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig enligt personuppgiftslagen (1998:204).

En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig.

Behandling av personuppgifter får omfatta uppgift om personnummer.

Trots första stycket kan en statistikansvarig myndighet agera personuppgiftsbiträde åt en annan statistikansvarig myndighet.

15 §

Personuppgifter som avses i 13 § och 21 § första stycket person-uppgiftslagen (1998:204)får behandlas om det följer av föreskrifter som regeringen meddelar.

Personuppgifter som avses i artikel 9.1 och artikel 10 i Europaparlamentets och rådets förordning (EU) nr 2016/679 får behandlas endast om det följer av föreskrifter som regeringen meddelar.

15 a §

Artiklarna 16, 18 och 21 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

6 Senaste lydelse 2009:490.

18 §

Den som har fått personuppgifter som avses i 16 § första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter.

Den som har fått personuppgifter som avses i 16 § första stycket behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta eller blockera uppgifter.

26 §

Den som bryter mot 6 § skall dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalkeneller personuppgiftslagen (1998:204). I ringa fall döms inte till ansvar.

Den som bryter mot 6 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall döms inte till ansvar.

Denna lag träder i kraft den 25 maj 2018.

Förslag till lag om ändring i lagen (2004:543) om samtjänst vid medborgarkontor

Härigenom föreskrivs att 2 § lagen (2004:543) om samtjänst vid medborgarkontor ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §7

Ett samtjänstavtal ska ange vilka förvaltningsuppgifter som ska omfattas av samtjänsten.

Förvaltningsuppgifter som innefattar myndighetsutövning eller som kräver tillgång till personuppgifter ska anges särskilt i avtalet.

Förvaltningsuppgifter som innefattar myndighetsutövning eller som kräver tillgång till personuppgifter ska anges särskilt i avtalet. Med personuppgifter avses detsamma som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Av avtalet ska det även framgå vilken tillgång till personuppgifter som behövs för att de förvaltningsuppgifter som omfattas av avtalet ska kunna utföras.

Så snart ett samtjänstavtal har träffats eller ändrats ska en kopia av avtalet sändas in till regeringen eller den myndighet som regeringen bestämmer.

Denna lag träder i kraft den 25 maj 2018.

7 Senaste lydelse 2009:314.

Förslag till lag om ändring i lagen (2006:378) om lägenhetsregister

Härigenom föreskrivs i fråga om lagen (2006:378) om lägenhetsregister

dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 2 och 4 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §8

Den statliga lantmäterimyndigheten ska för de ändamål som anges i 5 § föra ett lägenhetsregister.

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i lägenhetsregistret, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.

Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Denna lag innehåller kompletterande bestämmelser om sådan behandling.

Även lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt denna lag, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till den.

4 §9

Den statliga lantmäterimyndigheten är personuppgiftsansvarigt enligt personuppgiftslagen (1998:204) för lägenhetsregistret.

Den statliga lantmäterimyndigheten är personuppgiftsansvarig för lägenhetsregistret.

8 Senaste lydelse 2008:539. 9 Senaste lydelse 2008:539.

Undantag från rättigheter

9 a §

Artikel 18 i Europaparlamentets och rådets förordning (EU) nr 2016/679 gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

Denna lag träder i kraft den 25 maj 2018.

Förslag till lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna

Härigenom föreskrivs att 5 § lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i person-uppgiftslagen (1998:204).

Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna lag träder i kraft den 25 maj 2018.

Förteckning över remissinstanserna

Efter remiss har yttrande över Finansdepartements promemoria Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform (Ds 2017:40) kommit in från Sveriges riksbank, Justitiekanslern, Domstolsverket, Brottsförebyggande rådet, Datainspektionen, Försäkringskassan, Socialstyrelsen, Pensionsmyndigheten, Myndigheten för familjerätt och föräldraskapsstöd, Inspektionen för socialförsäkringen, Riksgäldskontoret, Finansinspektionen, Ekonomistyrningsverket, Skatteverket, Konjunkturinstitutet, Lotteriinspektionen, Statistiska centralbyrån, Statens skolverk, Kungl. biblioteket, Vetenskapsrådet, Centrala studiestödsnämnden, Naturvårdsverket, Havs- och vattenmyndigheten, Statens energimyndighet, Trafikanalys, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Skogsstyrelsen, Lantmäteriet, Riksarkivet, Arbetsmiljöverket, Medlingsinstitutet och Casino Cosmopol.

Universitetskanslersämbetet, Regelrådet, Sveriges lantbruksuniversitet, Sveriges kommuner och landsting, Myndigheten för vård- och omsorgsanalys, Kemikalieinspektionen, Tillväxtverket, Statens jordbruksverk och Myndigheten för kulturanalys har inbjudits att lämna synpunkter, men avstått från att yttra sig eller inte avhörts.

Lagrådsremissens lagförslag

Regeringen har följande förslag till lagtext.

Förslag till lag om ändring i kasinolagen (1999:355)

Härigenom föreskrivs i fråga om kasinolagen (1999:355)

dels att 7 § ska upphöra att gälla,

dels att det ska införas en ny paragraf, 3 a §, av följande lydelse.

3 a §

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Denna lag träder i kraft den 25 maj 2018.

Förslag till lag om ändring i lagen (2001:99) om den officiella statistiken

Härigenom föreskrivs i fråga om lagen (2001:99) om den officiella statistiken

dels att 18 och 23 §§ ska upphöra att gälla,

dels att rubriken närmast före 23 § ska utgå,

dels att 1, 2, 5, 14, 15 och 26 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 15 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §1

Denna lag innehåller bestämmelser om officiell statistik. Regeringen meddelar föreskrifter om vilka myndigheter som ansvarar för officiell statistik (statistikansvariga myndigheter).

Bestämmelserna i 14, 15 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.

Bestämmelserna i 14–16 och 19 §§ gäller även vid framställning av annan statistik hos en statistikansvarig myndighet.

2 §

Personuppgiftslagen (1998:204) gäller vid framställning av statistik i den mån det inte finns avvikande bestämmelser i denna lag.

Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av

1 Senaste lydelse 2013:945.

denna lag eller föreskrifter som har meddelats i anslutning till lagen.

5 §2

Den officiella statistiken ska framställas och offentliggöras med beaktande av behovet av skydd för fysiska och juridiska personers intressen.

Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400).

Bestämmelser om skydd mot kränkning av enskilds personliga integritet genom behandling av personuppgifter finns i personuppgiftslagen (1998:204) .

14 §

En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig enligt personuppgiftslagen (1998:204).

En statistikansvarig myndighet får behandla personuppgifter för framställning av statistik om inte annat följer av 15 §. För sådan behandling är myndigheten personuppgiftsansvarig.

Behandling av personuppgifter får omfatta uppgift om personnummer.

Trots vad som anges i första stycket kan en statistikansvarig myndighet vara personuppgiftsbiträde åt en annan statistikansvarig myndighet.

15 §

Personuppgifter som avses i 13 § och 21 § första stycket person-uppgiftslagen (1998:204)får behandlas om det följer av föreskrifter som regeringen meddelar.

Personuppgifter som avses i artikel 9.1 och artikel 10 i EU:s dataskyddsförordning får behandlas om det följer av föreskrifter som regeringen meddelar.

Vid framställning av annan statistik än officiell statistik får personuppgifter enligt första stycket också behandlas om behandlingen

1. är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den

2 Senaste lydelse 2009:490. Ändringen innebär att tredje stycket tas bort.

risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära, eller

2. ingår i ett forskningsprojekt och behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

15 a §

Artiklarna 16 och 18 i EU:s dataskyddsförordning gäller inte vid behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

26 §

Den som bryter mot 6 § skall dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalkeneller person-uppgiftslagen (1998:204). I ringa fall döms inte till ansvar.

Den som bryter mot 6 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken. I ringa fall döms det inte till ansvar.

Denna lag träder i kraft den 25 maj 2018.

Förslag till lag om ändring i lagen (2006:378) om lägenhetsregister

Härigenom föreskrivs i fråga om lagen (2006:378) om lägenhetsregister

dels att 24 § ska upphöra att gälla,

dels att rubriken närmast före 24 § ska utgå,

dels att 2 och 4 §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 9 a §, och närmast före 9 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

Den statliga lantmäterimyndigheten ska för de ändamål som anges i 5 § föra ett lägenhetsregister.

Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i lägenhetsregistret, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen .

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen ( 2018:000 ) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

1 Senaste lydelse 2008:539.

4 §2

Den statliga lantmäterimyndigheten är personuppgiftsansvarigt enligt personuppgiftslagen (1998:204) för lägenhetsregistret.

Den statliga lantmäterimyndigheten är personuppgiftsansvarig för lägenhetsregistret.

Undantag från rättigheter

9 a §

Artikel 18 i EU:s dataskyddsförordning gäller inte vid sådan behandling av personuppgifter som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till den.

Denna lag träder i kraft den 25 maj 2018.

2 Senaste lydelse 2008:539.

Förslag till lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna

Härigenom föreskrivs att 5 § lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i per-sonuppgiftslagen (1998:204).

Personuppgifter får inte behandlas i databasen. Med personuppgifter avses detsamma som i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna lag träder i kraft den 25 maj 2018.

Förslag till lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980

Härigenom föreskrivs att lagen (1979:217) om allmän folk- och bostadsräkning år 1980 ska upphöra att gälla den 25 maj 2018.

Förslag till lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning

Härigenom föreskrivs att lagen (1984:531) om 1985 års folk- och bostadsräkning ska upphöra att gälla den 25 maj 2018.

Förslag till lag om upphävande av lagen (1989:329) om en folk- och bostadsräkning år 1990

Härigenom föreskrivs att lagen (1989:329) om en folk- och bostadsräkning år 1990 ska upphöra att gälla den 25 maj 2018.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2018-02-07

Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Enligt en lagrådsremiss den 25 januari 2018 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till

1. lag om ändring i kasinolagen (1999:355),

2. lag om ändring i lagen (2001:99) om den officiella statistiken,

3. lag om ändring i lagen (2006:378) om lägenhetsregister,

4. lag om ändring i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna,

5. lag om upphävande av lagen (1979:217) om allmän folk- och bostadsräkning år 1980,

6. lag om upphävande av lagen (1984:531) om 1985 års folk- och bostadsräkning,

7. lag om upphävande av lagen (1989:329) om en folk- och bostads- räkning år 1990.

Förslagen har inför Lagrådet föredragits av rättssakkunniga Maria Andersson Müller.

Förslagen föranleder följande yttrande av Lagrådet:

Förslaget till lag om ändring i lagen om den officiella statistiken

15 a §

Av paragrafen bör det framgå vad de angivna artiklarna innehåller. Paragrafen kan inledas enligt följande.

Artiklarna 16 och 18 i EU:s dataskyddsförordning om rätten till rättelse och rätten till begränsning av behandling av personuppgifter gäller inte …

Förslaget till lag om ändring i lagen om lägenhetsregister

Med hänsyn till intresset av en enhetlig reglering bör rubriken före 9 a § utformas med beaktande av hur motsvarande rubriker har utformats i andra lagrådsremisser när det gäller undantag från artikel 18 i EU:s dataskyddsförordning. Rubrikerna i dessa remisser, ”Begränsning av behandling”, knyter an till rubriken före artikel 18; se t.ex. lagförslag 1, 10 och 16 i lagrådsremissen Några civilrättsliga anpassningar till EU:s dataskyddsförordning. (Jfr motsvarande rubriker i fråga om undantag från

artikel 21.1 ”Rätten att göra invändningar”.) Lagrådet har i de tidigare ärendena förordat att rubrikerna kompletteras med orden ”av personuppgifter”.

Mot denna bakgrund föreslår Lagrådet att rubriken ändras till ”Begränsning av behandling av personuppgifter”.

Övriga lagförslag

Lagrådet lämnar förslagen utan erinran.

Finansdepartementet

Utdrag ur protokoll vid regeringssammanträde den 22 februari 2018

Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Bolund, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Eriksson, Linde, Skog, Ekström, Eneroth

Föredragande: statsrådet Shekarabi

Regeringen beslutar proposition 2017/18:107 Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform