SOU 2017:29
Brottsdatalag
Till statsrådet Anders Ygeman
Den 17 mars 2016 bemyndigade regeringen statsrådet Ygeman att tillkalla en särskild utredare med uppdrag att föreslå hur EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet ska genomföras i svensk rätt. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2016:21).
Till särskild utredare förordnades från och med den 1 april 2016 numera f.d. överåklagaren Gunnel Lindberg.
Utredningen har antagit namnet Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06).
Till sakkunniga att biträda utredningen förordnades från och med den 1 april 2016 rättssakkunniga vid Justitiedepartementet Anna Westin och kanslirådet vid Finansdepartementet Leena Mildenberger. Till experter utsågs juristen vid Datainspektionen Cecilia Agnehall, verksjuristen vid Ekobrottsmyndigheten Eva Bergholm Guhnby, personuppgiftsombudet, tillika verksjuristen, vid Säkerhetspolisen Fredrik Berglund, verksjuristen vid Tullverket Pernilla Jäderberg, verksjuristen vid Polismyndigheten David Kummel, advokaten Conny Larsson, sektionschefen vid Kriminalvården Eric Leijonram, seniora föredraganden vid Säkerhets- och integritetsskyddsnämnden Lisa Lundin, it-utvecklingschefen vid Åklagarmyndigheten Stephan Uttersköld, dåvarande juristen vid Domstolsverket Jonna Wiborn, verksjuristen vid Kustbevakningen Peter Åkesson och rättsliga experten vid Skatteverket Maria Östgren.
Jonna Wiborn entledigades från sitt uppdrag den 31 augusti 2016 och bitr. enhetschefen Amanda Rörby utsågs i hennes ställe. Den 22 oktober 2016 entledigades Lisa Lundin från sitt uppdrag och juristen Fabian Holgersson utsågs i hennes ställe.
Ämnesrådet vid Justitiedepartementet Sofie Lindblom har varit huvudsekreterare i utredningen från och med den 1 april 2016. Sek-
reterare i utredningen har varit verksjuristen Malin Lundberg från och med den 1 april 2016, hovrättsassessorerna Karin Månsson och Anja Nordfeldt från och med den 1 maj 2016, hovrättsassessorn Karin Brandqvist Sundblad från och med den 16 maj 2016 och hovrättsassessorn Maria Arnell från och med den 1 september 2016.
Härmed överlämnas betänkandet Brottsdatalag, SOU 2017:29. Till betänkandet har fogats särskilda yttranden av experterna David Kummel och Conny Larsson. Med undantag från vad som framgår där har de sakkunniga och experterna i huvudsak ställt sig bakom utredningens överväganden och förslag.
Stockholm i april 2017
Gunnel Lindberg
/ Sofie Lindblom
Maria Arnell Karin Brandqvist Sundblad Malin Lundberg Karin Månsson Anja Nordfeldt
3
Innehåll
Sammanfattning ................................................................ 19
1 Författningsförslag ..................................................... 29
1.1 Förslag till brottsdatalag (2018:000)...................................... 29 1.2 Förslag till brottsdataförordning (2018:000) ........................ 57 1.3 Förslag till lag om ändring i lagen (2000:562) om internationell rättslig hjälp i brottmål .................................... 70 1.4 Förslag till lag om ändring i lagen (2000:1219) om internationellt tullsamarbete .................................................. 71 1.5 Förslag till lag om ändring i lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar ...... 72 1.6 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) ....................................................... 73 1.7 Förslag till lag om ändring i lagen (2017:000) om internationellt polisiärt samarbete ......................................... 76 1.8 Förslag till förordning om ändring i förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen .................................................................................... 77 1.9 Förslag till förordning om ändring i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ................................................................................. 78
Innehåll SOU 2017:29
4
2 Utredningens uppdrag och arbete ................................ 79
2.1 Utredningsuppdraget ............................................................. 79 2.2 Genomförande av uppdraget ................................................. 80 2.3 Avgränsningen av uppdraget.................................................. 81
3 Dagens reglering av behandlingen av personuppgifter .... 83
3.1 Huvuddragen i dagens personuppgiftsreglering ................... 83 3.1.1 Regeringsformen och Europakonventionen ......... 83 3.1.2 Personuppgiftslagen ................................................ 84 3.1.3 Personuppgiftslagens förhållande till annan lagstiftning ............................................................... 91 3.2 Särregler för brottsbekämpande verksamhet ........................ 91 3.2.1 Polisen ...................................................................... 91 3.2.2 Tullverket................................................................. 95 3.2.3 Kustbevakningen ..................................................... 97 3.2.4 Skatteverket ............................................................. 99 3.2.5 Åklagarväsendet .................................................... 101 3.2.6 Lagen om internationellt polisiärt samarbete ...... 102 3.2.7 Lagen om internationellt tullsamarbete ............... 102 3.2.8 Lagen om register över tillträdesförbud vid idrottsarrangemang ............................................... 103 3.3 Särregler för lagföring .......................................................... 103 3.3.1 Åklagarväsendet .................................................... 103 3.3.2 Domstolsväsendet ................................................. 106 3.3.3 Register över ordningsbot och strafföreläggande ................................................... 107 3.4 Särregler för verkställighet av straff .................................... 109 3.4.1 Särreglering bara för vissa former av verkställighet ......................................................... 109 3.4.2 Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst........................ 110 3.4.3 Verkställighet av bötesstraff ................................. 112 3.4.4 Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen, ungdomsvård och ungdomstjänst ....................................................... 113
Innehåll
5
3.4.5 Internationellt samarbete rörande verkställighet av straffrättsliga påföljder .............. 115
3.5 Regler om personuppgiftsbehandling hos andra aktörer än myndigheter ..................................................................... 115 3.5.1 Uppgifter om brottsbekämpning, lagföring eller straffverkställighet ......................................... 115 3.5.2 Offentliga försvarare och annat juridiskt biträde ..................................................................... 116 3.5.3 Idrottsorganisationer............................................. 117 3.6 2013 års lag ............................................................................ 117
4 Reformer på dataskyddsområdet ............................... 119
4.1 Gällande unionsrättsakter .................................................... 119 4.1.1 Rättighetsstadgan .................................................. 119 4.1.2 1995 års dataskyddsdirektiv .................................. 119 4.1.3 Dataskyddsrambeslutet ......................................... 120 4.2 Europeiska unionens dataskyddsreform ............................. 120 4.2.1 Två nya rättsliga instrument ................................. 120 4.2.2 En dataskyddsförordning ...................................... 121 4.2.3 Ett nytt dataskyddsdirektiv .................................. 122 4.2.4 Viss personuppgiftsbehandling ligger utanför båda instrumenten ................................................. 123 4.3 Dataskyddskonventionen ..................................................... 123
5 Det nya dataskyddsdirektivet .................................... 125
5.1 Allmänt om direktivet .......................................................... 125 5.2 Innehållet i direktivet ............................................................ 125
6 En ny ramlag........................................................... 137
6.1 En ramlag för brottsbekämpning, lagföring och straffverkställighet bör införas ............................................. 137 6.1.1 En ny reglering behövs .......................................... 137 6.1.2 En generellt tillämplig men subsidiär lag ............. 139 6.1.3 Ramlagens syfte ..................................................... 144 6.1.4 2013 års lag bör upphävas ...................................... 145
Innehåll SOU 2017:29
6
6.2 Uttryck i ramlagen ............................................................... 146 6.3 Dataskyddsbestämmelser i tidigare rättsakter och avtal .... 154
7 Ramlagens tillämpningsområde ................................. 159
7.1 Utformningen av tillämpningsområdet .............................. 159 7.1.1 Personuppgiftsbehandling som behöriga myndigheter utför för vissa syften ....................... 159 7.1.2 Personuppgiftsbehandling som rör brottsbekämpning, lagföring och straffverkställighet ................................................ 161 7.1.3 Personuppgiftsbehandling som rör allmän ordning och säkerhet ............................................ 164 7.1.4 Vad är en behörig myndighet? ............................. 169 7.1.5 Arbetsuppgifterna är avgörande för när en myndighet är behörig ............................................ 171 7.1.6 Helt eller delvis automatiserad behandling ......... 173 7.2 Undantag från tillämpningsområdet ................................... 174 7.2.1 Personuppgiftsbehandling som rör nationell säkerhet .................................................................. 174 7.2.2 Den gemensamma utrikes- och säkerhetspolitiken ................................................. 178 7.3 Förhållandet till offentlighetsprincipen och till tryck- och yttrandefriheten ............................................................. 179
8 Gränsdragningsfrågor som rör tillämpningsområdet ..... 181
8.1 Några allmänna principer för gränsdragningen .................. 181 8.2 Gränsdragningsfrågor som rör brottsbekämpning............. 185 8.2.1 Anmälan om brott ................................................. 185 8.2.2 Användning av straffprocessuella tvångsmedel ... 187 8.2.3 Utredning av brott som begåtts av någon under 15 år ............................................................. 188 8.2.4 Stödverksamhet till den brottsbekämpande verksamheten ......................................................... 189 8.2.5 Häktesverksamhet................................................. 191 8.2.6 Handräcknings- och transportverksamhet .......... 193 8.2.7 Samverkan mot organiserad brottslighet ............. 195
Innehåll
7
8.2.8 Viss skyddslagstiftning .......................................... 196 8.2.9 Omhändertagande och förstörande av alkohol och narkotika m.m. ................................................ 197 8.2.10 Kontrollverksamhet eller brottsbekämpning? ..... 198 8.2.11 Allmän övervakning eller brottsbekämpning? ..... 203
8.3 Gränsdragningsfrågor som rör lagföring ............................. 206 8.3.1 Åklagaruppgifter .................................................... 206 8.3.2 Brottmålshantering i domstol ............................... 207 8.3.3 Särskild talan i brottmål ........................................ 208 8.3.4 Talan om förbud i vissa fall ................................... 211 8.3.5 Personutredning i brottmål................................... 214 8.3.6 Behandling av uppgifter om lagöverträdelser ...... 215 8.4 Gränsdragningsfrågor som rör verkställighet av påföljder ................................................................................. 217 8.4.1 Verkställighet av fängelsestraff ............................. 217 8.4.2 Verkställighet av sluten ungdomsvård ................. 221 8.4.3 Verkställighet av frivårdspåföljder ........................ 221 8.4.4 Verkställighet av bötesstraff ................................. 222 8.4.5 Verkställighet av påföljder som innebär vård ...... 224 8.4.6 Domstolsprövning av vissa verkställighetsfrågor .............................................. 225 8.5 Gränsdragningsfrågor som rör upprätthållande av allmän ordning och säkerhet ................................................ 227 8.5.1 Tvångsingripanden vid ordningsstörningar ......... 227 8.5.2 Tillträdesförbud vid idrottsarrangemang ............. 228 8.5.3 Militärpolisen ......................................................... 229 8.5.4 Ordningsvakter och andra med likartade uppgifter ................................................................. 230 8.5.5 Lagstiftning av i huvudsak social karaktär ........... 232
9 Principer för behandling av personuppgifter ............... 235
9.1 Behandling för ändamål inom ramlagens tillämpningsområde .............................................................. 235 9.1.1 Förutsättningarna för att få behandla personuppgifter ..................................................... 235 9.1.2 Rättslig grund för behandling – huvudregeln ...... 236
Innehåll SOU 2017:29
8
9.1.3 Rättslig grund i undantagsfall för diarieföring och handläggning .................................................. 239 9.1.4 Skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser .......................................... 240 9.1.5 Behandling bara för särskilda, uttryckligt angivna och berättigade ändamål .......................... 242 9.1.6 Behandling för nya ändamål ................................. 246 9.1.7 Behandling för vetenskapliga, statistiska och historiska ändamål ................................................. 253
9.2 Grundläggande krav på behandlingen ................................. 254 9.2.1 Ingen generell bestämmelse om grundläggande principer ....................................... 254 9.2.2 Personuppgifter ska vara korrekta och adekvata ................................................................. 257 9.2.3 Olika typer av personuppgifter ska skiljas från varandra .................................................................. 260 9.2.4 Känsliga personuppgifter ...................................... 263 9.2.5 Inga ytterligare regler om vilka personuppgifter som får behandlas ...................... 276 9.2.6 Åtgärder för att säkerställa personuppgifternas kvalitet .................................. 278 9.3 Längsta tid som personuppgifter får behandlas .................. 282 9.3.1 Terminologin bör renodlas ................................... 282 9.3.2 Hur länge får personuppgifter behandlas? .......... 284 9.4 Automatiserade beslut.......................................................... 287 9.5 Användningsbegränsning ..................................................... 288 9.6 Behandling för ändamål utanför ramlagens tillämpningsområde .............................................................. 291
10
Personuppgiftsansvarigas skyldigheter ....................... 297 10.1 Vad innebär personuppgiftsansvar? ..................................... 297
10.1.1 Definition av personuppgiftsansvarig .................. 297 10.1.2 Personuppgiftsansvarets omfattning ................... 298
Innehåll
9
10.2 Skyldigheten att säkerställa författningsenlig behandling ............................................................................. 300 10.2.1 Tekniska och organisatoriska åtgärder ................. 300 10.2.2 Loggning ................................................................ 305 10.2.3 Tillgången till personuppgifter ............................. 311 10.2.4 Konsekvensbedömning ......................................... 313 10.2.5 Förhandssamråd med tillsynsmyndigheten ......... 314 10.2.6 Samarbete med tillsynsmyndigheten .................... 318 10.2.7 Skyldighet att förteckna behandlingar ................. 319 10.2.8 Anmälan av överträdelser ...................................... 323 10.3 Säkerheten för personuppgifter ........................................... 325 10.4 Personuppgiftsincidenter ..................................................... 328 10.4.1 Vad är en personuppgiftsincident? ....................... 328 10.4.2 Anmälan till tillsynsmyndigheten ........................ 330 10.4.3 Underrättelse till den registrerade ........................ 334 10.4.4 Dokumentations- och underrättelseskyldighet ... 338 10.5 Dataskyddsombud ................................................................ 339 10.5.1 Definition av dataskyddsombud ........................... 339 10.5.2 Krav på dataskyddsombud .................................... 340 10.5.3 Dataskyddsombudens arbetsuppgifter................. 344 10.6 Personuppgiftsbiträden ........................................................ 348 10.6.1 Definition av personuppgiftsbiträde .................... 348 10.6.2 Anlitande av personuppgiftsbiträden ................... 349 10.6.3 Behandling enligt den
personuppgiftsansvariges instruktioner ............... 354
10.6.4 Skyldighet att förteckna behandlingar ................. 356 10.6.5 Övriga skyldigheter för personuppgiftsbiträden ......................................... 357
10.7 Gemensamt personuppgiftsansvar ....................................... 359 10.7.1 Gemensamt personuppgiftsansvar i dag............... 359 10.7.2 En tydligare reglering av gemensamt
personuppgiftsansvar ............................................. 361
10.8 Föreskriftsrätt ....................................................................... 364
Innehåll SOU 2017:29
10
11
Enskildas rättigheter ................................................ 367 11.1 Tydligare reglering av enskildas rättigheter ........................ 367 11.2 Rätten till information ......................................................... 367
11.2.1 Allmänt om rätten till information ...................... 367 11.2.2 Reglerna om information i straffrättsliga förfaranden har företräde...................................... 370 11.2.3 Innehållet i direktivet ............................................ 371 11.2.4 Nuvarande reglering .............................................. 372 11.2.5 Innebörden av artiklarna om information ........... 374 11.2.6 Allmän information som ska göras tillgänglig .... 377 11.2.7 Information som ska lämnas i specifika fall ........ 378 11.2.8 Information som ska lämnas på begäran ............. 381 11.2.9 Information om automatiserade beslut ............... 389
11.3 Begränsning av rätten till information ................................ 390 11.3.1 Rätten till information får begränsas ................... 390 11.3.2 Kategorier av behandling ...................................... 396 11.3.3 Ofärdig text och minnesanteckningar ................. 397 11.3.4 Orimliga eller uppenbart ogrundade
framställningar ....................................................... 400
11.4 Rättelse, radering och begränsning av behandlingen .......... 402 11.4.1 Rätten till rättelse och komplettering .................. 402 11.4.2 Rätten till radering ................................................ 405 11.4.3 Begränsning av behandlingen ............................... 407 11.4.4 Val av åtgärd .......................................................... 412 11.5 Hur informationen ska begäras och lämnas ........................ 413 11.5.1 Kraven på informationen och på den som
begär information .................................................. 413
11.5.2 Skriftlig begäran .................................................... 413 11.5.3 Åtgärder för att säkerställa att begäran görs av en behörig person .................................................. 414 11.5.4 Lättbegriplig information i lämplig form ............ 415 11.5.5 Åtgärder som underlättar utövandet av rättigheterna .......................................................... 417 11.5.6 Skyldighet att informera om handläggningen ..... 418 11.5.7 Beslut ska vara skriftliga och motiverade ............ 419 11.5.8 Underrättelseskyldighet ....................................... 420
Innehåll
11
11.5.9 Information ska inte avgiftsbeläggas .................... 424
12
Tillsyn .................................................................... 425 12.1 Dagens tillsyn över personuppgiftsbehandling ................... 425
12.1.1 Datainspektionen................................................... 425 12.1.2 Säkerhets- och integritetsskyddsnämnden .......... 426 12.1.3 JO och JK ............................................................... 428
12.2 Utgångspunkter för utredningens överväganden om tillsyn ..................................................................................... 428 12.3 Tillsynsmyndighet enligt direktivet ..................................... 432 12.3.1 Förslaget från Utredningen om tillsyn över
den personliga integriteten ................................... 432
12.3.2 Annan tillsyn kan också förekomma .................... 433
12.4 Tillsynsområdet ..................................................................... 433 12.4.1 Tillsynsområdet bör slås fast i en definition ........ 433 12.4.2 Ingen förändring av tillsynen över dömande
verksamhet ............................................................. 435
12.5 Tillsynsmyndighetens uppdrag ............................................ 441 12.5.1 Tillsynsmyndighetens oberoende ska värnas ....... 441 12.5.2 Tillsynsmyndigheten ska ha dubbla perspektiv ... 443 12.6 Tillsynsmyndighetens uppgifter .......................................... 445 12.6.1 Huvuduppgifterna bör regleras i ramlagen .......... 445 12.6.2 Klagomål från enskilda .......................................... 447 12.6.3 Kontroll av om behandling är
författningsenlig .................................................... 450
12.6.4 Information och rådgivning .................................. 456
12.7 Tillsynsmyndighetens befogenheter .................................... 460 12.7.1 Hur bör tillsynen bedrivas? .................................. 460 12.7.2 Utgångspunkterna för regleringen ....................... 462 12.7.3 Undersökningsbefogenheter ................................ 463 12.7.4 Skillnad mellan förebyggande och
korrigerande befogenheter .................................... 466
12.7.5 Förebyggande befogenheter ................................. 468 12.7.6 Korrigerande befogenheter ................................... 470
12.8 Handläggningen av tillsynsfrågor ........................................ 473
Innehåll SOU 2017:29
12
12.8.1 Förvaltningslagens tillämplighet .......................... 473 12.8.2 Kommunikationsskyldighet ................................. 474 12.8.3 Beslut ska gälla när de fått laga kraft .................... 475 12.8.4 Anmälningsskyldighet .......................................... 476
12.9 Möjlighet att ifrågasätta giltigheten av unionsrättsakter ... 477 12.10 Internationellt samarbete ..................................................... 479 12.10.1 Skyldighet att bistå en tillsynsmyndighet i en
annan medlemsstat ................................................ 479
12.10.2 Svensk begäran om bistånd av en annan medlemsstat ........................................................... 481
12.11 Tillsyn ska vara avgiftsfri ...................................................... 483 12.11.1 Tillsynsmyndigheten ska inte kunna ta ut
avgifter ................................................................... 483
12.11.2 Ersättning för bistånd till en annan medlemsstat ........................................................... 484
12.12 Övriga frågor ........................................................................ 486
13
Sanktioner .............................................................. 489 13.1 Utgångspunkter för valet av sanktionssystem .................... 489
13.1.1 Olika typer av sanktioner ..................................... 489 13.1.2 Innehållet i direktivet och nuvarande reglering... 489 13.1.3 Ett sammanhållet sanktionssystem ...................... 491
13.2 Vilket sanktionssystem bör väljas? ...................................... 492 13.2.1 Ingen straffbestämmelse i ramlagen ..................... 492 13.2.2 En ny administrativ sanktion ska införas ............ 496 13.3 Utformningen av sanktionsavgiftssystemet ....................... 501 13.4 Vem ska betala sanktionsavgift? .......................................... 504 13.5 Vad ska föranleda sanktionsavgift? ..................................... 505 13.5.1 Allmänna utgångspunkter .................................... 505 13.5.2 Överträdelser som kan föranleda
sanktionsavgift ...................................................... 506
13.5.3 Ska sanktionsavgift alltid tas ut? .......................... 510
13.6 Hur sanktionsavgiften ska bestämmas ................................ 512 13.6.1 Sanktionsavgiftens storlek .................................... 512
Innehåll
13
13.6.2 Hur avgiften ska bestämmas i det enskilda fallet ........................................................................ 517
13.7 Beslut om sanktionsavgift .................................................... 520 13.7.1 Vem ska besluta om sanktionsavgift? .................. 520 13.7.2 Förfarandet vid beslut om sanktionsavgift .......... 521 13.7.3 Betalning och verkställighet .................................. 523 13.7.4 Överklagande ......................................................... 524 13.8 Sanktionsavgift och Europakonventionen .......................... 524 13.8.1 Konventionens krav på rättssäkerhetsgarantier ... 524 13.8.2 Konventionens förbud mot dubbelprövning ....... 525
14
Rättsmedel och skadestånd ...................................... 527 14.1 Krav på effektiva rättsmedel vid felaktig
personuppgiftsbehandling .................................................... 527
14.2 Talerätt för registrerade ........................................................ 529 14.3 Skadestånd ............................................................................. 530 14.3.1 Det allmännas skadeståndsansvar ......................... 530 14.3.2 Skadeståndsskyldighet för
personuppgiftsansvariga ........................................ 532
14.4 Överklagande av en myndighets beslut i egenskap av personuppgiftsansvarig ......................................................... 537 14.5 Klagomål ................................................................................ 540 14.6 Dröjsmålstalan ...................................................................... 545 14.6.1 En särskild reglering behövs ................................. 545 14.6.2 Handläggningen hos tillsynsmyndigheten ........... 550 14.6.3 Domstolsprövningen ............................................. 554 14.7 Överklagande av tillsynsmyndighetens beslut .................... 557 14.7.1 Tillsynsmyndighetens beslut ska kunna
överklagas ............................................................... 557
14.7.2 Det behövs ingen ny forumregel .......................... 562
14.8 Rättsmedlen är oberoende av varandra ................................ 563 14.9 Rätt för ideella organisationer att företräda registrerade ... 564
Innehåll SOU 2017:29
14
15
Överföring till tredjeland och internationella
organisationer .......................................................... 569
15.1 Bakgrund ............................................................................... 569 15.1.1 2013 års lag ............................................................ 569 15.1.2 Personuppgiftslagen .............................................. 570 15.1.3 Innehållet i direktivet ............................................ 571 15.2 Några grundläggande begrepp ............................................. 572 15.2.1 Överföring ............................................................. 572 15.2.2 Medlemsstat........................................................... 574 15.2.3 Tredjeland .............................................................. 578 15.2.4 Internationell organisation ................................... 578 15.2.5 Internationella avtal .............................................. 579 15.3 Allmänna principer för överföring av personuppgifter ...... 580 15.3.1 Grundläggande förutsättningar för överföring ... 580 15.3.2 Överföringen ska vara nödvändig för ett visst
ändamål och riktas till en behörig myndighet ..... 583
15.3.3 Viss skyddsnivå ska vara säkerställd .................... 585 15.3.4 Överföring av uppgifter från andra medlemsstater ska vara medgiven ........................ 586
15.4 Beslut om adekvat skyddsnivå ............................................. 589 15.5 Tillräckliga skyddsåtgärder .................................................. 591 15.6 Undantag i särskilda situationer .......................................... 595 15.6.1 Överföringen ska vara nödvändig i en särskild
situation ................................................................. 595
15.6.2 Enskildas vitala intressen ...................................... 599 15.6.3 Registrerades berättigade intressen ...................... 601 15.6.4 Myndigheters intresse i enskilda fall .................... 602 15.6.5 Rättsliga anspråk i enskilda fall ............................ 604 15.6.6 Allvarlig fara för allmän säkerhet ......................... 605 15.6.7 En intresseavvägning ska göras i vissa fall ........... 606
15.7 Vidareöverföring ................................................................... 607 15.8 Överföring till andra än behöriga myndigheter .................. 611 15.8.1 Förutsättningarna för överföring till andra än
behöriga myndigheter ........................................... 611
15.8.2 Överföringen ska vara absolut nödvändig ........... 614
Innehåll
15
15.8.3 Överföring till behörig myndighet blir ineffektiv eller är olämplig .................................... 615 15.8.4 En intresseavvägning ska göras ............................. 617
15.9 Villkor för användningen av personuppgifter ..................... 618 15.9.1 Villkor som ställs upp av utländska
myndigheter eller organ ........................................ 618
15.9.2 Villkor när personuppgifter överförs av svenska myndigheter ............................................. 619
15.10 Dokumentationskrav och informationsskyldighet ............. 621 15.11 Internationellt samarbete ..................................................... 624 15.12 Sekretess vid överföring till tredjeland ................................ 625 15.12.1 Överföring innebär utlämnande ........................... 625 15.12.2 Utlämnande av offentliga allmänna handlingar
till tredjeland .......................................................... 625
15.12.3 Uppgifter som inte är sekretessbelagda ............... 626 15.12.4 Uppgifter som är sekretessbelagda ....................... 626
16
Sekretessfrågor ....................................................... 629 16.1 Allmänt om offentlighet och sekretess ............................... 629
16.1.1 Rätten att ta del av allmänna handlingar .............. 629 16.1.2 Huvuddragen i sekretessregleringen .................... 629
16.2 Ändrade regler om sekretess och tystnadsplikt med anledning av dataskyddsreformen ........................................ 631 16.3 Sekretess i tillsynsverksamheten .......................................... 632 16.3.1 Nuvarande reglering .............................................. 632 16.3.2 Behovet av en ny sekretessbestämmelse .............. 635 16.3.3 Utformningen av sekretessbestämmelsen............ 638 16.3.4 En sekretessbrytande regel för
tillsynsverksamheten ............................................. 641
16.3.5 En hänvisningsbestämmelse bör införas .............. 643
16.4 Sekretess för sammanställningar av känsliga personuppgifter ..................................................................... 643 16.5 Sekretess för rapporter om personuppgiftsincidenter ........ 645
Innehåll SOU 2017:29
16
17
Konsekvenser .......................................................... 647 17.1 Få helt nya krav eller arbetsuppgifter men skärpta krav i
vissa fall ................................................................................. 647
17.2 Ekonomiska konsekvenser................................................... 649 17.2.1 Konsekvenser för staten ....................................... 649 17.2.2 Konsekvenser för kommuner och landsting ....... 651 17.2.3 Konsekvenser för enskilda .................................... 651 17.3 Konsekvenser för brottsligheten och det brottsförebyggande arbetet .................................................. 652 17.4 Konsekvenser i övrigt ........................................................... 652
18
Ikraftträdande och övergångsbestämmelser ................ 655 18.1 Ikraftträdande ....................................................................... 655 18.2 Övergångsbestämmelser ...................................................... 655
18.2.1 Den nya dataskyddsregleringen medför särskilda övergångsproblem.................................. 655 18.2.2 Ärendehandläggning m.m. ................................... 658 18.2.3 Övergångsbestämmelser till det nya sanktionssystemet ................................................. 659 18.2.4 Övergångsbestämmelser i övrigt .......................... 662
19
Författningskommentar ............................................ 665 19.1 Förslaget till brottsdatalag ................................................... 665 19.2 Förslaget till lag om ändring i lagen (2000:562) om
internationell rättslig hjälp i brottmål ................................. 771
19.3 Förslaget till lag om ändring i lagen (2000:1219) om internationellt tullsamarbete ................................................ 771 19.4 Förslaget till lag om ändring i lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar.................................................................. 771 19.5 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) .................................................... 772
Innehåll
17
19.6 Förslaget till lag om ändring i lagen (2017:000) om internationellt polisiärt samarbete ....................................... 774
Särskilda yttranden .......................................................... 775
Bilagor
Bilaga 1 Kommittédirektiv 2016:21 ........................................... 781
Bilaga 2 Europaparlamentets och rådets direktiv (EU)
2016/680 ........................................................................ 795
19
Sammanfattning
Uppdraget
Europeiska unionen har enats om en genomgripande dataskyddsreform som ska vara genomförd under våren 2018. Reformen omfattar dels en allmän dataskyddsförordning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. En konsekvens av reformen är att personuppgiftslagen kommer att upphävas och att all lagstiftning om personuppgiftsbehandling behöver ses över och anpassas.
Utredningens uppdrag är att föreslå hur det nya direktivet ska genomföras i svensk rätt. Eftersom regleringen i förordningen inte omfattar det som regleras i direktivet är en viktig uppgift att genom den nya lagstiftningen avgränsa tillämpningsområdet i förhållande till förordningen.
Alla myndigheter som kommer att tillämpa den lagstiftning som genomför direktivet kommer även att tillämpa förordningen. Utredningen har därför strävat efter att ha samma terminologi och likartade lösningar som i förordningen, när båda rättsakterna innehåller samma eller liknande artiklar och det inte finns sakliga skäl att välja en annan lösning för direktivets del.
Uppdraget har genomförts i nära kontakt med Dataskyddsutredningen, som har till uppgift att senare i vår lägga fram de förslag till kompletterande reglering som dataskyddsförordningen kan kräva och att utreda vissa andra generella frågor som dataskyddsreformen väcker. Under arbetet har utredningen också haft kontakt med alla andra pågående utredningar vilkas arbete kan påverkas av vår utrednings förslag.
Sammanfattning SOU 2017:29
20
En ny ramlag
Utredningen föreslår att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Syftet med lagen är både att skydda fysiska personers grundläggande fri- och rättigheter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Lagen ska – i likhet med personuppgiftslagen – vara generellt tillämplig inom det område som direktivet reglerar. Lagen ska även vara subsidiär. De myndigheter som bedriver verksamhet inom lagens tillämpningsområde har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen. Utredningen kommer att i slutbetänkandet föreslå de anpassningar som krävs med anledning av ramlagen i de registerförfattningar som ingår i utredningens uppdrag. Registerförfattningarna kommer att gälla utöver brottsdatalagen.
Lagen kompletteras med en förordning, som genomför vissa detaljbestämmelser i direktivet.
Tillämpningsområdet
Lagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder vid behandling av personuppgifter. Lagen ska också gälla för personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet. De som har sådana arbetsuppgifter betecknas behöriga myndigheter. Lagen ska även tillämpas av andra aktörer som har fått i uppgift att utöva myndighet för något av de nämnda syftena.
De behöriga myndigheternas behandling av personuppgifter kommer dock bara att styras av lagen när de behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Dataskyddsförordningen kommer att bli tillämplig i övrigt, t.ex. när Polismyndigheten behandlar personuppgifter i tillståndsärenden eller när en allmän domstol handlägger ett tvistemål. Det som blir avgörande för om lagen är tillämplig är dels om det är en behörig myndighet som behandlar personuppgifterna, dels syftet med behandlingen.
SOU 2017:29 Sammanfattning
21
Gränsdragningsfrågor som rör lagens tillämpningsområde diskuteras ingående i kapitel 8.
Lagen ska i huvudsak gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad.
Lagen ska inte tillämpas på Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. Undantag ska också gälla för Polismyndigheten om den övertagit en uppgift som rör nationell säkerhet från Säkerhetspolisen. Något motsvarande undantag för andra myndigheter vid deras behandling av uppgifter som rör nationell säkerhet görs inte.
Principer för behandlingen av personuppgifter
Det ska alltid finnas en rättslig grund för att personuppgifter ska få behandlas med stöd av ramlagen. Den huvudsakliga grunden att behandlingen av personuppgifterna ska vara nödvändig för att en behörig myndighet ska kunna utföra en sådan arbetsuppgift som gör lagen tillämplig. Arbetsuppgiften ska framgå av en bindande unionsrättsakt, en lag, en förordning eller ett särskilt beslut av regeringen. Den andra rättsliga grunden är om behandlingen krävs för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Personuppgifter får dessutom bara behandlas för särskilda, uttryckligt angivna, och berättigade ändamål.
Det ställs krav på att personuppgifterna ska behandlas författningsenligt och på ett korrekt sätt. De personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade. De ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler uppgifter än nödvändigt får inte behandlas och inga uppgifter får behandlas längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Det är tillåtet att behandla personuppgifter för ett nytt ändamål som ligger inom lagens tillämpningsområde, men det måste alltid först prövas om det finns en tillåten rättslig grund för den nya behandlingen och om den är nödvändig och proportionerlig för det nya ändamålet. Det behöver däremot inte prövas om det nya ändamålet är förenligt med det ursprungliga.
Sammanfattning SOU 2017:29
22
Lagen föreskriver att olika typer av personuppgifter ska särskiljas – t.ex. uppgifter om misstänkta respektive brottsoffer – och att personuppgifter som grundar sig på fakta ska skiljas från personuppgifter som grundar sig på personliga bedömningar.
Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning betecknas känsliga personuppgifter. Enligt huvudregeln får sådana uppgifter inte behandlas, men om uppgifter om en person redan behandlas får de, på samma sätt som i dag, kompletteras med känsliga personuppgifter, under förutsättning att det är absolut nödvändigt för ändamålet med behandlingen.
Biometriska uppgifter som används i identifieringssyfte och genetiska uppgifter är också känsliga personuppgifter. Sådana uppgifter får enbart behandlas om det är särskilt föreskrivet.
Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. För att det inte ska vara möjligt att med stöd av offentlighetsprincipen få tillgång till en sådan sammanställning, föreslår utredningen en särskild sekretessregel som innebär att det gäller absolut sekretess för uppgifter i sådana sammanställningar.
Personuppgiftsansvariga åläggs att vidta alla rimliga åtgärder för att rätta personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Det regleras också under vilka förutsättningar personuppgifter som behandlas på ett otillåtet sätt ska raderas och när behandlingen av dem i stället ska begränsas.
Personuppgiftsansvarigas skyldigheter
De skyldigheter som personuppgiftsansvariga har i dag kommer till stor del att gälla även i fortsättningen. Vissa regler blir dock mer preciserade och det tillkommer också vissa nya skyldigheter. Kraven på säkerhets- och skyddsåtgärder blir mer preciserade, liksom kravet på att det ska finnas en behandlingshistorik. Det ställs exempelvis krav på inbyggt dataskydd och dataskydd som standard. Det införs också en generell bestämmelse om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
SOU 2017:29 Sammanfattning
23
Till de nya skyldigheterna hör att personuppgiftsansvariga ska dokumentera alla personuppgiftsincidenter och anmäla de incidenter som kan antas påverka registrerades integritet till tillsynsmyndigheten. Det gäller dock inte sådana incidenter som rör nationell säkerhet.
Det införs också ett generellt krav på att personuppgiftsansvariga som planerar en ny typ av behandling eller att genomföra betydande förändringar i pågående behandling ska göra en bedömning av konsekvenserna för registrerades personliga integritet och, beroende på framför allt risken för intrång, samråda med tillsynsmyndigheten innan behandlingen påbörjas eller förändras.
Alla personuppgiftsansvariga ska utse dataskyddsombud. Ombudens arbetsuppgifter anges i lagen.
En annan nyhet är att förutsättningarna för gemensamt personuppgiftsansvar regleras. Utredningen föreslår att gemensamt personuppgiftsansvar endast får förekomma om det följer av lag eller förordning eller om regeringen i ett enskilt fall har beslutat om det.
Enskildas rättigheter
När det gäller enskildas rättigheter kommer till stora delar samma reglering som i dag att gälla, men rätten till information blir tydligare i vissa avseenden. Genom att lagen är subsidiär kommer reglerna om information i straffrättsliga förfaranden att ha företräde framför ramlagens bestämmelser om information.
Utgångspunkten är att den som vill kontrollera om hans eller hennes personuppgifter behandlas får vända sig till den personuppgiftsansvarige, som utan onödigt dröjsmål ska lämna skriftligt besked om uppgifterna behandlas. Om så är fallet har den registrerade rätt att få del av uppgifterna och få viss information om behandlingen. Informationsskyldigheten gäller dock inte om uppgifterna inte får lämnas ut på grund av att vissa i lagen angivna intressen kan skadas. Om det finns grund för att inte lämna informationen får även skälen för det utelämnas.
Personuppgifter i ofärdig text eller som utgör minnesanteckningar omfattas som regel inte av informationsskyldigheten. Detsamma gäller personuppgifter som sökanden redan har tagit del av.
Sammanfattning SOU 2017:29
24
Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. En motsvarande skyldighet gäller i fråga om radering av personuppgifter som behandlas på ett otillåtet sätt eller om radering krävs för att den personuppgiftsansvarige ska fullgöra en rättslig förpliktelse. I vissa fall ska behandlingen av personuppgifterna i stället begränsas. Om det finns stöd för att begränsa informationen till den registrerade får den personuppgiftsansvarige också utelämna skälen för beslut om korrigeringsåtgärder.
Tillsynen över personuppgiftsbehandling
Utredningen tar inte ställning till vilken myndighet som ska utses till tillsynsmyndighet eller hur myndigheten ska organiseras, eftersom det har utretts i annan ordning. Utredningen behandlar enbart frågan hur verksamheten ska bedrivas.
Tillsynsmyndighetens dubbla perspektiv – att både verka för att fysiska personers grundläggande rättigheter och friheter skyddas och att underlätta det fria flödet av personuppgifter – lyfts fram. Myndighetens uppdrag, huvuduppgifter och befogenheter regleras i ramlagen. En viktig utgångspunkt är att tillsynsmyndighetens oberoende ska värnas, vilket görs bäst om det inte regleras när och hur tillsyn ska inledas respektive avslutas och hur den ska bedrivas.
Tillsynsmyndigheten ska utöva allmän tillsyn över personuppgiftsbehandling, handlägga klagomål från registrerade, på begäran av fysiska personer kontrollera om deras personuppgifter behandlas författningsenligt, på begäran bistå utländska tillsynsmyndigheter och ge råd och stöd åt personuppgiftsansvariga och personuppgiftsbiträden.
Tillsynsmyndighetens undersökningsbefogenheter, som inkluderar rätt att få tillgång till personuppgifter som behandlas och dokumentation om behandlingen och om säkerhets- och skyddsåtgärder, tillträde till lokaler där personuppgifter behandlas och rätt till biträde av den personuppgiftsansvarige eller personuppgiftsbiträdet vid tillsynen, blir tydligare.
Det görs också tydlig skillnad mellan tillsynsmyndighetens förebyggande och korrigerande befogenheter. Till de förebyggande
SOU 2017:29 Sammanfattning
25
befogenheterna, som inte är bindande, hör råd, rekommendationer och påpekanden. Tillsynsmyndigheten får också möjlighet att utfärda skriftlig varning om att det finns risk för att viss behandling kan komma att stå i strid med regelverket.
Till de korrigerande befogenheterna, som är bindande för den personuppgiftsansvarige eller personuppgiftsbiträdet, hör förelägganden, förbud mot fortsatt behandling och beslut om sanktionsavgift.
Tillsynsmyndighetens internationella samarbete regleras också i ramlagen. I anslutning till det föreslås en sekretessbrytande regel som ger myndigheten möjlighet att, om det ligger i svenskt intresse, lämna ut uppgifter som är sekretessbelagda när tillsynsmyndigheten begär bistånd av en utländsk tillsynsmyndighet. Vidare föreslås en ny sekretessregel som ska gälla hos tillsynsmyndigheten i tillsynsverksamhet enligt lagen för uppgifter som en utländsk tillsynsmyndighet har lämnat i samband med en begäran om svenskt bistånd med tillsyn. Sekretessen gäller om det kan antas att möjligheterna för den svenska tillsynsmyndigheten att bedriva tillsyn motverkas om uppgiften röjs.
Sanktioner
Utredningen anser att överträdelser av bestämmelserna om personuppgiftsbehandling i ramlagen inte ska straffsanktioneras. Det ska i stället införas en ny administrativ sanktion i form av sanktionsavgift. Det motsvarar vad som gäller vid överträdelse av bestämmelserna i dataskyddsförordningen.
Sanktionsavgift får tas ut av personuppgiftsansvariga och i vissa fall av personuppgiftsbiträden. Sanktionsavgift får tas ut av personuppgiftsansvariga vid överträdelse av de grundläggande bestämmelserna till skydd för enskildas integritet. Det gäller bl.a. om personuppgifter behandlas utan rättslig grund eller utan ett särskilt angivet och berättigat ändamål, om personuppgifterna inte uppfyller kraven på att vara korrekta, aktuella, adekvata och relevanta eller om fler uppgifter än nödvändigt behandlas eller om de behandlas längre än vad som är nödvändigt med hänsyn till ändamålen. Det gäller också om den personuppgiftsansvarige inte vidtar tillräckliga säkerhets- och skyddsåtgärder eller om personuppgifter överförs
Sammanfattning SOU 2017:29
26
till tredjeland eller internationella organisationer i strid med regelverket.
Sanktionsavgift får också tas ut om den personuppgiftsansvarige inte bistår tillsynsmyndigheten vid tillsyn eller inte rättar sig efter tillsynsmyndighetens förelägganden eller beslut.
Regleringen av sanktionsavgift bygger på strikt ansvar, men sanktionsavgift behöver inte tas ut vid varje överträdelse. Vid bedömningen av om sanktionsavgift ska tas ut och till vilket belopp den ska bestämmas ska särskild hänsyn tas till bl.a. om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit, överträdelsens karaktär, svårhetsgrad och varaktighet och vad som gjorts för att begränsa skadan.
Sanktionsavgiften ska bestämmas till lägst 25 000 kronor och högst 10 000 000 kronor för mindre allvarliga överträdelser och det dubbla vid andra överträdelser.
Tillsynsmyndigheten ska besluta om sanktionsavgift och sanktionsavgiften ska tillfalla staten.
Rättsmedel och skadestånd
Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning som behandling av personuppgifter i strid med ramlagen med tillhörande förordning har orsakat. Jämkning av skadeståndsskyldigheten ska, i motsats till vad som är fallet i dag, inte vara möjlig.
Vissa beslut som en myndighet fattat i egenskap av personuppgiftsansvarig ska kunna överklagas. Det gäller beslut i fråga om rättelse, komplettering, radering eller begränsning av behandlingen, beslut att inte lämna ut information på begäran av en registrerad, att ta ut avgift för sådan information eller att inte medge omprövning av automatiserade beslut. Regleringen motsvarar i allt väsentligt det som gäller i dag.
Tillsynsmyndighetens beslut enligt lagen får också överklagas. Vid överklagande till kammarrätten ska det krävas prövningstillstånd vid överklagande av både personuppgiftsansvariga myndigheters och tillsynsmyndighetens beslut.
SOU 2017:29 Sammanfattning
27
Det införs också en möjlighet för registrerade att föra s.k. dröjsmålstalan om tillsynsmyndigheten dröjer med att handlägga klagomål. Om en registrerad har lämnat in ett klagomål till tillsynsmyndigheten och den inte inom tre månader har tagit ställning till om klagomålet ska föranleda tillsyn, har den registrerade rätt att inom två veckor antingen få ett skriftligt besked i den frågan eller ett särskilt beslut om att begäran om besked avslås. Om tillsynsmyndigheten har avslagit begäran får den registrerade överklaga beslutet till allmän förvaltningsdomstol. Om domstolen bifaller talan ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna den registrerade besked i frågan om tillsyn kommer att utövas. Domstolen ska däremot inte ta ställning i frågan om tillsyn ska utövas.
Överföring till tredjeland och internationella organisationer
I ramlagen regleras vad som ska gälla vid överföring av personuppgifter till tredjeland och internationella organisationer. Med tredjeland avses i lagen andra stater än EU:s medlemsstater, Island, Liechtenstein, Norge och Schweiz.
Behöriga myndigheter får överföra personuppgifter som behandlas automatiserat till ett tredjeland eller en internationell organisation eller överföra uppgifterna dit för att de ska behandlas automatiserat där. Det ställs upp en rad villkor för att uppgifterna ska få överföras. Personuppgifter får endast överföras om överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Överföringen ska enligt huvudregeln riktas till en behörig myndighet i ett tredjeland eller en internationell organisation som är en behörig myndighet. Dessutom krävs det att kommissionen har meddelat ett beslut om att det tredjelandet eller den internationella organisationen har adekvat skyddsnivå för personuppgifter eller, om det inte finns ett sådant beslut, personuppgifterna omfattas av tillräckliga skyddsåtgärder. I vissa särskilda undantagssituationer får dock personuppgifter överföras även om det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder. Det gäller bl.a. om det är nödvändigt för att skydda den registrerades eller en annan
Sammanfattning SOU 2017:29
28
fysisk persons vitala intressen, för att en behörig myndighet i ett enskilt fall ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller för att avvärja en omedelbar eller allvarlig fara för allmän säkerhet.
Vidare regleras vad som ska göras om ett tredjeland eller en internationell organisation vill vidareöverföra personuppgifter till ett tredjeland eller en internationell organisation och möjligheten att i vissa fall överföra personuppgifter till andra än behöriga myndigheter.
Konsekvenser
Förslagen bedöms förbättra skyddet för enskildas integritet. Förbättrat dataskydd ger samtidigt möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter både nationellt och mellan medlemsstaterna, vilket är positivt för det brottsförebyggande arbetet. De ekonomiska konsekvenserna för berörda myndigheter bedöms rymmas inom de befintliga ekonomiska ramarna.
Ikraftträdande och övergångsbestämmelser
Den nya lagen föreslås träda i kraft den 1 maj 2018. Det krävs särskilda övergångsbestämmelser, dels för det nya sanktionssystemet, dels för mål och ärenden som rör behandlingen av personuppgifter som har påbörjats före lagens ikraftträdande men inte hunnit slutföras. Det krävs också övergångsbestämmelser för mål som har överklagats men inte hunnit slutföras och för ersättning för skador som har vållats före ikraftträdandet.
29
1 Författningsförslag
1.1 Förslag till brottsdatalag ( 2018:000 )
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser Syftet med lagen
1 § Syftet med denna lag är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).
Lagens tillämpningsområde
2 § Denna lag gäller för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet.
Författningsförslag SOU 2017:29
30
3 § Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
4 § Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.
Avvikande bestämmelser i annan författning
5 § Om det i en annan lag eller en förordning finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.
Uttryck i lagen
6 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
Behandling av personuppgifter En åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring. Behörig myndighet 1. En myndighet som har till uppgift att
a) förebygga, förhindra eller upptäcka brottslig verksamhet,
b) utreda eller lagföra brott,
SOU 2017:29 Författningsförslag
31
c) verkställa straffrättsliga påföljder, eller
d) upprätthålla allmän ordning och säkerhet, eller
2. en annan aktör som utövar myndighet för något av de syften som anges i 1.
Biometriska uppgifter Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Dataskyddsombud En fysisk person som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Genetiska uppgifter Personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga. Internationell organisation En organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater. Medlemsstat En stat som är medlem i Europeiska unionen och Island, Liechtenstein, Norge och Schweiz. Mottagare Den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.
Författningsförslag SOU 2017:29
32
Personuppgift Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Personuppgiftsansvarig Den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Registrerad Den fysiska person som personuppgiften rör. Tillsynsmyndighet Myndighet som regeringen utser att enligt dataskyddsdirektivet utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Tredjeland En stat som inte är en medlemsstat. Tredje man Någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.
SOU 2017:29 Författningsförslag
33
Uppgift som rör hälsa Personuppgift som rör en persons fysiska eller psykiska hälsa, inkluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.
2 kap. Behandling av personuppgifter
Behandling för ändamål inom denna lags tillämpningsområde
Tillåtna rättsliga grunder för behandling av personuppgifter
1 § Personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift.
2 § Utöver vad som sägs i 1 § får personuppgifter behandlas om
1. det är nödvändigt för diarieföring, eller
2. uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Ändamål för behandling av personuppgifter
3 § Personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål.
Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.
Författningsförslag SOU 2017:29
34
4 § Innan personuppgifter får behandlas för ett nytt ändamål inom denna lags tillämpningsområde ska det säkerställas att
1. det finns en tillåten rättslig grund enligt 1 § för den nya behandlingen, och
2. behandlingen är nödvändig och proportionerlig för det nya ändamålet.
5 § En behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.
Grundläggande krav på behandlingen av personuppgifter
Laglig och korrekt behandling
6 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.
Personuppgifters kvalitet
7 § Personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
8 § Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Åtskillnad mellan olika slag av personuppgifter
9 § Så långt det är möjligt ska personuppgifter som rör olika kategorier av registrerade, som personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott, särskiljas. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori personen hör, ska det tydliggöras genom en särskild upplysning.
SOU 2017:29 Författningsförslag
35
10 § Så långt det är möjligt ska personuppgifter som grundar sig på fakta skiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.
Känsliga personuppgifter
11 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.
Om uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som anges i första stycket när det är absolut nödvändigt för ändamålet med behandlingen.
12 § Biometriska uppgifter som används för att identifiera en person och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
13 § Personuppgifter som avses i 11 och 12 §§ betecknas i denna lag som känsliga personuppgifter. Känsliga personuppgifter får behandlas med stöd av 2 §.
14 § Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
Åtgärder för att säkerställa personuppgifternas kvalitet
15 § Alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.
När personuppgifter lämnas ut till en behörig myndighet ska mottagaren så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.
Författningsförslag SOU 2017:29
36
16 § Alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.
Längsta tid som personuppgifter får behandlas
17 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Bestämmelsen i första stycket hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
18 § Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för andra ändamål än arkivändamål, ska den personuppgiftsansvarige årligen se över behovet av att fortsatt behandla personuppgifterna.
Automatiserade beslut
19 § Om ett beslut, som har rättsliga följder för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet omprövat av någon person.
Automatiserade beslut får inte enbart grundas på känsliga personuppgifter.
Villkor om användningsbegränsning
20 § Om det inte är särskilt föreskrivet får villkor för behandling av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall
SOU 2017:29 Författningsförslag
37
får ställas upp samma typ av villkor i förhållande till en svensk mottagare.
Behandling för ändamål utanför denna lags tillämpningsområde
21 § Av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, framgår att dataskyddsförordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål utanför denna lags tillämpningsområde.
Föreskrifter
22 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. underrättelseskyldighet, eller
2. åtgärder för att säkerställa att personuppgifter inte behandlas längre än nödvändigt.
3 kap. Personuppgiftsansvarigas skyldigheter Personuppgiftsansvarets omfattning
1 § Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.
Åtgärder för att säkerställa författningsenlig behandling
Tekniska och organisatoriska åtgärder
2 § Den personuppgiftsansvarige ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas.
Författningsförslag SOU 2017:29
38
3 § Både vid beslut om hur behandlingen ska utföras och vid behandlingen ska den personuppgiftsansvarige, genom lämpliga tekniska och organisatoriska åtgärder, se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd).
4 § Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem som regel endast är möjligt att behandla de personuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).
5 § Den personuppgiftsansvarige ska säkerställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.
Tillgången till personuppgifter
6 § Den personuppgiftsansvarige ska se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Konsekvensbedömning och förhandssamråd
7 § Kan en typ av ny behandling, eller betydande förändringar avseende redan pågående behandling, antas medföra särskild risk för intrång i registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter.
Om konsekvensbedömningen visar att det finns särskild risk för intrång i registerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs.
SOU 2017:29 Författningsförslag
39
Säkerheten för personuppgifter
Skyddsåtgärder
8 § Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada.
Personuppgiftsincidenter
9 § Senast 72 timmar efter det att den personuppgiftsansvarige fått kännedom om en personuppgiftsincident ska den anmälas till tillsynsmyndigheten, utom i de fall där incidenten rör nationell säkerhet.
Anmälan behöver inte göras om det kan antas att personuppgiftsincidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.
10 § Om en personuppgiftsincident som ska anmälas enligt 9 § första stycket har medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten.
Underrättelseskyldigheten enligt första stycket gäller inte om den personuppgiftsansvarige
1. har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten,
2. har säkerställt att det inte längre finns särskild risk för otillbörligt intrång i registrerades personliga integritet, eller
3. skulle behöva göra oproportionerliga ansträngningar för att underrätta alla berörda.
I fall som avses i andra stycket 3 ska allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade får nödvändig information.
11 § Den personuppgiftsansvarige får underlåta att lämna information enligt 10 § i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att
Författningsförslag SOU 2017:29
40
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2. andra rättsliga utredningar eller undersökningar inte hindras,
3. nationell säkerhet skyddas, eller
4. annans fri- och rättigheter skyddas. Första stycket gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400).
Samarbete med tillsynsmyndigheten
12 § Den personuppgiftsansvarige ska samarbeta med tillsynsmyndigheten när den utför uppgifter enligt denna lag och föreskrifter som har meddelats i anslutning till den.
Dataskyddsombud
13 § Den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.
14 § Dataskyddsombud ska
1. självständigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,
2. informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyldigheter vid behandling av personuppgifter,
3. på begäran ge den personuppgiftsansvarige råd vid en konsekvensbedömning och kontrollera att den genomförs på korrekt sätt,
4. vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter, och
5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter.
SOU 2017:29 Författningsförslag
41
15 § Om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas, ska dataskyddsombudet anmäla det till tillsynsmyndigheten.
16 § [Tystnadsplikt för dataskyddsombud]
Personuppgiftsbiträden
17 § Den personuppgiftsansvarige får, om det är lämpligt, anlita personuppgiftsbiträden. När ett personuppgiftsbiträde anlitas, ska den personuppgiftsansvarige försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.
18 § Det ska finnas ett skriftligt avtal eller annan skriftlig överenskommelse om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning.
Ett personuppgiftsbiträde får inte utan skriftligt tillstånd av den personuppgiftsansvarige anlita ett annat personuppgiftsbiträde.
19 § Ett personuppgiftsbiträde och de som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige.
Om ett personuppgiftsbiträde i strid med den personuppgiftsansvariges instruktioner fastställer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen.
20 § Det som sägs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 §§ gäller även för personuppgiftsbiträden.
Gemensamt personuppgiftsansvar
21 § Två eller flera behöriga myndigheter får vara gemensamt personuppgiftsansvariga endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Författningsförslag SOU 2017:29
42
Bemyndigande
22 § Regeringen får meddela föreskrifter om skyldigheten att föra register över kategorier av behandling av personuppgifter och skyldigheten att införa interna rutiner för anmälan av överträdelser.
Föreskrifter
23 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. åtgärder som avses i 2–5, 7 och 8 §§,
2. tillgången till personuppgifter,
3. anmälan om personuppgiftsincidenter,
4. underrättelser till registrerade om personuppgiftsincidenter, och
5. innehållet i avtal och överenskommelser enligt 18 §.
4 kap. Enskildas rättigheter Rätten till information
Allmän information
1 § Den personuppgiftsansvarige ska göra följande allmänna information tillgänglig för registrerade.
1. Den personuppgiftsansvariges identitet och kontaktuppgifter.
2. Dataskyddsombudets kontaktuppgifter.
3. Ändamålen med behandlingen.
4. Rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av dem.
5. Rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§.
6. Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.
Personrelaterad information
2 § Den personuppgiftsansvarige ska i specifika fall lämna följande information till den registrerade, om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter.
SOU 2017:29 Författningsförslag
43
1. Den rättsliga grunden för behandlingen.
2. Kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.
3. Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.
4. Övrig nödvändig information. Vid bedömningen av om information enligt första stycket 4 ska lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den registrerades vetskap.
3 § Den personuppgiftsansvarige ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.
1. Vilka personuppgifter om sökanden som behandlas.
2. Varifrån personuppgifterna kommer.
3. Den rättsliga grunden för behandlingen.
4. Ändamålen med behandlingen.
5. Mottagare eller kategorier av mottagare av personuppgifterna, även i tredjeland eller internationella organisationer.
6. Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.
7. Rätten att begära rättelse, radering eller begränsning av behandlingen enligt 9 och 10 §§.
8. Möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den. Utlämnande enligt första stycket behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.
4 § Den som har varit föremål för ett sådant beslut som avses i 2 kap. 19 § får av den personuppgiftsansvarige begära närmare information om beslutet.
Författningsförslag SOU 2017:29
44
Begränsning av rätten till information
5 § Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att
1. förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
2. andra rättsliga utredningar eller undersökningar inte hindras,
3. nationell säkerhet skyddas, eller
4. annans fri- och rättigheter skyddas. Om förutsättningarna i första stycket är uppfyllda, är den personuppgiftsansvarige inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 9 eller 10 §.
Undantagen från informationsskyldigheten enligt första och andra styckena gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400).
6 § Informationsskyldigheten i 3 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.
Informationsskyldigheten gäller dock om uppgifterna har lämnats ut till tredje man, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.
7 § Om en begäran enligt 3 § är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.
Av 12 § andra stycket framgår att den personuppgiftsansvarige i vissa fall får ta ut avgift i stället för att avslå begäran.
SOU 2017:29 Författningsförslag
45
Möjligheten att begära kontroll genom tillsynsmyndigheten
8 § I 5 kap. 3 § finns bestämmelser om att en fysisk person får begära att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt.
Rätten till rättelse, radering och begränsning av behandlingen
9 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.
Om den personuppgiftsansvarige inte kan fastställa att personuppgifterna är korrekta ska behandlingen av uppgifterna i stället utan onödigt dröjsmål begränsas.
10 § Den personuppgiftsansvarige ska på begäran av den registrerade utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket. Detsamma gäller om radering krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse.
Om förutsättningarna i första stycket för att radera personuppgifter är uppfyllda men de behöver finnas kvar som bevisning, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av uppgifterna.
11 § Den personuppgiftsansvarige avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.
Avgiftsfri information
12 § Information enligt 1, 2 och 4 §§ ska lämnas utan avgift. Information och uppgifter enligt 3 § ska lämnas utan avgift en gång per år.
Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket.
Författningsförslag SOU 2017:29
46
Föreskrifter
13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. information enligt 1–4 §§,
2. avgift för information som avses i 3 §, och
3. kraven på en begäran enligt 3, 4, 9 eller 10 §.
5 kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 § Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde.
Tillsynsmyndighetens uppgifter
2 § Tillsynsmyndigheten ska
1. utöva allmän tillsyn över personuppgiftsbehandling,
2. handlägga klagomål från registrerade,
3. utföra kontroll enligt 3 §, och
4. på begäran bistå en tillsynsmyndighet i en annan medlemsstat.
3 § Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär sådan kontroll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §.
Myndigheten får vägra att utföra sådan kontroll som avses i första stycket om begäran är orimlig eller uppenbart ogrundad.
4 § Tillsynsmyndigheten ska ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning vid förhandssamråd och när det i övrigt är påkallat.
SOU 2017:29 Författningsförslag
47
Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
5 § Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få
1. tillgång till alla personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,
3. tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och
4. det biträde och annan information som behövs för tillsynen.
Förebyggande befogenheter
6 § Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.
Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.
Korrigerande befogenheter
7 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet annars inte fullgör sina skyldigheter, får tillsynsmyndigheten
1. genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,
2. förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,
Författningsförslag SOU 2017:29
48
3. förbjuda fortsatt behandling om bristen är allvarlig, eller
4. besluta om sanktionsavgift enligt 6 kap. Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.
Kommunikation
8 § Innan tillsynsmyndigheten fattar ett beslut enligt 7 § första stycket 2–4, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.
Besked angående handläggningen av ett klagomål
9 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten på skriftlig begäran av den registrerade antingen lämna besked i den frågan eller i ett särskilt beslut avslå begäran.
Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran kom in till myndigheten.
10 § Om tillsynsmyndigheten har avslagit en begäran enligt 9 §, får den registrerade begära nytt besked tidigast tre månader efter det att myndighetens beslut meddelades. Om den registrerade innan dess på nytt begär besked avseende samma klagomål, ska myndigheten avvisa begäran.
Samarbete med tillsynsmyndigheter i andra medlemsstater
11 § En begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat får vägras endast om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå den.
12 § När tillsynsmyndigheten utövar tillsyn enligt 2 § 4 har den de befogenheter som anges i 5–7 §§.
SOU 2017:29 Författningsförslag
49
13 § Tillsynsmyndigheten får, om det är förenligt med svenska intressen, lämna ut en uppgift till en behörig tillsynsmyndighet i annan medlemsstat, även om uppgiften är sekretessbelagd enligt offentlighets- och sekretesslagen (2009:400).
14 § Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.
Ansökan hos allmän förvaltningsdomstol
15 § Om tillsynsmyndigheten vid handläggningen av ett ärende be-
dömer att det finns särskilda skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av denna lag, får myndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd som anges i 7 § första stycket 2–4 ska vidtas.
Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Föreskrifter
16 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. kraven på en begäran enligt 3 §,
2. anmälningsskyldighet, och
3. samarbete med tillsynsmyndigheter i andra medlemsstater.
6 kap. Administrativa sanktionsavgifter Överträdelser som kan föranleda sanktionsavgift
1 § Sanktionsavgift får tas ut av en personuppgiftsansvarig vid överträdelse av bestämmelser i
1. 2 kap. 1–5, 7–12, 14–18 eller 19 § andra stycket,
2. 3 kap. 2–8 §§, eller
3. 8 kap. 1–6 eller 8 §.
Författningsförslag SOU 2017:29
50
Sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar sådana incidenter eller underlåter att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller att följa tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
2 § Sanktionsavgift får tas ut av ett personuppgiftsbiträde vid överträdelse av 3 kap. 5, 6 eller 8 §.
Sanktionsavgift får också tas ut om ett personuppgiftsbiträde underlåter att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
Hur sanktionsavgiften ska bestämmas
3 § Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter vara minst 25 000 kronor och högst 10 000 000 kronor.
Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften vara minst 50 000 kronor och högst 20 000 000 kronor.
Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.
4 § Vid bedömningen av om sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till
1. om överträdelsen varit uppsåtlig eller berott på oaktsamhet,
2. den skada, fara eller kränkning som överträdelsen inneburit,
3. överträdelsens karaktär, svårhetsgrad och varaktighet,
4. vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa skadan, och
5. om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala sanktionsavgift.
5 § Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.
SOU 2017:29 Författningsförslag
51
Beslut om sanktionsavgift
6 § Tillsynsmyndigheten beslutar om sanktionsavgift.
Sanktionsavgiften tillfaller staten.
7 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.
Föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om handläggningen av beslut om och verkställighet av sanktionsavgift.
7 kap. Skadestånd och rättsmedel
Skadestånd
1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den, har orsakat.
Överklagande
Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig
2 § Beslut i fråga om rättelse eller komplettering enligt 4 kap. 9 §
första stycket, radering enligt 4 kap. 10 § första stycket, eller begränsning av behandlingen enligt 4 kap. 9 § andra stycket eller 10 § andra stycket, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, får överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information enligt 4 kap. 3 eller 4 §, att ta ut avgift enligt 4 kap. 12 § andra stycket eller att inte medge omprövning av ett automatiserat beslut enligt 2 kap. 19 § första stycket.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Författningsförslag SOU 2017:29
52
Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.
Dröjsmålstalan
3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 5 kap. 9 § får överklagas till allmän förvaltningsdomstol.
Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna den registrerade besked i fråga om tillsyn kommer att utövas.
Domstolens beslut får inte överklagas.
Överklagande av andra beslut av tillsynsmyndigheten
4 § Tillsynsmyndighetens beslut enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Beslut som inte får överklagas
5 § Andra beslut enligt denna lag än de som anges i 2–4 §§ får inte överklagas.
8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
Grundläggande förutsättningar för överföring
1 § En behörig myndighet får överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Personuppgifterna får dock endast överföras om överföringen
1. är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
SOU 2017:29 Författningsförslag
53
2. riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet, och
3. omfattas av
a) ett beslut om adekvat skyddsnivå enligt 3 §, eller
b) tillräckliga skyddsåtgärder enligt 4 §, eller
c) ett undantag för särskilda situationer enligt 5 §. En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation ska särskilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.
2 § Personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.
Om medgivande enligt första stycket på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat.
Tillåtna grunder för överföring
Beslut om adekvat skyddsnivå
3 § Om Europeiska kommissionen har beslutat att det finns en adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.
Tillräckliga skyddsåtgärder
4 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 §, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om
1. skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller
Författningsförslag SOU 2017:29
54
2. den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.
Överföring i särskilda situationer
5 § Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § eller tillräckliga skyddsåtgärder enligt 4 §, får en överföring, eller en samling av överföringar, av personuppgifter göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig för att
1. skydda den registrerades eller en annan fysisk persons vitala intressen, eller andra berättigade intressen för den registrerade,
2. i ett enskilt fall förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet,
3. i ett enskilt fall kunna fastställa, göra gällande eller försvara ett rättsligt anspråk som hänför sig till ett sådant syfte som anges i 2, eller
4. avvärja en omedelbar och allvarlig fara för allmän säkerhet. Personuppgifter får inte överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av en sådan överföring som avses i första stycket 2 eller 3.
Vidareöverföring
6 § En svensk behörig myndighet får inte tillåta att sådana personuppgifter som anges i 2 § första stycket, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation, om inte en behörig myndighet i den andra medlemsstaten har medgett att uppgifterna får vidareöverföras.
7 § När en behörig myndighet ska ta ställning till om personuppgifter som behandlats i Sverige och därefter lämnats till en annan medlemsstat, som överfört dem till ett tredjeland eller en internationell organisation, får vidareöverföras till ett tredjeland eller en internationell organisation, ska alla kända omständigheter som har samband med vidareöverföringen beaktas. Särskild vikt ska läggas vid brottets allvar,
SOU 2017:29 Författningsförslag
55
allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i det tredjelandet eller hos den internationella organisationen dit uppgifterna ska vidareöverföras.
Överföring till andra än behöriga myndigheter
8 § En behörig myndighet, med undantag för en annan aktör som utövar myndighet, får i ett enskilt fall, trots kravet i 1 § 2, överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland. Personuppgifterna får överföras endast om
1. det är absolut nödvändigt för att den svenska myndigheten ska kunna utföra en arbetsuppgift enligt 1 kap. 2 § som den har ansvar för,
2. den svenska myndigheten informerar den som ska ta emot personuppgifterna om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas, och
3. det skulle vara ineffektivt eller olämpligt att överföra dem till behörig myndighet i det tredjelandet.
Personuppgifter får inte överföras enligt första stycket om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs.
Villkor om användningsbegränsning
9 § Om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med det tredjelandet eller den internationella organisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
10 § En svensk behörig myndighet får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.
Författningsförslag SOU 2017:29
56
Föreskrifter
11 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
1. information till annan medlemsstat när personuppgifter överförts utan förhandsmedgivande enligt 2 § andra stycket,
2. information till behörig myndighet i tredjeland när personuppgifter överförts enligt 8 §, och
3. dokumentation av överföringar och information om sådana till tillsynsmyndigheten.
1. Denna lag träder i kraft den 1 maj 2018.
2. Genom lagen upphävs lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
3. Bestämmelsen i 3 kap. 5 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.
4. Sanktionsavgift enligt 6 kap. får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.
5. För överträdelser av bestämmelser om personuppgiftsbehandling som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet som begåtts före ikraftträdandet gäller fortfarande äldre föreskrifter.
6. Ärenden om tillsyn över personuppgiftsbehandling och som Datainspektionen eller Säkerhets- och integritetsskyddsnämnden inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.
7. Äldre föreskrifter gäller fortfarande för överklagande av beslut som meddelats före ikraftträdandet och som rör behandling av personuppgifter för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet.
8. Bestämmelserna om skadestånd i 48 § i personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats vid behandling av personuppgifter som rör brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet före ikraftträdandet.
SOU 2017:29 Författningsförslag
57
1.2 Förslag till brottsdataförordning ( 2018:000 )
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
1 § I denna förordning finns kompletterande föreskrifter beträffande sådan behandling av personuppgifter som omfattas av brottsdatalagen (2018:000).
2 § Uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i brottsdatalagen (2018:000).
2 kap. Behandling av personuppgifter
1 § Om det visar sig att sådana personuppgifter som anges i 2 kap. 15 § första stycket eller 16 § första stycket brottsdatalagen (2018:000) har lämnats ut ska mottagaren omedelbart underrättas om det. Detsamma gäller så långt möjligt den som har tagit del av sådana personuppgifter som har gjorts tillgängliga.
2 § Den personuppgiftsansvarige ska se till att det finns rutiner för
1. att säkerställa att de som behandlar personuppgifter respekterar fristerna för när personuppgifter inte längre får behandlas, och
2. årlig översyn av behovet av att lagra personuppgifter.
3 § Den som lämnar ut personuppgifter ska underrätta mottagaren om sådana särskilda villkor för behandlingen som har ställts upp med stöd av en bindande unionsrättsakt, en lag eller en förordning.
3 kap. Personuppgiftsansvarigas skyldigheter Tekniska och organisatoriska åtgärder
1 § De åtgärder som den personuppgiftsansvarige ska vidta enligt 3 kap.2 och 3 §§brottsdatalagen (2018:000) ska vara rimliga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När den personuppgifts-
Författningsförslag SOU 2017:29
58
ansvarige vidtar åtgärder enligt 3 kap. 3 § samma lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna beaktas.
Dokumentationsskyldighet
Interna strategier
2 § De åtgärder som avses i 3 kap. 2 § brottsdatalagen (2018:000) ska, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning, innefatta antagande och dokumentation av interna strategier för dataskydd.
Register över behandlingar
3 § Den personuppgiftsansvarige ska förteckna kategorier av behandlingar av personuppgifter som denne ansvarar för. Registret ska, förutom namnet på och kontaktuppgifter till den personuppgiftsansvarige, gemensamt personuppgiftsansvariga och dataskyddsombud, för varje kategori av behandling innehålla följande uppgifter.
1. Den rättsliga grunden för behandlingen.
2. Ändamålen med behandlingen.
3. Kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas.
4. Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i tredjeland eller internationella organisationer.
5. Kategorier av registrerade som berörs av behandlingen.
6. Kategorier av personuppgifter som kan komma att behandlas.
7. Samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer.
8. Användning av profilering.
9. Om det är möjligt, tidsfrister för hur länge kategorierna av personuppgifter får behandlas. 10. Om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits.
SOU 2017:29 Författningsförslag
59
Loggning
4 § Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 3 kap. 5 § brottsdatalagen (2018:000) ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.
Konsekvensbedömning och förhandssamråd
5 § Konsekvensbedömningar som avses i 3 kap. 7 § första stycket brottsdatalagen (2018:000) ska dokumenteras och innehålla följande uppgifter.
1. En allmän beskrivning av den planerade behandlingen.
2. En bedömning av riskerna för intrång i registrerades personliga integritet.
3. Vilka åtgärder som planeras för att hantera riskerna.
4. Åtgärder och rutiner för att säkerställa skyddet av personuppgifterna.
5. Rutiner för att visa att tillämpliga dataskyddsregler följs.
6 § Vid förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen (2018:000) ska den personuppgiftsansvarige ge in konsekvensbedömningen till tillsynsmyndigheten och tillhandahålla den övriga information som begärs av myndigheten.
Vid bedömningen av om typen av behandling innebär sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.
Anmälan av överträdelser
7 § Den personuppgiftsansvarige ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.
Författningsförslag SOU 2017:29
60
Säkerheten vid behandling av personuppgifter
Skyddsåtgärder
8 § Skyddsåtgärder enligt 3 kap. 8 § brottsdatalagen (2018:000) ska åstadkomma en skyddsnivå som är lämplig med beaktande av
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som behandlas är.
Personuppgiftsincidenter
9 § Av 10 a och 39 §§säkerhetsskyddsförordningen (1996:633) framgår vilka incidenter som enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) inte ska anmälas till tillsynsmyndigheten på grund av att de rör nationell säkerhet.
10 § En anmälan enligt 3 kap. 9 § första stycket brottsdatalagen (2018:000) ska innehålla följande information.
1. En beskrivning av personuppgiftsincidenten och när den inträffade.
2. Kategorier av registrerade och det uppskattade antalet registrerade som berörs.
3. Kategorier av personuppgiftsposter och det uppskattade antalet poster som berörs.
4. Sannolika konsekvenser av incidenten.
5. Vilka åtgärder som vidtagits eller kommer att vidtas med anledning av incidenten.
6. Genomförda eller planerade underrättelser till registrerade.
7. Namnet på och kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt. All information enligt första stycket ska lämnas samtidigt om det är möjligt. Om anmälan görs senare än 72 timmar efter att personuppgiftsincidenten blev känd för den personuppgiftsansvarige ska förseningen förklaras.
SOU 2017:29 Författningsförslag
61
11 § En underrättelse enligt 3 kap. 10 § första stycket brottsdatalagen (2018:000) ska innehålla följande uppgifter.
1. En beskrivning av personuppgiftsincidenten och när den inträffade.
2. Bedömda konsekvenser för den registrerade.
3. Vilka åtgärder som vidtagits eller kommer att vidtas med anledning av personuppgiftsincidenten.
4. Åtgärder som den registrerade kan vidta för att begränsa skadan.
5. Kontaktuppgifter till dataskyddsombud eller annan lämplig kontaktpunkt.
12 § Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter. Av dokumentationen ska framgå omständigheterna rörande incidenten, dess effekter och de åtgärder som vidtagits med anledning av den.
13 § Om en personuppgiftsincident rör personuppgifter som kommer från eller har lämnats till en behörig myndighet i en annan medlemsstat ska sådan information som anges i 10 § första stycket utan onödigt dröjsmål lämnas till den myndigheten.
Dataskyddsombud
14 § Den personuppgiftsansvarige ska säkerställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter.
Den personuppgiftsansvarige ska se till att dataskyddsombud kan utföra de uppgifter som anges i 3 kap.14 och 15 §§brottsdatalagen (2018:000) genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Den personuppgiftsansvarige ska också se till att dataskyddsombud ges möjlighet att upprätthålla sin sakkunskap.
Författningsförslag SOU 2017:29
62
Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
15 § Ett avtal eller en annan överenskommelse enligt 3 kap. 18 § brottsdatalagen (2018:000) ska åtminstone ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska
1. behandla personuppgifter bara enligt instruktioner från den personuppgiftsansvarige,
2. säkerställa att personer som har tillstånd att behandla personuppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3. hjälpa den personuppgiftsansvarige att säkerställa att bestämmelserna om registrerades rättigheter följs,
4. radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,
5. ge den personuppgiftsansvarige tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 16 § och 3 kap.17– 19 §§brottsdatalagen följs, och
6. respektera de villkor som framgår av denna paragraf, 16 § och 3 kap. 18 §brottsdatalagen vid anlitande av ett annat personuppgiftsbiträde.
Underbiträden
16 § Har den personuppgiftsansvarige lämnat ett generellt tillstånd enligt 3 kap. 18 § andra stycket brottsdatalagen (2018:000), ska personuppgiftsbiträdet informera den personuppgiftsansvarige innan nya personuppgiftsbiträden anlitas.
Register över behandlingar
17 § Varje personuppgiftsbiträde ska förteckna kategorier av behandling av personuppgifter som utförs för en personuppgiftsansvarigs räkning. Registret ska innehålla namnet på och kontaktuppgifter till
SOU 2017:29 Författningsförslag
63
personuppgiftsbiträdet och för varje kategori av behandling följande uppgifter.
1. Namnet på och kontaktuppgifter till eventuella underbiträden.
2. Namnet på och kontaktuppgifter till den personuppgiftsansvarige för vars räkning personuppgiftsbiträdet agerar.
3. Om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, vilka uppgifter som har överförts och till vem.
4. Om möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.
Underrättelseskyldighet
18 § Ett personuppgiftsbiträde ska utan onödigt dröjsmål underrätta den personuppgiftsansvarige om en personuppgiftsincident.
Övriga skyldigheter
19 § Det som sägs om den personuppgiftsansvariges skyldigheter i 4 och 8 §§ gäller även för personuppgiftsbiträden.
Gemensamt personuppgiftsansvariga
20 § Gemensamt personuppgiftsansvariga ska i en skriftlig överenskommelse reglera sina respektive förpliktelser i egenskap av personuppgiftsansvarig. I överenskommelsen ska det särskilt regleras
1. hur ansvaret för enskildas rättigheter ska utövas och vars och ens skyldighet att tillhandahålla information enligt 4 kap.1 och 2 §§brottsdatalagen (2018:000), och
2. vem som ska vara kontaktpunkt för registrerade. En sådan överenskommelse som anges i första stycket får inte innebära att de personuppgiftsansvarigas författningsenliga skyldigheter inte fullgörs.
Den registrerade får, trots en sådan överenskommelse som avses i första stycket, utöva sina rättigheter gentemot var och en av de personuppgiftsansvariga.
Författningsförslag SOU 2017:29
64
Bemyndiganden
21 § Tillsynsmyndigheten får meddela närmare föreskrifter om
1. sådana åtgärder som avses i 3 kap.2–4 och 8 §§brottsdatalagen (2018:000),
2. krav och rutiner för loggning enligt 3 kap. 5 § brottsdatalagen,
3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 3 kap. 7 § andra stycket brottsdatalagen, och
4. anmälan och underrättelse om personuppgiftsincidenter.
4 kap. Enskildas rättigheter Krav på utformningen av information
1 § Information enligt 3 kap. 10 § första stycket och 4 kap.1–4 §§brottsdatalagen (2018:000) ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form. Detsamma gäller information enligt 3–7 §§, 3 kap. 11 § och 5 kap. 2 § denna förordning.
Enskilds begäran
2 § Begäran enligt 4 kap. 3, 4, 9 eller 10 § brottsdatalagen (2018:000) ska göras skriftligen hos den personuppgiftsansvarige.
Den personuppgiftsansvarige ska säkerställa att begäran görs av en behörig person.
Beslut
3 § Beslut enligt 4 kap. 5, 7, 9 och 10 §§ och 12 § andra stycket brottsdatalagen (2018:000) ska vara skriftliga. Beslut som går den registrerade emot ska motiveras.
Av 4 kap. 5 § andra och tredje styckena brottsdatalagen framgår att skälen för vissa beslut inte behöver lämnas ut.
SOU 2017:29 Författningsförslag
65
Underrättelser
Underrättelser till enskilda
4 § Sökanden ska utan onödigt dröjsmål underrättas om beslut enligt 4 kap. 5 § första eller tredje stycket brottsdatalagen (2018:000) i fråga om information enligt 4 kap. 3 § samma lag. Sökanden ska i sådana fall också underrättas om möjligheterna att lämna in klagomål till en tillsynsmyndighet och att begära kontroll enligt 5 kap. 3 § brottsdatalagen. Någon underrättelse behöver inte lämnas om det skulle skada det intresse som föranleder att information inte lämnas.
5 § Sökanden ska underrättas om beslut enligt 4 kap. 7 § första stycket eller 12 § andra stycket brottsdatalagen (2018:000).
6 § Den registrerade ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen (2018:000) och om möjligheten att lämna in klagomål till tillsynsmyndigheten. Om den personuppgiftsansvarige med stöd av 4 kap. 5 § andra eller tredje stycket brottsdatalagen inte har lämnat ut skälen för beslutet ska den registrerade också underrättas om möjligheten att begära kontroll enligt 5 kap. 3 § brottsdatalagen.
7 § Den registrerade ska underrättas innan en begränsning enligt 4 kap. 9 § andra stycket brottsdatalagen (2018:000) upphör.
Underrättelser till andra
8 § Den myndighet från vilken personuppgifter kommer ska underrättas om beslut enligt 4 kap. 9 § första stycket brottsdatalagen (2018:000).
Den som har tagit emot personuppgifter ska underrättas om beslut enligt 4 kap. 9 eller 10 § brottsdatalagen.
5 kap. Tillsyn
Kontroll genom tillsynsmyndigheten
1 § En begäran enligt 5 kap. 3 § brottsdatalagen (2018:000) ska göras skriftligen och ange vilken behörig myndighet och vilket mål, ärende, register eller verksamhetsområde som begäran om kontroll gäller.
Författningsförslag SOU 2017:29
66
Tillsynsmyndigheten ska säkerställa att begäran görs av en behörig person.
2 § Tillsynsmyndigheten ska skriftligen underrätta den sökande om att kontroll enligt 5 kap. 3 § brottsdatalagen (2018:000) har utförts.
Beslut att vägra utföra kontroll ska vara skriftliga och motiveras.
Anmälningsskyldighet
3 § Om tillsynsmyndigheten i sin tillsynsverksamhet uppmärksammar förhållanden som kan utgöra brott, ska myndigheten anmäla det till
Åklagarmyndigheten.
Om tillsynsmyndigheten uppmärksammar felaktigheter som kan medföra skadeståndsansvar för staten, ska den anmäla det till Justitiekanslern.
Tillsynsmyndigheten ska samråda med den berörda myndigheten innan en sådan anmälan som avses i första eller andra stycket görs. Till anmälan ska tillsynsmyndigheten foga det underlag som finns och även i övrigt lämna det biträde som behövs i anledning av anmälan.
Förhandssamråd
4 § Om tillsynsmyndigheten anser att sådan planerad behandling som avses i 3 kap. 7 § brottsdatalagen (2018:000) kan komma att stå i strid med lag eller annan författning, ska myndigheten senast sex veckor efter att begäran om samråd mottogs skriftligen lämna råd enligt 5 kap. 6 § första stycket samma lag. Om det finns särskilda skäl får tiden förlängas med en månad. Tillsynsmyndigheten ska inom en månad från det att begäran om samråd mottogs informera om förlängningen och om orsakerna till den.
SOU 2017:29 Författningsförslag
67
Samarbete med utländska tillsynsmyndigheter
Utländsk begäran om bistånd
5 § En begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat ska besvaras så snabbt som möjligt och senast en månad efter att begäran togs emot. Den som begärt bistånd ska underrättas om handläggningen och om resultatet av begäran.
6 § Om bistånd till en tillsynsmyndighet i en annan stat vägras, ska den som begärt biståndet underrättas. I underrättelsen ska skälen för vägran anges.
Svensk begäran om bistånd av en annan medlemstat
7 § Tillsynsmyndigheten får begära bistånd av en tillsynsmyndighet i en annan medlemsstat med sådana åtgärder som myndigheten får vidta när den utövar tillsyn.
8 § En begäran om bistånd ska innehålla all information som behövs för att tillsynsmyndigheten i den andra medlemsstaten ska kunna besvara begäran. Syftet med och skälen för åtgärden ska anges.
Internationella överenskommelser
9 § Tillsynsmyndigheten får, trots det som sägs i 10 §, ingå överenskommelser med tillsynsmyndigheter i andra medlemsstater om avgift för internationellt bistånd.
Avgiftsfrihet
10 § Tillsynsmyndigheten ska utföra sina tillsynsuppgifter avgiftsfritt, om inte annat bestäms.
Författningsförslag SOU 2017:29
68
6 kap. Administrativa sanktionsavgifter Handläggning
1 § Ett beslut om sanktionsavgift ska delges den som avgiften ska tas ut av.
Verkställighet av sanktionsavgift
2 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
3 § En beslutad sanktionsavgift faller bort till den del beslutet inte har verkställts inom tio år från det att beslutet fick laga kraft.
4 § Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften återbetalas. För sanktionsavgift som återbetalas utgår ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den återbetalas.
7 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
1 § Den som har överfört personuppgifter till ett tredjeland eller en internationell organisation utan ett förhandsmedgivande enligt 8 kap. 2 § andra stycket brottsdatalagen (2018:000), ska utan dröjsmål informera den medlemsstat som lämnat uppgifterna till en svensk myndighet om överföringen.
2 § Om en svensk myndighet har överfört personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000), ska myndigheten utan onödigt dröjsmål informera behörig myndighet i det tredjelandet om överfö-
SOU 2017:29 Författningsförslag
69
ringen. Det som nu har sagts gäller inte om det skulle vara ineffektivt eller olämpligt att informera om överföringen.
3 § Överföringar av personuppgifter enligt 8 kap. 4 § 2 och 5 § brottsdatalagen (2018:000) ska dokumenteras. Av dokumentationen ska framgå vilka personuppgifter som överförts, datum och tidpunkt för överföringen, ändamålet med och grunden för överföringen och till vilken myndighet som personuppgifterna överfördes.
På begäran ska dokumentationen göras tillgänglig för tillsynsmyndigheten.
4 § Den personuppgiftsansvarige ska informera tillsynsmyndigheten om samlingar av överföringar som görs enligt 8 kap. 4 § 2 brottsdatalagen (2018:000).
5 § Överföringar av personuppgifter enligt 8 kap. 8 § brottsdatalagen (2018:000) ska dokumenteras. Den personuppgiftsansvarige ska informera tillsynsmyndigheten om sådana överföringar.
1. Denna förordning träder i kraft den 1 maj 2018.
2. Genom förordningen upphävs förordningen (2013:343) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
3. Bestämmelserna i 3 kap. 4 § om loggning behöver inte tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.
Författningsförslag SOU 2017:29
70
1.3 Förslag till lag om ändring i lagen ( 2000:562 ) om internationell rättslig hjälp i brottmål
Härigenom föreskrivs att 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
2 §1
Rättslig hjälp som lämnas en annan stat enligt denna lag får i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt. Detsamma gäller när rättslig hjälp, utan samband med ett ärende, lämnas en annan stat i form av uppgifter och bevisning för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott.
Villkor som avses i första stycket får inte ställas upp om de strider mot en internationell överenskommelse som är bindande för Sverige.
Villkor som avses i första stycket får inte ställas upp om de strider mot en internationell överenskommelse som är bindande för Sverige. I brottsdata-
lagen ( 2018:000 ) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
1 Senaste lydelse 2005:491.
SOU 2017:29 Författningsförslag
71
1.4 Förslag till lag om ändring i lagen ( 2000:1219 ) om internationellt tullsamarbete
Härigenom föreskrivs att 2 kap. 7 § lagen (2000:1219) om internationellt tullsamarbete ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
7 §
Uppgifter som lämnas ut enligt 6 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.
Villkor som avses i första stycket får inte strida mot en sådan internationell överenskommelse som avses i 1 kap. 1 §.
Villkor som avses i första stycket får inte strida mot en sådan internationell överenskommelse som avses i 1 kap. 1 §.
I brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
Författningsförslag SOU 2017:29
72
1.5 Förslag till lag om ändring i lagen ( 2003:1174 ) om vissa former av internationellt samarbete i brottsutredningar
Härigenom föreskrivs att 6 § lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §1
Överlämnande av uppgifter eller bevisning från en svensk myndighet till en gemensam utredningsgrupp som inrättats med stöd av denna lag får i enskilda fall förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt.
Villkor som avses i första stycket får inte ställas upp om de strider mot den överenskommelse enligt 1 § första stycket som är tillämplig.
Villkor som avses i första stycket får inte ställas upp om de strider mot den överenskommelse enligt 1 § första stycket som är tillämplig.
( 2018:000 ) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
1 Senaste lydelse 2005:494.
SOU 2017:29 Författningsförslag
73
1.6 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 9 kap. 2 § och 35 kap. 24 § ska ha följande lydelse,
dels att det i lagen ska införas två nya paragrafer, 17 kap. 7 c § och
35 kap. 4 b §, med följande lydelse.
Lydelse enligt prop. 2016/17:139 Föreslagen lydelse
9 kap.
2 §
Bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i
1. lagen (1990:314) om ömsesidig handräckning i skatteärenden,
2. lagen (2017:000) om internationellt polisiärt samarbete,
3. lagen (2000:344) om Schengens informationssystem,
4. lagen (2000:562) om internationell rättslig hjälp i brottmål,
5. lagen (2000:1219) om internationellt tullsamarbete,
6. lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar,
7. lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen,
8. lagen (1998:620) om belastningsregister,
9. lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning,
10. lagen ( 2013:329 ) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen,
11. lagen (2015:63) om utbyte
av upplysningar med anledning av FATCA-avtalet, och
10. lagen (2015:63) om utbyte
av upplysningar med anledning av FATCA-avtalet,
12. lagen (2015:912) om auto-
matiskt utbyte av upplysningar om finansiella konton.
11. lagen (2015:912) om auto-
matiskt utbyte av upplysningar om finansiella konton, och
Författningsförslag SOU 2017:29
74
Nuvarande lydelse Föreslagen lydelse
17 kap.
7 c §
Sekretess gäller hos tillsynsmyndigheten i tillsynsverksamhet enligt 5 kap. brottsdatalagen (2018:000) för uppgift som har lämnats i samband med en begäran om svenskt bistånd från en tillsynsmyndighet i en medlemsstat som medlemsstat definieras i den lagen, om det kan antas att den svenska tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs.
För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.
35 kap.
4 b §
Sekretess gäller hos en behörig myndighet enligt brottsdatalagen (2018:000) för uppgift i ett sådant personurval som avses i 2 kap. 14 § samma lag.
För uppgift i en allmän handling gäller sekretessen högst sjuttio år.
24 §
Den tystnadsplikt som följer av 4 b § inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
SOU 2017:29 Författningsförslag
75
Den tystnadsplikt som följer av 11 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 9 § andra stycket inskränker rätten enligt 1 kap. 1 §
tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra
uppgifter.
Den tystnadsplikt som följer av 11 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 9 § andra stycket inskränker rätten att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 15 och 16 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift vars röjande kan antas medföra fara för att någon utsätts för våld eller lider annat allvarligt men.
Denna lag träder i kraft den 1 maj 2018.
Författningsförslag SOU 2017:29
76
1.7 Förslag till lag om ändring i lagen ( 2017:000 ) om internationellt polisiärt samarbete
Härigenom föreskrivs i fråga om lagen (2017:000) om internationellt polisiärt samarbete
dels att 6 kap. 2 § ska upphöra att gälla,
dels att 6 kap. 4 § ska ha följande lydelse.
Lydelse enligt prop. 2016/17:139 Föreslagen lydelse
6 kap.
4 §
En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat eller en mellanfolklig organisation, om det krävs med hänsyn till enskildas rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige.
En svensk brottsbekämpande myndighet får i enskilda fall ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat eller en mellanfolklig organisation, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige. I brottsda-
talagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna lag träder i kraft den 1 maj 2018.
SOU 2017:29 Författningsförslag
77
1.8 Förslag till förordning om ändring i förordningen ( 2008:1396 ) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen
Härigenom föreskrivs att 6 § förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Uppgifter som tillhandahålls med stöd av 3 eller 4 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Ett sådant villkor får inte strida mot Sveriges internationella förpliktelser.
Uppgifter som tillhandahålls med stöd av 3 eller 4 § får i enskilda fall förenas med villkor för användandet, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Ett sådant villkor får inte strida mot Sveriges internationella förpliktelser. I
brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
Denna förordning träder i kraft den 1 maj 2018.
Författningsförslag SOU 2017:29
78
1.9 Förslag till förordning om ändring i förordningen ( 2015:1052 ) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
Härigenom föreskrivs att 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
20 §
Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till Myndigheten för samhällsskydd och beredskap skyndsamt rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation.
En myndighet som tillhandahåller tjänster åt en annan organisation ska i samband med rapportering enligt första stycket informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.
Rapporteringsskyldigheten omfattar inte sådana incidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen (1996:633).
Om det kan antas att en incident som rapporterats till Myndigheten för samhällsskydd och beredskap enligt första stycket har sin grund i en brottslig gärning, ska Myndigheten för samhällsskydd och beredskap skyndsamt uppmana den rapporterande myndigheten att anmäla incidenten till polisen.
I brottsdatalagen (2018:000) och brottsdataförordningen (2018:000) finns bestämmelser om skyldighet att anmäla personuppgiftsincidenter.
Denna förordning träder i kraft den 1 maj 2018.
79
2 Utredningens uppdrag och arbete
2.1 Utredningsuppdraget
Utredningsuppdraget består i att föreslå hur man i svensk rätt ska genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Direktiven för utredningsarbetet finns i bilaga 1 och dataskyddsdirektivet i
bilaga 2.
I utredningens uppdrag ingår bl.a. att – analysera och beskriva direktivets tillämpningsområde och hur
svensk rätt förhåller sig till direktivets förpliktelser, – lämna förslag till en ny ramlagstiftning med bestämmelser om
skydd av personuppgifter inom direktivets tillämpningsområde, – analysera och bedöma behovet av författningsändringar i vissa
centrala författningar om rättsväsendets behandling av personuppgifter, – lämna de förslag till ändringar som krävs för att anpassa dessa
författningar till de nya förutsättningarna för regleringen, – bedöma om direktivet ger anledning till ny eller ändrad reglering
om tillsyn och vid behov lämna författningsförslag, och – bedöma om det finns anledning att reglera Säkerhetspolisens
personuppgiftsbehandling separat från den lagstiftning som
Utredningens uppdrag och arbete SOU 2017:29
80
gäller för Polismyndigheten och vid behov lämna författningsförslag.
Uppdraget i den del det avser ny ramlagstiftning och tillsyn inom direktivets tillämpningsområde ska redovisas senast den 1 april 2017. Uppdraget ska slutredovisas senast den 30 september 2017.
2.2 Genomförande av uppdraget
Utredningens arbete påbörjades i slutet av april 2016 och har bedrivits på sedvanligt sätt med regelbundna sammanträden med gruppen av sakkunniga och experter. Utredningen har, för att ta fram detta betänkande, sammanträtt vid sammanlagt 10 tillfällen.
Enligt utredningens direktiv ska utredaren i lämplig omfattning samråda med Dataskyddsutredningen (Ju 2016:04) och Utredningen om tillsynen över den personliga integriteten (Ju 2015:02).
Utredaren och huvudsekreteraren samrådde med Dataskyddsutredningen den 15 april 2016 inför planeringen av utredningsarbetet. Utredarna har därefter samrått vid flera tillfällen. Sekreterarna har haft fortlöpande kontakter med varandra i för utredningarna gemensamma frågor. Den mycket begränsade tiden för vårt utredningsarbete har dock inte lämnat utrymme för att i tillräcklig utsträckning ta del av Dataskyddsutredningens förslag och texter. Det kan därför finnas oavsiktliga skillnader mellan utredningarnas syn på likartade frågor.
Utredaren samrådde med Utredningen om tillsynen över den personliga integriteten den 11 april och den 6 september 2016.
Utredaren och huvudsekreteraren samrådde med Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd (Ju 2015:14) den 22 september 2016. Utredarna samrådde också den 1 mars 2017.
Utredaren och huvudsekreteraren samrådde med Utredningen om stärkt integritet i Rättsmedicinalverkets verksamhet (Ju 2016:18) den 11 oktober 2016.
Utredaren och huvudsekreteraren samrådde med PNR-utredningen (Ju 2016:07) den 16 november 2016.
Utredaren och huvudsekreteraren samrådde den 8 februari 2016 med Eva Lönqvist som fått i uppdrag att biträda Justitiedeparte-
SOU 2017:29 Utredningens uppdrag och arbete
81
mentet med att anpassa viss lagstiftning på området för allmän ordning och säkerhet till EU:s dataskyddsreform.
Utredaren och huvudsekreteraren samrådde med Socialdataskyddsutredningen (S 2016:05) den 7 november 2016.
Utredaren och delar av sekretariatet samrådde den 7 november och den 21 december 2016 med Peder Liljeqvist som fått i uppdrag att biträda Justitiedepartementet med att anpassa domstolsdatalagen till dataskyddsförordningen.
Utredaren och delar av sekretariatet träffade företrädare för Kriminalvården den 14 oktober 2016.
Utredaren och huvudsekreteraren sammanträffade med företrädare för Sveriges Kommuner och Landsting den 10 november 2016.
Utredaren och huvudsekreteraren har också deltagit vid möten med andra utredningar som utreder frågor om anpassning till EU:s dataskyddsreform den 28 september, 18 oktober, 7 november och 21 december 2016.
2.3 Avgränsningen av uppdraget
Utredningens direktiv framgår av avsnitt 2.1. Utredningen om tillsynen över den personliga integriteten och Dataskyddsutredningen har till viss del ett överlappande uppdrag, varför genomförandet av vissa delar av direktivet inte ankommer på vår utredning.
Utredningen om tillsyn över den personliga integriteten har bl.a. haft till uppgift att överväga hur den framtida tillsynen över behandling av personuppgifter bör organiseras och resurssättas och att lämna de förslag som behövs för att tillsynsmyndigheten ska kunna fullgöra de uppgifter som kan bli resultatet av reformeringen av EU:s dataskyddsreglering. I uppdraget till den utredningen ingår att föreslå författningsändringar och andra åtgärder som behövs.
Vi har uppfattat uppdraget till Utredningen om tillsynen över den personliga integriteten på det sättet att det främst avsett organisatoriska frågor, frågor som rör ledningen av myndigheten och tillsynsmyndighetens oberoende, vilket är frågor som främst berörs i artiklarna 41–43 och 44.1 i direktivet. De förslag som vi redovisar tar sin utgångspunkt i de bedömningar Utredningen om tillsynen över den personliga integriteten har gjort i fråga om vilken myndighet som ska utses till tillsynsmyndighet enligt direktivet. Vår ut-
Utredningens uppdrag och arbete SOU 2017:29
82
redning tar därför inte tar ställning till frågor som rör hur tillsynsmyndigheten och dess styrelseledamöter eller motsvarande ska utses och hur länge de får tjänstgöra eller frågor om hur tillsynsmyndighetens oberoende ska värnas genom organisatoriska åtgärder.
Det ingår i uppgifterna för Dataskyddsutredningen att bl.a. analysera om det finns behov av författningsändringar med avseende på tystnadsplikt hos tillsynsmyndigheten till skydd för enskild. Det innebär att vår utredning inte tar ställning till behovet av författningsreglering med anledning av kraven i artikel 44.2 i direktivet.
83
3 Dagens reglering av behandlingen av personuppgifter
3.1 Huvuddragen i dagens personuppgiftsreglering
3.1.1 Regeringsformen och Europakonventionen
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Grundlagsskyddet omfattar enbart betydande intrång. I förarbetena till ändringen framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (En reformerad grundlag, prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal regi-
Dagens reglering SOU 2017:29
84
strerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).
Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som svensk lag (SFS 1994:1219). Enligt artikel 8 har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Inskränkningar i dessa rättigheter får endast göras med stöd av lag och för vissa i artikeln uppräknade ändamål, bl.a. hänsyn till den allmänna säkerheten och förebyggande av oordning och brott. Artikel 8 skyddar bl.a. mot felaktig behandling av personuppgifter (se Segerstedt-Wiberg m.fl. mot Sverige, Ansökan 62332/00).
Även Europeiska unionens (EU) stadga om de grundläggande rättigheterna (rättighetsstadgan) innehåller bestämmelser om behandling av personuppgifter (se avsnitt 4.1.1).
3.1.2 Personuppgiftslagen
Grundläggande begrepp
Genom datalagen (1973:289) introducerades termen personregister som ett centralt begrepp i svensk lagstiftning om behandling av personuppgifter. Med personregister avsågs register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Genom datalagen blev termen register den allmänt använda termen för datoriserade uppgiftssamlingar. Termen register används fortfarande i vissa författningar.
Det traditionella registerbegreppet kom med tiden att kritiseras bl.a. därför att det har en teknisk anknytning och för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. I personuppgiftslagen (1998:204) nämns inte register utan det talas i stället om behandling av personuppgifter, vilket numera är det gängse begreppet. Den vars personuppgifter behandlas benämns dock alltjämt den registrerade.
SOU 2017:29 Dagens reglering
85
Lagens tillämpningsområde
Personuppgiftslagen, genom vilken det nu gällande dataskyddsdirektivet genomfördes i svensk rätt, innehåller generella regler för all behandling av personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter.
Lagen ska enligt 5 § tillämpas på helt eller delvis automatiserad behandling av personuppgifter. Dessutom är den tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgiftslagen reglerar även sådan verksamhet som faller utanför unionsrätten. Enligt 2 § gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Sådan särreglering finns framför allt i olika registerförfattningar.
Behandling av uppgifter om juridiska personer (som definitionsmässigt inte utgör personuppgifter) omfattas inte av personuppgiftslagen.
Grundläggande krav för behandlingen
I 9 § personuppgiftslagen slås fast vissa grundläggande krav för behandling av personuppgifter. Sådana uppgifter ska alltid behandlas lagligt, på ett korrekt sätt och i enlighet med god sed. Personuppgifter ska samlas in och behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen och får inte heller vara fler än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Om det är nödvändigt ska uppgifterna vara aktuella. Om personuppgifterna är felaktiga eller ofullständiga, ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna.
Dagens reglering SOU 2017:29
86
Personuppgifter får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka de behandlas.
Tillåten och otillåten behandling
I 10–12 §§ finns en uttömmande uppräkning av de fall där behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har gett sitt samtycke. Återkallar personen sitt samtycke får ytterligare personuppgifter om honom eller henne inte behandlas.
I vissa fall får personuppgifter behandlas även om den registrerade inte har gett sitt samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.
Personuppgifter får behandlas i samband med ett avtal med den registrerade, när det behövs för att fullgöra avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Dessutom får personuppgifter behandlas för att skydda vitala intressen för den registrerade. Likaså får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av behandling väger tyngre än den registrerades intresse av skydd.
Behandling av känsliga personuppgifter
I 13 § personuppgiftslagen förbjuds behandling av känsliga personuppgifter. Med det avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv.
Förbudet mot behandling av känsliga personuppgifter är inte undantagslöst. I 14–19 §§ anges under vilka förutsättningar sådana uppgifter får behandlas. Om den registrerade har gett sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort de känsliga uppgifterna får de enligt 15 § behandlas. Vidare görs i
SOU 2017:29 Dagens reglering
87
16 § undantag för nödvändig behandling, bl.a. för att den personuppgiftsansvarige ska kunna fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten, för att den registrerades eller annans vitala intressen ska kunna skyddas i fall där den registrerade inte kan lämna samtycke till behandlingen eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras.
Undantag görs också i 17 § för ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte, som får behandla uppgifter om bl.a. sina medlemmar.
Likaså finns det undantag i 18 § för behandlingen av känsliga personuppgifter för hälso- och sjukvårdsändamål och i 19 § för forskning och statistik. Regeringen, eller den myndighet regeringen bestämmer, får enligt 20 § föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Uppgifter om brott och behandling av personnummer
Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndigheter att behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Sådana uppgifter får dock behandlas för forskningsändamål om behandlingen godkänts vid etikprövning. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare undantag från förbudet. Likaså kan i enskilda fall undantag medges.
Uppgifter om personnummer och samordningsnummer får enligt 22 § behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Automatiserade beslut
Enligt 29 § personuppgiftslagen ska, om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för honom eller henne och beslutet grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att be-
Dagens reglering SOU 2017:29
88
döma egenskaper hos personen, den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat av någon person.
Information till den registrerade
Personuppgiftslagen innehåller ett flertal bestämmelser som syftar till att genom information trygga den enskildes rätt att kontrollera om hans eller hennes personuppgifter behandlas. Den personuppgiftsansvariges skyldighet att självmant lämna information till registrerade gäller enligt 23 § i första hand uppgifter som den registrerade själv har lämnat. Har uppgifterna samlats in från annan källa, föreskrivs i 24 § att den personuppgiftsansvarige självmant ska informera den registrerade när uppgifterna registreras, eller om avsikten med behandlingen är att lämna ut dem till tredje man, när uppgifterna lämnas ut första gången. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av uppgifterna i lag eller annan författning. Information behöver heller inte lämnas om det skulle vara omöjligt eller kräva en oproportionerligt stor arbetsinsats.
Informationen ska enligt 25 § omfatta uppgift om vem som är personuppgiftsansvarig, ändamålen med behandlingen och all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Informationsskyldigheten omfattar bara sådana uppgifter som den registrerade inte redan känner till.
Den personuppgiftsansvarige är vidare enligt 26 § skyldig att på ansökan, en gång per år, gratis informera om uppgifter om sökanden behandlas, ändamålen med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Någon information behöver dock inte lämnas om personuppgifter som endast behandlas i löpande text som ännu inte fått sin slutliga utformning eller utgör minnesanteckning, utom i de fall där uppgifterna har lämnats ut till tredje man eller – i fråga om behandling i löpande text – har behandlats längre än ett år.
Informationsskyldigheten gäller enligt 27 § inte heller om uppgifterna omfattas av sekretess eller tystnadsplikt.
SOU 2017:29 Dagens reglering
89
Rättelse
Personuppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som har meddelats med stöd av den, ska enligt 28 § på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Om felaktiga personuppgifter har lämnats ut till tredje man, ska denne i vissa fall informeras om korrigeringen.
Säkerheten vid behandling
I 30 och 31 §§personuppgiftslagen finns allmänna bestämmelser om säkerheten vid behandling av personuppgifter. Bestämmelserna avser att trygga både den tekniska säkerheten och att de personer som behandlar personuppgifterna har tillräckliga instruktioner för att behandla uppgifterna på ett korrekt sätt. Den personuppgiftsansvarige ansvarar för säkerheten.
Överföring av personuppgifter till tredjeland
Enligt 33 § personuppgiftslagen är det förbjudet att till tredjeland föra över personuppgifter under behandling om landet i fråga inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller också överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt.
I 34 § anges vissa undantag från förbudet i 33 §. Ett viktigt undantag är att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter (i fortsättningen dataskyddskonventionen). Enligt 35 § personuppgiftslagen har regeringen möjlighet att besluta om ytterligare undantag från förbudet i 33 §. I bilagor till personuppgiftsförordningen (1998:1191) anges vilka stater som enligt beslut av Europeiska kommissionen (i fortsättningen kommissionen) an-
Dagens reglering SOU 2017:29
90
ses ha en adekvat skyddsnivå för behandlingen av personuppgifter vid överföring till vissa i besluten specificerade mottagare.
Tillsyn
Datainspektionen är enligt 2 § personuppgiftsförordningen tillsynsmyndighet enligt personuppgiftslagen. Datainspektionen är som regel också tillsynsmyndighet för sådan behandling av personuppgifter som regleras i särskilda registerförfattningar. Inspektionen har bl.a. till uppgift att verka för att människor skyddas mot att den personliga integriteten kränks genom behandling av personuppgifter. Datainspektionen informerar bl.a. om gällande regler, utövar tillsyn över att reglerna efterlevs och ger råd och hjälp åt personuppgiftsombud. I 43–47 §§personuppgiftslagen regleras tillsynsmyndighetens befogenheter, t.ex. rätten att meddela vite och möjligheten att förbjuda viss behandling.
Sanktioner
Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada och kränkning av den personliga integriteten för den registrerade, har han eller hon enligt 48 § personuppgiftslagen rätt till skadestånd från den personuppgiftsansvarige. Ersättningsrätten omfattar både personskada, sakskada och ren förmögenhetsskada som kränkningen av den personliga integriteten kan ha medfört. Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara visa att det förekommit en felaktig behandling och att den skadat eller kränkt honom eller henne.
En straffbestämmelse finns i 49 §. Till böter eller fängelse i högst sex månader döms bl.a. den som behandlar personuppgifter i strid med bestämmelserna om behandling av känsliga personuppgifter eller för över personuppgifter till tredjeland i strid med bestämmelserna i 33–35 §§. I ringa fall döms inte till ansvar. Vidare får ansvar inte utkrävas för en gärning som omfattas av ett vitesföreläggande enligt lagen.
SOU 2017:29 Dagens reglering
91
3.1.3 Personuppgiftslagens förhållande till annan lagstiftning
I 2 § personuppgiftslagen föreskrivs, som nyss nämnts, att om det i en annan lag eller en förordning finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Sådan särreglering finns för de flesta av de verksamhetsområden som berörs av det nya dataskyddsdirektivet, vilket redovisas närmare i det följande. Regleringen har, av de skäl som anges i avsnitt 3.1.1, normalt lagform.
Författningar som reglerar personuppgiftsbehandling är ofta konstruerade så att de gäller utöver personuppgiftslagen. Det innebär att författningarna i fråga bara innehåller de bestämmelser som avviker från olika bestämmelser i personuppgiftslagen. Inom det nya direktivets tillämpningsområde är lagen (2001:617) om behandling av personuppgifter inom kriminalvården ett exempel på det.
Det finns emellertid även författningar som gäller i stället för personuppgiftslagen. Det innebär att de i sin helhet ersätter personuppgiftslagen inom sitt tillämpningsområde. I vissa av dessa anges genom hänvisningar vilka bestämmelser i personuppgiftslagen som ändå ska tillämpas. Den lagstiftningstekniken används inom det nya direktivets tillämpningsområde för flertalet av de centrala författningarna. Det gäller t.ex. polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433).
3.2 Särregler för brottsbekämpande verksamhet
3.2.1 Polisen
Allmänt om polisdatalagen
Polisdatalagen är generellt utformad och gäller i polisens brottsbekämpande verksamhet. Det finns dock även andra författningar som reglerar personuppgiftsbehandling i polisens brottsbekämpande verksamhet, framför allt lagstiftning som reglerar behandling i särskilda register. I 1 kap. 3 § polisdatalagen undantas från lagens tillämpningsområde behandling av personuppgifter enligt vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister och
Dagens reglering SOU 2017:29
92
lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang. Eftersom det, med undantag för den sistnämnda lagen, inte ingår i utredningens uppdrag att se över de författningar som undantas från polisdatalagens tillämpningsområde berörs de inte vidare här.
Lagens tillämpningsområde
Polisdatalagen gäller vid behandling av personuppgifter i brottsbekämpande verksamhet vid Polismyndigheten och Säkerhetspolisen och i Ekobrottsmyndighetens polisiära verksamhet, med undantag för behandling i de register som anges i 1 kap. 3 §. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen tillämpas enligt 1 kap. 6 § även i viss utsträckning på behandling av uppgifter om juridiska personer.
I annan verksamhet än den brottsbekämpande tillämpar Polismyndigheten personuppgiftslagen, om det inte finns en specialreglering. Myndigheten tillämpar t.ex. utlänningsdatalagen (2016:27) i verksamhet som den bedriver enligt utlännings- och medborgarskapslagstiftningen, om det inte är fråga om brottsbekämpning.
Förhållandet till personuppgiftslagen
Polisdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen. I 2 kap. 2 § hänvisas dock till ett betydande antal bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifter i polisens brottsbekämpande verksamhet. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamål för behandling och utlämnande av uppgifter
I 2 kap. polisdatalagen anges för vilka ändamål personuppgifter får behandlas. Ändamålen delas in i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att
SOU 2017:29 Dagens reglering
93
tillgodose de behov som finns i polisens brottsbekämpande verksamhet. Dessa ändamål är uttömmande angivna i 2 kap. 7 § polisdatalagen. Personuppgifter får enligt denna paragraf behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden.
De sekundära ändamålen aktualiseras när personuppgifter som behandlas i polisens brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov eller till andra delar av polisverksamheten. Enligt de sekundära ändamålen, som anges i 2 kap. 8 § polisdatalagen, får personuppgifter behandlas genom sådant utlämnande när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller hos utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande är också tillåtet om den är nödvändig för att tillhandahålla information som behövs i Polismyndighetens handräckningsverksamhet eller, om det finns särskilda skäl, att tillhandahålla informationen i annan verksamhet som myndigheten ansvarar för. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 9 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 15 § finns sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk underrättelse- eller säkerhetstjänst och annan utländsk myndighet eller mellanfolklig organisation. Sekretessbrytande bestämmelser som gäller i förhållande till Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatteverket finns i 2 kap.16–18 §§polisdatalagen.
Dagens reglering SOU 2017:29
94
Behandling av känsliga personuppgifter
Behandling av känsliga personuppgifter regleras i 2 kap. 10 § polisdatalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter om det är absolut nödvändigt för syftet med behandlingen.
Register som regleras särskilt i polisdatalagen
Några register regleras särskilt i 4 kap. polisdatalagen. Dessa är register över dna-profiler, dvs. dna-registret, utredningsregistret och spårregistret, fingeravtrycks- och signalementsregister, penningtvättsregister och det internationella registret. För dessa register finns särskilda bestämmelser om ändamål, gallring och direktåtkomst.
Behandling av personuppgifter för forensiska ändamål
I 5 kap. polisdatalagen finns bestämmelser om personuppgiftsbehandling vid Polismyndigheten för forensiska ändamål. Där regleras framför allt ändamålen med sådan personuppgiftsbehandling som avviker från regleringen i övrigt i lagen, på grund av att avdelningen Nationellt forensiskt centrum har en särskild roll som expertmyndighet åt hela rättsväsendet. Kapitlet innehåller även särskilda bestämmelser om bevarande och gallring. När det gäller behandling av känsliga personuppgifter, utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.
Behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet
I 6 kap. polisdatalagen finns bestämmelser om behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet. Där regleras framför allt ändamålen för Säkerhetspolisens person-
SOU 2017:29 Dagens reglering
95
uppgiftsbehandling, som delvis avviker från regleringen för Polismyndigheten. Det finns även särskilda bestämmelser om bevarande och gallring. När det gäller utlämnande av personuppgifter och uppgiftsskyldighet gäller i huvudsak samma bestämmelser som för Polismyndigheten.
3.2.2 Tullverket
En ny tullbrottsdatalag har föreslagits
Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet – som för närvarande gäller för personuppgiftsbehandling i den del av Tullverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, tullbrottsdatalagen (Tullbrottsdatalag, prop. 2016/17:91). Enligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till tullbrottsdatalag.
Lagens tillämpningsområde
Tullbrottsdatalagen, som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Lagen föreslås enligt 1 kap. 2 § endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen föreslås enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Lagen föreslås gälla i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Dagens reglering SOU 2017:29
96
Ändamål för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter föreslås få behandlas i Tullverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter ska enligt 2 kap. 5 § få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande föreslås också enligt 2 kap. 6 § vara tillåten om den är nödvändig för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten och i annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl för att tillhandahålla informationen. Likaså föreslås personuppgifter i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Särskilda regler föreslås gälla för behandling av vissa personuppgifter från transportföretag.
Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 12 § föreslås en sekretessbrytande bestämmelse som anger i vilken utsträckning personuppgifter får lämnas ut till bl.a. Interpol och Europol, utländsk polismyndighet eller åklagarmyndighet och tullmyndighet eller kustbevakning inom Europeiska ekonomiska samarbetsområdet (EES). En sekretessbrytande bestämmelse som gäller i förhållande till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket föreslås i 2 kap. 13 §.
SOU 2017:29 Dagens reglering
97
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 10 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de dock få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.
3.2.3 Kustbevakningen
Allmänt om kustbevakningsdatalagen
För Kustbevakningens behandling av personuppgifter gäller kustbevakningsdatalagen. Lagen reglerar i princip all behandling av personuppgifter i Kustbevakningens operativa verksamhet. I 3 och 4 kap. regleras behandling av personuppgifter i Kustbevakningens brottsbekämpande verksamhet och i 5 kap. behandling av personuppgifter i annan operativ verksamhet som Kustbevakningen bedriver. Behandling för de ändamål som anges i 5 kap. ligger i allt väsentligt utanför direktivets tillämpningsområde och berörs därför inte vidare här. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Förhållandet till personuppgiftslagen
Kustbevakningsdatalagen gäller enligt 2 kap. 1 § i stället för personuppgiftslagen, men i 2 kap. 2 § finns hänvisningar till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Dagens reglering SOU 2017:29
98
Ändamålen för behandling och utlämnande av uppgifter
Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som polisdatalagen. De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom Kustbevakningen.
De primära ändamålen för den brottsbekämpande verksamheten anges uttömmande i 3 kap. 2 § lagen. Enligt den paragrafen får personuppgifter behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden.
Personuppgifter som behandlas i Kustbevakningens brottsbekämpande verksamhet får enligt 3 kap. 3 § också behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket eller utländsk myndighet eller mellanfolklig organisation. Personuppgifter får även behandlas om det är behövs för att tillhandahålla information som behövs i annan verksamhet hos Kustbevakningen för utredning och beslut i ärenden som rör vattenföroreningsavgift eller tillsyn och kontroll enligt lag eller förordning. Personuppgifter får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i en annan myndighets verksamhet, om Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift eller om informationen tillhandahålls inom ramen för myndighetsöverskridande samverkan mot brott. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 6 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Kustbevakningen i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 3 kap. 6 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol eller utländsk kustbevaknings-
SOU 2017:29 Dagens reglering
99
eller tullmyndighet inom EES. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande. I 3 kap. 7 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Skatteverket.
Behandling av känsliga personuppgifter
I 2 kap. 7 § kustbevakningsdatalagen regleras behandling av känsliga personuppgifter. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
3.2.4 Skatteverket
En ny skattebrottsdatalag har föreslagits
Lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar – som för närvarande gäller för personuppgiftsbehandling i den del av Skatteverkets verksamhet som ligger inom direktivets tillämpningsområde – föreslås ersättas av en ny lag, skattebrottsdatalagen (Skattebrottsdatalag, prop. 2016/17:89). Enligt förslaget ska den nya lagen träda i kraft den 1 juli 2017. Mot den bakgrunden redovisas här enbart förslaget till skattebrottsdatalag.
Dagens reglering SOU 2017:29
100
Lagens tillämpningsområde
Skattebrottsdatalagen, som har utformats i nära anslutning till polisdatalagen, kustbevakningsdatalagen och åklagardatalagen, föreslås reglera all behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet. Skatteverkets brottsbekämpande verksamhet avser i första hand sådana brott som anges i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, bl.a. brott mot skattebrottslagen (1971:69) och lagen (2014:836) om näringsförbud. Skatteverket får enligt den paragrafen medverka vid förundersökning i fråga om andra brott, om åklagaren finner särskilda skäl för det. Tillämpningsområdet omfattar även sådana brott.
Skattebrottsdatalagen ska enligt 1 kap. 2 § endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter. Lagen ska enligt 1 kap. 4 § i viss utsträckning även tillämpas på behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Lagen föreslås gälla i stället för personuppgiftslagen, men hänvisningar görs i 2 kap. 2 § till vissa bestämmelser i personuppgiftslagen som ändå ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter, information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter föreslås få behandlas i Skatteverkets brottsbekämpande verksamhet är uppdelade i primära och sekundära ändamål. Personuppgifter föreslås enligt 2 kap. 5 § få behandlas om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda brott eller för att fullgöra förpliktelser som följer av internationella åtaganden. Personuppgifter som behandlas enligt den paragrafen föreslås också få behandlas när det är nödvändigt för att tillhandahålla information som behövs i
SOU 2017:29 Dagens reglering
101
brottsbekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen eller en utländsk myndighet eller mellanfolklig organisation. Personuppgiftsbehandling genom utlämnande föreslås enligt 2 kap. 6 § också vara tillåten bl.a. när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet som Skatteverket ansvarar för, om det kan antas att informationen behövs i ett ärende i den verksamheten. Personuppgifter föreslås i ett enskilt fall få behandlas för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter ska enligt 2 kap. 7 § också få behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till Skatteverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 11 och 12 §§ föreslås sekretessbrytande bestämmelser som anger i vilken utsträckning personuppgifter får lämnas ut till svenska brottsbekämpande myndigheter och till en utländsk myndighet eller mellanfolklig organisation.
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, föreslås enligt 2 kap. 8 § inte få behandlas enbart på grund av vad som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på annan grund ska de få kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen.
3.2.5 Åklagarväsendet
Åklagare har till uppgift både att bekämpa och lagföra brott, men eftersom åklagares brottsbekämpning syftar till att lagföra redovisas regleringen av åklagarväsendets personuppgiftsbehandling i avsnitt 3.3.1.
Dagens reglering SOU 2017:29
102
3.2.6 Lagen om internationellt polisiärt samarbete
Lagen om internationellt polisiärt samarbete tillämpas på polisiärt samarbete mellan Sverige och andra medlemsstater i EU och mellan Sverige och Island, Norge, Schweiz och Liechtenstein i den utsträckning som följer av internationella överenskommelser. Polisdatalagen gäller enligt 1 a § lagen om internationellt polisiärt samarbete för polisens behandling av personuppgifter i det samarbete som regleras i lagen, om inte den lagen innehåller särskilda regler.
I 16–21 §§ lagen om internationellt polisiärt samarbete finns bestämmelser om informationsutbyte enligt Prümrådsbeslutet och den behandling av personuppgifter som är tillåten vid sådant informationsutbyte. I 22 och 23 §§ regleras på motsvarande sätt informationsutbyte enligt CBE-direktivet. I 24–27 §§ finns bestämmelser om tillgång till uppgifter i informationssystemet för viseringar (VIS) enligt VIS-rådsbeslutet för utredning av vissa grova brott och för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar sådana brott. Paragraferna reglerar den behandling av personuppgifter som är tillåten för dessa syften.
I 28 och 29 §§ finns vissa bestämmelser som är gemensamma för Prümrådsbeslutet, CBE-direktivet och VIS-rådsbeslutet.
I propositionen Nya möjligheter till operativt polissamarbete med andra stater (prop. 2016/17:139) föreslås att lagen om internationellt polisiärt samarbete ska upphävas och ersättas med en ny lag i samma ämne. Där föreslås bl.a. att lagen delas in i kapitel och att det införs fem kapitel som reglerar olika former av personuppgiftsbehandling vid polisiärt samarbete med andra stater inom och utanför EU. Några ändringar i sak föreslås inte när det gäller regleringen av behandling av personuppgifter.
3.2.7 Lagen om internationellt tullsamarbete
Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av vissa internationella åtaganden och som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Den gäller inte bara för straffrättsliga överträdelser av tullbestämmelser utan även överträdelser som hanteras i Tullverkets verksamhet effektiv handel.
SOU 2017:29 Dagens reglering
103
I 2 kap. 6–8 §§ finns bestämmelser om utbyte av uppgifter. Regleringen gäller för både spontant uppgiftsutbyte och utlämnande av uppgifter på begäran av en behörig utländsk myndighet eller mellanfolklig organisation. Enligt 8 § ska den myndighet som översänt uppgifter till en utländsk mottagare på begäran av den person som uppgiften rör underrätta honom eller henne om vilken mottagare uppgiften översänts till och för vilket ändamål. Personen behöver dock inte underrättas i vissa i paragrafen angivna situationer.
3.2.8 Lagen om register över tillträdesförbud vid idrottsarrangemang
Lagen om register över tillträdesförbud vid idrottsarrangemang ger Polismyndigheten och idrottsorganisationer möjlighet att behandla personuppgifter för att på ett ändamålsenligt sätt kunna upprätthålla gällande beslut om tillträdesförbud vid idrottsarrangemang. Polismyndigheten får enligt 2 § med hjälp av automatiserad behandling föra ett tillträdesförbudsregister, som innehåller uppgifter om personer som har meddelats tillträdesförbud enligt lagen (2005:321) om tillträdesförbud. I förarbetena framhålls att Polismyndighetens personuppgiftsbehandling enligt lagen åtminstone delvis är brottsbekämpande (se Register över tillträdesförbud vid idrottsarrangemang, prop. 2013/14:254, s. 43).
3.3 Särregler för lagföring
3.3.1 Åklagarväsendet
Allmänt om åklagardatalagen
Åklagardatalagen är uppbyggd på samma sätt som polisdatalagen och kustbevakningsdatalagen. Lagen gäller för behandling av personuppgifter i åklagarväsendets operativa verksamhet. Personuppgifter får behandlas både i åklagares brottsbekämpande verksamhet och om det behövs för att åklagare ska kunna fullgöra andra operativa uppgifter som de har enligt bestämmelser i lag eller förordning. Behandling för sistnämnda ändamål ligger utanför direktivets tilllämpningsområde och berörs därför inte vidare här. Lagen gäller
Dagens reglering SOU 2017:29
104
endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Åklagardatalagen gäller i åklagarväsendets operativa verksamhet, dvs. åklagarverksamhet vid Åklagarmyndigheten och Ekobrottsmyndigheten. Lagen gäller däremot inte för behandling av personuppgifter i den polisiära verksamheten vid Ekobrottsmyndigheten där polisdatalagen gäller i stället.
Åklagardatalagen gäller enligt 1 kap. 4 § till viss del även för behandling av uppgifter om juridiska personer.
Förhållandet till personuppgiftslagen
Åklagardatalagen gäller i stället för personuppgiftslagen men i 2 kap. 2 § finns hänvisningar som innebär att ett flertal bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
De ändamål för vilka personuppgifter får behandlas är indelade i primära och sekundära ändamål. De primära ändamålen avser behandling av personuppgifter för att tillgodose de behov som finns inom åklagarväsendet. De primära ändamålen för behandling anges uttömmande i 2 kap. 5 § åklagardatalagen. Personuppgifter får behandlas i åklagarväsendets brottsbekämpande verksamhet om det behövs för att förebygga eller förhindra brottslig verksamhet, utreda eller beivra brott eller fullgöra de förpliktelser som följer av internationella åtaganden. Personuppgifter får även behandlas i åklagarväsendets operativa verksamhet om det behövs för att åklagare ska kunna fullgöra andra författningsreglerade uppgifter.
SOU 2017:29 Dagens reglering
105
De sekundära ändamålen är aktuella när personuppgifter som får behandlas i åklagarväsendets brottsbekämpande verksamhet lämnas ut till andra myndigheter eller organisationer för deras behov. Enligt de sekundära ändamålen, som anges i 2 kap. 6 §, får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket, eller hos utländsk myndighet, ett EU-organ eller en mellanfolklig organisation. Likaså får personuppgifter i ett enskilt fall behandlas för att lämnas ut för vissa andra i paragrafen specificerade ändamål eller för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Personuppgifter får enligt 2 kap. 7 § också behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till åklagarväsendet i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.
I 2 kap. 13 § regleras i vilka fall personuppgifter får lämnas till Interpol och Europol eller en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol. Personuppgifter får lämnas ut till dem om det är förenligt med svenska intressen och det behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt. I 2 kap. 14 § anges under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket.
Behandling av känsliga personuppgifter
Känsliga personuppgifter, dvs. uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv, får enligt 2 kap. 8 § inte behandlas enbart på grund av vad
Dagens reglering SOU 2017:29
106
som är känt om en persons sådana förhållanden. Om uppgifter om en person behandlas på någon annan grund får de dock kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen.
3.3.2 Domstolsväsendet
Allmänt om domstolsdatalagen
Domstolsdatalagen (2015:728) gäller vid behandling av personuppgifter hos de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Domstolsdatalagen är enligt 2 § – i motsats till polisdatalagen och Tullverkets och Skatteverkets motsvarande lagar – tillämplig i all rättsskipande och rättsvårdande verksamhet vid de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran. Trots det mycket omfattande tillämpningsområdet regleras endast få frågor i domstolsdatalagen, vilket beror på den vittomfattande ändamålsregeln som medger behandling för handläggning av alla typer av mål och ärenden.
I de allmänna domstolarna är det framför allt hanteringen av brottmål och vissa anknytande ärenden (t.ex. ärenden om hemliga tvångsmedel, om ändring och undanröjande av påföljd och om internationell rättslig hjälp i brottmål) som omfattas av direktivets tillämpningsområde. För de allmänna förvaltningsdomstolarna är det i huvudsak hanteringen av mål som rör verkställighet av straffrättsliga påföljder som är av intresse.
SOU 2017:29 Dagens reglering
107
Förhållandet till personuppgiftslagen
Domstolsdatalagen gäller enligt 4 § i stället för personuppgiftslagen men i 5 § domstolsdatalagen finns hänvisningar som anger att vissa bestämmelser i personuppgiftslagen ska tillämpas. Det gäller bl.a. personuppgiftslagens definitioner, vissa grundläggande bestämmelser om behandlingen av personuppgifter och bestämmelser om information till den registrerade, tillsyn och skadestånd.
Ändamålen för behandling och utlämnande av uppgifter
Enligt 6 § domstolsdatalagen får personuppgifter behandlas om det behövs för handläggning av mål och ärenden. Personuppgifter som behandlas enligt den paragrafen får enligt 7 § även behandlas om det behövs för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning.
Behandling av känsliga personuppgifter
I 13 § domstolsdatalagen föreskrivs att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
3.3.3 Register över ordningsbot och strafföreläggande
Föreläggande av ordningsbot och strafföreläggande
Föreläggande av ordningsbot och strafföreläggande är förenklade former av lagföring som innebär att den misstänkte föreläggs att inom viss tid godkänna och betala ett i föreläggandet angivet bötesstraff och eventuellt vissa kostnader. Gör den misstänkte det gäller föreläggandet enligt 48 kap. 3 § rättegångsbalken som en lagakraftvunnen dom.
Åklagare får även enligt 48 kap. 4 § rättegångsbalken genom strafföreläggande förelägga den misstänkte villkorlig dom eller sådan påföljd i förening med böter, om det är uppenbart att rätten skulle döma till sådan påföljd.
Dagens reglering SOU 2017:29
108
Förordningen om register över strafförelägganden
I förordningen (1997:902) om register över strafförelägganden regleras i 2 § Tullverkets rätt att föra register över utfärdade straffförelägganden och i 3 § Polismyndighetens skyldighet att föra ett register över uppbörd i ärenden om strafförelägganden (se avsnitt 3.4.3 beträffande sistnämnda register).
Ett strafförelägganderegister får enligt 6 § användas för handläggning av ärenden om strafföreläggande, för visst uppgiftslämnande och för framställning av statistik. I 9 § anges uttömmande vilka uppgifter ett strafförelägganderegister får innehålla.
Numera gäller reglerna om register över strafförelägganden bara för Tullverket, vars tullåklagare får utfärda strafföreläggande. Åklagardatalagen är generellt tillämplig och när den infördes konstaterades det att särreglerna i nu aktuell förordning inte längre behövs i åklagarväsendet (se Åklagardatalag, prop. 2014/15:63, s. 66).
Förordningen om register över ordningsbot
I förordningen (1997:903) om register över ordningsbot ges Polismyndigheten rätt att behandla personuppgifter i ett register över förelägganden av ordningsbot.
Registret används inte bara av Polismyndigheten utan även av Säkerhetspolisen, Tullverket och Kustbevakningen. All registrering av förelägganden av ordningsbot hanteras i registret.
Registret får enligt 2 § användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. I 5 § anges uttömmande vilka uppgifter registret får innehålla.
SOU 2017:29 Dagens reglering
109
3.4 Särregler för verkställighet av straff
3.4.1 Särreglering bara för vissa former av verkställighet
Fängelse, skyddstillsyn, villkorlig dom med samhällstjänst och böter
Kriminalvården ansvarar för verkställighet av flertalet straffrättsliga påföljder. Det gäller fängelsestraff och frivårdspåföljder i form av skyddstillsyn och villkorlig dom med samhällstjänst.
Både Polismyndigheten och Kronofogdemyndigheten har uppgifter när det gäller betalning av böter. Polismyndigheten ansvarar för uppbörd, dvs. frivillig betalning, och Kronofogdemyndigheten för indrivning.
De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.
Överlämnande till särskild vård
Om rätten beslutar om överlämnande till särskild vård enligt 31 kap. brottsbalken eller överlämnande till särskild vård för unga enligt 32 kap. brottsbalken är det andra myndigheter som ansvarar för verkställigheten. Vid vård enligt lagen (1988:870) om vård av missbrukare i vissa fall är det socialnämnden eller ett hem där sådan vård meddelas som ansvarar för verkställigheten.
Om påföljden är rättspsykiatrisk vård ansvarar enligt 6 § lagen (1991:1129) om rättspsykiatrisk vård en sjukvårdsinrättning som drivs av ett landsting för verkställigheten.
Är påföljden ungdomsvård eller ungdomstjänst ansvarar socialnämnden för verkställigheten. I de fall där påföljden bestäms till sluten ungdomsvård ansvarar enligt 3 § lagen (1998:603) om verkställighet av sluten ungdomsvård Statens institutionsstyrelse för verkställigheten.
De regler om behandling av personuppgifter som gäller i dessa verksamheter och som ligger inom direktivets tillämpningsområde redovisas i det följande.
Dagens reglering SOU 2017:29
110
3.4.2 Verkställighet av fängelse, skyddstillsyn och villkorlig dom med samhällstjänst
Allmänt om lagen om behandling av personuppgifter inom kriminalvården
Lagen om behandling av personuppgifter inom kriminalvården innehåller endast övergripande bestämmelser om behandlingen av personuppgifter. Bestämmelser om de register som ska föras (centrala kriminalvårdsregistret och säkerhetsregistret) och detaljerade regler om vilka typer av uppgifter som får behandlas om olika personkategorier finns i stället i förordningen (2001:682) om behandling av personuppgifter inom kriminalvården.
Lagens tillämpningsområde
Lagen gäller enligt 1 § vid behandling av personuppgifter i fråga om personer som – är föremål för personutredning, – är häktade, – är dömda till fängelse, skyddstillsyn eller villkorlig dom med
föreskrift om samhällstjänst, eller är ålagda fängelse som förvandlingsstraff för böter eller vite, eller som på grund av en utländsk dom ska verkställa någon av dessa påföljder i Sverige, – på någon annan grund är intagna i häkte eller fängelse, eller – annars transporteras av Kriminalvårdens transporttjänst.
Förhållandet till personuppgiftslagen
Lagen om behandling av personuppgifter inom kriminalvården gäller utöver personuppgiftslagen och innehåller bara vissa särbestämmelser i förhållande till personuppgiftslagen, som i övrigt gäller för Kriminalvårdens verksamhet.
SOU 2017:29 Dagens reglering
111
Ändamålen med behandlingen
Personuppgifter får enligt 3 § lagen behandlas bara om det är nödvändigt för att – Kriminalvården ska kunna fullgöra sina uppgifter i enlighet med
lag eller förordning, – underlätta tillgången till sådana uppgifter om verkställighet av
påföljd eller häktning som rättsväsendets myndigheter behöver, eller – upprätthålla säkerheten och förebygga brott under den tid som
häktning, verkställighet av påföljd, intagning av annat skäl eller transport utförd av Kriminalvården pågår.
Behandling av känsliga personuppgifter
Uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv får enligt 5 § lagen inte behandlas enbart på grund av vad som är känt om personens sådana förhållanden. Om känsliga personuppgifter behandlas på annan grund, får uppgifterna kompletteras med sådana personuppgifter om det är absolut nödvändigt för syftet med behandlingen.
Förordningen om behandling av personuppgifter inom kriminalvården
I förordningen om behandling av personuppgifter inom kriminalvården finns dels generella regler om vilka uppgifter som får behandlas, dels bestämmelser om särskilda register. Vilka uppgifter som får behandlas varierar med grunden för att en person förekommer hos Kriminalvården. Reglerna är t.ex. olika beroende på vilken påföljd som verkställs.
Det centrala kriminalvårdsregistret regleras i 34–36 §§. Ändamålet med registret är dels att möjliggöra för myndigheten att fullgöra sina författningsenliga uppgifter, dels att underlätta tillgången till sådana uppgifter om verkställighet av påföljd som rättsväsendets myndigheter behöver. Endast personer som har dömts till
Dagens reglering SOU 2017:29
112
fängelse, skyddstillsyn, villkorlig dom med samhällstjänst eller har ålagts förvandlingsstraff för böter eller vite eller personer som ska verkställa en utländsk sådan påföljd i Sverige får finnas i registret.
Säkerhetsregistret regleras i 39–41 och 43–45 §§. Ändamålet med registret är att upprätthålla säkerheten och att förebygga brott. Endast personer som är häktade eller intagna i vissa fängelser för att avtjäna fängelsestraff eller som ska verkställa en utländsk sådan påföljd får finnas i registret. Registrering förutsätter dessutom att vissa särskilda omständigheter föreligger, t.ex. att den registrerade tidigare har rymt eller gjort sig skyldig till allvarligt hot eller våld mot personal eller mot andra intagna eller att det finns särskild anledning att anta att han eller hon kan komma att göra det.
Förordningen innehåller också regler om de journaler som ska föras över verkställigheten. Vid överflyttning av verkställighet av påföljd till en annan stat får enligt 48 § bl.a. sådana journaler lämnas ut till den myndighet i den andra staten som är ansvarig för verkställigheten.
3.4.3 Verkställighet av bötesstraff
Regler om verkställighet av böter
Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötesstraff antingen genom uppbörd eller indrivning. Uppbörd innebär att den bötfällde frivilligt betalar bötesbeloppet. Uppbörd kan också bestå i att belopp som har betalats som förskott på böter tas i anspråk. Bötesstraff som ålagts genom strafföreläggande eller föreläggande av ordningsbot ska enligt 2 § i första hand verkställas genom uppbörd. Detsamma gäller böter som ålagts genom dom eller slutligt beslut av allmän domstol. Om uppbörd inte ska ske eller om uppbörd inte leder till full betalning ska böterna enligt 6 § lämnas vidare för indrivning.
Uppbörd av böter
Polismyndigheten är enligt 3 § bötesverkställighetsförordningen (1979:197) central uppbördsmyndighet. Polismyndigheten ansvarar för uppbörd av böter oavsett vilken myndighet som utfärdat ett
SOU 2017:29 Dagens reglering
113
föreläggande av ordningsbot eller ett strafföreläggande. Polismyndigheten ansvarar även för uppbörd av böter som utdömts av allmän domstol.
I Polismyndighetens verksamhet med uppbörd av böter tillämpas personuppgiftslagen om det inte finns någon särreglering. Som tidigare nämnts får Polismyndigheten föra register över förelägganden av ordningsbot och strafförelägganden (se avsnitt 3.3.3). Registren är bl.a. avsedda att utgöra hjälpmedel i Polismyndighetens roll som central uppbördsmyndighet.
I departementspromemorian Uppbörd av böter (Ds 2015:5) föreslås en ny lag och förordning om uppbörd av böter. De är avsedda att ersätta de nuvarande bestämmelserna om uppbörd av bötesstraff. Promemorian har remitterats. Förslagen bereds i Regeringskansliet (Justitiedepartementet).
Verkställighet av böter som inte betalas frivilligt
Indrivning innebär att betalning för böter tas ut tvångsvis genom åtgärder som Kronofogdemyndigheten vidtar. Om gäldenären inte betalar kan under vissa förutsättningar bötesstraffet komma att förvandlas till fängelse. På initiativ av Kronofogdemyndigheten prövar åklagare om det finns skäl att väcka talan vid allmän domstol om omvandling av straffet. Förfarandet regleras dels i 15–23 §§bötesverkställighetslagen, dels i 17–23 §§bötesverkställighetsförordningen.
3.4.4 Verkställighet av rättspsykiatrisk vård, vård enligt socialtjänstlagen , ungdomsvård och ungdomstjänst
Rättspsykiatrisk vård
När det gäller rättspsykiatrisk vård finns det ingen särskild reglering av personuppgiftsbehandling i sådan verksamhet. I den utsträckning som verksamheten är hänförlig till hälso- och sjukvård gäller patientdatalagen (2008:355) även för rättspsykiatrisk vård (se Patientdatalag m.m., prop. 2007/08:126, s. 49). I övrigt tillämpas personuppgiftslagen.
Dagens reglering SOU 2017:29
114
I 2 kap. 2 § patientdatalagen, som gäller utöver personuppgiftslagen, anges i vilken utsträckning behandling av personuppgifter är tillåten med eller utan den registrerades samtycke. Personuppgifter får enligt 2 kap. 4 § behandlas bl.a. för att uppfylla kraven på journalföring i 3 kap. och att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Vårdgivaren är enligt 2 kap. 6 § personuppgiftsansvarig. Uppgifter om lagöverträdelser får behandlas endast om det är absolut nödvändigt. Det gäller även en vårdgivare som inte är en statlig myndighet, landsting eller kommun. Behandling av känsliga personuppgifter och behandling av uppgifter om lagöverträdelser regleras i 2 kap. 8 §. I 3 kap. regleras skyldigheten att föra patientjournal och vad som i övrigt gäller för behandling av personuppgifter i sådana journaler. Lagen innehåller också bestämmelser om skadestånd och överklagande.
Ungdomsvård, vård enligt socialtjänstlagen och vård av missbrukare
Statens institutionsstyrelse, som ansvarar för verkställighet av sluten ungdomsvård, tillämpar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten i sin verksamhet. Lagen gäller utöver personuppgiftslagen. Personuppgifter får enligt 6 § bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska utföras och för uppgiftslämnande som föreskrivs i lag eller förordning. Lagen reglerar i 7 § bl.a. behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, domar i brottmål och straffprocessuella tvångsmedel.
Kommunala myndigheter tillämpar också lagen om behandling av personuppgifter inom socialtjänsten i verksamhet enligt lagstiftningen om socialtjänst och lagstiftningen om vård utan samtycke av unga eller missbrukare. Det innebär att lagen är tillämplig när kommunala myndigheter behandlar personuppgifter beträffande någon som har dömts till överlämnande till särskild vård enligt lagen om vård av missbrukare eller till ungdomstjänst eller ungdomsvård.
SOU 2017:29 Dagens reglering
115
3.4.5 Internationellt samarbete rörande verkställighet av straffrättsliga påföljder
Ett flertal lagar och förordningar reglerar internationellt samarbete beträffande verkställighet av påföljd. Det gäller exempelvis lagen (1963:193) om samarbete med Danmark, Finland, Island och Norge angående verkställighet av straff, lagen (1972:260) om internationellt samarbete rörande verkställighet av brottmålsdom, lagen (2015:96) om erkännande och verkställighet av frihetsberövande påföljder inom Europeiska unionen, lagen (2009:1427) om erkännande och verkställighet av bötesstraff inom Europeiska unionen och lagen (2011:423) om erkännande och verkställighet av beslut om förverkande inom Europeiska unionen. Flera av de myndigheter vars registerförfattningar har redovisats i detta kapitel fullgör olika uppgifter enligt dessa lagstiftningar som kräver behandling av personuppgifter.
3.5 Regler om personuppgiftsbehandling hos andra aktörer än myndigheter
3.5.1 Uppgifter om brottsbekämpning, lagföring eller straffverkställighet
Det är inte bara myndigheter som behandlar uppgifter som rör brottsbekämpning, lagföring och straffverkställighet. Åtskilliga andra aktörer får i sin verksamhet i större eller mindre utsträckning tillgång till uppgifter om t.ex. domar i brottmål. I vilken utsträckning sådana uppgifter får behandlas regleras dels i personuppgiftslagen, dels i andra författningar som ligger utanför direktivets tilllämpningsområde.
Som framgår i avsnitt 3.1.2 förbjuds andra än myndigheter i personuppgiftslagen att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet. Datainspektionen har meddelat sådana föreskrifter (DIFS 1998:3). Föreskrifterna innebär att personuppgifter om lagöverträdelser får behandlas bl.a. om behandlingen
Dagens reglering SOU 2017:29
116
– är nödvändig för att fullgöra en föreskrift på socialtjänstområ-
det, – avser uppgift i fristående skolors elevvårdsverksamhet eller mot-
svarande verksamhet hos enskilda anordnare av högskoleutbildning, – är nödvändig för att kontrollera att en jävssituation inte förelig-
ger i advokatverksamhet eller annan juridisk verksamhet, eller – bara avser enstaka uppgift som är nödvändig för att anmälnings-
skyldighet enligt lag ska kunna fullgöras.
3.5.2 Offentliga försvarare och annat juridiskt biträde
I förundersökningar och brottmålsrättegångar biträds både den misstänkte och i vissa fall målsäganden av ett juridiskt biträde. Endast den som är advokat får enligt huvudregeln i 21 kap. 5 § rättegångsbalken utses till offentlig försvarare. Till målsägandebiträde får enligt 4 § lagen (1988:609) om målsägandebiträde jämförd med 26 § rättshjälpslagen (1996:1619) förordnas en advokat, en biträdande jurist eller någon annan som är lämplig för uppdraget. Motsvarande krav ställs på den som enligt 5 § lagen (1999:997) om särskild företrädare för barn får utses till särskild företrädare. Den som fullgör uppgifter som offentlig försvarare, målsägandebiträde eller särskild företrädare för barn behandlar i stor utsträckning personuppgifter som härrör från förundersökningar, brottsmålsrättegångar och straffverkställighet.
I 8 kap. rättegångsbalken finns bestämmelser om advokatväsendet. En advokat ska vara ledamot av Sveriges advokatsamfund, vars verksamhet delvis är av offentligrättslig natur genom den tillsyn som samfundets styrelse och disciplinnämnd enligt 8 kap.6 och 7 §§rättegångsbalken utövar över advokaterna.
Enligt 8 kap. 4 § rättegångsbalken ska en advokat i sin verksamhet redbart och nitiskt utföra de uppdrag som anförtrotts honom och iaktta god advokatsed.
Det finns inte några särregler för behandling av personuppgifter som utförs av någon av de kategorier som nämns i detta avsnitt. De tillämpar således personuppgiftslagen.
SOU 2017:29 Dagens reglering
117
3.5.3 Idrottsorganisationer
En idrottsorganisation får enligt 7 § lagen om register över tillträdesförbud vid idrottsarrangemang behandla personuppgifter från det tillträdesförbudsregister som Polismyndigheten för, om det behövs för att förebygga, förhindra eller upptäcka överträdelse av ett tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar. En sådan organisation har också enligt 9 § rätt att ta del av uppgifter i tillträdesförbudsregistret trots att det gäller sekretess för uppgifterna. Uppgifter ur tillträdesförbudsregistret får enligt 10 § lämnas ut till en idrottsorganisation på medium för automatiserad behandling.
3.6 2013 års lag
Allmänt om lagen
Lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (i fortsättningen 2013 års lag) genomför rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60, i fortsättningen dataskyddsrambeslutet). Lagen gäller när personuppgifter överförs eller har överförts eller görs eller har gjorts tillgängliga inom ramen för polissamarbete eller straffrättsligt samarbete. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter.
Lagens tillämpningsområde
Lagen gäller för behandling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, om uppgifterna inom ramen för polissamarbete eller straffrättsligt samarbete görs eller har gjorts tillgängliga eller överförs eller har överförts mellan en svensk myndighet och en medlemsstat i EU eller mellan en svensk myndighet och Island, Norge, Schweiz
Dagens reglering SOU 2017:29
118
eller Liechtenstein eller mellan en svensk myndighet och ett EUorgan eller EU-informationssystem.
Från lagens tillämpningsområde undantas i 4 § dels behandling av personuppgifter som rör nationell säkerhet, dels personuppgifter som görs eller har gjorts tillgängliga eller överförs eller har överförts genom visst informationsutbyte som specificeras i paragrafen.
Personuppgifter som en svensk myndighet har tagit emot får enligt 5 § endast behandlas för andra ändamål än det som uppgifterna först överfördes eller gjordes tillgängliga för om syftet med behandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott, verkställa straffrättsliga påföljder eller att vidta rättsliga eller administrativa åtgärder med direkt anknytning till något av dessa ändamål eller att avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Personuppgifter får även behandlas för andra ändamål om den som överfört eller gjort uppgifterna tillgängliga har lämnat sitt medgivande eller den som uppgifterna avser har samtyckt till det.
Särskilda begränsningar gäller för överföring av personuppgifter som en svensk myndighet har erhållit enligt 6 § för överföring till enskilda och enligt 7 § för överföring till tredjeland eller internationella organ.
I lagen finns också bestämmelser om villkor för användningen av personuppgifter.
119
4 Reformer på dataskyddsområdet
4.1 Gällande unionsrättsakter
4.1.1 Rättighetsstadgan
I artikel 8 i rättighetsstadgan slås fast att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
4.1.2 1995 års dataskyddsdirektiv
Den allmänna regleringen av behandling av personuppgifter inom Europeiska unionen finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, i fortsättningen det nu gällande dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter
Reformer på dataskyddsområdet SOU 2017:29
120
med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning (se avsnitt 3.1.2), gäller inte för behandling av personuppgifter utanför gemenskapsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
4.1.3 Dataskyddsrambeslutet
Dataskyddsrambeslutet är tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstaterna och mellan medlemsstater och EU-organ och mellan medlemsstaster och vissa utpekade informationssystem. Dataskyddsrambeslutet gäller däremot inte för nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.
Dataskyddsrambeslutet har genomförts i svensk rätt främst genom 2013 års lag med tillhörande förordning (se avsnitt 3.6).
4.2 Europeiska unionens dataskyddsreform
4.2.1 Två nya rättsliga instrument
Diskussionerna om det behövdes ett nytt rättsligt instrument som skulle ersätta 1995 års dataskyddsdirektiv pågick länge. Kommissionen presenterade den 25 januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Paketet omfattade inte bara en förordning med en generell reglering som skulle ersätta det nu gällande dataskyddsdirektivet utan även ett nytt direktiv med särregler för främst den brottsbekämpande sektorn som skulle ersätta dataskyddsrambeslutet men ha ett bredare tillämpningsområde.
Det huvudsakliga syftet med kommissionens förslag var att ytterligare harmonisera och effektivisera skyddet av personuppgifter inom EU i syfte att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
SOU 2017:29 Reformer på dataskyddsområdet
121
Förslaget till förordning baserades till stor del på den struktur och reglering som finns i det nu gällande dataskyddsdirektivet. Generellt innebar förslaget stärkt skydd för enskilda vid behandling av personuppgifter. Förordningen innehöll även en rad nyheter jämfört med dataskyddsdirektivet. Dit hörde nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personuppgiftsincident ägt rum.
Förslaget till direktiv anslöt i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet. Nya inslag var bl.a. kravet på att, så långt det är möjligt, vid behandlingen skilja mellan personuppgifter som avser olika kategorier av personer och likaså mellan uppgifter med olika grad av riktighet och tillförlitlighet. En annan nyhet var skyldigheten för den personuppgiftsansvarige att utan dröjsmål underrätta tillsynsmyndigheten om en personuppgiftsincident ägt rum. Vidare föreslogs nya regler om de nationella tillsynsmyndigheternas ställning, villkor och uppgifter och om obligatoriskt ömsesidigt bistånd och samarbete dem emellan. Till skillnad från dataskyddsrambeslutet föreslogs det nya dataskyddsdirektivet vara tillämpligt inte bara på utbyte av information över gränserna utan även på nationell personuppgiftsbehandling för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
Efter flera års förhandlingar enades Europaparlamentet och rådet den 27 april 2016 om en ny reglering av skyddet för enskilda vid behandling av personuppgifter. Den består av två rättsliga instrument, en förordning och ett direktiv.
4.2.2 En dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EGT L 119, 4.5.2016, s. 1, i fortsättningen dataskyddsförordningen) börjar tilllämpas den 25 maj 2018.
Reformer på dataskyddsområdet SOU 2017:29
122
Förordningen utgör en ny generell reglering för behandling av personuppgifter inom EU som ska ersätta dataskyddsdirektivet från år 1995 och som är direkt tillämplig. När förordningen träder i kraft måste personuppgiftslagen upphävas. Andra författningar som omfattas av den nya förordningens tillämpningsområde måste upphävas i de delar förordningen innehåller motsvarande föreskrifter och i övrigt anpassas till den.
Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Från förordningens tillämpningsområde undantas personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den allmänna säkerheten. Personuppgiftsbehandling för dessa syften ligger i stället under det nya dataskyddsdirektivets tillämpningsområde (se avsnitt 4.2.3).
En särskild utredare har fått i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Utredningen har antagit namnet Dataskyddsutredningen. Den utredningen förutsätts samråda med vår utredning. I direktiven till Dataskyddsutredningen framhålls att samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndigheten och arkivering.
4.2.3 Ett nytt dataskyddsdirektiv
Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89, i fortsättningen direktivet) ska vara genomfört i nationell rätt senast den 6 maj 2018.
SOU 2017:29 Reformer på dataskyddsområdet
123
Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. Direktivet ersätter dataskyddsrambeslutet. En närmare beskrivning av innehållet i direktivet finns i avsnitt 5.2.
4.2.4 Viss personuppgiftsbehandling ligger utanför båda instrumenten
Viss behandling av personuppgifter undantas från både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområden. Det gäller personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.
Vidare undantas den personuppgiftsbehandling som förekommer vid EU:s myndigheter och andra organ. Den regleras i stället i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1). Inom EU pågår förhandlingar om regleringen av behandlingen av personuppgifter vid unionens myndigheter och andra organ.
4.3 Dataskyddskonventionen
Europarådets ministerkommitté antog år 1981 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen (nr 108). Konventionen trädde i kraft den 1 oktober 1985. Dess syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet.
Reformer på dataskyddsområdet SOU 2017:29
124
I konventionen anges krav på de personuppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får behandlas automatiserat om inte nationell lagstiftning ger ett ändamålsenligt skydd, och att lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse.
Konventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. En sådan rekommendation rör polisen.
Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.
Europarådet inledde år 2010 en översyn av konventionen och rekommendationerna. Arbetet med översynen kan förväntas vara slutfört inom en nära framtid.
125
5 Det nya dataskyddsdirektivet
5.1 Allmänt om direktivet
Det nya dataskyddsdirektivet riktar sig till medlemsstaterna och kräver att de genomför viss lagstiftning inom två år efter ikraftträdandet. Det innebär att direktivet ska vara genomfört senast den 6 maj 2018. Direktivet är indelat i tio kapitel och innehåller totalt 65 artiklar.
I detta avsnitt beskrivs kortfattat innehållet i samtliga artiklar, för att skapa en översiktlig bild av vilka krav på lagstiftning som direktivet ställer. Det närmare innehållet i artiklarna redovisas i de kapitel som behandlar sakfrågorna.
Av skäl 99 framgår att Storbritannien och Irland inte är bundna av bestämmelserna i direktivet i vissa delar.
Danmark ska enligt skäl 100 inom sex månader efter antagandet av direktivet besluta om man ska genomföra direktivet i sin nationella lagstiftning eller inte.
Av skäl 101–103 framgår att Norge, Island, Schweiz och Liechtenstein är bundna av direktivet genom att de har anslutit sig till Schengenregelverket.
5.2 Innehållet i direktivet
Allmänna bestämmelser – artiklarna 1–3
Enligt artikel 1 innehåller direktivet bestämmelser om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusiva att skydda mot och förebygga och förhindra hot mot den allmänna säkerheten. Syftet med direktivet är att dels skydda fysi-
Det nya dataskyddsdirektivet SOU 2017:29
126
ska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, dels säkerställa att, när det krävs utbyte av personuppgifter inom unionen mellan behöriga myndigheter, detta utbyte varken begränsas eller förbjuds av hänsyn till skyddet för fysiska personer mot behandling av personuppgifter. Det slås också fast att direktivet inte hindrar att medlemsstaterna föreskriver strängare skyddsåtgärder när det gäller registrerades rättigheter och friheter.
Artikel 2 anger direktivets tillämpningsområde. Direktivet ska
tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. Direktivet ska tillämpas dels på helt eller delvis automatiserad behandling av personuppgifter, dels på annan behandling av personuppgifter som ingår i eller kommer att ingå i register. Däremot ska direktivet inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller på personuppgiftsbehandling som utförs av unionens institutioner eller andra organ.
Artikel 3 innehåller definitioner. Där anges bl.a. vad som avses
med personuppgift, behandling, register, behörig myndighet, personuppgiftsansvarig, personuppgiftsbiträde och personuppgiftsincident. Vidare definieras genetiska och biometriska uppgifter.
Principer – artiklarna 4–11
I artikel 4 anges grundläggande principer för behandling av personuppgifter. Personuppgifter ska – behandlas på ett lagligt och korrekt sätt, – samlas in för särskilda, uttryckligt angivna och berättigade ända-
mål och inte behandlas på ett sätt som står i strid med dessa ändamål, – vara adekvata, relevanta och inte för omfattande i förhållande till
de syften för vilka de behandlas, – vara korrekta och, om nödvändigt, uppdaterade, – inte möjliggöra identifiering av den registrerade under längre tid
än nödvändigt, och
SOU 2017:29 Det nya dataskyddsdirektivet
127
– behandlas på ett sätt som säkerställer säkerheten för uppgif-
terna.
Behandling för något annat ändamål som anges i artikel 1.1 än det för vilket uppgifterna samlades in är tillåten om den personuppgiftsansvarige har rätt att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till det nya ändamålet. Behandlingen kan inkludera arkivändamål som är av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1, om det finns lämpliga skyddsåtgärder.
Enligt artikel 5 ska lämpliga tidsgränser föreskrivas för när personuppgifter ska raderas eller för regelbunden översyn av behovet av att lagra sådana uppgifter. Det ska finnas regler för att säkerställa att tidsgränserna hålls.
Enligt artikel 6 ska den personuppgiftsansvarige så långt möjligt göra åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, som misstänkta, dömda, brottsoffer och andra som berörs av brott, exempelvis personer som kan komma att kallas som vittnen.
I artikel 7 föreskrivs att åtskillnad så långt möjligt ska göras mellan personuppgifter som grundar sig på fakta och uppgifter som grundar sig på personliga bedömningar. Behöriga myndigheter ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Om felaktiga personuppgifter har överförts eller personuppgifter överförts olagligen ska mottagaren omedelbart underrättas om det. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen av dem begränsas.
Enligt artikel 8 är behandling laglig endast om och i den utsträckning behandlingen är nödvändig för att behöriga myndigheter ska kunna utföra sådana uppgifter som anges i artikel 1.1 och som grundas på unionsrätt eller nationell rätt. Den nationella rätten ska åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och ändamålet med behandlingen.
I artikel 9 föreskrivs att personuppgifter som samlats in för något av de i direktivet angivna ändamålen inte får behandlas för något annat ändamål om inte sådan behandling är tillåten enligt unionsrätten eller nationell rätt. När personuppgifter behandlas för
Det nya dataskyddsdirektivet SOU 2017:29
128
andra ändamål än dem som anges i artikel 1.1 ska dataskyddsförordningen tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Om de behöriga myndigheterna har andra uppgifter än dem som anges i artikel 1.1, ska dataskyddsförordningen tillämpas på behandling för sådana ändamål. Det gäller även behandling för arkivändamål som är av allmänt intresse eller för statistiska, historiska eller vetenskapliga ändamål. I artikeln anges också vad som gäller för överföring av uppgifter för behandling för andra ändamål.
Artikel 10 reglerar behandling av det som brukar kallas känsliga
personuppgifter. Med det avses uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Regleringen omfattar även behandling av genetiska uppgifter, biometriska uppgifter i identifieringssyfte eller uppgifter om hälsa, sexualliv eller sexuell läggning. Behandling av sådana uppgifter är bara tillåten om den är absolut nödvändig, det finns tillräckliga skyddsåtgärder och behandlingen är tillåten enligt unionsrätt eller nationell rätt för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller om det är fråga om uppgifter som den registrerade själv har offentliggjort.
I artikel 11 förbjuds att beslut, som har negativa rättsverkningar eller i betydande grad påverkar den registrerade, fattas om de enbart grundas på automatiserad behandling, såvida inte de är tillåtna enligt unionsrätten eller nationell rätt och det finns lämpliga skyddsåtgärder. Profilering som leder till diskriminering på grundval av känsliga personuppgifter ska förbjudas.
Den registrerades rättigheter – artiklarna 12–18
Enligt artikel 12 ska den personuppgiftsansvarige utan kostnad lämna den registrerade information om hans eller hennes rättigheter. Informationen ska vara koncis, lättillgänglig och språkligt lättfattlig. Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen besvara en begäran från den registrerade om information om hur hans eller hennes personuppgifter behandlas. Om en registrerads begäran är uppenbart ogrundad eller orimlig får den per-
SOU 2017:29 Det nya dataskyddsdirektivet
129
sonuppgiftsansvarige antingen ta ut en avgift eller vägra tillmötesgå begäran.
I artikel 13 anges vilken information som alltid måste göras tillgänglig för den registrerade. Det är den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter, ändamålen med den avsedda behandlingen, rätten att klaga till en tillsynsmyndighet och dess kontaktuppgifter och rätten att begära att få del av personuppgifter, rättelse, radering eller begränsning av behandlingen. Därutöver ska den personuppgiftsansvarige i specifika fall lämna viss annan information för att göra det möjligt för den registrerade att utöva sina rättigheter.
Artikel 14 behandlar den registrerades rätt till tillgång till per-
sonuppgifter. Om inte annat sägs i artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på om personuppgifter som rör honom eller henne behandlas och, om så är fallet, få tillgång till personuppgifterna och följande information: – ändamålen med behandlingen och den rättsliga grunden, – vilka kategorier av personuppgifter som behandlas, – vilka mottagare eller kategorier av mottagare som har fått per-
sonuppgifterna, – hur länge uppgifterna kommer att lagras eller, om det inte är
möjligt, kriterierna för att fastställa lagringstiden, – rätten att begära rättelse, radering eller begränsning av behand-
lingen, och – rätten att klaga hos en tillsynsmyndighet och dess kontaktupp-
gifter.
Enligt artikel 15 får medlemsstaterna genom lagstiftning, så länge åtgärden är nödvändig och proportionell, helt eller delvis begränsa den registrerades rätt till tillgång till personuppgifter och information i syfte att undvika att förundersökningar och andra utredningar eller förfaranden, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder försvåras eller i syfte att skydda allmän säkerhet, nationell säkerhet eller andra personers rättigheter och friheter.
Det nya dataskyddsdirektivet SOU 2017:29
130
Artikel 16 behandlar rätten till rättelse eller radering av person-
uppgifter eller begränsning av behandlingen och vilka skyldigheter den personuppgiftsansvarige har i sådana frågor. Den registrerade ska ha rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen ska den registrerade även kunna få ofullständiga personuppgifter kompletterade. I vissa fall ska den registrerade även ha rätt att få personuppgifter raderade. I stället för att radera personuppgifterna ska den personuppgiftsansvarige i vissa fall begränsa behandlingen av uppgifterna.
Enligt artikel 17 ska den registrerades rättigheter även kunna utövas genom den behöriga tillsynsmyndigheten om tillgången till information har begränsats.
I artikel 18 öppnas möjlighet att föreskriva att rätten till information, tillgång till uppgifter, rättelse, radering och begränsning av behandling ska utövas enligt nationell rätt om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredning och straffrättsliga förfaranden.
Av skäl 107 framgår att direktivet inte hindrar att det i nationell straffprocesslagstiftning finns bestämmelser om den registrerades rätt till information, tillgång till och rättelse eller radering av personuppgifter och begränsning av behandling i samband med straffrättsliga förfaranden och begränsningar i dessa rättigheter.
Personuppgiftsansvarig och personuppgiftsbiträde – artiklarna 19–28
Den personuppgiftsansvarige ska enligt artikel 19 vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med direktivet.
Artikel 20 behandlar inbyggt dataskydd och dataskydd som
standard.
Artikel 21 öppnar en möjlighet att låta två eller flera personupp-
giftsansvariga ha gemensamt personuppgiftsansvar för ett register.
I artikel 22 regleras vilka krav som ställs när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. Som huvudregel får ett
SOU 2017:29 Det nya dataskyddsdirektivet
131
personuppgiftsbiträde enligt artikel 23 bara behandla uppgifter enligt instruktioner från den personuppgiftsansvarige.
Artikel 24 innehåller detaljerade regler om personuppgiftsansva-
rigas skyldighet att föra register över olika typer av behandlingar. I artikel 25 ställs krav på att det ska finnas loggar över olika typer av behandling i automatiserade behandlingssystem. Registren och loggarna ska på begäran göras tillgängliga för tillsynsmyndigheten.
Enligt artikel 26 ska personuppgiftsansvariga och personuppgiftsbiträden på begäran samarbeta med tillsynsmyndigheten.
I artikel 27 ställs krav på att den personuppgiftsansvarige gör en förhandsbedömning av behandlingens konsekvenser för skyddet av personuppgifter när det gäller en ny typ av behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter.
Artikel 28 ställer krav på att den personuppgiftsansvarige under
vissa förutsättningar ska samråda med tillsynsmyndigheten innan nya register inrättas.
Säkerhet för personuppgifter – artiklarna 29–31
Artikel 29 innehåller krav på säkerhet i samband med behandlingen
av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska – med beaktande av bl.a. kostnaderna och behandlingens art, omfattning och ändamål – vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå. Säkerheten ska omfatta åtkomstskydd för utrustning, kontroll av datamedier, lagringskontroll, användarkontroll, åtkomstkontroll, kommunikationskontroll, indatakontroll, transportkontroll, återställande, driftsäkerhet och dataintegritet.
I artikel 30 regleras den personuppgiftsansvariges skyldigheter om det inträffar en personuppgiftsincident. En sådan ska anmälas till tillsynsmyndigheten utan dröjsmål och enligt huvudregeln senast 72 timmar efter att den personuppgiftsansvarige har fått kännedom om incidenten. I artikeln anges också vad en sådan anmälan ska innehålla och vilken dokumentation om incidenten som krävs.
Artikel 31 innehåller regler om information till den registrerade
om en personuppgiftsincident och i vilka fall det inte krävs någon sådan information.
Det nya dataskyddsdirektivet SOU 2017:29
132
Dataskyddsombud – artiklarna 32–34
Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett dataskyddsombud. Undantag får göras för domstolars och andra oberoende rättsliga myndigheters dömande verksamhet. Flera myndigheter får ha samma dataskyddsombud. Ombudets kontaktuppgifter ska dels offentliggöras, dels meddelas till tillsynsmyndigheten.
Enligt artikel 33 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet kan delta i frågor som rör skyddet av personuppgifter och stödja dataskyddsombudet i hans eller hennes uppgifter.
Dataskyddsombudets uppgifter anges i artikel 34. I uppgifterna ingår bl.a. att informera och ge råd till den personuppgiftsansvarige och de anställda som behandlar personuppgifter, att övervaka att direktivet efterlevs och att samarbeta med och vara en kontaktpunkt för tillsynsmyndigheten.
Överföring av personuppgifter till tredjeländer eller internationella organisationer – artiklarna 35–40
I artikel 35 anges allmänna principer för överföring av personuppgifter till tredjeland och internationella organisationer. Där föreskrivs bl.a. att överföringen ska vara nödvändig för något av de ändamål som anges i artikel 1.1 och att den ska riktas till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig för sådana ändamål. Om uppgifterna kommer från en annan medlemsstat ska den enligt huvudregeln ge förhandstillstånd till överföringen.
Artikel 36 reglerar överföring till mottagare i tredjeland eller
internationella organisationer som enligt kommissionens beslut har en adekvat skyddsnivå. Sådana överföringar kräver inte särskilt tillstånd.
Även om det inte finns något beslut om en adekvat skyddsnivå får, enligt artikel 37, uppgifter överföras till mottagare i ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder kan säkerställas i ett enskilt fall.
I artikel 38 görs också undantag för överföring i särskilda situationer, bl.a. för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.
SOU 2017:29 Det nya dataskyddsdirektivet
133
Artikel 39 reglerar överföring direkt till vissa mottagare som inte
är behöriga myndigheter.
Kommissionen och medlemsstaterna åläggs i artikel 40 att bl.a. utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd för personuppgifter och att också erbjuda bistånd till tredjeland och internationella organisationer i det syftet.
Oberoende tillsynsmyndigheter – artiklarna 41–51
Enligt artikel 41 ska varje medlemsstat utse en eller flera myndigheter som ska vara ansvariga för att övervaka tillämpningen av direktivet. Samma myndighet som har utsetts till tillsynsmyndighet enligt dataskyddsförordningen får utses att vara tillsynsmyndighet enligt direktivet.
Tillsynsmyndigheten ska enligt artikel 42 vara fullständigt oberoende när den utför sina uppgifter och utövar sina befogenheter enligt direktivet. I artikeln utvecklas vilka krav som ska vara uppfyllda för att myndigheten ska anses vara oberoende.
De som ska leda tillsynsmyndigheten ska enligt artikel 43 utses genom ett öppet förfarande av parlamentet, regeringen, statschefen eller ett oberoende organ. I artikeln anges också i vilka situationer de som ska leda myndigheten ska lämna sina uppdrag eller avsättas.
Enligt artikel 44 ska inrättandet av myndigheten och regler och förfaranden för bl.a. tillsättning av dem som ska leda myndigheten föreskrivas i författning. Tillsynsmyndigheten och dess personal, inkluderande de som ska leda myndigheten, ska ha tystnadsplikt.
Tillsynsmyndighetens behörighet regleras i artikel 45. Tillsynsmyndigheten ska utföra de uppgifter och ha de behörigheter som framgår av direktivet. Tillsynen ska dock inte omfatta tillsyn över domstolarna i deras dömande verksamhet. Medlemsstaterna får undanta även andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet från tillsyn.
Tillsynsmyndighetens uppgifter räknas upp i artikel 46. Till uppgifterna hör bl.a. att övervaka tillämpningen av de bestämmelser som antas i enlighet med direktivet, att ge råd till lagstiftande organ i frågor som rör personuppgiftsbehandling, att på begäran ge regi-
Det nya dataskyddsdirektivet SOU 2017:29
134
strerade information om hur de ska kunna utöva sina rättigheter enligt direktivet och att avgiftsfritt behandla klagomål från registrerade. Om en begäran är uppenbart ogrundad eller orimlig får dock tillsynsmyndigheten ta ut avgift eller vägra att tillmötesgå begäran.
Tillsynsmyndighetens befogenheter anges i artikel 47. Tillsynsmyndigheten ska ha rätt att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och få all information som myndigheten behöver för att kunna fullgöra sina uppgifter. Tillsynsmyndigheten ska vidare ha effektiva korrigerande befogenheter t.ex. att kunna varna den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med de bestämmelser som genomför direktivet och kunna beordra rättelse, radering eller begränsning av behandlingen eller förbjuda den. Tillsynsmyndigheten ska också ha rätt att anmäla överträdelser till rättsliga myndigheter.
De behöriga myndigheterna ska enligt artikel 48 ha effektiva mekanismer för att rapportera överträdelser av direktivet.
Tillsynsmyndigheten ska enligt artikel 49 upprätta en årlig rapport om sin verksamhet. Rapporten ska överlämnas till parlamentet, regeringen och andra myndigheter som anges i nationell rätt. Den ska också göras tillgänglig för bl.a. allmänheten och kommissionen.
Tillsynsmyndigheterna ska enligt artikel 50 utbyta information med och ge varandra ömsesidigt bistånd. Varje tillsynsmyndighet ska kunna besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och senast inom en månad och får bara vägra att tillmötesgå en begäran om myndigheten inte är behörig eller det skulle stå i strid med direktivet, unionsrätt eller nationell rätt. Kommissionen får genom genomförandeakter ange formerna för ömsesidigt bistånd.
I artikel 51 anges vilka uppgifter den styrelse som inrättats genom dataskyddsförordningen ska ha när det gäller behandling av personuppgifter enligt direktivet.
SOU 2017:29 Det nya dataskyddsdirektivet
135
Rättsmedel, ansvar och sanktioner – artiklarna 52–57
Artikel 52 reglerar rätten för registrerade att lämna in klagomål över
personuppgiftsbehandling till en tillsynsmyndighet. Har klagomålet lämnats till fel myndighet ska den utan dröjsmål överlämna klagomålet till rätt myndighet. Den registrerade ska underrättas om handläggningen av klagomålet och vad det resulterar i.
I artikel 53 föreskrivs att en fysisk eller juridisk person har rätt till effektivt rättsmedel mot en tillsynsmyndighets beslut som är rättsligt bindande och avser dem. Detsamma gäller om tillsynsmyndigheten inte behandlat ett klagomål inom tre månader eller inte informerat den registrerade enligt artikel 52.
Rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde regleras i artikel 54.
Enligt artikel 55 ska den registrerade ha rätt att ge ett organ, en organisation eller en sammanslutning i uppdrag att ge in klagomål och att låta den utöva de rättigheter som anges i artiklarna 52–54 för hans eller hennes räkning.
Den som lidit skada till följd av olaglig behandling av personuppgifter eller någon annan åtgärd som står i strid med de bestämmelser som genomför direktivet ska enligt artikel 56 ha rätt till ersättning från den personuppgiftsansvarige eller annan myndighet som är behörig enligt nationell rätt.
Artikel 57 ställer krav på att det finns sanktioner för överträdel-
ser av de bestämmelser som genomför direktivet. Sanktionerna ska vara effektiva, proportionella och avskräckande.
Genomförandeakter – artikel 58
Artikel 58 reglerar kommissionens kommittéförfarande.
Slutbestämmelser – artiklarna 59–65
Enligt artikel 59 upphävs dataskyddsrambeslutet.
I artikel 60 slås fast att direktivet inte påverkar särskilda bestämmelser om skydd av personuppgifter i gällande unionsrättsakter på området för straffrättsligt samarbete och polissamarbete och
Det nya dataskyddsdirektivet SOU 2017:29
136
i artikel 61 regleras förhållandet till tidigare ingångna avtal på området för straffrättsligt samarbete och polissamarbete.
Artikel 62 reglerar kommissionens skyldighet att senast sex år
efter ikraftträdandet och därefter vart fjärde år utvärdera direktivet.
I artikel 63 föreskrivs att medlemsstaterna ska ha införlivat direktivet senast den 6 maj 2018. Medlemsstaterna får dock i undantagsfall föreskriva att datasystem som inrättats före ikraftträdandet ska stå i överensstämmelse med bestämmelsen om loggning i direktivet senast den 6 maj 2023. Under exceptionella omständigheter kan tiden förlängas ytterligare i högst tre år.
Av artikel 64 framgår att direktivet träder i kraft dagen efter att det har offentliggjorts i EU:s officiella tidning och enligt artikel 65 riktar sig direktivet till medlemsstaterna.
137
6 En ny ramlag
6.1 En ramlag för brottsbekämpning, lagföring och straffverkställighet bör införas
6.1.1 En ny reglering behövs
Utredningens bedömning: Det behövs en ny reglering för att
genomföra dataskyddsdirektivet i svensk rätt. Regleringen bör ha lagform.
Skälen för utredningens bedömning
Behovet av en ny reglering
Det nu gällande dataskyddsdirektivet – som upphör att gälla när dataskyddsförordningen börjar tillämpas – har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen har gjorts generellt tillämplig, vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och reglerar behandling av personuppgifter oavsett ändamålet med behandlingen. Lagen gäller således även för verksamheter som omfattas av det nya dataskyddsdirektivet.
Personuppgiftslagen är subsidiär i förhållande till andra lagar och förordningar. Inom flera områden finns det särregler i registerförfattningar som helt eller delvis ersätter personuppgiftslagen. Som framgår av avsnitt 3 2–3.4 utgår registerförfattningarna när det gäller brottsbekämpning, lagföring och straffverkställighet från bestämmelserna i personuppgiftslagen. Antingen gäller registerförfattningarna utöver personuppgiftslagen, och innehåller bara de bestämmelser som avviker från bestämmelserna i den lagen, eller så
En ny ramlag SOU 2017:29
138
gäller de i stället för personuppgiftslagen men hänvisar till de bestämmelser i den lagen som ska tillämpas.
Det nya dataskyddsdirektivet ska vara genomfört i svensk rätt senast den 6 maj 2018. Personuppgiftslagen innehåller, tillsammans med myndigheternas registerförfattningar, bestämmelser som i stor utsträckning motsvarar de krav på reglering som direktivet ställer. När dataskyddsförordningen börjar tillämpas den 25 maj 2018 kommer personuppgiftslagen och föreskrifter som har meddelats med stöd av den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen – dataskyddsförordningen och kompletterande nationella bestämmelser – kommer inte att vara anpassat till de särskilda förutsättningar som gäller för personuppgiftsbehandling inom brottsbekämpning, lagföring och straffverkställighet, eftersom sådan verksamhet är undantagen från förordningens tillämpningsområde. Det krävs därför en ny reglering för att genomföra direktivet.
Regleringen bör ha lagform
Enligt 2 kap. 6 § andra stycket regeringsformen är enskilda gentemot det allmänna skyddade mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden. Enligt 2 kap.20 och 21 §§regeringsformen kan inskränkningar i detta skydd enbart göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Direktivet är inte avsett att leda till några inskränkningar i skyddet av enskildas personliga integritet utan har tvärtom till syfte att stärka det. Regleringen är ändå enligt utredningens mening av den arten att den lämpligen bör ha lagform (jfr Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete, prop. 2012/13:73, s. 58). Dessutom finns redan i dag de författningsbestämmelser som styr myndigheternas behandling av personuppgifter inom direktivets tillämpningsområde huvudsakligen i lag.
SOU 2017:29 En ny ramlag
139
6.1.2 En generellt tillämplig men subsidiär lag
Utredningens förslag: Dataskyddsdirektivet ska i huvudsak
genomföras genom en ny lag som ska vara generellt tillämplig. Särregler i en annan lag eller en förordning ska dock gälla framför den nya lagen. Lagen ska benämnas brottsdatalagen.
Skälen för utredningens förslag
En generell reglering
Dataskyddsdirektivet ska alltså genomföras genom en ny reglering i lag. Frågan är om det bör göras genom ändringar i befintlig lagstiftning, framför allt i berörda myndigheters registerförfattningar, eller genom att det införs en helt ny lag.
Den nuvarande regleringen av personuppgiftsbehandling på direktivets tillämpningsområde är komplex. Myndigheterna måste förhålla sig till flera olika författningar beroende på för vilket ändamål personuppgifterna behandlas. Som ett exempel kan nämnas att Polismyndigheten vid uppgiftsutbyte med en annan EU-medlemsstat kan behöva tillämpa inte bara personuppgiftslagen och polisdatalagen (2010:361), utan också lagen om internationellt polisiärt samarbete eller 2013 års lag. Alternativet att genomföra direktivet genom ändringar i myndigheternas registerförfattningar skulle ha den fördelen att det skulle ge myndigheterna en mer sammanhållen reglering.
Det finns dock flera nackdelar med att placera den nya regleringen i de olika registerförfattningarna. En sådan är att registerförfattningarna skulle tyngas i onödan av bestämmelser som är desamma för flera av dem. En annan är att det skulle behöva införas nya registerförfattningar för de myndigheter som i dag inte har någon sådan utan enbart tillämpar personuppgiftslagen. Eftersom myndigheterna i dag inom direktivets tillämpningsområde antingen tillämpar personuppgiftslagen vid sidan av sin registerförfattning eller genom hänvisningar i registerförfattningen ändå tillämpar vissa bestämmelser i personuppgiftslagen, är det inget nytt för dem att förhålla sig till en ramlagstiftning som innehåller den generella regleringen. Det talar för att så långt som möjligt skapa ett gemensamt regelverk för behandling av personuppgifter inom direktivets
En ny ramlag SOU 2017:29
140
tillämpningsområde. Det bör därför, som anges i utredningens direktiv, införas en ny ramlagstiftning för brottsbekämpning, lagföring och straffverkställighet (dir. 2016:21 s. 7). Att den även bör gälla för upprätthållande av allmän ordning och säkerhet behandlas i avsnitt 7.1.3.
Lagen bör vara subsidiär
Utredningen ska enligt direktiven sträva efter principiella lösningar som ansluter till och är förenliga med gällande författningar och systematik (dir. 2016:21 s. 5 f.). Den nya ramlagen bör därför innehålla de bestämmelser som krävs för att genomföra direktivet och som bör vara generellt tillämpliga. Regleringen bör på samma sätt som i dag kompletteras av registerförfattningar, där bestämmelser som är specifika för myndigheternas verksamhet finns.
Ramlagen kommer att vara anpassad till skyldigheterna och kraven i direktivet. I utredningens uppdrag ingår att anpassa myndigheternas registerförfattningar till ramlagen. Även andra författningar som innehåller bestämmelser om personuppgiftsbehandling på ramlagens tillämpningsområde måste ses över så att de, i den mån de innehåller bestämmelser som avviker från ramlagen, inte står i strid med direktivet.
Av artikel 18 framgår att det är tillåtet att i nationell rätt ha regler som avviker från direktivets bestämmelser om enskildas rätt till information och korrigeringsåtgärder om personuppgifterna ingår i domstolsbeslut, rättsliga protokoll eller ärenden som behandlas i samband med brottsutredningar och straffrättsliga förfaranden. Som utvecklas i avsnitt 11.2.2 finns det således inget som hindrar att reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden har företräde framför ramlagens bestämmelser om information.
Mot den bakgrunden bör ramlagen, på samma sätt som personuppgiftslagen, vara subsidiär i förhållande till bestämmelser i lag eller annan författning.
När personuppgiftslagen infördes övervägdes om det skulle införas en spärr som tydliggjorde att särregler i annan författning bara skulle gälla i den utsträckning de inte stred mot det nu gällande dataskyddsdirektivet (Integritet, Offentlighet, Informations-
SOU 2017:29 En ny ramlag
141
teknik, SOU 1997:39, s. 210 f.). Datalagskommittén stannade dock för att inte föreslå någon sådan regel, eftersom man menade att det bara skulle skapa oro utan att medföra någon motsvarande nytta.
Befintlig lagstiftning måste ses över och anpassas så att det inte finns bestämmelser som står i strid med direktivet. Det arbetet pågår både genom vår utredning och andra översyner. När ny eller ändrad lagstiftning på området övervägs i framtiden måste det också säkerställas att det inte införs bestämmelser som står i strid med direktivet. Utredningen anser i likhet med Datalagskommittén att det inte finns behov av att föreslå någon generell spärr av det slag som diskuterades men förkastades i förarbetena till personuppgiftslagen.
En delvis ändrad struktur
Som framgår av avsnitt 3.2 och 3.3 gäller bl.a. polisdatalagen, kustbevakningsdatalagen (2012:145), åklagardatalagen (2015:433) och domstolsdatalagen (2015:728) i stället för personuppgiftslagen. Dessa författningar innehåller hänvisningar till de bestämmelser i personuppgiftslagen som är tillämpliga i myndigheternas verksamhet. När personuppgiftslagen ersätts av en ny ramlag som enbart ska gälla inom direktivets tillämpningsområde går det inte att ha en systematik där registerförfattningarna gäller i stället för ramlagen, eftersom utgångspunkten är att i princip alla bestämmelser i ramlagen kommer att vara tillämpliga i myndigheternas verksamhet. De uppräknade registerförfattningarna kommer därför att behöva anpassas till ramlagen på så sätt att de ska gälla utöver ramlagen och bara innehålla de bestämmelser som innebär undantag eller avvikelser från bestämmelserna i ramlagen.
De registerförfattningar som i dag gäller utöver personuppgiftslagen måste också anpassas så att de i stället ska gälla utöver ramlagen.
En konsekvens av den ändrade strukturen är att vissa bestämmelser som nu finns i registerförfattningarna kan komma att flyttas till ramlagen, om de är av den arten att de bör gälla för all verksamhet inom direktivets tillämpningsområde. Som exempel kan nämnas regler om hur känsliga personuppgifter får behandlas (se avsnitt 9.2.4). Om det finns behov av särregler för de olika myndig-
En ny ramlag SOU 2017:29
142
heterna när det gäller hur känsliga personuppgifter får behandlas bör de finnas kvar i myndigheternas registerförfattningar. Utredningen kommer att – i enlighet med direktiven för arbetet – i slutbetänkandet lämna förslag till de förändringar som behöver göras i myndigheternas registerförfattningar som en följd av ramlagen.
Lagens benämning
Ramlagen kommer som framgår av avsnitt 7.1 att tillämpas när behöriga myndigheter behandlar personuppgifter inom ramen för brottsbekämpning, lagföring och straffverkställighet och för att upprätthålla allmän ordning och säkerhet. Den kommer att tillämpas ofta och det kommer i stor utsträckning att hänvisas till den. Lagen bör därför ha ett så enkelt och tydligt namn som möjligt.
Ett namn som skulle kunna återspegla lagens huvudsakliga innehåll men ändå är förhållandevis kort är lagen om behandling av personuppgifter vid brottsbekämpning, lagföring och straffverkställighet. Namnet har dock ingen naturlig kortform eller förkortning som kan användas vid hänvisningar till den. Lagrådet kritiserade dessutom ett liknande förslag (lag om behandling av personuppgifter i polisens brottsbekämpande verksamhet) när den nu gällande polisdatalagen granskades. Lagrådet ansåg att rubriken var alltför intetsägande (Integritet och effektivitet i polisens brottsbekämpande verksamhet, prop. 2009/10:85, s. 66 och 519). I förslaget till skattebrottsdatalag motiveras lagens namn med hänvisning till nyss nämnda lagrådsyttrande (prop. 2016/17:89 s. 48).
De registerförfattningar som har införts på direktivets tillämpningsområde de senaste åren har alla ordet datalag i namnet, t.ex. polisdatalagen, åklagardatalagen och domstolsdatalagen. Även Tullverkets och Skatteverkets nya registerförfattningar föreslås innehålla ordet datalag. Ett alternativ är därför att benämna ramlagen brottsdatalagen. Det är ett kort namn som det är lätt att hänvisa till och som skulle kunna förkortas BDL.
Nackdelen med benämningen brottsdatalag är att det inte framgår att lagen gäller för behandling av personuppgifter vid straffverkställighet. Straffverkställighet handlar dock om att verkställa en påföljd för brott eller särskild rättsverkan av brott. Den tydliga kopplingen mellan straffverkställighet och brott gör att namnet
SOU 2017:29 En ny ramlag
143
inte är missvisande. I avsnitt 7.1.3 föreslås att lagen även ska omfatta behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. Det täcks inte av benämningen brottsdatalag. Fördelarna med ett kort namn som det är lätt att hänvisa till uppväger dock nackdelen att det inte uttömmande anger lagens tilllämpningsområde. Lagen bör därför benämnas brottsdatalagen.
Benämningen brottsdatalag aktualiserar frågan hur myndigheternas registerförfattningar bör benämnas. De kommer även fortsättningsvis att komplettera ramlagen och innehålla de mer preciserade eller avvikande regler som behövs för respektive myndighets verksamhet. Registerförfattningarna benämns i dag polisdatalag, kustbevakningsdatalag, åklagardatalag etc.
Kustbevakningsdatalagen och domstolsdatalagen gäller i dag i all verksamhet som inte är administrativ hos respektive myndighet. När dataskyddsförordningen börjar gälla finns det skäl att dela upp sådana registerförfattningar som både reglerar personuppgiftsbehandling som styrs av ramlagen och behandling för vilken dataskyddsförordningen gäller. För de myndigheter som redan har en sådan uppdelning av regelverken för personuppgiftsbehandling, Tullverket och Skatteverket, innebär uppdelningen på regelverk däremot ingen förändring. Det aktualiserar frågan hur registerförfattningarna bör benämnas i framtiden. Ett alternativ är att använda myndighetsnamnet tillsammans med brottsdatalag för de registerförfattningar som kompletterar ramlagen, t.ex. Polismyndighetens brottsdatalag, Tullverkets brottsdatalag och Kustbevakningens brottsdatalag. En alternativ benämning på ramlagen skulle då kunna vara allmän brottsdatalag för att skilja den från myndighetsförfattningarna. Eftersom frågan väckts i ett sent skede av utredningsarbetet läggs inget sådant förslag.
Lagen bör kompletteras av en förordning
Direktivet innehåller i vissa artiklar mycket detaljerade regler i fråga om exempelvis dokumentations- och underrättelseskyldighet. Sådana detaljregler bör inte tas in i lagen utan regleras i förordning. För att genomföra direktivet i sin helhet är det enligt utredningens mening nödvändigt att komplettera brottsdatalagen med en förord-
En ny ramlag SOU 2017:29
144
ning. Utredningen lämnar därför även förslag till hur en sådan förordning, benämnd brottsdataförordning, bör utformas.
6.1.3 Ramlagens syfte
Utredningens förslag: Syftet med ramlagen ska vara dels att
skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, dels att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.
Skälen för utredningens förslag: Av artikel 1.2 framgår att regle-
ringen har dubbla syften. Den ska skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt ska regleringen säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller nationell rätt, varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte. I exempelvis 1 kap. 1 § polisdatalagen anges det övergripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Bestämmelser om syftet med en reglering saknar normalt egentligt materiellt innehåll. Man kan därför fråga sig om det behövs en sådan bestämmelse i ramlagen. Det har emellertid inte enbart en symbolisk eller informativ betydelse att uttryckligen slå fast lagens syfte. Att en lags syfte uttryckligen anges kan få relevans i rättstillämpningen genom att det ger vägledning för tolkningen av de materiella bestämmelserna i lagen (se Myndighetsdatalag, SOU 2015:39, s. 220).
Det finns därför skäl att införa en bestämmelse om lagens syfte så att det tydligt framgår att regleringen har dubbla syften. Att fysiska personers grundläggande fri- och rättigheter ska skyddas vid behandling av personuppgifter är en central målsättning för regleringen. Samtidigt är vissa intrång i den personliga integriteten
SOU 2017:29 En ny ramlag
145
nödvändiga för att myndigheterna ska kunna utföra sina uppgifter och för att brottsoffer ska kunna få sin rätt tillgodosedd. Olika intressen ställs alltså mot varandra. En brottsutredning eller brottmålsrättegång innehåller ofta personuppgifter om både brottsoffer, misstänkta, vittnen och tjänstemän som deltar i verksamheten. Regleringen bör därför ge uttryck för en väl avvägd balans mellan, å ena sidan, skyddet för den personliga integriteten, och, å andra sidan, samhällets behov av att myndigheter kan behandla personuppgifter i den verksamhet som omfattas av direktivets tillämpningsområde. En bestämmelse som föreskriver att lagens syfte är att skydda fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter och att samtidigt säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt tydliggör den dubbla målsättningen.
Formuleringen avviker något från hur målsättningen anges i artikel 1.2. Enligt direktivet ska det säkerställas att behöriga myndigheters utbyte av personuppgifter inom unionen inte begränsas eller förbjuds med hänsyn till skyddet för enskildas personliga integritet. En grundläggande förutsättning för att behöriga myndigheter ska kunna utbyta personuppgifter är att de får behandla sådana uppgifter. Enligt utredningens mening bör ramlagen därför inte bara syfta till att de behöriga myndigheterna ska kunna utbyta personuppgifter med varandra, utan också till att de kan behandla personuppgifter på ett ändamålsenligt sätt.
6.1.4 2013 års lag bör upphävas
Utredningens förslag: Lagen med vissa bestämmelser om skydd
för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och hänvisningar till den lagen ska upphävas.
Skälen för utredningens förslag: Enligt artikel 59 ska dataskydds-
rambeslutet upphöra att gälla samma dag som medlemsstaterna ska ha införlivat direktivet i nationell rätt.
Rambeslutet bygger i huvudsak på det nu gällande dataskyddsdirektivet. Eftersom Sverige i princip genomförde det direktivet
En ny ramlag SOU 2017:29
146
även inom de sektorer som rambeslutet reglerar fanns det redan i stor utsträckning bestämmelser som motsvarade artiklarna i rambeslutet i personuppgiftslagen och i myndigheternas registerförfattningar när rambeslutet skulle genomföras. De återstående delarna av rambeslutet genomfördes i 2013 års lag. Lagen tillämpas framför allt när uppgifter överförs från eller till en annan EU-medlemsstat, Island, Norge, Schweiz eller Liechtenstein i verksamheter som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. I den mån motsvarande bestämmelser behövs för att genomföra direktivet bör dessa tas in i ramlagen så att regleringen blir så sammanhållen som möjligt. Därför bör 2013 års lag upphävas. Därmed bör också alla de bestämmelser som hänvisar till den lagen upphävas. Sådana hänvisningar finns dels i myndigheternas registerförfattningar, dels i vissa författningar som reglerar enskilda register eller annan personuppgiftsbehandling inom rambeslutets tillämpningsområde. Hänvisningar i myndigheternas registerförfattningar kommer att ses över i slutbetänkandet, i samband med övriga anpassningar av dem, medan hänvisningar i övrigt behandlas i detta betänkande.
6.2 Uttryck i ramlagen
Utredningens förslag: Vissa uttryck som används i ramlagen
ska definieras.
Skälen för utredningens förslag
Definitionerna bör ligga så nära direktivets definitioner som möjligt
I artikel 3 definieras vissa uttryck som är av grundläggande betydelse för förståelsen av bestämmelserna i direktivet. Definitionerna överensstämmer i allt väsentligt med definitionerna i artikel 4 i dataskyddsförordningen. Som framgår av avsnitt 7.1.5 kommer de myndigheter som är behöriga i ramlagens mening att också tillämpa förordningen i delar av sin verksamhet. För att underlätta tillämpningen finns det därför skäl att i så stor utsträckning som möjligt använda direktivets terminologi så att definitionerna i ramlagen och
SOU 2017:29 En ny ramlag
147
förordningen blir så lika som möjligt. Det innebär att motsvarande definitioner i personuppgiftslagen inte bör användas i den mån de avviker från direktivets terminologi, trots att de har tillämpats under lång tid och stämmer bättre överens med terminologin i svensk lagstiftning.
I artikel 3.3 finns en definition av begränsning av behandling. Som framgår av avsnitt 11.4.3 stämmer direktivets definition inte överens med vad som får antas vara avsikten med åtgärden. En definition i enlighet med direktivets lydelse blir därför missvisande och en definition i enlighet med syftet blir innehållslös. Begränsning av behandling bör därför inte definieras i ramlagen.
Både det nu gällande och det nya dataskyddsdirektivet innehåller en definition av register. När det nu gällande dataskyddsdirektivet genomfördes ville man komma bort från registerbegreppet som redan då ansågs otidsenligt (Personuppgiftslag, prop. 1997/98:44, s. 39). Någon definition av register infördes därför inte i personuppgiftslagen. Definitionen i direktivet användes i stället för att avgränsa lagens tillämpningsområde genom att det i 5 § anges att lagen även gäller för manuell behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Som framgår av avsnitt 7.1.6 föreslår utredningen att tillämpningsområdet för ramlagen anges på samma sätt. Ordet register förekommer inte i den föreslagna lagen. Någon definition behövs därför inte.
I direktivet definieras även profilering och pseudonymisering. Profilering nämns i artikel 11 som ett exempel på beslut som grundas enbart på automatiserad behandling. I artikel 24.1 e anges att det register som den personuppgiftsansvarige ska föra över personuppgiftsbehandling i tillämpliga fall ska innehålla uppgifter om användningen av profilering. Pseudonymisering nämns i artikel 20 som ett exempel på säkerhetsåtgärder som bör vidtas. Utredningen föreslår inte att termerna ska användas i ramlagen och några definitioner av dem behövs därför inte.
Nedan följer en redogörelse för de definitioner som bör finnas i ramlagen.
En ny ramlag SOU 2017:29
148
Behandling av personuppgifter
Behandling definieras i artikel 3.2. Direktivets definition skiljer sig något i fråga om uppräkningen av exempel på behandling jämfört med det nu gällande dataskyddsdirektivet och 3 § personuppgiftslagen. Definitionen i ramlagen bör nära ansluta till direktivets text.
Behandling av personuppgifter bör definieras som en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring.
Behörig myndighet
Att det bör införas en definition av uttrycket behörig myndighet och hur den bör utformas framgår av avsnitt 7.1.4.
Biometriska uppgifter
Varken det nu gällande dataskyddsdirektivet eller personuppgiftslagen innehåller någon definition av biometriska uppgifter. Inte heller i andra författningar finns det någon sådan definition, men uttrycket biometriska data används i bl.a. passlagen (1978:302) och utlänningslagen (2005:716). Enligt artikel 3.13 avses med biometriska uppgifter personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen, som ansiktsbilder eller fingeravtrycksuppgifter. Biometriska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4). Definitionen av vad som avses med biometriska uppgifter får därmed betydelse för i vilken utsträckning sådana uppgifter får behandlas.
Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd
SOU 2017:29 En ny ramlag
149
identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (jfr Fingeravtryck i pass, prop. 2008/09:132, s. 6 f.). När det gäller pass är det framför allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet.
I direktivets definition av biometriska uppgifter anges ansiktsbilder som ett exempel på sådana uppgifter. Det kan leda tanken till att vanliga fotografier och filmer skulle omfattas av definitionen. Om de inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de utanför definitionen. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen.
Ramlagen bör innehålla en definition av uttrycket biometriska uppgifter. Till skillnad från direktivets definition bör den dock inte innehålla några exempel på sådana uppgifter, eftersom det kan leda till felaktiga slutsatser om vad som omfattas. Biometriska uppgifter bör definieras som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga.
Dataskyddsombud
Dataskyddsombud nämns i flera artiklar men är inte definierat. I avsnitt 10.5.1 diskuterar utredningen behovet av en definition och hur den bör utformas.
Genetiska uppgifter
Genetiska uppgifter definieras inte i det nu gällande dataskyddsdirektivet eller i personuppgiftslagen. Med genetiska uppgifter avses enligt artikel 3.12 alla personuppgifter som rör nedärvda eller
En ny ramlag SOU 2017:29
150
förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om personens fysiologi eller hälsa och som framför allt härrör från en analys av ett biologiskt prov från personen i fråga. I skäl 23 anges att det är kromosom-, dna- och rna-analyser eller andra analyser som gör det möjligt att inhämta sådan information som avses.
Genetiska uppgifter räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4). Definitionen av vad som avses med genetiska uppgifter får därmed betydelse för i vilken utsträckning uppgifter som tas fram vid analys av prover från människokroppen får behandlas.
I direktivets definition nämns information om fysiologi eller hälsa. Det går dock även att få fram annan information genom analys av ett sådant biologiskt prov, exempelvis information om en persons biogeografiska ursprung. I framtiden kommer man troligen att kunna ta fram ytterligare uppgifter ur sådana prover. Utredningen anser därför att all information som rör nedärvda eller förvärvade genetiska kännetecken för en person och som kan tas fram ur ett prov från människokroppen bör anses vara genetiska uppgifter. Det bör också gälla information som på motsvarande sätt kan tas fram ur spår som påträffas på en brottsplats, exempelvis blodspår. Det bör framgå av definitionen. Det innebär att definitionen av genetiska uppgifter i ramlagen blir något vidare än den i dataskyddsförordningen. Det bör enligt utredningens mening inte orsaka några problem i praktiken.
Genetiska uppgifter bör således definieras som personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga.
Internationell organisation
I artikel 3.16 anges vad som avses med en internationell organisation. Att det bör införas en definition av internationell organisation i ramlagen och hur den bör utformas behandlas i avsnitt 15.2.4.
SOU 2017:29 En ny ramlag
151
Medlemsstat
Medlemsstat definieras inte i direktivet. I avsnitt 15.2.2 diskuterar utredningen behovet av en definition och hur den bör utformas.
Mottagare
Enligt artikel 3.10 omfattar uttrycket mottagare i princip samtliga personer, myndigheter eller andra organ till vilka personuppgifter lämnas ut. Myndigheter som får del av personuppgifter för att kunna utföra ett särskilt uppdrag ska dock inte anses som mottagare. I skäl 22 anges som exempel på myndigheter som får del av personuppgifter för att utföra särskilda uppdrag, skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering av värdepappersmarknader.
I 3 § personuppgiftslagen, som genomför artikel 2 g i det nu gällande direktivet, anges att en myndighet inte ska anses som mottagare när personuppgifter lämnas ut till myndigheten för att den ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta. Vilka myndighetsuppdrag som åsyftas kommenteras inte i förarbetena, utan där anges endast att definitionen av mottagare är avsedd att ha samma innebörd som motsvarande uttryck i direktivet (prop. 1997/98:44 s. 116). En motsvarande definition behövs i ramlagen.
Mottagare bör definieras som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.
Personuppgift
Med personuppgift avses enligt både det nu gällande och det nya direktivet varje upplysning som avser en fysisk person som är identifierad eller som kan identifieras. I definitionen i artikel 3.1 exemplifieras personuppgifter som upplysningar om namn, identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
En ny ramlag SOU 2017:29
152
Det framgår inte uttryckligen av direktivet om det gäller för uppgifter om avlidna personer eller inte. Definitionen av personuppgift omfattar enligt sin ordalydelse även uppgifter om avlidna personer. Definitionen är densamma som i artikel 4.1 i dataskyddsförordningen. I skäl 27 i förordningen anges emellertid att den inte gäller för behandling av personuppgifter om avlidna personer, men att medlemsstaterna får fastställa bestämmelser för behandlingen av sådana personuppgifter. Det kan enligt utredningens mening inte ha varit avsikten att behandling av uppgifter om avlidna skulle omfattas av direktivet men inte av förordningen när definitionerna av personuppgift i princip är identiska. Utredningen betraktar det som ett rent förbiseende att inte motsvarande skäl finns i direktivet. För att tydliggöra att personuppgift har samma betydelse som i förordningen bör det framgå av definitionen att den inte omfattar uppgifter om avlidna personer.
Personuppgifter bör alltså definieras som varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.
Personuppgiftsansvarig
Att det bör finnas en definition av personuppgiftsansvarig och hur den bör utformas framgår av avsnitt 10.1.1.
Personuppgiftsbiträde
Att det bör finnas en definition av personuppgiftsbiträde och hur den bör utformas framgår av avsnitt 10.6.1.
Personuppgiftsincident
Att det bör finnas en definition av personuppgiftsincident och hur den bör utformas framgår av avsnitt 10.4.1.
Registrerad
I direktivets definition av personuppgift i artikel 3.1 anges att en identifierad eller identifierbar fysisk person benämns registrerad.
SOU 2017:29 En ny ramlag
153
Definitionen av personuppgift är utformad på samma sätt i det nu gällande direktivet. I 3 § personuppgiftslagen definieras däremot den registrerade som den som en personuppgift avser.
Utredningen anser att det blir tydligare att definiera vad som avses med en registrerad än att låta det ingå som en del av definitionen av personuppgift. Registrerad bör därför definieras som den fysiska person som personuppgiften rör. Det blir då en skillnad i förhållande till dataskyddsförordningen men det saknar praktisk betydelse.
Tillsynsmyndighet
Att det bör finnas en definition av tillsynsmyndighet och hur den bör utformas framgår av avsnitt 12.4.1.
Tredjeland
Det finns ingen definition av tredjeland i direktivet trots att det innehåller detaljerade regler om överföringar av personuppgifter till bl.a. tredjeland. Att det bör finnas en definition av uttrycket tredjeland och hur den bör utformas framgår av avsnitt 15.2.3.
Tredje man
Det finns ingen definition av tredje man i direktivet men däremot i 3 § personuppgiftslagen. Att det bör finnas en definition av tredje man och hur den bör utformas framgår av avsnitt 11.3.3.
Uppgift som rör hälsa
Varken det nu gällande dataskyddsdirektivet eller personuppgiftslagen definierar vad som avses med uppgift som rör hälsa. Enligt artikel 3.14 avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. I skäl 24 anges att det gäller information om en persons tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Där ges
En ny ramlag SOU 2017:29
154
också exempel på vilka uppgifter som kan anses avse hälsa. Ramlagen bör innehålla en definition av vad som avses med uppgift som rör hälsa som motsvarar definitionen i direktivet. Uppgift som rör hälsa bör definieras som personuppgift som rör en persons fysiska eller psykiska hälsa, inkluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus.
Uppgifter om hälsa räknas upp i artikel 10 som en särskild kategori av personuppgifter som bara får behandlas under vissa förutsättningar (se avsnitt 9.2.4).
6.3 Dataskyddsbestämmelser i tidigare rättsakter och avtal
Utredningens bedömning: Det behövs inte någon särskild reg-
lering för att genomföra artiklarna 60 och 61 i direktivet.
Skälen för utredningens bedömning
Innehållet i direktivet och nuvarande reglering
Enligt artikel 60 ska direktivet inte påverka tillämpningen av särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som trädde i kraft den 6 maj 2016 eller tidigare. En förutsättning är dock att rättsakterna reglerar behandlingen av personuppgifter mellan medlemsstaterna eller medlemsstaternas tillgång till informationssystem som är relevanta för direktivets tillämpningsområde. Kommissionen ska enligt artikel 62.6 se över om tidigare rättsakter behöver anpassas till direktivet och, om så behövs, lägga fram förslag till ändring av dessa rättsakter. De tidigare rättsakterna på området ska alltså fortsätta att gälla tills de ändras eller upphävs.
Som exempel på tidigare rättsakter som ska kvarstå oförändrade nämns i skäl 94 rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet) och konventionen om ömsesidig rättslig hjälp i brottmål
SOU 2017:29 En ny ramlag
155
mellan Europeiska unionens medlemsstater (rådets akt av den 29 maj 2000).
Enligt artikel 61 ska internationella avtal som rör överföring av personuppgifter till tredjeland eller internationella organisationer och som ingicks av medlemsstaterna före den 6 maj 2016 fortsätta att gälla tills de ändras, ersätts eller återkallas. En förutsättning är dock att avtalen är förenliga med unionsrätten så som den tillämpades före angivet datum.
En liknande bestämmelse finns i artikel 26 i dataskyddsrambeslutet. Enligt den ska rambeslutet inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtalen med tredjeland som redan gällde när rambeslutet antogs. Artikel 26 ansågs inte kräva någon lagstiftningsåtgärd (prop. 2012/13:73 s. 108).
Bestämmelser om skydd för personuppgifter i tidigare rättsakter
Det finns en rad unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som innehåller bestämmelser om skydd av personuppgifter. Sådana bestämmelser ska alltså gälla i stället för direktivet om de är äldre än det. På motsvarande sätt bör sådana svenska lagar och förordningar som genomför de tidigare antagna unionsrättsakterna ges företräde framför ramlagen. Det är därför av intresse vilka rättsakter som har trätt i kraft före direktivet och som har genomförts i svensk rätt.
Prümrådsbeslutet och konventionen om ömsesidig rättslig hjälp i brottmål mellan EU:s medlemsstater har redan nämnts som exempel på tidigare unionsrättsakter på området. Konventionen av den 19 juni 1990 om tillämpningen av Schengenavtalet och rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) är också sådana tidigare unionsrättsakter som ska tillämpas i stället för direktivet. Konventionen upprättad på grundval av artikel K 3 i fördraget om Europeiska unionen om ömsesidigt bistånd och samarbete mellan tullförvaltningar är ett annat exempel på en tidigare unionsrättsakt på området. En annan sådan rättsakt är Europaparlamentets och rådets direktiv (EU) 2015/413 av den 11 mars 2015 om gränsöverskridande informationsutbyte om tra-
En ny ramlag SOU 2017:29
156
fiksäkerhetsrelaterade brott (det s.k. CBE-direktivet). Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott är också en äldre unionsrättsakt som innehåller bestämmelser om skydd av personuppgifter som ska gälla framför direktivet.
De nu aktuella unionsrättsakterna har i huvudsak genomförts i svensk rätt genom lagen (2000:344) om Schengens informationssystem, lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, lagen (2000:1219) om internationellt tullsamarbete och den föreslagna lagen om internationellt polisiärt samarbete.
Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater har genomförts i förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. Förordningen är även tillämplig på informationsutbyte enligt rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott. Regleringen innehåller bestämmelser om dataskydd och får därmed anses vara en sådan äldre rättsakt som avses i artikel 60.
Rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll syftar till att förbättra och underlätta utbytet av uppgifter ur kriminalregister mellan EU:s medlemsstater. Beslutet lägger också grunden för det europeiska informationssystemet för utbyte av uppgifter ur kriminalregistret, Ecris (rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregistret). Rambeslutet har genomförts i lagen (1998:620) om belastningsregister, förordningen (1999:1134) om belastningsregister och polisdatalagen. Rambeslutet och regleringen som genomför det innehåller vissa bestämmelser om skydd för personuppgifter som bör ha företräde framför direktivet.
SOU 2017:29 En ny ramlag
157
En annan unionsrättsakt av intresse i sammanhanget är Europolförordningen (Europaparlamentets och rådets förordning [EU] 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning [Europol] och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF). Förordningen ska, med något undantag, tillämpas från och med den 1 maj 2017. Den antogs den 11 maj 2016 och trädde i kraft 20 dagar efter att den hade offentliggjorts i Europeiska unionens officiella tidning, vilket gjordes den 24 maj 2016. Förordningen har alltså trätt i kraft efter den 6 maj 2016 och omfattas därför inte av artikel 60. Förordningen innehåller bestämmelser om behandling av personuppgifter men det är inte klart hur de förhåller sig till direktivet.
Genom rådets beslut 2002/187/RIF av den 28 februari 2002 inrättades Eurojust för att stärka kampen mot grov brottslighet. Rådets beslut har sedermera ändrats genom besluten 2003/659/RIF och 2009/426/RIF. Regleringen innehåller vissa bestämmelser om dataskydd för behandling av personuppgifter vid Eurojust. Beslutet om att inrätta Eurojust har genomförts enbart genom att Eurojusts administrativa direktör och personalen vid Eurojust har lagts till i bilagan till lagen (1976:661) om immunitet och privilegier i vissa fall. Det finns ett förslag till förordning om Eurojust genom vilken Eurojust bl.a. ska få en förnyad rättslig ram, men det har ännu inte antagits.
Avtal om överföring till tredjeland och internationella organisationer
Som framgått ovan ska internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer och som ingåtts före den 6 maj 2016 fortsätta att gälla. Med internationella avtal bör, enligt utredningens mening, i detta sammanhang förstås varje gällande bilateralt eller multilateralt avtal mellan medlemsstater och tredjeland eller med internationella organisationer inom området för straffrättsligt samarbete och polissamarbete som rör överföring av personuppgifter.
Som exempel på bilateralt avtal om informationsutbyte som Sverige ingått med tredjeland kan nämnas avtalet med Thailand om samarbete mellan brottsbekämpande myndigheter för att bekämpa
En ny ramlag SOU 2017:29
158
organiserad brottslighet (SÖ 2013:3). Avtalet innehåller till viss del bestämmelser om dataskydd, som hänvisar till internationella överenskommelser. Avtalet med Bosnien och Hercegovinas ministerråd om samarbete mellan brottsbekämpande myndigheter (SÖ 2013:4) innehåller liknande bestämmelser.
Sverige har även ingått ett flertal bilaterala avtal när det gäller informationsutbyte på tullområdet, t.ex. med USA och Ryssland. Avtalet med USA är genomfört i förordningen (1988:146) om tilllämpning av en överenskommelse mellan Sverige och Amerikas Förenta Stater om ömsesidigt bistånd i tullfrågor. Avtalet med Ryssland regleras i förordningen (1994:8) om tillämpning av en överenskommelse mellan Sverige och Ryska federationen om ömsesidigt bistånd i tullfrågor och förordningen (1998:318) om tillämpning av ett avtal mellan Sverige och Ryssland om ömsesidigt bistånd vid bekämpning av vissa fiskala brott.
Någon särskild reglering behövs inte
Av artiklarna 60 och 61 följer att särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området och internationella avtal som rör överföring av personuppgifter till tredjeland och internationella organisationer som medlemsstaterna ingått innan direktivet antogs ska tillämpas framför direktivet och gälla tills de ändras eller upphävs. Det är alltså inte fråga om någon tillfällig eller övergående reglering, utan en inskränkning i direktivets tillämpningsområde. De tidigare unionsrättsakter och avtal som Sverige ingått med tredjeland har i allt väsentligt genomförts i svensk rätt. I den mån sådana lagar och förordningar reglerar dataskydd på ramlagens tillämpningsområde bör de gälla framför ramlagen.
I avsnitt 6.1.2 föreslås att ramlagen ska vara subsidiär. Där diskuteras framför allt förhållandet mellan ramlagen och myndigheternas registerförfattningar, men resonemanget gör sig gällande även här. Några särskilda bestämmelser som genomför artiklarna 60 och 61 behövs därför inte.
159
7 Ramlagens tillämpningsområde
7.1 Utformningen av tillämpningsområdet
7.1.1 Personuppgiftsbehandling som behöriga myndigheter utför för vissa syften
Utredningens förslag: Ramlagens tillämpningsområde ska kny-
tas till behandling av personuppgifter som behöriga myndigheter utför för vissa syften.
Skälen för utredningens förslag: Direktivet ska enligt artikel 2.1
tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Personuppgiftsbehandling inom direktivets tillämpningsområde är enligt artikel 2.2 d i dataskyddsförordningen undantagen från förordningens tillämpningsområde. Eftersom förordningen är direkt tillämplig i svensk rätt och gäller för all personuppgiftsbehandling som regleras av unionsrätt och inte omfattas av direktivet är avgränsningen av ramlagens tillämpningsområde en central fråga.
Direktivet gäller för all personuppgiftsbehandling inom sitt tilllämpningsområde, även om den är helt nationell. Det är en betydande skillnad i förhållande till dataskyddsrambeslutet, som bara gäller för behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete när personuppgifter överförs eller görs tillgängliga mellan EU-medlemsstater, Island, Liechtenstein, Norge och Schweiz och EU-organ och EU:s informationssystem. I övrigt är tillämpningsområdet för direktivet och rambeslutet angivet på i stort sett samma sätt – båda omfattar behandling av personuppgif-
Ramlagens tillämpningsområde SOU 2017:29
160
ter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Direktivets tillämpningsområde omfattar också personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om regleringen i ramlagen kan utgå från hur tilllämpningsområdet är utformat i 2013 års lag.
Tillämpningsområdet för 2013 års lag bygger på i vilken verksamhet personuppgifter behandlas. En sådan lösning är enkel och tydlig för tillämparen. Som nyss nämnts bygger direktivets tillämpningsområde på dels syftet med behandlingen, dels om det är en behörig myndighet som utför den. Att enbart knyta ramlagens tillämpningsområde till i vilken verksamhet personuppgiftsbehandling utförs skulle därför göra det för vidsträckt. Som exempel kan nämnas att man i Kriminalvårdens häktesverksamhet behandlar personuppgifter både om personer som är frihetsberövade på grund av brottsutredning, lagföring och straffverkställighet och personer som är föremål för olika administrativa frihetsberövanden, t.ex. tvångsvård eller häktning enligt konkurslagen (1987:672). Om syftet med förvaringen i häkte är brottsbekämpning, lagföring, straffverkställighet eller ordningshållning ligger det under direktivets tillämpningsområde. Är det däremot fråga om ett frihetsberövande av något annat slag gäller som regel dataskyddsförordningen (se avsnitt 8.2.5).
Tillämpningsområdet kan dock inte heller knytas enbart till syftet med personuppgiftsbehandlingen. Kameraövervakning kan tas som exempel för att illustrera det. Fast monterade kameror får sättas upp i exempelvis banklokaler och butikslokaler, om syftet med övervakningen ska vara att förebygga, avslöja eller utreda brott. Bankens eller butikens personuppgiftsbehandling i samband med sådan övervakning skulle därmed omfattas av ramlagens tilllämpningsområde om enbart syftet med behandlingen var avgörande. I och med att banker och butiker inte träffas av direktivets definition av behörig myndighet ligger deras personuppgiftsbehandling dock utanför tillämpningsområdet. En annan sak är att Polismyndighetens behandling av de personuppgifter som har samlats in av en bank vid exempelvis ett rån omfattas av tillämpningsområdet, eftersom myndigheten omfattas av definitionen av behörig myndighet och syftet med behandlingen är att utreda brott.
SOU 2017:29 Ramlagens tillämpningsområde
161
Ramlagens tillämpningsområde måste därför knytas både till vilket syfte behandlingen av personuppgifter har och till att det är en behörig myndighet som utför behandlingen. Om en behörig myndighet behandlar personuppgifter för något av de syften som anges i ramlagen är lagen tillämplig, oavsett om behandlingen endast utförs i ringa omfattning eller under kort tid. Innan utredningen går närmare in på frågan vad som är en behörig myndighet (se avsnitt 7.1.4) är det nödvändigt att först redovisa för vilka syften personuppgifter får behandlas. I kapitel 8 diskuteras ingående olika gränsdragningsfrågor knutna till uttrycket behörig myndighet och syftena med behandlingen.
7.1.2 Personuppgiftsbehandling som rör brottsbekämpning, lagföring och straffverkställighet
Utredningens förslag: Ramlagen ska gälla för behandling av
personuppgifter som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder.
Skälen för utredningens förslag: Direktivets tillämpningsområde
omfattar personuppgiftsbehandling som utförs i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
I svensk rätt brukar man skilja mellan å ena sidan verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet och å andra sidan verksamhet som syftar till att utreda och beivra konkreta brott (se t.ex. 2 § polislagen [1984:387] och 2 kap. 7 § polisdatalagen [2010:361]). Vid genomförandet av unionsrättsakter där det talas om att förebygga och utreda brott har ordet brott därför tolkats så att det omfattar såväl konkreta brott som sådan icke-preciserad brottslig verksamhet som exempelvis underrättelseverksamhet tar sikte på (Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte, prop. 2010/11:129, s. 110 och prop. 2012/13:73, s. 63). Samma tolkning bör göras nu.
Utredningens utgångspunkt är att uttrycket förebygga, förhindra och upptäcka brottslig verksamhet – som används i flera av de berörda myndigheternas registerförfattningar – bör ges samma
Ramlagens tillämpningsområde SOU 2017:29
162
tolkning som hittills. I förarbetena till polisdatalagen diskuteras underrättelseverksamheten ingående (prop. 2009/10:85, s. 104 f.). Där vidgas också användningen av begreppet till att avse vad som där betecknas som underrättelsestyrd verksamhet. All sådan verksamhet, såväl på lokal nivå som regional och central nivå, och även annan planlagd verksamhet som betecknas som underrättelsestyrd bör således omfattas av ramlagens tillämpningsområde.
Spaningsverksamhet som inte är hänförlig till brottsutredande verksamhet är normalt underrättelsestyrd, exempelvis när spaning bedrivs lokalt för att kartlägga droghandel, prostitution eller någon annan typ av lokal brottslighet. Spaningsverksamhet av nu aktuellt slag bedrivs framför allt av Polismyndigheten.
Polismyndigheten bedriver emellertid även annan verksamhet som brukar räknas till brottsförebyggande arbete, t.ex. förebyggande insatser som riktar sig till brottsoffer eller personer som riskerar att utsättas för brott. I sådant arbete torde behovet av att behandla personuppgifter vara begränsat. Det kan diskuteras om sådan brottsofferverksamhet som har anknytning till pågående eller avslutade brottsutredningar, t.ex. uppföljning av meddelade kontaktförbud eller personskydd som beviljats med anledning av begångna brott, bör hänföras till uppgiften att utreda brott eller ses som brottsförebyggande arbete. Det saknar dock betydelse i detta sammanhang eftersom det i båda fallen är en uppgift som omfattas av ramlagens tillämpningsområde. Även behandlingen av personuppgifter vid Polismyndighetens kommunikationscentraler har i viss utsträckning ansetts falla under polisdatalagens tillämpningsområde och bör därmed omfattas av ramlagens tillämpningsområde (se prop. 2009/10:85, s. 140 f.).
Tullverket bedriver brottsförebyggande arbete som rör framför allt otillåten införsel av varor. Även den verksamheten, som innefattar bl.a. underrättelseverksamhet och sådan kartläggning och spaning som nyss nämnts, ligger inom ramlagens tillämpningsområde.
I förarbetena till 2013 års lag anses uttrycken upptäcka och beivra brott stämma bättre överens med språkbruket i svensk rätt än uttrycken avslöja och lagföra brott (se prop. 2012/13:73, s. 63). Utredningen delar regeringens bedömning när det gäller uttrycket upptäcka brott men anser att uttrycket lagföra brott bör användas i ramlagen i stället för beivra brott av följande skäl.
SOU 2017:29 Ramlagens tillämpningsområde
163
Uttrycket utreda och beivra brott används i 2 kap. 7 § polisdatalagen, 3 kap. 2 § kustbevakningsdatalagen (2012:145) och 2 kap. 5 § åklagardatalagen (2015:433). Samma uttryck föreslås också i både tullbrottsdatalagen och skattebrottsdatalagen (se avsnitt 3.2.2 och 3.2.4). Utreda brott omfattar framför allt arbete som utförs inom ramen för en förundersökning enligt 23 kap. rättegångsbalken, medan förenklade förfaranden som mynnar ut i att strafföreläggande eller föreläggande av ordningsbot utfärdas i stället för att åtal väcks hänförs till beivra brott. Uttrycket beivra brott passar därför väl för Polismyndighetens, Tullverkets, Kustbevakningens och åklagares verksamhet, men mindre väl för handläggningen vid de allmänna domstolarna när de dömer någon till ansvar för brott och bestämmer påföljd. Däremot täcker uttrycket lagföra brott, som används i direktivet, såväl de förenklade förfaranden som Polismyndigheten, Tullverket, Kustbevakningen och åklagare tillämpar som handläggningen i domstol. Ordet lagföra framstår också som mer modernt än beivra. Utredningen anser därför att det mer vittomfattande uttrycket lagföra brott bör väljas i ramlagen. Frågan om även myndigheternas registerförfattningar bör ändras på motsvarande sätt kommer att behandlas i slutbetänkandet.
Uttrycket verkställa påföljd används i dag inte i någon av de berörda myndigheternas registerförfattningar. Däremot används det i 2013 års lag. I förarbetena till den lagen anges att regleringen omfattar bl.a. Kriminalvården och Statens institutionsstyrelse (prop. 2012/13:73, s. 61 f.). Terminologin i 2013 års lag framstår som lämplig och bör användas även i ramlagen. I avsnitt 8.4 diskuteras vilka myndigheter och andra aktörer som ansvarar för straffverkställighet i direktivets mening och som därmed bör tillämpa ramlagen.
Ramlagen bör således gälla vid personuppgiftsbehandling som utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Det innebär att lagen kan bli tillämplig vid underrättelseverksamhet och annan brottsförebyggande verksamhet, förundersökning och liknande utredningar som hänvisar till reglerna om förundersökning, åtalsprövning, strafföreläggande och föreläggande av ordningsbot, domstols handläggning av brottmål och verkställighet av påföljder. Det är dock inte tillräckligt att personuppgiftsbehandlingen utförs i något av dessa syften. Det krävs också
Ramlagens tillämpningsområde SOU 2017:29
164
att det är en behörig myndighet som utför den, vilket utvecklas i avsnitt 7.1.4.
7.1.3 Personuppgiftsbehandling som rör allmän ordning och säkerhet
Utredningens förslag: Ramlagen ska gälla för behandling av
personuppgifter som utförs i syfte att upprätthålla allmän ordning och säkerhet.
Skälen för utredningens förslag
Tillämpningsområdet ska omfatta skydd av allmän säkerhet
Direktivets tillämpningsområde inkluderar personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I skäl 12 anges att polisens och andra brottsbekämpande myndigheters verksamhet främst är inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, men att sådan verksamhet också kan innefatta myndighetsutövning genom vidtagande av tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Det anges också att verksamheten även omfattar upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.
Det är framför allt Polismyndigheten som har i uppdrag att skydda allmänheten mot hot mot den allmänna säkerheten. En av Polismyndighetens huvuduppgifter enligt 2 § polislagen är att förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten och att övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat. Befogenheterna att ingripa finns bl.a. i 13– 13 c §§polislagen. I avsnitt 8.5.1 utvecklas närmare vad de innebär.
Även Kustbevakningen har vissa ordningshållande arbetsuppgifter. De rör främst sådant uppträdande i trafiken till sjöss som stör ordningen eller utgör en omedelbar fara för ordningsstörning.
SOU 2017:29 Ramlagens tillämpningsområde
165
En kustbevakningstjänsteman har också rätt att ingripa för att avvärja brott som avser trafikregler och säkerhetsanordningar för sjötrafiken, vattenförorening från fartyg och dumpning av avfall i vatten. Vid ett ingripande i någon av dessa situationer har en kustbevakningstjänsteman enligt 3 § lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning rätt att avvisa, avlägsna eller omhänderta den som stör ordningen eller utgör en omedelbar fara för den enligt reglerna i 13 § polislagen. Kustbevakningen har också särskilda ordningshållande uppgifter enligt lagstiftningen om sjöfartsskydd respektive hamnskydd.
I förarbetena till polisdatalagen framhålls att det är svårt att dra en tydlig gräns mellan polisens ordningshållning och brottsbekämpning. Det beror på att övervakning och ordningshållande verksamhet även kan syfta till att förebygga och ingripa mot brott. Sådan verksamhet kan ofta också övergå i brottsbekämpning. Det ansågs dock föra för långt att betrakta mer renodlad övervakning och ordningshållande verksamhet som brottsbekämpande. Den verksamheten skulle därmed inte omfattas av polisdatalagens tilllämpningsområde (se prop. 2009/10:85, s. 75).
I artikel 1.1 anges att direktivet omfattar personuppgiftsbehandling i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det väcker frågan om det bara är ordningshållande verksamhet som är en del av brottsbekämpningen som omfattas av direktivets tillämpningsområde. Enligt utredningens mening bör direktivet inte tolkas på det sättet. Om bara ordningshållande verksamhet som utgör en del av brottsbekämpningen skulle omfattas av direktivet, skulle det inte ha funnits något skäl att nämna den verksamheten särskilt. Personuppgiftsbehandling i syfte att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten räknas upp i artikeln och i skäl 12 tydliggörs att det handlar om ingripanden mot sådant som inte i sig är brott som exempelvis tvångsåtgärder vid demonstrationer. Det är därmed enligt utredningens mening tydligt att direktivet omfattar mer än det som kan sägas höra till den traditionella brottsbekämpande verksamheten. Ramlagen bör ha ett tillämpningsområde som motsvarar direktivets. Det innebär att lagen bör gälla även för personuppgiftsbehandling som utförs för ordningshållande syften.
Ramlagens tillämpningsområde SOU 2017:29
166
Åtgärder för att skydda allmän säkerhet är som framgått något annat än att skydda den nationella säkerheten. Det sistnämnda är Säkerhetspolisens arbetsuppgift och behandlas i avsnitt 7.2.1.
Vilket uttryckssätt bör användas?
I svensk rätt har uttrycket allmän ordning och säkerhet använts under lång tid i olika polisrättsliga författningar. Uttrycket, som inte har någon legaldefinition, är vittomfattande och svårdefinierat. Det används bl.a. i ordningslagen (1993:1617) och polislagen.
I polislagen används uttrycket i 1 § som anger polisverksamhetens ändamål. Där sägs att polisens arbete syftar till att upprätthålla allmän ordning och säkerhet och att i övrigt tillförsäkra allmänheten skydd och hjälp. I kommentaren till polislagen framhålls att det i polisens uppgift att upprätthålla allmän ordning och säkerhet inte bara ligger att motverka och beivra straffsanktionerade handlingar. Även i övrigt har polisen viss skyldighet att söka säkerställa förutsättningarna för en i möjligaste mån trygg och friktionsfri samlevnad medborgarna emellan (Berggren m.fl. s. 35).
I 1 § polislagen används alltså uttrycket allmän ordning och säkerhet som ett överordnat begrepp som både omfattar brottsutredning och annan brottsbekämpande verksamhet och olika former av övervakning. Det återspeglar den helhetssyn på polisens alla olika funktioner som eftersträvas. I de enskilda bestämmelserna i lagen, särskilt när det gäller polismans befogenheter, används uttrycket i en snävare mening som ligger mera i linje med regleringen i ordningslagen. Den lagen tar sikte på regler som riktar sig till allmänheten och som rör användningen av allmänna utrymmen och samfärdseln samt sammankomster och tillställningar av olika slag.
Uttrycket allmän ordning och säkerhet används inte helt konsekvent ens i polislagen. I vissa av bestämmelserna används uttrycket ”den allmänna ordningen” medan ”ordningen och säkerheten” används i någon bestämmelse. Av förarbetena till 13–13 c §§ kan inte utläsas att lagstiftaren har avsett någon egentlig skillnad mellan uttryckssätten eller att de skulle avse olika situationer. Både 13 a och 13 c §§polislagen infördes för att komma till rätta med de problem som polisen ställs inför i samband med större evenemang (se Ändringar i polislagen m.m., prop. 1996/97:175, s. 23 f.). Det är
SOU 2017:29 Ramlagens tillämpningsområde
167
också sådana situationer som skäl 12 i direktivet förefaller ta sikte på, eftersom myndighetsutövning vid demonstrationer, större idrottsevenemang och upplopp nämns uttryckligen. I ramlagen bör uttrycket allmän ordning och säkerhet användas för att säkerställa att lagens tillämpningsområde täcker den verksamhet som är avsedd. Det stämmer också överens med hur Polismyndighetens uppgifter anges i bl.a. polislagen.
Ibland anges att polisen ska upprätthålla allmän ordning och säkerhet och ibland att polisen ska övervaka allmän ordning och säkerhet. I 2 § polislagen anges att en av polisens huvuduppgifter är att övervaka den allmänna ordningen och säkerheten. Övervakning kan ha många olika former, t.ex. att någon i en ledningscentral följer trafikflödet eller allmänhetens rörelser på en viss plats via övervakningskameror. Det kan även vara fråga om automatisk hastighetsövervakning med övervakningskameror och allmän trafikövervakning på vägar eller fasta kontrollplatser. Övervakning kan också innebära att polisen rutinmässigt med bil passerar vissa lokaler eller områden eller att polismän eller bevakningspersonal tillfälligt eller stadigvarande bevakar en viss plats eller byggnad. För att upprätthålla allmän ordning och säkerhet krävs normalt fysisk närvaro på platsen där oordning förekommer eller riskerar att göra det. Uttrycket övervaka den allmänna ordningen och säkerheten är således mera vittomfattande än uttrycket upprätthålla allmän ordning och säkerhet. Enligt utredningens mening återspeglar uttrycket upprätthålla allmän ordning och säkerhet bäst vad som enligt skäl 12 avses med direktivets uttryck skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det bör därför användas för att avgränsa tillämpningsområdet för ramlagen.
I begreppet allmän ordning och säkerhet har ansetts ligga att det ska vara något som berör allmänheten, dvs. samhällsmedlemmarna i gemen, vem som helst eller en obestämd krets av enskilda (se Nils-Olof Berggren och Johan Munck, Polislagen, En kommentar, 11 uppl. 2015, i fortsättningen Berggren m.fl., s. 35 f. och där anmärkt litteratur). Frågan har bl.a. diskuterats i anslutning till polisens agerande vid arbetsmarknadskonflikter, demonstrationer och andra liknande situationer där samhällsmedborgare kan komma att stå mot varandra. I NJA 1989 s. 308 hade drygt 200 personer tagit sig in på en byggarbetsplats, i syfte att hindra byggandet av en motorväg. Vägran att på polisens uppmaning lämna platsen ansågs i
Ramlagens tillämpningsområde SOU 2017:29
168
det rättsfallet utgöra en sådan kränkning av den allmänna ordningen att de medverkande kunde dömas för ohörsamhet mot ordningsmakten.
Anpassningar av registerförfattningar
Genom att ramlagen föreslås omfatta personuppgiftsbehandling vid upprätthållande av allmän ordning och säkerhet kommer den att ha ett vidare tillämpningsområde än polisdatalagen. Frågan om det bör föranleda att polisdatalagens tillämpningsområde anpassas till ramlagens kommer att behandlas i slutbetänkandet.
Kustbevakningsdatalagen gäller enligt 1 kap. 2 § behandling av personuppgifter i Kustbevakningens operativa verksamhet som rör både brottsbekämpning och annan operativ verksamhet som sjöövervakning och räddningstjänst. I 5 kap. regleras personuppgiftsbehandling i den verksamhet som inte är brottsbekämpande. Där regleras personuppgiftsbehandling i verksamhet som gäller både upprätthållande och övervakning av allmän ordning och säkerhet. Utredningen återkommer i slutbetänkandet till frågan hur personuppgiftsbehandlingen i den ordningshållande verksamheten bör regleras.
Omfattas informationssäkerhet?
Samhällets beroende av informationsteknik har enligt regeringen utvecklats till att bli en fråga om nationell och internationell säkerhet (Förebygga, förhindra och försvåra – den svenska strategin mot terrorism, skr. 2014/15:146, s. 26). I bl.a. 31 § personuppgiftslagen och 7 och 9 §§säkerhetsskyddslagen (1996:627) finns bestämmelser om informationssäkerhet. Den som är ansvarig för en verksamhet ska se till att informationssäkerheten håller tillräckligt hög nivå. Alla myndigheter och organ som hanterar känslig information förutsätts arbeta aktivt med att skydda sin information. Försvarsmakten, Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Försvarets materielverk, Post- och telestyrelsen, Säkerhetspolisen och Polismyndigheten har emellertid ett särskilt utpekat ansvar för informationssäkerhet.
SOU 2017:29 Ramlagens tillämpningsområde
169
I likhet med det nu gällande dataskyddsdirektivet innehåller direktivet bestämmelser om informationssäkerhet. Direktivet innebär skärpningar i olika avseenden, bl.a. ställs det krav på att personuppgiftsincidenter ska rapporteras till tillsynsmyndigheten. Direktivets bestämmelser om informationssäkerhet tar – på samma sätt som det nu gällande dataskyddsdirektivet – enbart sikte på att personuppgiftsansvariga bär ett särskilt ansvar för informationssäkerheten när det gäller de personuppgifter de behandlar. Det finns däremot inget som tyder på att det nya direktivet är avsett att omfatta förebyggande arbete som rör informationssäkerhet i allmänhet eller verksamhet för att förebygga och förhindra de hot som samhället kan ställas inför på informationssäkerhetens område. Tvärtom tyder skrivningarna i skäl 12 på att det som åsyftas är hot mot fysisk säkerhet. När begreppet allmän ordning och säkerhet används i ramlagen för att ange tillämpningsområdet bör det således inte omfatta informationssäkerhet.
7.1.4 Vad är en behörig myndighet?
Utredningens förslag: Behörig myndighet ska definieras som
en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften.
Skälen för utredningens förslag: Ramlagen ska gälla för person-
uppgiftsbehandling som behöriga myndigheter utför för vissa syften. Det bör därför definieras vad som avses med behörig myndighet i ramlagen. Utredningen delar den bedömning som gjordes i förarbetena till 2013 års lag att det är en bättre lagteknisk lösning att knyta an till uppräkningen av verksamhetsuppgifter i direktivet än att i lag räkna upp de myndigheter som ska tillämpa lagen (se prop. 2012/13:73 s. 62). Genom att direktivet har ett så brett tilllämpningsområde, vilket illustreras i kapitel 8, är det svårt att i författningstext peka ut alla myndigheter som har sådana arbetsuppgifter att de ska betraktas som behöriga myndigheter i ramlagens mening. Det är också svårt att i lagtext ange de kategorier
Ramlagens tillämpningsområde SOU 2017:29
170
som enligt viss lagstiftning har behörighet att utöva myndighet inom ramlagens tillämpningsområde. En uppräkning baserad på myndigheter och andra aktörer riskerar därför att bli ofullständig. Dessutom skulle en sådan uppräkning behöva förses med åtskilliga undantag, eftersom inte all deras personuppgiftsbehandling regleras i ramlagen. Definitionen bör därför utgå från myndigheternas arbetsuppgifter och de andra aktörernas rätt att utöva myndighet.
I artikel 3.7 definieras behörig myndighet som en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten eller ett annat organ eller annan enhet som har anförtrotts myndighetsutövning för något av detta. Som framgår av avsnitt 7.1.2 och 7.1.3 bör en delvis annan formulering väljas för avgränsningen av ramlagens tillämpningsområde. Samma formulering bör användas i definitionen av behörig myndighet. Behörig myndighet bör således definieras som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet eller en annan aktör som utövar myndighet för något av dessa syften. Begreppet utöva myndighet – som också används i bl.a. 17 kap. 15 § brottsbalken – bör enligt utredningens mening användas. Det är enbart för aktörer som inte är myndigheter som det har betydelse om personuppgifter behandlas som ett led i myndighetsutövning eller inte. Personuppgifter som andra aktörer behandlar när de inte utövar myndighet ligger utanför ramlagens tillämpningsområde. När det gäller myndigheter omfattas däremot all personuppgiftsbehandling inom ramlagens tillämpningsområde, oavsett om den har samband med myndighetsutövning eller inte.
Hur man kan resonera vid bedömningen av om kraven för att vara en behörig myndighet är uppfyllda och vilka andra aktörer som kan anses utöva myndighet behandlas i kapitel 8.
SOU 2017:29 Ramlagens tillämpningsområde
171
7.1.5 Arbetsuppgifterna är avgörande för när en myndighet är behörig
Behörig eller inte behörig myndighet?
Det är självklart att vissa myndigheter på grund av sina arbetsuppgifter ska betraktas som behöriga myndigheter enligt ramlagen. Det är Polismyndigheten, Kustbevakningen, Skatteverket, Tullverket, Åklagarmyndigheten, Ekobrottsmyndigheten, de allmänna domstolarna och Kriminalvården som främst kommer att behandla personuppgifter som omfattas av ramlagens tillämpningsområde.
Dessa myndigheter har emellertid även arbetsuppgifter som ligger utanför ramlagens tillämpningsområde. Det gäller i hög grad Polismyndigheten och de allmänna domstolarna men också Tullverket, Kustbevakningen och Skatteverket, där den brottsbekämpande verksamheten bara utgör en del av den totala verksamheten. Även åklagare har vissa operativa uppgifter som inte omfattas av ramlagens tillämpningsområde. Den omständigheten att en myndighet har vissa arbetsuppgifter inom ramlagens tillämpningsområde gör inte att myndigheten i all sin verksamhet är behörig myndighet i ramlagens mening. Som exempel kan nämnas Skatteverket, där myndighetens brottsbekämpande enheter omfattas av definitionen av behörig myndighet, medan de enheter som arbetar med folkbokföring eller fastställande av skatt inte gör det. En myndighet kan således vara både behörig och icke behörig i ramlagens mening beroende på vilka arbetsuppgifter som utförs (se skäl 11).
När det har konstaterats att den som ska behandla personuppgifter är behörig myndighet i ramlagens mening måste det också fastställas att personuppgifterna ska behandlas för ett syfte som omfattas av lagen för att den ska vara tillämplig. Genom att regleringen i direktivet är utformad som ett undantag från dataskyddsförordningens tillämpningsområde kommer det att krävas av de behöriga myndigheterna och de enskilda tjänstemännen att de i större utsträckning än i dag överväger syftet med behandlingen av personuppgifter och om behandlingen ligger inom ramlagens tilllämpningsområde. Om personuppgifter behandlas för något annat syfte än brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän och säkerhet ska ramlagen inte tillämpas.
Ramlagens tillämpningsområde SOU 2017:29
172
Dubbla regelverk
Det är framför allt de myndigheter som arbetar med brottsbekämpning som kommer att möta gränsdragningsproblem. Det beror bl.a. på att deras verksamhet är sådan att det inte alltid från början är tydligt om syftet med behandlingen är brottsbekämpande eller inte. Även på andra områden kan gränsdragningen ibland vara svår.
Det är omöjligt att inom ramen för denna utredning uttömmande ange när de behöriga myndigheterna ska tillämpa ramlagen. I kapitel 8 redovisas dels vissa principer som utredningen anser bör vara vägledande, dels exempel på när ramlagen bör eller inte bör tillämpas. I det enskilda fallet blir det dock den handläggande tjänstemannen som får avgöra vilken lagstiftning som är tillämplig.
Svårigheterna med att avgöra vilket regelverk som ska tillämpas bör dock inte överdrivas. Redan i dag tillämpar myndigheterna olika regelverk – personuppgiftslagen och myndighetsanknutna registerförfattningar – beroende på i vilken verksamhet personuppgifterna behandlas. Problematiken med dubbla regleringar när det gäller personuppgiftsbehandling finns således redan i dag.
Så som tillämpningsområdet för direktivet är utformat kommer fler myndigheter och andra aktörer än enbart myndigheterna i rättskedjan att i viss del av sin verksamhet behöva tillämpa ramlagen. Det gäller exempelvis den som bedriver sluten ungdomsvård eller rättspsykiatrisk vård. Vidare kommer andra aktörer som utövar myndighet inom ramlagens tillämpningsområde att behöva tillämpa den när de behandlar personuppgifter för sådana syften som lagen reglerar. De ska då betraktas som behöriga myndigheter i ramlagens mening och tillämpa den. En del av aktörerna har hittills enbart tillämpat personuppgiftslagen och kommer att i fortsättningen tillämpa dataskyddsförordningen i huvuddelen av sin verksamhet. Det ställs alltså krav på att de, när personuppgiftslagen upphör att gälla, noga överväger för vilka syften personuppgifter behandlas och vilket regelverk som ska tillämpas på behandlingen.
Behandling av personuppgifter i verksamhet som omfattas av unionsrätten omfattas således antingen av ramlagens eller dataskyddsförordningens tillämpningsområde. Ramlagen och förordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har behandlingen däremot flera olika syften kan de vara tilllämpliga parallellt. Som exempel kan nämnas Polismyndighetens
SOU 2017:29 Ramlagens tillämpningsområde
173
behandling av personuppgifter vid gränskontroll. Den behandling som görs med stöd av utlännings- och medborgarskapslagstiftningen ligger under förordningens tillämpningsområde, medan ramlagen ska tillämpas på den behandling som har ett brottsbekämpande syfte (jfr 3 § utlänningsdatalagen [2016:27] och Utlänningsdatalag, prop. 2015/16:65, s. 108). Det innebär att det är fråga om två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk. Hur gränsen ska dras diskuteras i avsnitt 8.2.10.
7.1.6 Helt eller delvis automatiserad behandling
Utredningens förslag: Ramlagen ska gälla för sådan behandling
av personuppgifter som är helt eller delvis automatiserad. Lagen ska även gälla för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Skälen för utredningens förslag: En fråga är vilka slags behand-
lingar som ska omfattas av tillämpningsområdet. Enligt artikel 2.2 är direktivet tillämpligt på sådan behandling av personuppgifter som helt eller delvis företas på automatiserad väg och på annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Med register avses enligt artikel 3.6 en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Tillämpningsområdet är detsamma enligt det nu gällande dataskyddsdirektivet och dataskyddsförordningen.
Som anges i avsnitt 6.2 ville man komma bort från registerbegreppet redan när personuppgiftslagen infördes. Personuppgiftslagen gäller därför enligt 5 § för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen i personuppgiftslagen har varit utgångspunkt vid utform-
Ramlagens tillämpningsområde SOU 2017:29
174
ningen av tillämpningsområdet för myndigheternas registerförfattningar. Mot den bakgrunden bör tillämpningsområdet för ramlagen anges på samma sätt. Det innebär ingen skillnad i sak i förhållande till direktivet. Att formuleringen skiljer sig något från hur tillämpningsområdet uttrycks i dataskyddsförordningen saknar enligt utredningens mening betydelse.
7.2 Undantag från tillämpningsområdet
7.2.1 Personuppgiftsbehandling som rör nationell säkerhet
Utredningens förslag: Ramlagen ska inte gälla vid Säkerhets-
polisens behandling av personuppgifter som rör nationell säkerhet. Undantaget ska också gälla i de fall där Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.
Skälen för utredningens förslag
Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet undantas
Enligt artikel 2.3 a ska direktivet inte tillämpas på personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Av skäl 14 framgår att verksamhet som rör nationell säkerhet, verksamhet som utförs av byråer och organ som hanterar nationella säkerhetsfrågor och medlemsstaternas behandling av personuppgifter inom verksamhet som avser den gemensamma utrikes- och säkerhetspolitiken inte omfattas av direktivets tillämpningsområde.
Det nu gällande dataskyddsdirektivet gäller inte för sådan personuppgiftsbehandling som inte omfattades av EG-rätten när direktivet antogs, t.ex. statens verksamhet på straffrättens område eller verksamhet som rör statens säkerhet eller försvar. I förarbetena till personuppgiftslagen framhöll regeringen att om viss offentlig verksamhet generellt skulle undantas från lagen fanns det risk för att viss behandling inom den sektorn inte skulle omfattas av någon lagstiftning med motsvarande syfte som den nya lagen.
SOU 2017:29 Ramlagens tillämpningsområde
175
Personuppgiftslagen gjordes därför generellt tillämplig och omfattar även sådan verksamhet som då föll utanför EG-rätten. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgiftslagen ger, garanteras att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning (se prop. 1997/98:44 s. 41).
Undantaget i det nya dataskyddsdirektivet är utformat så att det utesluter viss verksamhet, inte vissa typer av myndigheter eller organisationer. Säkerhetspolisens verksamhet ligger i allt väsentligt utanför direktivets tillämpningsområde. Till Säkerhetspolisens huvuduppgifter hör att förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet och terrorbrott och att utreda och beivra sådana brott. Säkerhetspolisen ansvarar vidare för personskyddet av den centrala statsledningen. Nu nämnda uppgifter hör till nationell säkerhet. Säkerhetspolisen har även andra uppgifter som hör till nationell säkerhet eller har ett mycket nära samband med sådan verksamhet. Av samma skäl som det inte bör anges i ramlagen vilka myndigheter som ska tillämpa den bör inte Säkerhetspolisens personuppgiftsbehandling generellt undantas från ramlagens tillämpningsområde. Redan i dag har myndigheten vissa uppgifter som omfattas av direktivets tillämpningsområde och det kan inte uteslutas att myndigheten i framtiden får nya sådana uppgifter. Undantaget bör därför utformas så att det endast träffar de delar av Säkerhetspolisens personuppgiftsbehandling som rör nationell säkerhet.
I förarbetena till 2013 års lag diskuterades ingående hur motsvarande undantag i dataskyddsrambeslutet skulle formuleras och där stannade regeringen för att begreppet nationell säkerhet borde användas (prop. 2012/13:73 s. 69 f.). I 19 kap. brottsbalken används numera begreppet Sveriges säkerhet i stället för det äldre rikets säkerhet. När begreppet byttes ut konstaterade regeringen att innebörden av vad som betraktas som rikets säkerhet förändrats och fått ett vidare tillämpningsområde (Förstärkt skydd mot främmande makts underrättelseverksamhet, prop. 2013/14:51, s. 20). I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) används också begreppet Sveriges säkerhet. Betänkandet har remissbehandlats och bereds i Regeringskansliet (Justitiedepartementet).
Ramlagens tillämpningsområde SOU 2017:29
176
Eftersom undantagen från tillämpningsområdet både i direktivet och dataskyddsförordningen utgår från begreppet nationell säkerhet anser utredningen att det uttrycket bör användas i ramlagen.
Det sagda innebär dock inte att Säkerhetspolisens personuppgiftsbehandling bör lämnas oreglerad inom området nationell säkerhet. På samma sätt som Säkerhetspolisen i dag tillämpar polisdatalagen och vissa bestämmelser i personuppgiftslagen i verksamhet som rör nationell säkerhet bör myndigheten i framtiden tilllämpa vissa bestämmelser i ramlagen. Vilka bestämmelser det bör vara och hur myndighetens behandling av personuppgifter i övrigt bör regleras kommer utredningen att behandla i slutbetänkandet.
Det finns även andra myndigheter som i viss omfattning hanterar personuppgifter rörande nationell säkerhet. Det gäller bl.a. åklagare och allmänna domstolar när de behandlar personuppgifter i mål och ärenden som rör brott mot Sveriges säkerhet, som är den benämning som används bl.a. i brottsbalken i stället för nationell säkerhet. Det kan inte uteslutas att även andra myndigheter i viss utsträckning hanterar sådana personuppgifter.
De överväganden som gjordes när personuppgiftslagen infördes gör sig fortfarande gällande. Nationell säkerhet bör därför inte undantas generellt från den nya lagens tillämpningsområde. Det är en mycket liten del av åklagares och de allmänna domstolarnas verksamhet som rör nationell säkerhet. Det saknas skäl att undanta den mycket begränsade personuppgiftsbehandling som utförs av åklagare eller i domstolar på det området från ramlagens tillämpningsområde. De bör därför på samma sätt som i dag tillämpa samma regler som gäller för behandling av personuppgifter i verksamheten i övrigt vid utredning eller handläggning av brottmål och därtill anknutna ärenden enligt rättegångsbalken som rör Sveriges säkerhet. Detsamma bör gälla om någon annan myndighet undantagsvis skulle hantera sådana personuppgifter, exempelvis om Kriminalvården skulle ha tillgång till någon personuppgift som rör nationell säkerhet vid verkställighet av straff.
SOU 2017:29 Ramlagens tillämpningsområde
177
Ramlagen ska tillämpas i vissa fall
Även om merparten av Säkerhetspolisens personuppgiftsbehandling undantas från ramlagens tillämpningsområde, finns det viss behandling i myndighetens operativa verksamhet som bör omfattas av ramlagen eftersom den inte rör nationell säkerhet.
Säkerhetspolisen ska enligt 13 § förordningen (2014:1103) med instruktion för Säkerhetspolisen bistå vid polisverksamhet som leds av Polismyndigheten om myndigheten i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Säkerhetspolisen ska också lämna tekniskt biträde och annan hjälp till Polismyndigheten i den utsträckning som myndigheterna kommer överens om. När Säkerhetspolisen lämnar sådan hjälp omfattas personuppgiftsbehandlingen av ramlagens tillämpningsområde om den avser brottsbekämpning, lagföring eller verksamhet för att upprätthålla allmän ordning och säkerhet. Säkerhetspolisen bör följaktligen tillämpa ramlagen när den bistår Polismyndigheten i sådan verksamhet. Detsamma gäller om Säkerhetspolisen bistår andra myndigheter i deras brottsbekämpning, t.ex. vid verkställighet av hemliga tvångsmedel. Som exempel kan nämnas att Säkerhetspolisen bistår Polismyndigheten vid verkställighet av hemlig rumsavlyssning.
Enligt 30 § förordningen (2014:1102) med instruktion för Polismyndigheten får chefen för Nationella operativa avdelningen i samråd med biträdande säkerhetspolischefen i ett enskilt fall bestämma att en förundersökning eller annan liknande uppgift i den brottsbekämpande verksamheten ska lämnas över till Säkerhetspolisen för fortsatt handläggning. Syftet med bestämmelsen är bl.a. att jävssituationer ska kunna undvikas (se En ny organisation för polisen, prop. 2013/14:110, s. 400). När Säkerhetspolisen med stöd av ett beslut enligt den paragrafen genomför en förundersökning eller utför någon annan uppgift som normalt skulle utföras av Polismyndigheten och som omfattas av ramlagens tillämpningsområde bör Säkerhetspolisen tillämpa den lagen.
Polismyndighetens biträde till Säkerhetspolisen
En särskild fråga är vad som ska gälla för Polismyndigheten när den övertar uppgifter från Säkerhetspolisen eller biträder den på något annat sätt.
Ramlagens tillämpningsområde SOU 2017:29
178
Enligt 28 § instruktionen för Polismyndigheten ska myndigheten bistå vid polisverksamhet som leds av Säkerhetspolisen om Säkerhetspolisen i ett enskilt fall begär det och det inte finns särskilda skäl mot det. Polismyndigheten ska vidare, i den utsträckning som myndigheterna kommer överens om, lämna tekniskt biträde och annan hjälp till Säkerhetspolisen. Bestämmelsen är en spegling av 13 § instruktionen för Säkerhetspolisen.
Enligt 15 § instruktionen för Säkerhetspolisen får biträdande säkerhetspolischefen i samråd med chefen för Nationella operativa avdelningen, trots den ansvarsfördelning som annars gäller mellan myndigheterna, i ett enskilt fall bestämma att en förundersökning eller annan uppgift i den brottsbekämpande verksamheten ska lämnas över till Polismyndigheten för fortsatt handläggning. Bestämmelsen motsvarar 30 § instruktionen för Polismyndigheten.
Eftersom det när Säkerhetspolisen begär biträde av Polismyndigheten eller överlämnar en arbetsuppgift till myndigheten med stöd av 15 § instruktionen för Säkerhetspolisen i de flesta fall är fråga om en arbetsuppgift som ligger utanför direktivets tillämpningsområde, bör Polismyndigheten inte tillämpa ramlagen i vidare mån än vad Säkerhetspolisen skulle ha gjort om uppgiften legat kvar där.
Det som nu har sagts bör även gälla för Försvarsmakten i fall där Säkerhetspolisen begär stöd enligt lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning.
7.2.2 Den gemensamma utrikes- och säkerhetspolitiken
Enligt skäl 14 undantas medlemsstaternas behandling av personuppgifter i verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken från direktivets tillämpningsområde. Utredningen kan inte se att någon av de som är behöriga myndigheter i ramlagens mening bedriver verksamhet inom detta område. Det finns därför inget behov av att från ramlagens tillämpningsområde undanta någon myndighet eller verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken.
SOU 2017:29 Ramlagens tillämpningsområde
179
7.3 Förhållandet till offentlighetsprincipen och till tryck- och yttrandefriheten
Utredningens bedömning: Behandling av personuppgifter på
tryck- och yttrandefrihetens område och allmänhetens tillgång till allmänna handlingar behöver inte regleras.
Skälen för utredningens bedömning: I skäl 16 framhålls att
direktivet inte påverkar tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar.
I dataskyddsförordningen finns bestämmelser som ger utrymme för nationell reglering om förhållandet mellan, å ena sidan, skyddet för personuppgifter och, å andra sidan, yttrande- och informationsfriheten och offentlighetsprincipen. Enligt artikel 85.1 i förordningen ska medlemsstaternas nationella lagstiftning förena rätten till integritet i enlighet med förordningen med rätten till yttrande- och informationsfrihet. Den ska omfatta personuppgiftsbehandling för journalistiska ändamål och för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 i förordningen föreskriva om undantag eller avvikelser från stora delar av förordningens bestämmelser om det behövs för att förena rätten till integritet med yttrande- eller informationsfriheten.
Enligt artikel 86 i förordningen får personuppgifter i allmänna handlingar hos en myndighet eller vissa typer av organ lämnas ut i enlighet med unionsrätten eller nationell rätt i syfte att förena allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen.
I direktiven till Dataskyddsutredningen konstaterar regeringen att det i dag är tydligare än i det nu gällande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Dataskyddsutredningen har i uppdrag att analysera hur bestämmelser som balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten utanför grundlagarnas tillämpningsområde bör utformas (se dir. 2016:15 s. 22).
Enligt artikel 9.1 i direktivet ska dataskyddsförordningen tilllämpas vid behandling för ändamål som ligger utanför direktivets
Ramlagens tillämpningsområde SOU 2017:29
180
tillämpningsområde. Hur den artikeln ska genomföras behandlas i avsnitt 9.6. Någon reglering för att tydliggöra att förordningen ska tillämpas när det gäller yttrande- och informationsfriheten och offentlighetsprincipen behövs enligt utredningens mening inte.
Enligt 23 kap. 14 § andra stycket rättegångsbalken får en undersökningsledare hos rätten begära ett förordnande om att en allmän handling som kan antas ha betydelse som bevis ska tillhandahållas. I 38 kap. 8 § rättegångsbalken finns en motsvarande bestämmelse som är generell och som kan åberopas exempelvis av en målsägande. En myndighet, eller någon annan aktör som omfattas av reglerna om allmänna handlingar, kan alltså med stöd av någon av dessa regler åläggas att lämna ut en allmän handling till en förundersökning eller brottmålsrättegång. Det gäller dock inte en handling för vilken sekretess gäller enligt 15 kap. 1 eller 2 § offentlighets- och sekretesslagen (2009:400), som reglerar utrikessekretess respektive försvarssekretess, eller 16 kap. 1 § samma lag som reglerar statsfinanssekretess. Det gäller inte heller en handling vars innehåll är sådant att någon som haft befattning med handlingen inte får höras som vittne om dess innehåll. Likaså undantas handlingar som kan avslöja yrkeshemligheter, om det inte finns synnerlig anledning.
Oavsett vad Dataskyddsutredningen kommer fram till när det gäller behandling av personuppgifter på tryck- och yttrandefrihetens område och allmänhetens tillgång till allmänna handlingar kan det inte antas påverka tillämpningen av 23 kap. 14 § och 38 kap. 8 §rättegångsbalken.
181
8 Gränsdragningsfrågor som rör tillämpningsområdet
8.1 Några allmänna principer för gränsdragningen
Det är en fråga för rättstillämpningen att avgöra vilket regelverk för dataskydd som gäller i ett enskilt fall. Som utredningen konstaterar i avsnitt 7.1 har det avgörande betydelse för tillämpningen om den som behandlar uppgiften är en behörig myndighet och i vilket syfte en personuppgift behandlas.
Det ingår inte i utredningens uppdrag att göra en jämförelse mellan reglerna i direktivet och dataskyddsförordningen och inte heller att analysera konsekvenserna av att det ena eller andra regelverket tillämpas. Utredningen anser emellertid att det är nödvändigt att ge tillämparna viss ledning för hur man kan resonera i fråga om när ramlagen ska tillämpas och när den inte är tillämplig. Det är också viktigt att ge de behöriga myndigheterna förutsättningar att kunna utveckla en gemensam syn på olika tillämpningsfrågor. Det gäller särskilt myndigheterna i rättskedjan. Mot den bakgrunden redovisar utredningen i det följande vissa allmänna principer som kan vara vägledande. Principerna utvecklas sedan genom exempel från olika verksamheter inom ramlagens tillämpningsområde. Det bör understrykas att det inte är någon uttömmande genomgång av vad som kan göra ramlagen tillämplig.
Om någon annan än en behörig myndighet behandlar personuppgifter är ramlagen inte tillämplig
Ett grundläggande krav för att ramlagen ska vara tillämplig är att den som behandlar personuppgifterna är en behörig myndighet i lagens mening och att behandlingen görs för något av de syften
Gränsdragningsfrågor SOU 2017:29
182
som anges där. Som framgår av avsnitt 7.1.4 pekas det inte ut vilka myndigheter som är behöriga. Det är enligt den föreslagna definitionen de myndigheter som fullgör arbetsuppgifter inom ramlagens tillämpningsområde och andra aktörer som utövar myndighet i samma syften som är behöriga. Är den som behandlar personuppgifterna inte en behörig myndighet gäller inte ramlagen för personuppgiftsbehandlingen.
Många myndigheter och andra aktörer är skyldiga att anmäla om det uppstått misstanke om brott. En sådan skyldighet medför inte att anmälaren ska betraktas som behörig myndighet i ramlagens mening, om anmälaren varken har ett brottsbekämpande uppdrag eller utövar myndighet för de syften som ramlagen omfattar.
Det förhållandet att någon som har fått tillstånd att sätta upp en övervakningskamera t.ex. i en bank eller butikslokal i syfte att förebygga, avslöja eller utreda brott innebär inte heller att behandlingen av de personuppgifter som erhålls genom övervakningen görs av en behörig myndighet i ramlagens mening. Företaget eller personen i fråga ägnar sig nämligen inte åt myndighetsutövning.
Varken typen av personuppgiftsbehandling eller personuppgiftens karaktär är avgörande för om ramlagen ska tillämpas
Det är, som tidigare nämnts, syftet med behandlingen av personuppgifter i det enskilda fallet som är en grundläggande förutsättning för att behandling av personuppgifter över huvud taget omfattas av ramlagens tillämpningsområde. Genom att syftet styr när det gäller personuppgiftsbehandling som omfattas av unionsrätten, kan en behörig myndighets behandling av samma personuppgift antingen styras av ramlagens eller dataskyddsförordningens regler. Typen av personuppgiftsbehandling, vilken verksamhet den behandlas i eller personuppgiftens karaktär är alltså inte avgörande för vilket regelverk som ska tillämpas.
Myndighetsutövning som har överlåtits till andra än myndigheter
I viss lagstiftning överlåts myndighetsutövning inom ramlagens tillämpningsområde till andra aktörer. Är det fråga om myndighetsutövning för ett sådant syfte som anges i ramlagen ska ram-
SOU 2017:29 Gränsdragningsfrågor
183
lagen tillämpas på behandlingen av personuppgifter, t.ex. när föremål tas i beslag för att säkra utredningen av ett brott eller framtida förverkande. Den som har rätt att vidta sådana åtgärder anses nämligen vara en behörig myndighet i ramlagens mening. Det gäller t.ex. om en tjänsteman i Havs- och vattenmyndigheten tar egendom i beslag för ett misstänkt fiskebrott eller om en annan aktör handhar verkställighet av en straffrättslig påföljd.
Ramlagen ska tillämpas i viss verksamhet för att stödja en behörig myndighet
Myndigheterna i rättskedjan behöver ibland stöd från myndigheter med annan kompetens. Sådan stödverksamhet kan avse t.ex. forensisk, medicinsk eller psykiatrisk kompetens. Stödet kan också avse särskilda resurser. Den som har en författningsreglerad skyldighet att biträda behöriga myndigheter med särskild kompetens eller särskilda resurser bör vid utförandet av sådana arbetsuppgifter anses som behörig myndighet och tillämpa ramlagen.
Annat stöd som inte är författningsreglerat och som lämnas till en behörig myndighet av en myndighet eller annan aktör som inte själv är behörig myndighet i ramlagens mening, ligger däremot utanför ramlagens tillämpningsområde, t.ex. stöd från myndigheter som deltar i olika insatser för att förebygga brott eller att samverka mot brott och oordning. Ett exempel är när när en statlig myndighet som t.ex. Pensionsverket bistår åklagare i en förundersökningr om ekonomisk brottslighet.
När de processuella reglerna om ansvar för brott gäller för talan som kumuleras med ansvarstalan ska ramlagen tillämpas
I ett brottmål får i viss utsträckning talan föras om annat än ansvar för brott. När de processuella reglerna om talan om ansvar för brott tillämpas på en talan som rör något annat, som t.ex. enskilda anspråk, rör det sig om frågor som är så intimt förknippade med varandra att vikten av en gemensam process enligt brottmålsreglerna ansetts väga över andra intressen. Då bör enligt utredningens mening sidofrågan anses vara så oupplösligt förenad med ansvarsfrågan att ramlagen bör tillämpas vid personuppgiftsbehandlingen.
Gränsdragningsfrågor SOU 2017:29
184
Ramlagen bör också tillämpas vid bevistalan mot någon under 15 år.
Om sambandet med ansvarsfrågan upphör, bör ramlagen inte tillämpas på den fortsatta handläggningen. Enskilda anspråk som överklagas enbart av enskild part är exempel på det.
Ramlagen ska inte tillämpas av den som får tillgång till ett visst register eller en viss typ av uppgifter
Den omständigheten att någon som inte har brottsbekämpande, lagförande, straffverkställande eller ordningshållande uppdrag ges tillgång till ett register som förs av en myndighet med ett sådant uppdrag innebär inte att den förra ska betraktas som behörig myndighet. Det gäller även den som på annat sätt får del av uppgifter om lagöverträdelser. Den som får tillgång till domar eller till vissa uppgifter ur t.ex. belastningsregistret eller registret över tillträdesförbud blir alltså inte en behörig myndighet av det skälet. För att ramlagen ska vara tillämplig krävs att uppgifterna i fråga behandlas av en behörig myndighet för något av de syften som ramlagen anger.
Kontrollverksamhet och allmän övervakning ligger utanför ramlagens tillämpningsområde
Flera av de myndigheter som har till uppgift att bekämpa brott bedriver också i större eller mindre utsträckning kontrollverksamhet. Det gäller både polisen, Tullverket, Kustbevakningen och Skatteverket. Det kan gälla exempelvis gränskontroll, tullkontroll, utlänningskontroll eller skattekontroll. Sådan kontrollverksamhet ligger utanför ramlagens tillämpningsområde även i de fall där kontrollen utförs av tjänstemän som också har brottsbekämpande uppgifter.
Förutom författningsreglerad kontrollverksamhet bedriver vissa brottsbekämpande myndigheter också allmän övervakning. Den allmänna övervakningen är oreglerad och har inte så konkret utformning eller tydligt brottsbekämpande syfte att behandlingen av personuppgifter kan hänföras under ramlagen.
SOU 2017:29 Gränsdragningsfrågor
185
Ramlagen ska inte tillämpas när syftet med behandlingen inte längre är brottsbekämpning eller något annat som regleras i lagen
Personuppgifter som från början behandlas för något av de syften som är en förutsättning för att ramlagen ska vara tillämplig kan med tiden visa sig sakna betydelse för dessa syften. Som exempel kan nämnas att Tullverket tar en viss mängd vitt pulver i beslag i tron att det är fråga om narkotika men att det senare visar sig vara något som inte är straffbart att inneha. Utöver den behandling av personuppgifter som är nödvändig för att avsluta ärendet och arkivera det får uppgifterna inte längre behandlas i den brottsbekämpande verksamheten. Ramlagen är då inte längre tillämplig. Att ett enskilt anspråk som ursprungligen har behandlats tillsammans med frågan om ansvar för brottet avskiljs för handläggning i den för tvistemål föreskrivna ordningen är ett annat exempel på när ramlagen inte längre ska tillämpas.
8.2 Gränsdragningsfrågor som rör brottsbekämpning
8.2.1 Anmälan om brott
Ska de som har anmälningsskyldighet tillämpa ramlagen?
Vissa myndigheter och andra aktörer som inte arbetar med brottsbekämpning har en författningsreglerad skyldighet att anmäla brott. Många tillsynsmyndigheter är t.ex. skyldiga att anmäla brott som de upptäcker vid sin tillsyn. Som exempel kan nämnas att tillsynsmyndigheter på miljöområdet enligt 26 kap. 2 § miljöbalken ska anmäla överträdelser av bestämmelser i balken eller föreskrifter som har meddelats med stöd av balken. Inspektionen för vård och omsorg ska enligt 7 kap. 29 § patientsäkerhetslagen (2010:659) göra en åtalsanmälan om hälso- och sjukvårdspersonal skäligen kan misstänkas för brott i yrkesutövningen. Om Säkerhets- och integritetsskyddsnämnden i sin verksamhet uppmärksammar förhållanden som kan utgöra brott, ska nämnden anmäla det till Åklagarmyndigheten eller en annan behörig myndighet enligt 20 § förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden.
Även andra aktörer än tillsynsmyndigheter kan ha anmälningsskyldighet. Som exempel kan nämnas att Försäkringskassan, Pen-
Gränsdragningsfrågor SOU 2017:29
186
sionsmyndigheten, Centrala studiestödsnämnden, Migrationsverket, Arbetsförmedlingen och kommuner och arbetslöshetskassor enligt 6 § bidragsbrottslagen (2007:612) ska anmäla misstanke om brott mot lagen. Vidare ska enligt 17 § skattebrottslagen (1971:69) förvaltningsmyndigheter som handlägger frågor om skatter eller avgifter anmäla misstanke om brott mot den lagen. I egenskap av konkursförvaltare är en advokat skyldig att anmäla brott enligt 7 kap. 16 § konkurslagen (1987:672).
Den behandling av personuppgifter som utförs i samband med att en myndighet eller någon annan aktör anmäler brott har till syfte att gärningen ska kunna utredas och lagföras. En brottsanmälan är dock inte ett beslut eller en faktisk åtgärd som direkt får rättsverkningar för enskilda och den kan därför inte i sig anses innefatta myndighetsutövning. Den ska emellertid föranleda ett agerande hos den myndighet som mottar anmälan. Därigenom kan en anmälan indirekt få rättsliga konsekvenser för en enskild.
Om de myndigheter och andra aktörer som har anmälningsskyldighet varken har ett brottsbekämpande uppdrag eller annars har anförtrotts myndighetsutövning på det området är de inte behöriga myndigheter i ramlagens mening. De ska därför inte tilllämpa ramlagen.
Brott som upptäcks inom annan verksamhet hos en behörig myndighet
En praktiskt viktig fråga är hur man ska se på de situationer där det uppstår misstanke om brott i en behörig myndighet inom ramen för kontrollverksamhet eller annan verksamhet utanför ramlagens tillämpningsområde. Som utvecklas närmare i avsnitt 8.2.10 är kontrollverksamhet inte en del av brottsbekämpningen i ramlagens mening. I exempelvis Tullverkets och Kustbevakningens kontrollverksamhet kan det uppkomma misstanke om många olika typer av brott. På motsvarande sätt kan det vid Polismyndighetens utlänningskontroll t.ex. uppkomma misstanke om människohandel eller brukande av falska handlingar och i Skatteverkets beskattningsverksamhet misstanke om skattebrott eller annan ekonomisk brottslighet. I ett sådant fall upprättas en brottsanmälan som överlämnas till någon som är behörig att inleda förundersökning och utreda brottet. Det kan diskuteras om de anmälningar som görs i
SOU 2017:29 Gränsdragningsfrågor
187
sådan kontrollverksamhet bör jämställas med anmälningar som görs av en icke behörig myndighet som har anmälningsskyldighet. Det finns mycket som talar för det, inte minst det faktum att det är viktigt att hålla isär kontrollverksamhet och brottsbekämpande verksamhet. Även sekretessregleringen förutsätter att sådan skillnad görs i några av myndigheterna. Enligt utredningens mening finns det sakliga skäl för att upprätthålla den gränsdragningen.
8.2.2 Användning av straffprocessuella tvångsmedel
I vissa fall har myndigheter med tillsynsuppgifter getts möjlighet att säkra en eventuell brottsutredning genom att ta föremål i beslag.
Enligt 47 § fiskelagen (1993:787) har en fisketillsynsman rätt att ta fisk, redskap, fiskefartyg och vissa andra föremål i beslag om någon som begår brott mot lagen påträffas på bar gärning. Detsamma gäller befattningshavare hos Kustbevakningen, Havs- och vattenmyndigheten eller länsstyrelsen, i vars arbetsuppgifter det ingår att övervaka efterlevnaden av bestämmelser om fiske. Enligt 26 kap. 23 § miljöbalken får en naturvårdsvakt ta i beslag jakt- och fångstredskap, fortskaffningsmedel och andra föremål som kan antas ha betydelse för utredning av ett brott, om vakten ertappar någon på bar gärning som bryter mot vissa förbud eller föreskrifter meddelade med stöd av balken.
Att ta föremål i beslag innebär myndighetsutövning mot enskild och medför att tjänstemannen agerar som behörig myndighet. Den behandling av personuppgifter som kan förekomma i samband med att det beslagtagna överlämnas till Polismyndigheten eller till åklagare ligger därmed inom ramlagens tillämpningsområde.
Regeln i 27 kap. 4 § rättegångsbalken – som ger envar som med laga rätt griper någon rätt att temporärt ta föremål i beslag – medför däremot inte att ramlagen blir tillämplig förrän åtgärden har anmälts till en behörig myndighet. I dessa fall grundas nämligen rätten att använda tvångsmedel inte på att myndighetsutövning har överlåtits i ramlagens mening. En butikskontrollant som tar egendom i beslag med stöd av bestämmelsen ska därför inte tillämpa ramlagen.
Gränsdragningsfrågor SOU 2017:29
188
8.2.3 Utredning av brott som begåtts av någon under 15 år
Enligt 1 kap. 6 § brottsbalken får den som har begått brott innan han eller hon fyllt 15 år inte dömas till påföljd för brottet. I 31– 38 §§ lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare regleras möjligheten att utreda sådana brott. Brott av allvarligare slag ska som regel utredas enligt 31 §. Vid sådan utredning tillämpas till stor del reglerna om förundersökning.
En utredning enligt 31 § kan ha flera syften. Det vanligaste är att utredningen görs för att klarlägga vem som bär ansvar för brottet och om även personer över 15 år varit delaktiga i det eller för att efterforska gods som har åtkommits genom brottet eller som kan bli föremål för förverkande. Utredningen initieras i dessa fall av Polismyndigheten eller åklagare. Det finns också möjlighet att föra s.k. bevistalan om sådana brott. Bevistalan innebär att allmän domstol ska ta ställning till om den unge begått brottet. Vid bevistalan tillämpar domstolen reglerna om allmänt åtal och talan förs av åklagare. Eftersom utredningen i dessa fall görs i syfte att utreda brott, reglerna om förundersökning tillämpas och det för bevistalan gäller samma regler som för allmänt åtal, bör enligt utredningens mening ramlagen tillämpas på behandlingen av personuppgifter.
Det finns emellertid även möjlighet för socialnämnden att initiera en utredning enligt 31 § lagen med särskilda bestämmelser om unga lagöverträdare. Syftet med utredningen är då att ge underlag för att bedöma behovet av sociala insatser för den unge, t.ex. om det är fråga om brott som innebär att den unge äventyrar sin hälsa eller utveckling. Det syftet ligger utanför ramlagens tillämpningsområde. Det finns också en särskild bestämmelse om kroppsbesiktning i 36 b §, om den unge misstänks ha brukat narkotika före 15 års ålder. Syftet med undersökningen är enbart att ge underlag för bedömningen av behovet av sociala insatser för den unge. Trots att beslut om sådan undersökning ska fattas av åklagare är det fråga om ett syfte utanför ramlagens tillämpningsområde och lagen bör därför inte tillämpas på behandlingen av personuppgifter.
Personuppgifter om unga lagöverträdare som inte är straffmyndiga behandlas inte sällan i underrättelseverksamhet på grund av deras kontakter med straffmyndiga personer.
SOU 2017:29 Gränsdragningsfrågor
189
8.2.4 Stödverksamhet till den brottsbekämpande verksamheten
Rättsmedicinalverket
Enligt 1 § förordningen (2007:976) med instruktion för Rättsmedicinalverket ansvarar verket för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet. Verkets huvuduppgift är att inom de verksamhetsområdena avge sakkunnigutlåtanden till rättsväsendets myndigheter. Vidare utför Rättsmedicinalverket analyser på uppdrag av myndigheter inom rättsväsendet. Det rör sig om analyser av bl.a. blod och urin för att hitta eventuella spår av alkohol, narkotika, läkemedel och gifter som kan ha betydelse för förundersökning och åtal.
Enligt 2 § lagen (2005:225) om rättsintyg i anledning av brott ska läkare vid Rättsmedicinalverket eller läkare som har avtal med verket utfärda sådana intyg. Intygen används framför allt i utredningar om våldsbrott eller grova sexualbrott. Enligt 13 § lagen (1995:832) om obduktion m.m. får rättsmedicinska undersökningar av avlidna göras bl.a. om undersökningen kan antas vara av betydelse för utredningen av ett dödsfall som inträffat under sådana omständigheter att det skulle kunna vara fråga om ett brott. Straffrättsligt ansvar för uppsåtligt dödande förutsätter att det inte finns en naturlig dödsorsak.
När Rättsmedicinalverket utför rättsmedicinska obduktioner, gör analyser, utfärdar rättsintyg eller på annat sätt fullgör en författningsreglerad uppgift att stödja den brottsutredande verksamheten med expertkunskaper bör ramlagen tillämpas vid personuppgiftsbehandlingen. Det gäller även när sådana uppgifter fullgörs av personer som har kontrakterats av Rättsmedicinalverket.
Rättsmedicinalverkets verksamhet med läkarutlåtanden enligt 7 § lagen (1991:2041) om särskild personutredning, m.m. i brottmål och rättspsykiatriska undersökningar behandlas i avsnitt 8.3.5.
Nationellt forensiskt centrum
Nationellt forensiskt centrum vid Polismyndigheten har enligt 5 kap. 1 § första stycket 2 polisdatalagen (2010:361) till uppgift att utföra forensiska analyser, undersökningar eller jämförelser, för-
Gränsdragningsfrågor SOU 2017:29
190
utom åt den egna myndigheten, åt Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen, Skatteverket och allmän domstol. Som exempel kan nämnas att det för att någon ska kunna dömas för narkotikabrott krävs att substansen har analyserats och befunnits tillhöra något av de narkotikaklassade preparaten. Vid behandlingen av personuppgifter med anledning av uppdrag åt någon av nämnda myndigheter bör ramlagen tillämpas. Detsamma bör gälla om uppdrag utförs åt Kriminalvården.
Om Nationellt forensiskt centrum anser att ett annat laboratorium har en undersökningsmetod som skulle kunna ge bättre resultat än en undersökning vid centrumet eller ser behov av att inhämta en second opinion beträffande en undersökning, bör ramlagen tilllämpas på eventuell personuppgiftsbehandling både när uppdraget ges och redovisas.
Nationellt forensiskt centrum utför också vissa uppdrag åt enskilda enligt förordningen (2015:476) om behandling av personuppgifter i Nationellt forensiskt centrums uppdragsverksamhet. Även om avsikten är att resultatet av uppdraget ska användas i en brottmålsprocess, t.ex. av den misstänkte, utförs sådana uppdrag inte åt en behörig myndighet. Vid behandling av personuppgifter i sådana uppdrag gäller därför inte ramlagen.
Polismyndighetens elimineringsdatabas
Utöver de dna-register som regleras i polisdatalagen för Polismyndigheten ytterligare ett register över dna-profiler med stöd av lagen (2014:400) om Polismyndighetens elimineringsdatabas. Elimineringsdatabasen innehåller dna-profiler från vissa angivna personkategorier som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa (se prop. 2013/14:110 s. 451 f.). Syftet med elimineringsdatabasen, som inte får användas för att utreda brott, är att stärka kvaliteten i den forensiska verksamheten med dna-analyser.
Både dna-profiler som inte kan hänföras till en identifierbar person och dna-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken jämförs alltid med dna-profilerna i eliminerings-
SOU 2017:29 Gränsdragningsfrågor
191
databasen innan de läggs in i spårregistret respektive utredningsregistret eller dna-registret. Syftet med det är att säkerställa att en kontaminerad profil inte registreras. Behandling av dna-profiler i elimineringsdatabasen är därigenom en verksamhet som är oupplösligt förbunden med Polismyndighetens hantering av de övriga dna-registren. Behandling av personuppgifter i elimineringsdatabasen bör därför omfattas av ramlagens tillämpningsområde.
Försvarsmaktens stöd till polisen
Enligt 1 § lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning ska Försvarsmakten ge stöd till Polismyndigheten och Säkerhetspolisen vid terrorismbekämpning i form av insatser som kan innebära användning av våld eller tvång mot enskilda. Polismyndigheten eller Säkerhetspolisen får begära sådant stöd om det behövs för att förhindra eller på annat sätt ingripa mot en handling som kan utgöra brott enligt lagen (2003:148) om straff för terroristbrott och ingripandet kräver resurser som varken Polismyndigheten eller Säkerhetspolisen har tillgång till. Försvarsmaktens personal står under ledning av polispersonal och har i vissa avseenden polismans befogenheter. Lagen syftar till att ge stöd vid terrorismbekämpning. Behandling av personuppgifter i den verksamheten har därmed ett brottsbekämpande syfte och ligger under ramlagens tillämpningsområde. En särskild fråga är vad som ska gälla när Försvarsmakten lämnar stöd till Säkerhetspolisen, mot bakgrund av att dess verksamhet i huvudsak ligger utanför ramlagens tillämpningsområde. Den frågan behandlar utredningen i avsnitt 7.2.1.
8.2.5 Häktesverksamhet
Frihetsberövande för brottsbekämpning, lagföring och straffverkställighet
En av Kriminalvårdens huvuduppgifter är att bedriva häktesverksamhet. Vid behandling av personuppgifter avseende den som är anhållen eller häktad för brott ska ramlagen tillämpas. Ramlagen ska också tillämpas på den som är häktad efter dom i avvaktan på
Gränsdragningsfrågor SOU 2017:29
192
att domen får laga kraft, eftersom häktningen då syftar till att säkra verkställigheten av påföljd.
Vid fällande dom tillkommer en ny häktningsgrund, häktning för att hindra att den dömde undandrar sig verkställighet av beslut om utvisning på grund av brott. Sådan häktning kan endast bestå till dess att domen fått laga kraft. Häktning på den grunden syftar visserligen enbart till att verkställa utvisningen men enligt utredningens mening bör ramlagen ändå tillämpas vid personuppgiftsbehandlingen, eftersom utvisning är en särskild rättsverkan av brott som är direkt kopplad till påföljdsbestämningen.
Ramlagen bör även tillämpas på den som är omhändertagen efter beslut enligt 26 kap. 22 § och 28 kap. 6 b §brottsbalken och förvaras i häkte. I dessa fall syftar omhändertagandet till att säkra verkställigheten eller en omprövning av påföljden. Det är frågor som rör verkställighet av påföljd.
Detsamma bör gälla behandling av personuppgifter vid Polismyndighetens och Kriminalvårdens medverkan i internationella brottmålsärenden, t.ex. när Polismyndigheten enligt 4 kap. 33 § lagen (2000:562) om internationell rättslig hjälp i brottmål tar i förvar en frihetsberövad person som transporteras genom Sverige till en annan stat för förhör eller konfrontation.
Andra frihetsberövanden
Häkteslagen (2010:611) gäller enligt 1 kap. 3 §, om inte annat är föreskrivet, också för den som är intagen i en kriminalvårdsanstalt eller ett häkte för annat ändamål än verkställighet av påföljd för brott. Lagen tillämpas bl.a. på den som har omhändertagits efter beslut enligt 4 § lagen (1976:511) om omhändertagande av berusade personer m.m., 47 § lagen (1991:1128) om psykiatrisk tvångsvård och 27 § lagen (1991:1129) om rättspsykiatrisk vård. Lagen tillämpas också på en utlänning som hålls i förvar i en kriminalvårdsanstalt eller ett häkte med stöd av 8 § lagen (1991:572) om särskild utlänningskontroll eller 10 kap. 1 eller 2 § utlänningslagen (2005:716) och den som är häktad enligt konkurslagen. När Kriminalvården behandlar personuppgifter beträffande någon som har placerats i häkte för något annat ändamål än för anhållande, häktning eller verkställighet eller ändring av påföljd är ramlagen som
SOU 2017:29 Gränsdragningsfrågor
193
huvudregel inte tillämplig. Syftet med sådana frihetsberövanden är i allmänhet inte heller att upprätthålla allmän ordning och säkerhet. De kan syfta till att skydda den enskilde eller att säkerställa viss vård eller ett konkursförfarande. Placeringen kan också bero på att exempelvis Migrationsverket bedömt att personen utgör en fara för säkerheten i deras lokaler, vilket inte är detsamma som en fara för allmän säkerhet. Frihetsberövanden av sådana skäl kan inte göra ramlagen tillämplig. I vissa fall kan dock förvaringen i häkte bero på att personen i fråga anses vara en fara för den allmänna säkerheten. Det är därför nödvändigt att bedöma vilket regelverk som ska tilllämpas med utgångspunkt i syftet med behandlingen i det enskilda fallet.
Det som nu har sagts om den som förvaras i häkte gäller på motsvarande sätt i fråga om behandling av personuppgifter som rör den som förvaras i polisarrest i stället för häkte och på vilken 1 kap. 3 § häkteslagen är tillämplig.
8.2.6 Handräcknings- och transportverksamhet
Handräckningsverksamhet
Till Polismyndighetens huvuduppgifter hör enligt 2 § 5 polislagen (1984:387) att fullgöra den verksamhet som ankommer på myndigheten enligt särskilda bestämmelser. Det syftar bl.a. på Polismyndighetens skyldighet att bistå andra myndigheter med s.k. handräckning. Handräckningsbestämmelser syftar oftast till att bereda myndigheter tillgång till lokaler för inspektion och liknande ändamål, att omhänderta personer som avvikit från tvångsvård och återföra dem och att transportera personer som är föremål för administrativa frihetsberövanden. Av samma skäl som anges i avsnitt 8.2.5 syftar handräckning i allmänhet inte heller till att upprätthålla allmän ordning och säkerhet. Syftet är således som regel inte brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Personuppgiftsbehandling vid handräckning ligger därmed i de allra flesta fall utanför ramlagens tilllämpningsområde (jfr prop. 2009/10:85 s. 119 f.).
Vid handräckning avseende personer som avvikit från häktning, straffverkställighet eller verkställighet av en vårdpåföljd har handräckningen dock ett så direkt samband med häktningen respektive
Gränsdragningsfrågor SOU 2017:29
194
verkställigheten att Polismyndigheten vid behandling av personuppgifter bör tillämpa ramlagen.
Transporter av frihetsberövade
Behandling av personuppgifter vid Kriminalvårdens transporter av frihetsberövade till och från förundersökningsåtgärder eller brottmålsrättegångar och transporter av häktade eller intagna mellan olika häkten eller kriminalvårdsanstalter ligger inom ramlagens tilllämpningsområde. Det gäller även vid transporter som utförs inom ramen för internationellt samarbete, t.ex. när någon transporteras genom Sverige till en annan stat för utlämning enligt 26 § lagen (1957:668) om utlämning för brott eller som ett led i rättslig hjälp i brottmål för förhör eller konfrontation enligt 4 kap. 33 § lagen om internationell rättslig hjälp i brottmål.
Kriminalvården utför emellertid även transporter av andra slag. Enligt 6 § förordningen (2007:1172) med instruktion för Kriminalvården får myndigheten bistå andra myndigheter med inrikes- och utrikestransporter av personer som är berövade friheten. Kriminalvården utför i betydande utsträckning transporter vid administrativa frihetsberövanden i form av tvångsvård och transporter av utlänningar med stöd av utlänningslagen (t.ex. transporter till Migrationsverkets förvar och inrikes- och utrikestransporter i samband med verkställighet av utvisnings- eller avvisningsbeslut). När Kriminalvården behandlar personuppgifter beträffande någon som är föremål för ett administrativt frihetsberövande ligger det som anges i avsnitt 8.2.5 som huvudregel utanför ramlagens tillämpningsområde men kan i undantagsfall omfattas.
Det som har sagts om Kriminalvårdens behandling av personuppgifter vid transporter är på motsvarande sätt tillämpligt när Polismyndigheten utför sådana transporter.
Verkställighet av utvisningbeslut
Enligt huvudregeln verkställer Migrationsverket beslut om avvisning eller utvisning enligt utlänningslagen (2005:716). Polismyndigheten verkställer myndighetens egna beslut om avvisning och domstols beslut om utvisning på grund av brott. Migrationsverket
SOU 2017:29 Gränsdragningsfrågor
195
får också lämna över verkställigheten av avvisnings- och utvisningsärenden till Polismyndigheten. Det gäller bl.a. om utlänningen håller sig undan.
Polismyndighetens verkställighet av beslut om utvisning kan, av skäl som utvecklas närmare i avsnitt 8.2.10, inte generellt ses som vare sig brottsbekämpande verksamhet eller verksamhet för att upprätthålla allmän ordning och säkerhet. Det går dock inte heller att säga att sådan verkställighet alltid ligger utanför tillämpningsområdet. Det krävs därför en bedömning av syftet med behandlingen av personuppgifter i det enskilda fallet för att avgöra vilket regelverk som ska tillämpas.
8.2.7 Samverkan mot organiserad brottslighet
Polismyndigheten och flera andra myndigheter både inom rättskedjan och utanför den samverkar på olika sätt mot organiserad brottslighet. Sådan samverkan aktualiserar två frågor. Den ena är om det är en sådan arbetsuppgift som gör de medverkande myndigheterna till behöriga myndigheter i ramlagens mening. Den andra är om uppgiftsskyldighet vid sådan samverkan innebär att en myndighet blir behörig myndighet i ramlagens mening.
Regeringen har gett Polismyndigheten i uppdrag att tillsammans med dels myndigheter med brottsbekämpande uppgifter, dels några andra myndigheter utveckla den myndighetsgemensamma satsningen mot organiserad brottslighet. Uppdraget ger inte någon av de sistnämnda myndigheterna några sådana arbetsuppgifter som är förutsättningen för att en myndighet ska vara behörig myndighet enligt ramlagen. Tvärtom förutsätts de samverkande myndigheterna verka inom ramen för sina ordinarie arbetsuppifter. De myndigheter utanför rättskedjan som deltar i samverkan blir därför inte genom uppdraget behöriga myndigheter i ramlagens mening.
Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet syftar till att förbättra samverkan och möjliggöra ett ökat informationsutbyte mellan myndigheter. Lagen föreskriver att vissa av regeringen utpekade myndigheter, trots sekretess, ska lämna ut uppgifter som en annan myndighet behöver inom ramen för särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet
Gränsdragningsfrågor SOU 2017:29
196
som är av allvarlig eller omfattande karaktär och som bedrivs i organiserad form eller systematiskt av en grupp individer.
De myndigheter som regeringen pekar ut i förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet är – förutom vissa myndigheter i rättskedjan – Arbetsförmedlingen, Försäkringskassan, Kronofogdemyndigheten och Migrationsverket. Skyldigheten att samverka medför inte att de myndigheter som är uppgiftsskyldiga blir behöriga myndigheter enligt ramlagen. Det som har sagts i avsnitt 8.2.1 om att anmälningsskyldiga myndigheter och organ inte blir behöriga myndigheter på grund av den skyldigheten gäller därför även för de myndigheter utanför rättskedjan som tillämpar den nu aktuella lagen. På motsvarande sätt blir inte heller myndigheter och andra aktörer som utan att ha vare sig anmälningsskyldighet eller uppgiftsskyldighet samverkar med brottsbekämpande myndigheter behöriga myndigheter enbart på grund av samverkan.
8.2.8 Viss skyddslagstiftning
Säkerhetsskyddslagen (1996:627) gäller i verksamhet hos staten, kommunerna och landstingen, i aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande och för enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. I sådan verksamhet ska det finnas visst i lagen närmare preciserat säkerhetsskydd till skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd av sekretessbelagda uppgifter och skydd mot terrorism. Ramlagen ska inte tillämpas på personuppgiftsbehandling enligt säkerhetsskyddslagen, eftersom uppgifterna behandlas i syfte att skydda nationell säkerhet – vilket inte omfattas av ramlagens tillämpningsområde.
SOU 2017:29 Gränsdragningsfrågor
197
Hamnskydd och sjöfartsskydd
Reglerna om sjöfartsskydd syftar till att skydda sjöfartssektorn mot grova våldsbrott. För att förebygga brott som utgör en fara för säkerheten vid sjöfart, får enligt 13 § lagen (2004:487) om sjöfartsskydd den som uppehåller sig på ett fartyg eller i en hamnanläggning kroppsvisiteras. Väskor, fordon, gods och förvaringsställe på fartyget eller inom hamnanläggningen får också undersökas. Om någon vägrar att låta sig eller sin egendom undersökas, får han eller hon avvisas eller avlägsnas från fartyget eller hamnanläggningen. Hamnskyddet innebär enligt lagen (2006:1209) om hamnskydd ett i stort sett motsvarande skydd inom de hamnområden som ligger utanför hamnanläggningarna.
Syftet med lagstiftningen om både sjöfartsskydd och hamnskydd är att förebygga och förhindra allvarliga brott. Därmed bör ramlagen tillämpas vid personuppgiftsbehandlingen.
8.2.9 Omhändertagande och förstörande av alkohol och narkotika m.m.
I ett flertal lagar och förordningar finns det bestämmelser om omhändertagande och förstörande av alkohol och narkotika (se t.ex. 20 § lagen [1990:52] med särskilda bestämmelser om vård av unga och 4 kap. 8 § häkteslagen). Motsvarande regler finns i bl.a. 8 kap. 8 § fängelselagen (2010:610) och 8 § lagen om omhändertagande av berusade personer m.m. Att omhänderta eller förstöra den typen av föremål utgör myndighetsutövning mot enskild. Om åtgärderna vidtas vid ett frihetsberövande vid brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet bör ramlagen tillämpas på personuppgiftsbehandlingen, eftersom åtgärden utgör en del av säkerhetsarbetet vid verkställigheten av frihetsberövandet. När motsvarande åtgärder vidtas vid administrativa frihetsberövanden eller vård som inte utgör en påföljd ska däremot ramlagen inte tillämpas.
Gränsdragningsfrågor SOU 2017:29
198
8.2.10 Kontrollverksamhet eller brottsbekämpning?
Gränsen mellan kontrollverksamhet och brottsbekämpning
Några av de myndigheter som i viss verksamhet är behöriga myndigheter i ramlagens mening bedriver samtidigt i stor utsträckning kontrollverksamhet som är särskilt reglerad. Som exempel kan nämnas Polismyndigheten (gränskontroll och utlänningskontroll), Tullverket (gränskontroll och tullkontroll), Skatteverket (skatte- och avgiftskontroll) och Kustbevakningen (bl.a. gränskontroll på svenskt sjöterritorium och kontroll i svensk ekonomisk zon).
I kontrollverksamhet är det vanligt med regler som tvingar den kontrollerade att lämna korrekta och fullständiga uppgifter. Skyldighet att lämna över handlingar eller att bereda kontrollanten tillträde till exempelvis fordon och lokaler är också vanlig. Skyldigheterna kan vara sanktionerade på olika sätt. Den som är misstänkt för brott får däremot aldrig tvingas att bidra till utredning eller bevisning, eftersom han eller hon därmed riskerar att belasta sig själv på ett sätt som strider mot rätten till en rättvis rättegång enligt artikel 6.1 i Europakonventionen. Rätten att tiga innebär att ingen får tvingas att avslöja sin egen brottslighet (”selfincrimination”). Gränsen mellan kontrollverksamhet och brottsbekämpning är därför av stor betydelse, eftersom skyldigheten för den enskilde att medverka skiljer sig kraftigt åt beroende på om det är fråga om kontrollverksamhet eller brottsutredning.
Kontrollverksamhet ligger enligt utredningens mening utanför ramlagens tillämpningsområde, även om den utförs av tjänstemän som annars sysslar med brottsbekämpning. Det är också så den nuvarande regleringen av vissa myndigheters personuppgiftsbehandling är reglerad. Som exempel kan nämnas gränsdragningen i utlänningsdatalagen och de föreslagna nya lagarna för Tullverkets respektive Skatteverkets brottsbekämpande verksamhet.
Visserligen leder kontrollverksamhet, t.ex. skattekontroll eller tullkontroll, till att brott i inte ringa utsträckning upptäcks eller förhindras men det är inte syftet med verksamheten. Kontroll är i första hand till för att stödja författningsenlig tillämpning av lagstiftningen, oavsett vilket område det är fråga om, och att upptäcka olika avvikelser. Det skulle enligt utredningens uppfattning föra alldeles för långt att betrakta all offentligrättslig kontrollverksamhet som ett sätt att förebygga brott. Med det synsättet är det få
SOU 2017:29 Gränsdragningsfrågor
199
verksamheter som inte skulle ligga under ramlagens tillämpningsområde. Det går inte heller att hävda att sådan kontrollverksamhet som utförs av myndigheter som också har till uppgift att bekämpa brott skulle ligga under ramlagens tillämpningsområde. Då skulle den gräns som i dag dras mellan t.ex. Skatteverkets beskattningsverksamhet och den brottsbekämpande verksamheten eller Tullverkets motsvarande verksamheter inte kunna upprätthållas.
Det finns dock situationer där det kan vara svårt att skilja kontrolluppgifterna från brottsbekämpningen. En verksamhet som omfattar både kontroll och brottsbekämpning, t.ex. gränskontroll, kan gradvis övergå från kontroll till brottsmisstanke. Omvänt kan en brottsmisstanke visa sig vara ogrundad men ge underlag för kontrollåtgärder. Kontrollbehovet kan bestå även efter det att en brottsmisstanke uppkommit, t.ex. om det är fråga om ett brott som inte primärt ska utredas av den kontrollerande myndigheten. Vid en kontroll kan, när brottsmisstanke uppkommit, föremål tas i beslag och användas som bevismedel i en brottsutredning. Det finns inget formellt hinder mot att de iakttagelser som gjorts vid en kontroll och att de handlingar eller föremål som säkrats senare läggs till grund för en förundersökning. Det är emellertid viktigt att det görs klart för den kontrollerade om så blir fallet. Utgångspunkten bör enligt utredningens mening vara att det är först när det i kontrollverksamhet finns anledning att anta att ett konkret brott har begåtts eller att någon utövar viss brottslig verksamhet som verksamheten övergår till att bli brottsbekämpande och ramlagen blir tillämplig.
Skattekontroll
En av Skatteverkets huvuduppgifter är att ansvara för frågor som gäller skatter och avgifter. Skatteverket utför skattekontroll bl.a. genom kontroll av deklarationer och genom skatterevisioner enligt skatteförfarandelagen (2011:1244). Skatteverket gör även kontrollbesök i vissa branscher där det finns krav på kassaregister och personalliggare. Skatteutredningar och brottsutredningar har olika syften och styrs av olika regelverk. Skatteverket skiljer organisatoriskt mellan beskattningsverksamheten och den brottsbekämpande verksamheten. Verket tillämpar redan i dag olika lagar om person-
Gränsdragningsfrågor SOU 2017:29
200
uppgiftsbehandling i beskattningsverksamheten och den brottsbekämpande verksamheten. Vid utredning och beslut om skattetillägg kan det dock uppstå gränsdragningsfrågor. Skattetillägg behandlas i avsnitt 8.3.3.
Tullkontroll
Tullverket ansvarar för att övervaka och kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor följs. Tullverket kontrollerar såväl yttre som inre gräns och har befogenhet att ingripa mot och utreda brott mot tullbestämmelser vid gränspassage. Tullverket har också till uppgift att fastställa och ta ut tullar, skatter och avgifter. Inom ramen för den verksamheten får Tullverkets tjänstemän utföra olika typer av kontroller. Tullverket tillämpar två olika regelverk vid personuppgiftsbehandling, ett för den brottsbekämpande verksamheten och ett för verksamheten effektiv handel.
Ibland kan det vara svårt att avgöra om en arbetsuppgift som Tullverket utför ligger inom eller utanför ramlagens tillämpningsområde. Ett skäl är att det ingår i Tullverkets uppdrag att beivra överträdelser av tullbestämmelser. Sådana överträdelser kan avse både administrativa tullbestämmelser och straffbestämmelser. Båda typerna av bestämmelser kan övervakas av samma tjänsteman. Åtgärderna kan dessutom sammanfalla i både tid och rum, t.ex. när någon stoppas för tullkontroll vid gränspassagen och ertappas med smuggelgods. Lagstiftningen skiljer inte heller alltid tydligt mellan verkets brottsbekämpande verksamhet och övriga verksamhet. Lagen (2000:1219) om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som har till syfte att förhindra, upptäcka, utreda eller beivra överträdelser av tullbestämmelser. Med det avses överträdelser av både tullbestämmelser och straffbestämmelser. Behandling av personuppgifter vid tillämpning av den lagen kan således i vissa fall ligga under ramlagens tillämpningsområde och i andra fall utanför.
Ett annat exempel på att det inte finns en helt tydlig gräns mellan kontrollverksamheten och brottsbekämpningen är tullagen (2016:253), som i allt väsentligt reglerar kontroll av administrativa tullbestämmelser. Enligt 4 kap. 18 § ska ett befordringsföretag an-
SOU 2017:29 Gränsdragningsfrågor
201
mäla till Tullverket om det i företagets verksamhet uppkommer misstanke om att en försändelse innehåller narkotika som kan tas i beslag enligt lagen (2000:1225) om straff för smuggling. I 4 kap. 22 § tullagen föreskrivs att en särskilt förordnad tjänsteman får besluta att en postförsändelse som kommer från tredjeland ska hållas kvar av postbefordringsföretaget, om det finns anledning att anta att försändelsen innehåller narkotika som kan tas i beslag enligt lagen om straff för smuggling. Då försändelserna normalt har en adressat innebär hanteringen också behandling av personuppgifter. Eftersom syftet är att försändelsen ska kunna tas i beslag ligger Tullverkets behandling av personuppgifter inom ramlagens tillämpningsområde. Detsamma gäller vid hantering av postförsändelser enligt 8 och 11 §§ lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen.
I 4 kap.50–53 §§tullagen finns bestämmelser om kontroll av kontanta medel. Alla som reser in i eller ut ur EU och medför kontanta medel till ett värde av minst 10 000 euro ska anmäla beloppet till behörig myndighet. Syftet med bestämmelserna är att kontrollera att resande fullgör den anmälningsplikt som föreskrivs i artikel 3 i förordning (EG) nr 1889/2005 av den 26 oktober 2005 om kontroller av kontanta medel som förs in i eller ut ur gemenskapen. Den som bryter mot anmälningsskyldigheten döms för tullförseelse enligt 5 kap. 2 § tullagen. Den behandling av personuppgifter som krävs för kontrollen och för anmälan om överträdelse ligger utanför ramlagens tillämpningsområde. Vid sådan personuppgiftsbehandling som krävs för utredning av förseelsen, som är straffbelagd, ska däremot ramlagen tillämpas.
Gränskontroll och utlänningskontroll
Polismyndigheten har enligt 9 kap. 1 § utlänningslagen ansvar för kontroll av personer enligt kodexen om Schengengränserna. Tullverket och Kustbevakningen är skyldiga att hjälpa Polismyndigheten vid sådan kontroll och Migrationsverket får efter överenskommelse hjälpa till vid kontrollen. Polismyndigheten ansvarar också för s.k. inre utlänningskontroll enligt 9 kap. 9 § utlänningslagen. Med det avses kontroll av om personer som redan befinner sig i Sverige har rätt att vistas här. Kustbevakningen ska medverka i så-
Gränsdragningsfrågor SOU 2017:29
202
dan kontrollverksamhet genom kontroll av och i anslutning till sjötrafiken. Vid utlänningskontroll kan brott upptäckas, t.ex. att någon vistas olovligt i landet eller använder en falsk handling. Då upprättas brottsanmälan (se avsnitt 8.2.1).
Gränskontroll kan ha olika syften. Frågor som rör migration, asyl, medborgarskap och liknande ligger utanför ramlagens tillämpningsområde. Samtidigt kan behandling av personuppgifter vid gränskontroll även ha betydelse för brottsbekämpningen, bl.a. av det skälet att vissa personer kan nekas inresa i landet på grund av att det finns risk att de kan komma att begå brott här (se 8 kap. 3 § första stycket 3 utlänningslagen). I sistnämnda fall ska ramlagen tillämpas.
Vid gränskontroll kan en tjänsteman samtidigt behandla samma personuppgift för två olika syften, varav det ena ligger inom ramlagens tillämpningsområde och det andra utanför. När en flygplatskontrollant kontrollerar en resandes pass eller annan resehandling vid inresa till Sverige innefattar det behandling av personuppgifter för flera syften samtidigt. Resehandlingen kontrolleras både med avseende på om personen i fråga har rätt att resa in till Sverige (innehav av giltigt pass eller annan resehandling, behov av visum etc.) och mot bl.a. SIS-registret som innehåller uppgifter om personer som är efterlysta för brott. Behandlingen av personuppgifter för den förstnämnda kontrollen görs för syften utanför ramlagens tilllämpningsområde, medan den sistnämnda ligger inom ramlagens tillämpningsområde. Någon motsvarande generell kontroll av uppgifter i SIS-registret förekommer inte vid inresa med annat färdmedel än flyg.
Det förhållandet att det vid viss gränskontroll också kontrolleras om personen är efterlyst innebär emellertid inte att gränskontroll generellt kan sägas vara brottsbekämpande eller vara ett led i upprätthållande av allmän ordning och säkerhet. Det är tvärtom för ett mycket litet antal personer både i den totala resandeströmmen över gränserna och vid den inre gränskontrollen som kontrollen också får betydelse från brottsbekämpningssynpunkt eller för att upprätthålla allmän ordning och säkerhet.
Mot den nu angivna bakgrunden anser utredningen att gränskontroll inte generellt kan hänföras till brottsbekämpning eller ordningshållning och därmed ligga under ramlagens tillämpningsområde. Det går dock inte heller att säga att den alltid ligger utan-
SOU 2017:29 Gränsdragningsfrågor
203
för tillämpningsområdet. Det krävs därför en bedömning av syftet med behandlingen av personuppgifter i det enskilda fallet för att avgöra vilket regelverk som ska tillämpas.
Utredningen kan ha anledning att återkomma till vissa gränsdragningsfrågor vid anpassningen av myndigheternas registerförfattningar.
8.2.11 Allmän övervakning eller brottsbekämpning?
Allmän övervakning
Det är framför allt Polismyndigheten och Kustbevakningen som ägnar sig åt något som ibland kallas allmän övervakning. Polismyndigheten gör det huvudsakligen på land och Kustbevakningen huvudsakligen till sjöss.
Allmän övervakning ska både vara trygghetsskapande och visa att samhällets representanter finns tillgängliga för allmänheten. För Polismyndighetens del anges övervakning som en av myndighetens huvuduppgifter i 2 § 2 polislagen. Allmän övervakning anses enligt förarbetena till polislagen omfatta stationstjänst, områdesövervakning, utryckningstjänst, speciell övervakning och objektövervakning men inte trafikövervakning. Allmän övervakning tar således sikte både på arbete inne på polisstationerna och ute bland allmänheten. Allmän övervakning inriktas främst på att genom närvaro uppnå största möjliga brottsförhindrande effekt. Det har inte ansetts möjligt att ge några närmare anvisningar för hur övervakning ska utföras och den medför inga särskilda befogenheter. Den syftar till att vaka över att allmän ordning och säkerhet inte störs genom brott eller angrepp på annat sätt och att myndigheten ska kunna ingripa när sådana störningar och angrepp ändå inträffar. Den allmänna övervakningen ska också skapa sådan beredskap att det är möjligt för Polismyndigheten att ingripa vid störningar eller när hjälp eller räddningsåtgärder är påkallade (Berggren m.fl. s. 40 f.). För trafikövervakning gäller i allt väsentligt detsamma. Trafikövervakning fokuserar på att trafiken ska flyta utan störningar, att trafikanternas beteenden inte ska avvika från vad som är tillåtet och att kunna ge stöd och hjälp om det inträffar olyckor.
Gränsdragningsfrågor SOU 2017:29
204
Kustbevakningens sjöövervakning är på motsvarande sätt allmänt inriktad och har samma grundläggande syften som Polismyndighetens.
Av skäl 26 framgår att de former av verksamhet som direktivet reglerar ska vara författningsreglerade. Regleringen av övervakning har inte så konkret utformning att den enligt utredningens mening kan hänföras till ramlagens tillämpningsområde (jfr skäl 33). Det ligger också i sakens natur att allmän övervakning sällan kräver behandling av personuppgifter. Det är först när sådan övervakning övergår i konkreta personkontroller, t.ex. när ett fordon stoppas för att föraren har betett sig på ett avvikande sätt, eller när en polisman eller annan tjänsteman med befogenheter att förhindra eller utreda konkreta brott eller ordningsstörningar ingriper, som personuppgifter behöver behandlas. Ramlagen blir då tillämplig.
Kameraövervakning
Kameraövervakningslagen (2013:460), som inte gäller vid hemlig kameraövervakning, reglerar inte bara sådan övervakning som utförs med fast monterade övervakningskameror, utan även behandlingen av det bild- och ljudmaterial som tagits upp vid sådan övervakning. Den gäller till övervägande del annat än brottsbekämpning men innehåller vissa regler för sådan verksamhet. Lagen är föremål för översyn (dir. 2015:125).
Det krävs enligt huvudregeln tillstånd för att en övervakningskamera ska få sättas upp så att den riktas mot en plats dit allmänheten har tillträde. Enligt 10 § 4 krävs inget tillstånd för Polismyndighetens automatiska hastighetsövervakning med övervakningskameror. Syftet med sådan övervakning är att kamerainspelningen ska avslöja den som bryter mot hastighetsbestämmelser. Vid behandling av personuppgifter i bildmaterialet ska därför ramlagen tillämpas.
Enligt 11 § första stycket 3 kameraövervakningslagen får Polismyndigheten eller Säkerhetspolisen bedriva kameraövervakning utan tillstånd under högst en månad, om det av särskild anledning finns risk för att allvarlig brottslighet som innebär fara för liv eller hälsa kommer att utövas på en viss plats eller för omfattande förstörelse av egendom och syftet med övervakningen är att förebygga
SOU 2017:29 Gränsdragningsfrågor
205
eller förhindra brott. Om ansökan om tillstånd görs inom månadsfristen, får övervakningen fortsätta till dess att frågan om tillstånd har prövats. I sådana fall tillämpas de vanliga reglerna om tillstånd till kameraövervakning. Vid behandling av personuppgifter från sådan kameraövervakning som nu avses är ramlagen tillämplig.
Vissa företag får sätta upp fast monterade kameror utan att det krävs tillstånd, om de anmäler kameraövervakningen till tillsynsmyndigheten. Sådana övervakningskameror får enligt 12 § finnas i en banklokal, hos ett kreditmarknadsföretag eller i ett postkontor. Kameror får också finnas omedelbart utanför in- och utgångar till sådana lokaler och vid uttagsautomater eller liknande anordningar. Enligt 13 § gäller motsvarande för kameraövervakning i en butikslokal. Enligt båda paragraferna ska det enda syftet med kameraövervakningen vara att förebygga, avslöja eller utreda brott. Enligt utredningens mening innebär rätten att ha kameror uppsatta för sådana ändamål inte att aktörerna i fråga kan anses vara behöriga myndigheter i ramlagens mening. I dessa fall har nämligen ingen myndighetsutövning överlåtits till dem. För deras behandling av personuppgifter gäller därför inte ramlagen.
Även andra företag, fastighetsägare eller personer kan ansöka om tillstånd till kameraövervakning av en viss byggnad eller plats under hänvisning till risken för brott. Det kan t.ex. gälla ett centrumföretag, en skola eller någon som bedriver verksamhet som underentreprenör till Migrationsverket. Det som har sagts om banker, kreditmarknadsföretag och postkontor om att ramlagen inte är tillämplig gäller även för nu aktuella företag m.fl.
Om en brottsbekämpande myndighet begär att få ta del av ett företags kamerainspelning eller tar den i beslag som ett led i en förundersökning är ramlagen däremot tillämplig på behandlingen av personuppgifter efter utlämnandet.
Gränsdragningsfrågor SOU 2017:29
206
8.3 Gränsdragningsfrågor som rör lagföring
8.3.1 Åklagaruppgifter
Allmänna åklagare
De allra flesta åklagaruppgifter ligger inom ramlagens tillämpningsområde. Det gäller både åklagares verksamhet som förundersökningsledare, deras beslut i åtalsfrågor och när de för talan i brottmålsfrågor inför domstol. Även vid åklagares handläggning av frågor som rör omvandling av straffrättsliga påföljder eller extraordinära rättsmedel ska ramlagen tillämpas. Gränsdragningsfrågor som rör särskild talan i brottmål behandlas i avsnitt 8.3.3, talan om vissa förbud i avsnitt 8.3.4 och personutredning i brottmål i avsnitt 8.3.5. I avsnitt 8.2.3 diskuteras vad som bör gälla vid utredning av brott som har begåtts av någon som är under 15 år.
Åklagare handlägger emellertid vissa frågor som inte anses utgöra ett led i att förebygga eller förhindra brottslig verksamhet eller i att utreda eller beivra brott (se prop. 2014/15:63 s. 68 f.). Till dessa frågor hör bl.a. talan enligt 3 § lagen (1985:277) om vissa bulvanförhållanden om tvångsförsäljning av fast egendom som förvärvats eller behålls genom bulvanförhållande, talan om äktenskapsskillnad enligt 5 kap. 5 § äktenskapsbalken, talan enligt 20 kap.13, 15 och 16 §§utlänningslagen, beslut enligt 2 § lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål och talan om hävande av registrering enligt vissa immaterialrättsliga lagar. Åklagare företräder också staten i mål om vattenföroreningsavgift enligt 9 kap. 5 § lagen (1980:424) om åtgärder mot förorening från fartyg. De flesta av dessa arbetsuppgifter ligger utanför ramlagens tillämpningsområde. Vid talan om särskild rättsverkan av brott som förs inom ramen för ett brottmål med stöd av reglerna i 20 kap. utlänningslagen bör dock enligt utredningens mening, av de skäl som anges i avsnitt 8.3.3, ramlagen tillämpas.
Särskilda åklagare
Både Justitiekanslern (JK) och i någon mån Riksdagens ombudsmän (JO) har vissa åklagaruppgifter. JK är ensam åklagare i mål om tryckfrihetsbrott (9 kap. 2 § tryckfrihetsförordningen) och yttran-
SOU 2017:29 Gränsdragningsfrågor
207
defrihetsbrott (7 kap. 1 § yttrandefrihetsgrundlagen). Både JK och JO får som särskild åklagare väcka åtal mot befattningshavare som står under deras tillsyn och som har begått brottslig gärning genom att åsidosätta vad som åligger honom eller henne i tjänsten eller uppdraget (se 5 § lagen [1975:1339] om justitiekanslerns tillsyn och 6 § lagen [1986:765] med instruktion för Riksdagens ombudsmän). Vid behandling av personuppgifter när de utreder brott eller utför andra åklagaruppgifter bör JK och JO tillämpa ramlagen.
Även inom Tullverket finns det vissa befattningshavare som utför åklagaruppgifter (se 32 § lagen om straff för smuggling). Det som nu har sagts gäller även för dem.
Regeringen
Regeringen utövar alltjämt vissa åklagaruppgifter. Det gäller framför allt i internationella förhållanden. I vissa fall får åtal inte väckas utan förordnande av regeringen (se bl.a. 2 kap.5 och 7 a §§brottsbalken). Regeringen prövar också enligt 4 kap. 30 § lagen om internationell rättslig hjälp i brottmål bl.a. om en person som är frihetsberövad i Sverige ska överföras till ett tredjeland för förhör eller rättegång i den andra staten eller om en person som är frihetsberövad i en sådan stat ska överföras till Sverige i motsvarande fall. Regeringen prövar vidare frågor om överförande av lagföring enligt lagen (1976:19) om internationellt samarbete rörande lagföring för brott och frågor om utlämning för brott.
När regeringen meddelar sådana förvaltningsbeslut som ligger inom ramlagens tillämpningsområde bör regeringen tillämpa ramlagen vid behandling av personuppgifter.
8.3.2 Brottmålshantering i domstol
Vid de allmänna domstolarna kommer all behandling av personuppgifter vid hantering av brottmål där åklagare för talan att ligga inom ramlagens tillämpningsområde. Det inkluderar handläggning av t.ex. tvångsmedelsfrågor, frågor om målsägandebiträde eller särskild företrädare för barn och andra frågor som prövas av domstol under förundersökningen (se exempelvis 23 kap.13, 14 och 19 §§, 24 kap. 5 § och 26 kap. 2 §rättegångsbalken). Domstols handlägg-
Gränsdragningsfrågor SOU 2017:29
208
ning av hemliga tvångsmedel under förundersökning hanteras som ärenden enligt rättegångsbalken. Detsamma gäller ärenden enligt lagen (2007:979) om åtgärder för att förhindra vissa särskilt allvarliga brott. Även då är ramlagen tillämplig.
På motsvarande sätt ska ramlagen tillämpas vid behandling av personuppgifter i allmän domstol vid handläggning av frågor som rör internationell rättslig hjälp i brottmål, utlämning, överlämnande enligt arresteringsorder, frysning och annat internationellt rättsligt samarbete i brottmål.
Gränsdragningsfrågor som rör särskild talan i brottmål behandlas i avsnitt 8.3.3, talan om vissa förbud i avsnitt 8.3.4 och personutredning i brottmål i avsnitt 8.3.5.
Exempel på talan som ligger utanför ramlagens tillämpningsområde är talan enligt lagen (1976:206) om felparkeringsavgift, eftersom överträdelser av sådana parkeringsbestämmelser inte är straffbelagda, och talan om ersättning enligt lagen (1998:714) om ersättning vid frihetsberövanden och andra tvångsåtgärder, eftersom det är en civilrättslig talan.
8.3.3 Särskild talan i brottmål
Av 1 kap. 8 § brottsbalken framgår att ett brott – utöver påföljden – kan föranleda förverkande, företagsbot eller annan särskild rättsverkan och skyldighet att betala skadestånd. Normalt för åklagare sådan talan och ansvarar för den utredning som krävs. Vissa typer av talan kan dock ibland föras av enskild part eller av en annan företrädare för staten än åklagare. I vissa fall kan talan avskiljas för att föras i särskild ordning. Åklagare kan också i brottmål föra viss talan som inte är en följd av brottet.
Talan om enskilt anspråk
Talan om enskilt anspråk i anledning av brott får enligt 22 kap. 1 § rättegångsbalken föras i samband med åtal för brottet. Åklagare är enligt 22 kap. 2 § rättegångsbalken skyldiga att i samband med åtal förbereda och utföra målsägandes talan om enskilt anspråk på grund av brott. Målsäganden kan dock välja att själv eller genom ombud föra sådan talan. Enskilda anspråk får, trots att det är fråga
SOU 2017:29 Gränsdragningsfrågor
209
om en civilrättslig talan, kumuleras med talan om ansvar för brottet. Om anspråket handläggs tillsammans med åtalet tillämpas i allt väsentligt de processuella reglerna om handläggning av brottmål. När talan förs enligt de processuella regler som gäller för talan om ansvar för brott rör det sig om frågor som är så intimt förknippade med varandra att vikten av en gemensam process enligt brottmålsreglerna ansetts väga över andra intressen. Då är enligt utredningens mening talan om enskilt anspråk så oupplösligt förenad med ansvarsfrågan att ramlagen bör tillämpas vid personuppgiftsbehandlingen. Det bör gälla även i de fall där enskild part för talan i brottmålet vid sidan av åklagaren.
Om talan däremot förs i ett särskilt mål, och rätten inte beslutar att behandla anspråket i samband med brottmålet, handläggs anspråket som ett tvistemål. Detsamma gäller om talan om enskilt anspråk från början har förts tillsammans med åtalet men därefter enligt 22 kap. 5 § rättegångsbalken har avskilts för särskild handläggning eller om målet har överklagats endast avseende det enskilda anspråket. I sådana fall är åklagaren inte längre behörig att föra målsägandens talan. Då ska ramlagen inte längre tillämpas vare sig av åklagaren eller domstolen.
Talan om särskild rättsverkan av brott
Förutsättningarna för särskild rättsverkan av brott utreds inom ramen för förundersökningen och talan förs i brottmålet av åklagaren. För talan om särskild rättsverkan gäller i allt väsentligt samma processuella regler som för brottmål men vissa särregler finns bl.a. i 36 kap. brottsbalken och i särskilda lagar om talan om förverkande. Vid utredning av och talan om särskild rättsverkan av brott bör ramlagen tillämpas, eftersom den frågan är integrerad i brottmålet och följer de processuella reglerna för handläggning av brottmål. Detsamma bör enligt utredningens mening gälla utredning av och talan enligt lagen (1974:1065) om visst stöldgods m.m., som har ett förverkandeliknande syfte.
Utvisning på grund av brott räknas också som särskild rättsverkan av brott. De materiella reglerna om utvisning finns i utlänningslagen. Utvisning på grund av brott beslutas enligt 8 a kap. 6 § av den domstol som handlägger brottmålet. När en domstol enligt
Gränsdragningsfrågor SOU 2017:29
210
34 kap. brottsbalken beslutar att ändra en påföljd som en utlänning har dömts till utöver utvisning, får enligt 8 a kap. 7 § utlänningslagen domstolen även meddela det beslut om utvisningen som förändringen av påföljd ger anledning till. Några särskilda processuella regler om handläggningen av utvisning på grund av brott finns inte. Ramlagen bör tillämpas vid sådan talan. Frågan om ramlagen ska tillämpas på den som är häktad för verkställighet av utvisning på grund av brott behandlas i avsnitt 8.2.5.
Talan om skattetillägg
Skattetillägg är en administrativ sanktion som kan riktas mot den som genom oriktig uppgift eller passivitet föranlett att skatt eller avgift inte påförts eller påförts med fel belopp. Nya regler om talan om skattetillägg har införts genom lagen (2015:632) om talan om skattetillägg i vissa fall.
I första hand är det Skatteverket som ska se till att skattetillägg beslutas och betalas. Om åklagare väcker åtal för brott enligt skattebrottslagen ska dock åklagaren, om förutsättningarna är uppfyllda, samtidigt föra talan om skattetillägg som rör samma handlande. Syftet är att undvika dubbelprövning, eftersom skattetillägg anses ha straffliknande karaktär. När åklagare för talan om skattetillägg i samband med åtal för brott mot skattebrottslagen görs utredningen om skattetillägg i form av förundersökning (4 och 5 §§ lagen om talan om skattetillägg i vissa fall). Under förundersökningen kan tjänstemän vid Skatteverkets skattebrottsenhet biträda åklagaren med utredning om såväl brottet som frågan om skattetilllägg. De materiella reglerna om skattetillägg i skatteförfarandelagen tillämpas även när talan förs i brottmålet (3 §), medan de processuella reglerna för brottmål tillämpas på talan. Skattetillägg får även beslutas av åklagare om han eller hon utfärdar strafföreläggande. Reglerna om rättegången i brottmål tillämpas i överinstans även om målet överklagas endast i fråga om skattetillägget, i motsats till vad som annars gäller (se Skattetillägg: Dubbelprövningsförbudet och andra rättssäkerhetsfrågor, prop. 2014/15:131, s. 179). Åklagaren behåller därmed sin behörighet att föra talan.
SOU 2017:29 Gränsdragningsfrågor
211
Om frågan om ansvar för skattebrott inte aktualiseras, vilket gäller det stora flertalet beslut om skattetillägg, prövas frågan om skattetillägg av Skatteverket (se prop. 2014/15:131 s. 74 f.).
Även om skattetillägg är en administrativ sanktion också då talan förs av åklagare är förfarandet så intimt förknippat med brottmålet att ramlagen enligt utredningens mening bör tillämpas vid behandlingen av personuppgifter hos Skatteverkets skattebrottsenhet, hos åklagare och i allmän domstol.
När frågan om skattetillägg handläggs i Skatteverkets beskattningsverksamhet har den däremot inte samband med brottmål. Därför bör enligt utredningens mening ramlagen inte tillämpas i de fallen, trots att skattetillägg anses ha en straffliknande funktion. Ramlagen är då inte heller tillämplig om allmän förvaltningsdomstol prövar frågan om skattetillägg.
Vid behandling av personuppgifter vid verkställighet av skattetillägg gäller inte ramlagen, eftersom det inte är fråga om en straffrättslig påföljd utan en administrativ sanktion. Det gäller oavsett vilken myndighet eller domstol som har beslutat om skattetillägget.
8.3.4 Talan om förbud i vissa fall
Allmänt om talan om förbud
Åklagare ansvarar för utredning, beslut och i förekommande fall talan vid domstol när det gäller vissa typer av förbud som har till syfte att förebygga och förhindra brott. För utredningen tillämpas i varierande utsträckning reglerna om förundersökning i brottmål. I vissa fall kan talan om sådana förbud föras tillsammans med talan om ansvar för brott, i andra fall förs talan separat.
Om någon bryter mot ett förbud av nu aktuellt slag och förfarandet är straffbart, gäller ramlagen för utredning, lagföring och verkställighet av straff på vanligt sätt.
Tillträdesförbud vid idrottsarrangemang, som främst har till syfte att hindra störningar av den allmänna ordningen, behandlas i avsnitt 8.5.2.
Gränsdragningsfrågor SOU 2017:29
212
Talan om kontaktförbud
Enligt 1 § lagen (1988:688) om kontaktförbud får sådant förbud meddelas om det på grund av särskilda omständigheter finns risk för att en person kommer att begå brott mot, förfölja eller på annat sätt allvarligt trakassera den som ska skyddas av förbudet. Vid bedömningen av risken ska det särskilt beaktas om den mot vilken förbudet avses gälla har begått brott mot någon persons liv, hälsa, frihet eller frid.
Åklagare ansvarar för den utredning som ska ligga till grund för beslut angående kontaktförbud och beslutar i fråga om sådana förbud. Reglerna om förundersökning i brottmål gäller i tillämpliga delar för utredningen. Den som har fått ett kontaktförbud och den som har ansökt om kontaktförbud men nekats det kan begära prövning i allmän domstol. Rätten kan då besluta om kontaktförbud. Talan om kontaktförbud kan även prövas tillsammans med åtal för brott enligt 22 § lagen om kontaktförbud. Då tillämpas reglerna om rättegången i brottmål. Lagen om kontaktförbud innehåller vissa processuella regler för handläggningen i domstol och i övrigt tillämpas lagen om domstolsärenden.
Ramlagen bör tillämpas vid behandling av personuppgifter i frågor som rör kontaktförbud enligt lagen om kontaktförbud. Det gäller även vid behandling av sådana uppgifter om den övervakades position vid elektronisk övervakning som avses i 26 och 27 §§.
Om däremot frågan väcks om ett kontaktförbud enligt 14 kap. 7 § äktenskapsbalken bör utfärdas, är det fråga om en civilrättslig talan och domstolens handläggning ligger då utanför ramlagens tilllämpningsområde. Skulle ett sådant kontaktförbud överträdas, tilllämpas dock lagen om kontaktförbud. Polismyndigheten, åklagare och domstol ska då hantera frågan om överträdelse som ett brottmål och tillämpa ramlagen.
Talan om rådgivningsförbud
Talan om rådgivningsförbud enligt lagen (1985:354) om förbud mot juridiskt eller ekonomiskt biträde i vissa fall förs av åklagare vid allmän domstol. Rådgivningsförbud får utfärdas när ett juridiskt eller ekonomiskt biträde har gjort sig skyldig till brott som inte är ringa. Utredningen görs i form av en förundersökning. För-
SOU 2017:29 Gränsdragningsfrågor
213
budet är konstruerat som en särskild rättsverkan av brott (propositionen om kontroll av rådgivare, m.m., prop. 1984/85:90, s. 25). Talan kan antingen föras inom ramen för ett mål där den som förbudet avses gälla är tilltalad för brott eller som en separat talan (prop. 1984/85:90 s. 39). För talan gäller det som är föreskrivet om mål om allmänt åtal, om det inte finns avvikande regler i lagen. Vid behandling av personuppgifter bör därmed ramlagen tillämpas.
Talan om näringsförbud
Den som grovt åsidosatt sina skyldigheter i näringsverksamhet och därvid gjort sig skyldig till brottslighet som inte är ringa, ska enligt 4 § lagen (2014:836) om näringsförbud meddelas näringsförbud om ett sådant förbud är påkallat från allmän synpunkt. Näringsförbud kan aktualiseras i fyra olika fall; på grund av brott, i samband med konkurs, på grund av underlåtenhet att betala skatt eller avgifter och på grund av överträdelse av konkurrensbestämmelser. Den som har meddelats näringsförbud får inte driva näringsverksamhet, faktiskt utöva ledningen av sådan verksamhet eller vara företrädare för vissa typer av juridiska personer.
Talan om näringsförbud förs i allmän domstol. Om inte annat är föreskrivet, gäller i fråga om utredningen och förfarandet i domstol det som är föreskrivet om mål som rör allmänt åtal. Talan om näringsförbud på grund av brott förs av åklagare enligt bestämmelserna om talan i brottmål.
Talan om näringsförbud i samband med konkurs eller på grund av underlåtenhet att betala skatt eller avgifter får föras av åklagare. Det görs normalt i samband med talan om ansvar för brott. Om så inte är fallet tillämpas lagen (1996:242) om domstolsärenden vid handläggningen.
Ramlagen bör tillämpas på sådan talan om näringsförbud som förs av åklagare. Det bör gälla oavsett om den förs i samband med åtal eller som en särskild talan. När talan förs i samband med åtal är frågan så intimt förknippad med brottmålet att ramlagen enligt utredningens mening bör tillämpas. I de fall där åklagare för särskild talan om näringsförbud hör det normalt samman med tidigare brottmål och därför bör av samma skäl ramlagen tillämpas även i de fallen.
Gränsdragningsfrågor SOU 2017:29
214
Om åklagaren avstår från att ansöka om näringsförbud, får i vissa fall Kronofogdemyndigheten ansöka om sådant förbud. Det är då som regel fråga om att någon har agerat grovt otillbörligt mot borgenärer eller på annat sätt åsidosatt sina skyldigheter i samband med konkurs eller underlåtit att betala skatter eller avgifter. Vid sådan talan bör ramlagen inte tillämpas, eftersom behandlingen av personuppgifter inte görs för något sådant syfte som anges i ramlagen. Kronofogdemyndigheten bör därför inte ses som en behörig myndighet i ramlagens mening vid talan om näringsförbud.
Talan om näringsförbud på grund av överträdelse av konkurrensbestämmelser förs av Konkurrensverket. Sådan talan ligger utanför ramlagens tillämpningsområde.
Kronofogdemyndigheten utövar tillsyn över att näringsförbud följs och Bolagsverket för register över näringsförbud och tillfälliga sådana förbud. Ramlagen ska inte tillämpas vid vare sig Kronofogdemyndighetens eller Bolagsverkets handläggning i nu aktuella avseenden.
8.3.5 Personutredning i brottmål
Kriminalvården
En av Kriminalvårdens huvuduppgifter är att enligt 1 § lagen om särskild personutredning i brottmål, m.m. genomföra sådan utredning om en misstänkts personliga förhållanden som krävs för att domstolen ska kunna avgöra påföljdsfrågan och att avge yttranden som belyser återfallsrisken. Domstolen beslutar att inhämta yttranden, men i vissa situationer får även åklagare besluta om det. Kriminalvården ska ombesörja den personutredning som behövs i det enskilda fallet och kan då även förordna en särskild personutredare. Om det behövs för personutredningen, och inte särskilda skäl talar mot det, har den som förordnats att göra personutredningen bl.a. rätt att ta del av material i förundersökningen. Både begäran om yttrande, yttranden och annan personutredning förutsätter normalt behandling av personuppgifter. Vid sådan behandling ska ramlagen tillämpas, eftersom personutredningen är ett led i lagföringen. Det bör även gälla i de fall där Kriminalvården anlitar någon utanför den egna organisationen för att genomföra personutredningen.
SOU 2017:29 Gränsdragningsfrågor
215
Rättsmedicinalverket och Socialstyrelsen
Om någon misstänks ha begått ett brott under inflytande av en allvarlig psykisk störning är påföljdsvalet begränsat (se 30 kap. 6 § brottsbalken). För att fastställa den misstänktes psykiska status krävs att personen har undersökts av psykiatrisk expertis. Rättsmedicinalverket ska bl.a. på uppdrag av domstol undersöka om en person har begått ett brott under påverkan av en allvarlig psykisk störning. Undersökningarna används för att utfärda läkarintyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. och utlåtande enligt 7 § lagen (1991:1137) om rättspsykiatrisk undersökning. Sådana intyg och utlåtanden används av domstolarna vid val av påföljd. Vid personuppgiftsbehandling för dessa syften bör Rättsmedicinalverket tillämpa ramlagen. Det bör även gälla den utredning i form av läkarintyg enligt 7 § lagen om särskild personutredning i brottmål, m.m. som görs av personer som är kontrakterade av Rättsmedicinalverket.
Det som nu har sagts bör också gälla vid Socialstyrelsens behandling av personuppgifter när styrelsen avger särskilda utlåtanden över rättspsykiatriska utlåtanden och andra intyg som är avsedda att bilda underlag för en domstols beslut om påföljd.
8.3.6 Behandling av uppgifter om lagöverträdelser
Myndigheter och andra aktörer som underrättas om domar och brottsbelastning
Mot bakgrund av att det i varierande utsträckning finns behov av att kunna behandla uppgifter om dömda och om brottmålsdomar i många olika verksamheter finns det detaljerade bestämmelser om i vilka fall allmänna domstolar ska skicka domar till myndigheter och andra. Bestämmelserna finns bl.a. i förordningen (1990:893) om underrättelse om dom i vissa brottmål, m.m. Förordningen reglerar även vissa underrättelser under rättegången. Det förhållandet att en dom eller ett beslut skickas till någon innebär visserligen att den som får domen eller beslutet kan komma att behandla personuppgifter om lagöverträdelser, men det medför inte att personuppgiftsbehandlingen ligger inom ramlagens tillämpningsområde. Behandlingen av personuppgifter görs oftast för andra syften än de
Gränsdragningsfrågor SOU 2017:29
216
som anges i ramlagen och de som behandlar uppgifterna har inte anförtrotts myndighetsutövning på ramlagens område. För sådan behandling gäller därmed inte ramlagen. Det gäller t.ex. Patent- och registreringsverkets skyldighet att föra register över förbud enligt lagen om förbud mot juridiskt eller ekonomiskt biträde i vissa fall.
Det nu sagda gäller dock inte om behandlingen av personuppgifter utgör ett led i brottsbekämpning, lagföring eller verkställighet av påföljd eller annan verksamhet som regleras i ramlagen och utförs av en behörig myndighet. Behandling av uppgifter i en dom som expedieras till Polismyndigheten för att den ska återlämna beslagtagen egendom eller sköta uppbörden av böter eller till Kriminalvården för att myndigheten ska verkställa påföljden är exempel på behandling inom ramlagens tillämpningsområde. Ett annat exempel är åklagarens personuppgiftsbehandling vid överväganden av om en dom ska överklagas.
Det finns ett utvecklat system i förordningen (1998:1134) om belastningsregister och förordningen (1998:1135) om misstankeregister för att skapa tillgång till uppgifter om brottmålsavgöranden och aktuella brottsmisstankar utanför rättsväsendet. Syftet är att tillgängliggöra sådana uppgifter i bl.a. anställningsärenden och tillståndsärenden, vid olika former av lämplighetsprövning och vid prövning av vissa andra frågor. Behandling av personuppgifter för sådana ändamål ligger utanför ramlagens tillämpningsområde. Det gäller både myndigheters och andra aktörers behandling av personuppgifter som härrör från utdrag ur belastningsregistret eller misstankeregistret. Det innebär att t.ex. Transportstyrelsens hantering av uppgifter om trafikbrott i vägtrafikregistret ligger utanför ramlagens tillämpningsområde.
Advokater och andra juridiska biträden
Advokater, målsägandebiträden och särskilda företrädare för barn hanterar i stor utsträckning personuppgifter om misstänkta, brottsoffer och andra som berörs av förundersökningar och brottmålsrättegångar och om personer som verkställer påföljder. Någon myndighetsutövning har emellertid inte överlåtits till dem och därmed är de inte behöriga myndigheter i ramlagens mening.
SOU 2017:29 Gränsdragningsfrågor
217
8.4 Gränsdragningsfrågor som rör verkställighet av påföljder
8.4.1 Verkställighet av fängelsestraff
Kriminalvården
En av Kriminalvårdens huvuduppgifter är att sköta verkställigheten av utdömda fängelsestraff. Enligt sin instruktion ska Kriminalvården även vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras. Båda dessa uppdrag ligger under ramlagens tillämpningsområde. Det säkerhetsarbete som Kriminalvården bedriver i syfte att säkerställa ordningen på anstalterna och att förhindra rymningar har så nära samband med verkställigheten av fängelsestraff att ramlagen enligt utredningens mening är tillämplig på behandlingen av personuppgifter.
Det är emellertid inte självklart att ramlagen är tillämplig vid all behandling av personuppgifter inom Kriminalvården. Som tidigare nämnts är det varken verksamheten i sig eller att myndigheten ska utföra en viss arbetsuppgift som avgör om ramlagen är tillämplig utan syftet med behandlingen av personuppgifter.
Den som avtjänar fängelsestraff är enligt 3 kap. 2 § fängelselagen skyldig att delta i den sysselsättning som Kriminalvården bestämmer. Den vanligaste sysselsättningen är arbete i anstalt. Undantag gäller bara för den som har ålderspension. Eftersom arbetet utgör ett led i verkställigheten av straffet bör ramlagen tillämpas på behandlingen av personuppgifter som rör intagna. Myndigheten får enligt 5 § förordningen med instruktion för Kriminalvården mot avgift tillhandahålla sådana produkter och tjänster som produceras huvudsakligen av intagna. Behandling av personuppgifter som rör kunder eller leverantörer eller den verksamheten i övrigt ligger utanför ramlagens tillämpningsområde.
Kriminalvården driver skolverksamhet på grundskole- och gymnasienivå inom anstaltsverksamheten. Myndigheten följer skollagen och annat regelverk på området och har rätt att utfärda betyg över avslutade studier. Kriminalvården får enligt 3 kap.1 och 2 §§fängelselagen bestämma att en intagen ska ha studier som sysselsättning. Någon åldersgräns gäller inte för sådan verksamhet. När studier är anvisad sysselsättning utgör de ett led i verkställigheten. Det som har sagts om behandling av personuppgifter när det gäller
Gränsdragningsfrågor SOU 2017:29
218
arbete i anstalt är relevant också för dessa studier, vilket innebär att ramlagen bör tillämpas på personuppgiftsbehandlingen.
I viss utsträckning kan intagna även anvisas studier vid universitet eller högskola. Sådana studier bedrivs på distans och utbildningsformer och examination bestäms av vederbörande läroanstalt, som också utfärdar betyg över avslutade studier. Kriminalvården erbjuder då enbart möjlighet att delta i en extern utbildning och underlättar för den intagne att delta i den genom att tillhandahålla nödvändig utrustning. Den personuppgiftsbehandling som utförs vid högskolan eller universitetet ligger utanför ramlagens tillämpningsområde. Detsamma bör enligt utredningens mening gälla för Kriminalvården när den behandlar personuppgifter i nu angivet syfte.
När ett fängelsestraff verkställs kan det också innefatta hälso- och sjukvård, inkluderande tandvård. Hälso- och sjukvården som bedrivs av Kriminalvården utgör inte en del av verkställigheten utan är en konsekvens av att den intagne genom frihetsberövandet saknar faktisk möjlighet att utnyttja den allmänna hälso- och sjukvården. Den hälso- och sjukvård som Kriminalvården bedriver anses sedan länge utgöra en särskild verksamhetsgren som är skild från den övriga verksamheten och för vilken särskilda regler gäller bl.a. i fråga om sekretess. Kriminalvården anses som vårdgivare i patientdatalagens (2008:355) mening när myndigheten tillhandahåller individinriktad hälso- och sjukvård för intagna (prop. 2007/08:126 s. 50 och 224). Eftersom hälso- och sjukvården inte utgör en del av verkställigheten bör ramlagen inte tillämpas på behandlingen av personuppgifter i den verksamheten.
Det bör understrykas att det som nu har sagts inte gäller sådan kontroll och provtagning som i vissa fall görs av läkare eller sjuksköterska under verkställigheten av straffet, t.ex. en intagens skyldighet att underkasta sig provtagning för drogkontroll enligt 8 kap. 6 § fängelselagen eller att genomgå läkarundersökning enligt 8 kap. 10 § fängelselagen när fängsel har använts. Eftersom sådana åtgärder ingår i verkställigheten, ska ramlagen tillämpas på personuppgiftsbehandlingen.
Kriminalvården behandlar i stor utsträckning uppgifter om personer som besöker eller på annat sätt har kontakt med de intagna. Den personuppgiftsbehandlingen utgör ett viktigt led i både verkställigheten (att underlätta den intagnes kontakter med anhöriga,
SOU 2017:29 Gränsdragningsfrågor
219
arbetsgivare och andra) och säkerhetsarbetet på anstalterna (att förhindra rymningar och att otillåtna föremål förs in på anstalterna). Sådan personuppgiftsbehandling ligger därför enligt utredningens mening under ramlagens tillämpningsområde.
I den senare delen av verkställigheten av fängelsestraff aktualiseras olika s.k. utslussningsåtgärder. Det rör sig om bl.a. vårdvistelse, vistelse i s.k. halvvägshus och frigång, vilket är olika former av verkställighet av fängelsestraff utanför anstalt. Vid vårdvistelse kan Kriminalvården placera en intagen på ett vårdhem som bedrivs i privat regi. De halvvägshus som finns i dag drivs dels i Kriminalvårdens regi, dels i privat regi. Vid vårdvistelse, vistelse i halvvägshus och under frigång pågår alltjämt verkställigheten av fängelsestraffet. Vid misskötsamhet kan den dömde återföras till anstalt för att avtjäna återstoden av straffet där. Kriminalvårdens behandling av personuppgifter i samband med sådana placeringar ingår därmed i verkställigheten, vilket innebär att ramlagen bör tillämpas på behandlingen av personuppgifter.
I Kriminalvårdens uppdrag vid verkställighet av påföljder ligger också att i stor utsträckning ha kontakter med andra myndigheter, i syfte att förbereda villkorlig frigivning och att motverka återfall i brott. Det gäller kontakter med bl.a. sociala myndigheter, arbetsgivare och Försäkringskassan. Det kan enligt utredningens mening ifrågasättas om förberedelserna för den intagnes liv efter verkställigheten ligger inom ramlagens tillämpningsområde. Ramlagen bör tillämpas i vart fall under tiden som den dömde har villkorlig frigivning, eftersom verkställigheten fortfarande pågår då.
Kriminalvården ansvarar också för verkställighet enligt lagen (1994:451) om intensivövervakning med elektronisk kontroll. Sådan övervakning ersätter i vissa fall verkställighet av fängelse i anstalt. Det som har sagts om verkställighet i anstalt gäller i tillämpliga delar för verkställighet enligt den nu aktuella lagen.
Privata vårdgivare
Frågan är om ramlagen även bör tillämpas på behandlingen av personuppgifter när den intagne i stället för att avtjäna straffet i anstalt har placerats på ett vårdhem som bedrivs i privat regi. Kriminalvården får förena ett beslut om utslussningsåtgärd med de villkor som
Gränsdragningsfrågor SOU 2017:29
220
behövs bl.a. för att Kriminalvården ska kunna utöva nödvändig kontroll och i det syftet även utnyttja elektroniska hjälpmedel. Den som har beviljats en utslussningsåtgärd har samma skyldighet som den som avtjänar fängelsestraff i anstalt att lämna prover för kontroll av påverkan av narkotika eller alkohol. Det sagda talar enligt utredningens mening för att viss myndighetsutövning överlåts till vårdgivaren under den tid som fängelsedömda verkställer resterande straff där. Därmed bör de som utför sådana vårdinsatser betraktas som behöriga myndigheter i ramlagens mening och tillämpa ramlagen vid behandlingen av personuppgifter.
Övervakningsnämnderna
Övervakningsnämnderna prövar, efter anmälan eller underställning av Kriminalvården, vissa frågor om verkställighet utanför anstalt enligt fängelselagen (se 13 kap. 3–5 §§) och lagen (1994:451) om intensivövervakning med elektronisk kontroll (se 15–19 §§). Nämndernas organisation och arbetsuppgifter regleras i förordningen (2007:1174) med instruktion för övervakningsnämnderna och deras verksamhetsområden i förordningen (1998:1318) om övervakningsnämndernas verksamhetsområden m.m. Kriminalvården sköter kanslifunktionen åt nämnderna och ger dem det underlag som behövs för prövningen. Nämnderna ska tillämpa ramlagen vid personuppgiftsbehandling som rör verkställighet av påföljder. Detsamma gäller för Kriminalvården när den biträder nämnderna.
Regeringen
I den mån regeringen meddelar förvaltningsbeslut som rör verkställighet av straffpåföljd, eller beslut i en sådan fråga överklagas till regeringen, bör regeringen tillämpa ramlagen vid behandlingen av personuppgifter (se t.ex. 7 kap. 11 § och 14 kap. 5 §fängelselagen). Detsamma bör gälla vid regeringens prövning av ansökningar om nåd i brottmål.
SOU 2017:29 Gränsdragningsfrågor
221
8.4.2 Verkställighet av sluten ungdomsvård
Om någon har begått brott innan han eller hon fyllt 18 år och rätten finner att påföljden bör bestämmas till fängelse ska rätten normalt enligt 32 kap. 5 § brottsbalken i stället döma till sluten ungdomsvård under viss tid, lägst 14 dagar och högst fyra år. Den som har dömts till sluten ungdomsvård ska placeras på ett särskilt ungdomshem. Statens institutionsstyrelse ansvarar enligt 3 § lagen (1998:603) om verkställighet av sluten ungdomsvård för verkställigheten. I den del av myndighetens verksamhet som avser verkställighet av sluten ungdomsvård ska ramlagen tillämpas, eftersom det är fråga om en straffrättslig påföljd.
8.4.3 Verkställighet av frivårdspåföljder
Kriminalvården
Kriminalvården ansvarar även för verkställigheten av skyddstillsyn. Skyddstillsyn kan förenas med andra åtgärder. Det kan vara böter, fängelse upp till tre månader, samhällstjänst eller särskild behandlingsplan. En dom på skyddstillsyn fortgår under tre år.
Den som döms till skyddstillsyn ska stå under övervakning åtminstone under ett år efter domen. Övervakningstiden kan förlängas i vissa fall, bl.a. om den dömde ska utföra samhällstjänst eller följa en särskild behandlingsplan eller om han eller hon missköter sig. Kriminalvården ansvarar för övervakningen av den dömde och ska genast när den får en dom med en frivårdspåföljd vidta de åtgärder som behövs för att övervakningen snabbt ska bli verkningsfull. Kriminalvården ska bl.a. utse övervakare, om inte rätten har gjort det i domen. Kriminalvården kan också byta övervakare. Kriminalvårdens uppgifter regleras huvudsakligen genom bestämmelser i förordningen (1998:642) om verkställighet av frivårdspåföljder.
När någon döms till villkorlig dom kan påföljden förenas med bl.a. föreskrift om samhällstjänst. Kriminalvården ansvarar för verkställigheten av samhällstjänsten men inte för verkställigheten av domen i övrigt.
När Kriminalvården behandlar personuppgifter för verkställighet av en frivårdspåföljd ska ramlagen tillämpas. Behandling av per-
Gränsdragningsfrågor SOU 2017:29
222
sonuppgifter vid åtgärder som ligger utanför straffverkställigheten, t.ex. kontakter med sociala myndigheter som enbart syftar till att förbättra den dömdes livsvillkor, ligger enligt utredningens mening normalt utanför ramlagens tillämpningsområde. Det kan dock inte uteslutas att behandlingen i ett enskilt fall kan ha ett syfte som gör lagen tillämplig.
Övervakningsnämnderna
Övervakningsnämnderna har även uppgifter som rör verkställigheten av skyddstillsyn (se 28 kap.5 a, 6, 7, 8 och 11 §§brottsbalken). Uppgifterna består främst i att bestämma längre övervakningstid än den som följer av 28 kap. 5 § andra stycket brottsbalken och att ingripa om den dömde inte fullgör sina skyldigheter enligt domen. Övervakningsnämnden får bl.a. besluta om föreskrifter som den dömde ska följa och att den dömde ska omhändertas i avvaktan på prövning av om påföljden ska undanröjas eller någon annan åtgärd ska vidtas. Eftersom det är frågor som rör verkställighet av påföljd ska ramlagen tillämpas.
Det som har sagts i avsnitt 8.4.1 om Kriminalvårdens medverkan är tillämpligt även på biträde till övervakningsnämnderna vid frågor som rör frivårdspåföljder.
8.4.4 Verkställighet av bötesstraff
Polismyndighetens uppbördsverksamhet
Enligt 1 § bötesverkställighetslagen (1979:189) verkställs bötesstraff genom antingen uppbörd eller indrivning. Uppbörd innebär att den bötfällde inom viss tid frivilligt betalar in beloppet till uppbördsmyndigheten. Som framgår av avsnitt 3.4.3 är Polismyndigheten uppbördsmyndighet. Uppbörden omfattar, förutom uppbörd av böter på grund av strafförelägganden och förelägganden av ordningsbot och allmän domstols dom eller beslut, även uppbörd av vissa viten och av sådan särskild rättsverkan av brott som innefattar betalningsskyldighet. Ramlagen är enligt utredningens mening tilllämplig på behandlingen av personuppgifter vid uppbörd av böter och särskild rättsverkan av brott.
SOU 2017:29 Gränsdragningsfrågor
223
Förvandling av bötesstraff till fängelse
Om böter inte betalas, lämnas fordran till Kronofogdemyndigheten för indrivning. Myndigheten ansvarar, som framgår av avsnitt 3.4.3, för indrivning av böter. De närmare reglerna finns, förutom i utsökningsbalken, i lagen (1993:891) om indrivning av statliga fordringar m.m.
Kronofogdemyndighetens indrivningsverksamhet bör enligt utredningens mening inte betraktas som verkställighet av en straffrättslig påföljd. Det är fråga om indrivning av en skuld till staten. I utsökningsförfarandet görs i princip ingen skillnad mellan olika typer av skulder till staten och i utsökningsärenden verkställs skulder både till det allmänna och till enskilda vid samma förrättning. Ramlagen bör därför inte tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens indrivning av bötesstraff (jfr dock prop. 2012/13:73 s. 61).
Om bötesbeloppet inte har betalats, t.ex. för att den dömde håller sig undan, kan bötesstraffet förvandlas till fängelse enligt ett särskilt förfarande. Enligt 17 § bötesverkställighetsförordningen (1979:197) ska Kronofogdemyndigheten, om det finns anledning att anta att böterna ska förvandlas, sända en redogörelse till åklagare. Redogörelsen utgör underlaget för åklagarens beslut i fråga om talan om förvandling av böterna ska väckas, men åklagaren kan besluta om ytterligare utredning och då begära biträde av Polismyndigheten. Talan om förvandling av böter till fängelse kan enligt 15 § bötesverkställighetslagen väckas om det är uppenbart att den bötfällde av tredska har underlåtit att betala böterna eller om förvandling annars av särskilda skäl är påkallad från allmän synpunkt. Talan väcks vid allmän domstol.
Eftersom förvandling av böter till fängelse är en ändring av en straffrättslig påföljd ska åklagaren och domstolen tillämpa ramlagen vid behandlingen av personuppgifter. Frågan är om Kronofogdemyndigheten, på grund av sina uppgifter enligt bötesverkställighetslagen och bötesverkställighetsförordningen, ska anses vara behörig myndighet såvitt gäller den arbetsuppgiften. Det skulle kunna hävdas att myndighetens redogörelse enligt 17 § bötesverkställighetsförordningen kan jämställas med en brottsanmälan. Den jämförelsen är dock inte rättvisande, eftersom åklagarens talan bygger på det underlag som Kronofogdemyndigheten har lämnat och
Gränsdragningsfrågor SOU 2017:29
224
myndigheten fortlöpande följer handläggningen hos åklagaren. Myndigheten är vidare skyldig att hålla åklagaren underrättad om förändringar beträffande skulden och att vid behov uppdatera uppgifterna i redogörelsen. Myndigheten har således en författningsenlig skyldighet att stödja åklagaren och bör därför, beträffande denna begränsade arbetsuppgift, betraktas som behörig myndighet i ramlagens mening.
8.4.5 Verkställighet av påföljder som innebär vård
Rättspsykiatrisk vård
Rättspsykiatrisk vård är en form av psykiatrisk tvångsvård som huvudsakligen aktualiseras för personer som verkställer påföljd eller är misstänkta för brott och lider av en allvarlig psykisk störning men motsätter sig psykiatrisk vård. Psykiatrisk tvångsvård i andra fall regleras i lagen om psykiatrisk tvångsvård, till vilken lagen om rättspsykiatrisk vård till stor del hänvisar.
Rättspsykiatrisk vård kan enligt 31 kap. 3 § brottsbalken förenas med beslut om särskild utskrivningsprövning. Har en dom på rättspsykiatrisk vård förenats med särskild utskrivningsprövning ska förvaltningsrätten, bl.a. när den prövar om vården ska upphöra eller om den dömde ska få vistas utanför sjukvårdsinrättningen, ge åklagare tillfälle att yttra sig innan beslut fattas.
Rättspsykiatrisk vård kan bedrivas både som sluten och öppen vård. Vården bedrivs enligt 6 § lagen om rättspsykiatrisk vård på en sjukvårdsinrättning som drivs av ett landsting. Sådan vård får också ges åt den som genomgår rättspsykiatrisk undersökning. Lagen om rättspsykiatrisk vård innehåller närmare bestämmelser om vården.
Rättspsykiatrisk vård är enligt 1 kap. 3 § patientdatalagen sådan individinriktad hälso- och sjukvård på vilken patientdatalagen är tillämplig. Lagen, som gäller utöver personuppgiftslagen, innehåller bl.a. bestämmelser om journalföring, ändamål med behandlingen, behandling av känsliga personuppgifter och enskildas rättigheter. I 2 § förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård finns det bestämmelser om patientförteckning och journaluppgifter som gäller utöver patientdatalagen.
All vård som bedrivs enligt lagen om rättspsykiatrisk vård kan hänföras till något av ramlagens områden brottsbekämpning, lag-
SOU 2017:29 Gränsdragningsfrågor
225
föring eller verkställighet av straff. Det innebär att ramlagen är tilllämplig på den behandling av personuppgifter som rör verkställigheten av påföljden eller frihetsberövandet. Frågan är då hur regleringen i patientdatalagen bör förhålla sig till regleringen i ramlagen. Socialdataskyddsutredningen (S 2016:05) har fått i uppdrag att analysera vilka konsekvenser dataskyddsförordningen medför för bl.a. patientdatalagen (dir. 2016:52). Utredningen avser att samråda med den utredningen om behovet av anpassning mellan lagstiftningarna.
Ungdomsvård, ungdomstjänst och vård av missbrukare
Även socialnämnderna verkställer i viss utsträckning straffrättsliga påföljder. När någon med stöd av 31 kap. 2 § brottsbalken överlämnas till vård enligt lagen (1988:870) om vård av missbrukare i vissa fall kan rätten överlämna till socialnämnden att anordna vården. Vidare kan den som är under 21 år dömas till ungdomsvård om han eller hon har särskilt behov av vård eller annan åtgärd enligt socialtjänstlagen (2001:453) eller lagen med särskilda bestämmelser om vård av unga. Den som är under 21 år kan i vissa fall dömas till ungdomstjänst enligt 32 kap. 2 § brottsbalken. Vård av nu aktuellt slag omfattas – när den har utdömts som påföljd för brott – av ramlagens tillämpningsområde.
8.4.6 Domstolsprövning av vissa verkställighetsfrågor
Allmän domstol prövar frågor om ändring av påföljd
Allmän domstol prövar olika frågor om ändring av straffrättslig påföljd. Det vanligaste är frågor om undanröjande av villkorlig dom enligt 27 kap. 6 § och undanröjande av skyddstillsyn enligt 28 kap. 8 § brottsbalken. Även talan enligt 38 kap.2 och 2 a §§brottsbalken om ändring av påföljd på grund av ändrade förutsättningar för påföljden förs i allmän domstol. Detsamma gäller talan om omvandling av fängelse på livstid till ett tidsbestämt straff.
På talan av åklagare prövar allmän domstol om utdömda böter, som inte har betalats, ska förvandlas till fängelse enligt 15–19 §§bötesverkställighetslagen. Allmän domstol prövar också frågor om
Gränsdragningsfrågor SOU 2017:29
226
resning, besvär över domvilla och andra extraordinära rättsmedel i brottmål.
Frågor av nu aktuellt slag rör verkställighet av straffrättsliga påföljder. Vid behandlingen av personuppgifter ska därför ramlagen tillämpas.
Allmän förvaltningsdomstol prövar andra verkställighetsfrågor
De allmänna förvaltningsdomstolarna prövar framför allt frågor som kan uppkomma under verkställighet av straffrättsliga påföljder och som ligger under ramlagens tillämpningsområde. Som exempel kan nämnas följande. I 38 kap. 14 § brottsbalken föreskrivs att Kriminalvårdens beslut om bl.a. uppskjuten villkorlig frigivning enligt 26 kap.6 och 7 §§brottsbalken får överklagas till allmän förvaltningsdomstol. Enligt 14 kap. 1 § fängelselagen överklagas Kriminalvårdens beslut enligt lagen till allmän förvaltningsdomstol. Detsamma gäller enligt 14 kap. 4 § vissa beslut av övervakningsnämnd. Enligt 7 kap. 3 § häkteslagen och 9 § lagen om intensivövervakning med elektronisk kontroll får Kriminalvårdens beslut överklagas till allmän förvaltningsdomstol.
I 18 § lagen om rättspsykiatrisk vård föreskrivs att vissa beslut enligt lagen får överklagas till allmän förvaltningsdomstol. Det gäller bl.a. vissa beslut om intagning för rättspsykiatrisk vård, beslut om avslag på begäran att vården ska upphöra och beslut om inskränkningar i kontakterna med omvärlden. Förvaltningsdomstol prövar också på begäran av chefsläkare om vårdtiden ska förlängas och frågor om särskild utskrivningsprövning.
Beslut av Statens institutionsstyrelse får enligt 23 § lagen om verkställighet av sluten ungdomsvård överklagas till allmän förvaltningsdomstol.
De allmänna förvaltningsdomstolarnas verksamhet när de prövar frågor som rör verkställighet av en straffrättslig påföljd ligger inom ramlagens tillämpningsområde.
SOU 2017:29 Gränsdragningsfrågor
227
8.5 Gränsdragningsfrågor som rör upprätthållande av allmän ordning och säkerhet
8.5.1 Tvångsingripanden vid ordningsstörningar
Ramlagen ska tillämpas på Polismyndighetens behandling av personuppgifter när allmän ordning och säkerhet ska upprätthållas. Befogenheterna att ingripa mot störningar finns bl.a. i 13–13 c §§polislagen. Enligt 13 § får en polisman avvisa eller avlägsna någon som genom sitt uppträdande stör den allmänna ordningen eller utgör en omedelbar fara för den. Detsamma gäller om det behövs för att avvärja en straffbelagd gärning. Om någon försöker tränga in på ett område eller i ett utrymme till vilket tillträde har förbjudits får en polisman enligt 13 a § avvisa eller avlägsna honom eller henne från platsen, när det är nödvändigt för att ordningen eller säkerheten ska kunna upprätthållas. Deltagare i vissa folksamlingar som genom sitt uppträdande stör den allmänna ordningen eller utgör en omedelbar fara för den får enligt 13 c § avvisas eller avlägsnas från ett område eller utrymme, om det är nödvändigt för att ordningen ska kunna upprätthållas. Åtgärder av nu aktuellt slag ska enligt 17 § polislagen protokolleras. Det som nu har sagts om Polismyndigheten gäller även när en annan behörig myndighet ingriper med stöd av dessa bestämmelser. I avsnitt 7.1.3 redovisas Kustbevakningens ordningshållande befogenheter.
Enligt 23 § polislagen får Polismyndigheten bl.a. stänga av, utrymma eller förbjuda tillträde till hus och vissa utrymmen eller meddela förbud mot trafik eller vidta vissa andra liknande åtgärder, om det anses finnas risk för något brott som innebär allvarlig farlig för liv eller hälsa eller omfattande förstörelse av egendom kommer att förövas. Paragrafen tillämpas exempelvis för att spärra av platser i samband med bombhot och andra liknande händelser som kan innebär allvarlig fara för allmänheten. Enligt 24 § polislagen får Polismyndigheten i samband med allvarliga störningar av den allmänna ordningen eller säkerheten förbjuda tillträde till visst område eller utrymme, om det är nödvändigt för att ordningen och säkerheten ska kunna upprätthållas. Det krävs en konkret risk för att sådana störningar ska uppstå. I brådskande fall får en polisman besluta om sådana åtgärder som regleras i 23 och 24 §§. Om det skulle vara aktuellt att behandla personuppgifter i samband med åtgärder enligt 23 eller 24 § polislagen bör ramlagen tillämpas.
Gränsdragningsfrågor SOU 2017:29
228
I 5 kap. ordningslagen (1993:1617) finns särskilda bestämmelser om ordningen och säkerheten vid vissa idrottsarrangemang. Där förbjuds bl.a. innehav och användning av pyrotekniska varor på en idrottsanläggning när idrottsarrangemang anordnas där utan tillstånd av Polismyndigheten. Enligt 5 kap. 4 § ordningslagen är det straffbelagt bl.a. att beträda spelplanen eller kasta in föremål där under pågående idrottsarrangemang. Behandling av personuppgifter vid ingripanden med stöd av 5 kap. ordningslagen ligger inom ramlagens tillämpningsområde, antingen för att Polismyndighetens åtgärder syftar till att säkra allmän ordning och säkerhet eller till att förebygga brott.
Ramlagen kommer däremot inte att vara tillämplig på Polismyndighetens förvaltningsbeslut i frågor om allmän ordning och säkerhet enligt ordningslagen. Om det emellertid vid en allmän sammankomst eller offentlig tillställning eller annan verksamhet som regleras i ordningslagen skulle uppstå oordning eller begås brott ska ramlagen tillämpas vid behandling av personuppgifter vid åtgärder för att stävja problemen. Det gäller oavsett vilken lagstiftning som ligger till grund för ingripandet.
Vissa andra bestämmelser i polislagen behandlas i avsnitt 8.5.5.
8.5.2 Tillträdesförbud vid idrottsarrangemang
Polismyndighetens, åklagares och allmän domstols handläggning
Enligt 1 § lagen (2005:321) om tillträdesförbud vid idrottsarrangemang får en person förbjudas att få tillträde till och vistas på inhägnad plats huvudsakligen avsedd för idrottsutövning när idrottsarrangemang anordnas på platsen. Det gäller även om allmänheten har tillträde till platsen. Ett tillträdesförbud får utfärdas om det på grund av särskilda omständigheter finns risk för att personen kommer att begå brott under idrottsarrangemang och brottet är ägnat att störa ordningen eller säkerheten där. Åklagare prövar frågor om tillträdesförbud på ansökan av den idrottsorganisation som står för idrottsarrangemanget eller av ett specialidrottsförbund eller efter anmälan av Polismyndigheten. Tillträdesförbud kan prövas av allmän domstol på begäran av den som ålagts förbudet. Genom att ramlagen även omfattar verksamhet som rör allmän ordning och säkerhet blir den tillämplig på all behandling av per-
SOU 2017:29 Gränsdragningsfrågor
229
sonuppgifter som utförs av en behörig myndighet med stöd av lagen om tillträdesförbud.
Enligt lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang ska Polismyndigheten föra ett särskilt register, tillträdesförbudsregistret, över de tillträdesförbud som har utfärdats. Polismyndighetens uppgifter enligt den lagen bör också omfattas av ramlagen.
Idrottsorganisationer och tillträdesförbud
Lagen om register över tillträdesförbud vid idrottsarrangemang ska även tillämpas av idrottsorganisationer när de behandlar uppgifter ur registret. En idrottsorganisation får enligt 7 § behandla uppgifter från tillträdesförbudsregistret om det behövs för att förebygga, förhindra eller upptäcka överträdelse av tillträdesförbud vid ett idrottsarrangemang som organisationen anordnar.
Idrottsorganisationer har enligt 6 § lagen om tillträdesförbud vid idrottsarrangemang möjlighet att skriftligen ansöka om att åklagare ska utfärda tillträdesförbud för en viss person. Organisationen betraktas som part i ett ärende om tillträdesförbud som initieras genom en sådan ansökan. Specialidrottsförbundet för den aktuella idrottsverksamheten har enligt 9 § ställning som part i ett ärende om tillträdesförbud som tas upp efter anmälan av Polismyndigheten.
Det förhållandet att en idrottsorganisation kan väcka frågor om tillträdesförbud och får partsställning i ärenden enligt lagen om tillträdesförbud vid idrottsarrangemang gör inte att organisationen bör betraktas som behörig myndighet i ramlagens mening. Det beror på att ingen myndighetsutövning har överlåtits till organisationen. Idrottsorganisationers behandling av personuppgifter i sådana ärenden eller av uppgifter som de fått från tillträdesförbudsregistret ligger därmed utanför ramlagens tillämpningsområde.
8.5.3 Militärpolisen
Militärpolisen, som tillhör Försvarsmakten, består av militär personal som har utbildats för polistjänst vid Försvarsmakten och anställda vid Polismyndigheten som enligt särskilda föreskrifter ställs
Gränsdragningsfrågor SOU 2017:29
230
till Försvarsmaktens förfogande. Militärpolisen ska enligt 1 § förordningen (1980:123) med reglemente för militärpolisen upprätthålla den allmänna ordningen och säkerheten inom Försvarsmakten och vid sådana övningar som Försvarsmakten genomför tillsammans med andra myndigheter. I uppgifterna ingår bl.a. att förebygga brott och hindra att ordningen och säkerheten störs genom brott eller på annat sätt, att avslöja brott och att vidta de åtgärder som behövs när ordningen och säkerheten störs på annat sätt än genom brott. En militärpolisman är, då han eller hon fullgör uppgifter enligt 1 §, att anse som polisman. Vid behandling av personuppgifter ska militärpolisen därmed tillämpa ramlagen.
8.5.4 Ordningsvakter och andra med likartade uppgifter
Ordningsvakter
Enligt 1 § lagen (1980:578) om ordningsvakter får ordningsvakter förordnas att medverka till att upprätthålla allmän ordning. Sådana förordnanden får enligt 2–2 b §§ avse bl.a. allmänna sammankomster, offentliga tillställningar, lokaler där alkoholdrycker serveras till allmänheten och säkerhetskontroller i domstol och vid offentliga sammanträden i kommuner och landsting. Av 6 § framgår att en ordningsvakt lyder under Polismyndigheten och av 7 § att han eller hon ska hålla myndigheten underrättad om förhållanden som rör verksamheten.
Om inte annat följer av förordnandet har en ordningsvakt enligt 29 § tredje stycket polislagen vissa polisiära befogenheter. En ordningsvakt får exempelvis avvisa eller avlägsna någon som stör den allmänna ordningen från ett område eller ett utrymme och får även under vissa förutsättningar omhänderta honom eller henne. Det är åtgärder som får direkta rättsverkningar för den enskilde, vilket innebär att de innefattar myndighetsutövning. Genom att ordningsvakter har anförtrotts myndighetsutövning är en ordningsvakt att anse som behörig myndighet enligt ramlagen. Den personuppgiftsbehandling som ordningsvakter utför när de utövar myndighet i syfte att upprätthålla allmän ordning omfattas därmed av ramlagens tillämpningsområde. Muntlig rapportering till en polisman omfattas dock inte (se avsnitt 7.1.6).
SOU 2017:29 Gränsdragningsfrågor
231
I avsnitt 8.2.8 redovisas reglerna om sjöfartsskydd och hamnskydd. De som förordnas att utföra uppgifter enligt de lagarna är som regel ordningsvakter. Som tidigare konstaterats ska ramlagen tillämpas vid personuppgiftsbehandling som utförs av behöriga myndigheter enligt de lagarna. Det gäller således även ordningsvakter. Det som nyss sagts om muntlig rapportering gäller även då.
Skyddsvakter
I skyddslagen (2010:305) finns bestämmelser om åtgärder till skydd för vissa byggnader, anläggningar och områden, s.k. skyddsobjekt. För bevakning av skyddsobjekt får polismän, militär personal eller särskilt anlitad personal, kallade skyddsvakter, anlitas. En skyddsvakt får bl.a. avvisa, avlägsna eller tillfälligt omhänderta en person inom eller invid ett skyddsobjekt, om personen överträder något förbud som gäller för skyddsobjektet. En skyddsvakt får också under vissa förutsättningar besluta om kroppsvisitation och om undersökning av fordon, fartyg eller luftfartyg. Vidare har en skyddsvakt inom skyddsobjektet och i dess närhet samma befogenheter som en polisman att gripa den som det finns skäl att anhålla för spioneri, sabotage, terroristbrott, grovt rån eller förberedelse till sådant brott samt att ta föremål i beslag. Den personuppgiftsbehandling som skyddsvakter utför när de utövar myndighet i nyss nämnda syften omfattas därmed av ramlagens tillämpningsområde. Vad som sagts i avsnittet om ordningsvakter om muntlig rapportering gäller även skyddsvakter.
Väktare
Med bevakningsföretag avses företag som yrkesmässigt åtar sig att för annans räkning bevaka bl.a. fastigheter, anläggningar, viss verksamhet, offentlig tillställning eller liknande, bevaka enskilda personer för deras skydd eller bevaka transporter av sedlar, mynt eller annan egendom. I lagen (1974:191) om bevakningsföretag finns bestämmelser om sådana företag, som ska vara auktoriserade och stå under tillsyn av en viss utpekad länsstyrelse. I lagen regleras också vad som gäller för den som är anställd i ett bevakningsföretag och som har till uppgift att utföra bevakningstjänst. Dessa kallas
Gränsdragningsfrågor SOU 2017:29
232
väktare. De har inte några befogenheter av det slag som en ordningsvakt eller skyddsvakt har och någon myndighetsutövning har inte anförtrotts dem. De ska därför inte tillämpa ramlagen, eftersom de inte är att anse som behöriga myndigheter.
Saken förhåller sig annorlunda i de fall där en väktare har getts ett förordnande att fullgöra arbetsuppgifter som normalt utförs av en offentliganställd inom ramlagens tillämpningsområde. Kriminalvården har getts möjlighet att anlita väktare för att fullgöra vissa arbetsuppgifter. Enligt 15 kap. 3 § fängelselagen får Kriminalvården förordna en väktare i ett auktoriserat bevakningsföretag att utföra vissa bevakningsuppdrag när en intagen ska vistas utanför anstalt. Om det finns särskilda skäl, får ett sådant förordnande även avse vissa bevakningsuppgifter inom en anstalt. En motsvarande reglering finns för Polismyndigheten i 23 a § polislagen, som föreskriver att myndigheten får meddela förordnande att vara bl.a. arrestantvakt för den som inte är anställd som sådan vid Polismyndigheten och inte heller är polisman. Ett förordnande som arrestantvakt får avse även bevakningsuppdrag utanför förvaringslokalen.
De uppdrag som reglerna i fängelselagen och polislagen avser medför att väktarna anförtros viss myndighetsutövning. Den personuppgiftsbehandling som en sådan väktare utför när han eller hon utövar myndighet inom Kriminalvården eller Polismyndigheten omfattas därmed av ramlagens tillämpningsområde i samma utsträckning som gäller för myndighetens anställda.
8.5.5 Lagstiftning av i huvudsak social karaktär
Lagen om förstörande av vissa hälsofarliga missbrukssubstanser
Lagen (2011:111) om förstörande av vissa hälsofarliga missbrukssubstanser ger Polismyndigheten och Tullverket möjlighet att ta om hand och förstöra vissa hälsofarliga missbrukssubstanser redan innan de har klassificerats som narkotika eller hälsofarlig vara. Om en sådan substans påträffas får den omhändertas i avvaktan på beslut om förstöring. Innehav av sådana substanser är inte kriminaliserat, men däremot får substansen förstöras efter särskilt beslut av åklagare. Lagstiftningen har framför allt ett hälsoperspektiv. Syftet är att få bort farliga substanser för att skydda enskildas liv och hälsa. Däremot är det inte fråga om att förebygga brott eller att
SOU 2017:29 Gränsdragningsfrågor
233
utföra någon annan arbetsuppgift som gör ramlagen tillämplig, eftersom innehav och annan hantering av substanserna i fråga inte är straffbar. Den personuppgiftsbehandling som kan förekomma vid handläggning enligt lagen ligger därmed utanför ramlagens tilllämpningsområde.
Lagen om omhändertagande av berusade personer
I lagen om omhändertagande av berusade personer m.m. ges polisen rätt att omhänderta den som anträffas så berusad av alkoholdrycker eller annat berusningsmedel att han eller hon inte kan ta hand om sig själv eller annars utgör en fara för sig själv eller för någon annan. Den omhändertagne ska ses till och vid behov ska han eller hon föras till sjukhus eller läkare tillkallas.
Syftet med lagen, som tillkom när fylleri avkriminaliserades, är främst att värna enskildas liv och hälsa. Det är ett syfte utanför ramlagens tillämpningsområde. Det ligger i sakens natur att den som är så berusad att ett omhändertagande enligt lagen aktualiseras också kan vara ordningsstörande. Finns det skäl att omhänderta någon både för ordningsstörning enligt 13 § polislagen och för berusning enligt lagen om omhändertagande av berusade personer, ska sistnämnda lag tillämpas (se 9 § lagen om omhändertagande av berusade personer m.m.). Lagstiftaren har alltså ansett att omhändertagande för ordningsstörning i dessa fall får stå tillbaka för omhändertagande på grund av berusning. Ramlagen ska därför inte tillämpas på personuppgiftsbehandling enligt lagen om omhändertagande av berusade personer m.m.
Vissa bestämmelser i polislagen
Enligt 12 § polislagen får en polisman omhänderta någon som kan antas vara under 18 år och som påträffas under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för hans eller hennes hälsa eller utveckling. Syftet med omhändertagandet är att den unge skyndsamt ska överlämnas till föräldrar eller annan vårdnadshavare eller till socialnämnden. Enligt 12 a § polislagen får en polisman omhänderta en person som det finns skälig anledning anta ska omhändertas med stöd av 13 § lagen om vård av missbru-
Gränsdragningsfrågor SOU 2017:29
234
kare och skyndsamt överlämna honom eller henne till sjukhus, om socialnämndens beslut om omhändertagande inte kan avvaktas med hänsyn till en överhängande eller allvarlig risk att personen kommer till skada. Dessa omhändertagandebestämmelser har ett socialt syfte och personuppgiftsbehandlingen ligger därmed utanför ramlagens tillämpningsområde.
Det som nu har sagts gäller också vid sådana omhändertaganden enligt 11 § polislagen som syftar till att bistå den som verkställer administrativa frihetsberövanden, t.ex. att omhänderta den som har rymt från psykiatrisk tvångsvård eller tvångsvård för missbrukare.
235
9 Principer för behandling av personuppgifter
9.1 Behandling för ändamål inom ramlagens tillämpningsområde
9.1.1 Förutsättningarna för att få behandla personuppgifter
Utredningens bedömning: I ramlagen bör det tas in bestäm-
melser som anger vilka rättsliga grunder för behandling av personuppgifter som är tillåtna.
Skälen för utredningens bedömning: Dataskyddsregleringen
utgår från att varje behandling av personuppgifter måste ha en rättslig grund för att vara laglig. Det är alltså endast om det finns en rättslig grund som personuppgifter överhuvudtaget får behandlas.
De tillåtna rättsliga grunderna anges i artikel 8.1. Personuppgifter får endast behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i vissa syften. För att uppfylla direktivets krav måste nationell rätt ange ramarna för när behandling av personuppgifter är tillåten. Den rättsliga grunden bör enligt skäl 33 vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. I ramlagen bör det därför tas in bestämmelser som anger vad som är tillåtna rättsliga grunder för behandling av personuppgifter.
Lagrådet har uttalat att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt i registerförfattningar (se Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, prop. 2004/05:164, s. 179). Någon särskild be-
Principer för behandling av personuppgifter SOU 2017:29
236
stämmelse om att sådan behandling är tillåten behövs därför inte i ramlagen.
Den omständigheten att det finns en rättslig grund innebär dock inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. De övriga krav som framgår av direktivet måste också vara uppfyllda för att behandling ska vara tillåten. Enligt artikel 4.1 b får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De personuppgifter som behandlas ska dessutom vara adekvata och relevanta i förhållande till det ändamålet. Om det är känsliga personuppgifter som behandlas måste ytterligare villkor i artikel 10 vara uppfyllda för att behandlingen ska vara tillåten.
I detta avsnitt behandlas kraven på rättslig grund och särskilda ändamål för behandlingen, medan kraven som ställs på de personuppgifter som behandlas tas upp i avsnitt 9.2.
9.1.2 Rättslig grund för behandling – huvudregeln
Utredningens förslag: Personuppgifter får behandlas om det är
nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift.
Skälen för utredningens förslag
När finns det rättslig grund för behandlingen?
Enligt artikel 8.1 är behandling av personuppgifter laglig endast om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en uppgift på grundval av unionsrätt eller nationell rätt i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder eller att skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten.
SOU 2017:29 Principer för behandling av personuppgifter
237
Tillämpningsområdet och den rättsliga grunden i direktivet korresponderar med varandra. Samma uttryckssätt som används för att avgränsa ramlagens tillämpningsområde bör därför användas i bestämmelsen om rättslig grund (se avsnitt 7.1.2 och 7.1.3). Det innebär att den arbetsuppgift som ska ligga till grund för personuppgiftsbehandlingen ska utföras av en behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Personuppgifsbehandlingen ska vara nödvändig för arbetsuppgiften och ha stöd i unionsrätt eller nationell rätt.
Nödvändighetsrekvisitet
Personuppgiftsbehandlingen ska vara nödvändig för att den behöriga myndigheten ska kunna utföra sina arbetsuppgifter. Enligt Svenska Akademiens Ordbok betyder ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. I unionsrätten har kravet på nödvändighet inte samma strikta innebörd. Artikel 7 i det nu gällande direktivet har inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att personuppgifter behandlas (se Integritet – Offentlighet – Informationsteknik, SOU 1997:39, s. 359). Den slutsatsen får stöd av ett avgörande av EU-domstolen i vilket domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser (dom av den 16 december 2008, Huber, C-524/06). Domen bör kunna utgöra stöd även för tolkningen av det nya direktivet. Ordet nödvändig bör därför tolkas som att det är fråga om något som behövs.
I ändamålsbestämmelserna i flertalet registerförfattningar inom ramlagens tillämpningsområde ställs det redan i dag krav på att behandlingen ska vara nödvändig. Där uttrycks det på det sättet att personuppgifter får behandlas om det behövs i vissa angivna fall. I bestämmelsen om rättslig grund i artikel 6.1 i dataskyddsförordningen anges att behandling är laglig om den är nödvändig i vissa angivna fall. Ordet nödvändigt bör därför användas i ramlagen. Per-
Principer för behandling av personuppgifter SOU 2017:29
238
sonuppgifter ska alltså få behandlas bara om det är nödvändigt för att utföra en arbetsuppgift i vissa syften.
I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna.
Stöd för behandlingen i unionsrätt eller nationell rätt
Den arbetsuppgift som den behöriga myndigheten ska utföra ska ha stöd i unionsrätt eller nationell rätt. Frågan är vad som avses med det. Det kan enligt utredningens mening inte vara personuppgiftsbehandlingen i sig som avses. Om så skulle vara fallet skulle de behöriga myndigheterna endast kunna behandla personuppgifter för att utföra sina arbetsuppgifter i den utsträckning det, utöver den reglering som fastställer arbetsuppgiften, också finns uttryckliga bestämmelser om att personuppgifter får behandlas för att utföra den arbetsuppgiften. Artikeln bör i stället tolkas så att personuppgiftsbehandlingen alltid ska ha stöd i den behöriga myndighetens arbetsuppgifter så som de kommer till uttryck i unionsrätten eller i nationell lagstiftning och andra för verksamheten bindande beslut om arbetsuppgifter. Det bör framgå av ramlagen.
Det kan hävdas att det inte behöver anges uttryckligen att arbetsuppgiften ska framgå av en unionsrättsakt, eftersom de enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen gäller här i landet med den verkan som följer av EU-fördragen. Utredningen anser dock att det blir tydligare om det framgår av bestämmelsen att arbetsuppgiften även kan ha sin grund i en unionsrättsakt.
En myndighets arbetsuppgifter styrs i huvudsak av dess instruktion, medan vilken personuppgiftsbehandling som kan aktualiseras inom ramlagens tillämpningsområde styrs av de materiella bestämmelserna för verksamheten. Inom ramlagens tillämpningsområde rör det sig framför allt om reglerna om utredning av brott, brottmålsprocess och straffverkställighet. Genom de författningar som reglerar den verksamhet i vilken personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna, är enligt utredningens mening kravet i direktivet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt uppfyllt.
SOU 2017:29 Principer för behandling av personuppgifter
239
Kravet på att arbetsuppgiften ska vara reglerad innebär att det inte är givet att en behörig myndighet får behandla personuppgifter när den utför en arbetsuppgift för ett syfte som ligger inom ramlagens tillämpningsområde, om det skulle saknas författningsstöd för uppgiften. Det bör särskilt uppmärksammas t.ex. om en myndighet påbörjar försöksverksamhet eller en ny form av myndighetssamverkan som kräver att personuppgifter behandlas.
9.1.3 Rättslig grund i undantagsfall för diarieföring och handläggning
Utredningens förslag: Personuppgifter får alltid behandlas om
det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Skälen för utredningens förslag: De myndigheter som ska tilläm-
pa ramlagen tar dagligen emot stora mängder information av vitt skilda slag, ofta i elektronisk form. De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen ska som huvudregel allmänna handlingar som kommit in till en myndighet registreras, dvs. diarieföras, så snart som möjligt. Syftet är bl.a. att garantera allmänhetens tillgång till allmänna handlingar. En myndighet måste därför alltid ha möjlighet att behandla personuppgifter för att diarieföra och handlägga inkommande anmälningar, ansökningar och liknande. Det gäller även i de fall där den behöriga myndigheten inte behöver behandla personuppgifterna för att utföra sina arbetsuppgifter (se prop. 2009/10:85 s. 112 f.). Det bör i ramlagen tydliggöras att det är en tillåten rättslig grund för behandling.
I skäl 16 finns det stöd för att ha en sådan bestämmelse om rättslig grund. Där uttalas nämligen att direktivet inte påverkar principen om allmänhetens rätt att få tillgång till allmänna handlingar.
Principer för behandling av personuppgifter SOU 2017:29
240
9.1.4 Skillnad mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser
Utredningens bedömning: Det bör göras tydligare skillnad
mellan bestämmelser om rättslig grund för behandling och ändamålsbestämmelser.
Skälen för utredningens bedömning
Dagens ändamålsbestämmelser
Bestämmelser om för vilka ändamål personuppgifter får behandlas har en central roll i registerförfattningar. Genom ändamålen sätts ramen för vilken behandling som är tillåten och på så sätt kan användning och spridning av personuppgifter begränsas.
I de behöriga myndigheternas registerförfattningar finns det särskilda ändamålsbestämmelser. Polismyndigheten får enligt 2 kap. 7 § polisdatalagen (2010:361) behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Motsvarande bestämmelser finns i 3 kap. 2 § kustbevakningsdatalagen (2012:145) och i 2 kap. 5 § åklagardatalagen (2015:433) och föreslås i tullbrottsdatalagen (se avsnitt 3.2.2). En liknande bestämmelse föreslås även i skattebrottsdatalagen (se avsnitt 3.2.4). Domstolarna får enligt 6 § domstolsdatalagen (2015:728) behandla personuppgifter om det behövs för handläggning av mål och ärenden. Enligt 3 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården får Kriminalvården behandla personuppgifter om det behövs för att myndigheten ska kunna fullgöra sina uppgifter i enlighet med vad som föreskrivs i lag eller förordning, underlätta tillgången till sådana uppgifter om verkställighet av påföljd eller häktning som rättsväsendets myndigheter behöver eller upprätthålla säkerheten och förebygga brott under den tid någon är bl.a. häktad eller verkställer påföljd.
Enligt 9 § första stycket c personuppgiftslagen (1998:204) får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Den bestämmelsen gäller för berörda myndigheter utom Tullverket, antingen genom att registerförfatt-
SOU 2017:29 Principer för behandling av personuppgifter
241
ningarna gäller utöver personuppgiftslagen och inte innehåller någon avvikande bestämmelse, eller genom att författningarna uttryckligen hänvisar till den. Den föreslås bli tillämplig även i Tullverkets brottsbekämpande verksamhet.
Informationshanteringsutredningen anser att det har skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilt bestämda ändamål och tillåtna rättsliga grunder för behandling. Det finns enligt den utredningen risk att tillämparen blandar samman ändamål med rättslig grund och godtar ett i författning bestämt allmänt ändamål som ett särskilt och tillräckligt preciserat ändamål och drar den felaktiga slutsatsen att personuppgiftslagens krav därmed är uppfyllda. Informationshanteringsutredningen anser att det skulle ge ett bättre integritetsskydd om personuppgiftsansvariga enbart vore hänvisade till att, utifrån de grundläggande kraven i 9 § första stycket c personuppgiftslagen, på eget ansvar formulera ändamål som är tillräckligt specifika för att ge ledning för vilka personuppgifter som är adekvata och inte för många för den aktuella behandlingen. Förslaget till myndighetsdatalag innehåller därför inga ändamålsbestämmelser och förutsätter inte heller att sådana ska finnas. I förslaget anges endast att personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet (se SOU 2015:39 s. 278 f.).
Förslaget har fått ett blandat mottagande. Vissa remissinstanser anser att ändamålsbestämmelser har betydelse för att göra det tydligt för enskilda inom vilka ramar myndigheter får samla in och behandla personuppgifter och menar att den föreslagna bestämmelsen är alltför vag. Andra är positiva till förslaget och framhåller att det förenklar bedömningen av vilken personuppgiftsbehandling som är tillåten.
Det bör göras skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser
Utredningen anser att det finns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. En sådan sammanblandning kan leda till att tillämparen förväxlar rättslig grund med ändamål och godtar ett i författning angivet allmänt ändamål
Principer för behandling av personuppgifter SOU 2017:29
242
som ett särskilt och tillräckligt preciserat ändamål. Det är därför viktigt att det görs tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser.
I avsnitt 9.1.2 föreslås att den arbetsuppgift som ligger till grund för personuppgiftsbehandlingen ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för viss arbetsuppgift. Det kan ifrågasättas om bestämmelser som exempelvis 2 kap. 7 § polisdatalagen, där det endast anges att Polismyndigheten får behandla personuppgifter för att utföra vissa av sina arbetsuppgifter, faktiskt är ändamålsbestämmelser eller om de i stället bör betraktas som en precisering av den rättsliga grunden. Man kan också fråga sig om det finns behov av att behålla den typen av bestämmelser när ramlagen innehåller en generell bestämmelse om rättslig grund.
Ingen av de behöriga myndigheterna har i dag en registerförfattning som gäller inom alla de verksamhetsområden som ramlagen omfattar. Utredningen anser att bestämmelser som tydliggör inom vilka ramar var och en av myndigheterna får behandla personuppgifter kan fylla en viktig funktion. Sådana bestämmelser innebär att lagstiftaren tvingas överväga behovet av reglering av personuppgiftsbehandlingen, om myndigheten tillförs nya arbetsuppgifter. Frågan om hur man ska se på de bestämmelser som i dag betecknas som primära ändamålsbestämmelser och om det finns behov av att anpassa dem kommer att behandlas i slutbetänkandet. Kravet på att det vid all behandling av personuppgifter ska finnas särskilda, uttryckligt angivna och berättigade ändamål för behandlingen påverkas inte av om det finns ändamålsbestämmelser.
9.1.5 Behandling bara för särskilda, uttryckligt angivna och berättigade ändamål
Utredningens förslag: Personuppgifter får behandlas bara för
särskilda, uttryckligt angivna och berättigade ändamål. Om det ändamål som personuppgifterna behandlas för inte framgår av sammanhanget eller på annat sätt, ska det tydliggöras genom en särskild upplysning.
SOU 2017:29 Principer för behandling av personuppgifter
243
Skälen för utredningens förslag
Behandling för särskilda, uttryckligt angivna och berättigade ändamål
I artikel 4.1 b i direktivet anges bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Liknande reglering finns i artikel 6.1 b i det nu gällande dataskyddsdirektivet, som har genomförts genom 9 § första stycket c personuppgiftslagen. En liknande bestämmelse bör tas in i ramlagen.
Att ändamålen ska vara särskilda innebär att de måste vara tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är adekvata och relevanta för den aktuella behandlingen och för att det ska kunna avgöras att inte för många uppgifter behandlas (se avsnitt 9.2.2). Något hinder mot att ange flera parallella ändamål för behandlingen finns inte. Ändamålen ska anges uttryckligen redan när personuppgifterna samlas in.
Att ändamålen ska vara berättigade innebär enligt utredningens mening en koppling till den rättsliga grunden. Personuppgifter får således inte behandlas för ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden. Kravet på att ändamålet för behandlingen ska vara berättigat kan också sägas innebära ett krav på att behandlingen ska vara förenlig med konstitutionella och andra rättsliga principer. Genom att det i stor utsträckning är reglerat vilken personuppgiftsbehandling som kan aktualiseras på området för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet har lagstiftaren redan tagit ställning till att personuppgiftsbehandlingen är berättigad i de fallen.
Det är dock inte bara när personuppgifter samlas in som det ska finnas ett särskilt, uttryckligt angivet och berättigat ändamål för behandlingen. Varje åtgärd som vidtas med insamlade uppgifter ska naturligtvis också uppfylla de kraven (jfr prop. 2009/10:85 s. 98). I ramlagen bör det därför tydliggöras att all behandling ska utföras för särskilda, uttryckligt angivna och berättigade ändamål.
Bestämmelsen tar sikte på ändamålen i det enskilda fallet som t.ex. förundersökningen om ett visst brott eller ärendet om förordnande av målsägandebiträde. I avsnitt 10.2.7 föreslås att ändamålen med behandlingen ska förtecknas i det register som myndigheten ska föra och i avsnitt 11.2.6 att den personuppgiftsansvarige ska tillhandahålla allmän information om ändamålen med behand-
Principer för behandling av personuppgifter SOU 2017:29
244
lingen. Det innebär inte att den personuppgiftsansvarige måste förteckna respektive lämna information om alla de enskilda fall där myndigheten behandlar personuppgifter. Det som avses är de typer av ändamål som myndigheten behandlar personuppgifter för. Som exempel kan nämnas att Polismyndigheten behandlar personuppgifter bl.a. för att ta emot anmälningar om brott, genomföra förundersökningar, verkställa uppbörd av bötesstraff och dokumentera ingripanden vid ordningsstörningar och att Kriminalvården behandlar personuppgifter för att verkställa olika straffrättsliga påföljder och hantera vissa andra frihetsberövanden.
I artikel 8.2 anges att nationell rätt åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Uttrycken syftet med behandlingen och behandlingens ändamål används ofta synonymt när man diskuterar personuppgiftsbehandling. Frågan är om det finns någon saklig skillnad mellan uttrycken. I den engelska språkversionen av direktivet används uttrycken ”objectives of processing” och ”purposes of the processing”. Orden objectives och purposes är också synonymer. Användningen av obestämd form i det första uttrycket men bestämd form i det senare kan tolkas som att det första uttrycket avser bestämmelser om rättslig grund (brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet), medan det andra avser ändamålen för behandlingen i det enskilda fallet. Om någon skillnad är avsedd är det enligt utredningens mening den enda rimliga tolkningen.
Den föreslagna generella bestämmelsen om rättslig grund i ramlagen, tillsammans med bestämmelsen om att personuppgifter ska behandlas för särskilda, uttryckligt angivna och berättigade ändamål, får därmed anses uppfylla kraven i direktivet på hur regleringen ska vara utformad. Frågan om det bör regleras vilka personuppgifter som får behandlas diskuteras i avsnitt 9.2.5.
Ändamålen ska framgå
En särskild fråga är vad som avses med att ändamålen ska vara uttryckligt angivna. Det finns i dag inget generellt krav på att ändamålsbestämningen ska dokumenteras. Enligt 3 kap. 3 § polisdatalagen och 4 kap. 2 § kustbevakningsdatalagen ska det dock genom
SOU 2017:29 Principer för behandling av personuppgifter
245
en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifter som har gjorts gemensamt tillgängliga behandlas. Bestämmelserna tillkom i samband med att möjligheten att göra uppgifter gemensamt tillgängliga reglerades. Syftet är att ge den som söker information motsvarande upplysningar som han eller hon skulle ha fått om uppgifterna hade behandlats i traditionella register. Motsvarande föreslås gälla för Tullverkets och Skatteverkets brottsbekämpande verksamhet.
Oftast framgår det av sammanhanget för vilket ändamål personuppgifter behandlas (t.ex. för förundersökningen om ett visst brott, handläggningen av ett visst mål eller ärende eller verkställigheten av ett visst straff). Behovet av att upplysa om för vilka ändamål personuppgifter behandlas gör sig framför allt gällande i den del av den brottsbekämpande verksamheten där det långtifrån alltid framgår av omständigheterna för vilket ändamål uppgifter behandlas. Det bör finnas möjlighet att kunna kontrollera för vilket eller vilka ändamål personuppgifter behandlas oavsett i vilken verksamhet det görs. Det underlättar både för den enskilde och för tillsynsmyndigheten om ändamålet är tydligt. Om det ändamål för vilket personuppgifter behandlas inte framgår av sammanhanget eller på annat sätt bör det därför tydliggöras genom en särskild upplysning. En bestämmelse om det bör tas in i ramlagen.
Det krav på att ändamålet för behandlingen ska framgå som gäller för några av de behöriga myndigheterna omfattar bara uppgifter som har gjorts gemensamt tillgängliga. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga (se t.ex. 3 kap. 1 § polisdatalagen). Om uppgifter behandlas av en liten, klart avgränsad grupp vet de inblandade personerna som regel varifrån uppgifterna kommer och varför de behandlas. I de fallen framgår det alltså normalt av sammanhanget för vilket ändamål personuppgifter behandlas. Det vore orimligt att då ställa upp ett krav på att ändamålet ska nedtecknas. Det finns därför skäl att göra undantag från kravet på särskild upplysning för uppgifter som inte har gjorts gemensamt tillgängliga. Utredningen återkommer till det i slutbetänkandet.
Principer för behandling av personuppgifter SOU 2017:29
246
9.1.6 Behandling för nya ändamål
Utredningens förslag: Innan personuppgifter får behandlas för
ett nytt ändamål inom ramlagens tillämpningsområde ska det säkerställas att 1. det finns en tillåten rättslig grund för den nya behandlingen,
och 2. behandlingen är nödvändig och proportionerlig för det nya
ändamålet.
Skälen för utredningens förslag
Nya ändamål inom ramlagens tillämpningsområde
Som framgår av avsnitt 7.1.1 gäller dataskyddsförordningen för all personuppgiftsbehandling som omfattas av unionsrätt men som inte ligger inom ramlagens tillämpningsområde. En behörig myndighet måste därför alltid avgöra om ändamålen med behandlingen av personuppgifter omfattas av ramlagens tillämpningsområde, oavsett om det är första gången en uppgift behandlas eller om den ska behandlas för nya ändamål. I detta avsnitt diskuteras behandling för nya ändamål inom ramlagens tillämpningsområde. Behandling för ändamål utanför ramlagens tillämpningsområde diskuteras i avsnitt 9.6.
Nuvarande reglering av behandling för nya ändamål
I 9 § första stycket d personuppgiftslagen finns en generell bestämmelse om vidarebehandling. Där regleras finalitetsprincipen, enligt vilken personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Bestämmelsen gäller för alla myndigheter i rättskedjan utom Tullverket, antingen genom uttryckliga hänvisningar i registerförfattningarna eller för att registerförfattningarna gäller utöver personuppgiftslagen och inte innehåller någon avvikande bestämmelse. Enligt förslaget till tullbrottsdatalag ska bestämmelsen bli tillämplig även i Tullverkets brottsbekämpande verksamhet.
SOU 2017:29 Principer för behandling av personuppgifter
247
Flera av myndigheternas registerförfattningar innehåller särskilda regler om vidarebehandling. I s.k. sekundära ändamålsbestämmelser regleras när det är tillåtet att behandla personuppgifter för att tillhandahålla information till andra myndigheter eller andra verksamheter inom myndigheten. En sådan bestämmelse är 2 kap. 6 § åklagardatalagen, som föreskriver att personuppgifter som behandlas i åklagarväsendets operativa verksamhet även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten, Säkerhetspolisen, Tullverket, Kustbevakningen och Skatteverket eller en utländsk myndighet, ett EU-organ eller en mellanfolklig organisation. I ett enskilt fall får personuppgifter även behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Syftet med de sekundära ändamålsbestämmelserna är att underlätta för tillämparen. Han eller hon behöver endast avgöra om det är nödvändigt att lämna information som behövs i en annan brottsbekämpande myndighets verksamhet men tvingas inte att i de situationer som anges i den sekundära ändamålsbestämmelsen avgöra om utlämnandet är förenligt med det ursprungliga ändamålet med personuppgiftsbehandlingen.
Behandling för nya ändamål inom ramlagens tillämpningsområde är förenlig med det ursprungliga ändamålet
I artikel 4.1 b regleras finalitetsprincipen, enligt vilken personuppgifter inte får behandlas på ett sätt som står i strid med de ändamål som uppgifterna samlades in för. Samtidigt framgår det av artikel 4.2 att behandling för andra ändamål inom direktivets tillämpningsområde än det för vilket personuppgifterna samlades in ska tillåtas, om den personuppgiftsansvarige enligt unionsrätten eller nationell rätt är bemyndigad att behandla personuppgifter för ett sådant ändamål och behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten eller nationell rätt. Det måste enligt utredningens mening innebära att all behandling för ändamål som ligger inom direktivets tillämpningsområde ska anses vara förenlig med insamlingsändamålen, under förutsättning att behandlingen är nödvändig och står i pro-
Principer för behandling av personuppgifter SOU 2017:29
248
portion till det nya ändamålet. Det saknar alltså betydelse om det är den personuppgiftsansvarige som ursprungligen samlat in personuppgifterna som utför behandlingen för det nya ändamålet eller om det är en annan personuppgiftsansvarig, så länge de båda är behöriga myndigheter och behandlingen ligger inom direktivets tillämpningsområde. Även behandling för att lämna ut personuppgifter till någon som inte är en behörig myndighet kan omfattas av direktivet, om ändamålet för den behandlingen ligger inom direktivets tillämpningsområde. Så kan vara fallet exempelvis om Polismyndigheten vid utredningen av ett bidragsbrott behöver skicka personuppgifter till Centrala studiestödsnämnden för att få information för utredningen av brottet. Om utlämnandet däremot enbart görs för att Centrala studiestödsnämnden ska kunna återkräva felaktigt utbetalda lån eller bidrag ligger ändamålet utanför ramlagens tilllämpningsområde.
Frågan är om det, trots att ny behandling alltid är tillåten om den utförs av en behörig myndighet för ett ändamål inom ramlagens tillämpningsområde, ändå finns skäl att reglera finalitetsprincipen i ramlagen. Det kan hävdas att en sådan reglering krävs för att genomföra direktivet på ett korrekt sätt, eftersom finalitetsprincipen finns uttryckt i direktivet. För att tydliggöra att någon prövning mot det ursprungliga ändamålet för behandling inte behöver göras så länge ramlagen är tillämplig, skulle en reglering av finalitetsprincipen behöva kompletteras med en bestämmelse som klargör att all behandling inom ramlagens tillämpningsområde är förenlig med ursprungsändamålet. En sådan reglering framstår enligt utredningens mening som meningslös och riskerar dessutom att skapa osäkerhet om finalitetsprincipen ska tillämpas eller inte. Det bör därför inte finnas någon bestämmelse om finalitetsprincipen i ramlagen.
När personuppgifter behandlas för nya ändamål brukar man tala om vidarebehandling. Uttrycket vidarebehandling är kopplat till finalitetsprincipen och den prövning som görs mot ursprungsändamålen. Eftersom någon sådan prövning inte ska göras vid behandling för nya ändamål inom ramlagens tillämpningsområde bör termen vidarebehandling inte användas för sådan behandling.
SOU 2017:29 Principer för behandling av personuppgifter
249
Behandling för nya ändamål förutsätter en annan prövning
Som framgår av avsnitt 9.1.2 och 9.1.5 ska det alltid finnas en rättslig grund och särskilda, uttryckligt angivna och berättigade ändamål för den personuppgiftsbehandling som utförs. Ändamålen har framför allt betydelse för att kunna kontrollera att de personuppgifter som behandlas är relevanta och adekvata för behandlingen och att inte för många personuppgifter behandlas (se avsnitt 9.2.2). Det är dock inte tillräckligt att kontrollera om personuppgifterna är adekvata och relevanta enbart när behandlingen påbörjas, utan det måste göras kontinuerligt. Finns det inte längre behov av att behandla personuppgifterna ska behandlingen av dem upphöra (se avsnitt 9.3.2).
Om personuppgifter behandlas för nya ändamål kan det leda till ökad spridning av uppgifterna genom att fler får tillgång till dem. Det kan också leda till att uppgifterna behandlas under längre tid än vad som var avsett från början. Behandling för nya ändamål kan därmed medföra ökat intrång i enskildas personliga integritet. Det är därför viktigt att en noggrann prövning görs innan personuppgifter behandlas för ett nytt ändamål.
Enligt artikel 4.2 får personuppgifter behandlas för ett nytt ändamål om behandlingen är nödvändig och står i proportion till det nya ändamålet. Det innebär att det behöver prövas om behandlingen är nödvändig och proportionerlig för det nya ändamålet innan behandlingen påbörjas. Det är enligt utredningens mening en annan prövning än den som ska göras fortlöpande vid all personuppgiftsbehandling. För att tydliggöra att det är en särskild prövning som krävs när personuppgifter ska behandlas för nya ändamål bör det tas in en bestämmelse i ramlagen som anger under vilka förutsättningar behandling för nya ändamål inom lagens tillämpningsområde är tillåten.
Det ska finnas en tillåten rättslig grund för den nya behandlingen
Artikel 4.2 är inte utformad på samma sätt som artikel 8.1, där den tillåtna rättsliga grunden för behandling regleras. Artiklarna innehåller dock enligt utredningens mening i grunden samma krav. Eftersom det alltid måste finnas en tillåten rättslig grund för behandling av personuppgifter gäller det naturligtvis även vid behand-
Principer för behandling av personuppgifter SOU 2017:29
250
ling för nya ändamål. En första förutsättning för att behandling för ett nytt ändamål ska vara tillåten bör därför vara att det finns en tillåten rättslig grund för den nya behandlingen. Det krävs alltså att den nya behandlingen är nödvändig för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Ett vanligt exempel är att det vid utredningen av ett brott upptäcks att brottet i fråga har betydelse för underrättelseverksamhet om annan brottslighet, t.ex. att vapen påträffas som skulle kunna ha samband med andra händelser. Ett annat exempel är att ett rutinmässigt dna-prov leder till att det blir träff på ett annat brott med tidigare okänd gärningsman. Arkiverade personuppgifter kan också behöva behandlas om det kommer fram nya omständigheter som gör att en nedlagd brottsutredning bör tas upp på nytt.
Kravet på nödvändighet
För att behandling för ett nytt ändamål ska vara tillåten ska den också vara nödvändig för det nya ändamålet. I bedömningen av om det finns en tillåten rättslig grund för behandling ingår överväganden om behandlingen är nödvändig för att en behörig myndighet ska kunna utföra vissa angivna arbetsuppgifter (se avsnitt 9.1.2). Det är inte klart om kravet på nödvändighet i artikel 4.2 innebär något annat än det krav som ingår i bedömningen av om det finns rättslig grund för behandlingen. För en åklagare kan det t.ex. vara nödvändigt att behandla personuppgifter både i en förundersökning om ett visst brott och för att ta ställning till om ett nyupptäckt brott behöver utredas. Det innebär att det finns en rättslig grund för att behandla personuppgifter för att avgöra frågan om förundersökning ska påbörjas om det nya brottet. Behandlingen av personuppgifter är också nödvändig för det ändamålet, eftersom åklagaren bl.a. ska ta ställning till om det nya brottet skulle påverka påföljden och då behöver inhämta information om personens samlade brottsbelastning.
Även om resultatet av bedömningarna av om behandlingen är nödvändig i de allra flesta fall blir detsamma går det inte att utesluta att resultaten någon gång blir olika. Man kan tänka sig att det vid
SOU 2017:29 Principer för behandling av personuppgifter
251
utredningen av ett visst brott upptäcks nya brott men att de är begångna utomlands. Det finns då i och för sig rättslig grund för att behandla personuppgifter för att utreda brotten. I och med att brotten är begångna utomlands är det dock inte alltid nödvändigt att göra det. Eftersom direktivet ställer upp ett krav på nödvändighet både när det gäller rättslig grund och när det gäller behandling för nya ändamål anser utredningen att bestämmelsen om behandling för nya ändamål bör innehålla ett nödvändighetsrekvisit.
Kravet på proportionalitet
Direktivet ställer även krav på att behandling för ett nytt ändamål ska stå i proportion till det nya ändamålet. Att det ska göras en proportionalitetsbedömning för att behandling för ett nytt ändamål ska vara tillåten är en nyhet.
Kravet på proportionalitet innebär enligt utredningens mening att skälen för den nya behandlingen ska väga tyngre än det intrång som behandlingen innebär för den enskilde. Vad som står att vinna med behandlingen ska alltså vägas mot intrånget i enskildas integritet. Om det har inträffat ett allvarligt brott behöver Polismyndigheten t.ex. göra sökningar i olika register där det förekommer uppgifter om personer som kan ha begått likartade brott tidigare. En sådan sökning innebär naturligtvis att en bredare krets av registrerade kan drabbas av intrång än om man redan har en utpekad misstänkt. Proportionalitetsbedömningen ska inte göras i förhållande till varje enskild uppgift i registren, utan behovet av sökningen ska vägas mot det samlade intrånget av att sökningen görs.
För proportionalitetsbedömningen har det också betydelse vilka personuppgifter det är fråga om och i vilken verksamhet de används. Att behandla en adressuppgift för nya ändamål är t.ex. generellt sett mer harmlöst än att behandla en uppgift som rör hälsa eller sexualliv.
Det kan vara särskilt svårt att bedöma om det är proportionerligt att använda information från exempelvis förundersökningar för underrättelseverksamhet eller brottsförebyggande arbete, eftersom sådan verksamhet till sin natur inte är lika konkret. Det är då svårare att avgöra vad som står att vinna med behandlingen. Samtidigt kan det vara av avgörande betydelse för möjligheten att avslöja och
Principer för behandling av personuppgifter SOU 2017:29
252
utreda pågående eller framtida brottslighet att uppgifter om vissa personers brottsliga aktivitet eller kontakter får föras över från t.ex. den brottsutredande verksamheten till underrättelseverksamheten. Att bedömningen kan vara svår innebär inte att det finns skäl att avstå från att pröva proportionaliteten utan understryker tvärtom vikten av att det görs en prövning i det enskilda fallet.
Tillämparen måste alltså ställa sig frågan vilken betydelse personuppgifterna kan få för den nya behandlingen. Om t.ex. en person redan är misstänkt för brott och misstanke uppkommer om att han eller hon begått ytterligare brott som kan ha betydelse för påföljden, utgår lagstiftningen från att brotten ska utredas tillsammans och att en gemensam påföljd för brotten ska kunna dömas ut. Den misstänktes intresse av att uppgifterna inte behandlas vid utredningen om det senare brottet väger då normalt inte lika tungt som intresset av att brotten utreds och behandlas i domstol samtidigt. En närliggande fråga är om personuppgifter som har samlats in om den som har utsatts för brott bör få användas för att utreda om han eller hon själv har begått brott. Där är svaret kanske inte lika givet. Är det fråga om ett allvarligt brott väger sannolikt intresset av att utreda det brottet tyngre än den enskildes intresse av uppgifterna inte behandlas, men om det är fråga om ett lindrigare brott kanske avvägningen inte utfaller på samma sätt.
Syftet med ett krav på proportionalitet är alltså att det ska göras en bedömning i det enskilda fallet av behovet av den nya behandlingen ställt i relation till intrånget. Ett sådant krav tillåter inte att vissa typer av nya ändamål generellt sett anses vara av så stort värde att de alltid väger upp integritetsintrånget.
Sekundära ändamålsbestämmelser
En behörig myndighet kan ha behov av att behandla personuppgifter för nya ändamål både för att använda uppgifterna i den egna verksamheten och för att lämna ut dem till någon annan. Så länge ändamålet med behandlingen ligger inom ramlagens tillämpningsområde saknar det betydelse om uppgifterna lämnas till en behörig eller en icke behörig myndighet, under förutsättning att behandlingen är nödvändig och proportionerlig för det ändamål som upp-
SOU 2017:29 Principer för behandling av personuppgifter
253
giften lämnas ut för. Det aktualiserar frågan om hur de sekundära ändamålsbestämmelserna i registerförfattningarna bör hanteras.
Att uppgiftslämnande är tillåtet enligt direktivet hindrar enligt utredningens mening i och för sig inte att man i nationell rätt sätter gränser för i vilken utsträckning personuppgifter får lämnas mellan myndigheter. Sådana begränsningar kan bidra till skyddet av enskildas integritet och göra det tydligt och förutsebart i vilken utsträckning en behörig myndighet får lämna personuppgifter till andra. Frågan är då om det finns skäl att behålla de sekundära ändamålsbestämmelserna eller om det räcker med den prövning av nödvändighet och proportionalitet som föreslås. På samma sätt som det i avsnitt 9.1.5 beträffande primära ändamålsbestämmelser diskuteras vad de innebär, kan det enligt utredningens mening ifrågasättas om de sekundära ändamålsbestämmelserna faktiskt är bestämmelser om ändamål (jfr SOU 2015:39 s. 281 f.). Utredningen återkommer till dessa frågor i slutbetänkandet. Sekundära ändamålsbestämmelser behandlas även i avsnitt 9.6.
9.1.7 Behandling för vetenskapliga, statistiska och historiska ändamål
Utredningens förslag: En behörig myndighet får behandla per-
sonuppgifter för vetenskapliga, statistiska eller historiska ändamål inom ramlagens tillämpningsområde.
Skälen för utredningens förslag: Enligt artikel 4.3 kan behandling
inbegripa arkivändamål av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som omfattas av direktivets tillämpningsområde, under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Generella frågor om arkivering tas upp i avsnitt 9.3. I detta avsnitt diskuteras enbart behandling för vetenskapliga, statistiska och historiska ändamål inom direktivets tillämpningsområde.
Att det i direktivet lyfts fram att behandling kan inbegripa vetenskaplig, statistisk eller historisk användning gör det tydligt att direktivets övriga bestämmelser ska tillämpas även vid behandling för sådana ändamål. Det ska alltså finnas en rättslig grund för behandlingen (se avsnitt 9.1.2). De personuppgifter som behandlas
Principer för behandling av personuppgifter SOU 2017:29
254
ska vidare vara adekvata och relevanta och de får inte heller vara för omfattande i förhållande till de vetenskapliga, statistiska eller historiska ändamålen (se avsnitt 9.2.2). På samma sätt som den personuppgiftsansvarige vid behandling för andra ändamål inom ramlagens tillämpningsområde ska se till att personuppgifterna inte behandlas under längre tid än vad som behövs för de ändamålen (se avsnitt 9.3), får behandling för historiska, statistiska eller vetenskapliga ändamål inte heller pågå längre än vad som behövs för dessa ändamål. En bestämmelse som genomför artikel 4.3 bör tas in i ramlagen.
Artikel 4.3 reglerar bara behandling för historiska, statistiska och vetenskapliga ändamål inom direktivets tillämpningsområde. Eftersom endast behöriga myndigheter får behandla personuppgifter enligt ramlagen är det bara dessa myndigheters behandling av uppgifter för sådana ändamål som kan omfattas av ramlagen. Det gäller dock bara behandling för sådana ändamål som rör brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Det innebär att statistikbehandling som rör t.ex. vapenärenden eller ärenden enligt ordningslagen ligger utanför tillämpningsområdet. Andra myndigheters behandling av statistik rörande brottsbekämpning, lagföring och straffverkställighet, exempelvis Brottsförebyggande rådets sammanställning av rättsstatistik, ligger också utanför ramlagens tillämpningsområde.
9.2 Grundläggande krav på behandlingen
9.2.1 Ingen generell bestämmelse om grundläggande principer
Utredningens förslag: Personuppgifter ska behandlas författ-
ningsenligt och på ett korrekt sätt.
Utredningens bedömning: Ramlagen bör inte innehålla någon
generell bestämmelse om de grundläggande principerna för behandling av personuppgifter. Principerna bör i stället regleras i sitt sammanhang.
SOU 2017:29 Principer för behandling av personuppgifter
255
Skälen för utredningens förslag och bedömning
De grundläggande principerna regleras i sitt sammanhang
Som framgår av avsnitt 9.1 krävs det en rättslig grund för att personuppgifter överhuvudtaget ska få behandlas. Är behandlingen rättsligt grundad ska särskilda, uttryckligt angivna och berättigade ändamål bestämmas för den. Utifrån de ändamålen får det sedan avgöras vilka personuppgifter som får behandlas och vilka övriga krav som ställs.
I artikel 4.1 anges allmänna principer för behandling av personuppgifter. Artikeln överensstämmer i allt väsentligt med artikel 6 i det nu gällande dataskyddsdirektivet. Den artikeln har genomförts i 9 § personuppgiftslagen, som reglerar de grundläggande principerna för personuppgiftsbehandling. Stora delar av paragrafen gäller för de behöriga myndigheterna, antingen för att deras registerförfattningar gäller utöver personuppgiftslagen eller för att det uttryckligen hänvisas till delar av paragrafen i de registerförfattningar som gäller i stället för personuppgiftslagen. Regleringen i 9 § har således tillämpats länge och är väl inarbetad i myndigheternas verksamhet. Mot den bakgrunden skulle det kunna finnas skäl att ta in en motsvarande bestämmelse i ramlagen.
Paragrafer som är allmänt hållna och bygger på uppräkningar av grundläggande principer med ett påtagligt abstrakt innehåll blir emellertid lätt intetsägande och riskerar därigenom att inte i alla avseenden tillämpas på det sätt som är avsett. För att göra regleringen klar och tydlig bör enligt utredningens mening artikel 4.1 vid genomförandet delas upp och principerna i de olika punkterna behandlas i direkt anslutning till regleringen av de frågor som respektive princip tar sikte på. På det sättet blir det uppenbart att principerna utgör materiella bestämmelser, vilket enligt utredningens mening både förbättrar skyddet för den enskilde och underlättar för tillämparen.
Genomförandet av de grundläggande principerna
Enligt utredningens mening bör det alltså inte tas in någon motsvarighet till personuppgiftslagens generella bestämmelse om grundläggande krav på behandlingen i ramlagen. De grundläggande kra-
Principer för behandling av personuppgifter SOU 2017:29
256
ven på behandling av personuppgifter bör i stället behandlas i sitt sammanhang.
Ändamålen med behandlingen regleras i artikel 4.1 b. Principen har ett konkret och viktigt innehåll som bör lyftas fram. Den behandlas i avsnitt 9.1.5.
Kvaliteten på och omfattningen av de personuppgifter som behandlas regleras i artikel 4.1 c och d. Uppgifterna ska vara adekvata, relevanta och korrekta. Den principen bör behandlas tillsammans med artikel 6, enligt vilken åtskillnad ska göras mellan personuppgifter som rör olika kategorier av registrerade, och artikel 7.1, enligt vilken personuppgifter som grundar sig på fakta så långt möjligt ska skiljas från personuppgifter som grundar sig på personliga bedömningar. Frågorna behandlas i avsnitt 9.2.2 och 9.2.3.
I artikel 4.1 d föreskrivs även att alla rimliga åtgärder måste vidtas för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Den principen tas upp i anslutning till artiklarna 7.2 och 7.3, som behandlar åtgärder för att säkerställa att felaktiga, ofullständiga eller inaktuella personuppgifter inte överförs eller görs tillgängliga. Frågorna behandlas i avsnitt 9.2.6.
Personuppgifter ska enligt artikel 4.1 e inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Den principen hänger nära samman med artikel 5 som reglerar tidsgränser för lagring. Hur länge personuppgifter får behandlas tas upp i avsnitt 9.3.2.
Artikel 4.1 f behandlar säkerheten för personuppgifter och bör genomföras tillsammans med artikel 29, som också reglerar säkerhet i samband med behandling. Den frågan diskuteras i avsnitt 10.3.
Krav på författningsenlig och korrekt behandling
Enligt artikel 4.1 a ska personuppgifter behandlas på ett lagligt och korrekt sätt. De grundläggande kraven på lagenlighet, saklighet och opartiskhet i offentlig verksamhet finns i regeringsformen. Att en myndighet ska agera i enlighet med lag framstår som en självklarhet och är djupt förankrat i den svenska förvaltningstraditionen. Det gäller också att handläggningen ska ske på ett korrekt sätt. Det bör
SOU 2017:29 Principer för behandling av personuppgifter
257
emellertid tydliggöras i ramlagen att personuppgifter alltid ska behandlas lagligt och på ett korrekt sätt.
Principen om laglighet innefattar att det ska finnas en rättslig grund för behandlingen (se avsnitt 9.1.2 och 9.1.3). Att använda ordet laglig kan lätt leda till motsatsslut. Eftersom det finns behov av att i andra bestämmelser i ramlagen reglera att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer anser utredningen att uttrycket författningsenlig är lämpligare att använda i ramlagen.
När det gäller principen om korrekthet kan det vid en jämförelse med andra språkversioner ifrågasättas om den svenska termen korrekt motsvarar avsikten med bestämmelsen. I den danska språkversionen anges i stället att uppgifterna ska behandlas rimeligt. I den engelska används termen fairly, vilket betyder rättvist, skäligt eller rimligt. Den franska språkversionen använder termen loyale som har motsvarande betydelse. Användningen av dessa termer tyder enligt utredningens mening på att en intresseavvägning ska göras, vilket inte lika tydligt framgår av den svenska termen korrekt. Utredningen tolkar artikeln så att det som avses med korrekt sätt är att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen.
9.2.2 Personuppgifter ska vara korrekta och adekvata
Utredningens förslag: De personuppgifter som behandlas ska
vara korrekta och, om det är nödvändigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.
De personuppgifter som behandlas ska också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen får inte behandlas.
Principer för behandling av personuppgifter SOU 2017:29
258
Skälen för utredningens förslag
Personuppgifter ska vara korrekta och uppdaterade
Enligt artikel 4.1 d ska personuppgifter vara korrekta och, om nödvändigt, uppdaterade. Motsvarande bestämmelse finns i artikel 6.1 d i det nu gällande direktivet. Artikeln har genomförts i 9 § första stycket g personuppgiftslagen, enligt vilken personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella. En bestämmelse med det innehållet bör tas in i ramlagen. Utredningen anser att direktivets formulering bör användas.
En uppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är som personuppgifterna ska spegla får man söka ledning i ändamålen med behandlingen. I vissa fall är avsikten med behandlingen bara att registrera uppgifter som kommit in, t.ex. i en brottsanmälan. De behandlade personuppgifterna får då betraktas som korrekta om de stämmer överens med de inkomna uppgifterna, oavsett hur de förhåller sig till de verkliga förhållandena (jfr Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen, En kommentar, 4:e uppl. 2011, i fortsättningen Öman m.fl., s. 206).
Frågan om en personuppgift är korrekt ska inte bara vägas mot ändamålen för behandlingen. Att uppgifter som förekommer i bl.a. brottsbekämpande verksamhet och vid annan behandling av uppgifter om lagöverträdelser har en särskild karaktär måste också beaktas. Frågan om en uppgift är korrekt måste därför även ses mot bakgrund av vad uppgiften rör, när den lämnas och vem som lämnar den. Om t.ex. en person anmäler en annan för brott är uppgifterna i anmälan korrekta om de återspeglar vad anmälaren har uppgett. Det förhållandet att det senare hålls ett förhör vid vilket vissa uppgifter tas tillbaka eller ändras innebär inte att de först lämnade uppgifterna är felaktiga. Om det sedan vid en rättegång visar sig att personen i fråga lämnar nya uppgifter eller ändrar tidigare påståenden återspeglar ändå det förhör som hölls vad som sades vid det tillfället och är därigenom korrekt. Särskilt när det gäller utsagor från personer som hörs under en förundersökning eller vid en rättegång och som har ett personligt intresse av resultatet av handläggningen utgår lagstiftningen från att uppgifterna kan komma att ändras. Det krav på korrekthet som kan ställas när det gäller personuppgifter som behandlas vid utsagor måste därför inskränkas
SOU 2017:29 Principer för behandling av personuppgifter
259
till att utsagorna återges så som de har lämnats och att dokumentationen av dem följer gällande regler.
För att kunna avgöra om uppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på personliga bedömningar. Att uppgifter som grundar sig på fakta i så stor utsträckning som möjligt ska skiljas från uppgifter som grundar sig på personliga bedömningar behandlas i avsnitt 9.2.3.
De behandlade uppgifterna behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen (jfr Öman m.fl. s. 206). Exempelvis kan adressuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. När ärendet har avslutats är det dock inte nödvändigt att uppdatera en adressuppgift.
I flera av myndigheternas registerförfattningar anges att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet. En bestämmelse med motsvarande innehåll bör tas in i ramlagen. Bestämmelserna finns i dag i de paragrafer som reglerar användningen av känsliga personuppgifter (se bl.a. 2 kap. 10 § tredje stycket polisdatalagen och 2 kap. 7 § tredje stycket kustbevakningsdatalagen). Regleringen har lett till viss osäkerhet om signalementsuppgifter är känsliga personuppgifter. Bestämmelsen i ramlagen bör därför placeras tillsammans med reglerna om personuppgifters kvalitet för att tydliggöra att uppgifter om utseende inte i sig ska betraktas som känsliga personuppgifter. Ett signalement kan dock innehålla uppgifter ur vilka man kan utläsa uppgifter om t.ex. hälsa eller etniskt ursprung. Sådana uppgifter ska hanteras enligt reglerna om känsliga personuppgifter (se avsnitt 9.2.4).
Personuppgifter ska vara adekvata och relevanta
Enligt artikel 4.1 c ska personuppgifter vara adekvata och relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. En bestämmelse med det innehållet bör tas in i ramlagen. Att uppgifterna ska vara adekvata och relevanta innebär att ovidkommande uppgifter inte får behandlas. Vilka uppgifter som är adekvata och relevanta ska bedömas i förhållande till ändamålen
Principer för behandling av personuppgifter SOU 2017:29
260
med behandlingen. Detsamma gäller hur många personuppgifter det finns behov av att behandla. Det får betydelse för hur s.k. överskottsinformation ska hanteras, dvs. uppgifter som samlas in och som visar sig inte vara adekvata eller relevanta för det bestämda ändamålet. Om uppgifterna inte behöver behandlas för något annat tillåtet ändamål får de inte lagras för framtida behov. Det finns regler om i vilken utsträckning överskottsinformation över huvud taget får behandlas i vissa sammanhang (se t.ex. 27 kap. 23 a § rättegångsbalken).
9.2.3 Olika typer av personuppgifter ska skiljas från varandra
Utredningens förslag: Personuppgifter som rör olika katego-
rier av registrerade, t.ex. personer som är misstänkta eller dömda för brott, brottsoffer eller andra som berörs av ett brott, ska så långt det är möjligt särskiljas. Om det inte framgår av sammanhanget eller på annat sätt vilken kategori personen tillhör, ska det tydliggöras genom en särskild upplysning.
Personuppgifter som grundar sig på fakta ska också så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på annat sätt ska den tydliggöras genom en särskild upplysning.
Skälen för utredningens förslag: Enligt artikel 6 ska den person-
uppgiftsansvarige i tillämpliga fall och så långt det är möjligt skilja mellan personuppgifter som rör olika kategorier av registrerade. Som exempel på olika kategorier av registrerade nämns personer som har begått eller är på väg att begå brott, personer som har dömts för brott, brottsoffer eller personer som p.g.a. vissa omständigheter kan antas vara brottsoffer och andra som berörs av ett brott, t.ex. vittnen, personer som kan lämna information om brott eller personer som har kontakter med eller band till personer som misstänks för eller är dömda för brott. Enligt artikel 7.1 ska personuppgifter som grundar sig på fakta så långt det är möjligt skiljas från personuppgifter som grundar sig på personliga bedömningar.
Syftet med bestämmelserna är att säkerställa att den som söker eller får del av information också får veta varför uppgifter om en
SOU 2017:29 Principer för behandling av personuppgifter
261
viss person behandlas. Inom ramlagens tillämpningsområde är det särskilt viktigt att det framgår om en uppgift rör en icke misstänkt person och hur tillförlitlig en underrättelseuppgift bedöms vara. Ofta framgår det redan av det sammanhang i vilket personuppgifterna behandlas, men om en uppgift tas ur sitt sammanhang för att behandlas för ett nytt ändamål blir informationen viktig (jfr prop. 2009/10:85 s. 146 f.).
Ju längre ett brottmålsförfarande fortskrider, desto tydligare blir det vilken roll olika personer har och varför deras personuppgifter behandlas. Vid handläggningen i domstol anges det tydligt vem som är misstänkt, tilltalad, målsägande, vittne eller anhörig till någon av dessa. En sådan uppdelning uppfyller enligt utredningens mening kravet på särskiljande. I förundersökningsprotokoll görs på motsvarande sätt skillnad mellan olika personkategorier (se 20 och 21 §§ förundersökningskungörelsen [1947:948]).
Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om honom eller henne behandlas. I 3 kap. 3 § polisdatalagen anges därför att det vid behandling av gemensamt tillgängliga uppgifter genom en särskild upplysning eller på annat sätt ska framgå för vilket närmare ändamål personuppgifter behandlas och om en personuppgift har gjorts gemensamt tillgänglig som ett led i övervakningen av en allvarligt kriminellt belastad person. Om uppgifterna kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat brottslig verksamhet ska det enligt 3 kap. 4 § framgå att personen inte är misstänkt. Vidare föreskrivs att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet, dvs. där ändamålet inte är att utreda ett konkret brott, ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om det inte på grund av särskilda omständigheter är onödigt. Motsvarande gäller i Kustbevakningens brottsbekämpande verksamhet enligt 4 kap.2 och 3 §§kustbevakningsdatalagen och föreslås gälla för Tullverket och Skatteverket i deras brottsbekämpande verksamhet. Även enligt 3 kap. 3 § åklagardatalagen ska det framgå om de uppgifter som behandlas rör en person som inte är misstänkt.
De bestämmelser som finns i dessa registerförfattningar är inarbetade men uppfyller inte helt direktivets krav. Det krävs också
Principer för behandling av personuppgifter SOU 2017:29
262
regler för övriga behöriga myndigheter. Det bör därför tas in bestämmelser i ramlagen om att den personuppgiftsansvarige så långt det är möjligt ska skilja mellan personuppgifter som rör olika kategorier av registrerade. Om det inte framgår av sammanhanget eller på annat sätt till vilken kategori en person hör bör det tydliggöras genom en särskild upplysning.
Det är framför allt när uppgifter behandlas utanför sitt ursprungliga sammanhang som en särskild upplysning kan behövas (jfr prop. 2009/10:85 s. 146 f.). Kraven på särskild upplysning i polisdatalagen och kustbevakningsdatalagen gäller uppgifter som har gjorts gemensamt tillgängliga. Om uppgifter behandlas av en liten, klart avgränsad grupp vet de inblandade personerna som regel varifrån uppgifterna kommer, varför de behandlas och om en omnämnd person är misstänkt för brott eller för att utöva brottslig verksamhet eller om han eller hon tillhör någon annan kategori. I de fallen framgår det normalt av sammanhanget till vilken kategori personen hör. Det vore orimligt att då ställa upp ett krav på särskild upplysning och det finns därför skäl att göra undantag från det kravet för uppgifter som inte har gjorts gemensamt tillgängliga. Utredningen återkommer till det i slutbetänkandet.
På motsvarande sätt bör personuppgifter som grundar sig på fakta skiljas från uppgifter som grundar sig på personliga bedömningar. Om grunden inte framgår av sammanhanget eller på annat sätt bör den tydliggöras genom en särskild upplysning. Det som nyss sagts om undantaget från kravet på särskilda upplysningar bör gälla även för nu aktuella uppgifter som inte gjorts gemensamt tillgängliga.
Det utvidgade kravet på särskilda upplysningar väcker frågan om de behöriga myndigheterna blir skyldiga att förse alla äldre personuppgifter som saknar sådana upplysningar med det. Eftersom kravet är att så långt möjligt skilja mellan olika typer av uppgifter anser utredningen att det inte kan krävas av myndigheterna att de går igenom alla äldre personuppgifter för att kontrollera om det finns särskilda upplysningar. Om tveksamhet uppstår i ett enskilt fall och det är möjligt att tillfoga en särskild upplysning bör det dock göras.
SOU 2017:29 Principer för behandling av personuppgifter
263
9.2.4 Känsliga personuppgifter
Utredningens förslag: Personuppgifter som avslöjar ras, etniskt
ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas. Om uppgifter om en person behandlas får de dock kompletteras med sådana personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen.
Biometriska uppgifter som används för att identifiera en person och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
Känsliga personuppgifter får alltid behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning.
Det är förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter.
Skälen för utredningens förslag
Nuvarande reglering
I lagstiftning om behandling av personuppgifter har känsliga personuppgifter en särställning. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. Som huvudregel är det förbjudet att behandla känsliga personuppgifter. Från förbudet görs i 14–19 §§personuppgiftslagen undantag för vissa situationer, t.ex. när den enskilde har samtyckt till behandlingen eller om behandlingen är nödvändig på grund av vissa särskilt angivna skäl. Enligt 8 § personuppgiftsförordningen (1998:1191) får känsliga personuppgifter behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Definitionen av känsliga personuppgifter i personuppgiftslagen bildar utgångspunkten för regleringen i de behöriga myndigheternas registerförfattningar. Enligt registerförfattningarna får känsliga
Principer för behandling av personuppgifter SOU 2017:29
264
personuppgifter inte behandlas enbart på grund av vad som är känt om en person i dessa avseenden (se t.ex. 2 kap. 8 § åklagardatalagen). Om uppgifter om en person redan behandlas på någon annan grund, får de dock enligt de flesta registerförfattningarna kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för syftet med behandlingen (se t.ex. 2 kap. 10 § polisdatalagen). Innebörden av bestämmelserna är att det t.ex. inte är tillåtet att föra särskilda register över personer baserat på deras politiska åsikter. Förekommer en person i en förundersökning eller något annat ärende, får dock uppgifter om politisk åskådning behandlas, om det bedöms vara absolut nödvändigt för syftet med behandlingen. Det kan t.ex. vara fallet om motivet för ett brott är politiskt. Något krav på att behandlingen är absolut nödvändig gäller enligt 13 § domstolsdatalagen inte i domstolarnas rättsskipande och rättsvårdande verksamhet.
Fler kategorier av uppgifter blir känsliga personuppgifter
Enligt artikel 10 ska behandling av vissa kategorier av personuppgifter vara tillåten endast om det är absolut nödvändigt och om det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom krävs det att behandlingen är tillåten enligt unionsrätten eller nationell rätt, utförs för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person eller rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
De kategorier av personuppgifter som räknas upp i artikel 10 är till största delen de som i dag betecknas som känsliga personuppgifter, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa eller sexualliv. Dessutom anges biometriska uppgifter för att unikt identifiera en fysisk person, genetiska uppgifter och uppgifter om sexuell läggning i artikeln. De nya kategorierna behandlas i det följande. Det finns även skäl att diskutera om ordet ras bör användas i ramlagen.
I artikel 10 benämns uppgifterna särskilda kategorier av personuppgifter. Samma uttryck används i det nu gällande dataskyddsdirektivet. I personuppgiftslagen benämns sådana personuppgifter
SOU 2017:29 Principer för behandling av personuppgifter
265
känsliga personuppgifter utan att det kommenteras i motiven. Det uttrycket är enligt utredningens mening tydligare än särskilda kategorier av uppgifter och bör därför användas i ramlagen.
Genetiska uppgifter
Med genetiska uppgifter avses enligt den definition som föreslås i avsnitt 6.2 personuppgifter som rör sådana nedärvda eller förvärvade kännetecken för en fysisk person som kan tas fram ur ett prov från personen i fråga. Det handlar framför allt om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram genom andra analyser omfattas. Eftersom nedärvda eller förvärvade genetiska kännetecken för en fysisk person kan framgå av ett spår som påträffas vid utredning av ett brott, omfattas även analys av spåren, trots att de då inte går att härleda till en identifierad person.
Genetiska uppgifter behandlas vid dna-analyser för att ta fram dna-profiler eller forensiska uppslag. Sådan behandling förekommer enbart i den forensiska verksamheten, som i Polismyndigheten sköts av Nationellt forensiskt centrum. Även Rättsmedicinalverket kan göra sådana analyser på begäran av Polismyndigheten eller en annan myndighet som omfattas av ramlagens tillämpningsområde. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer.
Själva dna-profilen, som behandlas i framför allt Polismyndighetens dna-register, är endast en sifferkombination och är därmed ingen genetisk uppgift. Dna-profilen är i stället en biometrisk uppgift, eftersom den tas fram genom en särskild teknisk behandling av en persons arvsmassa för att möjliggöra eller bekräfta unik identifiering av personen i fråga.
Biometriska uppgifter
Med biometriska uppgifter avses enligt den föreslagna definitionen personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Som konstateras i avsnitt 6.2 omfattas
Principer för behandling av personuppgifter SOU 2017:29
266
inte fotografier och filmer som inte bearbetas tekniskt i det syftet av definitionen av biometriska uppgifter.
Definitionen omfattar brottsbekämpande myndigheters hantering av fingeravtryck. Fingeravtryck som har tagits med stöd av rättegångsbalken eller lagen (1991:572) om särskild utlänningskontroll får behandlas i de fingeravtrycks- och signalementsregister som förs enligt 4 kap. 11 § polisdatalagen. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får också behandlas om uppgiften kommit fram vid utredning om brott. Även oidentifierade fingeravtryck omfattas således av definitionen av biometriska uppgifter, eftersom det är möjligt att med hjälp av sådana identifiera den person som har avsatt dem.
Bilder av fysiska personer som bearbetas tekniskt och därigenom är att betrakta som biometriska uppgifter kan också vara känsliga personuppgifter på andra grunder. Uppgifter om exempelvis hälsa, etniskt ursprung eller religiös övertygelse kan framgå av sådana bilder.
Även de dna-profiler som finns i dna-registren är biometriska uppgifter. Det gäller även oidentifierade dna-profiler.
Uppgifter om huruvida någon förekommer i Polismyndighetens fingeravtrycks- och signalementsregister eller dna-register är inte biometriska uppgifter. Däremot är den behandling som utförs vid jämförelse mellan olika fingeravtryck eller dna-profiler behandling av biometriska uppgifter.
Uppgifter om sexualliv och sexuell läggning
Enligt direktivet är uppgifter om fysiska personers sexualliv och sexuella läggning känsliga personuppgifter. I artikel 8 i det nu gällande dataskyddsdirektivet och i 13 § personuppgiftslagen föreskrivs enbart att uppgifter om sexualliv är en känslig personuppgift. Uppräkningen i ramlagen av känsliga personuppgifter bör omfatta uppgifter om både sexualliv och sexuell läggning.
SOU 2017:29 Principer för behandling av personuppgifter
267
Ordet ras
Ras har länge ansetts vara en känslig personuppgift. I uppräkningen i direktivet av vad som utgör känsliga personuppgifter nämns också ras. I skäl 37 klargörs att användningen av ordet ras inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser.
Frågan om utmönstring av ordet ras ur svensk lagstiftning har länge varit aktuell. Riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och ur biologisk synpunkt följaktligen inte heller någon grund för att använda ordet ras om människor. Enligt vad riksdagen anförde riskerar användningen av ordet ras i författningstext att underblåsa fördomar. Riksdagen konstaterade dock, i anledning av en motion, att det inte var möjligt att utmönstra ordet ras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella konventioner eller författningar som genomför direktiv. Regeringen uppmanades att gå igenom i vilken utsträckning ordet ras förekom i författningar som inte grundas på internationella texter och där så var möjligt föreslå en annan definition (bet. 1997/98:KU29 s. 7).
Ordet ras har på senare år ersatts med andra uttryck i regeringsformen och i diskrimineringslagen (2008:567) och medvetet utelämnats i ett antal lagar. Exempelvis ersattes ordet ras i regeringsformen genom att uttrycket ”annat liknande förhållande” lades till efter etniskt ursprung och hudfärg. Med ”annat liknande förhållande” åsyftas i första hand sådana föreställningar om ras som omfattas av ras enligt den tidigare lydelsen (prop. 2009/10:80 s. 152).
Regeringen har i flera lagstiftningsärenden uttryckt sin ambition att se över frågan om utmönstring av ordet ras ur all lagstiftning (se exempelvis prop. 2009/10:85 s. 123). Utredningen om transpersoners straffrättsliga skydd m.m. fick därför i uppdrag att bl.a. ta ställning till om orden ras och rasmässig bör utmönstras ur författningstext och eventuellt ersättas med något annat uttryck. I betänkandet Ett utvidgat straffrättsligt skydd för transpersoner m.m. (SOU 2015:103) föreslås att ordet ras ska ersättas eller helt utmönstras. I den mån det ska ersättas föreslås att samma uttryck som i bl.a. regeringsformen ska väljas i så stor utsträckning som
Principer för behandling av personuppgifter SOU 2017:29
268
möjligt. När ordet ras används i författningstext och det bygger på det nu gällande dataskyddsdirektivets definition av känsliga personuppgifter, föreslår den utredningen att ordet ras tas bort och ersätts med uttrycket ”etniskt ursprung eller hudfärg eller något annat liknande förhållande hänförligt till personen”.
Den omständigheten att direktivet använder ordet ras hindrar enligt utredningens mening inte att det i ramlagen används ett annat ord eller uttryck, förutsatt att det har samma betydelse. Att använda uttrycket ”etniskt ursprung, hudfärg eller annat liknande förhållande” som finns i bl.a. regeringsformen skulle emellertid inte fungera i ramlagen. Om hudfärg skulle räknas upp bland känsliga personuppgifter skulle det skapa problem för de brottsbekämpande myndigheterna, eftersom det skulle leda till att bilder på identifierbara personer skulle utgöra känsliga personuppgifter om hudfärgen syns. Avsikten med dataskyddsreformen kan inte rimligen vara att alla bilder på personer ska anses utgöra känsliga personuppgifter. Det får stöd av skäl 51 i dataskyddsförordningen där det bl.a. anges att behandling av foton inte systematiskt bör anses utgöra behandling av känsliga personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Det är enligt utredningens mening inte heller lämpligt att använda formuleringen ”etniskt urspung eller annat liknande förhållande”. Det skulle för det första leda till osäkerhet om det är någon skillnad mellan de olika uttryckssätten. För det andra skulle det lämna ett alltför stort tolkningsutrymme och kunna leda till att de behöriga myndigheterna antingen behandlar känsliga personuppgifter i för stor utsträckning eller inte behandlar sådana uppgifter trots att det är sakligt motiverat. Utredningen anser därför att det är nödvändigt att även fortsättningsvis använda ordet ras. Det innebär också att regleringen i ramlagen överensstämmer med artikel 9 i dataskyddsförordningen.
Känsliga personuppgifter bör som huvudregel inte få behandlas i större utsträckning än i dag
Enligt direktivet ska behandling av särskilda kategorier av personuppgifter vara tillåten endast om den är absolut nödvändig och om det finns lämpliga skyddsåtgärder. Dessutom ska behandlingen vara
SOU 2017:29 Principer för behandling av personuppgifter
269
tillåten enligt unionsrätt eller nationell rätt, alternativt ska den göras för att skydda intressen av grundläggande betydelse för den registrerade eller någon annan fysisk person eller avse uppgifter som har offentliggjorts av den som personuppgifterna rör.
Enligt gällande rätt får flertalet av de behöriga myndigheterna behandla känsliga personuppgifter om de behandlar uppgifter om personen i fråga på någon annan grund, men då bara om det är absolut nödvändigt för syftet med behandlingen. Domstolarna får emellertid behandla känsliga personuppgifter i större utsträckning. Enligt 13 § domstolsdatalagen får känsliga personuppgifter inte utgöra den enda grunden för behandlingen. Det behöver dock inte vara uppgifter om den person som de känsliga personuppgifterna rör som behandlas, utan det är enligt förarbetena tillräckligt att det finns en annan konkret grund för behandlingen. Det ställs inte heller något krav på att behandlingen ska vara absolut nödvändig. Skälet till denna mer generösa reglering är att det av principiella skäl ansågs uteslutet att genom bestämmelser i lag inskränka domarnas frihet att formulera domskäl i syfte att undvika att känsliga personuppgifter behandlas. Det anges vidare att det strängt taget inte är någon skillnad mellan i vilken utsträckning domstolarna behöver behandla känsliga personuppgifter och andra personuppgifter (se Domstolsdatalag, prop. 2014/15:148, s. 49).
Dagens regelverk är således betydligt mer restriktivt än direktivets reglering, eftersom känsliga personuppgifter i de flesta fall endast får behandlas tillsammans med andra uppgifter om personen i fråga. Även bestämmelsen i domstolsdatalagen är på ett sätt mer restriktiv genom att det sägs att känsliga personuppgifter inte får utgöra enda grund för behandlingen. Bestämmelsen i domstolsdatalagen uppfyller ändå inte direktivets krav, eftersom den inte föreskriver att behandlingen ska vara absolut nödvändig. Det kravet i direktivet är undantagslöst och måste därför gälla för alla behöriga myndigheter.
Enligt artikel 1.3 är det tillåtet att ha starkare skyddsåtgärder än dem som fastställs i direktivet. Den nuvarande regleringen har fungerat väl för de berörda myndigheterna och kravet på att känsliga personuppgifter bara får behandlas om uppgifter om personen behandlas av annat skäl är enligt utredningens mening en sådan lämplig skyddsåtgärd som direktivet fordrar. Känsliga personuppgifter bör därför bara få behandlas om uppgifter om personen sam-
Principer för behandling av personuppgifter SOU 2017:29
270
tidigt behandlas på någon annan grund och det är absolut nödvändigt för ändamålet med behandlingen. Regleringen i ramlagen bör dock utformas på ett något annorlunda sätt än i myndigheternas registerförfattningar för att det ska bli tydligare vilka uppgifter som utgör känsliga personuppgifter och när dessa får behandlas.
De behöriga myndigheterna behandlar i stor utsträckning vissa typer av känsliga personuppgifter. Det gäller framför allt uppgifter om hälsa, t.ex. i förundersökningar och mål om vålds- och sexualbrott och i personutredningar. För sådana ändamål är behandling av uppgifter om hälsa givetvis absolut nödvändig. Utredningen vill därför understryka att någon förändring av synen på vad som är absolut nödvändigt vid behandling av känsliga personuppgifter inte är avsedd. Känsliga personuppgifter ska alltjämt användas restriktivt och en bedömning av om kravet är uppfyllt ska göras i det enskilda fallet. Den närmare innebörden av uttrycket kan dock variera mellan myndigheterna, eftersom deras verksamheter och behov av att behandla känsliga personuppgifter skiljer sig åt. I vilken utsträckning de bör få behandla känsliga personuppgifter kommer att diskuteras i slutbetänkandet, i samband med anpassningarna av myndigheternas registerförfattningar.
Som framgår av avsnitt 7.1.4 kommer fler myndigheter och andra aktörer att tillämpa ramlagen. Flera av dem har ingen särskild registerförfattning utan tillämpar i dag personuppgiftslagen med tillhörande förordning. Eftersom huvudregeln enligt personuppgiftslagen är att det är förbjudet att behandla känsliga personuppgifter och 8 § personuppgiftsförordningen bara medger undantag för vissa typer av behandling kan det inte undvikas att dessa myndigheter och aktörer sannolikt kommer att kunna behandla känsliga personuppgifter i större utsträckning med den nya regleringen. Det gäller dock bara när de utför uppgifter inom ramlagens tillämpningsområde och är en rimlig konsekvens av att de anses vara behöriga myndigheter i ramlagens mening.
Behandling av genetiska och biometriska uppgifter
Som nyss nämnts har genetiska och biometriska uppgifter inte tidigare ingått i uppräkningen av vad som är känsliga personuppgifter. I förarbetena till lagen (2006:351) om genetisk integritet m.m. ut-
SOU 2017:29 Principer för behandling av personuppgifter
271
talas att genetisk information kan avslöja såväl hälsotillstånd som etnisk tillhörighet och därför är att betrakta som känsliga personuppgifter (Genetisk integritet m.m., prop. 2005/06:64, s. 63). Det är osäkert vilket genomslag det uttalandet har fått i praktiken och om de särskilda restriktioner som gäller för behandlingen av känsliga personuppgifter därför tillämpas på genetiska och biometriska uppgifter.
Fingeravtryck men framför allt dna-spår får en allt större betydelse i den brottsutredande verksamheten. Tekniken utvecklas hela tiden och möjliggör i dag dels analyser av oerhört små mängder dna, dels att nya typer av uppgifter kan tas fram ur dna-spår. Det är därför viktigt att behandling av personuppgifter i samband med hanteringen av fingeravtryck, dna-spår och dna-profiler är tydligt reglerad.
Det är vanligt att polisen hittar fingeravtryck eller dna-spår från någon som inte förekommer i fingeravtrycks- eller dna-registren. Som tidigare nämnts utgör sådana oidentifierade fingeravtryck eller dna-profiler biometriska uppgifter, eftersom det går att identifiera en person med hjälp av dem. Regeln om att känsliga personuppgifter endast får behandlas om någon annan uppgift om personen i fråga samtidigt behandlas fungerar därmed inte när det gäller oidentifierade avtryck eller spår. Det finns därför skäl att reglera behandlingen av genetiska och biometriska uppgifter särskilt. Sådana uppgifter bör få behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen. Att dessa kategorier av uppgifter regleras särskilt är en lagteknisk fråga och innebär inte att de ska betraktas på något annat sätt än övriga kategorier av känsliga personuppgifter.
Behandling för diarieföring eller liknande
Som framgår av avsnitt 9.1.3 måste en myndighet alltid ha möjlighet att behandla personuppgifter för att diarieföra och handlägga inkommande anmälningar, ansökningar och andra liknande handlingar. De som ska tillämpa ramlagen föreslås därför få behandla personuppgifter för diarieföring och för att utföra andra nödvändiga handläggningsuppgifter. Det bör gälla även i de fall där sådana handlingar innehåller känsliga personuppgifter, eftersom det ligger
Principer för behandling av personuppgifter SOU 2017:29
272
utanför myndighetens kontroll om sådana uppgifter finns i handlingarna. Det bör framgå att sådan behandling är tillåten.
Ett generellt sökförbud
Sökning på känsliga personuppgifter kan möjliggöra exempelvis kartläggning av personer med viss politisk ståndpunkt eller religiös uppfattning. Sökningar för sådana ändamål bör som huvudregel inte tillåtas. I flera av de behöriga myndigheternas registerförfattningar finns förbud mot att som sökbegrepp använda uppgifter som avslöjar känsliga personuppgifter (se t.ex. 3 kap. 5 § polisdatalagen). Det kan dock i vissa fall vara befogat att använda känsliga personuppgifter vid sökningar. Flera registerförfattningar ger därför möjlighet att i begränsad utsträckning använda sådana uppgifter som sökbegrepp (se t.ex. 14 och 15 §§domstolsdatalagen). För Polismyndigheten, Kustbevakningen, Åklagarmyndigheten och Ekobrottsmyndigheten gäller förbuden att använda känsliga personuppgifter som sökbegrepp dock endast vid sökningar i personuppgifter som har gjorts gemensamt tillgängliga. De får alltså använda känsliga personuppgifter som sökbegrepp vid sökningar i uppgifter som endast ett fåtal personer har tillgång till.
Enligt direktivet krävs det inget förbud mot att använda känsliga personuppgifter vid sökning, men däremot får sådana uppgifter behandlas endast om det finns lämpliga skyddsåtgärder för behandlingen. En verkningsfull skyddsåtgärd är att som huvudregel förbjuda att känsliga personuppgifter används vid sökning och att sedan reglera eventuella undantag från den regeln. Det bör därför enligt utredningens mening även i fortsättningen vara förbjudet att använda känsliga personuppgifter för sökning. Eftersom inte alla behöriga myndigheter har en registerförfattning bör ett generellt sökförbud tas in i ramlagen.
Användningen av ordet sökbegrepp i bestämmelserna om sökförbud har lett till problem i tillämpningen. Vid en strikt tolkning av dessa bestämmelser skulle t.ex. en sökning på ordet islam inte få göras, eftersom uppgifter som avslöjar religiös övertygelse inte får användas som sökbegrepp. Islam är emellertid också ett vanligt personnamn som det måste vara möjligt att få använda vid sökning. Ett annat exempel är att ett sjukhus eller en kyrka, där ett brott
SOU 2017:29 Principer för behandling av personuppgifter
273
begåtts, används som sökbegrepp av utredningsskäl. Sökningen kan ge träff på personer och därigenom avslöja uppgifter som rör hälsa eller religiös uppfattning samtidigt som det finns utredningsskäl att använda platsen som sökbegrepp. Förbudet i ramlagen bör därför i stället utgå från syftet med sökningen. Det bör inte vara tillåtet att göra sökningar i syfte att få fram personurval grundade på känsliga personuppgifter.
Att förbudet utformas på ett annat sätt än i dag innebär inte att möjligheterna att använda känsliga personuppgifter för sökning utvidgas. Om exempelvis en uppgift om etniskt ursprung används för sökning kommer resultatet att bli ett personurval grundat på etniskt ursprung. En sådan sökning är varken tillåten enligt den nu gällande eller den föreslagna regleringen. Genom att förbudet mot att använda känsliga personuppgifter vid sökningar placeras i ramlagen kommer det tvärtom att gälla i större utsträckning än i dag, eftersom sökförbuden i flera av registerförfattningarna enbart gäller vid sökningar i uppgifter som har gjorts gemensamt tillgängliga. När syftet blir avgörande för om en sökning är tillåten eller inte kommer vidare olika former av kodning av personuppgifter för att möjliggöra sammanställningar grundade på känsliga personuppgifter inte längre att vara tillåtna. Om uppgifter om muslimer skulle markeras med exempelvis (m) är det med den nuvarande regleringen tillåtet att göra en sökning med användande av beteckningen (m) och på så sätt få fram en sammanställning av alla som registrerats med den koden, eftersom sökbegreppet då inte avslöjar känsliga personuppgifter. En sökning för att få fram en motsvarande sammanställning genom att använda en kod skulle däremot inte vara tillåten med den föreslagna utformningen av sökförbudet. Skyddet mot missbruk av sökmöjligheterna förstärks därmed väsentligt.
Däremot kommer sökningar på t.ex. egennamn som också kan avslöja känsliga personuppgifter att vara tillåtna, eftersom syftet med sökningen då är att få fram närmare information om en person med ett visst namn, inte att få fram ett urval av personer grundat på känsliga personuppgifter. Det blir därför viktigt att dokumentera syftet med en sökning av det slaget både för intern kontroll och tillsyn över verksamheten.
Även vid tillåtna sökningar kan sökningen resultera i ett personurval grundat på känsliga personuppgifter. I exemplet med
Principer för behandling av personuppgifter SOU 2017:29
274
namnet Islam kan en sökning på egennamnet ge träffar både på personer med det namnet och personer som bekänner sig till en viss tro. I vilken utsträckning det sedan är tillåtet att behandla uppgifterna i sammanställningen får prövas mot huvudregeln för behandling av känsliga personuppgifter. Om uppgifter om en person behandlas får den eller de uppgifter från sökningen som är adekvata och absolut nödvändiga för syftet med behandlingen fortsätta att behandlas. Är de kraven inte uppfyllda får de känsliga personuppgifterna inte behandlas. I de allra flesta fall kommer det således att vara tillåtet att behålla och fortsätta behandla endast någon eller några av de personuppgifter som framkommit vid sökningen.
I de behöriga myndigheternas registerförfattningar tillåts i viss utsträckning användning av känsliga personuppgifter vid sökning. Bestämmelserna kommer att behöva anpassas till att sökförbudet i ramlagen är annorlunda utformat än dagens reglering. Utgångspunkten är att de behöriga myndigheterna inte ska få använda känsliga personuppgifter vid sökning i större utsträckning än i dag. För någon eller några av de behöriga myndigheterna kan dock förbudet i dag vara för snävt. Vid utredning av brott kan de brottsbekämpande myndigheterna ha behov av att kunna söka på andra uppgifter än brottsrubriceringar eller uppgifter som beskriver en persons utseende, exempelvis uppgifter om sexualliv vid utredningen av en våldtäkt. Utredningen återkommer till frågan om sökning med användande av känsliga personuppgifter i slutbetänkandet.
Omfattas förbudet av begränsningsregeln i tryckfrihetsförordningen ?
Vid utformningen av sökförbud måste också den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen beaktas.
Offentlighetsprincipen innebär bl.a. att var och en har rätt att ta del av allmänna handlingar. Vad som avses med allmän handling framgår av 2 kap. tryckfrihetsförordningen. Med handling förstås en framställning i skrift eller bild och en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handlingen är allmän bl.a. om den förvaras hos en myndighet. En upptagning anses enligt 2 kap. 3 § andra stycket första meningen förvarad hos en myndighet, om upptagningen är tillgäng-
SOU 2017:29 Principer för behandling av personuppgifter
275
lig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. När det gäller förvaringskriteriet görs det skillnad mellan färdiga elektroniska handlingar, t.ex. pdffiler och e-postmeddelanden, och potentiella elektroniska handlingar, dvs. handlingar som kan sammanställas av uppgifter ur en upptagning för automatiserad behandling. En sammanställning av uppgifter anses enligt den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig.
Syftet med begränsningsregeln är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten med hänsyn till skyddet för enskildas integritet är rättsligt förhindrad att ta fram i sin egen verksamhet. Tolkningen av begränsningsregeln har behandlats i flera lagstiftningsärenden som rör direktåtkomst. Det har bl.a. konstaterats att villkorade sökförbud, dvs. sökbegränsningar som endast tillåter sökningar under vissa angivna förutsättningar, inte anses inskränka en myndighets skyldighet att lämna ut allmänna handlingar (se exempelvis 3 kap.6 och 7 §§polisdatalagen och prop. 2009/10:85 s. 154 f.). Däremot anses s.k. absoluta sökförbud, dvs. förbud som innebär att en myndighet inte under några förhållanden får använda en uppgift som sökbegrepp, inskränka handlingsbegreppet (se t.ex. 3 kap. 5 § polisdatalagen).
Det kan i frågasättas om det sökförbud som utredningen föreslår uppfyller kraven för att omfattas av begränsningsregeln, eftersom förbudet är knutet till syftet med sökningen. För att säkerställa att allmänheten inte med stöd av offentlighetsprincipen ska kunna få ut sammanställningar grundade på känsliga personuppgifter föreslår utredningen en bestämmelse om absolut sekretess för dem (se avsnitt 16.4).
Principer för behandling av personuppgifter SOU 2017:29
276
9.2.5 Inga ytterligare regler om vilka personuppgifter som får behandlas
Utredningens bedömning: Utöver reglerna om känsliga per-
sonuppgifter bör det inte tas in några regler i ramlagen om vilka personuppgifter som får behandlas.
Skälen för utredningens bedömning
Ingen uttömmande reglering av vilka personuppgifter som får behandlas
Enligt artikel 8.2 ska det i nationell rätt bl.a. föreskrivas vilka personuppgifter som ska behandlas. Ur ett integritetsperspektiv är det naturligtvis väsentligt att en myndighet inte behandlar andra personuppgifter än vad som behövs för myndighetens verksamhet. Det är dock inte rimligt att tolka artikeln på det sättet att det i ramlagen eller i de särskilda registerförfattningarna måste räknas upp exakt vilka personuppgifter som får behandlas. Att i författning uttömmande reglera vilka personuppgifter, eller ens alla kategorier av personuppgifter, som får behandlas är en närmast omöjlig uppgift, eftersom det inte på förhand går att bedöma vilka uppgifter som kan få betydelse. Särskilt i mångfacetterade verksamheter som polisens och domstolarnas skulle det behövas mycket omfångsrika uppräkningar av vilka uppgifter som skulle få behandlas. Inte bara för dessa utan även för övriga behöriga myndigheter skulle det krävas omfattande och grundliga undersökningar innan det skulle kunna slås fast vilka personuppgifter som bör få behandlas. Saken kompliceras dessutom av att det skulle behöva preciseras beträffande varje enskild personkategori vilka personuppgifter som får behandlas för just den kategorin.
Behovet av att behandla personuppgifter skiljer sig åt beroende på om det är fråga om förundersökning, brottmålsrättegång, verkställighet av straff eller att upprätthålla allmän ordning och säkerhet. Vissa behöriga myndigheter har behov av att behandla fler typer av personuppgifter än andra. En allmängiltig förteckning skulle därför inte fungera. Skulle någon personkategori eller kategori av uppgifter saknas skulle det inte finnas rättsligt stöd för behandlingen även om den var nödvändig. Förutom att en detaljbeto-
SOU 2017:29 Principer för behandling av personuppgifter
277
nad uppräkning av det slaget skulle strida mot svensk lagstiftningstradition skulle den försvåra möjligheterna för behöriga myndigheter att bedriva en effektiv verksamhet. Den som behöver behandla personuppgifter skulle nämligen alltid behöva konsultera en omfattande förteckning för att kunna avgöra om behandlingen av en viss personuppgift var tillåten. En uppräkning av det slaget skulle också riskera att snabbt bli inaktuell och skulle därför behöva uppdateras ofta.
Eftersom ett av syftena med direktivet enligt artikel 1.2 b är att säkerställa att behöriga myndigheters utbyte av personuppgifter inte begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter kan avsikten med artikel 8.2 enligt utredningens mening inte vara att det i nationell rätt ska finnas uttömmande uppräkningar av vilka personuppgifter som får behandlas.
Som framgår av avsnitt 9.1.5 och 9.2.2 föreslås att vissa grundläggande bestämmelser motsvarande dem som i dag finns i 9 § personuppgiftslagen ska tas in i ramlagen. Förslagen innebär att personuppgifter enbart får behandlas för särskilda, uttryckliga och berättigade ändamål. Personuppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen får inte behandlas och de personuppgifter som behandlas ska vara korrekta och, om nödvändigt, uppdaterade. Att behandla ovidkommande eller onödigt många personuppgifter sett till de bestämda ändamålen strider därmed mot regelverket. Dessa grundläggande krav – tillsammans med bl.a. rättegångsbalkens och brottsbalkens regler – innebär därför såväl en kvantitativ som en kvalitativ begränsning av vilka personuppgifter som får behandlas.
De föreslagna grundläggande kraven och regleringen av när känsliga personuppgifter får behandlas innebär därför enligt utredningens mening tillsammans med andra tillämpliga regler en tillräcklig avgränsning av vilka slags personuppgifter som behöriga myndigheter får behandla. Det finns därför inget behov av ytterligare regler om det i ramlagen.
Principer för behandling av personuppgifter SOU 2017:29
278
Avidentifiering bör användas i så stor utsträckning som möjligt
En fråga som särskilt bör uppmärksammas är det faktiska behovet av att använda namnuppgifter eller andra uppgifter som direkt identifierar en person som t.ex. personnummer. Kan en arbetsuppgift utföras tillfredsställande även om personuppgifterna utelämnas är de grundläggande kraven på adekvans och personuppgifternas omfattning inte uppfyllda (jfr SOU 2015:39 s. 285).
Prövningen av om en personuppgift är nödvändig för en viss behandling måste göras kontinuerligt av myndigheterna och inte bara då uppgiften registreras eller på annat sätt samlas in i verksamheten. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den hanteringen. Det innebär exempelvis att även om uppgiften om en persons namn måste behandlas vid handläggningen av ett ärende i vilket personen är part eller annars direkt berörd, är det inte säkert att namnuppgiften behöver behandlas i ett senare skede, t.ex. vid verksamhetsuppföljning eller vid publicering på myndighetens webbplats för att informera allmänheten om ett principiellt viktigt avgörande. Det ska alltså vid all behandling prövas om det går att avstå från att använda uppgifter som direkt går att hänföra till en viss person. Möjligheten till avidentifiering bör användas i så stor utsträckning som möjligt.
9.2.6 Åtgärder för att säkerställa personuppgifternas kvalitet
Utredningens förslag: Alla rimliga åtgärder ska vidtas för att
personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen rättas utan onödigt dröjsmål. Detsamma gäller för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Personuppgifter som är inaktuella ska uppdateras om det är nödvändigt.
När personuppgifter lämnas ut till en behörig myndighet, ska mottagaren så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga.
Alla rimliga åtgärder ska också vidtas för att personuppgifter som behandlas på ett otillåtet sätt utan onödigt dröjsmål raderas och för att förhindra att sådana uppgifter lämnas ut eller görs
SOU 2017:29 Principer för behandling av personuppgifter
279
tillgängliga. Detsamma gäller om radering krävs för att utföra en rättslig förpliktelse.
I stället för att radera personuppgifterna, ska den personuppgiftsansvarige utan onödigt dröjsmål begränsa behandlingen av dem om de behöver finnas kvar som bevisning.
Skyldigheten att underrätta mottagare av personuppgifterna om att de är felaktiga eller behandlas på otillåtet sätt ska regleras i förordning.
Skälen för utredningens förslag
Felaktiga uppgifter ska rättas och uppgifter som behandlas på otillåtet sätt ska raderas
Av artikel 4.1 d framgår att alla rimliga åtgärder ska vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas utan dröjsmål raderas eller rättas. Av artikeln framgår inte i vilka fall uppgifterna ska rättas och i vilka fall de ska raderas. När det gäller korrigering på begäran av registrerade görs det däremot skillnad mellan vilka åtgärder som ska vidtas med felaktiga uppgifter respektive med uppgifter som behandlas på ett otillåtet sätt. Enligt artikel 16.1 ska felaktiga personuppgifter rättas, medan uppgifter som behandlas i strid med vissa uppräknade bestämmelser i direktivet enligt artikel 16.2 ska raderas. Utredningen anser att de två korrigeringsalternativen bör användas under samma förutsättningar oavsett om korrigering görs på den personuppgiftsansvariges eget initiativ eller på begäran av registrerade. Regleringen i ramlagen bör därför utgå från att felaktiga personuppgifter ska rättas och att personuppgifter som behandlas på otilllåtet sätt ska raderas.
Korrigeringsalternativen
Enligt artikel 4.1 d är det enbart felaktiga personuppgifter som omfattas av kravet på korrigering. Med hänsyn till att den personuppgiftsansvarige enligt artikel 7.2 ska se till att inte bara felaktiga utan även ofullständiga och inaktuella personuppgifter inte överförs eller görs tillgängliga, bör enligt utredningens mening kravet på
Principer för behandling av personuppgifter SOU 2017:29
280
rättelse i ramlagen även omfatta ofullständiga och inaktuella uppgifter. I avsnitt 9.2.2 föreslås att personuppgifter bara behöver vara uppdaterade om det är nödvändigt. Därför bör det inte krävas att inaktuella uppgifter korrigeras annat än om det är nödvändigt.
Radering anges som ett korrigeringsalternativ i artikel 4.1 d. Utredningen anser som nyss nämnts att de förutsättningar som gäller för radering på begäran av enskild bör gälla även när frågan om radering väcks av den personuppgiftsansvarige. Av artikel 16.2 framgår att radering kan komma i fråga dels om behandlingen av personuppgifter står i strid med de bestämmelser som genomför artiklarna 4, 8 och 10, dels om det krävs för att den personuppgiftsansvarige ska uppfylla en rättslig förpliktelse. Förutsättningarna för att använda radering utvecklas i avsnitt 11.4.2.
Enligt artikel 16.3 ska den personuppgiftsansvarige begränsa behandlingen av personuppgifterna i stället för att radera dem, om den registrerade bestrider att de är korrekta och det inte kan fastställas eller om personuppgifterna behöver sparas som bevisning. Begränsning av behandlingen nämns inte som ett korrigeringsalternativ i artikel 4.1 d. Som tidigare nämnts medger direktivet att medlemsstaterna har starkare skyddsåtgärder än vad som krävs enligt direktivet. Mot den bakgrunden bör begränsning av behandlingen läggas till som ett korrigeringsalternativ, eftersom personuppgifter kan behöva sparas som bevisning till skydd för den registrerade även när den personuppgiftsansvarige själv upptäcker att uppgifterna behandlas på otillåtet sätt. Begränsning av behandlingen på den grunden att det inte kan fastställas om personuppgifterna är korrekta blir däremot inte aktuell när korrigering görs på den personuppgiftsansvariges eget initiativ (jfr avsnitt 11.4.3).
Spridning av felaktiga uppgifter och uppgifter som behandlas på otillåtet sätt ska förhindras
Enligt artikel 7.2 ska de behöriga myndigheterna vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Varje behörig myndighet ska också, i den mån det är praktiskt möjligt, kontrollera kvaliteten på personuppgifterna innan de överförs eller görs tillgängliga. Regleringen hänger naturligt samman med kravet på rättelse av felaktiga personuppgifter. I kravet på att den person-
SOU 2017:29 Principer för behandling av personuppgifter
281
uppgiftsansvarige ska göra allt för att rätta felaktiga, ofullständiga eller inaktuella personuppgifter i den egna verksamheten ligger också ett ansvar för att se till att sådana uppgifter inte lämnas ut eller görs tillgängliga. Det bör tydliggöras genom en bestämmelse i ramlagen. Däremot finns det inget behov av att särskilt reglera att den personuppgiftsansvarige ska kontrollera kvaliteten på personuppgifter innan de lämnas ut eller görs tillgängliga. Det får anses följa av det generella kravet på att den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att rätta felaktiga uppgifter.
Artikel 7.2 gäller felaktiga, ofullständiga eller inaktuella personuppgifter, medan artikel 7.3 föreskriver att mottagaren omedelbart ska underrättas om det visar sig att felaktiga personuppgifter har överförts eller att personuppgifter har överförts olagligen. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen begränsas i enlighet med artikel 16. Vad som avses med att uppgifter olagligen överförts är inte helt klart, men i och med att radering och begränsning av behandlingen nämns som korrigeringsalternativ bör underrättelseskyldigheten enligt utredningens mening omfatta också personuppgifter som behandlas på otillåtet sätt. Den personuppgiftsansvarige bör alltså vara skyldig att se till att inte heller personuppgifter som behandlas på ett otillåtet sätt lämnas ut eller görs tillgängliga.
Om det upptäcks att felaktiga personuppgifter eller personuppgifter som behandlas på otillåtet sätt har lämnats ut är det naturligt att den som har fått uppgifterna underrättas, så att uppgifterna kan rättas eller raderas eller behandlingen av dem begränsas. Skyldigheten för mottagaren att rätta, radera eller begränsa behandlingen av uppgifterna behöver inte regleras särskilt, eftersom alla behöriga myndigheter omfattas av den föreslagna skyldigheten att korrigera uppgifter som är felaktiga eller behandlas på otillåtet sätt. Underrättelseskyldigheten kan regleras i förordning.
Underrättelseskyldigheten i direktivet gäller bara när uppgifter har lämnats ut. Det kan vara betydligt svårare att informera dem som har tagit del av en personuppgift som har gjorts tillgänglig, eftersom det inte alltid är känt vem som tagit del av uppgifterna och vilka uppgifter som vederbörande tagit del av. Underrättelseskyldigheten bör dock så långt möjligt gälla även i förhållande till dem som har tagit del av en tillgängliggjord uppgift som visat sig vara felaktig eller som behandlas på otillåtet sätt. Om uppgiften
Principer för behandling av personuppgifter SOU 2017:29
282
t.ex. finns i ett register till vilket andra behöriga myndigheter har direktåtkomst kan den rättade uppgiften förses med en upplysning om rättelsen och när den gjordes. På så sätt uppmärksammas de andra myndigheterna på att uppgiften har rättats och kan då kontrollera vilken version av uppgiften som finns hos dem.
Information i samband med utlämnande eller tillgängliggörande av personuppgifter
Vid all överföring av personuppgifter ska enligt artikel 7.2 så långt möjligt sådan nödvändig information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad uppgifterna är korrekta, fullständiga och tillförlitliga och i vilken utsträckning de är aktuella. Bestämmelsen kompletterar skyddet för den enskilde när det gäller kvaliteten på personuppgifter genom att den som tar emot uppgifterna ges möjlighet att göra en egen bedömning av deras kvalitet. Mottagaren kan då fullgöra sin skyldighet att kontrollera kvaliteten på personuppgifter som kommer från andra behöriga myndigheter. En bestämmelse om att sådan information så långt det är möjligt ska lämnas i samband med att personuppgifter lämnas ut bör tas in i ramlagen. Informationen till mottagaren kan exempelvis avse information om var personuppgifterna kommer från, vad man vet om uppgiftslämnaren, när och för vilket ändamål uppgifterna hämtades in och om uppgifterna grundar sig på fakta eller personliga bedömningar. Det kan också vara av värde för mottagaren att få veta om personuppgifterna är eller har varit föremål för domstolsbehandling och om förfarandet i så fall är avslutat.
9.3 Längsta tid som personuppgifter får behandlas
9.3.1 Terminologin bör renodlas
Utredningens bedömning: För att skilja mellan arkivrättsliga
regler och regler om dataskydd bör orden bevarande och gallring bara användas i den betydelse de har i arkivlagstiftningen. Regleringen i ramlagen bör utgå från hur länge personuppgifter får behandlas för andra ändamål än arkivändamål.
SOU 2017:29 Principer för behandling av personuppgifter
283
Skälen för utredningens bedömning: Regleringen av bevarande av
personuppgifter är komplex. Arkivreglerna innebär att allmänna handlingar ska bevaras i arkiv och bär på så sätt upp handlingsoffentligheten. Enligt 3 § arkivlagen (1990:782) ska myndigheters arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen och forskningens behov. Allmänna handlingar får enligt 10 § samma lag gallras, men det ska då beaktas att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet eller enligt särskilda gallringsföreskrifter i lag eller förordning. Gallring enligt Riksarkivets föreskrifter görs för att begränsa arkivens omfattning. Med gallring avses att handlingar eller uppgifter sorteras ut och förstörs. Gallring av elektroniska upptagningar innebär normalt att information raderas från databäraren. Som gallring räknas enligt Riksarkivets föreskrifter förstöring av allmänna handlingar och uppgifter i allmänna handlingar (se t.ex. 2 kap. 1 § RA-FS 2003:3). Överföring till annan databärare räknas som gallring om överföringen medför informationsförlust, förlust av sökmöjligheter eller förlust av möjligheter att fastställa informationens autenticitet (jfr Ordning och reda bland allmänna handlingar, SOU 2002:97, s. 73). Informationen behöver således inte förstöras för att det ska vara fråga om gallring.
I flertalet registerförfattningar finns det bestämmelser om bevarande och gallring (se bl.a. 3 kap.9–15 §§polisdatalagen, 2 kap. 10 § åklagardatalagen, 4 kap.8–14 §§kustbevakningsdatalagen och 7 § lagen om behandling av personuppgifter inom kriminalvården). Gallring enligt dessa författningar görs för att skydda den enskildes integritet. Sådana regler föreslås också i 4 kap. tullbrottsdatalagen och 4 kap. skattebrottsdatalagen.
De personuppgifter som behöriga myndigheter behandlar ingår i mycket stor utsträckning i upptagningar som är eller kommer att bli allmänna handlingar. Utgångspunkten i det arkivrättsliga regelverket är att uppgifter ska bevaras, medan gallring är presumtionen enligt reglerna om skydd för personuppgifter. I 8 § andra stycket personuppgiftslagen har arkivlagstiftningen getts företräde genom att det anges att bestämmelser om längsta tid för bevarande inte
Principer för behandling av personuppgifter SOU 2017:29
284
hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Den principen bör enligt utredningens mening gälla även fortsättningsvis.
Som nyss nämnts syftar gallringsbestämmelserna i myndigheternas registerförfattningar till att skydda enskildas integritet. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter bör begreppen bevarande och gallring enbart användas i den betydelse de har i arkivlagstiftningen. I ramlagen och i myndigheternas registerförfattningar bör regleringen i stället utgå från hur länge personuppgifter får behandlas för andra ändamål än arkivändamål. Utredningen återkommer i slutbetänkandet till den anpassning som behövs av registerförfattningarna.
9.3.2 Hur länge får personuppgifter behandlas?
Utredningens förslag: Personuppgifter får inte behandlas under
längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det hindrar inte att en behörig myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial lämnas till en arkivmyndighet.
Om det inte är föreskrivet i lag eller annan författning när en viss kategori av personuppgifter inte längre får behandlas för andra ändamål än arkivändamål, ska den personuppgiftsansvarige årligen se över behovet av att fortsatt behandla personuppgifterna.
Att behöriga myndigheter ska ha rutiner för att säkerställa att reglerna om längsta tid för behandling av personuppgifter respekteras ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 4.1 e ska personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Det ska enligt artikel 5 föreskrivas lämpliga tidsgränser för radering av personuppgifter eller för periodisk översyn av behovet av att lagra
SOU 2017:29 Principer för behandling av personuppgifter
285
personuppgifter. Procedurrelaterade åtgärder ska säkerställa att tidsgränserna efterlevs. Behandling kan enligt artikel 4.3 inbegripa arkivändamål av allmänt intresse.
En bestämmelse som motsvarar artikel 4.1 e finns i artikel 6.1 e i det nu gällande dataskyddsdirektivet, som har genomförts genom 9 § första stycket i personuppgiftslagen. Där anges att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Bestämmelsen är inte tillämplig för polisen, Kustbevakningen, Tullverket och åklagarväsendet. I dessa myndigheters registerförfattningar finns det i stället särskilda bestämmelser med motsvarande innehåll.
Personuppgifter får bara behandlas så länge de behövs för annat än arkivändamål
För de behöriga myndigheterna gäller redan i dag att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Det gäller antingen för att de tillämpar 9 § i personuppgiftslagen eller för att deras registerförfattningar innehåller en motsvarande bestämmelse. En bestämmelse om hur länge personuppgifter får behandlas bör tas in i ramlagen. För att tydliggöra att det inte är fråga om bevarande i arkivlagens mening bör ordet behandlas användas i stället för bevaras. Personuppgifter bör alltså inte få behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om en behörig myndighet behandlar en personuppgift för flera ändamål samtidigt varierar tiden för hur länge uppgiften behöver behandlas. Att det inte längre finns behov av att behandla personuppgiften för ett visst ändamål medför inte att behandlingen av den måste upphöra för alla andra ändamål samtidigt. Å andra sidan innebär det förhållandet att personuppgiften fortfarande behövs för ett visst ändamål inte att den får fortsätta att behandlas för alla ändamål lika länge.
Artikel 5 ger två möjligheter att säkerställa att personuppgifter inte behandlas längre än nödvändigt. Antingen ska det fastställas lämpliga tidsgränser för radering av personuppgifter eller för periodisk översyn av behovet av att lagra personuppgifter. Eftersom det enligt artikel 4.3 är tillåtet att behandla personuppgifter för arkivändamål av allmänt intresse kan det inte rimligen krävas att upp-
Principer för behandling av personuppgifter SOU 2017:29
286
gifterna ska raderas. Enligt utredningens mening bör artikeln tolkas så att det ska finnas frister för när behandlingen av personuppgifterna för annat än arkivändamål ska upphöra.
De flesta registerförfattningar föreskriver som nyss nämnts frister för när behandlingen av personuppgifterna för andra ändamål än arkivändamål ska upphöra. I bestämmelserna anges att personuppgifterna ska gallras senast vid en viss tidpunkt. Utredningen avser att i slutbetänkandet se över terminologin för att renodla den (se avsnitt 9.3.1).
De frister som finns täcker dock inte all personuppgiftsbehandling som utförs av de behöriga myndigheterna. Det är enligt utredningens mening varken möjligt eller lämpligt att i ramlagen ställa upp en generell frist för när behandlingen av personuppgifter för andra ändamål än arkivändamål ska upphöra, eftersom det varierar hur länge myndigheterna behöver kunna behandla olika typer av personuppgifter. Regleringen i ramlagen bör därför utgå från möjligheten att föreskriva tidsgränser för periodisk översyn av behovet av att behandla personuppgifter.
Enligt huvudregeln får personuppgifter inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om den regeln kompletteras med en bestämmelse om att den behöriga myndigheten – om det saknas frist för när uppgifter inte längre får behandlas för annat än arkivändamål – en gång om året ska se över behovet av att fortsatt behandla personuppgifterna, säkerställs att behandlingen upphör när det inte längre finns behov av den. För de behöriga myndigheter som inte har en registerförfattning, eller där registerförfattningen inte innehåller någon särskild frist för när personuppgifter inte längre får behandlas, kommer sistnämnda regel att gälla.
Det är viktigt att de behöriga myndigheterna ser till att de frister för längsta tid för behandling som finns respekteras och skapar rutiner för att se över behovet av att fortsatt behandla personuppgifter. Om de särskilda fristerna och den föreslagna bestämmelsen om periodisk översyn kompletteras med föreskrifter på lägre nivå om att de behöriga myndigheterna ska ha rutiner för att se till att bestämmelserna efterlevs, är direktivets krav på procedurrelaterade åtgärder enligt utredningens mening uppfyllt.
SOU 2017:29 Principer för behandling av personuppgifter
287
Behandling för arkivändamål
Enligt 8 § andra stycket personuppgiftslagen hindrar bestämmelserna i lagen om hur länge personuppgifter får bevaras inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen gäller för några av de behöriga myndigheterna. Arkivlagstiftningen har alltså i fråga om allmänna handlingar företräde framför personuppgiftslagens bestämmelser om längsta bevarandetid. För polisen, åklagarväsendet och Kustbevakningen har det gjorts undantag från 8 § andra stycket. I de myndigheternas registerförfattningar finns i stället som nyss nämnts särskilda regler om gallring. Motsvarande reglering föreslås för Tullverkets och Skatteverkets brottsbekämpande verksamhet.
Enligt artikel 4.3 kan behandling inbegripa arkivändamål av allmänt intresse. För att tydliggöra att personuppgifter får arkiveras när de inte längre behövs för något av de andra i ramlagen tillåtna ändamålen bör det tas in en bestämmelse i ramlagen som motsvarar 8 § andra stycket personuppgiftslagen. I vilken utsträckning personuppgifterna ska gallras regleras i det arkivrättsliga regelverket.
Det bör anmärkas att behandling för arkivändamål omfattas av dataskyddsförordningens tillämpningsområde, oavsett om det är den behöriga myndigheten som arkiverar personuppgifterna eller om de överlämnas till en arkivmyndighet.
9.4 Automatiserade beslut
Utredningens förslag: Om ett beslut, som har rättsliga följder
för en fysisk person eller annars i betydande grad påverkar honom eller henne, enbart grundas på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma hans eller hennes egenskaper, ska personen ha möjlighet att på begäran få beslutet omprövat av någon person. Automatiserade beslut som enbart grundar sig på känsliga personuppgifter förbjuds.
Skälen för utredningens förslag: I artikel 11 föreskrivs att det ska
införas förbud mot automatiserade beslut, såvida inte sådana beslut är tillåtna enligt unionsrätten eller nationell rätt och det är före-
Principer för behandling av personuppgifter SOU 2017:29
288
skrivet lämpliga skyddsåtgärder för den enskilde. Skyddsåtgärderna ska åtminstone ge den enskilde rätt till personlig kontakt med någon hos den personuppgiftsansvarige. Enligt skäl 38 ska skyddsåtgärderna innefatta särskild information till den registrerade och rätt till personlig kontakt för att möjliggöra för honom eller henne att framföra synpunkter, att få beslutet förklarat för sig och att överklaga beslutet. Automatiserade beslut får inte grundas på känsliga personuppgifter, om inte lämpliga skyddsåtgärder har vidtagits. Profilering som leder till diskriminering av fysiska personer på grundval av känsliga personuppgifter ska förbjudas.
Med automatiserade beslut avses beslut som inte fattas av någon tjänsteman utan som blir den automatiska följden av t.ex. att en viss handling ges in eller inte inkommer inom viss tid. Automatiserade beslut förekommer i viss utsträckning inom den svenska förvaltningen, men det rör sig främst om beslut i skattefrågor och i frågor som regleras i socialförsäkringsbalken. Inom ramlagens tilllämpningsområde förekommer det i dag inga automatiserade beslut, men med teknikutvecklingen kan det inte uteslutas att det i framtiden kommer att finnas sådana. Då direktivet sätter gränser för sådana beslut bör ramlagen innehålla en bestämmelse om automatiserade beslut. Den finns dock inget skäl att öppna möjlighet att införa automatiserade beslut som enbart grundar sig på känsliga personuppgifter. Sådana beslut bör därför förbjudas.
I 29 § personuppgiftslagen finns en liknande bestämmelse om automatiserade beslut. Den bör tjäna som utgångspunkt för hur bestämmelsen i ramlagen bör utformas.
Information avseende automatiserade beslut behandlas i avsnitt 11.2.9 och överklagande i avsnitt 14.4.
9.5 Användningsbegränsning
Utredningens förslag: Om det inte är särskilt föreskrivet får
villkor för behandlingen av personuppgifter inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en svensk mottagare. Att mottagaren ska informeras om sådana villkor ska regleras i förordning.
SOU 2017:29 Principer för behandling av personuppgifter
289
Skälen för utredningens förslag
Tolkningen av artiklarna 9.3 och 9.4
I artikel 9.3 föreskrivs skyldighet för behöriga myndigheter att informera mottagare av personuppgifter om att det har ställts upp begränsningar för hur uppgifterna får behandlas och att sådana användningsbegränsningar måste respekteras. Enligt artikel 9.4 ska fastställda villkor för behandlingen av personuppgifter inte tilllämpas i förhållande till mottagare i andra medlemsstater eller på byråer eller organ som har inrättats i enlighet med bestämmelserna om straffrättsligt samarbete och polissamarbete i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), med undantag för sådana villkor som är tillämpliga när personuppgifter i motsvarande fall lämnas ut nationellt.
Av punkterna 1 och 2 i artikeln framgår att dataskyddsförordningen ska tillämpas när personuppgifter som samlats in av behöriga myndigheter behandlas för ändamål utanför direktivets tilllämpningsområde (se avsnitt 9.6). Det ligger därför nära till hands att tolka punkterna 3 och 4 som att de enbart gäller vid utlämnande där dataskyddsförordningen ska tillämpas. Det skäl som är kopplat till artiklarna 9.3 och 9.4, skäl 36, är dock placerat efter det skäl som anger när behandling av personuppgifter är laglig enligt direktivet. Det tyder på att regleringen av villkoren om användningsbegränsningar i första hand gäller vid behandling för ändamål inom direktivets tillämpningsområde. Det ter sig enligt utredningens mening också mer rimligt med en reglering av villkoren för användningsbegränsning i de fallen. Det skulle innebära att villkor om användningsbegränsningar fick ställas upp i samma utsträckning i förhållande till behöriga myndigheter i andra medlemsstater som till behöriga myndigheter nationellt. Utredningen tolkar därför artiklarna 9.3 och 9.4 som att de gäller vid behandling för ändamål inom direktivets tillämpningsområde.
Information om användningsbegränsningar
Rätten att ställa upp användningsbegränsningar ska enligt artikel 9.3 framgå av unionsrätten eller av nationell rätt. Artikeln skapar ingen rätt för behöriga myndigheter att ställa upp användnings-
Principer för behandling av personuppgifter SOU 2017:29
290
begränsningar, utan innebär endast en skyldighet att informera när sådana villkor har ställts upp på grund av andra regler. Informationsskyldigheten kan regleras i förordning.
Användningsbegränsningar ska enligt artikel 9.4 inte tillämpas i förhållande till mottagare i andra medlemsstater eller på byråer eller organ som har inrättats i enlighet med bestämmelserna om straffrättsligt samarbete och polissamarbete i EUF-fördraget, utom sådana villkor som är tillämpliga när personuppgifter i motsvarande fall lämnas ut nationellt. Artikeln torde innebära att användningsbegränsningar inte får ställas upp i större utsträckning i förhållande till mottagare i andra medlemsstater än vad som är tillåtet i förhållande till mottagare i den egna medlemsstaten.
Det bör regleras att användningsbegränsningar inte får ställas upp i större utsträckning i förhållande till mottagare i en annan medlemsstat eller ett EU-organ än vad som gäller i förhållande till mottagare i Sverige, om det inte är särskilt föreskrivet. Bestämmelser om när användningsbegränsningar får ställas upp finns inom ramlagens tillämpningsområde i lagen (2000:562) om internationell rättslig hjälp i brottmål, lagen (2000:1219) om internationellt tullsamarbete, lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar, förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen och den föreslagna lagen (2017:000) om internationellt polisiärt samarbete. Som framgår av avsnitt 15.2.2 definieras medlemsstat på ett annat sätt i ramlagen än normalt. Det är inte lämpligt att reglera i förhållande till vilka stater villkor om användningsbegränsningar får ställas upp i de enskilda bestämmelserna om användningsbegränsningar, eftersom var och en av dem då skulle behöva tyngas av en uppräkning. Bestämmelsen bör i stället placeras i ramlagen. För att göra det tydligt för tillämparen att möjligheten att ställa upp användningsbegränsningar kan vara begränsad i förhållande till vissa stater, bör det införas hänvisningar till ramlagens bestämmelse i de nyss nämnda lagarna.
Av artikel 60 framgår att direktivet inte ska påverka särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området som trädde i kraft den 6 maj 2016 eller tidigare, vilka gäller behandling mellan medlemsstater eller tillgång till informationssystem som inrättats på grundval av fördragen och som är relevanta för direktivets tillämpningsområde (se avsnitt 6.3). Om det enligt
SOU 2017:29 Principer för behandling av personuppgifter
291
en sådan rättsakt är tillåtet att ställa upp användningsbegränsningar i förhållande till andra medlemsstater, trots att motsvarande möjlighet inte finns när det gäller nationella mottagare, bör bestämmelser om det kunna behållas. Artikel 9.4 får därför tolkas som att den avser användningsbegränsningar i samband med uppgiftsutbyte i andra fall.
9.6 Behandling för ändamål utanför ramlagens tillämpningsområde
Utredningens förslag: I ramlagen ska det tas in en upplysnings-
bestämmelse om att dataskyddsförordningen gäller vid behandling för ändamål som ligger utanför ramlagens tillämpningsområde.
Skälen för utredningens förslag
Från ramlagen till dataskyddsförordningen
En behörig myndighet kan ha behov av att behandla personuppgifter för nya ändamål både för att använda uppgifterna i den egna verksamheten och för att lämna ut dem till någon annan. I avsnitt 9.1 redovisas under vilka förutsättningar behöriga myndigheter får behandla personuppgifter för ändamål som ligger inom ramlagens tillämpningsområde.
Behöriga myndigheter kan även ha behov av att behandla personuppgifter för ändamål som ligger utanför ramlagens tillämpningsområde, framför allt för att lämna ut dem till myndigheter och andra aktörer som inte är behöriga myndigheter för deras behov. Ett exempel på det kan vara att Kustbevakningen lämnar personuppgifter till Sjöfartsverket, Transportstyrelsen eller en miljömyndighet efter en fartygskollision. Personuppgifter som en behörig myndighet behandlar enligt ramlagen kan också behöva lämnas till en enhet inom myndigheten som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som behandlas i Polismyndighetens brottsbekämpande verksamhet kan exempelvis
Principer för behandling av personuppgifter SOU 2017:29
292
behöva lämnas till den inom myndigheten som beslutar i fråga om pass eller vapenlicens.
I artikel 9 regleras vad som gäller när personuppgifter som behandlas med stöd av direktivet ska behandlas för ändamål utanför direktivets tillämpningsområde. Där anges att personuppgifter som har samlats in för ändamål inom direktivets tillämpningsområde inte får behandlas för andra ändamål, såvida inte sådan behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål eller av någon som inte är en behörig myndighet ska dataskyddsförordningen tillämpas, utom när behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. I skäl 34 framhålls att dataskyddsförordningen är tillämplig på överföring av personuppgifter för ändamål som inte omfattas av direktivet. Dataskyddsförordningen är därmed tillämplig redan på de behöriga myndigheternas behandling för att tillhandahålla personuppgifter till andra myndigheter, om ändamålet med behandlingen ligger utanför ramlagens tillämpningsområde.
Vad innebär det att dataskyddsförordningen är tillämplig?
För behandling av personuppgifter i verksamhet som omfattas av unionsrätten gäller antingen direktivets eller dataskyddsförordningens reglering. Direktivet och förordningen kan vara tillämpliga parallellt om samma personuppgift behandlas för olika syften, men de kan aldrig tillämpas samtidigt på samma behandling (se avsnitt 7.1.5).
Hittills har behandling av personuppgifter för ett nytt ändamål, oavsett om det är behandling i myndighetens egen verksamhet eller för att lämna ut uppgifterna till en annan myndighet, setts som vidarebehandling. Vidarebehandling är enligt finalitetsprincipen tillåten endast om det nya ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in. Av artikel 9 i direktivet framgår att dataskyddsförordningen ska tillämpas på behandling för ändamål utanför direktivets tillämpningsområde. Det innebär att direktivets, och därmed ramlagens, bestämmelser över huvud taget inte ska tillämpas vid sådan behandling. Prövningen av om behandlingen är tillåten ska enbart göras med utgångspunkt i bestäm-
SOU 2017:29 Principer för behandling av personuppgifter
293
melserna i förordningen. Eftersom den behandlingen blir ursprungsbehandling enligt förordningen är det inte fråga om någon vidarebehandling, vilket gör att finalitetsprincipen inte ska tilllämpas på den behandlingen. Det innebär att finalitetsprincipen aldrig blir tillämplig på direktivets tillämpningsområde (se även avsnitt 9.1.6).
Ramlagen bör innehålla en bestämmelse som upplyser om att det är dataskyddsförordningen som ska tillämpas när personuppgifter behandlas för ändamål som inte omfattas av ramlagens tillämpningsområde.
Sekundära ändamålsbestämmelser
I flera av myndigheternas registerförfattningar finns sekundära ändamålsbestämmelser som reglerar när behandling för att tillhandahålla information till andra myndigheter eller andra delar av verksamheten är tillåten (se t.ex. 2 kap. 8 § polisdatalagen). I utredningens uppdrag ingår att analysera om det finns utrymme för och behov av att inom dataskyddsförordningens tillämpningsområde införa eller behålla specifik reglering i svensk rätt om behandling av personuppgifter för att tillhandahålla information (se dir. 2016:21 s. 10 f.). Det finns därför skäl att redan nu diskutera om det över huvud taget går att ha kvar de sekundära ändamålsbestämmelserna för behandling som ligger under förordningens tillämpningsområde. För att kunna göra det måste utredningen gå igenom när behandling är tillåten enligt förordningen och vilket utrymme det finns för kompletterande nationella bestämmelser.
Dataskyddsförordningen utgår, i likhet med direktivet, från att varje behandling av personuppgifter måste vila på en rättslig grund. De rättsliga grunderna räknas uttömmande upp i artikel 6.1 i förordningen. Om ingen av dem är tillämplig är behandlingen inte laglig och får därmed inte utföras. De rättsliga grunder som räknas upp i artikel 6.1 är följande: a) Den registrerade har lämnat sitt samtycke till behandlingen. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den
registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
Principer för behandling av personuppgifter SOU 2017:29
294
c) Behandlingen är nödvändig för att fullgöra en rättslig förplik-
telse som den personuppgiftsansvarige har. d) Behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt
intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den person-
uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Av artikeln framgår att punkten f inte gäller för behandling som utförs av myndigheter.
De behöriga myndigheternas arbetsuppgifter som har lagts fast av riksdagen eller regeringen (eller som följer av unionsrätt) får anses vara av allmänt intresse, även om de inte innebär myndighetsutövning. Därför blir framför allt artikel 6.1 e relevant när behöriga myndigheter ska lämna ut personuppgifter enligt förordningen. Även artikel 6.1 c skulle kunna aktualiseras.
Medlemsstaterna får enligt artikel 6.2 i vissa fall behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen genom att fastställa specifika krav för behandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Det förutsätter att det är fråga om sådan personuppgiftsbehandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 c eller e). Av artikel 6.3 framgår att syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkten 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan enligt artikeln också innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen.
SOU 2017:29 Principer för behandling av personuppgifter
295
Grunden för behandlingen i artiklarna 6.1 c och 6.1 e ska enligt artikel 6.3 första stycket fastställas i enlighet med unionsrätten eller den nationella rätten. Enligt direktiven till Dataskyddsutredningen innebär det att det inte kommer att vara möjligt att endast stödja sig på den generella regleringen i förordningen vid sådan behandling. Den utredningen har därför i uppdrag att bl.a. analysera om det behövs bestämmelser som kompletterar förordningen och ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter (dir. 2016:15 s. 7 f.).
För att inte föregripa Dataskyddsutredningens bedömning av hur de olika punkterna i artikel 6 ska tolkas och om det behövs kompletterande bestämmelser i svensk rätt, anser utredningen att det är tillräckligt att konstatera att artiklarna 6.2 och 6.3 ger utrymme för medlemsstaterna att specificera villkoren för när behandling av personuppgifter är tillåten. I artikel 6.3 anges dessutom som exempel på sådana särskilda bestämmelser som är tillåtna att de enheter till vilka personuppgifter får lämnas pekas ut. Det råder därför enligt utredningens mening ingen tvekan om att det är möjligt att i myndigheternas registerförfattningar reglera utlämnandefrågor.
Som anges i avsnitt 9.1.6 kan det däremot ifrågasättas om de sekundära ändamålsbestämmelserna är bestämmelser om ändamål. Utredningen återkommer i slutbetänkandet till frågan hur de sekundära ändamålsbestämmelserna i registerförfattningarna bör hanteras.
297
10 Personuppgiftsansvarigas skyldigheter
10.1 Vad innebär personuppgiftsansvar?
10.1.1 Definition av personuppgiftsansvarig
Utredningens förslag: Personuppgiftsansvarig ska i ramlagen
definieras som den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Skälen för utredningens förslag: Personuppgiftsansvar är ett
centralt begrepp i dataskyddslagstiftningen. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behandling av personuppgifter och som den enskilde kan vända sig till för att göra sina rättigheter gällande. Den personuppgiftsansvarige har det ansvaret. Det är viktigt att det tydligt framgår vem som är personuppgiftsansvarig och därför bör det i ramlagen definieras vad som avses med uttrycket.
Personuppgiftsansvarig definieras i artikel 3.8 som en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Definitionen i direktivet motsvarar den som finns i 3 § personuppgiftslagen (1998:204), som genomför artikel 2 d i det nu gällande dataskyddsdirektivet. Eftersom definitionen är väl inarbetad bör personuppgiftsansvarig därför definieras på samma sätt i ramlagen. Det bör dock framgå att endast behöriga myndigheter kan vara personuppgiftsansvariga. Personuppgiftsansvarig bör därmed definieras som den behöriga myndighet som ensam eller tillsam-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
298
mans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Av artikel 3.8 framgår att om ändamålen med och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller kriterier för hur den ska utses föreskrivas i unionsrätten eller nationell rätt. Direktivet ger således möjlighet att fastställa personuppgiftsansvaret i författning.
Eftersom ramlagen ska vara tillämplig på all behandling av personuppgifter för de syften som anges i lagen är det inte möjligt att i lagen ange vem som är personuppgiftsansvarig för viss behandling. I de verksamheter där endast ramlagen kommer att gälla får definitionen i lagen tjäna som vägledning för vem som är personuppgiftsansvarig. Det är enligt utredningens mening ett tillräckligt tydligt sätt att fastställa personuppgiftsansvaret på. I myndigheternas registerförfattningar föreskrivs vem som är personuppgiftsansvarig. Hur personuppgiftsansvaret ska regleras i myndigheternas registerförfattningar framöver kommer utredningen att behandla i slutbetänkandet.
10.1.2 Personuppgiftsansvarets omfattning
Utredningens förslag: Den personuppgiftsansvarige ska vara
ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.
Skälen för utredningens förslag: Av ramlagen ska det framgå vad
den personuppgiftsansvarige är skyldig att göra i olika situationer, t.ex. samarbeta med tillsynsmyndigheten, vidta säkerhetsåtgärder och utse dataskyddsombud. Enligt artikel 4.4 ska den personuppgiftsansvarige inte bara ansvara för att personuppgiftsbehandlingen utförs på ett lagligt och korrekt sätt och i övrigt i enlighet med de grundläggande principer som gäller för behandlingen utan även kunna visa att principerna efterlevs.
Enligt utredningens mening bör det i ramlagen klargöras hur långt personuppgiftsansvaret sträcker sig. I en bestämmelse om personuppgiftsansvarets omfattning bör den personuppgiftsansvariges helhetsansvar slås fast. Enligt skäl 50 bör personuppgiftsan-
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
299
svariga åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Det är enligt utredningens mening en rimlig utgångspunkt. På så sätt kommer personuppgiftsansvaret att omfatta dels den personuppgiftsbehandling som förekommer vid den behöriga myndigheten, dels den personuppgiftsbehandling som ett personuppgiftsbiträde utför på den personuppgiftsansvariges vägnar (se avsnitt 10.6.2).
Den personuppgiftsansvariges helhetsansvar får också betydelse för skadeståndsansvaret, eftersom den personuppgiftsansvarige ansvarar även för den behandling som utförs av ett personuppgiftsbiträde. Utredningen återkommer till den frågan i avsnitt 14.3.2. Det får likaså betydelse för frågan om vem som ska betala sanktionsavgift, vilket utredningen återkommer till i avsnitt 13.4.
Det är den behöriga myndigheten som är personuppgiftsansvarig, inte chefen eller någon anställd. Ytterst är det dock myndighetens chef som bär ansvaret för hur personuppgifterna behandlas. I stora myndighetsorganisationer innebär det att personuppgiftsansvaret hamnar långt från den faktiska behandlingen av personuppgifter. Personuppgiftsansvaret kan därmed bli ganska abstrakt.
Den omständigheten att det har utsetts ett dataskyddsombud påverkar inte personuppgiftsansvaret. Ett dataskyddsombud har nämligen inte något ansvar för den personuppgiftsbehandling som utförs (se avsnitt 10.5.3).
Enligt artikel 23 ska den som får tillgång till personuppgifter endast behandla dem enligt instruktion från den personuppgiftsansvarige. Varje medarbetare måste därför vid behandling av personuppgifter se till att regelverket för sådan behandling följs, men ansvaret för att medarbetarna har fått den utbildning som krävs och tillräckliga instruktioner vilar på den personuppgiftsansvarige.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
300
10.2 Skyldigheten att säkerställa författningsenlig behandling
10.2.1 Tekniska och organisatoriska åtgärder
Utredningens förslag: Genom lämpliga tekniska och organisa-
toriska åtgärder ska den personuppgiftsansvarige säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas.
Den personuppgiftsansvarige ska också genom lämpliga tekniska och organisatoriska åtgärder se till att dataskyddsprinciper säkerställs på ett effektivt sätt och att nödvändiga skyddsåtgärder integreras i behandlingen (inbyggt dataskydd). I automatiserade behandlingssystem ska det som regel endast vara möjligt att behandla de personuppgifter som är nödvändiga för varje särskilt angivet ändamål med behandlingen (dataskydd som standard).
Vilka omständigheter som ska beaktas när den personuppgiftsansvarige beslutar om tekniska och organisatoriska åtgärder ska regleras i förordning.
Att den personuppgiftsansvarige ska anta interna strategier för dataskydd ska också regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 19.1 ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa, och kunna visa, att behandlingen utförs i enlighet med direktivet. Åtgärderna ska vidtas med beaktande av behandlingens art, omfattning, sammanhang och ändamål och riskerna för fysiska personers rättigheter och friheter. Åtgärderna ska ses över och uppdateras vid behov. Enligt artikel 19.2 ska åtgärderna, om det står i proportion till behandlingen, omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.
I artikel 20.1 regleras principen om inbyggt dataskydd. Inbyggt dataskydd innebär att den personuppgiftsansvarige, både vid beslut om vilka medel behandlingen ska utföras med och vid själva be-
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
301
handlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder som återspeglar dataskyddsprinciper och integrerar nödvändiga skyddsåtgärder i behandlingen. Åtgärderna ska vidtas med beaktande av den senaste utvecklingen, kostnader för genomförandet, behandlingens art, omfattning, sammanhang och ändamål och risken för fysiska personers rättigheter och friheter. Pseudonymisering anges som exempel på en åtgärd som bör vidtas och uppgiftsminimering som exempel på en dataskyddsprincip som bör genomföras.
I artikel 20.2 kommer principen om dataskydd som standard till uttryck. Enligt artikeln ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen. Skyldigheten avser mängden insamlade uppgifter, behandlingens omfattning, hur länge uppgifterna får lagras och uppgifternas tillgänglighet. Framför allt ska åtgärderna säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal andra personer.
Bestämmelserna om tekniska och organisatoriska åtgärder saknar motsvarighet i det nu gällande dataskyddsdirektivet och i personuppgiftslagen. I 31 § personuppgiftslagen finns dock bestämmelser om säkerhetsåtgärder.
Lämpliga tekniska och organisatoriska åtgärder ska vidtas
Artikel 4.1 i direktivet innehåller allmänna och grundläggande principer för behandling av personuppgifter. Av artikel 4.4 framgår att den personuppgiftsansvarige ska ansvara för och kunna visa efterlevnaden av dessa grundläggande principer. Enligt artikel 19.1 är den personuppgiftsansvarige skyldig att vidta lämpliga åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med gällande rätt. Den artikeln tar sikte på de åtgärder som behövs för att bl.a. de grundläggande principerna om behandling av personuppgifter i artikel 4.1 ska kunna efterlevas.
Artikel 19.1 bör genomföras, men det är inte möjligt att i ramlagen ange vilka tekniska och organisatoriska åtgärder som den per-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
302
sonuppgiftsanvarige bör vidta. Det får avgöras i varje enskilt fall beroende på vilken verksamhet det rör sig om.
Vilka omständigheter som den personuppgiftsansvarige ska beakta vid beslut om åtgärder kan regleras i förordning. Enligt utredningens mening bör de omständigheter som framgår av artikel 19.1 beaktas. Att åtgärderna ska ses över och uppdateras vid behov behöver dock inte författningsregleras, eftersom det får anses ingå i den generella skyldigheten.
Vilka tekniska och organisatoriska åtgärder som kan krävas varierar också beroende på vilka personuppgifter som ska behandlas. Det kan vara lämpligt att regeringen eller den myndighet som regeringen bestämmer ges möjlighet att vid behov utfärda närmare riktlinjer på området.
Enligt artikel 19.1 ska den personuppgiftsansvarige inte bara säkerställa att behandlingen utförs författningsenligt utan också kunna visa att så är fallet. Det bör innebära att den personuppgiftsansvarige bl.a. ska se till att behandlingar och vidtagna åtgärder dokumenteras och att det är tekniskt möjligt att spåra behandlingar genom loggning och att loggningen följs upp. Utredningen föreslår visserligen att vissa sådana åtgärder ska regleras (se avsnitt 10.2.2 och 10.2.7), men det kan ändå vara lämpligt att i en särskild bestämmelse tydliggöra den personuppgiftsansvariges generella ansvar att vidta åtgärder.
Enligt artikel 19.2 ska den personuppgiftsansvarige, om det står i proportion till behandlingen, anta lämpliga strategier för dataskydd. I skäl 53 anges att det är interna strategier som avses. Det som avses är enligt utredningens mening exempelvis interna regler, riktlinjer och rutiner och olika typer av styrdokument och policydokument. Sådana interna regelverk kan t.ex. behandla tilldelning av behörigheter och information till och utbildning av personal. Eftersom både direktivet och dataskyddsförordningen använder ordet strategier bör det användas i regleringen.
Direktivet ger ingen vägledning i fråga om vad som krävs för att skyldigheten att anta strategier ska vara proportionerlig. Enligt utredningens mening bör i vart fall personuppgiftsansvariga under vars ansvar det dagligen behandlas en större mängd personuppgifter eller hanteras behandlingssystem av större omfattning åläggas att anta interna strategier för skydd av personuppgifter. Det omfattar merparten av de behöriga myndigheterna inom ramlagens tillämp-
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
303
ningsområde. Om en myndighet endast i liten omfattning behandlar personuppgifter inom ramlagens tillämpningsområde finns det inte samma behov av sådana strategier. Mot den bakgrunden anser utredningen att alla personuppgiftsansvariga bör vara skyldiga att anta interna strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning. En bestämmelse om det kan tas in i förordning.
Inbyggt dataskydd
Inbyggt dataskydd går ut på att låta integritetsfrågor påverka itsystemen från förstudie och kravställning via design och utveckling till användning och avveckling. Genom krav på att integritetsfrågor ska beaktas under hela tiden kan säkerheten höjas och författningsenlig och korrekt behandling underlättas. Artikel 20.1 bör därför genomföras i ramlagen.
På samma sätt som när det gäller artikel 19.1 är det inte möjligt att i ramlagen ange vilka tekniska och organisatoriska åtgärder som den personuppgiftsanvarige bör vidta för att leva upp till principen om inbyggt dataskydd. Det får avgöras i varje enskilt fall beroende på vilken verksamhet det rör sig om och vilka personuppgifter som ska behandlas. Det handlar främst om åtgärder för att minimera mängden personuppgifter, begränsa åtkomsten till uppgifterna och på olika sätt skydda dem. I artikel 20.1 nämns pseudonymisering som ett exempel på en sådan åtgärd.
Vilka omständigheter som ska beaktas vid beslut om sådana åtgärder kan regleras i förordning. Enligt utredningen bör de omständigheter som framgår av artikel 20.1 beaktas. Förutom personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål och riskerna med behandlingen ska också de tekniska möjligheterna och kostnaderna för åtgärderna beaktas i dessa fall.
Dataskydd som standard
Dataskydd som standard kan sägas innebära att arbetsflödena i ett system automatiskt ska styra användaren mot ett integritetssäkert arbetssätt och att grundinställningarna är satta så att inte mer information än nödvändigt samlas in eller visas. Direktivet föreskri-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
304
ver att personuppgiftsansvariga ska vidta lämpliga åtgärder för att i standardfallet säkerställa det. Det behövs en bestämmelse i ramlagen om det.
Skyldigheten förefaller gälla oavsett omständigheterna. Dataskydd som standard torde således vara något som den personuppgiftsansvarige ska säkerställa oavsett vilken behandling eller vilka personuppgifter det rör sig om och oavsett vad åtgärderna kostar. Som utredningen tolkar artikeln bör dataskydd som standard i princip gälla i alla system där personuppgifter behandlas. Det måste dock finnas visst utrymme för avsteg från huvudregeln i de fall där den personuppgiftsansvarige inte har rätt att införa sådana åtgärder, t.ex. i standardprogram som Word och Outlook där användaren inte råder över de tekniska lösningarna. De behöriga myndigheterna måste kunna använda även sådana system. Mot den bakgrunden anser utredningen att kravet på dataskydd som standard endast bör gälla i automatiserade behandlingssystem. Vad som avses med automatiserade behandlingssystem behandlas i avsnitt 10.2.2.
Även om kravet på dataskydd som standard enligt utredningens mening endast bör gälla i automatiserade behandlingssystem bör de behöriga myndigheterna säkerställa att även behandling i de standardprogram som används lever upp till de grundläggande kraven på behandling av personuppgifter. Om standardprogram inte gör det bör de följaktligen inte användas inom ramlagens tillämpningsområde.
I direktivet anges att skyldigheten avser mängden insamlade uppgifter, behandlingens omfattning, lagringstiden och uppgifternas tillgänglighet. Härigenom tydliggörs det att regleringen inte enbart avser tillgången till personuppgifter som är fallet vid liknande bestämmelser om säkerhetsåtgärder. Dataskydd som standard innebär således att åtgärder ska vidtas för att säkerställa att inte fler personuppgifter än nödvändigt behandlas, att uppgifterna endast behandlas på ett sådant sätt och så länge som det är nödvändigt och inte görs tillgängliga för fler än nödvändigt. Uppräkningen i artikel 20.2 bör dock inte tas in i ramlagen. Att precisera skyldigheten på det sättet riskerar att låsa myndigheterna vid viss utformning av automatiserade behandlingssystem.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
305
10.2.2 Loggning
Utredningens förslag: Den personuppgiftsansvarige ska säker-
ställa att det i automatiserade behandlingssystem förs loggar över personuppgiftsbehandling i den utsträckning det är särskilt föreskrivet.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Artikel 25.1 föreskriver att loggar, dvs. dokumentation, ska föras över vissa typer av behandlingar i automatiserade behandlingssystem. Loggningen ska avse insamling, ändring, läsning, utlämning (inklusive överföringar), sammanförande och radering. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan behandling, vem som har läst eller lämnat ut personuppgifter och vilka som har fått tillgång till dem. Av artikel 25.2 framgår att loggarna bara bör användas för att kontrollera om behandlingen är tillåten, för att säkerställa personuppgifternas integritet och säkerhet, för egenkontroll och för straffrättsliga förfaranden. Här avses med att säkerställa personuppgifternas integritet att de ska skyddas mot förvanskning eller förändring. Loggarna ska, enligt artikel 25.3, på begäran göras tillgängliga för tillsynsmyndigheten. Bestämmelsen riktar sig även till personuppgiftsbiträden (se avsnitt 10.6.5).
Som tidigare nämnts ställs krav på säkerhetsåtgärder i 31 § personuppgiftslagen. De anses även omfatta loggning och liknande åtgärder. Av Datainspektionens allmänna råd om säkerhet för personuppgifter framgår att det, beroende på känsligheten hos personuppgifterna, bör finnas en behandlingshistorik (logg) som sparas viss tid så att åtkomsten till uppgifterna kan kontrolleras. Enligt Datainspektionen bör en behandlingshistorik normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Historiken bör, beroende på hur känsliga personuppgifterna är, ange t.ex. läsning, ändring, utplåning eller kopiering av personuppgifter (Säkerhet för personuppgifter, Datainspektionens allmänna råd, november 2008, s. 22). Bestämmelser om loggning kan även finnas i myndighetsföreskrifter.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
306
Loggning i automatiserade behandlingssystem
Loggning är en säkerhetsåtgärd som innebär att behandlingshistorik sparas under en viss tid. Det är en teknisk funktion i systemet som fungerar automatiskt och som inte går att ändra eller påverka på annat sätt. Loggning fyller flera olika funktioner. Den ger den personuppgiftsansvarige information både om hur behandlingssystemen används och om externa och interna angrepp mot systemen. Loggning är således mycket viktig för det interna säkerhetsarbetet. Den ger också tillsynsmyndigheten nödvändig information för granskning i efterhand av hur personuppgifter har behandlats. Det bör finnas en bestämmelse i ramlagen som slår fast att det krävs loggning. I vilken utsträckning det bör göras kan regleras i förordning.
Direktivet föreskriver att loggar ska föras över behandlingar i automatiserade behandlingssystem men uttrycket definieras inte. Det används endast i artikel 25.1 som handlar om loggning och artikel 29.2 som räknar upp olika säkerhetsåtgärder. I den sistnämnda artikeln används uttrycket i samband med behörig åtkomst till automatiserade behandlingssystem och loggning av aktivitet i sådana system. Att uttrycket automatiserade behandlingssystem bara används i dessa sammanhang talar enligt utredningens mening för att det är en viss typ av system som avses och således inte itsystem generellt. Den tolkningen framstår också som mest rimlig med tanke på vilka krav som ställs på loggning. Ser man till syftet med loggningen framstår behovet av den som störst vid användning av verksamhetsspecifika behandlingssystem.
Loggar bör alltså föras i automatiserade behandlingssystem. Utredningen anser att automatiserade behandlingssystem i detta sammanhang bör avse för verksamheten särskilt utformade eller anpassade behandlingssystem där personuppgifter behandlas mer eller mindre strukturerat, t.ex. verksamhetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser. Däremot bör standardprogram som Word, Outlook och Excel, av samma skäl som anges i avsnitt 10.2.1 när det gäller dataskydd som standard, inte omfattas av de i direktivet preciserade kraven på loggning. Olika lagringsytor, som t.ex. usb-minnen och anställdas personliga mappar på den egna datorn, bör också enligt utredningens mening undantas från de kraven. Personuppgiftsregleringen i
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
307
övrigt gäller självfallet för behandling som utförs i sådan programvara och på sådana lagringsytor även om de inte omfattas av de preciserade kraven på loggning. De närmare detaljerna kan regleras på lägre normgivningsnivå.
Förslaget att de mer preciserade kraven på loggning i direktivet ska begränsas till automatiserade behandlingssystem ska inte uppfattas som att kraven på annan behandling är lägre. Loggning är ett viktigt inslag i det övergripande kravet på att personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, vilket innebär att loggning kan krävas även i andra fall. Vilka uppgifter som kan behöva loggas kan dock variera. Det kan t.ex. vara viktigare med loggning i system som ett flertal personer använder än i system som enbart ett fåtal har tillgång till. Mot bakgrund av att alla de detaljkrav på loggning som direktivet ställer upp inte alltid är möjliga att leva upp till i alla system, anser utredningen att regleringen i ramlagen med tillhörande förordning bör begränsas till vad som krävs enligt direktivet. Det skulle nämligen riskera att urholka respekten för regleringen om den ställer detaljkrav som den personuppgiftsansvarige inte under några omständigheter kan leva upp till.
Utredningen utgår från att de personuppgiftsansvariga i den mån det är tekniskt möjligt kommer att ha loggning även i andra system av hänsyn till att det krävs för att personuppgifterna ska ha ett tillfredsställande skydd och för att ge underlag för intern kontroll. Den personuppgiftsansvarige måste naturligtvis också se till att behandling av integritetskänsliga personuppgifter inte utförs i system som inte omfattas av de strikta kraven på loggning i syfte att kringgå kraven. Tillsynsmyndigheten bör i enskilda fall kunna ställa krav på loggning om det är en skydds- eller säkerhetsåtgärd som är nödvändig för att behandlingen ska omgärdas med tillräckligt skydd.
Vad ska loggas?
Loggar bör föras över de typer av behandlingar som anges i artikel 25.1. Därutöver bör även överföringar till tredjeland eller internationella organisationer loggas.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
308
En behandlingshistorik bör normalt vara utformad så att den avslöjar felaktig eller obehörig användning av personuppgifter. När det gäller läsning och utlämning av personuppgifter ska enligt direktivet loggarna göra det möjligt att få fram viss typ av information. Eftersom loggning är ett automatiskt förfarande kan endast viss information om behandlingen dokumenteras. Det rör sig främst om datum och tidpunkt för behandlingen. Information om vem som har behandlat personuppgiften går också att få fram, om de anställda har tilldelats behörigheter och det krävs inloggning i systemen. När det gäller utlämnande av uppgifter kan identiteten på den som har lämnat ut uppgifterna endast fastställas om de lämnats ut elektroniskt via systemet. Detsamma gäller överföringar till tredjeland eller internationella organisationer. Det bör dock vara möjligt att logga om en medarbetare har överfört, laddat ner eller skrivit ut uppgifter. Om uppgifterna sedan lämnas ut på annat sätt än elektroniskt, t.ex. muntligen eller på papper, går det inte att logga det. Det kan också vara svårt att logga om uppgifterna lämnas ut via e-post.
Loggarna över läsning och utlämning ska enligt direktivet göra det möjligt att fastställa motiveringen för behandlingen. Skälen till att någon i ett visst fall tar del av eller lämnar ut en viss personuppgift kan inte fastställas automatiskt genom loggning. I skäl 57 anges att identiteten på den person som läst eller lämnat ut uppgifter bör loggas och från den identifieringen skulle det kunna vara möjligt att fastställa motiveringen till behandlingen. Det som avses är troligen att man indirekt av annan loggad information kan dra vissa slutsatser om anledningen till behandlingen. Enligt utredningens mening är det dock inte detsamma som att motiveringen till behandlingen loggas. Som exempel kan nämnas kontroll av om någon förekommer i belastningsregistret. Inom polisen kan sådan kontroll vara nödvändig inom alla delar av ramlagens tillämpningsområde. Sådan kontroll görs dock även för andra polisiära ändamål, både för administrativa ändamål (anställning), för beslut i förvaltningsärenden (t.ex. om vapenlicens) eller för att besvara förfrågningar från andra myndigheter (t.ex. i tillståndsärenden). Det går alltså inte att dra någon slutsats av att en polisanställd kontrollerat om en person förekommer i belastningsregistret. Utredningens slutsats är därför att det inte är möjligt att automatiskt logga motiveringen till varför
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
309
personuppgifter behandlas. Någon sådan skyldighet bör därför inte finnas.
I artikel 25 anges att loggarna över läsning och utlämning även ska visa vilka som har fått tillgång till personuppgifterna. Kravet skulle kunna avse både intern och extern tillgång. Det som avses här torde dock framför allt vara de personer eller myndigheter till vilka uppgifterna har lämnats ut. Sådan information kan bara loggas om utlämnandet görs elektroniskt via systemet. Det görs t.ex. om någon har direktåtkomst till vissa uppgifter i ett system eller om uppgifter överförs elektroniskt efter förfrågan. Den utlämnande myndigheten bör genom loggning kunna fastställa vilken annan myndighet som har fått tillgång till viss information, men inte vilken medarbetare hos den andra myndigheten som har tagit del av informationen. Sådan information bör dock finnas hos mottagaren, om det är en behörig myndighet. På så sätt uppfylls kraven i direktivet.
Vad som ska loggas kan regleras i förordning. Dokumentation genom loggning möjliggörs genom olika tekniska åtgärder. Skyldigheten innebär att den personuppgiftsansvarige ska säkersställa att de automatiserade behandlingssystem som används möjliggör loggning i den utsträckning som krävs och att informationen faktiskt loggas.
Vad som bör loggas är typiskt sett ett område där det också kan finnas behov av föreskrifter på lägre normgivningsnivå, eftersom behov, arbetssätt och tekniska möjligheter varierar. Utredningen utgår från att de behöriga myndigheterna vid behov tar fram interna regler om loggning. Generella föreskrifter om exempelvis krav och rutiner för loggning och logguppföljning bör dock vid behov kunna meddelas av regeringen eller den myndighet som regeringen bestämmer.
Hur ska loggarna användas?
De flesta behöriga myndigheter för redan i dag loggar som en del av informationssäkerhetsarbetet. Tanken är inte att de behöriga myndigheterna ska åläggas att föra ytterligare en logg enbart för personuppgiftsbehandlingen. De system för loggning som i dag används främst i informationssäkerhetssyfte bör normalt kunna an-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
310
vändas även för kontroll från ett integritetsskyddsperspektiv. Av artikel 25.2 framgår att loggar endast får användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa personuppgifternas integritet och säkerhet och för straffrättsliga förfaranden. Det innebär enligt utredningens mening att loggarna får användas i informationssäkerhetssyfte.
Syftet med loggning är att åtkomsten till personuppgifterna ska kunna kontrolleras, bl.a. för att göra det möjligt att utreda felaktig eller obehörig användning av uppgifterna. För att det ska kunna göras måste loggarna sparas viss tid. Loggning kan också ha en förebyggande funktion. Det förutsätter att användarna informeras om att det förs loggar och att de kontrolleras (Säkerhet för personuppgifter s. 22). Loggningen bör alltså följas upp och loggarna skyddas mot otillåtna ändringar.
Det är enligt utredningens mening viktigt att skilja mellan själva loggningen och uppföljning av loggningen. Logguppföljning bör göras systematiskt och återkommande i syfte att upptäcka och motverka obehörig åtkomst. Uppföljning bör också göras vid misstanke om att någon obehörigen tagit del av personuppgifter. Det kan vidare finnas anledning att följa upp behandlingshistoriken t.ex. på områden där det finns särskilt integritetskänsliga personuppgifter eller behörigheter som ger vida möjligheter till åtkomst. Det kan också finnas skäl att kontrollera vissa inloggningsmönster. Myndigheterna bör ha rutiner för logguppföljningen. Den personuppgiftsansvarige bör exempelvis ge riktlinjer och vägledning till den som kontrollerar loggarna beträffande vad som kan vara obehörig åtkomst. Vid logguppföljning måste också reglerna om meddelarfrihet och efterforskningsförbud i tryckfrihetsförordningen och yttrandefrihetsgrundlagen beaktas, vilket innebär att möjligheten till uppföljning i vissa fall begränsas eller kan vara otillåten.
Enligt utredningens mening bör det inte författningsregleras hur loggarna får användas. Risken är att man då låser fast myndigheterna vid ett visst arbetssätt eller omöjliggör användning som i efterhand visar sig vara nödvändig. Myndigheterna kan själva reglera användningen genom interna föreskrifter eller riktlinjer. Tillsynsmyndigheten kan också ge myndigheterna vägledning för användningen av loggar, t.ex. genom allmänna råd eller andra riktlinjer. Det är nämligen viktigt att loggningssystem inte missbrukas eller används för andra syften än som varit avsett.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
311
Loggarna utgör sådan dokumentation som tillsynsmyndigheten har rätt att på begäran få del av (se avsnitt 12.7.3). Någon särskild bestämmelse som föreskriver att loggarna ska göras tillgängliga för tillsynsmyndigheten behövs därför inte.
10.2.3 Tillgången till personuppgifter
Utredningens förslag: Den personuppgiftsansvarige ska se till
att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Skälen för utredningens förslag
Nuvarande reglering
I de flesta registerförfattningar inom ramlagens tillämpningsområde finns det bestämmelser som begränsar medarbetarnas tillgång till personuppgifter. Så är fallet i exempelvis 2 kap. 11 § polisdatalagen (2010:361), 2 kap. 9 § åklagardatalagen (2015:433) och 8 § domstolsdatalagen (2015:728). Av paragraferna framgår att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Tillgången till personuppgifter ska begränsas
I artikel 4.1 c, som anger de grundläggande principerna för behandling, föreskrivs att personuppgifter inte får vara för omfattande i förhållande till de syften för vilka de behandlas. Av artikel 29.2 e, som behandlar säkerhetsåtgärder, framgår att den personuppgiftsansvarige eller personuppgiftsbiträdet ska säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet. Frågan är om det i ramlagen bör tas in en generell bestämmelse om tillgången till personuppgifter.
Stora informationsmängder som är samlade så att personuppgifter är enkelt sökbara på elektronisk väg medför risk för intrång i den personliga integriteten. Risken för intrång är särskilt stor om
Personuppgiftsansvarigas skyldigheter SOU 2017:29
312
det, som ofta är fallet inom ramlagens tillämpningsområde, rör sig om integritetskänsliga personuppgifter. I förarbetena till flera av registerförfattningarna påtalas vikten av att det säkerställs att integritetskänsliga personuppgifter görs tillgängliga bara för dem som behöver uppgifterna för sitt arbete. Vem som har rätt att använda personuppgifterna och hur uppgifterna sprids är nämligen omständigheter som påverkar risken för intrång i den personliga integriteten (se bl.a. prop. 2009/10:85 s. 94 och Kustbevakningsdatalag, prop. 2011/12:45, s. 87 f.). I förarbetena till åklagardatalagen konstateras att det är en hörnsten i skyddet av enskildas integritet att åtkomst endast medges till de personuppgifter som den enskilde tjänstemannen behöver för att kunna utföra sina arbetsuppgifter (prop. 2014/15:63 s. 59).
Ju fler personer i en myndighet som har tillgång till personuppgifter, desto större är risken för obehörig åtkomst eller spridning av uppgifterna. Att utbilda användarna i informationssäkerhets- och dataskyddsfrågor är en viktig organisatorisk säkerhetsåtgärd, men det är ofta inte tillräckligt. Att tillgången till personuppgifter i så stor utsträckning som möjligt faktiskt begränsas till vad var och en behöver för att utföra sitt arbete är viktigt för att skapa ett tillfredsställande internt skydd för personuppgifter vid myndigheters informationshantering (SOU 2015:39 s. 385).
Enligt utredningens mening finns det ett generellt behov av att begränsa tillgången till personuppgifter. En bestämmelse om det bör därför tas in i ramlagen. Den personuppgiftsansvarige är alltså alltid skyldig att pröva anställdas och uppdragstagares behov av tillgång till personuppgifter utifrån vad arbetsuppgifterna kräver och begränsa tillgången i enlighet med det. Den bör gälla personuppgifter i både den behöriga myndighetens egna system och system som myndigheten får tillgång till genom direktåtkomst eller andra former av informationsutbyte.
Eftersom bestämmelsen bör vara generell kan det finnas behov av närmare riktlinjer för hur tillgången till personuppgifter bör avgränsas för de enskilda tjänstemännen. Det kan regleras i myndigheternas registerförfattningar eller i föreskrifter på myndighetsnivå. Det kan också regleras i interna styrdokument hos den behöriga myndigheten. Det bör i ramlagen upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om tillgången till personuppgifter.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
313
10.2.4 Konsekvensbedömning
Utredningens förslag: Kan en typ av ny behandling, eller bety-
dande förändringar avseende redan pågående behandling, antas medföra särskild risk för intrång i registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen påbörjas eller förändringen genomförs bedöma konsekvenserna för skyddet av personuppgifter. Vad en konsekvensbedömning ska innehålla och kraven i övrigt ska regleras i förordning.
Skälen för utredningens förslag: I artikel 27.1 föreskrivs att den
personuppgiftsansvarige i vissa fall ska göra en bedömning av konsekvenserna för skyddet av personuppgifter när det gäller planerad personuppgiftsbehandling. Konsekvensbedömning ska göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av behandlingens art, omfattning, sammanhang och ändamål, sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Enligt artikel 27.2 ska en konsekvensbedömning innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter och uppgift om dels vilka åtgärder som planeras för att hantera dessa risker, dels skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifter och för att visa att direktivet efterlevs.
Det behövs en bestämmelse i ramlagen som reglerar personuppgiftsansvarigas skyldighet att göra konsekvensbedömningar. En konsekvensbedömning bör göras om det kan antas att en viss typ av ny behandling kommer att medföra särskild risk för intrång i registrerades personliga integritet. Enligt utredningens mening bör en konsekvensbedömning också göras om betydande förändringar av redan pågående behandlingar förväntas leda till sådan risk. Det framgår av artikel 27.1 vilka omständigheter som särskilt ska beaktas vid bedömningen av risken.
I skäl 58 anges att konsekvensbedömningarna bör omfatta relevanta system och processer för behandlingen men inte enskilda fall. Det tydliggörs i artikeln genom att det ska röra sig om en typ av behandling. Samma uttryck bör användas i ramlagen.
Konsekvensbedömningen ska innehålla viss i direktivet angiven information. Enligt utredningens mening följer det indirekt av det
Personuppgiftsansvarigas skyldigheter SOU 2017:29
314
kravet att konsekvensbedömningen ska dokumenteras, exempelvis i en skriftlig rapport. Det bör regleras vilken information konsekvensbedömningen ska innehålla och att den ska dokumenteras, men det kan göras i förordning.
Det finns enligt utredningens mening inget som hindrar att personuppgiftsansvariga gör konsekvensbedömningar även i andra fall, t.ex. om en typ av behandling förväntas leda till risk för intrång i registrerades personliga integritet men risken är lägre. Sådana konsekvensbedömningar torde ofta krävas för att den personuppgiftsansvarige ska kunna göra relevanta bedömningar av bl.a. vilka säkerhets- och skyddsåtgärder som krävs.
10.2.5 Förhandssamråd med tillsynsmyndigheten
Utredningens förslag: Om konsekvensbedömningen visar att
det finns särskild risk för intrång i registerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs.
Skälen för utredningens förslag
Innehållet i direktivet
I artikel 28.1 föreskrivs att den personuppgiftsansvarige eller personuppgiftsbiträdet under vissa förutsättningar ska samråda med tillsynsmyndigheten inför behandling av personuppgifter som kommer att ingå i ett nytt register, s.k. förhandssamråd. Sådant samråd ska bl.a. äga rum om en konsekvensbedömning visar att behandlingen skulle leda till hög risk för de registrerades rättigheter och friheter om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken.
Tillsynsmyndigheten får enligt artikel 28.3 upprätta en förteckning över vilka typer av behandlingar som kräver förhandssamråd. Den personuppgiftsansvarige ska enligt artikel 28.4 lämna in konsekvensbedömningen till tillsynsmyndigheten tillsammans med
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
315
eventuell övrig information som myndigheten behöver för att kunna bedöma behandlingen.
I artikel 28.5 regleras förfarandet hos tillsynsmyndigheten. Myndigheten ska, om den anser att den planerade behandlingen inte är förenlig med direktivet, inom viss tid lämna skriftliga råd till den personuppgiftsansvarige eller personuppgiftsbiträdet. Tillsynsmyndigheten får då utnyttja alla de befogenheter som den har.
Nuvarande reglering
Enligt artikel 20 i det nu gällande dataskyddsdirektivet ska medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för de registrerades fri- och rättigheter och säkerställa att dessa kontrolleras innan de påbörjas. Sådana förhandskontroller ska utföras av tillsynsmyndigheten efter anmälan från den personuppgiftsansvarige. Artikeln har genomförts i 41 § personuppgiftslagen. Där föreskrivs att regeringen får meddela föreskrifter om att sådana behandlingar som innebär särskilda risker för intrång i den personliga integriteten ska anmälas till tillsynsmyndigheten för förhandskontroll.
I 2 § polisdataförordningen (2010:1155) regleras när Polismyndigheten och Säkerhetspolisen ska samråda med Datainspektionen. Sådant samråd ska äga rum när myndigheterna planerar nya itsystem av större omfattning eller nya it-system som kan innebära särskilda risker för intrång i den personliga integriteten och när det genomförs betydande förändringar i sådana system. Samråd ska äga rum i god tid innan beslut i frågan fattas. Paragrafen föreskriver även samråd med Säkerhets- och integritetsskyddsnämnden i vissa frågor. En likadan bestämmelse om samråd med Datainspektionen finns i 2 § kustbevakningsdataförordningen (2012:146).
En generell samrådsskyldighet för alla personuppgiftsansvariga
Enligt direktivet ska den personuppgiftsansvarige vara skyldig att samråda med tillsynsmyndigheten vid planering av behandling av personuppgifter i ett nytt register på ett sätt som kan leda till hög risk för intrång i registrerades personliga integritet. Samråd ska äga rum om en konsekvensbedömning visar att behandlingen kommer
Personuppgiftsansvarigas skyldigheter SOU 2017:29
316
att medföra sådan risk om åtgärder inte vidtas för att minska risken eller om typen av behandling i sig kan anses innebära sådan risk. Vid bedömningen ska särskilt användandet av ny teknik, nya rutiner eller nya förfaranden beaktas.
Samrådsskyldigheten enligt artikel 28.1 ska gälla för alla personuppgiftsansvariga. Det bör därför i ramlagen tas in en bestämmelse som riktar sig till de personuppgiftsansvariga och som ålägger dem skyldighet att samråda med tillsynsmyndigheten i vissa situationer. Personuppgiftsbiträdens skyldigheter vid förhandssamråd behandlas i avsnitt 10.6.5.
I direktivet krävs det bara konsekvensbedömning och samråd inför helt nya former av behandling. Enligt utredningens mening är det lika viktigt med samråd inför betydande förändringar av redan pågående behandlingar som kan antas medföra särskild risk för intrång i den personliga integriteten. Skyldigheten att upprätta konsekvensbedömningar föreslås därför även omfatta den situationen (se avsnitt 10.2.4). Motsvarande bör gälla samrådsskyldigheten. För att underlätta för den personuppgiftsansvarige och för att säkerställa att förhandssamrådet träffar rätt situationer bör tillsynsmyndigheten genom föreskrifter kunna ange vilka typer av behandlingar som ska omfattas av förhandssamråd.
Samråd blir främst aktuellt när den personuppgiftsansvarige har gjort en konsekvensbedömning som visar att behandlingen innebär särskild risk för intrång i registrerades personliga integritet. Vid samrådet bör den personuppgiftsansvarige redovisa vilka åtgärder som planeras för att minska risken. Att den personuppgiftsansvarige vidtagit åtgärder för att minska risken befriar enligt utredningens mening inte från skyldigheten att samråda med tillsynsmyndigheten.
Samråd aktualiseras också om typen av behandling, särskilt med beaktande av ny teknik, nya rutiner eller nya förfaranden, i sig innebär särskild risk för intrång i registrerades personliga integritet och en konsekvensbedömning med anledning av det har gjorts. I sådana fall är resultatet av konsekvensbedömningen inte avgörande för om samråd med tillsynsmyndigheten ska äga rum.
Det är viktigt att samrådet äger rum så tidigt i utvecklingsprocessen som möjligt. Då kan frågor om integritetsskydd beaktas på ett bättre sätt. Samtidigt bör förhandssamrådet inte äga rum så tidigt att det inte finns något konkret förslag på teknisk lösning för
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
317
tillsynsmyndigheten att ta ställning till. Utredningen anser att samrådet bör äga rum i god tid innan behandlingen påbörjas eller större förändringar av redan pågående behandlingar genomförs.
Vid förhandssamråd bör den personuppgiftsansvarige lämna in konsekvensbedömningen och eventuell annan information som tillsynsmyndigheten kan behöva för att bedöma dels riskerna med behandlingen, dels om behandlingen i övrigt är förenlig med gällande rätt. Som framgår av avsnitt 10.5.3 ska dataskyddsombud fungera som kontaktpunkt för tillsynsmyndigheten vid förhandssamrådet.
Tillsynsmyndighetens befogenheter
Enligt artikel 28.5 ska tillsynsmyndigheten inom ramen för förhandssamrådet använda sina befogenheter, om den anser att den planerade behandlingen inte är författningsenlig. Utredningen tolkar artikeln så att tillsynsmyndigheten i dessa situationer bör ha möjlighet att använda sina förebyggande befogenheter gentemot den personuppgiftsansvarige. Myndigheten ska, inom ramen för förhandssamrådet, ge den personuppgiftsansvarige skriftliga råd. Myndigheten har också möjlighet att utfärda varning för att behandla personuppgifterna på det planerade sättet (se avsnitt 12.7.5). Om den personuppgiftsansvarige ignorerar råden och varningen och påbörjar behandlingen kan tillsynsmyndigheten vidta andra åtgärder, t.ex. att utfärda ett föreläggande eller besluta om sanktionsavgift (se avsnitt 12.7.6 och 13.5.2). Korrigerande åtgärder vidtas dock inte inom ramen för förhandssamrådet utan är i stället ett led i tillsynsmyndighetens allmänna tillsynsuppgifter enligt ramlagen.
Direktivet innehåller vissa detaljbestämmelser om tillsynsmyndighetens roll vid förhandssamråd. De skriftiga råden till den personuppgiftsansvarige ska lämnas inom sex veckor från det att begäran om samråd mottogs. Tiden får förlängas med en månad om den planerade behandlingen är komplicerad. I så fall ska tillsynsmyndigheten inom en månad från det att begäran om samråd mottogs informera den personuppgiftsansvarige om förlängningen och om orsakerna till den. Detaljerna kan regleras i förordning.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
318
10.2.6 Samarbete med tillsynsmyndigheten
Utredningens förslag: Den personuppgiftsansvarige ska samar-
beta med tillsynsmyndigheten när den utför sina uppgifter enligt ramlagen och föreskrifter som har meddelats i anslutning till den.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 26 ska den personuppgiftsansvarige på begäran samarbeta med tillsynsmyndigheten när den utför sina uppgifter. Personuppgiftsbiträden har samma skyldighet (se avsnitt 10.6.5).
Det finns i dag ingen uttrycklig regel om personuppgiftsansvarigas samarbete med tillsynsmyndigheten. Enligt 6 § förvaltningslagen (1986:223) ska varje myndighet lämna andra myndigheter hjälp inom ramen för den egna verksamheten.
Samarbetsskyldigheten bör regleras
Enligt utredningens mening går kravet i direktivet på samarbete med tillsynsmyndigheten utöver det som ryms i den allmänna samverkansskyldigheten enligt 6 § förvaltningslagen. Den skyldigheten gäller bara inom ramen för den egna verksamheten. En myndighet torde därmed inte vara skyldig att hjälpa till med sådant som rör en annan myndighets verksamhet. Utredningen anser därför att det inte kan hävdas att artikel 26 är uppfylld genom den allmänna samverkansskyldigheten enligt förvaltningslagen. Regleringen av tillsynsmyndighetens undersökningsbefogenheter täcker inte heller helt den samarbetsskyldighet som krävs. Samarbetsskyldigheten innebär inte bara att den personuppgiftsansvarige ska ge tillsynsmyndigheten tillgång till det material och de resurser som den har rätt till. Som utredningen tolkar bestämmelsen innebär skyldigheten även att den personuppgiftsansvarige ska underlätta för tillsynsmyndigheten att utöva sina tillsynsbefogenheter på ett effektivt sätt.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
319
Som framgår av avsnitt 12.7.3 får tillsynsmyndigheten inte använda tvång mot den personuppgiftsansvarige för att kunna utöva sin tillsyn. Även mot den bakgrunden är det viktigt att den personuppgiftsansvarige ges en uttrycklig skyldighet att samarbeta med tillsynsmyndigheten. Det bör därför tas in en bestämmelse i ramlagen som slår fast att den personuppgiftsansvarige är skyldig att samarbeta med tillsynsmyndigheten.
Samarbetsskyldigheten aktualiseras när tillsynsmyndigheten utför sina uppgifter enligt ramlagen och de föreskrifter som utfärdas i anslutning till den. Den personuppgiftsansvarige ska alltså vara skyldig att samarbeta med tillsynsmyndigheten när den utövar allmän tillsyn över personuppgiftsbehandling, handlägger klagomål från registrerade, på begäran kontrollerar om personuppgifter behandlas författningsenligt, vidtar åtgärder för att bistå en tillsynsmyndighet i en annan medlemsstat och ger råd inom ramen för bl.a. förhandssamråd.
Vad samarbetsskyldigheten mer konkret kommer att innebära för den personuppgiftsansvarige hör samman med vilka befogenheter som tillsynsmyndigheten ges. Utredningen behandlar det i avsnitt 12.7.
10.2.7 Skyldighet att förteckna behandlingar
Utredningens förslag: Den personuppgiftsansvariges skyldig-
het att förteckna de kategorier av behandlingar som denne ansvarar för ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 24.1 ska alla personuppgiftsansvariga föra register över alla kategorier av verksamheter i samband med behandling som de ansvarar för. I artikeln anges i detalj vilka uppgifter som registret ska innehålla. I artikel 24.2 föreskrivs motsvarande skyldighet för personuppgiftsbiträden (se avsnitt 10.6.4).
Personuppgiftsansvarigas skyldigheter SOU 2017:29
320
Registren ska enligt artikel 24.3 upprättas skriftligen, vilket även innefattar elektronisk form, och på begäran göras tillgängliga för tillsynsmyndigheten.
Nuvarande reglering
Personuppgiftsansvariga har i dag ingen skyldighet att föra register över de behandlingar som de ansvarar för. I stället är de enligt artikel 18.1 i det nu gällande dataskyddsdirektivet skyldiga att anmäla behandling av personuppgifter som är helt eller delvis automatiserad till tillsynsmyndigheten. Tillsynsmyndigheten ska enligt artikel 21.2 föra ett register över de behandlingar som har anmälts till myndigheten. Enligt artikel 18.2 behöver dock någon anmälan till tillsynsmyndigheten inte göras om den personuppgiftsansvarige utser ett personuppgiftsombud, som bl.a. ska ha till uppgift att föra register över de behandlingar som utförs av den personuppgiftsansvarige. Artiklarna har genomförts i 36, 37 och 39 §§personuppgiftslagen och i 3–7 §§personuppgiftsförordningen (1998:1191). Anmälningsskyldigheten regleras i 36 § första stycket personuppgiftslagen. Av 7 § personuppgiftsförordningen framgår att Datainspektionen ska föra register över de behandlingar av personuppgifter som anmälts till inspektionen.
Myndigheterna i rättskedjan är dock inte anmälningsskyldiga enligt 36 § personuppgiftslagen. Enligt 3 § 3 personuppgiftsförordningen gäller undantag från anmälningsskyldigheten bl.a. för behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning. Myndigheternas registerförfattningar är sådana särskilda föreskrifter. Datainspektionen för således inget register över dessa behandlingar.
För några av myndigheterna föreskrivs att ett personuppgiftsombud ska utses och, genom hänvisning till 39 § personuppgiftslagen, att ombudet ska föra en förteckning över de behandlingar som utförs (se exempelvis 2 kap. 2 § 9 och 5 § polisdatalagen och 2 kap. 2 § 9 och 4 § åklagardatalagen). Detsamma gäller för domstolarna, men ombudets skyldighet att föra en förteckning över behandlingarna regleras i 11 § domstolsdatalagen. Skatteverket, Kriminalvården och Tullverket har i dag ingen skyldighet att utse personuppgiftsombud. Om ett personuppgiftsombud utses i dessa
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
321
verksamheter ska ombudet dock ha de uppgifter som framgår av personuppgiftslagen, bl.a. att föra en förteckning över de behandlingar som utförs.
Dokumentationsskyldighet införs
I direktivet läggs uppgiften att föra register över de behandlingar som utförs på de personuppgiftsansvariga och, i tillämpliga fall, personuppgiftsbiträdena (se avsnitt 10.6.4 om personuppgiftsbiträden).
Av skäl 56 framgår att de personuppgiftsansvariga bör föra register för att visa att behandlingen sker i överensstämmelse med direktivet och att dessa register bör tjäna som grund för övervakningen av behandlingen. Ett av syftena med dokumentationen är således att underlätta tillsynsmyndighetens kontroll, men även att underlätta intern kontroll och granskning av den personuppgiftsbehandling som utförs. Dokumentationen bör också kunna vara till hjälp när information ska lämnas till registrerade. Det behövs en bestämmelse som reglerar skyldigheten att dokumentera behandlingen men den kan tas in i förordning.
I artikel 24.1 föreskrivs att alla personuppgiftsansvariga ska föra register över alla kategorier av verksamheter i samband med behandling som de ansvarar för. I artikel 24.2 anges samtidigt att personuppgiftsbiträden ska föra register över alla kategorier av behandling som utförs. Den engelska språkversionen använder formuleringen ”categories of processing activities” i både artikel 24.1 och artikel 24.2. Uttrycket ”kategorier av behandling” som används i artikel 24.2 är enligt utredningens mening en mer korrekt översättning. Att artiklarna har formulerats på olika sätt i den svenska språkversionen framstår mot den bakgrunden som ett misstag. Utredningen utgår således från att även de personuppgiftsansvariga ska föra register över de kategorier av behandling som de ansvarar för. Vad som avses med kategorier av behandling framgår inte. Det är enligt utredningens mening inte rimligt att tolka begreppet så att alla typer av behandlingar som förekommer ska dokumenteras. En sådan tolkning skulle leda till en alltför omfattande dokumentationsskyldighet. En kategori av behandlingar kan exempelvis vara behandling av personuppgifter i ett specifikt register eller inom
Personuppgiftsansvarigas skyldigheter SOU 2017:29
322
ramen för ett särskilt projekt eller behandling av personuppgifter för en typ av ändamål, t.ex. registrering av brottsanmälningar och handläggning av brottmål.
Vad ska dokumenteras?
I artikel 24.1 räknas det upp vilka uppgifter som ska anges i registret. Direktivet anger något fler uppgifter än vad som krävs i dag. Enligt utredningens mening bör registret innehålla alla de uppgifter som anges i artikel 24.1, vilket bör regleras i förordning.
Registret bör innehålla namn och kontaktuppgifter på den personuppgiftsansvarige, dataskyddsombudet och, i tillämpliga fall, gemensamt personuppgiftsansvariga. Den personuppgiftsansvariges kontaktuppgifter bör avse post- och besöksadress, telefonnummer och e-postadress. För varje kategori av behandling bör registret ange den rättsliga grunden för och ändamålen med behandlingen, uppgift om de kategorier av mottagare som personuppgifterna kan komma att lämnas ut till och en beskrivning av kategorierna av registrerade och av personuppgifter. Med den rättsliga grunden avses författningsstödet för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen. Med ändamålen avses de typer av ändamål för vilka personuppgifter behandlas. När det gäller kategorier av mottagare kan det räcka att ange vilken typ av myndighet som personuppgifterna kan komma att lämnas till, t.ex. åklagare eller domstol. Om mottagarkategorin befinner sig i ett tredjeland eller är en internationell organisation bör det anges. Kategorier av registrerade kan vara en grupp av personer som har en specifik roll, t.ex. misstänkta, målsägande, vittnen eller anhöriga till någon av dessa. När det gäller kategorier av personuppgifter är det främst förekomsten av känsliga personuppgifter som avses.
Registret bör även innehålla uppgift om användning av profilering och uppgift om kategorier av överföringar till tredjeland eller internationella organisationer. När det gäller överföringar till tredjeland eller internationella organisationer anges det i direktivet att kategorier av sådana överföringar ska dokumenteras. Vad som menas med kategorier av överföringar diskuteras i avsnitt 15.6.1. Som utredningen konstaterar där bör uttrycket samling av överfö-
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
323
ringar användas i stället. Om registret ska fylla sitt syfte bör i princip alla överföringar som görs till tredjeland eller internationella organisationer dokumenteras. Av de skäl som anges i avsnitt 15.10 är det tillräckligt att förteckna de samlingar av överföringar som har gjorts till tredjeland eller internationella organisationer.
Om det är möjligt bör registret även innehålla uppgift om hur länge personuppgiftskategorierna får behandlas och en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.
En annan uppgift som kan vara lämplig att ange i registret, men som inte anges i direktivet, är vilka kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas. Det registreras i dag av flera behöriga myndigheter och underlättar både den interna och externa kontrollen. Utredningen anser därför att även den uppgiften bör framgå av registret.
Tillsynsmyndigheten föreslås på begäran få upplysningar om och dokumentation av behandling av personuppgifter från den personuppgiftsansvarige (se avsnitt 12.7.3). Det register över behandlingar som den personuppgiftsansvarige ska föra utgör sådan dokumentation. Någon särskild bestämmelse om att registret ska göras tillgänglig för tillsynsmyndigheten behövs därför inte.
10.2.8 Anmälan av överträdelser
Utredningens förslag: Att den personuppgiftsansvarige ska ha
interna rutiner för anmälan av överträdelser av bestämmelserna om behandling av personuppgifter ska regleras i förordning.
Skälen för utredningens förslag: Enligt artikel 48 ska behöriga
myndigheter inrätta effektiva mekanismer för att uppmuntra konfidentiell rapportering av överträdelser av bestämmelserna som genomför direktivet. Någon motsvarande reglering finns inte i dag.
Med hänsyn till att bestämmelsen har placerats i avsnittet om tillsyn, samtidigt som den riktar sig till de behöriga myndigheterna, tar den enligt utredningens mening sikte på intern kontroll. Utredningen uppfattar bestämmelsen som ett krav på att behöriga myndigheter ska ha en särskild ordning för intern anmälan av överträdelser av bestämmelser om personuppgiftsbehandling. Avsikten bör vara att den personuppgiftsansvarige ska uppmärksammas på
Personuppgiftsansvarigas skyldigheter SOU 2017:29
324
behandlingar som bör leda till åtgärder för att viss behandling ska bli författningsenlig eller för att den personuppgiftsansvarige ska uppfylla andra skyldigheter. Det kan t.ex. krävas begränsning av tillgången eller tekniska åtgärder för att säkerställa säkerheten. De behöriga myndigheterna bör därför ha en intern ordning för att anmäla överträdelser, vilket kan regleras i förordning.
Som utvecklas i avsnitt 10.5.3 ingår det i dataskyddsombudens arbetsuppgifter att övervaka efterlevnaden av tillämpliga dataskyddsbestämmelser. I det ingår att genomföra de granskningar som behövs för myndighetens interna kontroll. Det är därför naturligt att låta dataskyddsombuden ta emot interna anmälningar om överträdelser och avgöra om de bör bli föremål för kontroll. Dataskyddsombud har som regel tillgång till de flesta behandlingssystem och personuppgifter. Ombuden bör också ha den kunskap som krävs för att utreda en eventuell överträdelse och kunna bedöma vad en anmälan bör leda till. Det kan t.ex. vara en rekommendation till den personuppgiftsansvarige att vidta åtgärder eller att dataskyddsombudet själv anmäler överträdelsen till tillsynsmyndigheten, om den negligeras av den personuppgiftsansvarige.
Det kan inte uteslutas att anställda i vissa fall avhåller sig från att anmäla iakttagelser om överträdelser på grund av rädsla för repressalier från kollegor, chefer eller arbetsgivaren. Kravet på konfidentiell rapportering innebär enligt utredningens mening att den interna ordningen ska skydda anmälaren. Till skillnad från vad som kan vara fallet vid anmälningar om allvarliga missförhållanden av annat slag i verksamheten, bör det underlag som krävs för utredningen av överträdelsen i princip finnas i behandlingssystemen. En anmälan torde därför kunna göras anonymt utan att det äventyrar möjligheterna att utreda frågan.
Direktivet ställer inte upp några krav på hur anmälan ska göras. Ordningen kan därmed bestå av allt från en enkel manuell brevlådefunktion till ett avancerat systemstöd. Enligt utredningens mening bör det överlämnas till de behöriga myndigheterna att bestämma hur anmälan om överträdelser av bestämmelser om personuppgiftsbehandling bör göras. Det måste dock säkerställas att anmälan kan göras på ett sådant sätt att anmälarens identitet inte avslöjas.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
325
10.3 Säkerheten för personuppgifter
Utredningens förslag: Den personuppgiftsansvarige ska vidta
lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otilllåten behandling och mot förlust, förstöring eller annan oavsiktlig skada. Vilka omständigheter som ska beaktas för att uppnå en lämplig skyddsnivå ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 29.1 ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller känsliga personuppgifter. Åtgärderna ska vara lämpliga med beaktande av den senaste utvecklingen och genomförandekostnader och med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och riskerna för fysiska personers rättigheter och friheter. I artikel 29.2 ställs mer konkreta krav på vilka typer av åtgärder som ska vidtas för att förhindra att uppgifterna hamnar i orätta händer och säkerställa att det går att kontrollera viss behandling och att de system som används fungerar tillfredsställande.
Artikel 29 kompletterar det grundläggande kravet på säkerhet i artikel 4.1 f. Där framgår att personuppgifter, med användning av lämpliga tekniska eller organisatoriska åtgärder, ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.
Nuvarande reglering
Säkerhetsåtgärder regleras i artikel 17.1 i det nu gällande dataskyddsdirektivet. Den bestämmelsen motsvarar i stort innehållet i artikel 29.1 i det nya direktivet, men det ställs inte lika konkreta krav som i artikel 29.2.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
326
Artikel 17.1 i det nu gällande direktivet har genomförts i 31 § första stycket personuppgiftslagen. Där föreskrivs att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas och att åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur känsliga de behandlade personuppgifterna är. Vidare föreskrivs i 32 § personuppgiftslagen att tillsynsmyndigheten i enskilda fall får besluta om säkerhetsåtgärder enligt 31 §.
Datainspektionen ges i 16 § personuppgiftsförordningen möjlighet att meddela föreskrifter om bl.a. säkerhetsåtgärder. Inspektionen har dock inte meddelat några sådana föreskrifter utan har i stället valt att ge närmare vägledning genom allmänna råd.
Myndigheternas registerförfattningar hänvisar antingen till personuppgiftslagens bestämmelser (t.ex. 2 kap. 2 § första stycket 7 polisdatalagen) eller saknar sådana bestämmelser, varvid personuppgiftslagens bestämmelser ändå är tillämpliga (t.ex. 2 § lagen [2001:617] om behandling av personuppgifter inom kriminalvården). I några registerförfattningar finns det dock bestämmelser som preciserar de allmänna kraven i personuppgiftslagen.
Bestämmelser om informationssäkerhet finns även i andra författningar, t.ex. i arkivlagen (1990:782) och säkerhetsskyddslagen (1996:627) med tillhörande förordningar och i föreskrifter meddelade av Myndigheten för samhällsskydd och beredskap (exempelvis MSBFS 2016:1 Föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet).
Bara en bestämmelse om skyddsåtgärder
Det bör tas in en bestämmelse om skyddet för personuppgifter i ramlagen. Frågan är inledningsvis hur man ska se på förhållandet mellan artikel 4.1 f och artikel 29 i direktivet.
Artikel 4.1 f slår fast en grundläggande princip för all behandling av personuppgifter och riktar sig till personuppgiftsansvariga. Bestämmelserna i artikel 29 är mer konkreta och riktar sig även till personuppgiftsbiträden. Enligt utredningens bedömning reglerar
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
327
emellertid artiklarna 4.1 f och 29 samma sak. Båda föreskriver skyldighet att säkerställa lämplig säkerhet för personuppgifter med hjälp av tekniska och organisatoriska åtgärder. I artikel 29 utvecklas hur det ska uppnås och vilka åtgärder som ska vidtas. Utredningen anser därför att artikel 29 ska ses som en precisering av den grundläggande princip som anges i artikel 4.1 f. Det behövs därmed inte två olika bestämmelser om skyddsåtgärder i ramlagen.
Kraven på skyddsåtgärder
Artikel 29.1 motsvarar i princip 31 § första stycket personuppgiftslagen. Frågan är om artikel 29.2, som anger mer konkreta åtgärder, kräver några särskilda lagstiftningsåtgärder. Dataskyddsrambeslutet innehåller en likadan uppräkning av åtgärder. Vid genomförandet av rambeslutet ansåg regeringen att personuppgiftslagens bestämmelser, även om de var mer generellt utformade, motsvarade rambeslutets bestämmelser om säkerhet och att dess mer preciserade bestämmelser därför inte krävde några lagändringar (Godkännande av dataskyddsrambeslutet, prop. 2008/09:16, s. 52). Samma bedömning gjordes när Schengenkonventionen genomfördes i svensk rätt (Polissamarbete m.m. med anledning av Sveriges anslutning till Schengen, prop. 1999/2000:64, s. 148). Även vid genomförandet av motsvarande bestämmelser om säkerhet i det rådsbeslut som ersatte konventionens bestämmelser om Schengens informationssystem gjorde regeringen bedömningen att det inte krävdes några författningsändringar (SIS II – en andra generation av Schengens informationssystem, prop. 2009/10:86, s. 25).
Utredningen anser att samma bedömning bör göras i fråga om artikel 29.2. En generellt utformad regel om grundläggande krav på åtgärder likt 31 § första stycket personuppgiftslagen får således anses vara tillräcklig för att uppfylla kraven i direktivet. Särskilt mot bakgrund av att det finns mer detaljerade bestämmelser om informationssäkerhet i andra författningar som de behöriga myndigheterna tillämpar är en generell reglering bättre. Det är inte heller lämpligt att i ramlagen i detalj räkna upp alla de typer av skyddsåtgärder som den personuppgiftsansvarige bör vidta. Den tekniska utvecklingen och förändringar i samhället medför krav på stor flexibilitet i sådana frågor. Det är därför varken lämpligt eller möj-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
328
ligt att på ett ändamålsenligt och långsiktigt sätt författningsreglera frågor av det slaget. Det kan dock enligt utredningens mening finnas skäl att förtydliga vad åtgärderna generellt ska åstadkomma, dvs. vilka risker personuppgifterna ska skyddas mot. Det bör framgå att åtgärder ska vidtas för att skydda personuppgifterna, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom oavsiktliga händelser. Härigenom kommer också de mer preciserade åtgärderna i artikel 29.2 tydligare till uttryck. Punkterna a–h behandlar olika sätt att skydda personuppgifter mot obehörig eller otillåten behandling. Punkterna i och j behandlar åtgärder för att förhindra förlust, förstöring eller skada bl.a. genom olyckshändelse. I avsnitt 10.2.2 och 10.2.3 föreslår utredningen också att ramlagen ska innehålla bestämmelser om loggning och begränsning av tillgången till personuppgifter. Även de bestämmelserna kan ses som förtydliganden av de åtgärder som anges i artikel 29.2.
Vilka omständigheter som bör beaktas för att uppnå en lämplig skyddsnivå kan regleras i förordning. Utöver de omständigheter som anges i 31 § personuppgiftslagen bör behandlingens art, omfattning, sammanhang och ändamål beaktas. Särskild hänsyn bör tas till i vilken utsträckning känsliga personuppgifter behandlas och hur integritetskänsliga övriga personuppgifter som behandlas är.
Om det uppstår behov av att ytterligare precisera vilka åtgärder som den personuppgiftsansvarige bör vidta kan det göras genom föreskrifter i förordning eller på myndighetsnivå. Riktlinjer kan också lämnas genom allmänna råd.
Personuppgiftsbiträdenas skyldigheter tas upp i avsnitt 10.6.5.
10.4 Personuppgiftsincidenter
10.4.1 Vad är en personuppgiftsincident?
Utredningens förslag: Personuppgiftsincident ska i ramlagen
definieras som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
329
Skälen för utredningens förslag: En personuppgiftsincident är
enligt artikel 3.11 en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Personuppgiftsincident är ett nytt begrepp när det gäller dataskydd. På informationssäkerhetsområdet är ordet incident emellertid etablerat. Med en incident avses att något allvarligt och oplanerat har inträffat (Bättre regler för elektroniska kommunikationer, prop. 2010/11:115, s. 131).
En personuppgiftsincident motsvarar till viss del vad som i dagligt tal brukar kallas dataintrång. Med personuppgiftsincident avses dock inte bara ett sådant avsiktligt intrång, utan även olyckshändelser och andra oavsiktliga händelser som får oönskade effekter, t.ex. brand. I 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap och i 10 a § säkerhetsskyddsförordningen (1996:633) används uttrycket it-incident för att beskriva i princip samma sak. Eftersom personuppgiftsincident används i dataskyddsförordningen bör det ordet användas i ramlagen. Ordet tydliggör att det rör sig om en händelse som får oönskade effekter för skyddet av personuppgifter.
En incident kan inträffa genom yttre påverkan, men kan också bero på interna brister eller otillåtet handlande av någon inom organisationen. Det som är väsentligt för definitionen av personuppgiftsincident är inte hur händelsen uppkommit eller vem som åstadkommit den utan effekten av den.
I direktivet används ordet olaglig. Enligt utredningens mening skulle det kanske vara lämpligare att använda ordet olovlig, eftersom det även kan täcka åtgärder som en i och för sig behörig person vidtar t.ex. för att skada arbetsgivaren. På grund av att både direktivet och dataskyddsförordningen innehåller regler om personuppgiftsincidenter och definierar dem på samma sätt bör dock ordet olaglig användas i ramlagen. Personuppgiftsincident bör således definieras som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
330
10.4.2 Anmälan till tillsynsmyndigheten
Utredningens förslag: Den personuppgiftsansvarige ska inom
72 timmar anmäla en personuppgiftsincident till tillsynsmyndigheten, utom i de fall där incidenten rör nationell säkerhet. Någon anmälan behöver inte göras om det kan antas att incidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet.
Anmälningsförfarandet och vad anmälan ska innehålla ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 30.1 ska den personuppgiftsansvarige vid en personuppgiftsincident, utan onödigt dröjsmål och om möjligt inom 72 timmar, anmäla incidenten till tillsynsmyndigheten. Någon anmälan behöver emellertid inte göras om det är osannolikt att incidenten medför risk för fysiska personers rättigheter och friheter. I artikel 30.3 anges vad en anmälan till tillsynsmyndigheten ska innehålla. En anmälan ska bl.a. beskriva personuppgiftsincidentens art, de sannolika konsekvenserna av incidenten och vilka åtgärder som har vidtagits för att åtgärda den. Om det inte är möjligt att tillhandahålla all information samtidigt får den enligt artikel 30.4 tillhandahållas i omgångar.
Nuvarande reglering
Det finns inga bestämmelser om personuppgiftsincidenter i personuppgiftslagen eller myndigheternas registerförfattningar. Incidenter behandlas inte heller i Datainspektionens allmänna råd om säkerhet. Däremot ska incidenter i it-system rapporteras av andra skäl. I 20 § första stycket förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap föreskrivs att en myndighet skyndsamt ska rapportera it-incidenter som inträffat i myndighetens it-system till Myndigheten för samhällsskydd och beredskap. Det gäller om incidenten allvarligt kan
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
331
påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. En myndighet som tillhandahåller it-tjänster åt en annan organisation ska informera och vid behov samråda med den eller de uppdragsgivare som berörs av incidenten.
Rapporteringsskyldigheten omfattar inte it-incidenter som enligt 10 a § säkerhetsskyddsförordningen ska rapporteras till Säkerhetspolisen eller Försvarsmakten. Exempel på sådana incidenter är incidenter i informationssystem där hemliga uppgifter som gäller Sveriges säkerhet behandlas eller i it-system som särskilt behöver skyddas mot terrorism. Säkerhetskyddsförordningen gäller för myndigheter, kommuner och landsting och för vissa bolag, föreningar, stiftelser och enskilda.
Anmälningsskyldigheten bör regleras i ramlagen
Som framgått är myndigheter skyldiga att rapportera it-incidenter, men den rapporteringen görs till andra myndigheter än tillsynsmyndigheten och har ett annat syfte. Regleringen i artikel 30 tar sikte på skyddet för de personuppgifter som påverkas av incidenten och konsekvenserna för registrerade. En personuppgiftsincident som inte snabbt åtgärdas kan leda till att registrerade drabbas av såväl ekonomisk skada som personlig kränkning. I skäl 61 nämns som exempel på skador som kan uppkomma vid en personuppgiftsincident bl.a. identitetsstöld och identitetsbedrägeri, diskriminering, skadat anseende och röjande av personuppgifter som är sekretesskyddade.
I ramlagen bör det föreskrivas att den personuppgiftsansvarige inom viss tid ska anmäla personuppgiftsincidenter till tillsynsmyndigheten. Undantaget från anmälningsskyldighet vid incidenter som inte medfört risk för registrerade bör också framgå. Någon anmälan behöver t.ex. inte göras om incidenten påverkat få personuppgifter som inte är av känslig art eller om skyddet för personuppgifterna påverkats under så kort tid att obehörig åtkomst inte varit möjlig. Av skäl 61 framgår att det är den personuppgiftsansvarige som ska visa att risken för otillbörligt intrång varit låg.
En personuppgiftsincident uppfyller kriterierna för en it-incident. Det innebär att de flesta behöriga myndigheter kommer att
Personuppgiftsansvarigas skyldigheter SOU 2017:29
332
behöva anmäla sådana incidenter enligt två olika förfaranden och till olika myndigheter. It-incidenter som kan antas påverka säkerheten för hemliga uppgifter som rör Sveriges säkerhet ska dock enbart anmälas enligt säkerhetsskyddsförordningen. Behovet av att skydda sådan information anses vara så viktigt att endast den myndighet som utövar tillsyn över säkerhetsskyddet ska få ta del av den. Även om den rapporteringen har ett annat syfte än rapporteringen av personuppgiftsincidenter, anser utredningen att behovet av skydd för uppgifter som rör Sveriges säkerhet väger tyngre än behovet av att skydda enskilda från eventuella intrång i den personliga integriteten. Eftersom nationell säkerhet ligger utanför direktivets tillämpningsområde anser utredningen att sådana personuppgiftsincidenter som ska anmälas enligt 10 a § säkerhetsskyddsförordningen inte bör anmälas till tillsynsmyndigheten.
Det är viktigt att de som tillämpar ramlagen är medvetna om att anmälan kan behöva göras till två olika myndigheter och att det skapas interna rutiner som möjliggör och underlättar sådana dubbla anmälningsförfaranden. För att tydliggöra det och säkerställa att en inträffad incident även anmäls till tillsynsmyndigheten enligt ramlagen kan det vara lämpligt att upplysa om den nu föreslagna regleringen i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
Vad ska anmälan innehålla?
Det bör regleras vad en anmälan till tillsynsmyndigheten ska innehålla, men det kan göras i förordning. En anmälan av en personuppgiftsincident ska enligt artikel 30.3 beskriva personuppgiftsincidentens art, dvs. vad det är som har inträffat. Om det är möjligt bör det också anges vilka kategorier av och ungefärligt antal registrerade och personuppgiftsposter som berörs. Beroende på vad som har inträffat kan det ibland vara svårt att överblicka hur många personuppgifter som berörs av incidenten och hur många registrerade som kan ha drabbats. Den personuppgiftsansvarige bör dock åtminstone redovisa en ungefärlig uppskattning. Dessutom bör anmälan innehålla en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten och vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten. En preliminär bedömning av
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
333
konsekvenserna av incidenten bör göras av den personuppgiftsansvarige. Beskrivningen av vilka åtgärder som vidtagits bör även omfatta åtgärder för att mildra personuppgiftsincidentens negativa effekter. Anmälan bör också innehålla namnet på och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt hos den personuppgiftsansvarige.
Även om det inte anges i direktivet bör enligt utredningens mening tidpunkten för den aktuella incidenten uppges, eftersom den kan ha betydelse för bedömningen av den. Tillsynsmyndigheten bör även informeras om huruvida de registrerade har underrättats eller kommer att underrättas om det inträffade. Det ger tillsynsmyndigheten möjlighet att bedöma hur incidenten hanteras i förhållande till dem.
Anmälningsförfarandet
En anmälan till tillsynsmyndigheten bör göras så snabbt som möjligt och senast inom 72 timmar, vilket bör framgå av ramlagen. Anmälningsförfarandet kan i övrigt regleras i förordning. Om anmälan görs senare än 72 timmar efter det att den personuppgiftsansvarige fick kännedom om personuppgiftsincidenten, bör anmälan innehålla en förklaring till förseningen. Senare anmälan bör enligt utredningens mening komma ifråga endast i särskilda fall där längre tid krävs för att överblicka personuppgiftsincidenten och dess konsekvenser. Informationen bör få lämnas i omgångar om det inte är möjligt att lämna all information samtidigt. Det bör således inte fördröja anmälan.
Om en anmälan av en personuppgiftsincident innebär att sekretessbelagda uppgifter behöver lämnas till tillsynsmyndigheten måste sekretessen kunna brytas. En bestämmelse som föreskriver att personuppgiftsansvariga ska anmäla en personuppgiftsincident till tillsynsmyndigheten innebär en sådan uppgiftsskyldighet som avses i 10 kap. 28 § offentlighets- och sekretesslagen (2009:400). Sekretess hindrar då inte att uppgifterna lämnas.
I 11 kap. 1 § offentlighets- och sekretesslagen regleras överföring av sekretess vid tillsyn. Där anges att om en myndighet i verksamhet som avser tillsyn, får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på upp-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
334
giften även hos den mottagande myndigheten. Vid anmälan av en personuppgiftsincident överförs således eventuell sekretess som gäller för uppgiften till tillsynsmyndigheten.
10.4.3 Underrättelse till den registrerade
Utredningens förslag: Om en personuppgiftsincident kan antas
medföra särskild risk för otillbörligt intrång i registrerades personliga integritet, ska den personuppgiftsansvarige utan onödigt dröjsmål underrätta den registrerade om incidenten. Underrättelseskyldigheten gäller inte om den personuppgiftsansvarige har vidtagit vissa skyddsåtgärder eller om den skulle kräva oproportionerligt stora ansträngningar. Den registrerade behöver inte heller underrättas om incidenten om det gäller sekretess eller tystnadsplikt för uppgifterna.
Vilken information en underrättelse ska innehålla ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 31.1 ska den personuppgiftsansvarige, om en personuppgiftsincident sannolikt kommer att leda till hög risk för fysiska personers rättigheter och friheter, utan onödigt dröjsmål informera registrerade om incidenten. Informationen ska enligt artikel 31.2 innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och beskriva de sannolika konsekvenserna av incidenten och vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten. Kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt ska också uppges.
I vissa fall behöver registrerade inte underrättas. Det gäller enligt artikel 31.3 om den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten eller om den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risken för registrerades rättigheter och friheter inte längre kommer att finnas.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
335
Underrättelseskyldigheten gäller inte heller om den skulle kräva en oproportionerlig ansträngning. Då ska i stället allmänheten informeras eller en liknande åtgärd vidtas som innebär att den registrerade informeras på ett lika effektivt sätt. Underrättelse till den registrerade får också, enligt artikel 31.5, senareläggas, begränsas eller utelämnas på de villkor och av de skäl som anges i artikel 13.3.
Om den personuppgiftsansvarige inte har underrättat den registrerade, men tillsynsmyndigheten anser att personuppgiftsincidenten medför så hög risk att han eller hon bör underrättas, får tillsynsmyndigheten enligt artikel 31.4 kräva att den personuppgiftsansvarige gör det. Tillsynsmyndigheten kan också besluta att någon underrättelse inte krävs därför att något av de villkor som anges i artikel 31.3 är uppfyllt.
I vilka fall ska registrerade underrättas?
Skyldigheten att underrätta registrerade om en personuppgiftsincident och undantagen från skyldigheten bör regleras i ramlagen, medan detaljerna i förfarandet kan regleras i förordning. Underrättelse bör lämnas utan onödigt dröjsmål om personuppgiftsincidenten kan antas leda till särskild risk för otillbörligt intrång i registrerades personliga integritet. Av skäl 62 framgår att syftet med underrättelsen bl.a. är att den registrerade ska kunna vidta nödvändiga försiktighetsåtgärder.
Hur snabbt den personuppgiftsansvarige kan informera de registrerade beror på omständigheterna i det enskilda fallet. I skäl 62 framhålls att behovet av att mildra en omedelbar skaderisk kräver att de registrerade underrättas omgående, medan behovet av att vidta lämpliga åtgärder vid fortlöpande eller likartade incidenter kan motivera längre tid för underrättelsen. Enligt utredningens mening bör framför allt personuppgiftsincidentens art och den registrerades intresse av och möjlighet att själv vidta åtgärder för att begränsa skadan beaktas. Även den tid det tar för den personuppgiftsansvarige att vidta akuta åtgärder för att begränsa skadan, avhjälpa fel och liknande bör beaktas.
I ramlagen bör det också regleras under vilka omständigheter någon underrättelse till den registrerade inte behöver lämnas. Enligt utredningens mening bör underrättelseskyldighet inte gälla om
Personuppgiftsansvarigas skyldigheter SOU 2017:29
336
något av de villkor som anges i artikel 31.3 är uppfyllda. Det innebär att den registrerade inte behöver underrättas om den personuppgiftsansvarige har vidtagit lämpliga skyddsåtgärder. Om t.ex. personuppgifter gått förlorade vid en brand men det finns tillfredsställande back-up-rutiner kan risken vara så låg att någon underrättelse inte krävs. Någon underrättelse krävs inte heller om den personuppgiftsansvarige har vidtagit åtgärder som säkerställer att det inte längre finns särskild risk för otillbörligt intrång. Det kan t.ex. vara fråga om att tillgången till ett register har begränsats till dess att den personuppgiftsansvarige har kunnat överblicka konsekvenserna av incidenten. Den registrerade behöver inte heller underrättas om det skulle kräva en oproportionerlig ansträngning av den personuppgiftsansvarige. Det skulle kunna vara fallet om en personuppgiftsincident t.ex. påverkar ett mycket stort antal registrerade. Då bör i stället allmänheten informeras på lämpligt sätt eller en liknande åtgärd vidtas för att de registrerade ska få nödvändig information.
Vilken information ska lämnas?
Det bör regleras vilken information som ska lämnas till den registrerade vid en personuppgiftsincident. Det kan göras i förordning. Enligt utredningens mening bör åtminstone den information som anges i artikel 31.2 lämnas. En underrättelse bör således innehålla en beskrivning av personuppgiftsincidenten och ange när den inträffade. Kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt bör lämnas. Därutöver bör information lämnas om vilka konsekvenser incidenten kan få för den registrerade och vilka åtgärder som har vidtagits eller kommer att vidtas med anledning av incidenten. Det kan även vara lämpligt att den personuppgiftsansvarige anger vilka åtgärder som den registrerade själv kan vidta för att begränsa skadan. Som framgår av avsnitt 11.5.4 bör information till registrerade alltid vara lättillgänglig och lättbegriplig och tillhandahållas i lämplig form.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
337
Begränsning av information till den registrerade
Informationen till den registrerade får senareläggas, begränsas eller utelämnas i vissa fall. Syftet är enligt direktivet att undvika att rättsliga utredningar, förundersökningar eller andra förfaranden hindras eller att undvika menlig inverkan på brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder och att skydda allmän eller nationell säkerhet eller andra personers rättigheter och friheter. Informationen får begränsas endast i den utsträckning och så länge som begränsningen är nödvändig och proportionerlig. Vid bedömningen ska hänsyn tas till den berörda personens grundläggande rättigheter och berättigade intressen.
Bestämmelser som begränsar rätten till information är nödvändiga för att de behöriga myndigheterna ska kunna utföra sina uppdrag på ett effektivt sätt. Det är framför allt regleringen i offentlighets- och sekretesslagen som tillgodoser det behovet. Även den relativt begränsade information som ska lämnas till den registrerade vid en personuppgiftsincident skulle t.ex. kunna skada en förundersökning i ett initialt skede eller avslöja att uppgifter om personen finns i ett sekretessreglerat register. I ramlagen bör det därför tas in en regel som klargör att sekretess och tystnadsplikt har företräde framför rätten till information vid personuppgiftsincidenter.
Tillsynsmyndighetens befogenheter
Enligt artikel 31.4 ska tillsynsmyndigheten ha möjlighet att förelägga den personuppgiftsansvarige att informera den registrerade, om det inte har gjorts. Det skulle kunna bli aktuellt om tillsynsmyndigheten gör en annan bedömning av behovet av att underrätta de registrerade. Den skyldigheten behöver enligt utredningens mening inte regleras särskilt, eftersom den ryms i förslaget om tillsynsmyndighetens korrigerande befogenheter (se avsnitt 12.7.6).
Personuppgiftsansvarigas skyldigheter SOU 2017:29
338
10.4.4 Dokumentations- och underrättelseskyldighet
Utredningens förslag: Den personuppgiftsansvariges skyldig-
het att dokumentera personuppgiftsincidenter ska regleras i förordning. Även skyldigheten att i vissa fall underrätta behöriga myndigheter i andra medlemsstater ska regleras i förordning.
Skälen för utredningens förslag
Dokumentation av personuppgiftsincidenter
Enligt artikel 30.5 ska den personuppgiftsansvarige dokumentera alla personuppgiftsincidenter som avses i artikel 30.1, inbegripet omständigheterna rörande incidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationsskyldigheten bör regleras i förordning.
Eftersom dokumentationsskyldigheten är knuten till artikel 30.1 är det oklart om det endast är sådana incidenter som ska anmälas till tillsynsmyndigheten som ska dokumenteras eller om tanken är att även sådana mindre allvarliga incidenter som inte behöver anmälas ska dokumenteras. I motsvarande bestämmelse i dataskyddsförordningen, artikel 33.5, anges att den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter.
Enligt utredningens mening skulle en dokumentationsskyldighet endast för sådana personuppgiftsincidenter som anmäls till tillsynsmyndigheten vara av begränsat värde, eftersom dokumentation om dem ska finnas i anmälan. I direktivet anges att dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av artikeln. För att det ska vara möjligt bör därför alla personuppgiftsincidenter dokumenteras.
Underrättelseskyldighet
Om personuppgiftsincidenten rör personuppgifter som kommer från eller har lämnats till en personuppgiftsansvarig i en annan medlemsstat, ska samma information som lämnas till tillsynsmyndigheten utan onödigt dröjsmål lämnas till den som lämnade eller
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
339
tog emot uppgifterna i den andra medlemsstaten. Det framgår av artikel 30.6.
En bestämmelse om underrättelseskyldighet bör tas in i förordning. Skyldigheten bör korrespondera med skyldigheten att göra en anmälan till tillsynsmyndigheten. Det innebär att om någon anmälan inte görs dit, antingen på grund av att incidenten medfört så låg risk att anmälan inte krävs eller på grund av att incidenten rör nationell säkerhet, gäller inte underrättelseskyldigheten.
Utgångspunkten är att en uppgift, för vilken sekretess gäller enligt offentlighets- och sekretesslagen, inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. I 8 kap. 3 § 1 offentlighets- och sekretesslagen görs dock undantag från huvudregeln om uppgiftslämnandet regleras särskilt i lag eller förordning. Eftersom det föreslås en bestämmelse om att behöriga myndigheter i andra medlemsstater ska underrättas i vissa fall, kommer sekretess inte att hindra att informationen lämnas.
Ett personuppgiftsbiträde har enligt direktivet ingen skyldighet att anmäla personuppgiftsincidenter till tillsynsmyndigheten eller att underrätta registrerade om incidenter. Eftersom den personuppgiftsansvarige ska anmäla personuppgiftsincidenter till tillsynsmyndigheten behöver den personuppgiftsansvarige även få kännedom om incidenter som inträffat hos personuppgiftsbiträdet. Det bör därför införas en skyldighet för personuppgiftsbiträden att underrätta den personuppgiftsanvarige om sådana incidenter (se avsnitt 10.6.5).
10.5 Dataskyddsombud
10.5.1 Definition av dataskyddsombud
Utredningens förslag: Dataskyddsombud ska i ramlagen defi-
nieras som en fysisk person som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt.
Skälen för utredningens förslag: I direktivet talas det på flera
ställen om dataskyddsombud, men det finns inte någon definition av den termen. I 3 § personuppgiftslagen definieras personuppgifts-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
340
ombud, som motsvarar det som i direktivet kallas dataskyddsombud. Där anges att ett personuppgiftsombud är den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Personuppgiftsombud är ett inarbetat begrepp. Dataskyddsombud är emellertid den term som används både i direktivet och i dataskyddsförordningen. Som anges i avsnitt 6.2 bör direktivets terminologi användas i så stor utsträckning som möjligt. Utredningen anser därför att termen dataskyddsombud bör användas i ramlagen.
Dataskyddsombud bör definieras i ramlagen. Definitionen av personuppgiftsombud i personuppgiftslagen kan då tjäna som förebild. För att terminologin i ramlagen ska bli enhetlig bör uttrycket författningsenlig användas. Dataskyddsombud bör således definieras som en fysisk person som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt.
10.5.2 Krav på dataskyddsombud
Utredningens förslag: Den personuppgiftsansvarige ska utse
ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 32 ska den personuppgiftsansvarige utnämna ett dataskyddsombud, offentliggöra ombudets kontaktuppgifter och meddela tillsynsmyndigheten vem som har utsetts och hans eller hennes kontaktuppgifter. Domstolars och andra oberoende rättsliga myndigheters dömande verksamhet får undantas från skyldigheten att utnämna dataskyddsombud.
Dataskyddsombud ska utnämnas på grundval av sina yrkesmässiga kvalifikationer, sin sakkunskap om lagstiftning och praxis rörande dataskydd och sin förmåga att fullgöra de uppgifter som
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
341
åläggs dataskyddsombud. Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter med hänsyn tagen till organisationsstruktur och storlek.
Som nyss nämnts används i dag termen personuppgiftsombud för den funktion som motsvarar dataskyddsombud. Personuppgiftslagen föreskriver ingen skyldighet att utse personuppgiftsombud. Flera av de behöriga myndigheterna är dock enligt sina registerförfattningar skyldiga att ha personuppgiftsombud. Det gäller bl.a. Polismyndigheten, Kustbevakningen, Åklagarmyndigheten och domstolarna.
Alla personuppgiftsansvariga ska utse dataskyddsombud
Eftersom direktivet föreskriver skyldighet för personuppgiftsansvariga att utnämna dataskyddsombud bör en bestämmelse om det tas in i ramlagen.
I dataskyddsförordningen föreskrivs ingen allmän skyldighet för personuppgiftsansvariga att utse dataskyddsombud. Däremot gäller enligt artikel 37.1 sådan skyldighet för myndigheter och andra offentliga organ. Dataskyddsombud ska också utses av personuppgiftsansvariga eller personuppgiftsbiträden vilkas kärnverksamhet består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Detsamma gäller om kärnverksamheten består av behandling i stor omfattning av känsliga personuppgifter och personuppgifter som rör fällande domar i brottmål och överträdelser.
Enligt utredningens förslag kan endast behöriga myndigheter vara personuppgiftsansvariga. Som framgår av avsnitt 7.1.4. kan en behörig myndighet vara antingen en myndighet som har de i ramlagen angivna arbetsuppgifterna eller en annan aktör som utövar myndighet för något av dessa syften. Myndigheter som bedriver verksamhet inom ramlagens tillämpningsområde bör vara skyldiga att utse dataskyddsombud. Frågan är om även andra aktörer än myndigheter bör vara skyldiga att utse dataskyddsombud.
I direktivet görs ingen skillnad mellan myndigheter och andra organ när det gäller att utse dataskyddsombud. Det talar för att alla personuppgiftsansvariga ska utse dataskyddsombud. Aktörer som bedriver verksamhet inom ramlagens tillämpningsområde, oavsett
Personuppgiftsansvarigas skyldigheter SOU 2017:29
342
om det rör sig om en myndighet eller ett privat organ, behandlar ofta integritetskänsliga personuppgifter för relativt känsliga ändamål och det är av stor vikt att den interna kontrollen i sådana verksamheter fungerar tillfredsställande. Om en privat aktör inte behöver utse ett dataskyddsombud enligt förordningen kan det ifrågasättas om det behövs ett ombud enbart för ett begränsat uppdrag inom ramlagens tillämpningsområde. Behandlingen enligt ramlagen är emellertid av sådan art att det bör finnas ett dataskyddsombud som övervakar personuppgiftsbehandlingen. Utredningen anser därför att alla personuppgiftsansvariga bör vara skyldiga att utse ett eller flera dataskyddsombud.
Ett eller flera dataskyddsombud ska utses
I artikel 32.1 anges att den personuppgiftsansvarige ska utse ett dataskyddsombud. Utredningen anser inte att bestämmelsen kan tolkas så att endast ett ombud får utses. I större myndighetsorganisationer kan det vara svårt för en enda person att ensam utföra de uppgifter som ett dataskyddsombud ska ha i framtiden. Flera dataskyddsombud bör därmed kunna utses för en behörig myndighet.
Utredningen anser att det inte behöver författningsregleras att samma dataskyddsombud får utnämnas för flera behöriga myndigheter. Med hänsyn främst till organisationernas storlek, torde de flesta myndigheter eller andra aktörer som omfattas av ramlagens tillämpningsområde inte kunna använda sig av en sådan ordning. Man skulle dock kunna tänka sig att det finns behöriga myndigheter som bedriver likartad verksamhet i nära anslutning till varandra och att det av den anledningen skulle kunna vara lämpligt att utse ett gemensamt ombud. Så skulle exempelvis kunna vara fallet med vissa domstolar. När myndigheter samarbetar i informationssystem som är gemensamma för flera myndigheter kan det också finnas behov av ett dataskyddsombud som kan se till helheten och eventuellt hjälpa enskilda registrerade i förhållande till samtliga inblandade myndigheter (se SOU 2015:39 s. 604). I skäl 63 nämns som exempel att flera personuppgiftsansvariga gemensamt kan utse ett dataskyddsombud t.ex. vid gemensamma resurser i centralenheter. Om flera personuppgiftsansvariga i en sådan situation anser det lämpligt att utse ett gemensamt dataskyddsombud, exempelvis
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
343
för behandling i ett gemensamt system eller i ett avgränsat samarbete, finns det enligt utredningens mening inget som hindrar det.
Utredningen återkommer i slutbetänkandet till frågan om det bör utses dataskyddsombud för domstolarnas och andra rättsliga myndigheters dömande verksamhet.
Dataskyddsombudens kvalifikationer
Vilka kvalifikationer och vilken kunskap en person bör ha för att kunna utses till dataskyddsombud varierar naturligtvis. Enligt skäl 63 bör den nödvändiga nivån på sakkunskap fastställas med utgångspunkt i den personuppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas. Det kan således krävas mer av ett dataskyddsombud i en stor organisation som behandlar många känsliga personuppgifter och för olika ändamål än av ett ombud i en mindre organisation där en begränsad mängd uppgifter behandlas. Det ligger i varje personuppgiftsansvarigs intresse att dataskyddsombudet har tillräcklig kunskap, erfarenhet och förmåga att utföra sina uppgifter.
Som framgår av den föreslagna definitionen ska dataskyddsombud vara fysiska personer. Enligt skäl 63 kan det vara en av den personuppgiftsansvariges medarbetare som fått särskild utbildning beträffande lagstiftning och praxis i fråga om dataskydd. Ett dataskyddsombud måste få relativt omfattande insyn i den behöriga myndighetens verksamhet. Det medför enligt utredningens mening att dataskyddsombud i de allra flesta fall kommer att utses bland den personuppgiftsansvariges anställda. Det bör dock inte införas något förbud mot att anlita dataskyddsombud utanför den egna organisationen bl.a. av det skälet att flera personuppgiftsansvariga ska kunna utse samma ombud. Uppgiften att vara dataskyddsombud kan utföras på deltid eller heltid.
Information om dataskyddsombuden
Den personuppgiftsansvarige bör anmäla till tillsynsmyndigheten vem som har utsetts till dataskyddsombud och när ombudet entledigas. Det är viktigt att tillsynsmyndigheten får information om det, eftersom ombuden bl.a. ska ha till uppgift att samarbeta med
Personuppgiftsansvarigas skyldigheter SOU 2017:29
344
tillsynsmyndigheten och fungera som kontaktpunkt för den i vissa fall (se avsnitt 10.5.3).
I avsnitt 11.2.6 behandlas den personuppgiftsansvariges skyldighet att göra information om dataskyddsombudets kontaktuppgifter tillgänglig.
10.5.3 Dataskyddsombudens arbetsuppgifter
Utredningens förslag: Dataskyddsombud ska ha vissa i ram-
lagen angivna arbetsuppgifter. Skyldigheten att underlätta dataskyddsombudens verksamhet ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
I artikel 34 anges vilka arbetsuppgifter ett dataskyddsombud ska ha. Dataskyddsombud ska informera och ge råd till den personuppgiftsansvarige och de anställda som utför personuppgiftsbehandling om deras skyldigheter enligt direktivet och annan unionsrätt eller medlemsstaternas bestämmelser om dataskydd. Ombuden ska också övervaka efterlevnaden av dessa regler och av den personuppgiftsansvariges strategier för skyddet av personuppgifter. I dataskyddsombudens arbetsuppgifterna ingår vidare att på begäran ge råd beträffande konsekvensbedömningar och att övervaka genomförandet av dem. Dataskyddsombud ska samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt för den i frågor som rör behandling av personuppgifter, särskilt när det gäller förhandssamråd enligt artikel 28. Ombuden ska, om det är lämpligt, samråda med tillsynsmyndigheten även i andra frågor.
Enligt artikel 33.1 ska den personuppgiftsansvarige säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige ska enligt artikel 33.2 stödja dataskyddsombudet i utförandet av de arbetsuppgifter som anges i artikel 34. Det ska göras genom att den personuppgiftsansvarige tillhandahåller de resurser som krävs för att ombudet ska kunna fullgöra uppgifterna och ger ombudet tillgång till personuppgifter och it-system. Den person-
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
345
uppgiftsansvarige ska också se till att dataskyddsombudets kunskaper upprätthålls.
I skäl 63 framhålls att dataskyddsombud bör kunna utföra sina uppdrag och uppgifter på ett oberoende sätt.
Nuvarande reglering
Enligt 38–40 §§personuppgiftslagen ska personuppgiftsombud självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och påpeka eventuella brister. Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter, och vidtas inte rättelse efter påpekande, ska ombudet anmäla det till tillsynsmyndigheten. Personuppgiftsombud ska även i övrigt samråda med tillsynsmyndigheten. Personuppgiftsombuden ska också föra förteckning över de behandlingar som den personuppgiftsansvarige utför och som skulle ha omfattats av anmälningsskyldighet om inte ombudet hade funnits. Personuppgiftsombud ska dessutom hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.
Ombudens arbetsuppgifter enligt direktivet
Dataskyddsombudens roll påminner i stora delar om personuppgiftsombudens. Dataskyddsombuden har dock genom direktivet fått delvis nya arbetsuppgifter och en något förändrad roll. Flertalet av de arbetsuppgifter som ska anförtros dataskyddsombud har t.ex. karaktären av intern rådgivning, vilket inte är fallet i dag. Dataskyddsombuden har också fått ett tydligare uppdrag att bistå tillsynsmyndigheten.
Det bör i ramlagen föreskrivas att dataskyddsombud självständigt ska kontrollera att de personuppgiftsansvariga behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör de skyldigheter som åligger personuppgiftsansvariga. Kravet på självständighet infördes i personuppgiftslagen eftersom det nu gällande dataskyddsdirektivet anger att ombudet ”på ett oberoende
Personuppgiftsansvarigas skyldigheter SOU 2017:29
346
sätt” ska kunna kontrollera den personuppgiftsansvarige. I skäl 63 uttrycks samma sak. Självständighetskravet innebär att den personuppgiftsansvarige inte bör utse ett ombud som har en alltför underordnad ställning i organisationen. För att ombuden ska vara oberoende på det sätt som direktivet förutsätter måste han eller hon också ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina arbetsuppgifter på ett självständigt sätt.
I artikel 34 b anges att dataskyddsombudens kontroll ska omfatta ansvarstilldelning, information till och utbildning av personal som deltar i behandlingen och tillhörande granskning. Utredningen uppfattar uppräkningen som exemplifierande. Enligt utredningens mening är det inte lämpligt att i detalj författningsreglera vad ombuden ska granska. Hur omfattande ombudens kontroll bör vara får som i dag avgöras efter omständigheterna i det enskilda fallet. Uppräkningen i direktivet kan dock tjäna som vägledning. Ombuden bör också påpeka eventuella brister för de personuppgiftsansvariga så att de blir medvetna om dem och har möjlighet att vidta lämpliga åtgärder.
Dataskyddsombud bör informera och ge råd till personuppgiftsansvariga och de som behandlar personuppgifter under dennes ledning om deras skyldigheter enligt ramlagen och andra författningar som rör personuppgiftsbehandling. Det handlar främst om att göra den personuppgiftsansvarige och medarbetarna medvetna om vad de i olika situationer är skyldiga att göra, t.ex. att informera registrerade, att ha säkerhetsrutiner och att dokumentera personuppgiftsbehandlingen. Om den personuppgiftsansvarige begär det ska ombudet ge råd vid en konsekvensbedömning och kontrollera att bedömningen genomförs på rätt sätt.
Dataskyddsombud ska även samarbeta med och fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling av personuppgifter. Det gäller särskilt vid sådant förhandssamråd som avses i artikel 28 (se avsnitt 10.2.5). Samarbetet innebär också att ombuden, när det är lämpligt, ska samråda med tillsynsmyndigheten även i andra frågor som rör personuppgiftsbehandling.
Dataskyddsombudens roll påminner om internrevisorers. För att ombuden ska kunna utöva intern kontroll bör de inte ges arbetsuppgifter som kan komma i konflikt med kontrolluppgiften. Det kan t.ex. vara olämpligt att låta dataskyddsombud utbilda personalen eller ansvara för att den får annan information, eftersom
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
347
det är åtgärder som omfattas av den interna granskningen. Av samma skäl är det inte lämpligt att dataskyddsombud ges i uppdrag att föra det register över personuppgiftsbehandlingar som den personuppgiftsansvarige ska föra. I större myndigheter torde det inte innebära några svårigheter att hålla isär dessa arbetsuppgifter. I mindre organisationer kan det dock vara svårare. Det är då viktigt att dataskyddsombudet trots sin dubbla roll kan utöva kontrollen på ett oberoende sätt. En lösning kan vara att anlita ett dataskyddsombud utanför den egna organisationen.
Bör dataskyddsombud även ges andra arbetsuppgifter?
Dagens personuppgiftsombud ska enligt 40 § personuppgiftslagen hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Det framgår inte av förarbetena vad hjälpen innebär och frågan är om dataskyddsombud bör ha den arbetsuppgiften.
Personuppgiftsombud fungerar enligt uppgift främst som kontaktpunkt för registrerade i frågor om rättelse och är normalt inte den som i praktiken rättar personuppgifter. Personuppgiftsombud verkar emellertid också användas som kontaktpunkt för registrerade i andra frågor som rör behandling av personuppgifter. I förarbetena till polisdatalagen påtalas vikten av att registrerade enkelt kan vända sig till rätt person hos myndigheten bl.a. i frågor om information om behandling och om rättelse av felaktiga uppgifter (prop. 2009/10:85 s. 93). Liknande uttalanden finns också i förarbetena till andra registerförfattningar (se t.ex. prop. 2014/15:148 s. 91). Det förefaller således finnas behov av att ombudet hjälper registrerade även med andra frågor.
Enligt utredningens mening är det naturligt att dataskyddsombuden fungerar som kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter på samma sätt som personuppgiftsombuden. Den personuppgiftsansvarige ska också enligt artikel 13.1 självmant göra dataskyddsombudens kontaktuppgifter tillgängliga för registrerade. Det talar för att dataskyddsombuden bör ha samma roll i förhållande till enskilda som personuppgiftsombud har i dag. Utredningen anser däremot inte att det bör författnings-
Personuppgiftsansvarigas skyldigheter SOU 2017:29
348
regleras vad dataskyddsombud ska göra i egenskap av kontaktpunkt för enskilda.
Enligt personuppgiftslagen ska ett personuppgiftsombud anmäla till tillsynsmyndigheten om han eller hon misstänker att den personuppgiftsansvarige bryter mot gällande bestämmelser och inte vidtar rättelse. Någon sådan skyldighet föreskrivs inte i direktivet. Det är enligt utredningens mening viktigt att dataskyddsombud uppmärksammar tillsynsmyndigheten på eventuella problem och brister, särskilt om den personuppgiftsansvarige inte rättar sig efter ombudets påpekanden. Dataskyddsombuden bör därför, som personuppgiftsombuden i dag, ha i uppdrag att anmäla eventuella överträdelser till tillsynsmyndigheten.
Dataskyddsombudens verksamhet ska underlättas
För att dataskyddsombuden ska kunna utföra sina arbetsuppgifter krävs det att de personuppgiftsansvariga gör det möjligt och tillhandahåller de resurser som ombuden behöver. Den personuppgiftsansvarige ska t.ex. göra ombudet delaktig i frågor och beslut som rör behandling av personuppgifter. Ombuden bör också få tillgång till all dokumentation gällande personuppgiftsbehandlingen och, i den utsträckning det behövs, tillgång till de personuppgifter som behandlas. Den personuppgiftsansvarige bör även se till att ombudet ges utrymme för vidareutbildning och annan kunskapsinhämtning. Bestämmelser om det som nu har sagts kan tas in i förordning.
10.6 Personuppgiftsbiträden
10.6.1 Definition av personuppgiftsbiträde
Utredningens förslag: Personuppgiftsbiträde ska i ramlagen
definieras som den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning.
Skälen för utredningens förslag: Personuppgiftsbiträde definieras
i artikel 3.9 som en fysisk eller juridisk person, institution eller
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
349
annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det motsvarar i sak definitionen i 3 § personuppgiftslagen. Samma definition bör i princip användas i ramlagen. Utredningen anser dock att det av definitionen även bör framgå att biträdets behandling utförs med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse. Genom tillägget tydliggörs att ett avtal eller en överenskommelse krävs för att någon överhuvudtaget ska få agera som personuppgiftsbiträde. Personuppgiftsbiträde bör därmed definieras som den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning.
Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar kan inte vara personuppgiftsbiträde.
10.6.2 Anlitande av personuppgiftsbiträden
Utredningens förslag: Den personuppgiftsansvarige ska, om
det är lämpligt, få anlita personuppgiftsbiträden. En personuppgiftsansvarig, som anlitar ett personuppgiftsbiträde, ska försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.
Det ska finnas ett skriftligt avtal eller annan skriftlig överenskommelse om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Vad avtalet eller överenskommelsen ska innehålla ska regleras i förordning.
Ett personuppgiftsbiträde ska inte få anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd av den personuppgiftsansvarige. Det som i övrigt ska gälla för sådana tillstånd ska regleras i förordning.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
350
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 22.1 får den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att vidta lämpliga tekniska och organisatoriska åtgärder, så att behandlingen uppfyller kraven i direktivet och säkerställer att den registrerades rättigheter skyddas.
Personuppgiftsbiträdets behandling ska enligt artikel 22.3 regleras genom ett avtal eller annan rättsakt enligt unionsrätten eller nationell rätt. Avtalet ska enligt artikel 22.4 vara skriftligt.
Av artikel 22.3 framgår att föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter ska regleras i avtalet eller motsvarande. Därutöver ska vissa krav och villkor särskilt anges, t.ex. att personuppgiftsbiträdet säkerställer att personer som har tillstånd att behandla personuppgifterna har tystnadsplikt. Personuppgiftsbiträdet ska också radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när uppdraget har avslutats och radera befintliga kopior av personuppgifterna, om inte lagring av dem krävs enligt unionsrätten eller nationell rätt.
Enligt artikel 22.2 får personuppgiftsbiträdet inte anlita ett annat personuppgiftsbiträde utan skriftligt förhandstillstånd av den personuppgiftsansvarige. Om ett allmänt tillstånd har erhållits, ska personuppgiftsbiträdet alltid informera den personuppgiftsansvarige om planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden.
Nuvarande reglering
Regler om personuppgiftsbiträden finns i artikel 17.2 och 17.3 i det nu gällande direktivet, som har genomförts i 30 och 31 §§personuppgiftslagen. Enligt 31 § andra stycket ska den personuppgiftsansvarige, när denne anlitar ett personuppgiftsbiträde, förvissa sig om att biträdet kan vidta de säkerhetsåtgärder som krävs och se till att biträdet gör det. Det är dock den personuppgiftsansvarige som har ansvaret gentemot den registrerade även när ett personuppgiftsbi-
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
351
träde anlitas (prop. 1997/98:44 s. 93). Det ska enligt 30 § andra stycket personuppgiftslagen finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet ska vidta de säkerhetsåtgärder som avses i 31 § första stycket för att skydda personuppgifterna.
Myndigheternas registerförfattningar hänvisar antingen till dessa paragrafer eller saknar avvikande bestämmelser.
Personuppgiftsbiträden ska kunna anlitas
På direktivets område är det ovanligt att myndigheter anlitar utomstående privata aktörer för behandling av personuppgifter, men det kan förekomma. Ibland träffas också överenskommelser mellan myndigheter där en myndighet agerar personuppgiftsbiträde åt en annan. Det behövs därför bestämmelser i ramlagen som reglerar anlitandet av personuppgiftsbiträden.
På samma sätt som i dag bör det krävas att den personuppgiftsansvarige försäkrar sig om att personuppgiftsbiträdet ska vidta nödvändiga säkerhetsåtgärder och ser till att det görs. Artikel 22.1 omfattar inte bara säkerhetsåtgärder, utan även andra tekniska och organisatoriska åtgärder som säkerställer att behandlingen är författningsenlig och utförs på ett korrekt sätt och att personuppgifterna skyddas. Den personuppgiftsansvarige bör innan ett personuppgiftsbiträde anlitas bl.a. förhöra sig om hur biträdet kommer att behandla uppgifterna tekniskt, hur arbetet är organiserat och vilket skydd personuppgifterna har hos biträdet. Enligt utredningens mening går bestämmelsen därmed längre än de nu gällande kraven på personuppgiftsansvariga. Bestämmelsen i ramlagen bör därför ha en något vidare formulering än motsvarande bestämmelse i personuppgiftslagen.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
352
Ansvarsfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde
Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs på dennes vägnar. Den personuppgiftsansvarige ansvarar således både i förhållande till tillsynsmyndigheten och i förhållande till registrerade för att reglerna i ramlagen och andra tillämpliga författningar följs vid personuppgiftsbehandling hos ett personuppgiftsbiträde. Den personuppgiftsansvarige kan uppdra åt biträdet att utföra viss behandling av personuppgifter, men kan inte avsäga sig personuppgiftsansvaret och de skyldigheter som följer med det. Den personuppgiftsansvarige är också skadeståndsskyldig gentemot enskilda vid felaktig behandling av personuppgifter hos personuppgiftsbiträdet. Att biträdet kan bli skadeståndsskyldigt gentemot den personuppgiftsansvarige är en annan sak.
Den omständigheten att flera bestämmelser i direktivet riktar sig direkt till personuppgiftsbiträden innebär enligt utredningens mening ingen förändring av ansvarsfördelningen mellan personuppgiftsansvariga och personuppgiftsbiträden. Tillsynsmyndigheten får emellertid i vissa fall utkräva ansvar även av personuppgiftsbiträden. Om ett personuppgiftsbiträde t.ex. inte vidtar nödvändiga säkerhetsåtgärder kan tillsynsmyndigheten vidta åtgärder mot både biträdet och den personuppgiftsansvarige. Likaså kan båda åläggas sanktionsavgift för sådana brister hos biträdet.
Personuppgiftsbiträdets roll ska regleras i en överenskommelse
På samma sätt som i dag bör det krävas ett skriftligt avtal eller någon annan skriftlig överenskommelse mellan personuppgiftsbiträdet och den personuppgiftsansvarige. I artikel 22.3 anges relativt utförligt vad ett sådant avtal ska innehålla. I jämförelse med motsvarande bestämmelse i det nu gällande dataskyddsdirektivet ställs det väsentligt högre krav på innehållet. Enligt utredningens mening bör ramlagen inte tyngas av alltför detaljerade bestämmelser. Även om det i dag anges i personuppgiftslagen vad ett personuppgiftsbiträdesavtal ska innehålla anser utredningen att regleringen bör finnas i förordning när innehållet nu blir mer detaljbetonat.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
353
Av överenskommelsen bör det åtminstone framgå vad behandlingen ska avse, behandlingens varaktighet, art och ändamål, typen av personuppgifter som ska behandlas, kategorier av registrerade och den personuppgiftsansvariges skyldigheter och rättigheter. Det bör också framgå att biträdet endast får behandla personuppgifter enligt instruktioner från den personuppgiftsansvarige. Vidare ska överenskommelsen reglera vad som gäller i fråga om tystnadsplikt.
Överenskommelsen ska även reglera biträdets skyldighet att hjälpa den personuppgiftsansvarige att säkerställa att bestämmelserna om enskildas rättigheter följs. Det ska vidare framgå att biträdet, beroende på den personuppgiftsansvariges önskan, antingen ska förstöra eller återlämna alla personuppgifter till den personuppgiftsansvarige när uppdraget har slutförts och förstöra befintliga kopior. Den personuppgiftsansvarige ska också ges tillgång till den information som krävs för att kunna visa tillsynsmyndigheten att bestämmelserna om anlitande av personuppgiftsbiträden efterlevs. Även dessa frågor bör regleras i överenskommelsen. Vidare bör det framgå att personuppgiftsbiträdet respekterar de villkor som gäller vid anlitande av s.k. underbiträden. Den personuppgiftsansvarige och biträdet avgör om de även vill reglera andra frågor i avtalet.
Anlitande av underbiträden
Varken det nu gällande dataskyddsdirektivet eller personuppgiftslagen reglerar förutsättningarna för när ett personuppgiftsbiträde får anlita ett annat personuppgiftsbiträde, ett s.k. underbiträde.
Utredningen anser att det är av grundläggande betydelse att den personuppgiftsansvarige känner till vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning. Av ramlagen bör det därför framgå att ett personuppgiftsbiträde inte får anlita ett annat personuppgiftsbiträde utan att den personuppgiftsansvarige har lämnat skriftligt tillstånd till det. Att personuppgiftsbiträden som har fått ett generellt tillstånd att anlita underbiträden ska vara skyldiga att informera den personuppgiftsansvarige när underbiträden anlitas kan regleras i förordning. Syftet med informationen är att den personuppgiftsansvarige ska ha möjlighet att invända mot anlitandet av nya biträden.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
354
10.6.3 Behandling enligt den personuppgiftsansvariges instruktioner
Utredningens förslag: Ett personuppgiftsbiträde och de som
arbetar under biträdets ledning ska endast få behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige.
Om ett personuppgiftsbiträde i strid med den personuppgiftsansvariges instruktioner fastställer ändamålen med och medlen för behandlingen ska biträdet anses vara personuppgiftsansvarig för den behandlingen.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 23 får personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla uppgifterna enligt instruktion från den personuppgiftsansvarige. Undantag gäller dock om någon enligt unionsrätten eller nationell rätt är skyldig att behandla personuppgifter. Om så är fallet får personuppgiftsbiträdet göra det även utan instruktion från den personuppgiftsansvarige.
En likadan bestämmelse finns i artikel 16 i det nu gällande dataskyddsdirektivet. Den har genomförts i 30 § första stycket personuppgiftslagen. Där föreskrivs att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Om det i lag eller annan författning finns särskilda bestämmelser om behandlingen av personuppgifter i det allmännas verksamhet i sådana frågor, gäller emellertid de bestämmelserna i stället för 30 § första stycket. Det som främst avses är bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 136).
I artikel 22.5 föreskrivs att ett personuppgiftsbiträde som i strid med direktivet fastställer ändamålen med och medlen för behandlingen ska anses vara personuppgiftsansvarig avseende den behandlingen. Någon motsvarande bestämmelse finns inte i dag.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
355
Behandling enligt den personuppgiftsansvariges instruktioner
Det bör framgå av ramlagen att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige.
Det framgår inte av direktivet hur utförliga instruktioner som ska lämnas till biträdet. Instruktionerna bör givetvis vara så tydliga att otillåten behandling inte utförs (jfr SOU 1997:39 s. 335). Den överenskommelse som styr personuppgiftsbiträdets uppdrag ska innehålla viss information som ger instruktioner till biträdet, bl.a. om behandlingens varaktighet, art och ändamål. Instruktionerna kan också gälla exempelvis hur tillgången till personuppgifter hos biträdet ska begränsas, om biträdet ska använda kryptering vid kommunikation och andra åtgärder som krävs för dataskydd. Enligt skäl 64 bör ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation om biträdet fått i uppdrag att göra det. Sådana uppdrag bör också framgå av de instruktioner som den personuppgiftsansvarige lämnar till biträdet.
Avvikande bestämmelser i annan författning ska gälla framför bestämmelserna i ramlagen (se avsnitt 6.1.2). Om det finns avvikande regler i annan lagstiftning som anger att någon är skyldig att utföra en viss behandling, exempelvis att lämna ut allmänna handlingar, innebär det att behandlingen får utföras utan särskilda instruktioner.
Att den som bestämmer ändamålen med och medlen för behandlingen är att anse som personuppgiftsansvarig framgår av definitionen av personuppgiftsansvarig. Enligt utredningens mening bör det i ramlagen tydliggöras att ett personuppgiftsbiträde som går utanför sin befogenhet och behandlar personuppgifter för något annat ändamål eller på något annat sätt än enligt sina instruktioner är personuppgiftsansvarig för den behandlingen. I sådana fall kan biträdet bli skadeståndsskyldig eller påföras sanktionsavgift på grund av den behandlingen (se avsnitt 14.3.2 och 13.4).
Trots att personuppgiftsbiträdet kanske inte är en behörig myndighet enligt definitionen i ramlagen bör den behandling som biträdet då utför i egenskap av personuppgiftsansvarig omfattas av
Personuppgiftsansvarigas skyldigheter SOU 2017:29
356
lagens regler. Som utredningen uppfattar direktivet har regeln om att personuppgiftsbiträden blir personuppgiftsansvariga i den nu aktuella situationen till syfte att säkerställa att behandlingen av personuppgifterna utförs enligt direktivets bestämmelser. Direktivet är skräddarsytt för behandlingen av personuppgifter för vissa ändamål. Det skulle innebära ett sämre skydd för enskilda om personuppgiftsbiträdenas behandling inte skulle följa den regleringen om de går utanför sina instruktioner. Det som nu har sagts kan dock bara gälla så länge syftet med behandlingen ligger inom ramlagens tillämpningsområde. Skulle personuppgiftsbiträdet behandla uppgifterna för helt andra ändamål blir enligt utredningens mening dataskyddsförordningen tillämplig.
10.6.4 Skyldighet att förteckna behandlingar
Utredningens förslag: Personuppgiftsbiträdets skyldighet att
förteckna de kategorier av behandling som utförs för en personuppgiftsansvarigs räkning ska regleras i förordning.
Skälen för utredningens förslag: Enligt artikel 24.2 ska person-
uppgiftsbiträden föra register över de kategorier av behandling som utförs för en personuppgiftsansvarigs räkning, vilket är en nyhet. I artikeln räknas ett antal uppgifter upp som ska framgå av registret, som enligt artikel 24.3 på begäran ska göras tillgängligt för tillsynsmyndigheten.
Den dokumentationsskyldighet för personuppgiftsbiträden som artikeln föreskriver kan regleras i förordning. De uppgifter som anges i artikel 24.2 bör framgå av registret. Någon särskild bestämmelse om att dokumentationen ska göras tillgänglig för tillsynsmyndigheten behövs inte (jfr avsnitt 10.2.7).
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
357
10.6.5 Övriga skyldigheter för personuppgiftsbiträden
Utredningens förslag: Ett personuppgiftsbiträde ska ha samma
skyldigheter som en personuppgiftsansvarig att logga vissa typer av behandlingar, begränsa tillgången till personuppgifter, vidta skyddsåtgärder och samarbeta med tillsynsmyndigheten.
Personuppgiftsbiträdets skyldighet att underrätta den personuppgiftsansvarige om personuppgiftsincidenter ska regleras i förordning.
Skälen för utredningens förslag: Flera av skyldigheterna för per-
sonuppgiftsansvariga gäller även för personuppgiftsbiträden. Det är samarbetsskyldigheten enligt artikel 26, skyldigheten enligt artikel 29 att vidta lämpliga säkerhetsåtgärder och skyldigheten enligt artikel 25 att föra loggar. När det gäller förhandssamråd enligt artikel 28 föreskrivs att den personuppgiftsansvarige eller personuppgiftsbiträdet ska samråda med tillsynsmyndigheten.
Enligt 30 § andra stycket personuppgiftslagen är ett personuppgiftsbiträde skyldigt att vidta sådana säkerhetsåtgärder som avses i 31 § första stycket. Det ska också föreskrivas i biträdesavtalet.
Den personuppgiftsansvariges skyldighet att logga vissa typer av behandlingar, samarbeta med tillsynsmyndigheten och vidta lämpliga åtgärder för att skydda personuppgifterna regleras i ramlagen. Det bör framgå av ramlagen att bestämmelserna i fråga gäller även för personuppgiftsbiträden.
Skyldigheten att begränsa tillgången till personuppgifter till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter bör enligt utredningens mening gälla även för personuppgiftsbiträden, vilket bör framgå av ramlagen.
När det gäller förhandssamråd med tillsynsmyndigheten anser utredningen att det bör vara en skyldighet enbart för den personuppgiftsansvarige, eftersom den personuppgiftsansvarige är ansvarig även för den behandling som personuppgiftsbiträdet utför. Den föreslagna bestämmelsen om förhandssamråd bör därför inte gälla för personuppgiftsbiträden. Eftersom det i artikel 28 anges att den personuppgiftsansvarige eller personuppgiftbiträdet i vissa fall ska samråda med tillsynsmyndigheten kan en sådan reglering inte anses strida mot direktivet. Ett personuppgiftsbiträde kan dock behöva bistå den personuppgiftsansvarige under förhandssamrådet om
Personuppgiftsansvarigas skyldigheter SOU 2017:29
358
samrådet t.ex. rör förändringar avseende redan pågående personuppgiftsbehandling som utförs av biträdet. Skyldigheten att samarbeta med tillsynsmyndigheten föreslås gälla även för personuppgiftsbiträden. Samarbetsskyldigheten gäller generellt och omfattar därigenom även samarbete från biträdets sida vid förhandssamråd om det blir aktuellt.
Enligt artikel 30.2 ska ett personuppgiftsbiträde utan onödigt dröjsmål underrätta den personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident. Det som avses bör rimligen vara en incident hos personuppgiftsbiträdet eller något biträde som denne i sin tur anlitat. Syftet med bestämmelsen är att den personuppgiftsanvarige, efter att ha fått vetskap om incidenten, ska anmäla den till tillsynsmyndigheten om förutsättningarna för sådan anmälan är uppfyllda. Eftersom det är den personuppgiftsansvarige som ska anmäla personuppgiftsincidenter enligt ramlagen bör det föreskrivas att ett personuppgiftsbiträde ska underrätta den personuppgiftsanvarige om personuppgiftsincidenter hos biträdet. Det kan regleras i förordning.
Regleringen av personuppgiftsbiträdens skyldigheter medför enligt utredningens mening inga större skillnader i förhållande till dagens reglering. Personuppgiftsbiträden är redan i dag skyldiga att vidta lämpliga åtgärder för att skydda de personuppgifter som behandlas. Det innebär ett indirekt krav på att begränsa tillgången till personuppgifter genom exempelvis behörighetstilldelning och att logga behandlingar för att kunna kontrollera åtkomsten till personuppgifterna. Den enda nyheten är att tillsynsmyndigheten kan vidta åtgärder mot både personuppgiftsansvariga och personuppgiftsbiträden om de brister i sina skyldigheter. Eftersom den personuppgiftsansvarige alltjämt är ansvarig för den behandling som personuppgiftsbiträdet utför torde det sällan bli aktuellt att utnyttja den möjligheten.
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
359
10.7 Gemensamt personuppgiftsansvar
10.7.1 Gemensamt personuppgiftsansvar i dag
Ingen reglering av gemensamt personuppgiftsansvar
Den personuppgiftsansvarige definieras i personuppgiftslagen som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen. Två eller flera personuppgiftsansvariga torde därmed kunna vara gemensamt personuppgiftsansvariga för viss behandling av personuppgifter. Om så är fallet, och vad deras respektive ansvar då innebär, kan dock vara svårt att avgöra. Det finns ingen reglering av vad det innebär om flera tillsammans bestämmer ändamålen med och medlen för behandlingen.
Det största problemet med ett eventuellt gemensamt personuppgiftsansvar är den otydlighet som det kan innebära gentemot både enskilda och tillsynsmyndigheten. Det kan exempelvis vara svårt för den enskilde att veta vem han eller hon ska vända sig till för att få information om personuppgiftsbehandlingen eller för att göra eventuella anspråk gällande. För tillsynen är det av avgörande betydelse att personuppgiftsansvaret är tydligt. Ett gemensamt personuppgiftsansvar som inte har reglerats tillräckligt tydligt kan också medföra svårigheter för de personuppgiftsansvariga själva. Det kan vara svårt för dem att på ett effektivt och ändamålsenligt sätt fullgöra sitt ansvar om det är oklart hur långt ansvaret sträcker sig och vad skyldigheterna omfattar.
Även om gemensamt personuppgiftsansvar mellan myndigheter är tillåtet, torde det i praktiken vara ovanligt. I de allra flesta fall är den personuppgiftsbehandling som förekommer väl avgränsad och går att härleda till en viss myndighet. De faktiska omständigheterna tillsammans med regelverken som gäller för myndigheterna innebär att gemensamt personuppgiftsansvar sällan aktualiseras. Gemensamt personuppgiftsansvar kan emellertid de facto uppstå vid behandling av personuppgifter i en viss situation eller på ett visst sätt. Eftersom personuppgiftslagen inte ger någon ledning för hur frågor om gemensamt personuppgiftsansvar ska hanteras får de personuppgiftsansvariga själva lösa dem.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
360
Skillnad mellan gemensamt ansvar och delat ansvar
Vad som menas med gemensamt personuppgiftsansvar är inte helt klart. Begreppet används i olika situationer med varierande innebörd. Det är därför svårt att ge konkreta och tydliga exempel på situationer där sådant ansvar kan anses föreligga. En genomgång av begreppet gemensamt personuppgiftsansvar görs i promemorian Behandling av personuppgifter inom Nationellt centrum för terrorhotbedömning (Ds 2016:31 s. 117 f.). Där ges också exempel på situationer där sådant ansvar har ansetts föreligga
Inom ramlagens tillämpningsområde torde gemensamt personuppgiftsansvar mycket sällan komma ifråga. Sådant ansvar skulle dock kunna aktualiseras vid olika typer av samarbeten och gemensamma projekt. Det är naturligt och nödvändigt att myndigheter och andra organ inom rättskedjan samarbetar för att bekämpa brottslighet. Sådana samarbeten kan se olika ut och vara mer eller mindre formaliserade. Det varierar också i vilken utsträckning det finns behov av att kunna behandla personuppgifter inom ramen för sådant samarbete. I vissa typer av samarbeten kan avidentifierade uppgifter användas, medan det i andra fall mer eller mindre är en förutsättning att de samarbetade myndigheterna kan utbyta personuppgifter.
Ett samarbete mellan två eller flera behöriga myndigheter medför inte automatiskt gemensamt ansvar för behandlingen av personuppgifter. I de allra flesta samarbeten framgår det tydligt vem som är ansvarig för vilken personuppgiftsbehandling, t.ex. genom att det endast är en behörig myndighet som har tillgång till personuppgifterna eller it-systemet. Om myndigheterna agerar i olika skeden av en process är var och en ansvarig för behandlingen av personuppgifter i sin del av processen. Inom ramen för de flesta samarbeten tar således var och en ansvar för den behandling av personuppgifter som den utför.
Det är enligt utredningens mening i detta sammanhang också viktigt att skilja mellan vad som kan betecknas som delat ansvar och vad som är gemensamt ansvar. Det förhållandet att två myndigheter använder samma datasystem eller att en myndighet ger en annan myndighet direktåtkomst till ett visst datasystem innebär inte att det uppstår gemensamt personuppgiftsansvar. Tvärtom är utgångspunkten att varje myndighet är personuppgiftsansvarig för
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
361
den behandling av personuppgifter som utförs vid myndigheten. Som exempel kan nämnas Polismyndighetens system för brottsutredningar, DurTvå, som åklagare har tillgång till. Polismyndigheten är systemansvarig och råder över i vilken utsträckning som åklagare kan ges tillgång till systemet. Polisanställda får arbeta i systemet medan åklagare har möjlighet att läsa de uppgifter som finns och skicka meddelanden till systemet. Här kan ansvaret sägas vara delat i den meningen att var och en av myndigheterna ansvarar för tillgången till personuppgifterna för sin personal. Respektive myndighet är personuppgiftsansvarig för den behandling som utförs.
10.7.2 En tydligare reglering av gemensamt personuppgiftsansvar
Utredningens förslag: Två eller flera behöriga myndigheter får
vara gemensamt personuppgiftsansvariga endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Att gemensamt personuppgiftsansvariga genom en skriftlig överenskommelse ska fastställa sitt respektive ansvar ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
Personuppgiftsansvariga definieras i artikel 3.8 som en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Redan av definitionen framgår det alltså att den personuppgiftsansvarige kan bestämma ändamål och medel för behandlingen tillsammans med andra.
Enligt artikel 21.1 är två eller flera personuppgiftsansvariga som gemensamt fastställer ändamålen med och medlen för behandlingen gemensamt personuppgiftsansvariga. De gemensamt personuppgiftsansvariga ska genom ett inbördes arrangemang under öppna former fastställa vars och ens ansvar för efterlevnaden av direktivet, särskilt vad gäller att enskilda ska kunna utöva sina rättigheter och
Personuppgiftsansvarigas skyldigheter SOU 2017:29
362
skyldigheten att tillhandahålla information enligt artikel 13. I den mån de personuppgiftsansvarigas respektive skyldigheter fastställs i unionsrätt eller nationell rätt ska någon överenskommelse om fördelning av ansvaret inte ingås i den delen.
De gemensamt personuppgiftsansvariga ska också utse en kontaktpunkt för registrerade. Enligt artikeln kan medlemsstaterna fastslå vem av de gemensamt personuppgiftsansvariga som kan fungera som kontaktpunkt. I artikel 21.2 öppnas en möjlighet att föreskriva att den registrerade, oavsett det inbördes arrangemanget, får göra sina rättigheter gällande mot var och en av de personuppgiftsansvariga.
Gemensamt personuppgiftsansvar bara om statsmakterna medger det
Direktivet ger enligt utredningens mening utrymme för att närmare reglera gemensamt personuppgiftsansvar. Frågan är då om en sådan reglering bör införas och hur den i så fall skulle kunna utformas. Direktivet ger ingen vägledning i frågan om vem som får ta initiativ till och besluta om gemensamt personuppgiftsansvar eller hur det ska utövas i praktiken. Att enbart ta in en bestämmelse i ramlagen som definierar när gemensamt personuppgiftsansvar ska anses föreligga bringar inte klarhet i dessa frågor. Det är enligt utredningens mening viktigt att det finns tydliga ramar för i vilka fall gemensamt personuppgiftsansvar ska få utövas, särskilt i verksamheter där det är författningsreglerat vem som är personuppgiftsansvarig.
Enligt utredningens mening bör gemensamt personuppgiftsansvar övervägas endast i speciella situationer där samarbetet mellan behöriga myndigheter är utformat så att ansvarsfördelningen inte kan utläsas på annat sätt. Bedömningen av när gemensamt personuppgiftsansvar är sakligt motiverat bör inte lämnas till de behöriga myndigheterna själva. Sådana överväganden bör lämpligen göras av lagstiftaren och ansvaret bör därmed framgå av lag eller förordning. Det bör också vara möjligt för regeringen att i enskilda fall besluta om sådant gemensamt ansvar. Utredningen anser därför att det i ramlagen bör tas in en bestämmelse som föreskriver att två eller flera behöriga myndigheter får vara gemensamt personuppgiftsan-
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
363
svariga endast i den utsträckning det följer av lag eller förordning, eller om regeringen i enskilda fall beslutar om det.
Syftet med en sådan regel är att begränsa möjligheterna till gemensamt personuppgiftsansvar. Sådant ansvar ska inte kunna uppstå de facto i en viss situation, utan endast få förekomma i den utsträckning som riksdagen eller regeringen har beslutat om det. Om tillsynsmyndigheten skulle konstatera att gemensamt personuppgiftsansvar i en viss situation ändå föreligger, innebär det att behandlingen utförs i strid med bestämmelserna i ramlagen. Tillsynsmyndigheten har då bl.a. möjlighet att förelägga de personuppgiftsansvariga att vidta åtgärder eller förbjuda fortsatt behandling (se avsnitt 12.7.6).
Utredningen utgår från att en formell reglering av gemensamt personuppgiftsansvar som kräver beslut av riksdagen eller regeringen kommer att avhålla myndigheterna från att bygga system eller arrangera samarbete på ett sådant sätt att det oavsiktligt kan uppstå gemensamt personuppgiftsansvar. Det blir således viktigare i framtiden att analysera hur personuppgiftsbehandlingen ska organiseras om flera myndigheter samarbetar på sådant sätt att det kan ifrågasättas vem som har personuppgiftsansvaret.
En skriftlig överenskommelse om fördelningen av ansvaret
Det främsta syftet med artikel 21 förefaller vara att införa en skyldighet för gemensamt personuppgiftsansvariga att på ett tydligt sätt fastställa sitt respektive ansvar, främst i förhållande till registrerade. I skäl 54 framhålls vikten av att det tydligt fastställs vem som bär ansvaret. Enligt utredningens mening behöver det regleras.
Enligt artikeln ska ansvaret fastställas genom ett inbördes arrangemang mellan de personuppgiftsansvariga. Det ska göras under öppna former. Vad det innebär framgår inte. Det bör rimligen avse någon form av överenskommelse eller samarbetsavtal mellan de personuppgiftsansvariga. Enligt utredningens mening bör det vid gemensamt personuppgiftsansvar ställas krav på att en överenskommelse träffas och att den ska vara skriftlig. Det kan regleras i förordning. Kravet på öppenhet är uppfyllt genom regleringen om tillgång till allmänna handlingar.
Personuppgiftsansvarigas skyldigheter SOU 2017:29
364
Det bör också framgå av överenskommelsen vem som ska fungera som kontaktpunkt för registrerade. För att stärka enskildas ställning och möjliggöra för dem att utöva sina rättigheter bör en registrerad få utöva sina rättigheter enligt ramlagen gentemot var och en av de gemensamt personuppgiftsansvariga, även om det finns en skriftlig överenskommelse som reglerar ansvaret.
Det bör understrykas att det inte är möjligt att genom en överenskommelse avtala bort gällande författningsbestämmelser. En överenskommelse kan alltså inte befria någon av avtalsparterna från det ansvar som följer av gällande rätt, utan bara reglera hur ansvaret ska utövas i praktiken. Två behöriga myndigheter skulle exempelvis kunna bestämma att en av dem ska ansvara för att personuppgifter inte behandlas under längre tid än vad som är nödvändigt, men inte att en viss bestämmelse om hur länge personuppgifter får behandlas ska gälla framför en annan.
Om det i författningar eller regeringsbeslut som reglerar gemensamt personuppgiftsansvar fastställs hur de personuppgiftsansvarigas skyldigheter ska utövas bör det inte finnas möjlighet för de personuppgiftsansvariga att själva reglera det. En skriftlig överenskommelse om inbördes ansvar bör därmed inte få omfatta sådana skyldigheter som regleras särskilt.
10.8 Föreskriftsrätt
Utredningens förslag: Regeringen bemyndigas att meddela
föreskrifter om vissa skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden.
Skälen för utredningens förslag: Ramlagen och den tillhörande
förordningen kommer att tillämpas av både privata aktörer och myndigheter. Även om registerlagstiftning inte tillhör det obligatoriska lagområdet har utveckligen gått mot att sådan lagstiftning i allt större utsträckning ges lagform. Skyldigheter som åläggs personuppgiftsansvariga och personuppgiftsbiträden enligt ramlagen kan innebära skyldigheter för enskilda. Föreskrifter som gäller förhållandet mellan enskilda och det allmänna och som gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden ska enligt 8 kap. 2 § första stycket 2
SOU 2017:29 Personuppgiftsansvarigas skyldigheter
365
regeringsformen som huvudregel meddelas i lag. Riksdagen kan dock enligt 8 kap. 3 § första stycket regeringsformen bemyndiga regeringen att meddela sådana föreskrifter.
I 8 kap. 7 § regeringsformen anges inom vilka områden regeringen utan delegering får meddela föreskrifter. Enligt paragrafen får regeringen bl.a. meddela föreskrifter om verkställighet av lag. Verkställighetsföreskrifter är i första hand tillämpningsföreskrifter av rent administrativ karaktär. Sådana bestämmelser kan fylla ut eller precisera lagbestämmelser. Lagregleringen får dock inte tillföras något väsentligt nytt genom verkställighetsföreskrifter. De får t.ex. inte innebära att enskilda åläggs ytterligare skyldigheter.
Ramlagen och den tillhörande förordningen är en offentligrättslig reglering och omfattas av det delegeringsbara lagområdet. Det är därmed möjligt att i vissa fall bemyndiga regeringen att meddela föreskrifter inom ramlagens tillämpningsområde. För att undvika en alltför detaljerad lagreglering anser utredningen att vissa bestämmelser som kan innebära åligganden för enskilda bör finnas i förordning. Sådana bestämmelser kan ibland fylla ut eller precisera en lagbestämmelse och ses då som verkställighetsföreskrifter. Så kan exempelvis vara fallet om åtgärder ska vidtas för att en skyldighet i lag ska kunna uppfyllas, t.ex. dokumentation eller underrättelse. I övriga fall kan det krävas ett bemyndigande till regeringen för att sådana bestämmelser ska kunna meddelas i förordning.
Merparten av de skyldigheter som åläggs personuppgiftsansvariga och personuppgiftsbiträden föreslås regleras i ramlagen, men vissa detaljbestämmelser föreslås i förordningen. Eftersom det är mindre lämpligt att tynga en lag med utpräglade detaljföreskrifter anser utredningen att vissa skyldigheter för personuppgiftsansvariga bör regleras i förordningen trots att de även kan träffa enskilda. Det gäller skyldigheten att föra register över kategorier av behandlingar av personuppgifter och skyldigheten att införa interna rutiner för anmälan av överträdelser. De bestämmelserna är enligt utredningens mening inte heller så ingripande att de av den anledningen bör regleras i lag. Konsekvenserna av lagförslaget i sin helhet kan enligt utredningens mening överblickas även om regeringen ges ett bemyndigande. Regeringen bör därför i ramlagen bemyndigas att meddela föreskrifter om dessa skyldigheter.
367
11 Enskildas rättigheter
11.1 Tydligare reglering av enskildas rättigheter
Rätten till skydd av personuppgifter är inte en absolut rättighet utan ska vägas mot andra intressen. En del i personuppgiftsskyddet är enskildas rätt att få veta hur deras personuppgifter behandlas. Information om den personuppgiftsbehandling som pågår är en förutsättning för att enskilda ska kunna kontrollera om behandlingen är författningsenlig och i övrigt kunna bevaka sina intressen. Direktivet medför att rättigheterna för enskilda tydliggörs. Den enskilde får utökade möjligheter att kontrollera hur hans eller hennes personuppgifter behandlas och att begära korrigering av felaktiga eller ofullständiga personuppgifter och åtgärder vid otillåten behandling. I skäl 7 betonas att skyddet för fysiska personers fri- och rättigheter ska vara likvärdigt i alla medlemsstater när personuppgifter behandlas inom direktivets tillämpningsområde. Det framhålls även att ett effektivt skydd av personuppgifter förutsätter stärkta rättigheter för enskilda och ökade skyldigheter för dem som behandlar personuppgifter.
11.2 Rätten till information
11.2.1 Allmänt om rätten till information
Tillgången till allmänna handlingar
Det finns regler inom olika områden som ger enskilda rätt till insyn i viss myndighetsverksamhet och rätt att ta del av handlingar som behandlas där. Det gäller även inom ramlagens tillämpningsområde. Reglerna om personuppgiftsbehandling, och den rätt till informa-
Enskildas rättigheter SOU 2017:29
368
tion som skapas genom dem, utgör bara en mindre del av den samlade rätten till information.
Vem som helst har rätt att med stöd av 2 kap. 1 § tryckfrihetsförordningen ta del av allmänna handlingar. Den rätten kan bara begränsas av sekretess och tystnadsplikt. I offentlighets- och sekretesslagen (2009:400) finns både sekretessbestämmelser och bestämmelser som anger när olika typer av sekretess får brytas. Sekretess till skydd för enskildas personliga eller ekonomiska intressen gäller normalt inte i förhållande till den person som uppgiften avser (12 kap. 1 §). Däremot kan sekretess till skydd för det allmännas intressen eller till skydd för annan enskilds intressen begränsa rätten att få del av allmänna handlingar. För de verksamheter där ramlagen kommer att tillämpas gäller framför allt sekretess enligt 18 och 35 kap. offentlighets- och sekretesslagen, som skyddar det allmännas respektive enskildas intressen i brottsbekämpande verksamhet. Även andra sekretessbestämmelser kan gälla i det enskilda fallet. Sådan sekretess som gäller hos alla myndigheter är inte sällan aktuell inom ramlagens tillämpningsområde, exempelvis sekretess till skydd för vissa adressuppgifter (21 kap. 3 §) eller för utlänningar (21 kap. 5 §).
Rätten till insyn
Den som är part i ett mål eller ärende hos en myndighet eller en domstol har i stor utsträckning rätt till insyn i förfarandet och rätt att ta del av den information som tillförs målet eller ärendet under handläggningen. Myndigheter och domstolar är i varierande utsträckning skyldiga att se till att en part får del av sådan information. Bestämmelser om det finns bl.a. i 16 och 17 §§förvaltningslagen (1986:223), 10 och 12 §§förvaltningsprocesslagen (1971:291) och 45 kap. 9 § rättegångsbalken. Enligt 10 kap. 3 § offentlighets- och sekretesslagen hindrar sekretess inte den som är part och som på grund av sin partsställning har rätt till insyn i handläggningen att ta del av handlingar och material i målet eller ärendet. Insynen får bara begränsas under förutsättning att det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd uppgift i en handling i målet eller ärendet inte lämnas ut till parten. Sekretess hindrar aldrig en part från att ta del av en dom eller ett
SOU 2017:29 Enskildas rättigheter
369
beslut i målet eller ärendet. Sekretess innebär inte heller någon begränsning i en parts rätt enligt rättegångsbalken att få del av alla omständigheter som läggs till grund för ett avgörande.
Förvaltningslagens bestämmelser om partsinsyn och kommunikationsskyldighet gäller enligt 32 § förvaltningslagen inte i polisens, åklagarnas, Tullverkets, Kustbevakningens och Skatteverkets brottsbekämpande verksamhet och någon ändring av det föreslås inte i den nya försvaltningslagen. Brottsförebyggande arbete är inte författningsreglerat och det finns inte heller några särskilda regler om insyn eller tillgång till handlingar i sådan verksamhet. Underrättelseverksamhet är endast i mycket begränsad utsträckning författningsreglerad och några särskilda regler om insyn eller tillgång till handlingar i den verksamheten finns inte heller.
Särskilda regler gäller däremot om misstänktas rätt till insyn i förundersökningar enligt 10 kap. 3 a § offentlighets- och sekretesslagen och 23 kap. rättegångsbalken. Förundersökningar omfattas i de flesta fall åtminstone inledningsvis till stor del av sekretess, men den avklingar normalt ju längre utredningen kommer. Därför har regleringen av rätten till insyn i förundersökningar stor praktisk betydelse.
Tidpunkten för när en person underrättas om att han eller hon är skäligen misstänkt är utgångspunkten för rätten till insyn. Den som är skäligen misstänkt respektive åtalad har rätt till insyn och tillgång till material enligt 23 kap.18, 18 a och 21 §§rättegångsbalken. Den som utsätts för ett straffprocessuellt tvångsmedel som kan prövas av domstol har vid domstolens handläggning partsrättigheter, men har inte någon insyn i t.ex. polisens eller åklagarens handläggning utöver vad som nyss har sagts. Vid domstolens handläggning av andra förprocessuella frågor, t.ex. frågor om offentlig försvarare eller målsägandebiträde, har den berörde på motsvarande sätt partsställning och den insyn som följer av det.
Det finns inga regler om målsägandens eller andra berördas rätt till insyn i förundersökningsförfarandet. Däremot finns det omfattande regler om underrättelseskyldighet som bl.a. tillgodoser målsägandenas intressen knutna till att en förundersökning slutförs.
Om åtal väcks blir som regel de flesta handlingar som rör åtalet offentliga. En domstols handläggning av brottmål är till största delen offentlig och för handlingarna i målet gäller bara i begränsad utsträckning sekretess. Det är framför allt i mål som rör underåriga
Enskildas rättigheter SOU 2017:29
370
eller särskilt känsliga frågor som exempelvis vissa sexualbrott och för viss personalia som det kan gälla sekretess.
Det är viktigt att skilja den rätt till information och tillgång till handlingar som skapas genom de nu nämnda regleringarna från den rätt till information och tillgång till personuppgifter som skapas genom reglerna om skydd för personuppgifter. Bestämmelserna har helt olika syften.
11.2.2 Reglerna om information i straffrättsliga förfaranden har företräde
Utredningens bedömning: Det behöver inte regleras att be-
stämmelser om personuppgiftsbehandling inte får inkräkta på reglerna om rätt till information vid förundersökning och andra straffrättsliga förfaranden, eftersom avvikande regler gäller i stället för ramlagen.
Skälen för utredningens bedömning
Innehållet i direktivet
Enligt artikel 18 får medlemsstaterna föreskriva att de rättigheter som avses i artiklarna 13, 14 och 16 ska utövas i enlighet med medlemsstaternas nationella rätt, om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredningar och straffrättsliga förfaranden.
Av skäl 49 och 107 framgår att direktivet inte hindrar medlemsstaterna att i nationell straffprocesslagstiftning genomföra bestämmelser dels om den registrerades rätt till information om behandlingen av hans eller hennes personuppgifter, rättelse och radering av personuppgifter och begränsning av behandlingen i samband med straffrättsliga förfaranden, dels om begränsningar av dessa rättigheter.
SOU 2017:29 Enskildas rättigheter
371
Behövs det någon ny reglering?
Det finns som nyss nämnts åtskilliga bestämmelser om enskildas rätt till insyn i brottsutredningar och straffrättsliga förfaranden. Av särskild betydelse är 23 kap. rättegångsbalken, som reglerar den misstänktes insyn under en förundersökning, 20 kap. rättegångsbalken som reglerar frågor som rör målsägande och förundersökningskungörelsen (1947:948) som framför allt reglerar underrättelseskyldigheter till misstänkt, målsägande och andra som berörs av en förundersökning.
Brottsförebyggande arbete, underrättelseverksamhet, förundersökningar och brottmålsprocesser kan i dag genomföras på ett ändamålsenligt sätt, eftersom den processrättsliga lagstiftningen tillsammans med bestämmelser om sekretess och tystnadsplikt – när det finns skäl för det – begränsar enskildas rätt till information.
Eftersom ramlagen föreslås vara subsidiär i förhållande till andra lagar och förordningar kommer reglerna i de processrättsliga regelverken och sekretessregleringen att ta över vid en konflikt mellan regelverken (se avsnitt 6.1.2). Det innebär att om reglerna om rätt till partsinsyn eller tillgång till handlingar enligt rättegångsbalken eller andra författningar eller reglerna om sekretess eller tystnadsplikt kommer i konflikt med ramlagens bestämmelser ska de förstnämnda reglerna tillämpas i stället för ramlagens.
Enligt utredningens uppfattning kommer således den ordning som gäller i dag för enskildas rätt till information och tillgång till uppgifter i brottsutredningar och straffrättsliga förfaranden inte att påverkas när ramlagen träder ikraft. Några ytterligare regler för att säkerställa att brottsutredningar eller straffrättsliga förfaranden kan genomföras på samma sätt som nu behövs därmed inte.
11.2.3 Innehållet i direktivet
I direktivet finns det tre artiklar som reglerar vilken information som den personuppgiftsansvarige ska tillhandahålla den registrerade, artiklarna 13.1, 13.2 och 14. För att kunna ta ställning till hur dessa artiklar ska genomföras i ramlagen krävs först en analys av vilka rättigheter och skyldigheter artiklarna slår fast och hur de förhåller sig till varandra.
Enskildas rättigheter SOU 2017:29
372
Artikel 13.1 är utformad som minimikrav. Den anger vilken information den personuppgiftsansvarige alltid ska göra tillgänglig för registrerade. Det är fråga om allmän information om den personuppgiftsansvarige och dataskyddsombudet, ändamålen med behandlingen, rätten att lämna in klagomål, rätten att begära tillgång till personuppgifter och rätten att begära rättelse, radering och begränsning av behandling.
Därutöver ska den personuppgiftsansvarige enligt artikel 13.2 i specifika fall lämna ytterligare information för att göra det möjligt för den registrerade att utöva sina rättigheter. Det gäller information om behandlingens rättsliga grund, hur länge personuppgifterna får behandlas, kategorier av mottagare av uppgifterna och den ytterligare information som det finns behov av.
Enligt artikel 14 ska den registrerade ha rätt att få bekräftelse av den personuppgiftsansvarige om hans eller hennes personuppgifter behandlas. Om så är fallet ska den registrerade få tillgång till personuppgifterna och information om vilka personuppgifter som behandlas och varifrån de har hämtats. Den registrerade ska också informeras om ändamålen med behandlingen och dess rättsliga grund, kategorier av personuppgifter, mottagare eller kategorier av mottagare, hur länge uppgifterna får behandlas, rätten att begära rättelse, radering eller begränsning av behandlingen och möjligheten att lämna in klagomål till tillsynsmyndigheten.
11.2.4 Nuvarande reglering
Information som den personuppgiftsansvarige ska lämna självmant
I 23–25 §§personuppgiftslagen (1998:204) föreskrivs att den personuppgiftsansvarige självmant ska informera den registrerade om behandlingen av hans eller hennes personuppgifter. I 23 § regleras vad som gäller om uppgifterna lämnats av den registrerade själv och i 24 § om uppgifterna hämtats från något annat håll. I 25 § första stycket anges vilken information som den personuppgiftsansvarige ska lämna självmant. Uppgift om den personuppgiftsansvariges identitet ska alltid lämnas och uppgift om ändamålen med behandlingen. All annan information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen ska också lämnas, t.ex. information om mottagarna av uppgifterna,
SOU 2017:29 Enskildas rättigheter
373
skyldigheten att lämna uppgifter och rätten att ansöka om information och att få rättelse.
Enligt 25 § andra stycket personuppgiftslagen behöver information inte lämnas om sådant som den registrerade redan känner till. Undantaget har stor praktisk betydelse för omfattningen av den personuppgiftsansvariges skyldighet.
Bestämmelserna i 23 och 25 §§personuppgiftslagen gäller för myndigheterna i rättskedjan. För polisen och Kustbevakningen görs undantag från informationsskyldigheten i 23 § dels vid insamling av personuppgifter genom bilder eller ljud, dels om uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen (2 kap. 2 § tredje stycket polisdatalagen [2010:361] och 2 kap. 2 § tredje stycket kustbevakningsdatalagen [2012:145]).
Myndigheternas registerförfattningar hänvisar däremot inte till 24 § personuppgiftslagen. Det beror på att informationsskyldigheten enligt den paragrafen inte gäller om det finns avvikande bestämmelser i lag eller annan författning (se t.ex prop. 2014/15:63 s. 52 f. och prop. 2014/15:148 s. 87).
Regeringen kan enligt 50 § e personuppgiftslagen (1998:1191) meddela närmare föreskrifter om vilken information som ska lämnas till registrerade och hur den ska lämnas. Datainspektionen har motsvarande delegation enligt 16 § 5 personuppgiftsförordningen. Några sådana föreskrifter har inte utfärdats. Datainspektionen har dock gett ut allmänna råd om information (Information till registrerade, Datainspektionens allmänna råd, maj 2000).
Information som den personuppgiftsansvarige ska lämna efter ansökan
Enligt 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Om sådana uppgifter behandlas ska också skriftlig information lämnas om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Paragrafen gäller för myndigheterna i rättskedjan, antingen genom en uttrycklig hänvisning i
Enskildas rättigheter SOU 2017:29
374
registerförfattningarna eller genom att de registerförfattningar som gäller utöver personuppgiftslagen inte har några avvikande regler.
11.2.5 Innebörden av artiklarna om information
Utredningens bedömning: Artikel 13.1 avser allmän informa-
tion som ska göras tillgänglig för registrerade. Artikel 13.2 avser personrelaterad information som den personuppgiftsansvarige på eget initiativ ska lämna till en registrerad i specifika fall, medan artikel 14 avser personrelaterad information som ska lämnas på begäran.
Skälen för utredningens bedömning
Allmän eller personrelaterad information?
Artiklarna om information innehåller till viss del samma eller liknande krav på vilken information som den personuppgiftsansvarige ska tillhandahålla; t.ex. anges ”ändamålen med behandlingen” både i artiklarna 13.1 och 14 och ”behandlingens rättsliga grund” både i artiklarna 13.2 och 14. Bestämmelserna har emellertid enligt utredningens uppfattning olika syften.
Artikel 13.1 avser allmän information som riktar sig till allmänheten eller en obestämd, större krets av registrerade. Det rör sig om upplysningar av generell karaktär som hänför sig till myndighetens personuppgiftsbehandling i allmänhet, exempelvis kontaktuppgifter till personuppgiftsansvarig, dataskyddsombud och tillsynsmyndigheten. Det rör sig också om allmänna upplysningar om hur man ansöker om rättelse, radering eller begränsning av behandlingen av personuppgifter. Artikel 14 tar sikte på information riktad till en enskild registrerad om behandlingen av hans eller hennes personuppgifter (personrelaterad information).
Då artikel 13.2 avser information som ska lämnas i specifika fall för att göra det möjligt för den registrerade att utöva sina rättigheter, anser utredningen att artikeln inte kan syfta på upplysningar av generell karaktär. Utredningens bedömning är därför att artikel 13.2, i likhet med artikel 14, avser personrelaterad information.
SOU 2017:29 Enskildas rättigheter
375
En annan möjlig tolkning är att artikel 13.2 riktar sig till lagstiftaren som i lag eller förordning ska föreskriva i vilka fall information enligt artikeln ska lämnas. Utredningen anser emellertid att en sådan tolkning inte är rimlig, eftersom det inte är möjligt att i författning reglera specifika fall där information bör lämnas för att den registrerade ska kunna ta tillvara sina rättigheter. Till det kommer att artikel 11.1 c i det nu gällande direktivet, som har liknande utformning, har genomförts genom 25 § första stycket c personuppgiftslagen som riktar sig till den personuppgiftsansvarige.
Ska informationen göras tillgänglig eller lämnas?
Artikel 13.1 föreskriver att informationen ska göras tillgänglig för den registrerade, medan det i artikel 13.2 föreskrivs att informationen ska lämnas till den registrerade. Enligt utredningens uppfattning är det skillnad i sak mellan uttrycken. Som nyss nämnts avser artikel 13.1 allmän information som riktar sig till en obestämd krets av registrerade. I kravet på att information ska vara tillgänglig ligger att de registrerade i princip ska ha möjlighet att ta del av informationen när de önskar. Informationen kan t.ex. publiceras på myndighetens webbplats (jfr skäl 42) eller finnas i en broschyr, folder eller annan informationsskrift.
Informationen i artikel 13.2 avser som nyss nämnts personrelaterad information som ska lämnas till den registrerade. Kravet innebär enligt utredningens uppfattning att den personuppgiftsansvarige ska ge information riktat till den registrerade, t.ex. genom att skicka sådan information med post eller e-post eller lämna muntlig information. Det är således enligt utredningens mening inte tillräckligt att enbart göra informationen tillgänglig på en webbplats, men den kan naturligtvis finnas där också.
Enligt artikel 14 ska personrelaterad information lämnas till den registrerade i samband med ett besked om att hans eller hennes personuppgifter behandlas.
Enskildas rättigheter SOU 2017:29
376
Ska informationen lämnas på eget initiativ eller först på begäran?
En annan fråga är om artiklarna 13 och 14 förutsätter att den personuppgiftsansvarige informerar på eget initiativ eller om det krävs att den registrerade begär information. Eftersom artikel 13.1 avser allmän information som ska göras tillgänglig av den personuppgiftsansvarige på exempelvis en webbplats, framstår det som naturligt att den tillhandahålls på den personuppgiftsansvariges eget initiativ. Det som talar för att även personrelaterad information enligt artikel 13.2 ska lämnas ex officio är punkten d, som nämner personuppgifter som samlas in utan den registrerades vetskap. Om personuppgifter samlats in utan den registerades vetskap saknar han eller hon förutsättningar att begära information om behandlingen. Då krävs det att den personuppgiftsansvarige agerar för att se till att den registrerade får informationen.
Viss ledning för hur artiklarna 13.2 och 14 bör tolkas kan hämtas från motvarande bestämmelser i personuppgiftslagen och i det nu gällande direktivet som har ett likartat innehåll och liknande struktur. Artikel 13 motsvaras av 25 § personuppgiftslagen, som tillsammans med 23 och 24 §§ genomför artiklarna 10 och 11 i det nu gällande direktivet. I förarbetena anför regeringen att artiklarna, trots att det inte sägs uttryckligen, innebär att den personuppgiftsansvarige självmant ska lämna informationen till den registrerade (prop. 1997/98:44 s. 78). I 25 § personuppgiftslagen föreskrivs att informationen ska lämnas självmant. Utredningen anser mot den bakgrunden att den personuppgiftsansvarige på eget initiativ ska lämna sådan information som avses i artikel 13.2.
När det gäller artikel 14 är artikel 12 a i det nu gällande direktivet och 26 § personuppgiftslagen, som genomför artikeln, av intresse. Paragrafen ger den registrerade rätt till information om de personuppgifter som rör honom eller henne. Regeringen anför i förarbetena att artikel 12 a innebär att informationen bara behöver lämnas på den registrerades begäran (prop. 1997/98:44 s. 81). I 26 § personuppgiftslagen föreskrivs därför att informationen ska lämnas efter ansökan. Artikel 12 a svarar mot artikel 14 i det nya direktivet, i vilken det anges att den registrerade ska få bekräftelse av den personuppgiftsansvarige om personuppgifter som rör den registrerade behandlas och, om så är fallet, viss information om dessa uppgifter. Ordet bekräftelse tyder på att information enligt artikel 14 bara
SOU 2017:29 Enskildas rättigheter
377
behöver lämnas på begäran. I motsvarande artikel i dataskyddsförordningen, artikel 15, används också ordet bekräftelse. Av skäl 63 i förordningen framgår att den registrerade ska göra en framställan, vilket ger ytterligare stöd för tolkningen att informationen i fråga bara behöver lämnas på begäran. Utredningen anser mot den bakgrunden att artikel 14 i direktivet avser personrelaterad information som ska lämnas först när den efterfrågas.
11.2.6 Allmän information som ska göras tillgänglig
Utredningens förslag: Den personuppgiftsansvarige ska göra
viss allmän information tillgänglig för registrerade.
Skälen för utredningens förslag
Innehållet i direktivet
Artikel 13.1 anger vilken information den personuppgiftsansvarige alltid ska göra tillgänglig för registrerade. Det är fråga om den personuppgiftsansvariges identitet och kontaktuppgifter, dataskyddsombudets kontaktuppgifter och ändamålen med behandlingen. Även information om rätten att begära tillgång till personuppgifter och att begära rättelse, radering och begränsning av behandlingen och möjligheten att lämna in klagomål till en tillsynsmyndighet och dess kontaktuppgifter ska göras tillgänglig.
Vilken information ska göras tillgänglig?
En bestämmelse i ramlagen bör reglera den allmänna information som ska göras tillgänglig enligt artikel 13.1. Den bör innehålla de uppgifter som räknas upp i artikeln. Hur uppgifterna bör göras tillgängliga diskuteras i avsnitt 11.2.5.
Dataskyddsombudets kontaktuppgifter bör göras tillgängliga. Dataskyddsombud behandlas i avsnitt 10.5. Enligt utredningens mening behöver det inte vara en direkt kontaktuppgift till dataskyddsombudet, t.ex. hans eller hennes e-postadress, utan det är tillräckligt att ombudet går att nå via kontaktuppgiften. Direktivet
Enskildas rättigheter SOU 2017:29
378
förutsätter inte att dataskyddsombudets identitet ska göras tillgänglig. I dag finns det inte någon skyldighet att informera allmänheten om personuppgiftsombudets identitet eller kontaktuppgifter, utan endast en skyldighet att anmäla uppgifterna till tillsynsmyndigheten. Det finns inte skäl att nu införa krav på att dataskyddsombudets identitet ska göras allmänt tillgänglig.
Vidare ska den personuppgiftsansvarige enligt artikeln göra information om ändamålen med behandlingen tillgänglig. Samma krav ställs i 25 § första stycket b personuppgiftslagen. Som utvecklas i avsnitt 11.2.5 anser utredningen att det är fråga om upplysningar av generell karaktär som gäller den behöriga myndighetens personuppgiftsbehandling i allmänhet. Det innebär att det inte är fråga om ändamålen för behandling i varje enskilt fall som avses utan för vilka typer av ändamål personuppgifter får behandlas t.ex. förundersökningar, ärenden om strafförelägganden eller brottmål. Enligt utredningens mening bör det inte krävas en uttömmande uppräkning av för vilka ändamål personuppgifter behandlas. Det bör vara tillräckligt att enskilda genom uppräkningen får en god bild av den personuppgiftsbehandling som den behöriga myndigheten utför.
Slutligen bör informationen också omfatta rätten att få information om behandlingen och att få del av personuppgifterna och rätten att begära rättelse, radering eller begränsning av behandlingen och möjligheten att lämna in klagomål till tillsynsmyndigheten. En allmän beskrivning av hur registrerade ska gå till väga för att kunna utöva dessa rättigheter, t.ex. hur man begär rättelse av personuppgifter, bör också göras tillgänglig av den personuppgiftsansvarige. Tillsynsmyndighetens kontaktuppgifter bör anges.
11.2.7 Information som ska lämnas i specifika fall
Utredningens förslag: Den personuppgiftsansvarige ska i speci-
fika fall lämna viss personrelaterad information till den registrerade, om det behövs för att han eller hon ska kunna ta tillvara sina rättigheter.
SOU 2017:29 Enskildas rättigheter
379
Skälen för utredningens förslag
Innehållet i direktivet
Utöver den allmänna information som avses i artikel 13.1, ska den personuppgiftsansvarige enligt artikel 13.2 i specifika fall lämna viss information, för att göra det möjligt för den registrerade att utöva sina rättigheter. Det gäller information om behandlingens rättsliga grund, hur länge personuppgifterna får behandlas eller kriterierna för att fastställa det, kategorier av mottagare av uppgifterna och den ytterligare information som det finns behov av, i synnerhet om personuppgifterna samlas in utan den registrerades vetskap. I skäl 42 anges att den registrerade bör informeras i den utsträckning som ytterligare information är nödvändig för att garantera att hans eller hennes personuppgifter behandlas korrekt. Vid den avvägningen ska de särskilda omständigheter under vilka personuppgifterna behandlas beaktas.
Vad är specifika fall?
Ramlagen bör reglera vilken information som ska lämnas enligt artikel 13.2. Att informationen ska riktas till den registrerade och lämnas på den personuppgiftsansvariges eget initiativ behandlas i avsnitt 11.2.5. Det som då återstår att diskutera är vad som avses med specifika fall.
Information behöver endast lämnas i de fall där den registrerade behöver informationen för att kunna ta tillvara sina rättigheter. Direktivet ger ingen ledning för när det kan bli aktuellt. Enligt utredningens uppfattning kan det vara om den enskilde riskerar att lida någon rättsförlust, t.ex om känsliga personuppgifter har behandlats på otillåtet sätt. Ett annat exempel kan vara att personuppgifter har lämnats till fel mottagare och att det kan komma att medföra negativa konsekvenser för den registrerade. Den personuppgiftsansvarige bör i sådana fall informera den registrerade om vad som har hänt och vilka åtgärder som han eller hon kan vidta, t.ex. att lämna in klagomål till tillsynsmyndigheten eller väcka talan om skadestånd. Enligt utredningens mening bör det inte krävas att den personuppgiftsansvarige informerar vid sådana fel som inte kan antas ha någon negativ inverkan. Det bör normalt krävas att det är
Enskildas rättigheter SOU 2017:29
380
fråga om överträdelser av regelverket som skulle kunna föranleda skadeståndsansvar, allvarlig kritik eller ingripande från tillsynsmyndigheten eller någon annan liknande reaktion.
Information som rutinmässigt lämnas till en viss kategori av personer, t.ex. information till personer som lämnar salivprov för dna-analys enligt rättegångsbalken eller till vittnen om personuppgiftsbehandling i samband med ljud- och bildupptagning under domstolsförhandling, syftar i och för sig till att underlätta för dem att ta tillvara sina rättigheter. Eftersom informationen i dessa fall lämnas till alla berörda är den inte personrelaterad. Det rör sig således inte om specifika fall.
I avsnitt 10.4.3 föreslås att registerade i vissa fall ska informeras om personuppgiftsincidenter. Sådan information syftar till att de registrerade ska kunna vidta åtgärder för att skydda sig och sina personuppgifter. En personuppgiftsincident kan vara ett sådant specifikt fall som avses i artikel 13.2. Den registrerade ska då få information både för att det är fråga om ett specifikt fall och på grund av personuppgiftsincidenten.
Vilken information ska lämnas?
Informationen som ska lämnas bör motsvara det som räknas upp i artikel 13.2. Den personuppgiftsansvarige bör således informera om den rättsliga grunden för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen.
Den personuppgiftsansvarige bör även informera om vilka kategorier som mottar personuppgifterna. Det bör räcka att ange vilken typ av myndighet som personuppgifterna lämnas ut till, t.ex. socialnämnd eller åklagare. Enligt kommentaren till 26 § personuppgiftslagen, där motsvarande uttryck diskuteras, kan förhållandevis allmän information om mottagare godtas (Öman m.fl. s. 401). Om mottagarkategorin finns i ett tredjeland eller är en internationell organisation bör det anges.
Vidare bör det framgå hur länge personuppgifterna får behandlas. Om det inte är möjligt att fastställa hur länge uppgifterna får behandlas i det enskilda fallet bör i stället kriterierna för att fastställa det anges. Det kan vara upplysningar om vilka omständigheter eller tidpunkter som styr hur länge personuppgifterna får be-
SOU 2017:29 Enskildas rättigheter
381
handlas, t.ex. nedläggning av förundersökning eller att ett visst antal år förflutit efter det att uppgifterna registrerades.
Den personuppgiftsansvarige bör också lämna övrig nödvändig information om behandlingen. Vad som är nödvändig information får bedömas med utgångspunkt i om den registrerade har behov av den för att kunna ta tillvara sina rättigheter. Det kan t.ex. vara information om rätten att få del av personuppgifterna och rätten att begära rättelse, radering eller begränsning av behandlingen. Ett annat exempel är information om möjligheten att lämna in klagomål till tillsynsmyndigheten. Vid bedömningen av om sådan övrig information bör lämnas ska det särskilt beaktas om personuppgifterna samlats in utan den registrerades vetskap. Det ligger i sakens natur att behovet av information är större om den registrerade inte känner till att hans eller hennes personuppgifter behandlas.
11.2.8 Information som ska lämnas på begäran
Utredningens förslag: Den personuppgiftsansvarige ska till den
som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få viss skriftlig information om behandlingen.
Sökanden behöver inte få del av personuppgifter som han eller hon har tagit del av, om det inte begärs. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 14 ska den registrerade ha rätt att få bekräftelse av den personuppgiftsansvarige om den registrerades personuppgifter behandlas. I så fall ska han eller hon få tillgång till personuppgifterna och viss annan information. Det gäller vilka personuppgifter som behandlas och all tillgänglig information om varifrån de härstammar. Den registrerade ska också få information om ändamålen med behandlingen och dess rättsliga grund, kategorier av personuppgifter, mottagare eller kategorier av mottagare, hur länge upp-
Enskildas rättigheter SOU 2017:29
382
gifterna får behandlas eller kriterierna för att fastställa det, rätten att begära rättelse, radering eller begränsning av behandlingen och möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.
Rätten att få del av personuppgifter
För att den enskilde ska kunna hålla sig underrättad om hans eller hennes personuppgifter behandlas och kunna kontrollera om behandlingen utförs författningsenligt bör ramlagen innehålla en bestämmelse som motsvarar artikel 14. Den bör räkna upp de typer av information som anges i artikeln.
Enligt artikel 14 är det den registrerade som har rätt att få tillgång till personuppgifter som rör honom eller henne och information om behandlingen. Det uttrycks på samma sätt i artikel 12 i det nu gällande direktivet. I 26 § personuppgiftslagen har lagstiftaren i stället valt uttrycken var och en som ansöker respektive den sökande. Det är logiskt, eftersom den som begär besked om hans eller hennes personuppgifter behandlas kan få ett nekande svar. Vederbörande kan då inte betecknas som registrerad. Uttrycket sökanden bör därför användas i ramlagen.
Enligt artikel 14 ska den registrerade få tillgång till personuppgifterna som behandlas och viss information om behandlingen. Artikel 15 i dataskyddsförordningen är utformad på motsvarande sätt. Utredningen anser att för att syftet med artikel 14 ska uppnås – att den registrerade ska kunna kontrollera om hans eller hennes personuppgifter behandlas författningsenligt – bör han eller hon kunna få del av uppgifterna och inte bara få information om behandlingen. Det bör därför föreskrivas att om uppgifter om sökanden behandlas ska han eller hon få del av dem och få viss skriftlig i paragrafen uppräknad information om behandlingen. Att information och uppgifter behöver lämnas först när den registrerade begär det behandlas i avsnitt 11.2.5. Begränsning av tillgången behandlas i avsnitt 11.3.
SOU 2017:29 Enskildas rättigheter
383
Vilka personuppgifter har sökanden rätt att få del av?
Om den personuppgiftsansvarige behandlar personuppgifter om sökanden ska alltså han eller hon få del av uppgifterna. Enligt förarbetena till personuppgiftslagen omfattar skyldigheten bara de behandlade uppgifter som den personuppgiftsansvarige har i behåll när informationen lämnas. Enligt förarbetena finns det inget som hindrar att den personuppgiftsansvarige under tiden från det att ansökan görs till dess att uppgifterna lämnas raderar uppgifterna eller slutar att behandla dem (prop. 1997/98:44 s. 132). Utredningen delar bedömningen att det är uppgifterna som behandlas vid tiden för utlämnandet som sökanden ska få del av, men vill understryka att det inte är acceptabelt att radera uppgifter som behandlades vid ansökan i syfte att undgå att behöva lämna ut dem.
EU-domstolen har i den s.k. Rijkeboer-domen behandlat frågan om rätten att få tillgång till uppgifter enligt artikel 12 a i det nu gällande direktivet endast avser nutid eller även förfluten tid. Domstolen slog fast att en enskilds rätt att få tillgång till uppgift om vilka personuppgifter som lämnats ut och till vilka mottagare eller mottagarkategorier även avser förfluten tid och innebär en skyldighet för den personuppgiftsansvarige att under viss tid spara sådan information. Enligt domstolen ankommer det på medlemsstaterna att fastställa den tiden, men domstolen uttalade att ett år inte är tillräckligt om det inte visas att en längre lagring av personuppgifterna utgör en orimlig börda för den personuppgiftsansvarige (dom av den 7 maj 2009, Rijkeboer, C-553/07). Av avsnitt 9.3.2 framgår att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. EUdomstolens dom kan enligt utredningens mening inte tolkas så att personuppgifter ska sparas enbart i syfte att vid behov kunna lämnas ut om en registrerad med stöd av reglerna om rätt till information frågar efter dem.
Enligt skäl 43 är det tillräckligt att den registrerade får en komplett sammanfattning av uppgifterna i begripligt format, dvs. ett format som gör det möjligt för den registrerade att få kännedom om uppgifterna och kontrollera att de behandlas korrekt. Det har slagits fast av EU-domstolen i ett mål där fråga var om artikel 12 a i det nu gällande direktivet innebar en skyldighet att till sökanden lämna ut en kopia av ett ansökningsprotokoll som innehöll person-
Enskildas rättigheter SOU 2017:29
384
uppgifter om sökanden. Domstolen konstaterade att artikel 12 a inte innebär en sådan skyldighet, utan att det var tillräckligt att lämna ut en fullständig sammanställning i begriplig form av uppgifterna. Vidare konstaterade domstolen att, för att undvika att sökanden får tillgång till andra upplysningar än de personuppgifter som rör honom eller henne, sökanden kan få en kopia av den ursprungliga handlingen där de övriga upplysningarna har gjorts oläsbara (dom av den 14 juli 2014, YS m.fl., förenade målen C-141/12 och C-372/12). Regleringen i ramlagen bör mot den bakgrunden innebära att en kopia av en handling med de personuppgifter som rör sökanden kan lämnas ut till honom eller henne om det bedöms vara lämpligt, men det bör inte vara någon skyldighet. Om rättigheterna kan säkerställas genom någon annan form av utlämnande, t.ex. en sammanfattning av personuppgifterna, är det tillräckligt.
Det finns i sammanhanget anledning att påpeka att avvikande bestämmelser gäller beträffande rätten att få del av utdrag ur belastningsregistret och misstankeregistret. I 9 § lagen (1998:620) om belastningsregister och i 8 och 8 a § lagen (1998:621) om misstankeregister regleras uttömmande enskilds rätt att få del av utdrag ur registren i fråga. Ramlagens bestämmelse om rätt till information blir därmed inte tillämplig på utdrag ur de registren.
Vad krävs av den personuppgiftsansvarige?
En viktig fråga är hur långtgående den personuppgiftsansvariges undersökningsplikt bör vara och vad som måste göras för att få fram alla personuppgifter som behandlas om en registrerad. I förarbetena till personuppgiftslagen diskuterades vilka krav det nu gällande direktivet ställer. Regeringens slutsats var då att den personuppgiftsansvarige endast är skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon har tillgång till (prop. 1997/98:44 s. 82 f.). Det förarbetsuttalandet måste sättas i sitt historiska sammanhang, där tillgången till datorer och sökmöjligheterna i den samlade verksamheten var begränsade och myndigheterna var betydligt mindre än i dag.
Utgångspunkten är att sökanden ska få tillgång till all information som den personuppgiftsansvarige själv kan få fram om honom eller henne. Det förutsätter att det finns uppgifter som direkt kan
SOU 2017:29 Enskildas rättigheter
385
hänföras till den person som begär informationen. Sökanden måste lämna sådana uppgifter om sin identitet att det blir möjligt att söka efter informationen. Det kan vara fullständigt namn eller person- eller samordningsnummer eller någon annan lika unik identitet.
Utgångspunkten är att det är tillräckligt att den personuppgiftsansvarige använder de möjligheter till sökning som är tillgängliga och tillåtna i verksamheten. Det är enligt utredningens mening rimligt att sökningar görs i myndighetens verksamhetsspecifika behandlingssystem, t.ex. dokument- och ärendehanteringssystem, register och databaser. I den mån uppgifter är sökbara i standardprogram som Word, Outlook och Excel bör de också omfattas. Det är däremot inte rimligt att alla anställda i myndigheter med hundratals eller tusentals anställda var och en ska söka efter eventuella personuppgifter på egna lagringsytor vid varje förfrågan från en enskild (jfr avsnitt 10.2.2).
Det kan dock anmärkas att en registrerad genom att utnyttja sin rätt att begära information enligt ramlagen inte i något fall kommer att kunna få en fullständig bild av vilka personuppgifter om honom eller henne som den personuppgiftsansvarige behandlar. Det beror på den tudelning av regelverket för personuppgiftsbehandling som EU:s dataskyddsreform innebär. Den som vänder sig till t.ex. Polismyndigheten med en begäran om att få veta vilka personuppgifter som myndigheten behandlar om honom eller henne måste därför utnyttja sin rätt till information enligt både dataskyddsförordningen och ramlagen.
Vilken övrig information ska lämnas?
Den registrerade ska också informeras om behandlingen av personuppgifterna. Informationen bör motsvara det som räknas upp i artikel 14. Informationen ska alltså omfatta vilka uppgifter om sökanden som behandlas och varifrån dessa kommer. Information om varifrån personuppgifterna kommer behöver bara avse den information som finns tillgänglig. Sådan information behöver alltså inte sparas i syfte att på begäran kunna lämnas till enskilda. Enligt utredningens uppfattning bör informationen avse förhållandena vid tidpunkten för utlämnandet.
Enskildas rättigheter SOU 2017:29
386
Enligt artikel 14 ska den registrerade informeras om de kategorier av personuppgifter som behandlingen gäller. Kategorier av personuppgifter kan t.ex. vara adressuppgifter eller fordonsuppgifter. Utredningen anser att kategorier av personuppgifter ingår i det större begreppet personuppgifter som behandlas och därför, på samma sätt som i dag, inte kräver någon särskild reglering.
Även behandlingens rättsliga grund bör framgå, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen.
Den personuppgiftsansvarige bör vidare informera om ändamålen med behandlingen. Det som avses är ändamålen med behandlingen i det enskilda fallet.
Information om mottagare eller kategorier av mottagare av personuppgifterna bör också lämnas. Med mottagare avses i ramlagen den till vilken personuppgifter lämnas ut, med undantag av en myndighet som, med stöd av författning, utövar tillsyn, kontroll eller revision (se avsnitt 6.2). Den personuppgiftsansvarige behöver således inte informera sökanden om att uppgifter har lämnats ut till myndigheter för tillsyn, t.ex. till JK eller Säkerhets- och integritetsskyddsnämnden. Eftersom en myndighet enligt 2 kap. 14 § tryckfrihetsförordningen varken får efterfråga eller dokumentera vilka som tar del av allmänna handlingar med personuppgifter behöver inte heller uppgifter om sådana mottagare lämnas ut (SOU 2015:39 s. 500).
För att uppfylla kravet i direktivet bör det räcka att information om kategorier av mottagare lämnas. Exempel på kategorier av mottagare kan vara åklagare eller domstol. Om mottagaren finns i ett tredjeland eller är en internationell organisation ska det anges.
Vidare bör det framgå hur länge personuppgifterna får behandlas. Om det inte är möjligt att ange hur länge de får behandlas i det enskilda fallet ska i stället kriterierna för att fastställa det anges. Det kan exempelvis vara den föreskrivna tidpunkten i en myndighets registerlagstiftning när de personuppgifter som saken gäller inte längre får behandlas.
Den personuppgiftsansvarige ska även underrätta den registrerade om rätten att begära rättelse, radering eller begränsning av behandlingen och om möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifterna till den.
SOU 2017:29 Enskildas rättigheter
387
Det bör enligt utredningens mening inte preciseras vad informationen bör innehålla eller hur den bör lämnas. Det kan göras av regeringen eller den myndighet som regeringen bestämmer.
Att en registrerads rätt till information om vilka personuppgifter om honom eller henne som behandlas inte gäller i den utsträckning personuppgifterna inte får lämnas ut behandlas i avsnitt 11.3.1. Personuppgifter i ofärdig text eller som utgör minnesanteckningar behandlas i avsnitt 11.3.3.
När ska informationen lämnas?
Artikel 14 anger inte när en ansökan senast ska besvaras av den personuppgiftsansvarige. Artikel 12.3 reglerar bl.a. skyldigheten för den personuppgiftsansvarige att utan onödigt dröjsmål informera den registrerade om uppföljningen av hans eller hennes begäran om information enligt artikel 14, men inte när informationen ska lämnas. Som framgår av avsnitt 11.5.6 anser utredningen att det inte bör införas någon särskild regel om information om handläggningen. Däremot bör den personrelaterade informationen lämnas utan onödigt dröjsmål.
Det framgår inte heller av artikel 14 hur ofta en enskild har rätt att få information om hur hans eller hennes personuppgifter behandlas. I skäl 43 anges att fysiska personer bör kunna utöva rätten till information med rimliga intervall. Eftersom det i artikel 12.4 bl.a. anges när en personuppgiftsansvarig får vägra att tillmötesgå en begäran om information på grund av att den är återkommande, behandlas frågan i samband med att den artikeln diskuteras (avsnitt 11.3.4).
Bör hanteringen av informationslämnandet underlättas?
Det har både i tidigare lagstiftningsärenden och vid utvärdering av 26 § personuppgiftslagen visat sig att personuppgiftsansvariga upplever det som betungande att lämna information till registrerade enligt paragrafen (se t.ex. EG-direktivet om personuppgifter – en offentlig utvärdering, Ds 2001:27, s. 65 f. och Översyn av personuppgiftslagen, prop. 2005/06:173, s. 40 f.). För att underlätta de personuppgiftsansvarigas hantering föreslog Personuppgiftslagsut-
Enskildas rättigheter SOU 2017:29
388
redningen att det skulle införas ett undantag från informationsskyldigheten om det var omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats för den personuppgiftsansvarige att lämna informationen (Översyn av personuppgiftslagen, SOU 2004:6, s. 195 f.). Regeringen valde emellertid att inte genomföra förslaget. I stället begränsades informationsskyldigheten för uppgifter i ostrukturerat material genom att 5 a § personuppgiftslagen infördes (prop. 2005/06:173 s. 40 f. och 49 f.). Direktivet medger inte att informationsskyldigheten begränsas på det sättet. Informationsskyldigheten i ramlagen kommer således att omfatta även personuppgifter i ostrukturerat material, med undantag för personuppgifter i ofärdig löpande text eller som utgör minnesanteckningar (se avsnitt 11.3.3).
Utredningen anser att hänsyn ändå måste tas till att informationsskyldigheten i vissa fall kan vara betungande för myndigheterna. Det finns därför skäl att överväga om det finns någon annan möjlighet att underlätta för de personuppgiftsansvariga, utan att det inkräktar på den grundläggande rätten för enskilda att få information om hur deras personuppgifter behandlas. Rätten till information är nämligen som tidigare nämnts en förutsättning för att enskilda ska kunna kontrollera om behandlingen är författningsenlig och kunna begära rättelse eller radering av uppgifterna.
En möjlighet är att införa en begränsning som motsvarar 3 kap. 2 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Av bestämmelsen följer att uppgift i en elektronisk handling inte behöver lämnas ut till den registrerade i samband med att myndigheten fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen, om han eller hon redan har tagit del av handlingens innehåll. Undantaget förutsätter att den registrerade får information om att handlingen behandlas. Den registrerade har också rätt att få information om uppgift i en sådan handling om han eller hon begär det. I förarbetena framhålls att förfarandet torde vara tillräckligt för att uppfylla det nu gällande direktivets krav på att den registrerade ska kunna kontrollera om uppgifterna är korrekta eller inte (Behandling av personuppgifter inom skatt, tull och exekution, prop. 2000/01:33, s. 106 f.).
Enligt utredningens uppfattning finns det inga sakliga skäl för att den registrerade ska behöva informeras om behandlingen av personuppgifter som han eller hon redan har tagit del av, om upp-
SOU 2017:29 Enskildas rättigheter
389
gifterna inte har förändrats. Det kan t.ex. vara personuppgifter i handlingar som den registrerade själv har skickat in till myndigheten eller som har expedierats till honom eller henne av myndigheten, antingen elektroniskt eller på papper.
Enligt utredningens mening skulle en ordning där den personuppgiftsansvarige inte behöver informera om personuppgifter som den registrerade redan känner till bespara myndigheterna onödigt arbete. En bestämmelse som medger att informationen inte behöver omfatta personuppgifter som sökanden redan tagit del av bör därför tas in i ramlagen. För att leva upp till informationsskyldigheten bör dock den personuppgiftsansvarige tydligt ange vilka personuppgifter som behandlas och ge sökanden en förteckning över dem. Om sökanden begär det, bör den personuppgiftsansvarige vara skyldig att låta honom eller henne få del även av personuppgifter som han eller hon tidigare tagit del av.
En förutsättning för att en sådan bestämmelse ska vara godtagbar är dock att den inte begränsar en parts rätt till insyn i mål och ärenden enligt de processrättsliga regelverken. Eftersom ramlagens bestämmelser om rätt till eller begränsning av information inte inverkar på en parts rätt till insyn enligt rättegångsbalken eller andra författningar bedömer utredningen att det inte är något problem.
Utredningen återkommer i avsnitt 11.3 till andra undantag från informationsskyldigheten.
11.2.9 Information om automatiserade beslut
Utredningens förslag: Den som har varit föremål för ett auto-
matiserat beslut får begära närmare information om beslutet.
Skälen för utredningens förslag: I artikel 11 regleras automatise-
rade beslut. Som anges i avsnitt 9.4 förekommer det i dag inga automatiserade beslut inom ramlagens tillämpningsområde, men utredningen föreslår ändå en bestämmelse om sådana beslut. Det innebär att det också bör tas in en bestämmelse i ramlagen om den information som den personuppgiftsansvarige är skyldig att på begäran lämna vid sådana beslut.
Enskildas rättigheter SOU 2017:29
390
11.3 Begränsning av rätten till information
11.3.1 Rätten till information får begränsas
Utredningens förslag: Skyldigheten att lämna personrelaterad
information gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut av hänsyn till intresset av att 1. förebygga, förhindra eller upptäcka brottslig verksamhet, ut-
reda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet, 2. andra rättsliga utredningar eller undersökningar inte hindras, 3. nationell säkerhet skyddas, eller 4. annans fri- och rättigheter skyddas.
Om det finns grund för att begränsa informationen är den personuppgiftsansvarige inte heller skyldig att lämna ut skälen för beslut att begränsa informationen eller för beslut i fråga om begäran om rättelse, radering eller begränsning av behandlingen.
Undantagen från informationsskyldigheten gäller även för en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i offentlighets- och sekretesslagen.
Skälen för utredningens förslag
Innehållet i direktivet
Direktivet ger möjlighet att i nationell rätt begränsa den registrerades rätt till information om personuppgiftsbehandling som avser honom eller henne. Det framgår dels av artikel 13.3 som ger möjlighet att senarelägga, begränsa eller utelämna sådan information som den personuppgiftsansvarige ska lämna enligt artikel 13.2, dels av artikel 15.1 som ger möjlighet att begränsa den registrerades rätt till sådan information som avser behandling av hans eller hennes personuppgifter som den personuppgiftsansvarige ska lämna på begäran. I artikel 16.4 ges möjlighet att begränsa information till
SOU 2017:29 Enskildas rättigheter
391
den registrerade om skälen för att den personuppgiftsansvarige inte har rättat, raderat eller begränsat behandlingen.
Syftet med att begränsa informationen ska enligt direktivet vara att undvika att officiella eller rättsliga utredningar, förundersökningar eller förfaranden hindras eller att undvika menlig inverkan på brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder och att skydda allmän eller nationell säkerhet eller andra personers rättigheter och friheter. Begränsning får vidtas endast i den utsträckning och så länge som den är nödvändig och proportionerlig. Vid bedömningen ska hänsyn tas till den berörda fysiska personens grundläggande rättigheter och berättigade intressen.
Nuvarande reglering
Enligt artikel 13.1 i det nu gällande direktivet får medlemsstaterna genom lagstiftning begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. En sådan begränsning ska vara en nödvändig åtgärd med hänsyn till bl.a. statens säkerhet, allmän säkerhet, förebyggande, undersökning, avslöjande av brott eller åtal för brott och skydd av den registrerades eller andras fri- och rättigheter. Artikeln har åberopats till stöd för bl.a. undantaget i 27 § personuppgiftslagen från skyldigheten att lämna information enligt 23–26 §§personuppgiftslagen till den registrerade vid sekretess och tystnadsplikt. Enligt förarbetena får bestämmelsen anses vara uppställd till skydd för sådana fri- och rättigheter som avses i artikel 13.1 g i det nu gällande direktivet (prop. 1997/98:44 s. 84).
Vid en översyn av personuppgiftslagen åberopades artikel 13.1 även till stöd för en bestämmelse om delegation till regeringen. Enligt 8 a § personuppgiftslagen får regeringen meddela föreskrifter om undantag bl.a. från bestämmelserna om information till den registrerade i 23–26 §§, om det behövs med hänsyn till bl.a. rikets säkerhet, allmän säkerhet, förebyggande, undersökning eller avslöjande av brott, åtal för brott och skyddet av fri- och rättigheter.
Enskildas rättigheter SOU 2017:29
392
Hur bör artiklarna om begränsning av information genomföras?
Bestämmelser som begränsar rätten till information är nödvändiga för att de behöriga myndigheterna ska kunna utföra sina uppdrag på ett effektivt sätt. Artiklarna 13.3, 15.1 och 16.4 ger möjlighet att begränsa rätten till information.
I förarbetena till 8 a § personuppgiftslagen diskuterades om undantagen i artikel 13.1 i det nu gällande direktivet borde införas direkt i personuppgiftslagen. Regeringen ansåg att undantagen var alltför generella och vaga för att kunna ligga till grund för reglering. Bedömningen av om ett sådant undantag är tillämpligt borde enligt förarbetena inte göras av varje enskild personuppgiftsansvarig. Som huvudregel borde undantagsbestämmelser tas in i särlagstiftning med bestämmelser som avviker från personuppgiftslagen. I vissa fall krävs dock undantag och då behövs en möjlighet för regeringen att föreskriva om undantag, t.ex. i avvaktan på att särlagstiftning hinner utarbetas eller ändras (prop. 2005/06:173 s. 55 f.).
Förarbetsuttalandena är av intresse för hur artiklarna 13.3, 15.1 och 16.4 ska genomföras. De undantag som görs i artiklarna är lika generella och vaga som motsvarande bestämmelser i det nu gällande direktivet. Utredningen anser därför att det inte är lämpligt att personuppgiftsansvariga med det som enda utgångspunkt avgör om det i ett enskilt fall kan finnas skäl för att begränsa informationen. Undantagen bör preciseras i lag eller förordning.
Begränsning av information enligt artiklarna 13.3, 15.1 och 16.4 får bara göras i syfte att undvika att förundersökningar eller andra rättsliga utredningar, brottsbekämpande åtgärder, lagföring eller verkställighet av straffrättsliga påföljder hindras eller i syfte att skydda allmän eller nationell säkerhet eller andra personers fri- och rättigheter.
Bestämmelser till skydd för bl.a. dessa intressen finns redan i offentlighets- och sekretesslagen och i vissa andra författningar. På samma sätt som i 27 § personuppgiftslagen bör möjligheten att begränsa information enligt ramlagen utgå från den regleringen. I ramlagen bör det tas in en regel om att den registrerades rätt till information inte gäller om personuppgifterna inte får lämnas ut av hänsyn till något av de intressen som nyss nämnts. Utredningen anser inte att det finns något behov av en bestämmelse motsvarande 8 a § personuppgiftslagen.
SOU 2017:29 Enskildas rättigheter
393
Prövningen av om informationen kan begränsas
Det är, som framgår av avsnitt 11.2.1, viktigt att hålla isär reglerna om rätt till information och tillgång till allmänna handlingar.
Syftet med reglerna i tryckfrihetsförordningen är att ge var och en insyn i den offentliga verksamheten, dvs. att skapa en möjlighet för alla, inte specifikt en viss person, att kunna ta del av handlingar och uppgifter som rör en viss fråga. Sekretessregleringen syftar till att värna viktiga intressen, bl.a. det allmännas intresse av brottsbekämpning, lagföring och straffverkställighet. Sekretess värnar också enskildas intresse av att känsliga uppgifter om deras personliga eller ekonomiska förhållanden inte sprids. De i sig mycket komplexa regelverken om tillgång till handlingar och begränsningen av rätten att ta del av dem har ett helt annat fokus än lagstiftningen om personuppgiftsbehandling.
Även om det i dag finns en koppling mellan de båda regelsystemen genom att 27 § personuppgiftslagen knyter an till regleringen i offentlighets- och sekretesslagen, kan det ifrågasättas om det har varit lagstiftarens avsikt att en begäran om personrelaterad information ska resultera i en formell prövning av om sekretessbelagda handlingar eller uppgifter ska kunna lämnas ut till personen i fråga.
Beslut att inte lämna ut personrelaterad information får överklagas enligt 52 § personuppgiftslagen. I ett mål där klaganden hade nekats att få personrelaterad information prövade Högsta förvaltningsdomstolen vilken överklagandebestämmelse som skulle tilllämpas när beslutet hade motiverats med att det gällde sekretess enligt 18 kap.1 och 2 §§offentlighets- och sekretesslagen. Domstolen fann att den ordning som gäller för överklagande i 6 kap. samma lag skulle tillämpas med motiveringen att i den utsträckning det gäller sekretess för personrelaterad information gäller inte den ordning för överklagande som föreskrivs i personuppgiftslagen (HFD 2014 ref. 55). Med den tolkning som gjorts i det målet kan konstateras att bestämmelsen i 52 § personuppgiftslagen om överklagande av ett beslut enligt 26 § samma lag inte har någon funktion att fylla, utom i de fall där den personuppgiftsansvarige inte lämnar ut uppgifterna inom de tidsfrister som anges i paragrafen eller inte lämnar ut uppgifter i text som inte har färdigställts. Det kan enligt utredningens mening inte ha varit avsikten att överklagandebestämmelsen skulle ha ett så begränsat tillämpningsområde.
Enskildas rättigheter SOU 2017:29
394
Förekomsten av en särskild överklagandebestämmelse i personuppgiftslagen visar i stället att den prövning som görs vid en begäran enligt 26 § inte är en formell sekretessprövning enligt offentlighets- och sekretesslagen. Det är en annan typ av prövning där det materiella innehållet i sekretessreglerna är avgörande för resultatet men prövningen inte innefattar samma moment. Enligt utredningens mening är det nämligen inte rimligt att likställa prövningen av om personrelaterad information kan lämnas ut med en prövning enligt offentlighets- och sekretesslagen.
Bestämmelserna som ger enskilda rätt till information om huruvida deras personuppgifter behandlas skapades i en annan tid, då behandlingen av personuppgifter fortfarande till stor del ägde rum i enskilda register. I avgränsade register är möjligheterna att överblicka informationen och att snabbt få bekräftat om uppgifter om en viss person behandlas betydligt större än i dagens automatiserade behandlingssystem. I de sistnämnda kan det finnas mycket stora mängder av information som i och för sig är sökbar men där det inte går att lika enkelt överblicka i vilket sammanhang personuppgifterna förekommer. Enligt utredningens mening medför det att bestämmelser om rätt till personrelaterad information delvis måste ses i ett annat ljus än tidigare, trots att direktivet utgår från samma synsätt som det nu gällande dataskyddsdirektivet från år 1995.
Rätten till personrelaterad information ger enligt utredningens mening inte den registrerade någon rätt att få del av annat än information om just behandlingen av personuppgifterna. Det handlar alltså inte om att pröva om den registrerade ska kunna få tillgång till all den information som finns i ett visst mål eller ärende. I stället ska det prövas om det förhållandet att personuppgifter behandlas i ett visst sammanhang – t.ex. i underrättelseverksamhet eller i förundersökningen om ett visst brott – kan avslöjas för den registrerade. Det förhållandet att det avslöjas att personuppgifterna behandlas kan i ett enskilt fall riskera att hindra underrättelseverksamheten eller förundersökningen i fråga och då bör informationen kunna begränsas. En sådan prövning kräver inte lika ingående överväganden som när det gäller att ta ställning till om en viss handling, som innehåller sekretessbelagd information kan lämnas ut helt eller delvis utan att det vållar förundersökningen eller underrättelseverksamheten skada. Det innebär t.ex. att om en viss person pekas ut
SOU 2017:29 Enskildas rättigheter
395
som gärningsman i en polisanmälan och det gäller sekretess för den uppgiften kommer personen i fråga – om han eller hon vänder sig till Polismyndigheten och begär besked om vilka personuppgifter som behandlas – inte att få någon upplysning om polisanmälan. Ett sådant beslut får enligt utredningens förslag överklagas enligt ramlagens regler (se avsnitt 14.4).
En begäran om att få besked om personuppgifter behandlas ska alltså enbart besvaras utifrån regelverket om skydd för personuppgifter. I den prövningen ingår inte att ta ställning till om uppgifterna finns i en allmän handling och om den kan lämnas ut. Det finns givetvis inget som hindrar att en behörig myndighet gör en formell prövning enligt offentlighets- och sekretesslagen när den registrerade begär att få personrelaterad information. Om det görs och myndigheten i sitt beslut att inte lämna information motiverar det med att det gäller sekretess enligt någon eller några bestämmelser i offentlighets- och sekretesslagen, ska beslutet överklagas enligt de särskilda reglerna i den lagen (HFD 2014 ref. 55).
Då ramlagen även kommer att vara tillämplig på andra aktörer än myndigheter bör även dessa kunna underlåta att lämna information till registrerade om behandlingen av deras personuppgifter (jfr 27 § andra meningen personuppgiftslagen).
Vilken typ av information får begränsas?
Frågan är vilken information som undantaget bör omfatta. Att den personuppgiftsansvarige ska ha rätt att begränsa eller inte lämna ut personrelaterad information står klart. Det gäller både information som ska lämnas självmant och på begäran. Det finns även behov av att kunna begränsa underrättelser om skälen för beslut i fråga om rättelse, radering eller begränsning av behandlingen. Om skälen skulle riskera att röja information som hänför sig till något av nyss nämnda intressen, t.ex. att rymning från ett fängelse planeras eller att hemlig avlyssning av elektronisk kommunikation pågår, bör underrättelsen till den registrerade kunna begränsas. Om så inte var fallet skulle enskilda kunna begära rättelse och därigenom få del av information som annars inte skulle lämnas ut.
Utredningen återkommer i avsnitt 11.5.7 och 11.5.8 till de formella kraven på besluten.
Enskildas rättigheter SOU 2017:29
396
Rätten till kontroll när information inte har lämnats eller begränsats
För att den registrerade ska kunna ta tillvara sina rättigheter när information inte har lämnats ut eller begränsats på grund av de intressen som anges i artiklarna 13.3, 15.1 och 16.4, föreskrivs i artikel 17.1 att tillsynsmyndigheten på den enskildes vägnar ska kunna kontrollera om personuppgifterna behandlas författningsenligt. Enskilda som har vänt sig till den personuppgiftsansvarige med en begäran om att få personrelaterad information eller att en korrigeringsåtgärd ska vidtas ska kunna vända sig till tillsynsmyndigheten med en begäran om kontroll. Kontrollerna behandlas i avsnitt 12.6.3.
11.3.2 Kategorier av behandling
Utredningens bedömning: Möjligheten att fastställa kategorier
av behandling som undantas från enskildas rätt till information bör inte utnyttjas.
Skälen för utredningens bedömning: Av artiklarna 13.4 och 15.2
framgår att det är möjligt att fastställa kategorier av behandling som helt eller delvis kan omfattas av möjligheten att begränsa enskildas rätt till information enligt artiklarna 13.3 respektive 15.1. Det är oklart vad som som avses med uttrycket kategori av behandling. Enligt utredningens mening skulle det kunna vara behandling av personuppgifter i ett visst register. Det skulle också kunna vara fråga om behandling av en viss typ av personuppgifter, exempelvis dna-profiler, fordonsuppgifter eller fotografier.
Sekretessen varierar under de olika stadierna av brottsbekämpning, lagföring och straffverkställighet. Normalt avklingar sekretessen till skydd för det allmänna ju längre utredningen når. En personuppgift som är föremål för sekretess eller tystnadsplikt under förundersökningen kan bli offentlig vid åtalet, under domstolsförhandlingen eller i domen. Det kan gälla allt från underrättelseinformation och uppgifter om hemliga tvångsmedel till uppgifter om hälsa eller andra känsliga personuppgifter. Ett undantag för kategorier av behandling kan därför inte vara generellt utan
SOU 2017:29 Enskildas rättigheter
397
måste anpassas till den sekretess som kan gälla i de olika behöriga myndigheternas verksamhet.
Det är framför allt i verksamheter där det förekommer många sekretessbelagda uppgifter som det skulle vara av intresse att peka ut sådana kategorier av behandling. De brottsbekämpande myndigheternas personuppgiftsbehandling utförs numera i liten utsträckning i särskilda register. Uppgifterna är i stället gemensamt tillgängliga i myndigheternas verksamhetsstöd. Det gör att det är svårt att peka ut en viss kategori av behandling som i sin helhet kan undantas. För de register som är specialreglerade, som Polismyndighetens dna- och fingeravtrycksregister, finns det som regel särskilda sekretessbestämmelser, vilket skulle göra att undantag för de kategorierna får begränsat värde. En kategori kan enligt utredningens mening bara undantas om det är rättsligt möjligt att avgränsa den. När det t.ex. gäller underrättelseuppgifter är det enligt utredningens mening inte möjligt att att göra det, eftersom underrättelseverksamheten inte är reglerad och uppgifterna inte heller behandlas i särskilt reglerade register.
Utredningen återkommer i slutbetänkandet till frågan om det, på samma sätt som i dag, kan behövas undantag från informationsskyldigheten i vissa myndigheters registerförfattningar.
11.3.3 Ofärdig text och minnesanteckningar
Utredningens förslag: Rätten att få del av personrelaterad in-
formation gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckningar eller liknande. Den gäller dock om uppgifterna har lämnats ut till tredje man, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.
Tredje man ska definieras som någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.
Enskildas rättigheter SOU 2017:29
398
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Som framgår av avsnitt 11.3.1 ger artikel 15.1 e möjlighet att begränsa den registrerades rätt till information i syfte att skydda fri- och rättigheter. En motsvarande regel finns i artikel 13.1 g i det nu gällande direktivet. I förarbetena till personuppgiftslagen hänvisade regeringen till skyddet för fri- och rättigheter som motiv för att införa begränsningen av informationsskyldigheten i 26 § tredje stycket personuppgiftslagen (prop. 1997/98:44 s. 83). Undantaget gäller för personuppgifter i löpande text som inte fått sin slutliga utformning när begäran om information gjordes eller som utgör minnesanteckning eller liknande. Om uppgifterna redan har lämnats ut till tredje man eller om uppgifterna i den löpande texten ännu inte fått sin slutliga utformning efter ett års behandling, gäller inte undantaget. Det gäller inte heller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål.
Undantag för vissa typer av text
Att enskilda inte har någon rätt till insyn i utkast och koncept till skrivelser, beslut och domar under den tid som arbetet pågår värnar myndigheternas verksamhet och skyddar andra enskilda. Av samma skäl är minnesanteckningar eller liknande, t.ex. promemorior eller andra anteckningar som används under handläggningen, fredade från insyn så länge den pågår.
Utkast under arbete eller minnesanteckningar som inte ska bevaras för framtiden är inte allmänna handlingar enligt 2 kap. tryckfrihetsförordningen och lämnas därmed inte ut enligt offentlighetsprincipen. Det finns därför goda skäl att inte ge en sökande rätt till information om hur hans eller hennes personuppgifter behandlas i ofärdiga texter och minnesanteckningar. Ett undantag för sådan text bör därför tas in i ramlagen.
Artikel 15.1 e medger undantag från rätten till information för att skydda andra personers fri- och rättigheter. En begränsning enligt artikel 15.1 får dock endast göras i den utsträckning och så länge som den är nödvändig och proportionerlig. Vid bedömningen ska hänsyn tas till den berörda personens grundläggande rättigheter
SOU 2017:29 Enskildas rättigheter
399
och berättigade intressen. Undantaget för handlingar som inte är färdigställda är av stor praktisk betydelse för myndigheterna. Det är också en förutsättning för ett fungerande rättsväsende – och för tilltron till det – att information om enskilda inte lämnas ut innan beslut och domar är färdigställda och meddelade, särskilt som de ofta innehåller personuppgifter om andra. Utredningens uppfattning är därför att en sådan begränsning – som har sin motsvarighet i 26 § tredje stycket personuppgiftslagen – är nödvändig.
När det gäller kravet på proportionalitet gör utredningen följande överväganden. Om personuppgifterna i utkasten har behandlats under längre tid än ett år utan att texten färdigställts väger den registrerades intresse av att kunna ta del av hur personuppgifterna behandlas tyngre än den personuppgiftsansvariges intresse av att fortsätta att behandla personuppgifterna utan insyn. Information om personuppgifterna bör därför lämnas till den registrerade, om inte den personuppgiftsansvarige väljer att i stället radera personuppgifterna i den ofärdiga texten (jfr prop. 1997/98:44 s. 83 f.).
Om ett ärende har avslutats och utkastet eller minnesanteckningen har arkiverats eller endast används vid statistikproduktion eller forskning bör information om personuppgiftsbehandlingen kunna lämnas. Undantaget bör därför inte gälla för personuppgifter i ofärdiga texter eller minnesanteckningar som enbart behandlas för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse.
Information bör också lämnas om uppgifterna i den ofärdiga texten redan har lämnats ut till tredje man. Information bör dock få lämnas till dataskyddsombud, personuppgiftsbiträden och andra personer som under den personuppgiftsanvariges eller personuppgiftsbiträdets direkta ansvar behandlar personuppgifter, utan att undantaget upphör att gälla (jfr 26 § tredje stycket andra meningen jämfört med 3 § personuppgiftslagen). För att det ska bli tydligt bör tredje man definieras i ramlagen som någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.
Det bör alltså tas in en regel i ramlagen om att information bör lämnas om uppgifter i ofärdig text eller minnesanteckningar har lämnats ut till tredje man, om uppgifterna behandlas enbart för
Enskildas rättigheter SOU 2017:29
400
vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år. Begränsningen av den registrerades rätt till information i ofärdiga texter och minnesanteckningar är då enligt utredningens uppfattning såväl nödvändig som proportionerlig.
Ett beslut om att begränsa tillgången till denna typ av information får enligt utredningens förslag överklagas till allmän förvaltningsdomstol (se avsnitt 14.4).
11.3.4 Orimliga eller uppenbart ogrundade framställningar
Utredningens förslag: Om en begäran om personrelaterad in-
formation är orimlig eller uppenbart ogrundad får den personuppgiftsansvarige avslå den.
Om någon begär sådan information eller uppgifter oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran.
Skälen för utredningens förslag
Innehållet i direktivet
Om en registrerads begäran om information är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, får den personuppgiftsansvarige enligt artikel 12.4 antingen ta ut en rimlig avgift för de administrativa kostnaderna för att tillhandahålla informationen eller vägra att tillmötesgå begäran. Den personuppgiftsansvarige har bevisbördan för att en begäran är uppenbart ogrundad eller orimlig.
En begäran som är orimlig eller uppenbart ogrundad ska avslås
Av skäl 40 framgår att en begäran om information kan vara orimlig om en sökande utan skäl och vid upprepade tillfällen begär uppgifter och uppenbart ogrundad om en sökande missbrukar sin rätt till information genom att exempelvis lämna felaktiga eller missvisande
SOU 2017:29 Enskildas rättigheter
401
uppgifter i sin begäran. Enligt utredningens mening kan begäran också vara orimlig om sökanden inte lämnar sådana uppgifter om sin identitet att det blir möjligt att söka efter informationen utan ytterligare efterforskningar.
Andra omständigheter som enligt utredningen kan göra att en begäran anses vara orimlig är att den är så oprecis att det skulle vara närmast omöjligt att besvara den. Det kan vara fallet t.ex. om begäran avser en större myndighets hela verksamhet, särskilt om den har många olika arbetsuppgifter. Normalt bör i sådana fall begäran kunna preciseras till viss verksamhet, visst ärende eller någon annan liknande avgränsning.
En myndighet bör enligt utredningens mening aldrig vara skyldig att tillgodose en begäran om information som är uppenbart ogrundad. Detsamma bör gälla en begäran som är orimlig av något annat skäl än att den är repetitiv, dvs. återkommande. Möjligheten att mot avgift besvara en begäran som är uppenbart ogrundad eller orimlig på annat sätt än att den är återkommande, bör därför inte utnyttjas. I stället bör begäran om information avslås. En bestämmelse om det bör tas in i ramlagen.
Upprepad begäran ska besvaras mot avgift eller avslås
En begäran om information som är orimlig på grund av att den återupprepas bör antingen besvaras mot avgift eller avslås. Utgångspunkten bör vara att den personuppgiftsansvarige i första hand tar ut en rimlig avgift för de kostnader som begäran förorsakar och i andra hand vägrar att lämna den begärda informationen. Om en myndighet avser att ta ut avgift för informationen bör den först underrätta sökanden om det och förhöra sig om han eller hon vidhåller sin begäran.
Frågan är hur ofta det är rimligt att sökanden ska kunna få information utan att betala avgift för det. I dag har den registrerade enligt 26 § personuppgiftslagen rätt till gratis information om behandlingen av hans eller hennes personuppgifter högst en gång per kalenderår. Paragrafen genomför artikel 12 a i det nu gällande direktivet, som föreskriver att den registrerade med rimliga intervall ska få viss information. Samma uttryck finns i skäl 43 i det nya direktivet, där det framgår att fysiska personer med rimliga intervall
Enskildas rättigheter SOU 2017:29
402
bör ha rätt att få tillgång till insamlade uppgifter som rör dem för att kunna kontrollera att behandlingen är laglig.
Utredningen anser att dagens ordning med avgiftsfri information en gång per år tillgodoser den enskildes rätt att med rimliga intervall hålla sig underrättad om hans eller hennes personuppgifter behandlas och om behandlingen är författningsenlig. Tidsintervallet är samtidigt anpassat så att den personuppgiftsansvariges arbetsinsats inte blir orimligt betungande. Om information begärs oftare än en gång per år bör det däremot anses som orimligt på grund av att begäran är återkommande. En bestämmelse om att den personuppgiftsansvarige i dessa fall får ta ut rimlig avgift eller avslå begäran bör därför tas in i ramlagen. Det ger den enskilde möjlighet att begära information så ofta han eller hon önskar, men tvingar inte den personuppgiftsansvarige att behandla alla framställningar på samma sätt. Den personuppgiftsansvarige får med utgångspunkt i begäran avgöra om den ska besvaras mot avgift eller avslås. Närmare anvisningar för vad som gäller i fråga om avgifter bör kunna meddelas av regeringen eller den myndighet som regeringen bestämmer. Vad som kan vara en rimlig avgift för att lämna information kan regleras t.ex. i avgiftsförordningen (1992:191).
Utredningen återkommer i avsnitt 11.5.7 och 11.5.8 till de formella kraven på besluten.
11.4 Rättelse, radering och begränsning av behandlingen
11.4.1 Rätten till rättelse och komplettering
Utredningens förslag: Den personuppgiftsansvarige ska på be-
gäran av den registrerade utan onödigt dröjsmål rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.
SOU 2017:29 Enskildas rättigheter
403
Skälen för utredningens förslag
Innehållet i direktivet
Artikel 16.1 reglerar den registrerades rätt att utan onödigt dröjsmål få felaktiga personuppgifter rättade och – med beaktande av ändamålet med behandlingen – att få ofullständiga personuppgifter kompletterade. Enligt skäl 47 ska särskilt felaktiga faktauppgifter rättas. Rätten gäller oberoende av det grundläggande kravet i artikel 4.1 d att den personuppgiftsansvarige på eget initiativ ska rätta felaktiga personuppgifter.
Nuvarande reglering
I personuppgiftslagen finns det både en regel om skyldigheten för den personuppgiftsansvarige att självmant rätta felaktiga personuppgifter och en regel om rätten för den registrerade att begära rättelse. Enligt 28 § personuppgiftslagen, som genomför artikel 12 b i det nu gällande direktivet, är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen.
Det finns även regler om rättelse i 26 § förvaltningslagen, 30 kap. 13 § och 48 kap. 12 a §rättegångsbalken och 32 § förvaltningsprocesslagen. Reglerna om rättelse i förvaltningslagen och de processrättsliga regelverken medför emellertid, till skillnad från regeln om rättelse i personuppgiftslagen, ingen skyldighet för myndigheten att rätta eller någon rätt för enskilda att begära rättelse. Reglerna gäller dessutom enbart rättelse av uppgifter i beslut och domar eller motsvarande (jfr SOU 2015:39 s. 564 f. och 569 f.).
Rätten att begära rättelse
Att de personuppgifter som behandlas är korrekta är av grundläggande betydelse både för myndigheternas verksamhet och för enskilda. I ramlagen bör det därför finnas en regel om rätt för den registrerade att begära rättelse. Skyldigheten för den personuppgiftsansvarige att självmant vidta åtgärder när det upptäcks att per-
Enskildas rättigheter SOU 2017:29
404
sonuppgifter är felaktiga, ofullständiga eller inaktuella behandlas i avsnitt 9.2.6. Här diskuteras således enbart rätten för registrerade att begära att den personuppgiftsansvarige rättar felaktiga eller ofullständiga uppgifter.
Om en registrerad har begärt att få en ofullständig uppgift kompletterad ska han eller hon enligt direktivet ha rätt att lämna en kompletterande inlaga. Enligt utredningens mening är det oklart vad bestämmelsen syftar på. En möjlig tolkning är att den registrerade ska ha rätt att ge in en skrivelse till den personuppgiftsansvarige där den registrerade utvecklar skälen för begäran. Den rätten följer redan av förvaltningslagen och de processrättsliga regelverken och behöver därför inte regleras.
Den personuppgiftsansvarige ska enligt direktivet vidta den begärda åtgärden utan onödigt dröjsmål. Enligt utredningens mening bör den personuppgiftsansvarige skyndsamt utreda frågan och, om det är motiverat, så fort som möjligt genomföra rättelse eller korrigering. Den personuppgiftsansvarige får således inte av bekvämlighetsskäl vänta med att rätta och korrigera uppgifter till dess att de ändå ska uppdateras, om det är möjligt att göra det tidigare (jfr Öman m.fl. s. 417).
Felaktiga och ofullständiga uppgifter
I avsnitt 9.2.2 diskuteras vad som avses med att en personuppgift är korrekt. Att en felaktig eller ofullständig personuppgift rättas eller kompletteras kan innebära att den ersätts av en annan uppgift som är korrekt ur ett objektivt perspektiv eller kompletteras med en uppgift om de rätta förhållandena så att den blir fullständig i objektiv mening. Det kan vara fråga om t.ex. ett felaktigt namn eller att endast delar av ett namn har återgetts i en handling. Det kan även vara fråga om något fel som uppstått på grund av ett tekniskt förfarande. Det ska alltså röra sig om ett fel eller en ofullständighet på grund av något som inte bygger på en bedömning.
I ramlagen bör det regleras att den personuppgiftsansvarige på begäran ska rätta eller komplettera personuppgifter som rör den registrerade om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Att den personuppgiftsansvarige ska ta hänsyn till ändamålet med behandlingen vid bedömningen av om
SOU 2017:29 Enskildas rättigheter
405
felaktiga personuppgifter ska rättas framgår av artikel 4.1 d. Det är dessutom en nödvändig del av prövningen av om en personuppgift är felaktig.
Den registrerade bör inte ges rätt att kräva att den personuppgiftsansvarige rättar inaktuella uppgifter. Rätten till rättelse i artikel 16.1 omfattar nämligen inte inaktuella uppgifter. Däremot är den personuppgiftsansvarige skyldig att – om det är nödvändigt – självmant uppdatera uppgifter som är inaktuella (se avsnitt 9.2.6).
En felaktig uppgift kan också rättas på det sättet att den tas bort utan att ersättas. Om en uppgift om en person har antecknats felaktigt i ett register, t.ex. om förväxling med en annan person har lett till en felaktig anteckning i misstankeregistret eller belastningsregistret, ska uppgiften rättas genom att den tas bort från registret (jfr JO:s kritik mot bl.a Säkerhetspolisen för passivitet i ett ärende om rättelse av uppgifter i belastningsregistret i JO 2007/08 s. 67).
11.4.2 Rätten till radering
Utredningens förslag: På begäran av den registrerade ska den
personuppgiftsansvarige utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om de behandlas på otilllåtet sätt. Detsamma gäller om radering krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 16.2 har den registrerade rätt att begära att den personuppgiftsansvarige utan onödigt dröjsmål raderar personuppgifter som rör den registrerade dels om behandlingen står i strid med de bestämmelser som antas enligt artiklarna 4, 8 och 10, dels om det krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Enligt artikel 4.1 d är den personuppgiftsansvarige skyldig att på eget intiativ se till att vissa personuppgifter raderas.
Enligt 28 § personuppgiftslagen, som genomför artikel 12 b i det nu gällande direktivet, är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna
Enskildas rättigheter SOU 2017:29
406
sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen.
Radering om personuppgifter behandlas i strid med ramlagen
På samma sätt som när det gäller rättelse bör radering kunna göras dels på den personuppgiftsansvariges eget initiativ, dels på begäran av registrerade. I avsnitt 9.2.6 behandlas den personuppgiftsansvariges skyldighet att självmant vidta åtgärder om personuppgifter behandlas i strid med vissa bestämmelser i ramlagen. Rätten för registrerade att i motsvarande fall begära att den personuppgiftsansvarige raderar uppgifterna bör regleras i ramlagen.
Hur personuppgifter ska behandlas diskuteras i kapitel 9. Där föreslås att det i ramlagen ska tas in bestämmelser om att personuppgifter ska vara adekvata och relevanta, att inte fler personuppgifter än nödvändigt får behandlas och att de bara får behandlas om det finns en rättslig grund och för särskilt angivna ändamål. Vidare föreslås att det ska regleras i vilken utsträckning känsliga personuppgifter får behandlas och hur länge personuppgifter får behandlas. Frågan om en personuppgift bör raderas får bedömas mot bakgrund av dessa bestämmelser. Vid bedömningen ska även 2 kap. tryckfrihetsförordningen och det arkivrättsliga regelverket beaktas.
Radering för att utföra en rättslig förpliktelse
Utredningen föreslår i avsnitt 9.2.6 att den personuppgiftsansvarige ska vara skyldig att på eget initiativ radera personuppgifter om det krävs för att utföra en rättslig förpliktelse. Den registrerade bör därför också kunna begära att personuppgifter raderas på denna grund, vilket bör framgå av ramlagen. Uttrycket rättslig förpliktelse syftar enligt utredningens mening på en skyldighet som åligger den personuppgiftsansvarige enligt ramlagen, den behöriga myndighetens registerförfattning eller andra författningar med bestämmelser om personuppgiftsbehandling. Ett domstolsbeslut som innebär att personuppgiften ska raderas kan också vara en rättslig förpliktelse (jfr Segerstedt-Wiberg mot Sverige). Även i dessa fall
SOU 2017:29 Enskildas rättigheter
407
ska 2 kap. tryckfrihetsförordningen och det arkivrättsliga regelverket beaktas.
Uppgifter i allmänna handlingar
En grundläggande princip i svensk rätt är att allmänheten ska ha insyn i det allmännas verksamhet. I 2 kap. 18 § tryckfrihetsförordningen föreskrivs därför att grundläggande bestämmelser om hur allmänna handlingar ska bevaras och om gallring och annat avhändande av sådana handlingar ska meddelas i lag. Det som åsyftas är arkivlagen (1990:782), vilken kompletteras av arkivförordningen (1991:446) och Riksarkivets föreskrifter.
Många av de behöriga myndigheternas handlingar är allmänna och omfattas därmed av offentlighetsprincipen. Arkivlagstiftningen har företräde framför personuppgiftslagstiftningen på så sätt att intresset av att bevara allmänna handlingar har prioritet framför skyddet för personlig integritet. Det framgår av 8 § andra stycket personuppgiftslagen. I avsnitt 9.3.2 föreslås att en motsvarande bestämmelse ska tas in i ramlagen. Utrymmet för att radera uppgifter i allmänna handlingar begränsas därmed av arkivlagstiftningen. Eftersom radering av uppgifter innebär att personuppgifter tas bort från informationssamlingar på ett sådant sätt att de inte kan återskapas, bör en sådan åtgärd bara vidtas om den är förenlig med arkivlagstiftningen. För att radera personuppgifter i allmänna handlingar krävs därför författningsstöd för gallring. Utrymmet för att radera personuppgifter i allmänna handlingar på grund av att personuppgifterna inte har behandlats författningsenligt förefaller därför vara begränsat (jfr bl.a. SOU 2015:39 s. 529 och 573 f.).
11.4.3 Begränsning av behandlingen
Utredningens förslag: Om förutsättningarna för att radera per-
sonuppgifter är uppfyllda, men uppgifterna behöver finnas kvar som bevisning, ska den personuppgiftsansvarige på begäran av den registrerade i stället utan onödigt dröjsmål begränsa behandlingen av dem.
Enskildas rättigheter SOU 2017:29
408
Om den registrerade bestrider att personuppgifter som rör honom eller henne är korrekta och det inte kan fastställas, ska den personuppgiftsansvarige utan onödigt dröjsmål begränsa behandlingen av uppgifterna.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 16.3 ska den personuppgiftsansvarige, i stället för att radera personuppgifterna, kunna begränsa behandlingen av dem dels om den registrerade bestrider att personuppgifterna är korrekta och det rätta förhållandet inte kan fastställas, dels om personuppgifterna ska sparas som bevisning. Uttrycket begränsning av behandling definieras i artikel 3.3 som en markering av lagrade personuppgifter med syftet att begränsa behandlingen av dem i framtiden.
Nuvarande reglering
Dagens motsvarighet till begränsning av behandling är blockering. Blockering av personuppgifter definieras i 3 § personuppgiftslagen som en åtgärd som vidtas för att personuppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren, för att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. Det innebär att blockerade personuppgifter får användas internt av den personuppgiftsansvarige och av personuppgiftsbiträdet, under förutsättning att det framgår att uppgifterna är spärrade och anledningen till åtgärden. Däremot får personuppgifterna inte lämnas ut till tredje man, förutom enligt 2 kap. tryckfrihetsförordningen (prop. 1997/98:44 s. 117).
Enligt 28 § personuppgiftslagen är, som tidigare nämnts, den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen.
SOU 2017:29 Enskildas rättigheter
409
Vad avses med begränsning av behandling?
Frågan är vad som i direktivet åsyftas med att behandling av personuppgifter begränsas. Där definieras begränsning av behandling som en markering av lagrade personuppgifter i syfte att begränsa behandlingen av dem i framtiden. Det skiljer sig från blockering, som innebär att personuppgifterna förses med information om att de inte ska lämnas ut till tredje man (annat än med stöd av offentlighetsprincipen) och om anledningen till det. Sådana personuppgifter får dock fortfarande behandlas av den personuppgiftsansvarige eller av personuppgiftsbiträden.
Av skäl 47 framgår att om behandlingen av personuppgifter har begränsats i stället för att de raderas, bör uppgifterna endast behandlas för det ändamål som förhindrade raderingen. Som exempel på begränsning av behandling anges att personuppgifterna flyttas till ett annat databehandlingssystem, t.ex. ett system för arkivering, eller att uppgifterna görs otillgängliga med hjälp av tekniska medel. Det talar för att begränsning av behandling i direktivets mening är något utöver enbart en markering av personuppgifterna. Utredningen anser att behandlingen ska begränsas redan i samband med markeringen för att åtgärden ska bli effektiv. Det innebär att direktivets definition blir missvisande. En definition som uttalar att begränsning av behandling är en åtgärd som visar att behandlingen av personuppgifter har begränsats tillför inte något i sak. Uttrycket bör därför inte definieras.
Begränsning när personuppgifterna behöver finnas kvar som bevisning
Begränsning av behandling kan aktualiseras om personuppgifterna behöver finnas kvar som bevisning. Begränsningen ska då göras i stället för att radera personuppgifterna. Radering kan bara komma i fråga om uppgifterna behandlas otillåtet (se avsnitt 11.4.2). I skäl 47 framhålls att behandlingen av personuppgifter bör begränsas snarare än att uppgifterna raderas, om det finns rimliga skäl att anta att en radering skulle kunna påverka den registrerades legitima intressen. Ett exempel kan vara att uppgifterna kan behövas som bevisning i en rättsprocess om skadestånd för otillåten personuppgiftsbehandling.
Enskildas rättigheter SOU 2017:29
410
Det kan ligga både i den registrerades och i det allmännas intresse att personuppgifter i vissa fall behålls en tid i stället för att raderas. Det är oklart vad som avses i direktivet med att personuppgifterna behöver sparas som bevisning. Det kan tolkas som att uppgifterna behövs som bevisning om vad som förekommit vid personuppgiftsbehandlingen. Det skulle dock även kunna syfta på att det är fråga om uppgifter som behövs som bevisning i det allmännas intresse, dvs. för något av direktivets huvudsyften brottsbekämpning, lagföring eller straffverkställighet. Mot det talar skäl 47, som enbart hänvisar till den registrerades legitima intressen. Utredningen anser därför att begränsning av behandlingen i stället för radering bara bör komma ifråga när personuppgifterna behöver sparas som bevisning om hur de har behandlats. Om personuppgifter behålls i bevissyfte bör enligt utredningens mening uppgifterna endast få behandlas för det ändamål som förhindrade radering.
Ett exempel på att personuppgifter har sparats som bevisning är det s.k. kringresanderegistret där uppgifter behandlades i strid med polisdatalagen och där uppgifterna därför togs bort. Två kopior sparades dock för att myndigheten skulle kunna besvara frågor om vilka som förekom i registret och för att uppgifterna eventuellt skulle kunna användas som bevisning (se bl.a. SOU 2015:39 s. 574 och 645 f.).
Begränsning när personuppgifternas korrekthet bestrids
Begränsning av behandlingen kan också komma i fråga om den registrerade bestrider att personuppgifterna är korrekta, men det inte är möjligt att fastställa om så är fallet. En felaktig personuppgift ska rättas utan onödigt dröjsmål. Om den personuppgiftsansvariges utredning om den omstridda personuppgiften inte kan slutföras tillräckligt snabbt bör behandlingen begränsas under utredningstiden. Uppgifterna får då inte behandlas av den personuppgiftsansvarige eller personuppgiftsbiträden annat än för det ändamål som föranledde begränsningen. Om det efter utredning visar sig att personuppgifterna är korrekta kan behandlingen av dem fortsätta som tidigare. Begränsningen bör då upphävas. Innan dess ska dock den registrerade underrättas om att begränsningen upp-
SOU 2017:29 Enskildas rättigheter
411
hör (se avsnitt 11.5.8). Skulle det visa sig att personuppgifterna är felaktiga ska den personuppgiftsansvarige rätta dem, varefter begränsningen kan upphöra.
Begränsning på denna grund ska enligt direktivet användas i stället för radering. Åtgärden kan emellertid enligt utredningens uppfattning inte vara ett alternativ till radering, eftersom den ska användas när uppgifters korrekthet bestrids och därför knyter an till rättelseförfarandet.
Åtgärd som visar att behandlingen har begränsats
Den personuppgiftsansvarige ska vidta en åtgärd med personuppgifterna som visar att behandlingen har begränsats. Hur begränsningen bör göras får bedömas med utgångspunkt i vad som är lämpligt i det enskilda fallet. En naturlig åtgärd kan vara att avskilja uppgifterna från det datasystem där de behandlas. Begränsningen kan också ha formen av en teknisk begränsning, vilket kan vara en lämplig åtgärd medan personuppgifternas korrekthet utreds. En tredje möjlighet att begränsa behandlingen är att inskränka tillgången till uppgifterna.
Har behandlingen av en personuppgift begränsats får uppgiften som utgångspunkt inte längre behandlas av vare sig den personuppgiftsansvarige eller ett personuppgiftsbiträde utom för det syfte som har föranlett begränsningen. Har en personuppgift behandlats på otillåtet sätt måste den ändå kunna behandlas inom ramen för en utredning av om brott har begåtts i samband med behandlingen eller om någon tjänsteman vid behandlingen gjort sig skyldig till fel som kan föranleda disciplinansvar eller skadestånd. Det beror på felets karaktär om all behandling av personuppgiften måste upphöra eller om det bara gäller behandlingen i viss verksamhet.
Oavsett vilken åtgärd som vidtas för att begränsa behandlingen är den inte avsedd att vara permanent. När personuppgifterna inte längre behöver finnas kvar som bevisning ska de raderas och när utredningen om personuppgifternas korrekthet är avslutad ska begränsningen av behandlingen upphöra och uppgifterna antingen fortsätta att behandlas eller rättas.
Begränsning av behandlingen bör i likhet med de andra korrigerande åtgärderna genomföras utan onödigt dröjsmål.
Enskildas rättigheter SOU 2017:29
412
Rätten att begära begränsning av behandlingen
Det är inte tydligt i direktivet om enskilda ska ha rätt att begära begränsning av behandlingen. Av artikel 16.3 kan inte en sådan rätt utläsas. Å andra sidan föreskrivs det i artiklarna 13.1 e och 14 e att den registrerade ska informeras om rätten att begära begränsning av behandlingen. Även skäl 40 och 42 ger intryck av att den registrerade ska ha en sådan rätt. Utredningen anser att registrerade bör ha den rätten om personuppgifterna behöver finnas kvar som bevisning. Registrerade får i sådana fall begära radering och bör därför också kunna begära den mindre ingripande åtgärden begränsning av behandlingen. Det är tillåtet att ha starkare skyddsåtgärder än dem som fastställs i direktivet och i det här fallet anser utredningen att det är motiverat. I ramlagen bör det således tas in en bestämmelse om rätt för den registrerade att begära begränsning av behandlingen i de fall där personuppgifterna behöver finnas kvar som bevisning.
11.4.4 Val av åtgärd
Utredningens förslag: Den personuppgiftsansvarige avgör vil-
ken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.
Skälen för utredningens förslag: Enligt förarbetena till person-
uppgiftslagen väljer den personuppgiftsansvarige själv vilket alternativ som ska användas av rättelse, utplånande eller blockering (prop. 1997/98:44 s. 87). Den ordningen bör även gälla i fråga om rättelse, radering eller begränsning av behandlingen enligt ramlagen. Den personuppgiftsansvarige bör därför inte endast pröva om den åtgärd som begärs av den registrerade ska vidtas eller inte, utan är fri att välja en annan åtgärd om den är lämpligare. Det följer av att den personuppgiftsansvarige ska vara skyldig att vidta alla rimliga åtgärder för att rätta personuppgifter som är felaktiga eller ofullständiga och för att radera eller begränsa behandlingen av personuppgifter som har behandlats otillåtet. För att det ska vara tydligt bör det framgå av ramlagen att den personuppgiftsansvarige inte är bunden av begäran utan självständigt avgör vilken åtgärd som bör vidtas.
SOU 2017:29 Enskildas rättigheter
413
Den personuppgiftsansvarige ska alltså se till att den lämpligaste åtgärden vidtas oavsett vad som begärs. En åtgärd kan emellertid inte vidtas om den strider mot annan lagstiftning. Det innebär t.ex. att en myndighet inte kan radera uppgifter i en allmän handling utan författningsstöd för gallring.
11.5 Hur informationen ska begäras och lämnas
11.5.1 Kraven på informationen och på den som begär information
I direktivet anges vissa allmänna krav på hur den personuppgiftsansvarige ska tillhandahålla information. Det handlar om att den information som lämnas ska vara kortfattad, lättillgänglig och lättbegriplig och lämnas i lämplig form. Information om handläggningen ska lämnas. Vidare ska informationen som huvudregel vara avgiftsfri. Reglerna syftar till att underlätta den registrerades möjligheter att ta tillvara sina rättigheter. Direktivet innehåller även bestämmelser om den personuppgiftsansvariges skyldighet att underrätta såväl enskilda som andra om vissa beslut.
Det ställs däremot få krav i direktivet på den som begär att få information av den personuppgiftsansvarige. Indirekt kan det utläsas vissa sådana krav, t.ex. genom att den personuppgiftsansvarige har rätt att vägra att lämna information i vissa fall.
11.5.2 Skriftlig begäran
Utredningens förslag: Kraven på en begäran om information
eller att en åtgärd ska vidtas ska regleras i förordning.
Skälen för utredningens förslag: Direktivet innehåller som nyss
nämnts inga direkta bestämmelser om vad som krävs av den som begär information eller att en korrigeringsåtgärd ska vidtas. I 26 § andra stycket personuppgiftslagen föreskrivs att en ansökan ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av sökanden. Kravet på egenhändigt undertecknande innebär att ett ombud inte kan underteckna ansökan. Däremot kan vårdnadshavare och andra ställföreträdare underteckna ansökan för
Enskildas rättigheter SOU 2017:29
414
den som inte har rätt att själv begära information eller åtgärder. Något krav på egenhändigt undertecknad ansökan ställs inte i det nu gällande direktivet. Det härrör i stället från en bestämmelse om registerutdrag i 10 § datalagen (1973:289). Syftet med kravet är att säkerställa att det är den registrerade som får tillgång till informationen (SOU 1997:39 s. 389 och prop. 1997/98:44 s. 82).
Enligt Datainspektionens allmänna råd medför kravet på att ansökan ska vara undertecknad av sökanden att ansökan måste göras på papper (Information till registrerade, Datainspektionens allmänna råd, maj 2000). Informationshanteringsutredningen menar att det viktiga i sammanhanget är att kunna kontrollera att begäran verkligen härrör från den registrerade själv (SOU 2015:39 s. 500). Utredningen delar den uppfattningen. I dagens informationssamhälle, där allt fler privatärenden utförs elektroniskt, är det enligt utredningens mening av vikt att ansökan kan göras på olika sätt, även elektroniskt. Det ligger också i linje med avsikten att underlätta för den registrerade att utöva sina rättigheter (jfr artikel 12). Det är en generell målsättning inom EU är att undanröja hinder mot elektroniska transaktioner, se t.ex. Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.
Regleringen bör därför vara teknikneutral. Begäran bör liksom i dag vara skriftlig, men kunna göras både på papper och elektroniskt. Det kan regleras i förordning. Det kan också vara en fördel om det utformas gemensamma krav för olika typer av framställningar, men det kan regleras på lägre föreskriftsnivå.
11.5.3 Åtgärder för att säkerställa att begäran görs av en behörig person
Utredningens förslag: Att det ska säkerställas att begäran görs
av en behörig person ska regleras i förordning.
Skälen för utredningens förslag: Om det finns skäl att ifrågasätta
den registrerades identitet vid en begäran om information eller en korrigeringsåtgärd, får den personuppgiftsansvarige enligt arti-
SOU 2017:29 Enskildas rättigheter
415
kel 12.5 kräva den ytterligare information som är nödvändig för att bekräfta identiteten. Sådan information bör endast behandlas för det specifika ändamålet och inte lagras längre än vad som krävs för det ändamålet.
Som nyss nämnts är syftet med kravet på egenhändigt undertecknande att garantera att det är den registrerade som får tillgång till personuppgifter och information eller begär att en åtgärd ska vidtas med personuppgifter som behandlas. Det bör givetvis undvikas att obehöriga får kännedom om integritetskänslig information om andra. Det finns emellertid möjlighet att fastställa den registrerades identitet på annat sätt än genom en egenhändigt undertecknad handling, t.ex. genom avancerad elektronisk underskrift. En annan möjlighet att säkerställa från vem begäran kommer kan vara att kontakta den registrerade.
Utredningen anser som framgått att det inte bör ställas krav på att en begäran ska vara undertecknad av den registrerade. Det bör även kunna godtas att den registrerade företräds av ett ombud. Det bör däremot enligt utredningens mening ställas krav på att den personuppgiftsansvarige på lämpligt sätt säkerställer att begäran gjorts av en behörig person. Den personuppgiftsansvarige kan exempelvis ställa kontrollfrågor som bekräftar identiteten vid direktkontakt med den registrerade. Hur det närmare bör göras finns det inte anledning att gå in på här, men utgångspunkten bör vara att dels underlätta för den registrerade, dels ha en teknikneutral lösning. Det kan regleras i förordning att den personuppgiftsansvarige bör säkerställa att begäran görs av en behörig person.
11.5.4 Lättbegriplig information i lämplig form
Utredningens förslag: Det ska regleras i förordning vilka krav
som ställs på information till enskilda.
Enskildas rättigheter SOU 2017:29
416
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 12.1 är den personuppgiftsansvarige skyldig att vidta rimliga åtgärder för att informationen till den registrerade om hans eller hennes rättigheter tillhandahålls i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Det handlar om den information som den registrerade har rätt till enligt dels artikel 13, dels artiklarna 11, 14–18 och 31.
Informationen ska tillhandahållas på lämpligt sätt. Den personuppgiftsansvarige ska i allmänhet lämna informationen i samma form som begäran. Av skäl 39 framgår att information till den registrerade bör vara lättåtkomlig, t.ex. genom att tillhandahållas på den personuppgiftsansvariges webbplats.
Nuvarande reglering
I dag ställs inte några särskilda krav på hur information till den registrerade ska utformas och lämnas, utöver att den i vissa fall ska lämnas på den personuppgiftsansvariges eget initiativ. I Datainspektionens allmänna råd om information till registrerade framhålls att det är den personuppgiftsansvarige som har bevisbördan för att den registrerade har fått den information som krävs och att det därför ligger i den personuppgiftsansvariges intresse att informationen är tydlig och begriplig. Om informationen bör lämnas muntligen eller skriftligen avgörs av omständigheterna i det enskilda fallet. Datainspektionen ger råd om hur information bör lämnas i olika situationer beroende på hur personuppgifterna samlas in. Inspektionen rekommenderar att den personuppgiftsansvarige utformar tydliga rutiner för hur information ska lämnas.
Förvaltningslagen innehåller bestämmelser om förvaltningsmyndigheternas serviceskyldighet och allmänna krav på handläggning av ärenden. Enligt 7 § ska myndigheter sträva efter att uttrycka sig lättbegripligt. Enligt 11 § språklagen (2009:600) ska språket i offentlig verksamhet vara vårdat, enkelt och begripligt.
SOU 2017:29 Enskildas rättigheter
417
Behövs det särskild reglering?
Regleringen i förvaltningslagen och språklagen innebär att det redan finns generella krav på begriplighet och klart och tydligt språk som gäller i offentlig verksamhet. Det innebär att kraven i direktivet är uppfyllda för större delen av den verksamhet som ramlagen omfattar. Det kan dock ändå finnas skäl att ha en särskild bestämmelse om att information till registrerade om personuppgiftsbehandling ska vara lättillgänglig och lättbegriplig, eftersom det är ett så komplext ämne. I att den ska vara lättillgänglig och lättbegriplig ligger att den normalt bör vara kortfattad. Frågan kan regleras i förordning.
Det bör även framgå att informationen ska lämnas i lämplig form. Med form avser utredningen både på vilket sätt informationen förmedlas (skriftligen eller muntligen) och på vilket medium den ges (t.ex. på myndighetens webbplats eller i en broschyr). I direktivet anges att informationen som utgångspunkt ska lämnas i samma form som begäran och att ett lämpligt sätt att tillhandahålla information är att göra det elektroniskt. Vad som är lämplig form beror enligt utredningens mening på vilken information det är fråga om, i vilken situation den lämnas, vilket behov den enskilde har och de tekniska möjligheterna. Det bör därför inte regleras närmare.
11.5.5 Åtgärder som underlättar utövandet av rättigheterna
Utredningens bedömning: Att den personuppgiftsansvarige
ska underlätta för den registrerade att ta tillvara sina rättigheter kräver inga lagstiftningsåtgärder.
Skälen för utredningens bedömning: Enligt artikel 12.2 ska den
personuppgiftsansvarige underlätta utövandet av den registrerades rättigheter. I skäl 40 framhålls särskilt rutiner för att kostnadsfritt begära och få tillgång till personuppgifter, rättelse, radering och begränsning av behandling.
Alla myndigheter har en i förvaltningslagen fastlagd serviceskyldighet. Det finns också allmänna krav på myndigheternas och domstolarnas handläggning. Även de förfaranderegler som gäller i mål- och ärendehantering hos de behöriga myndigheterna innehåller
Enskildas rättigheter SOU 2017:29
418
sådana bestämmelser. Enligt 4 § förvaltningslagen ska varje myndighet lämna upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör myndighetens verksamhetsområde. Hjälpen ska lämnas i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Det innebär att myndigheten ska hjälpa enskilda att ta tillvara sin rätt i angelägenheter inom dess verksamhetsområde. Det kan gälla exempelvis upplysningar om hur man gör en ansökan, råd om vilka handlingar som bör bifogas och hjälp med att fylla i blanketter. I 7 § förvaltningslagen föreskrivs att myndigheten ska underlätta den enskildes kontakter med myndigheten. Det finns delvis likartade bestämmelser för domstolarna.
Bestämmelsen i artikel 12.2 är generellt utformad och närmast att se som en inledande bestämmelse till de efterföljande punkterna i artikeln, som preciserar vad den personuppgiftsansvarige ska göra för att underlätta för den registrerade att utöva sina rättigheter. Enligt utredningens uppfattning behöver artikel 12.2 därför inte genomföras i svensk rätt.
11.5.6 Skyldighet att informera om handläggningen
Utredningens bedömning: Skyldigheten att informera om
handläggningen kräver inga lagstiftningsåtgärder.
Skälen för utredningens bedömning: Den personuppgiftsansva-
rige ska enligt artikel 12.3 utan onödigt dröjsmål skriftligen informera den registrerade om uppföljningen av hans eller hennes begäran.
Artikel 12.3 syftar enligt utredningens uppfattning till att förhindra att den personuppgiftsansvarige dröjer alltför länge med att behandla en registrerads begäran om information eller om en korrigeringsåtgärd. Vilken information som ska lämnas i de fall där den personuppgiftsansvarige är skyldig att lämna svar framgår inte av direktivet, utöver att svaret ska vara en uppföljning av begäran. I artiklarna 12.3 och 12.4 i dataskyddsförordningen föreskrivs i motsvarande bestämmelser att informationen ska avse de åtgärder som har vidtagits eller orsaken till att åtgärderna inte har vidtagits. Eftersom det inte finns motsvarande regler i direktivet menar ut-
SOU 2017:29 Enskildas rättigheter
419
redningen att det skulle leda för långt att begära att den personuppgiftsansvarige ska ange vilka åtgärder som har vidtagits eller motivera varför några åtgärder inte vidtagits i anledning av begäran. Utredningen tolkar artikeln så att det som krävs av den personuppgiftsansvarige är att den registrerade informeras om hur begäran hanteras, dvs. status för handläggningen av den. Det ligger också i linje med svensk förvaltningstradition att kräva att den personuppgiftsansvarige när det begärs bekräftar att en handling tagits emot och anger om den är under handläggning eller inte.
När det gäller begäran om rättelse, radering eller begränsning av behandlingen föreskrivs att åtgärderna ska vidtas utan onödigt dröjsmål (se avsnitt 11.4.1–3). Detsamma gäller begäran om personrelaterad information (se avsnitt 11.2.8). Det kommer därför inte att finnas något behov av att informera om handläggningen annat än om det uppstår något oförutsett dröjsmål. Att den registrerade vid behov ska hållas informerad om handläggningen följer av allmänna förvaltningsrättsliga principer och den allmänna serviceskyldigheten i förvaltningslagen och kräver därför enligt utredningens mening inte några lagstiftningsåtgärder.
11.5.7 Beslut ska vara skriftliga och motiverade
Utredningens förslag: Att beslut ska vara skriftliga och i vissa
fall motiverade ska regleras i förordning.
Skälen för utredningens förslag: Enligt artikel 15.3 ska den per-
sonuppgiftsansvarige skriftligen informera den registrerade om sådan information som avses i artikel 14 vägras eller begränsas och om skälen för att det görs. Av skäl 45 framgår att beslut om begränsning av information ska inkludera de faktiska och rättsliga skäl som beslutet grundar sig på. Det bör därför föreskrivas att beslut att inte lämna personrelaterad information ska vara skriftliga och motiverade.
Att den personuppgiftsansvarige kan vägra att lämna information om en begäran är orimlig eller uppenbart ogrundad eller ta ut avgift om begäran är återkommande behandlas i avsnitt 11.3.4. Beslut om att ta ut avgift eller att inte lämna information bör vara skriftliga och motiverade.
Enskildas rättigheter SOU 2017:29
420
Enligt artikel 16.4 ska den personuppgiftsanvarige underrätta den registrerade skriftligen om beslut att inte rätta, radera eller begränsa behandlingen. Besluten ska vara motiverade. Det bör därför föreskrivas att beslut i fråga om rättelse, radering eller begränsning av behandlingen ska vara skriftliga. Beslut som går den registrerade emot ska också vara motiverade. Att skälen för besluten inte behöver lämnas ut i vissa fall behandlas i avsnitt 11.3.1.
Att besluten ska vara skriftliga och i vissa fall motiverade kan regleras i förordning.
11.5.8 Underrättelseskyldighet
Utredningens förslag: Underrättelseskyldigheter knutna till
enskildas rättigheter ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet
Som nyss nämnts ska den personuppgiftsansvarige enligt artikel 15.3 utan onödigt dröjsmål skriftligen informera den registrerade om sådan information som avses i artikel 14 vägras eller begränsas och om skälen för det. En sådan underrättelse kan enligt artikeln utelämnas om den skulle undergräva ändamålet med åtgärden. Den personuppgiftsansvarige ska även underrätta den registrerade om möjligheten att lämna in klagomål till en tillsynsmyndighet eller begära rättslig prövning. Enligt artikel 15.4 ska den personuppgiftsansvarige dokumentera de sakliga och rättsliga grunderna för beslutet. Informationen ska göras tillgänglig för tillsynsmyndigheterna.
Om den personuppgiftsansvarige inte har lämnat information till den registrerade eller inte uppgett skälen för beslut att avslå begäran om rättelse, radering eller begränsning av behandling ska enligt artikel 17.2 den registrerade underrättas om möjligheten att utöva rättigheterna genom tillsynsmyndigheten.
I de fall där behandlingen begränsas för att den registrerade bestrider att personuppgifterna är korrekta och det rätta förhållandet inte kan fastställas, ska enligt artikel 16.3 den personuppgiftsansva-
SOU 2017:29 Enskildas rättigheter
421
rige underrätta den registrerade innan begränsningen av behandlingen upphävs. Enligt artikel 16.4 ska den personuppgiftsanvarige underrätta den registrerade skriftligen om ett beslut att inte rätta, radera eller begränsa behandlingen. Han eller hon ska också underrättas om möjligheten att lämna in klagomål till en tillsynsmyndighet eller begära rättslig prövning. Om en oriktig personuppgift har rättats ska enligt artikel 16.5 den personuppgiftsansvarige underrätta den behöriga myndighet från vilken personuppgiften kommer. Artikel 16.6 föreskriver att om personuppgifter har rättats, raderats eller behandlingen av dem har begränsats ska den personuppgiftsansvarige underrätta mottagarna om åtgärden. Mottagarna ska rätta eller radera personuppgifterna eller begränsa den behandling som utförs under deras ansvar.
Underrättelser till enskilda
Enligt förvaltningslagen, som tillämpas när en myndighet agerar i egenskap av personuppgiftsansvarig, ska beslut som regel motiveras. Det gäller även för brottsbekämpande myndigheter och för domstolar i fråga om administrativa beslut. En myndighet som meddelar ett beslut ska även så snart som möjligt underrätta den som är part om det fullständiga innehållet i beslutet. Det krävs således inte någon lagstiftningsåtgärd för att uppfylla det kravet i artikel 15.3. Artikeln innehåller dock ett undantag från denna skyldighet, nämligen att den registrerade inte behöver underrättas om underrättelsen skulle undergräva ändamålet med åtgärden. Det kan vara fallet om skälen för beslutet skulle riskera att röja information som hänför sig till något av de intressen som enligt direktivet får läggas till grund för att begränsa informationen. Ett sådant undantag är enligt utredningens mening nödvändigt för att sökanden inte genom avslagsbeslutet ska kunna få del av information som han eller hon annars inte har rätt att få. Kraven på sådana beslut behandlas i avnitt 11.5.7. Sökanden bör utan onödigt dröjsmål underrättas om ett sådant beslut, om det inte skulle skada det intresse som föranleder att information inte har lämnats. Det kan regleras i förordning.
Att den personuppgiftsansvarige ska underrätta sökanden om möjligheten att begära rättslig prövning kräver inte någon lagstift-
Enskildas rättigheter SOU 2017:29
422
ningsåtgärd, eftersom skyldigheten att upplysa enskilda om huruvida ett beslut är överklagbart och hur det går till att överklaga följer av förvaltningslagen. Sökanden bör dock underrättas om möjligheten att lämna in klagomål till tillsynsmyndigheten och att begära att den kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt. Det kan regleras i förordning. Underrättelsen kan lämpligen lämnas i det beslut där den efterfrågade informationen begränsas eller inte lämnas ut.
Det krävs enligt utredningens mening inte heller någon bestämmelse om att den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslut och göra informationen tillgänglig för tillsynsmyndigheten. Grunderna för ett beslut ska enligt förvaltningslagen framgå av skälen. Tillsynsmyndighetens rätt att få tillgång till dokumentation för att kunna utöva tillsyn behandlas i avsnitt 12.7.3.
Att den personuppgiftsansvarige kan vägra att lämna information om en begäran är orimlig eller uppenbart ogrundad eller ta ut avgift för den om begäran är återkommande behandlas i avsnitt 11.3.4 och kraven på sådana beslut i avsnitt 11.5.7. Sökanden bör underrättas om beslutet. Det kan regleras i förordning.
I avsnitt 11.5.7 behandlas också kraven på beslut om rättelse, radering eller begränsning av behandlingen. Den registrerade ska underrättas om beslutet och om möjligheten att lämna in klagomål till tillsynsmyndigheten. Om den personuppgiftsansvarige inte har angett skälen för beslutet att inte lämna information ska den registrerade också underrättas om möjligheten att begära att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt. Det kan regleras i förordning.
Även skyldigheten att informera innan en begränsning av behandling av personuppgifter upphör kan regleras i förordning.
Underrättelser till andra
Enligt 28 § personuppgiftslagen ska i vissa fall tredje man underrättas om att personuppgifter har rättats. Den personuppgiftsansvarige ska på begäran av den registrerade underrätta tredje man som fått uppgifterna om rättelsen. Någon underrättelse behöver dock inte lämnas om det skulle visa sig vara omöjligt eller skulle
SOU 2017:29 Enskildas rättigheter
423
kräva en oproportionerligt stor arbetsinsats. Paragrafen genomför artikel 12 c i det nu gällande direktivet, som också gör undantag från kravet på underrättelse till tredje man om det visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.
När det gäller underrättelse till tredje man enligt artikel 16.6 medger direktivet inte ett sådant undantag som finns i 28 § personuppgiftslagen. En underrättelse bör således alltid skickas på den personuppgiftsansvariges eget initiativ till mottagaren, om en personuppgift har rättats eller raderats eller behandlingen av den har begränsats. Underrättelseskyldigheten bör så långt möjligt även gälla i förhållande till dem som tagit del av en felaktig personuppgift eller en uppgift som behandlats otillåtet och som gjorts tillgänglig, t.ex. genom direktåtkomst. Underrättelseskyldigheten kan regleras i förordning. Vilka åtgärder som bör vidtas behandlas i avnitt 9.2.6.
Någon underrättelse bör inte krävas i den personuppgiftsansvariges egen verksamhet. Det följer av de grundläggande kraven på behandling att den personuppgiftsansvarige ska se till att felaktiga personuppgifter inte behandlas. Den personuppgiftsansvarige har därför intresse av att inom den egna organisationen på lämpligt sätt sprida kännedom om de rättelser och ändringar som görs.
Enligt artikeln ska mottagare av personuppgifter som har rättats, raderats eller där behandlingen har begränsats vidta motsvarande åtgärder med personuppgifter som behandlas under deras ansvar. Om en behörig myndighet underrättas om att en personuppgift som den har tagit emot har rättats, raderats eller att behandlingen av den har begränsats av den myndighet som överlämnat den, ska den behöriga myndigheten pröva om motsvarande åtgärd även bör göras där. Skyldigheten att agera följer av förslaget om att den personuppgiftsansvarige ska vara skyldig att på eget initiativ rätta personuppgifter som är felaktiga eller ofullständiga, uppdatera personuppgifter som är inaktuella och radera eller begränsa behandlingen av personuppgifter som har behandlats på ett otillåtet sätt (se avsnitt 9.2.6). Någon ytterligare reglering behövs därför inte. Eftersom myndigheter kan ha olika ändamål för behandlingen behöver dock en korrigeringsåtgärd hos en myndighet inte alltid leda till samma åtgärd hos en annan, trots att det är fråga om samma personuppgift.
Enskildas rättigheter SOU 2017:29
424
Om en felaktig eller ofullständig personuppgift har rättats eller kompletterats ska den personuppgiftsansvarige underrätta den myndighet från vilken personuppgiften kommer. En bestämmelse om det bör tas in förordning.
11.5.9 Information ska inte avgiftsbeläggas
Utredningens förslag: Information om behandlingen av per-
sonuppgifter som den personuppgiftsansvarige ska lämna på eget initiativ och information om automatiserade beslut ska lämnas utan avgift. Information som ska lämnas på begäran är avgiftsfri en gång per år.
Skälen för utredningens förslag: Enligt artikel 12.4 ska den regi-
strerades rättigheter vara kostnadsfria. Det handlar dels om kostnadsfri information om behandlingen av den registrerades personuppgifter enligt artikel 13, dels om att meddelanden eller åtgärder enligt artiklarna 11, 14–18 och 31 ska vara kostnadsfria.
Myndigheters information och beslut är som huvudregel kostnadsfria, om inte annat föreskrivs. För att tydliggöra att så är fallet bör det i ramlagen föreskrivas att information som den personuppgiftsansvarige lämnar på eget initiativ om behandlingen av den registrerades personuppgifter ska vara avgiftsfri. Detsamma gäller den personuppgiftsansvariges information till den registrerade om automatiserade beslut. Som framgår av avsnitt 11.3.4 anser utredningen att personrelaterad information som lämnas på begäran ska vara avgiftsfri en gång per år. Begär någon information oftare föreslås att den personuppgiftsansvarige ska få ta ut rimlig avgift eller avslå begäran.
Enligt direktivet ska även beslut, underrättelser och åtgärder vara kostnadsfria. Enligt utredningens mening behöver det inte regleras särskilt utan följer av huvudregeln att ingen avgift tas ut för myndigheters beslut och meddelanden.
Utredningen anser att uttrycket utan avgift bör väljas i stället för direktivets kostnadsfri för att korrespondera med uttrycket rimlig avgift.
425
12 Tillsyn
12.1 Dagens tillsyn över personuppgiftsbehandling
12.1.1 Datainspektionen
Datainspektionen utövar tillsyn över all behandling av personuppgifter, så länge ansvaret inte uttryckligen har anförtrotts någon annan myndighet. Uppdraget regleras i förordningen (2007:975) med instruktion för Datainspektionen (i det följande Datainspektionens instruktion). Datainspektionens tillsyn på direktivets område omfattar både behandling som regleras i personuppgiftslagen (1998:204) och i särskilda registerförfattningar och andra författningar som innehåller bestämmelser om behandling av personuppgifter.
Datainspektionen är enligt 2 § personuppgiftsförordningen (1998:1191) tillsynsmyndighet enligt personuppgiftslagen. Datainspektionen har också utsetts till nationell tillsynsmyndighet enligt flera unionsrättsakter, bl.a. artikel 28.1 i det nu gällande dataskyddsdirektivet, artikel 25.1 i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete och artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet).
Inspektionens uppgift är bl.a. att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Verksamheten ska särskilt inriktas på att informera om gällande regler och att ge råd och hjälp åt personuppgiftsombud. Vidare ska myndigheten följa och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik (1 § Datainspektionens instruktion).
Tillsyn SOU 2017:29
426
Inspektionen har rätt att för sin tillsyn få tillgång till personuppgifter, upplysningar och dokument och tillträde till lokaler som används för behandling av personuppgifter (43 § personuppgiftslagen). Genom påpekanden och liknande förfaranden ska inspektionen i första hand försöka åtstadkomma rättelse och i andra hand besluta om förbud mot annan behandling än lagring (45 § personuppgiftslagen) eller vid domstol ansöka om utplåning av personuppgifter som behandlats på ett olagligt sätt (47 § personuppgiftslagen). I vissa fall kan inspektionen förena sina förelägganden med vite (44 och 45 §§personuppgiftslagen). Datainspektionens beslut i tillsynsfrågor får överklagas (52 § personuppgiftslagen).
Datainspektionen ingår i den s.k. Artikel 29-gruppen som inrättats med stöd av artikel 29.1 i det nu gällande dataskyddsdirektivet. Arbetsgruppen består av en företrädare för tillsynsverksamheten i varje medlemsstat i EU. Arbetsgruppen har bl.a. till uppgift att bidra till en enhetlig tillämpning av nationella bestämmelser som genomför direktivet, att lämna råd till kommissionen inför ändringar av direktivet, att yttra sig till kommissionen om dataskyddsnivån inom EU och i tredjeland och att utarbeta gemensamma uppförandekoder.
En närmare redogörelse för Datainspektionens tillsynsverksamhet finns i betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65 s. 78 f.).
12.1.2 Säkerhets- och integritetsskyddsnämnden
Även Säkerhets- och integritetsskyddsnämnden utövar tillsyn över personuppgiftsbehandling inom direktivets tillämpningsområde. Nämndens uppdrag regleras i lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet och förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden (i det följande nämndens instruktion).
Nämnden utövar tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och därmed sammanhängande verksamhet. De myndigheter vars verksamhet berörs av tillsynen är Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten och Tullverket. Nämnden utövar även tillsyn över Säkerhetspolisens
Tillsyn
427
och Polismyndighetens behandling av personuppgifter enligt polisdatalagen (2010:361). Tillsynen ska särskilt ta sikte på behandlingen av känsliga personuppgifter.
Nämnden inrättades i syfte att skapa ett fristående och självständigt organ som ska säkerställa rätten till effektivt rättsmedel som den garanteras i artikel 13 i Europakonventionen. Avsikten är att nämndens tillsyn ska komplettera den tillsyn som andra myndigheter ansvarar för, främst JK, Åklagarmyndigheten och Datainspektionen (se Ytterligare rättssäkerhetsgarantier vid användande av hemliga tvångsmedel, m.m., prop. 2006/07:133, s. 61 f. och prop. 2009/10:85 s. 272 f.).
Nämnden utövar sin tillsyn genom inspektioner och andra undersökningar, som kan vara både föranmälda och oanmälda. Nämnden ska också på begäran av enskilda kontrollera om de har varit föremål för behandling av personuppgifter inom nämndens tillsynsområde och underrätta dem om att kontrollen genomförts. Nämnden har för sin tillsyn rätt att få tillgång till de uppgifter och den hjälp som den begär av den myndighet som tillsynen avser. Om nämnden finner något att anmärka på får den lämna synpunkter på hur bristerna bör avhjälpas. Nämndens rekommendationer är inte bindande och kan inte överklagas.
Om nämnden upptäcker brott ska det enligt 20 § nämndens instruktion anmälas till Åklagarmyndigheten och om nämnden finner något som kan leda till skadeståndsansvar för staten ska det anmälas till JK. Finner nämnden omständigheter som Datainspektionen bör uppmärksammas på, ska nämnden anmäla det till inspektionen. Det har hittills inte funnits anledning för nämnden att göra någon anmälan till Datainspektionen, eftersom de brottsbekämpande myndigheterna följer nämndens uttalanden om regelefterlevnad. Nämndens rekommendationer om förbättringar följs dock inte alltid av myndigheterna (se Riksrevisionens rapport om Säkerhets- och integritetsskyddsnämndens tillsyn över brottsbekämpande myndigheter, skr. 2015/16:188, s. 49).
Tillsyn SOU 2017:29
428
12.1.3 JO och JK
JO och JK utövar tillsyn över hur lagar och andra föreskrifter tilllämpas i offentlig verksamhet. Deras tillsyn omfattar därmed även behandlingen av personuppgifter och skyddet av enskildas personliga integritet vid sådan behandling. Både JO och JK är extraordinära tillsynsorgan.
JO:s verksamhet regleras framför allt i regeringsformen, riksdagsordningen och lagen (1986:765) med instruktion för Riksdagens ombudsmän.
JK:s verksamhet regleras huvudsakligen i lagen (1975:1339) om Justitiekanslerns tillsyn och i förordningen (1975:1345) med instruktion för Justitiekanslern.
De som står under JO:s och JK:s tillsyn ska på begäran lämna upplysningar och yttranden och ge tillgång till handlingar och protokoll. Ett granskningsärende kan inledas både efter klagomål från enskilda och på JO:s eller JK:s eget initiativ. Såväl JO som JK kan genomföra inspektioner som ett led i granskningen. Tillsynsärenden kan resultera i beslut som kan innehålla kritik eller vägledande uttalanden. JO och JK kan även väcka åtal mot någon som står under deras tillsyn för brott som begåtts i tjänsten och har också rätt att väcka frågor om disciplinär bestraffning. Varken JO eller JK har däremot rätt att ompröva eller ändra beslut som har fattats av någon som står under deras tillsyn.
12.2 Utgångspunkter för utredningens överväganden om tillsyn
Frågor om tillsyn har fått ökat fokus
Frågor om tillsyn, hur den ska bedrivas och vem som ska utöva tillsyn har diskuterats inom många olika områden under senare år och lösningarna varierar. Regeringen har i skrivelsen En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79, i det följande tillsynsskrivelsen) utvecklat sin syn på tillsynsfrågor. I skrivelsen framhålls att den offentliga tillsynen är viktig för att stärka efterlevnaden av de föreskrifter som riksdagen och regeringen har beslutat. Tillsynen bidrar till att upprätthålla grundläggande värden i
Tillsyn
429
samhället som bl.a. rättssäkerhet. Medborgarna ska genom tillsynen vara tillförsäkrade att deras intressen tas till vara.
Regeringens utgångspunkt i skrivelsen är att det krävs större enhetlighet i fråga om tillsyn. I skrivelsen framhålls bl.a. att den offentliga tillsynen bör präglas av tydlighet och enhetlighet. Ett sätt att uppnå det är att tillsynsmyndigheternas uppdrag preciseras i form av tillsynsuppgifter, regler och i förekommande fall mål och prioriteringar. Regeringen pekar också på behovet av enhetliga begrepp.
Regeringen understryker att avsteg från de generella bedömningarna i skrivelsen kan leda till minskad tydlighet och enhetlighet, men att det inom vissa områden ändå kan finnas skäl att göra avsteg, om det leder till en mer ändamålsenlig tillsyn inom det specifika området. Ett annat skäl för avsteg kan vara Sveriges skyldigheter att genomföra och anpassa lagstiftning till unionsrättsakter eller till internationella konventioner (skr. 2009/10:79 s. 13).
Utredningen har ingen annan uppfattning än den som kommer till uttryck i tillsynsskrivelsen om hur man allmänt bör se på tillsynsverksamhet.
Utredningens uppdrag är begränsat
Utredningens uppdrag vad gäller tillsynen kompliceras av flera faktorer. En har att göra med att vårt uppdrag att utreda hur direktivet bör genomföras inte är heltäckande. Uppdraget har delvis fullgjorts av en annan utredning med ett annat fokus. Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) har haft i uppdrag att kartlägga vilken tillsyn över behandling av personuppgifter som bedrivs i dag och överväga om den i större utsträckning kan samlas hos en myndighet. Den utredningen har också haft i uppdrag att peka ut vilken eller vilka myndigheter som bör vara tillsynsmyndighet enligt dataskyddsförordningen respektive dataskyddsdirektivet och representera Sverige i European Data Protection Board (i det följande styrelsen). Även frågorna om hur företrädare för tillsynsmyndigheten ska utses och hur verksamheten ska organiseras har ingått i den utredningens uppdrag. Utredningen har avgett betänkandet Ett samlat ansvar för tillsyn över den per-
Tillsyn SOU 2017:29
430
sonliga integriteten (SOU 2016:65). Betänkandet har remissbehandlats och bereds i Regeringskansliet (Justitiedepartementet).
Eftersom vår utrednings uppdrag varken omfattar vilken myndighet som ska utses till tillsynsmyndighet eller hur tillsynsverksamheten ska organiseras, och det inte kommer att finnas något ställningstagande till de frågor som ligger utanför vårt uppdrag när förslaget till ramlag ska redovisas, utgår vi i våra överväganden från att tillsynsverksamheten kommer att organiseras på det sätt som Utredningen om tillsynen över den personliga integriteten föreslår.
Det är oundvikligt att nyss nämnda utrednings ställningstaganden och förslag påverkar inriktningen av våra förslag och vilka lagtekniska lösningar som bör väljas när det gäller genomförandet av resterande delar av direktivet. Det finns därför anledning att i detta avsnitt lyfta några av de frågor som Utredningen om tillsynen över den personliga integriteten har behandlat.
Reglerna i direktivet och dataskyddsförordningen har stora likheter
Direktivet har, bl.a. när det gäller tillsynen över behandlingen av personuppgifter, till stora delar samma innehåll som dataskyddsförordningen eller i vart fall liknande regler. Tillsynsuppgifterna är i princip desamma enligt direktivet och förordningen, men förordningen reglerar också frågor som inte aktualiseras på direktivets område. Förordningen innehåller fler och mer detaljerade regler om tillsynsmyndighetens befogenheter, men i sak motsvarar de i stort sett direktivets bestämmelser.
Frågan är då vilka utgångspunkter som utredningen bör ha när det gäller genomförandet av artiklar i direktivet som är likalydande eller har betydande likheter med artiklar i dataskyddsförordningen. Eftersom förordningen kommer att gälla som svensk lag saknas det utrymme för att justera i dess bestämmelser. I den mån bestämmelserna i dataskyddsdirektivet och dataskyddsförordningen behöver anpassas till varandra, t.ex. beträffande terminologin eller hur tillsynsverksamheten bör regleras, måste följaktligen den anpassningen göras vid genomförandet av direktivet.
Mot bakgrund av de uttalanden som regeringen gjorde i tillsynsskrivelsen om intresset av enhetliga begrepp, anser utredningen att det finns anledning att vara återhållsam med att använda annan
Tillsyn
431
terminologi än den som används i förordningen, om det inte finns goda sakliga skäl för det (se avsnitt 6.2).
Ett så enhetligt system för tillsyn över personuppgiftsbehandling som möjligt är också till fördel för både tillsynsmyndigheten och tillsynsobjekten. Reglerna om tillsyn på direktivets och förordningens område bör därför enligt utredningens mening så långt möjligt stämma överens, såvida det inte finns sakliga skäl för avvikelser.
En fri och oberoende tillsyn måste värnas
I skäl 4 framhålls att en hög skyddsnivå för personuppgifter förutsätter ett kraftfullt tillsynsarbete. Ett viktigt verktyg för det är en oberoende och effektiv tillsyn över behandlingen av personuppgifter. Direktivet medför bl.a. ökade krav på att tillsynsmyndigheternas oberoende värnas, att de får tillräckliga resurser och befogenheter att utöva sin tillsyn och att enskilda får möjlighet att reagera om tillsynsmyndigheten inte agerar tillräckligt snabbt.
Ett led i en effektivare tillsyn är, som framhålls i tillsynsskrivelsen, att skapa tydliga regler för verksamheten så att både tillsynsmyndigheten, tillsynsobjekten och enskilda som befarar att deras personuppgifter kan ha behandlats på ett otillåtet sätt vet vilka skyldigheter respektive rättigheter de har och vilka resultat som kan förväntas av tillsynen. Samtidigt är det enligt utredningens mening lika viktigt att inte skapa detaljregler som riskerar att begränsa tillsynsmyndighetens möjligheter att arbeta oberoende och att prioritera bland sina arbetsuppgifter på det sätt som den anser bäst gagnar tillsynsverksamheten som helhet. Det är alltså en balansgång mellan att skapa tydliga regler och att inte åstadkomma ett regelsystem som riskerar att hämma tillsynsmyndighetens oberoende. Utredningens utgångspunkt är att en effektiv tillsyn bäst gagnas av att den som utövar tillsynen får så stor frihet att välja arbetsformer som möjligt, utan att avkall görs på rättssäkerheten. Den flexibilitet som den nuvarande, oreglerade, tillsynsverksamheten ger bör därför så långt möjligt värnas.
Tillsyn SOU 2017:29
432
Direktivets dubbla syften
I avsnitt 6.1.3 redovisas att direktivet har dubbla syften. Det ska även prägla tillsynen. Tillsynsmyndigheten ska både skydda enskildas rättigheter och underlätta det fria flödet av personuppgifter inom EU. Vad det innebär behandlas i avsnitt 12.5.2. Mot den bakgrunden kan regleringen som rör tillsynen inte byggas enbart utifrån enskildas perspektiv utan måste också beakta effekterna på det fria flödet av personuppgifter.
12.3 Tillsynsmyndighet enligt direktivet
12.3.1 Förslaget från Utredningen om tillsyn över den personliga integriteten
Enligt artikel 45.1 ska den eller de myndigheter som utses till tillsynsmyndighet enligt artikel 41 utföra de uppgifter och utöva de befogenheter som anges i direktivet. Det framhålls i artiklarna 45– 47 och skäl 77 och 82 att det för att efterlevnaden av direktivet ska kunna övervakas är nödvändigt att varje tillsynsmyndighet har samma uppgifter och effektiva befogenheter.
Utredningen om tillsynen över den personliga integriteten föreslår att Datainspektionen ska vara tillsynsmyndighet enligt både dataskyddsförordningen och dataskyddsdirektivet och att det ska framgå av myndighetens instruktion. Enligt förslaget ska Säkerhets- och integritetsskyddsnämnden – vid sidan av Datainspektionen – även fortsättningsvis utöva tillsyn över Säkerhetspolisens behandling av personuppgifter men däremot inte över Polismyndighetens personuppgiftsbehandling i allmänhet. Nämnden föreslås också behålla uppgiften att utöva tillsyn över bl.a. användningen av hemliga tvångsmedel.
Våra överväganden utgår, som redovisas i avsnitt 12.2, från de förslag som Utredningen om tillsynen över den personliga integriteten presenterat. Några författningsbestämmelser utöver de som Utredningen om tillsyn över den personliga integriteten föreslår krävs inte för att genomföra artikel 45.1.
Tillsyn
433
12.3.2 Annan tillsyn kan också förekomma
Att Datainspektionen föreslås utöva tillsyn i egenskap av behörig tillsynsmyndighet enligt direktivet utesluter enligt utredningens mening inte att andra tillsynsmyndigheter också kan utöva tillsyn på området. Regleringen hindrar med andra ord inte att Säkerhets- och integritetsskyddsnämnden även fortsättningsvis utövar tillsyn över personuppgiftsbehandling i den utsträckning det ingår i dess tillsynsområde. Den hindrar inte heller att JO eller JK i egenskap av extraordinära tillsynsorgan på samma sätt som i dag utövar tillsyn över och uttalar sig om personuppgiftsbehandling inom direktivets tillämpningsområde.
När utredningen i slutbetänkandet redovisar förslag till reglering av Säkerhetspolisens personuppgiftsbehandling kan det finnas anledning att återkomma till frågor som rör tillsynen över den verksamheten. Utredningen avser att då ta upp den av Utredningen om tillsynen över den personliga integriteten väckta frågan om det krävs någon förändring av Säkerhets- och integritetsskyddsnämndens skyldighet att anmäla vissa förhållanden till Datainspektionen (SOU 2016:65 s. 175 f.).
12.4 Tillsynsområdet
12.4.1 Tillsynsområdet bör slås fast i en definition
Utredningens förslag: Tillsynsmyndighet ska i ramlagen defi-
nieras som myndighet som regeringen utser att enligt direktivet utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Skälen för utredningens förslag: I avsnitt 6.1.2 föreslår utred-
ningen att direktivet ska genomföras i en generellt tillämplig ramlag med tillhörande förordning. De kommer på samma sätt som i dag att kompletteras av myndigheternas registerförfattningar och författningar om särskilda register. Det finns även enstaka bestämmel-
Tillsyn SOU 2017:29
434
ser inom direktivets tillämpningsområde i andra författningar. Tillsynsmyndigheten ska enligt artikel 41.1 övervaka tillämpningen av direktivet och de författningar som genomför det. Det innebär att tillsynsmyndigheten ska kunna utöva tillsyn över tillämpningen av både ramlagen och andra författningar som reglerar behandling av personuppgifter inom direktivets tillämpningsområde. En grundläggande fråga är hur det i ramlagen bör preciseras vad tillsynen ska omfatta.
Ett alternativ är att i ramlagen räkna upp de lagar som omfattas av tillsynen på samma sätt som i 1 § andra stycket lagen om tillsyn över viss brottsbekämpande verksamhet. Att all behandling av personuppgifter som utförs med stöd av ramlagen och den tillhörande förordningen ska omfattas av tillsynen är självklart. Eftersom det är syftet med behandlingen som är avgörande för om ramlagen eller dataskyddsförordningen är tillämplig (se avsnitt 7.1.1), och därigenom vilka tillsynsregler som ska tillämpas, kan tillsynsområdet inte avgränsas genom att det i ramlagen anges vilka författningar som omfattas av tillsynen. Dessutom reglerar flera av myndigheternas registerförfattningar i dag personuppgiftsbehandling inte bara inom direktivets tillämpningsområde utan även inom dataskyddsförordningens. Det bör också nämnas att Utredningen om tillsyn över den personliga integriteten föreslår att Säkerhets- och integritetsskyddsnämndens tillsynsområde inte längre bör knytas till vissa författningar på det sätt som görs i dag.
Av samma skäl – att det är syftet med behandlingen som är avgörande för om det ena eller andra regelverket ska tillämpas – bör tillsynsområdet inte heller knytas till en uppräkning av vissa myndigheter eller verksamheter. En sådan reglering skulle även komma i konflikt med dataskyddsförordningen, eftersom viss behandling av personuppgifter, t.ex. utlämnande av allmänna handlingar, regleras i förordningen.
Tillsynsområdet måste därför, på samma sätt som ramlagens tilllämpningsområde, bestämmas utifrån syftet med behandlingen av personuppgifter. Tillsynsmyndighet bör definieras som myndighet som regeringen utser enligt direktivet att utöva tillsyn över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Eftersom valet av till-
Tillsyn
435
synsmyndighet ligger utanför utredningens uppdrag bör regeln formuleras så neutralt som möjligt och medge att en eller flera myndigheter pekas ut.
12.4.2 Ingen förändring av tillsynen över dömande verksamhet
Utredningens bedömning: Att tillsynen inte får inkräkta på
dömande verksamhet kräver inga lagstiftningsåtgärder, eftersom sådan verksamhet redan är skyddad genom bestämmelser i regeringsformen.
Skälen för utredningens bedömning
Innehållet i direktivet
Enligt artikel 45.2 ska tillsynsmyndigheten inte vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet. Medlemsstaterna får även från tillsynsområdet undanta andra oberoende rättsliga instanser som behandlar personuppgifter inom ramen för sin rättsliga verksamhet. Av skäl 80 framgår att direktivet visserligen är tillämpligt på domstolars och andra rättsliga myndigheters verksamheter, men att viss rättslig verksamhet bör undantas från tillsyn. Undantaget omfattar dock inte all verksamhet som domare kan medverka i. Syftet med undantaget är att garantera domares och andra rättsliga myndigheters oberoende när de utför rättsliga uppgifter av dömande karaktär. Som exempel på annan oberoende rättslig myndighet nämns åklagarmyndigheter. Domstolarnas och andra oberoende rättsliga myndigheters tillämpning av bestämmelserna i direktivet ska emellertid under alla omständigheter vara föremål för en oberoende kontroll i enlighet med artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna. Någon reglering som begränsar tillsynen över domstolarna på detta sätt finns inte i det nu gällande dataskyddsdirektivet. Dataskyddsförordningen föreskriver också att dömande verksamhet ska undantas från tillsyn men regleringen där är utformad på ett delvis annat sätt.
Tillsyn SOU 2017:29
436
Hur utövas tillsyn över domstolarna i dag?
Enligt 11 kap. 3 § regeringsformen får ingen myndighet bestämma hur en domstol ska döma i det enskilda fallet eller hur en domstol i övrigt ska tillämpa en rättsregel i ett särskilt fall. Bestämmelsen ger uttryck för den centrala principen om domstolarnas självständighet i dömandet. Principen innebär att domstolarna i sitt dömande bara har att rätta sig efter rättsregler och inte får ta emot direktiv om hur de ska döma i ett enskilt fall.
Både JO och JK utövar tillsyn över domstolarna. Det har ansetts självklart att JO:s tillsyn över domstolarna inte får inkräkta på domstolarnas grundlagsfästa självständighet. JO:s granskning tar sikte på om domstolarna arbetar på ett korrekt, sakligt och opartiskt sätt och syftar till att vidmakthålla medborgarnas förtroende för rättsväsendet. JO prövar därför inte frågor om en domstols bevisvärdering i ett visst mål eller ärende och JO riktar inte heller kritik mot sådana ställningstaganden i rättsliga frågor som framstår som en möjlig tillämpning av gällande rätt (se Claes Eklundh, JO och domstolarna, Från grundlag till vardagsjuridik. En vänbok till Bo Broomé, 2000, s. 86 f.). JO:s tillsyn är i stället i huvudsak inriktad mot tillämpningen av andra regler med anknytning till förfarandet (Claes Eklundh, JO, domstolarna och de hemliga tvångsmedlen, JT 2003–2004, s. 22). JO:s tillsyn över domstolarna diskuteras också av Hans Ragnemalm (Justitieombudsmannen och Regeringsrätten, FT 1994 s. 299 f.) och Rune Lavin (En JO:s syn på domsskrivningen i förvaltningsdomstol, FT 1999 s. 61 f.), som delar uppfattningen att sådan tillsyn kan utövas. Att JO:s roll när det gäller tillsyn över domstolarna går att förena med domarnas konstitutionella självständighet hävdas också av Jesper Ekeroth (se JO-ämbetet – En offentlig rättslig studie, s. 145).
JK:s tillsyn över domstolarna har ibland setts som mer problematisk, eftersom JK som är regeringens högste ombudsman kan sägas utöva tillsyn på regeringens vägnar (Katarina Alexius Borgström, JO och tjänstemännen, 2003, s. 390 f.). I 1991 års JK-utredning konstaterades dock att JK:s sätt att utöva tillsyn över domstolarna, som följer samma principer som JO:s tillsyn, inte utgör ett hot mot domstolarnas självständiga dömande (Justitiekanslern, En översyn av JK:s uppgifter, SOU 1993:37, s. 58 f. och s. 164).
Tillsyn
437
Samma bedömning gjordes av 1993 års domarutredning (Domaren i Sverige inför framtiden, SOU 1994:99, Del A, s. 255 f.).
Även JO:s och JK:s tillsyn begränsas alltså av grundlagsregleringen. JO:s och JK:s tillsyn över domstolarna övervägdes senast vid 2010 års ändring av regeringsformen och ansågs då vara förenlig med rättsskipningens självständighet enligt 11 kap. 3 § regeringsformen (prop. 2009/10:80 s. 129).
Datainspektionen utövar tillsyn över domstolarnas personuppgiftsbehandling. I ett mål som rörde frågan om Datainspektionen kunde utöva tillsyn över den behandling av personuppgifter som ägt rum genom att en domstol publicerat uppropslistor på den egna webbplatsen uttalade Högsta förvaltningsdomstolen att 11 kap. 3 § regeringsformen inte omfattar sådana beslut som en domstol fattar i den egna verksamheten avseende domstolens administration. Det fanns därför inget som hindrade Datainspektionen att utöva tillsyn i det fallet (HFD 2014 ref. 32).
Frågan om det finns behov av att uttryckligen avgränsa tillsynsmyndighetens behörighet för att säkerställa domares självständiga ställning berördes varken när personuppgiftslagen eller domstolsdatalagen infördes.
Behövs det en ny reglering?
Principen om domstolarnas självständighet har hittills inte ansetts hindra att tillsyn utövas över domstolsväsendet. Den verksamhet som bedrivs av domstolarna är alltså inte generellt undantagen från tillsyn vare sig när det gäller personuppgiftsbehandling eller i övrigt – med undantag för dömande verksamhet. Med dömande verksamhet brukar i svensk rätt avses att domar eller beslut utformas och meddelas.
När det gäller tillsyn över personuppgiftsbehandling är det självklart att den – i likhet med annan tillsyn – inte får inkräkta på domares självständiga ställning som den garanteras i regeringsformen. Tillsynen får alltså inte tillåtas att komma in på frågor som hör till den dömande verksamheten. Samtidigt bör understrykas att det endast är möjligheten att utöva tillsyn över dömande verksamhet som undantas i direktivet. Annan verksamhet vid domstolarna eller som utövas av domare ska inte undantas.
Tillsyn SOU 2017:29
438
Tillsyn inriktas oftast på sådant som redan har inträffat, t.ex. klagomål över hur ett mål eller ärende har handlagts. Risken är då liten att tillsynen påverkar den dömande verksamheten, eftersom den rättsliga prövningen redan är avslutad. Det kan visserligen hävdas att varje uttalande som görs beträffande handläggningen av ett mål eller ärende indirekt kan komma att påverka den framtida handläggningen i ett motsvarande fall och därmed inkräkta på domares oberoende. Enligt utredningens mening innebär ett sådant synsätt att varje form av tillsyn – oavsett hur den hanteras och vad den gäller – skulle omöjliggöras inte bara inom domstolssektorn utan även när det gäller förvaltningsmyndigheterna, som genom regleringen i regeringsformen har en lika självständig roll i sitt beslutsfattande. Det är uppenbart att lagstiftaren hittills inte har betraktat frågan på det sättet, exempelvis när det i samband med den senaste grundlagsreformen konstaterades att JO:s och JK:s tillsyn över domstolarna var förenlig med rättsskipningens självständighet.
När det gäller personuppgiftsbehandling kan den dock ibland vara så direkt förknippad med den dömande verksamheten att undantaget blir tillämpligt, t.ex. om någon ifrågasätter att hans eller hennes personuppgifter har behandlats korrekt i en dom eller ett beslut. I sådana fall torde det snarast vara fråga om något annat fel som kan ha begåtts, främst identifieringsmisstag eller skrivfel, som innebär att fel person pekats ut. Det är då i första hand andra regelverk än personuppgiftsregleringen som bör tillämpas för att rätta till eventuella misstag och frågan faller därmed utanför det som nu diskuteras.
På samma sätt som vid annan tillsyn är det tillsynsmyndighetens skyldighet att se till att tillsynen inte överskrider de gränser som har satts upp för den. Det är naturligtvis en särskilt delikat uppgift när det gäller tillsyn över domstolarna.
I brottmålsförfarandet kan det vara enklare att dra gränsen mellan dömande verksamhet och annan domstolsverksamhet än vad det kan vara inom andra områden. Det är åklagaren som har utredningsansvaret och företräder statens intressen. Utrymmet för domare att ex officio företa åtgärder är tydligt avgränsat och innan åtal har väckts synnerligen litet. Domarens roll i den kontradiktoriska processen är i huvudsak att ta ställning till de yrkanden som har framställts av parterna. Den dömande verksamheten är således enligt utredningens mening förhållandevis enkel att avgränsa inom
Tillsyn
439
det området. Det kan vara svårare att göra motsvarande bedömning när allmänna förvaltningsdomstolar ska tillämpa ramlagen, eftersom processen där har en annorlunda utformning. Även om den senaste förvaltningsrättsreformen minskat skillnaderna mellan processerna något, bär domaren alltjämt utredningsansvaret och de skriftliga inslagen är större i förvaltningsprocessen (jfr En mer ändamålsenlig förvaltningsprocess, prop. 2012/13:45 s. 113 f.).
Enligt utredningens mening innebär direktivets reglering inte något principiellt nytt, eftersom regeringsformen redan i dag sätter gränser för möjligheterna att utöva tillsyn över dömande verksamhet. Det bör därför inte medföra några problem för tillsynsmyndigheten att planera och genomföra sin tillsyn så att självständigheten i den dömande verksamheten inte riskerar att trädas för när. Några problem med tillsynen över personuppgiftsbehandling, så som den hittills har bedrivits, är inte heller kända. Det kan dock inte uteslutas att vad som är dömande verksamhet på sikt kan komma att få en annan innebörd, t.ex. om praxis från Europadomstolen eller EU-domstolen utvecklas.
Frågan är då om undantaget behöver komma till uttryck i ramlagen eller på annat sätt. Undantaget i artikel 45.2 tar enligt utredningens mening sikte på rättsliga bedömningar, inte primärt på behandlingen av personuppgifter. Det innebär att tillsynsmyndigheten kommer att vara oförhindrad att allmänt utöva tillsyn över domstolarnas verksamhet, så länge tillsynen inte inverkar på domarens rättsliga prövning av sakfrågan i enskilda fall. Det behövs därför enligt utredningens mening ingen lagstiftningsåtgärd för att Sverige ska leva upp till kraven i artikel 45.2, eftersom dömande verksamhet redan skyddas genom 11 kap. 3 § regeringsformen.
Om en sådan regel likväl skulle anses vara nödvändig för att uppfylla Sveriges åtaganden enligt direktivet skulle den enligt utredningens mening kunna utformas på följande sätt.
Tillsynen ska inte omfatta domstolars och andra rättsliga myndigheters dömande verksamhet.
Tillsyn SOU 2017:29
440
Kan någon annan rättslig verksamhet jämställas med dömande?
Enligt svensk rätt finns det vissa funktioner som kan jämställas med dömande verksamhet. Åklagare har anförtrotts vissa arbetsuppgifter som kan jämställas med sådan verksamhet. Åklagaruppgiften fullgörs inte av en åklagarmyndighet utan av den person som har anförtrotts sådana uppgifter. I sin roll som beslutsfattare har en åklagare samma självständiga ställning som en domare (se Peter Fitger, Monika Sörbom, Tobias Eriksson, Per Hall, Ragnar Palmqvist och Cecilia, i fortsättningen Fitger m.fl., Rättegångsbalken I, supplement 78, april 2015, s. 7:3 och Gunnel Lindberg, Åklagaren sedd ur ett förvaltningsrättsligt perspektiv, FT 2000 s. 37 f.).
Har en åklagare utfärdat ett strafföreläggande gäller det som en lagakraftvunnen dom om det godkänns (48 kap. 3 § andra stycket rättegångsbalken). Detsamma gäller ett godkänt föreläggande av ordningsbot som utfärdats av en behörig tjänsteman. De som är behöriga att utfärda förelägganden av ordningsbot är åklagare, polismän, tulltjänstemän och kustbevakningstjänstemän. Beslut i fråga om strafföreläggande och föreläggande av ordningsbot kan därmed jämställas med dömande verksamhet.
Bestämmelser om åtalsunderlåtelse finns i rättegångsbalken och lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare. Ett åklagarbeslut om åtalsunderlåtelse betraktas i rättsligt hänseende som en sakerförklaring, dvs. ett beslut som innebär att åklagaren slår fast att någon har gjort sig skyldig till ett visst konkretiserat brott. Sådana beslut registreras därför enligt 3 § 4 lagen (1998:620) om belastningsregister i belastningsregistret på samma sätt som domar och beslut. Besluten i fråga kan därmed jämställas med dömande verksamhet.
Det finns enligt utredningens mening ingen anledning att i fråga om tillsyn över personuppgiftsbehandling göra skillnad mellan dömande verksamhet och andra rättsliga funktionärers självständighet när de meddelar beslut som kan jämställas med domar eller beslut i brottmål. Det som nyss har sagts om dömande verksamhet och möjligheterna att utöva tillsyn över den har således betydelse även för nu aktuell verksamhet.
I 12 kap. 2 § regeringsformen föreskrivs att ingen myndighet får bestämma hur en förvaltningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild eller
Tillsyn
441
som rör tillämpningen av lag. Skyddet för förvaltningsmyndigheters självständighet, som är tillämplig vid nu aktuella beslut, fyller samma funktion som skyddet i 11 kap. 3 § regeringsformen för dömande verksamhet. Det som sagts om att Sverige lever upp till kraven i artikel 45.2 när det gäller dömande verksamhet gäller även för nu aktuell verksamhet.
12.5 Tillsynsmyndighetens uppdrag
12.5.1 Tillsynsmyndighetens oberoende ska värnas
Utredningens bedömning: Tillsynsmyndighetens oberoende
ställning värnas bäst om det inte införs några regler om när och hur tillsyn ska inledas respektive avslutas eller hur tillsynen närmare ska bedrivas.
Skälen för utredningens bedömning
Hur ska myndighetens oberoende säkerställas?
Tillsynsmyndigheten ska enligt artikel 42.1 vara fullständigt oberoende när den utför sitt uppdrag. Oberoendet ska enligt artiklarna 42.2–6, 43 och 44 framför allt värnas genom olika organisatoriska åtgärder och vissa rättsliga befogenheter enligt artikel 47.5.
Tillsynsmyndigheten förutsätts göra en självständig granskning av hur personuppgiftsansvariga och personuppgiftsbiträden tillämpar lagar och andra bindande föreskrifter. Det är fråga om rättslig tillsyn, vilket har betydelse både för hur tillsynen utförs och vad den kan resultera i.
Tillsynsverksamhet är i dag till stor del oreglerad. Även om det finns regler om ramarna för tillsynen – exempelvis i vilka fall en myndighet har rätt att utöva tillsyn, vilka som står under tillsyn och vad tillsynen omfattar – saknas det närmare regler om hur tillsynen ska bedrivas. Skälet till det är bl.a. att tillsyn kan avse vitt skilda sektorer av samhället och ha olika fokus, från konkreta åtgärder på plats som inspektion av djur eller anläggningar till rättsligt inriktad tillsyn. Tillsynsuppgifterna, befogenheterna och resultatet av tillsynen kan därmed variera avsevärt. Mot den bakgrunden
Tillsyn SOU 2017:29
442
ansåg regeringen att det inte var lämpligt att i en särskild lag reglera tillsyn generellt (skr. 2009/10:79 s. 10 f.).
Regleringen i direktivet måste enligt utredningens mening uppfattas på det sättet att tillsynsmyndighetens oberoende ska värnas dels genom organisatoriska åtgärder, dels genom att myndigheten ska vara fri när det gäller urvalet av tillsynsobjekt, arbetsformerna och redovisningen av resultaten av tillsynen. Vid genomförandet av direktivet finns det därför skäl att vara återhållsam med detaljregler som kan påverka hur tillsynsverksamheten bedrivs eller som kan göra att tillsynsmyndighetens oberoende ställning kan ifrågasättas. Det innebär att de regler som ändå krävs för att genomföra direktivet måste säkerställa att tillsynen kan bedrivas oberoende och effektivt. Regleringen måste nämligen ge tillsynsmyndigheten frihet att välja att utöva tillsynen på det sätt som den anser vara bäst inom de ramar som lagstiftningen ger.
Vad behöver regleras?
Enligt de principer som utvecklats i praxis avgör en tillsynsmyndighet själv när och hur den ska inleda tillsyn och vad tillsynen ska omfatta. Tillsynsmyndigheten kan utöva tillsyn på eget initiativ, t.ex. på grund av egna iakttagelser, efter information från allmänheten eller en annan myndighet eller med anledning av inkomna klagomål. Tillsyn kan också ha sin grund i att myndigheten vill se hur ny lagstiftning tillämpas eller få underlag för att bedöma behovet av nya råd eller föreskrifter. I framtiden bör – förutom tillsyn på begäran av en utländsk myndighet – även rapportering av personuppgiftsincidenter eller uppföljning av förhandssamråd kunna leda till att tillsynsmyndigheten inleder tillsyn i någon form (se avsnitt 10.4.2 och 10.2.5).
Att det inte är reglerat vad som kan initiera tillsyn verkar inte ha vållat några problem hittills. I direktivet förutsätts inte heller att det ska regleras. Det finns därför enligt utredningens mening inte skäl att införa bestämmelser om i vilka situationer tillsyn bör initieras, särskilt som det skulle kunna uppfattas som en begränsning av myndighetens oberoende.
Enligt utredningens mening är det framför allt tillsynsområdet (avsnitt 12.4.1), vem som ska utöva tillsyn (avsnitt 12.3.1), tillsyns-
Tillsyn
443
myndighetens uppgifter (avsnitt 12.6) och vilka befogenheter tillsynsmyndigheten ska ha (avsnitt 12.7) som behöver regleras. Det behövs även vissa regler om handläggningen av ärenden (avsnitt 12.8). Tillsynsmyndighetens oberoende hindrar inte att den bör vara skyldig att uppmärksamma andra myndigheter på vissa förhållanden som upptäcks vid tillsynen (avsnitt 12.8.4). Någon ytterligare reglering av hur tillsynsmyndigheten ska arbeta bör däremot inte införas av hänsyn till myndighetens oberoende. Det ställningstagandet ligger i linje med hur Utredningen om tillsynen över den personliga integriteten ser på behovet att reglera tillsynsmyndighetens uppgifter vid tillsyn över regleringen i dataskyddsförordningen (SOU 2016:65 s. 154 f.).
Att det saknas formella regler för hur tillsyn kan inledas innebär naturligtvis inte att förvaltningslagen (1986:223) inte är tillämplig, om tillsynsmyndigheten väljer att lägga upp ett formellt ärende. Då gäller vanliga regler om dokumentation, inhämtande av yttranden och kommunikationsskyldighet. Utredningen återkommer i avsnitt 12.8 till vissa handläggningsfrågor.
12.5.2 Tillsynsmyndigheten ska ha dubbla perspektiv
Utredningens förslag: Tillsynsmyndigheten ska verka både för
att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom ramlagens tillämpningsområde.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Av artikel 41.1 framgår att tillsynsmyndighetens övergripande uppdrag ska vara att övervaka reglerna om behandling av personuppgifter i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandlingen och underlätta det fria flödet av personuppgifter inom EU. Enligt 1 § Datainspektionens instruktion ska inspektionen bl.a. verka för att människor skyddas
Tillsyn SOU 2017:29
444
mot att deras personliga integritet kränks genom behandling av personuppgifter.
Tillsynsmyndighetens övergripande uppdrag ska regleras
Utredningen om tillsynen över den personliga integriteten föreslår, som tidigare nämnts, att Datainspektionen ska utses till tillsynsmyndighet enligt både direktivet och dataskyddsförordningen och att myndighetens instruktion ska ändras i visst avseende.
Av artikel 41.1 framgår att tillsynsmyndigheten ska vara ansvarig för tillämpningen av direktivet, i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandlingen och att underlätta det fria flödet av personuppgifter inom unionen. Genom formuleringen tydliggörs att tillsynsmyndigheten inte enbart kan utgå från enskildas perspektiv utan även ska beakta att ett viktigt syfte med direktivet är att underlätta informationsutbyte mellan bl.a. brottsbekämpande myndigheter (skäl 7). I skäl 75 som behandlar tillsynsmyndighetens uppdrag nämns däremot endast skyddet av fysiska personer. Att det skälet enbart tar upp det ena perspektivet minskar enligt utredningens mening inte betydelsen av att båda perspektiven nämns i artikel 41.1. Samtidigt som tillsynsmyndigheten ska verka för en hög skyddsnivå för personuppgifter och bedriva ett kraftfullt tillsynsarbete, måste myndigheten därför enligt utredningens mening även beakta de behöriga myndigheternas perspektiv.
Utredningen anser att tillsynsmyndighetens övergripande uppdrag att övervaka att fysiska personers grundläggande fri- och rättigheter skyddas vid behandling av personuppgifter är så viktigt att det bör få en framskjuten plats i ramlagen. Om det uppdraget lyfts fram bör det också framgå att myndigheten när den utför sina uppgifter och utövar sina befogenheter även ska beakta att det fria flödet av personuppgifter inom EU underlättas. Som framgår av avsnitt 15.2.2 gäller direktivet även för vissa andra stater än EU:s medlemsstater. Det är således det fria flödet av personuppgifter inom ramlagens tillämpningsområde som ska underlättas.
Frågan är då vad det innebär för tillsynsmyndigheten att direktivets dubbla syften lyfts fram i artikel 41.1. Det är uppenbart att dessa intressen kan strida mot varandra i vissa fall. Enligt utred-
Tillsyn
445
ningens mening är det inte självklart hur tillsynsmyndigheten kan underlätta det fria flödet av personuppgifter. Att direktivets båda syften även kommit till uttryck i den grundläggande bestämmelsen om tillsynsmyndigheten bör enligt utredningens mening uppfattas så att det ställs annorlunda krav på myndigheten. Vid sidan av enskildas intresse av en hög skyddsnivå ska tillsynsmyndigheten även beakta intresset av ett fritt flöde av personuppgifter. Finns det utrymme att välja olika lösningar som kan betraktas som likvärdiga ur integritetssynpunkt, bör tillsynsmyndigheten därmed välja den som bäst tillgodoser det fria flödet av personuppgifter. Ett annat exempel kan vara att myndigheten underlättar informationsutbytet genom att sprida sådan kunskap som den fått genom att följa utvecklingen av informations- och kommunikationsteknik eller goda exempel som kan förbättra skyddet för personuppgifter (jfr artikel 46.1 j).
12.6 Tillsynsmyndighetens uppgifter
12.6.1 Huvuduppgifterna bör regleras i ramlagen
Utredningens förslag: Tillsynsmyndigheten ska
1. utöva allmän tillsyn över personuppgiftsbehandling, 2. handlägga klagomål från registrerade, 3. utföra kontroll på begäran av fysiska personer, och 4. på begäran bistå en tillsynsmyndighet i en annan medlems-
stat.
Skälen för utredningens förslag
Innehållet i direktivet
I artikel 46.1 räknas tillsynsmyndighetens konkreta arbetsuppgifter upp. Enligt punkten a har tillsynsmyndigheten det generella uppdraget att övervaka och verkställa tillämpningen av de bestämmelser som antas i enlighet med direktivet. De närmare tillsynsuppgifterna regleras i punkterna f–i. Där anges att tillsynsmyndigheten
Tillsyn SOU 2017:29
446
ska behandla klagomål från registrerade, kontrollera om viss behandling är laglig, samarbeta med och ge bistånd till tillsynsmyndigheter i andra medlemsstater och utföra undersökningar om tilllämpningen av direktivet.
Tillsynsmyndigheten har också en vidsträckt skyldighet att ge råd och lämna information till olika aktörer. Myndigheten ska enligt punkten b öka allmänhetens medvetenhet och kunskaper om risker, regler, skyddsåtgärder och rättigheter i samband med personuppgiftsbehandling. Personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter ska enligt punkten d också ökas. Enligt punkten c ska myndigheten i enlighet med nationell rätt ge råd åt nationella parlament, regeringen och andra institutioner och organ om lagstiftningsmässiga och administrativa åtgärder som rör skyddet för fysiska personer vid personuppgiftsbehandling. Myndigheten ska vidare enligt punkten e på begäran informera registrerade om hur de ska utöva sina rättigheter och för det ändamålet samarbeta med tillsynsmyndigheter i andra medlemsstater. Myndigheten ska också enligt punkten k ge råd till personuppgiftsansvariga och personuppgiftsbiträden vid samråd om personuppgiftsbehandling som innebär särskilda risker ska inrättas, s.k. förhandssamråd.
Slutligen ska tillsynsmyndigheten enligt punkten j följa sådan utveckling som påverkar skyddet av personuppgifter, bl.a. inom informations- och kommunikationsteknik, och enligt punkten l bidra till verksamheten vid den styrelse som ska inrättas enligt artikel 51.
Nuvarande reglering
Enligt 1 § Datainspektionens instruktion ska myndigheten bl.a. följa och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik. Den ska särskilt inrikta sin verksamhet på att informera om gällande regler och ge råd och hjälp åt personuppgiftsombud.
Tillsyn
447
De huvudsakliga tillsynsuppgifterna bör regleras
Eftersom direktivet ska genomföras i svensk rätt är det lämpligt att reglera uppgiften att bedriva tillsyn men frågan är hur det bör göras. I artikel 53.2 regleras rätten för registrerade att väcka talan om tillsynsmyndigheten inte i tid agerar med anledning av ett klagomål och i artikel 50 skyldigheten att bistå utländska tillsynsmyndigheter. Det innebär att vissa av tillsynsmyndighetens uppgifter under alla förhållanden måste regleras. Med hänsyn till tillsynsmyndighetens oberoende är det inte lämpligt att bara reglera vissa uppgifter, eftersom det kan uppfattas som att de uppgifterna tillmäts större vikt. Utredningen anser därför att tillsynsmyndighetens huvuduppgifter bör framgå direkt av ramlagen. Som angetts i avsnitt 12.2 och 12.5 bör dock regleringen inte gå utöver vad som är nödvändigt för att genomföra direktivet, med hänsyn till tillsynsmyndighetens oberoende.
I ramlagen bör det tas in bestämmelser som speglar tillsynsmyndighetens huvuduppgifter så som de anges i direktivet. De är att utöva allmän tillsyn över personuppgiftsbehandling så som den har beskrivits i avsnitt 12.5, att handlägga klagomål (avsnitt 12.6.2), att kontrollera om behandling är författningsenlig (avsnitt 12.6.3), att ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden (avsnitt 12.6.4) och att på begäran lämna bistånd till en tillsynsmyndighet i en annan medlemsstat (avsnitt 12.10.1).
Under tillsynsmyndighetens uppdrag att bedriva allmän tillsyn ryms enligt utredningens mening de uppgifter som nämns i artikel 46.1 punkterna a och i. Under uppgiften att lämna bistånd till en utländsk tillsynsmyndighet ryms artikel 46.1 punkten h.
12.6.2 Klagomål från enskilda
Utredningens bedömning: Förutom att det ska framgå att
handläggning av klagomål ingår i tillsynsuppgifterna bör det inte regleras hur tillsynsmyndigheten ska behandla klagomål.
Tillsyn SOU 2017:29
448
Skälen för utredningens bedömning
Innehållet i direktivet
Enligt artikel 52.1 har alla registrerade rätt att lämna in klagomål till tillsynsmyndigheten. Enligt artikel 46.1 f ska tillsynsmyndigheten behandla klagomål från en registrerad eller dennes ombud och inleda en undersökning i sak där så är lämpligt. Tillsynsmyndigheten ska inom rimlig tid underrätta den klagande om hur undersökningen fortskrider och om resultatet, särskilt om det krävs ytterligare undersökningsåtgärder eller samordning med en tillsynsmyndighet i en annan medlemsstat.
Enligt artikel 52.2–4 ska tillsynsmyndigheten utan dröjsmål överlämna ett klagomål som lämnats till fel tillsynsmyndighet till behörig myndighet och informera den registrerade om det. Därutöver ska den registrerade på begäran få ytterligare hjälp. Han eller hon ska underrättas om klagomålets handläggning och resultat och om rätten till rättsmedel enligt artikel 53. Enligt artikel 46.2 ska tillsynsmyndigheten underlätta inlämningen av klagomål, exempelvis genom att tillhandahålla elektroniska formulär, vilket inte ska utesluta andra former av inlämning.
Nuvarande reglering och tillämpning
Att vem som helst kan göra en framställning till en myndighet, som då är skyldig att behandla den, följer av allmänna förvaltningsrättsliga principer. En myndighet är enligt 4 § förvaltningslagen skyldig att lämna enskilda råd och hjälp genom att bl.a. vidarebefordra felsända handlingar till rätt myndighet. Myndigheterna anses vidare vara skyldiga att informera om handläggningen och resultatet av en framställning som gjorts och vid behov samverka med andra myndigheter. En myndighet som får in en framställning från en enskild anses också vara skyldig att lämna någon form av svar som inte får dröja längre än nödvändigt (se propositionen om ny förvaltningslag, prop. 1985/86:80, s. 59).
Den som ger in ett klagomål till en tillsynsmyndighet får normalt inte ställning som part om ett tillsynsärende inleds. Han eller hon har då inte heller någon rätt att överklaga tillsynsmyndighetens beslut i tillsynsfrågan (jfr RÅ 2010 ref. 29).
Tillsyn
449
I dag tar Datainspektionen emot klagomål över behandling av personuppgifter. Inspektionen avgör själv när det finns anledning att inleda ett tillsynsärende. Den klagande får alltid ett besked i någon form med anledning av klagomålet. Ibland underrättas den enskilde om att någon utredning inte kommer att göras i hans eller hennes fall, men att informationen i klagomålet kan komma att användas i tillsyn vid ett senare tillfälle (SOU 2016:65 s. 81).
Behöver klagomålshanteringen regleras?
Artikel 46.1 f förutsätter inte att alla klagomål som kommer in till tillsynsmyndigheten utreds, däremot att alla klagomål behandlas. Frågan är då vad som avses med det. Av skäl 81 framgår att tillsynsmyndigheten bör hantera klagomål från registrerade och att utredning bör göras i den utsträckning som det är lämpligt i det enskilda fallet. Regleringen i direktivet förefaller utgå från att klagomål alltid framförs skriftligen men det är inte ett krav. Enligt utredningens mening bör ordet behandla här tolkas som ett krav på att klagomål måste leda till någon form av handläggning. Det minsta som kan krävas är att tillsynsmyndigheten tar ställning till om klagomålet ska föranleda någon tillsynsåtgärd. Tillsynsmyndigheten får med andra ord inte helt negligera ett klagomål. Här räcker det dock att konstatera att en utredning i sak bara behöver göras om tillsynsmyndigheten anser att det är lämpligt i det enskilda fallet. Enligt artikel 53.2 ska tillsynsmyndigheten informera om resultatet av klagomålet. Vad det innebär diskuteras i avsnitt 14.6.2.
Enligt utredningens mening talar starka skäl för att tillsynsmyndigheten även fortsättningsvis ska ha stor frihet att bestämma om klagomål ska utredas. Bestämmelserna i direktivet om hur klagomål ska hanteras av tillsynsmyndigheten motsvarar vad som redan tilllämpas enligt allmänna principer för tillsyn och reglerna i förvaltningslagen. Enligt utredningens mening krävs det därför, utöver att det ska framgå att handläggning av klagomål ingår i tillsynsuppgifterna, inga lagstiftningsåtgärder för att genomföra bestämmelserna i artiklarna 46.1 f, 52.3 och 52.4. Artikel 52.2 behöver inte genomföras om det i Sverige bara kommer att finnas en behörig tillsynsmyndighet enligt direktivet (se förslaget i SOU 2016:65 s. 142 f.).
Tillsyn SOU 2017:29
450
Utredningen återkommer i avsnitt 14.5 till frågor som rör klagomål och i avsnitt 14.6 till frågan om rättsmedel vid klagomål.
Den allmänna serviceskyldigheten rymmer att en myndighet ska tillhandahålla de formulär och blanketter som behövs för verksamheten. Det behövs därför inga lagstiftningsåtgärder för att genomföra artikel 46.2.
12.6.3 Kontroll av om behandling är författningsenlig
Utredningens förslag: Tillsynsmyndigheten ska på begäran
kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär sådan kontroll ska visa att han eller hon har begärt information från eller en korrigeringsåtgärd av den personuppgiftsansvarige. Myndigheten får vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad.
Vilka formkrav som ska gälla för begäran och beslut om kontroll och hur sökanden ska underrättas om att kontrollen har utförts ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Personuppgiftsansvariga får under vissa förutsättningar begränsa enskildas rätt till information eller underlåta att lämna information. I sådana fall ska den registrerades rättigheter enligt artikel 17.1 kunna utövas genom tillsynsmyndigheten. Tillsynsmyndigheten ska då enligt artikel 46.1 g kontrollera om behanlingen är laglig och enligt artikel 17.3 inom rimlig tid underrätta den registrerade om att kontrollen har genomförts. Den registrerade ska också informeras om rätten att begära rättslig prövning. Om en begäran om kontroll är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, får tillsynsmyndigheten enligt artikel 46.4 ta ut en rimlig avgift för de administrativa kostnaderna eller vägra att tillmötesgå begäran. Tillsynsmyndigheten har bevisbördan för att begäran är uppenbart ogrundad eller orimlig. Enligt artikel 46.1 g ska tillsynsmyndigheten informera den registrerade om skälen för att någon kontroll inte genomförs.
Tillsyn
451
I artikel 28.4 i det nu gällande direktivet föreskrivs att var och en har rätt att hos tillsynsmyndigheten begära att en kontroll görs av om personuppgiftsbehandlingen är tillåten och att få besked om utfallet av begäran. Någon sådan rätt infördes dock inte när det direktivet genomfördes. I Säkerhets- och integritetsskyddsnämndens uppdrag ingår att göra sådana kontroller. Enligt 3 § lagen om tillsyn över viss brottsbekämpande verksamhet är Säkerhets- och integritetsskyddsnämnden skyldig att på begäran av enskilda kontrollera om deras personuppgifter har behandlats enligt polisdatalagen och om behandlingen har utförts författningsenligt. Den enskilde ska underrättas om att kontrollen har utförts. Även juridiska personer kan begära sådan kontroll.
Datainspektionen är i dag inte skyldig att utföra sådana kontroller. Myndigheten kan inom ramen för sin tillsyn utföra liknande kontroller, men den enskilde har inte någon rätt att kräva det. Datainspektionen hänvisar därför enskilda till Säkerhets- och integritetsskyddsnämnden när inspektionen får en begäran om kontroll inom ett område där nämnden utövar tillsyn. Nämnden är bara skyldig att utföra sådana kontroller när det gäller Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling.
Kontroll av om behandlingen är författningsenlig bör regleras
Att en enskild kan få information om och insyn i hur hans eller hennes personuppgifter behandlas är som tidigare nämnts en förutsättning för att han eller hon ska kunna kontrollera om behandlingen är författningsenlig och i övrigt ta tillvara sina intressen och rättigheter. Det kan t.ex. gälla att få felaktiga personuppgifter rättade, kompletterade eller raderade eller att göra andra invändningar mot behandlingen. I avsnitt 11.3.1 redovisas på vilka grunder den personuppgiftsansvarige kan begränsa eller underlåta att lämna information. När den enskilde till följd av det själv saknar möjlighet att ta tillvara sin rätt ska det finnas möjlighet att ändå kontrollera personuppgiftsbehandlingen. Då ska tillsynsmyndigheten enligt direktivet kontrollera om behandlingen är författningsenlig.
Kontrollen ska utföras av en myndighet som har utsetts till tillsynsmyndighet enligt direktivet. Att tillsynsmyndigheten ska vara
Tillsyn SOU 2017:29
452
skyldig att på begäran kontrollera om behandlingen är författningsenlig bör regleras i ramlagen.
Hur bör regleringen utformas?
Frågan är då hur en bestämmelse om sådan kontroll bör utformas. Det finns som nyss nämnts en liknande bestämmelse i 3 § lagen om tillsyn över viss brottsbekämpande verksamhet. Säkerhets- och integritetsskyddsnämnden har påpekat att den regeln är otydlig och alltför vid. Den ger enskilda falska förhoppningar om i vilka situationer de kan kräva kontroll och vad de kan förvänta sig av tillsynsmyndigheten. Mot bakgrund av dessa erfarenheter är det angeläget med en tydlig reglering i fråga om rätten till kontroll, syftet med kontrollen och vilken information som den enskilde kan få.
Kontrollerna kan bli resurskrävande inom ramlagens tillämpningsområde mot bakgrund av att sekretess inom vissa verksamheter i stor utsträckning medför att information om personuppgiftsbehandlingen inte kan lämnas. Det finns därför enligt utredningens mening inte skäl att gå utöver de krav som ställs i direktivet. Det innebär för det första att bara fysiska personer bör kunna kräva kontroll av om behandlingen är författningsenlig. För det andra bör en förutsättning för kontroll vara att den som begär kontroll först har vänt sig till den personuppgiftsansvarige och begärt besked om vilka personuppgifter om honom eller henne som behandlas eller har begärt en korrigeringsåtgärd.
Det bör även regleras att tillsynsmyndigheten skriftligen ska underrätta den sökande om att kontrollen har genomförts. Underrättelsen bör som regel endast ge besked om att tillsynsmyndigheten har genomfört kontrollen (jfr prop. 2006/07:133 s. 66 f. och s. 81 och prop. 2009/10:85 s. 272 f.). Underrättelseskyldigheten kan regleras i förordning. Enligt artikel 46.1 g ska underrättelsen lämnas ”inom rimlig tid”. Enligt utredningens mening behöver det inte regleras, eftersom det får anses följa av förvaltningslagen.
Syftet med kontrollen är inte att den enskilde genom tillsynsmyndigheten ska få kännedom om huruvida hans eller hennes uppgifter behandlas hos en behörig myndighet utan att en oberoende myndighet får insyn i sådan personuppgiftsbehandling som registrerade inte själva kan kontrollera.
Tillsyn
453
Det bör ställas vissa krav på begäran
Kontrollerna kommer sannolikt framför allt att avse de brottsbekämpande myndigheternas personuppgiftsbehandling men kan även avse annan personuppgiftsbehandling inom ramlagens tilllämpningsområde. Om en privat aktör är behörig myndighet kan det behöva kontrolleras hur personuppgifter behandlas där.
För att regleringen inte ska kunna missbrukas bör det enligt utredningens mening ställas vissa krav på en begäran om kontroll. Det bör krävas att sökanden anger vilken behörig myndighet som kontrollen ska avse, eftersom ramlagen ska tillämpas av ett flertal myndigheter. Vidare bör det framgå om begäran avser personuppgiftsbehandlingen i ett visst mål eller ärende, ett visst register eller viss verksamhet. En begäran om kontroll bör därför vara skriftlig. Det bör också framgå att den som begär kontroll först har vänt sig till den personuppgiftsansvarige.
Eftersom det rör sig om integritetskänsliga personuppgifter är det angeläget att säkerställa att endast behöriga personer begär kontroll. Om det finns skäl att ifrågasätta behörigheten bör tillsynsmyndigheten kunna begära att sökanden styrker den (jfr avsnitt 11.5.3). Kraven på begäran kan regleras i förordning.
Tillsynsmyndigheten ska kunna vägra att utföra kontroll
Tillsynsmyndigheten har enligt artikel 46.4 möjlighet att vägra att utföra kontroll om begäran är uppenbart ogrundad eller orimlig. Det bör framgå av ramlagen att kontroll kan vägras i sådana fall.
Frågan är när en begäran kan anses vara orimlig eller uppenbart ogrundad. Ett skäl som framhålls i direktivet är att förfrågan är repetitiv, dvs. att den återupprepas. Av skäl 43 framgår att fysiska personer bör ha rätt att med rimliga intervall utöva sin rätt att hålla sig underrättade om att behandling sker och kunna kontrollera om den är laglig. Någon ytterligare ledning för vad som är rimliga intervall ges inte i direktivet.
När personuppgiftslagen infördes ansåg regeringen, vid tolkningen av begreppet rimliga intervall i artikel 12 a i det nu gällande dataskyddsdirektivet, att en enskild bör ha rätt att av den personuppgiftsansvarige en gång per kalenderår få besked om hans eller hennes personuppgifter behandlas (se 26 § personuppgiftslagen och
Tillsyn SOU 2017:29
454
prop. 1997/98:44 s. 82). Kontroller av om uppgifter om en person behandlas författningsenligt kan dock vara betydligt mer resurskrävande. Det beror bl.a. på att tillsynsmyndigheten – i motsats till den personuppgiftsansvarige – inte har tillgång till de personuppgifter som behandlas. Tillsynsmyndigheten måste därför alltid begära hjälp av den personuppgiftsansvarige med att klarlägga om några uppgifter om personen behandlas och kan först därefter ta ställning till vilken kontroll som i så fall krävs. Det är därför inte givet att de överväganden som gjordes beträffande registerutdrag enligt 26 § personuppgiftslagen har samma relevans för tillsynsmyndighetens kontroller.
Enligt utredningens mening är det inte lämpligt att i författning reglera hur lång tid som bör förflyta mellan framställningar om kontroll. Det bör i stället avgöras i praxis hur ofta en begäran får upprepas utan att den betraktas som orimlig.
En begäran om kontroll bör även kunna vägras om den är orimligt omfattande eller om den är så oprecis att det skulle krävas oproportionerligt mycket arbete för att kunna utföra kontrollen. Som exempel kan nämnas en opreciserad begäran om kontroll av om Polismyndighetens behandling av uppgifter om en person är författningsenlig. Det säger sig självt att en sådan begäran med Polismyndighetens 28 000 anställda, hela landet som verksamhetsområde och mångskiftande arbetsuppgifter skulle kräva orimliga insatser av både tillsynsmyndigheten och tillsynsobjektet. Det är tillsynsmyndigheten som har bevisbördan för att en begäran är orimlig eller uppenbart ogrundad.
Av skäl 40 – som hänför sig till artiklarna om enskildas rättigheter – framgår att en begäran bör anses som uppenbart ogrundad om den enskilde saknar skäl för sin begäran eller på annat sätt missbrukar sin rätt till information. I övrigt ger direktivet ingen ledning för i vilka fall en begäran kan anses vara uppenbart ogrundad. Enligt utredningens mening kan en begäran vara uppenbart ogrundad om den som begär kontroll inte först begärt att den personuppgiftsansvarige lämnar information.
Ett beslut att vägra utföra kontroll bör kunna överklagas, om förutsättningarna i övrigt är uppfyllda (se avsnitt 14.7.1). Det bör därför krävas ett skriftligt beslut där skälen för vägran framgår. Det kan regleras i förordning.
Tillsyn
455
Bör kontroll kunna utföras mot avgift?
Ett alternativ till att vägra utföra kontroll är enligt artikel 46.4 att tillsynsmyndigheten tar ut en rimlig avgift för de administrativa kostnaderna. Frågan är om den möjligheten bör utnyttjas vid genomförandet av direktivet. Å ena sidan talar ett av direktivets huvudsyften – att skydda den enskildes rättigheter – för att den enskilde i så stor utsträckning som möjligt ska få en kontroll utförd. Av artikel 46.4 följer å andra sidan att det är förenligt med direktivet att begränsa den enskildes rättigheter i vissa fall. En avgift kan inte läka bristen om en begäran är uppenbart ogrundad. Detsamma gäller en framställning som är orimlig av något annat skäl än att den upprepas alltför ofta. Det skulle kunna övervägas att ge enskilda möjlighet att mot avgift begära kontroll oftare än vad som är rimligt. Eftersom kontroll kan vara arbetskrävande anser utredningen att varken tillsynsmyndigheten eller tillsynsobjektet bör belastas med alltför täta kontroller. Möjligheten att ålägga tillsynsmyndigheten att mot avgift genomföra kontroller som är orimliga eller uppenbart ogrundade bör därför inte utnyttjas.
Information om rätt till rättslig prövning
Enligt artikel 17.3 och skäl 48 ska tillsynsmyndigheten även informera den registrerade om hans eller hennes rätt att begära rättslig prövning. Det är oklart vad som avses. Eftersom kontroll av om behandlingen är författningsenlig normalt inte utmynnar i något förvaltningsbeslut kan det inte annat än undantagsvis finnas något som en domstol kan pröva med anledning av kontrollen. Den enskilde har emellertid enligt artiklarna 53 och 54 rätt till effektiva rättsmedel om hans eller hennes rättigheter enligt direktivet kränks. Det bör enligt utredningens mening vara beslut om avslag på begäran om kontroll som avses. Utredningen återkommer till frågor om överklagande i avsnitt 14.7.1. Här räcker det att konstatera att det inte behövs någon lagstiftningsåtgärd för att tydliggöra att tillsynsmyndigheten, i de fall där ett beslut är överklagbart eller kan prövas på annat sätt, är skyldig att upplysa om det, eftersom den skyldigheten följer av andra regler.
Tillsyn SOU 2017:29
456
12.6.4 Information och rådgivning
Utredningens förslag: Tillsynsmyndigheten ska ge råd och stöd
till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning vid förhandssamråd och när det i övrigt är påkallat.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
En central arbetsuppgift för tillsynsmyndigheten är att på eget initiativ eller på begäran ge information och råd till olika aktörer om regler som styr behandlingen av personuppgifter.
I artiklarna 46.1 c, 47.3 och 28.2 föreskrivs att tillsynsmyndigheten ska ha en rådgivande uppgift, genom att på eget initiativ eller på begäran avge yttranden om lagstiftning och administrativa åtgärder till riksdag, regering, andra myndigheter och organ och till allmänheten i frågor som rör skydd av personuppgifter. Enligt artikel 46.1 d ska tillsynsmyndigheten öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om deras skyldigheter enligt direktivet. Förhandssamråd, som regleras i artikel 28, innebär att den personuppgiftsansvarige eller personuppgiftsbiträdet ska samråda med tillsynsmyndigheten bl.a. inför behandling av personuppgifter i nyinrättade register. Enligt artikel 46.1 k ska tillsynsmyndigheten då ge skriftliga råd.
Av artikel 46.1 b framgår att tillsynsmyndigheten självmant ska lämna allmän information om risker, regler, skyddsåtgärder och rättigheter till allmänheten. Vidare ska tillsynsmyndigheten enligt artikel 46.1 e på begäran tillhandahålla mer specifik information till registrerade om hur de ska utöva sina rättigheter och vid behov samarbeta med tillsynsmyndigheter i andra medlemsstater för det ändamålet. Av artiklarna 17.3, 52.3 och 52.4 framgår att den som har kontakt med tillsynsmyndigheten med anledning av en begäran om kontroll eller ett klagomål ska få mer specifik information om hur han eller hon ska ta tillvara sin rätt i det aktuella fallet.
I 1 § Datainspektionens instruktion föreskrivs att inspektionen särskilt ska inrikta sin verksamhet på att informera om gällande regler och ge råd och hjälp åt personuppgiftsombud.
Tillsyn
457
Förhandssamråd
I avsnitt 10.2.5 behandlas det förhandssamråd mellan personuppgiftsansvariga och tillsynsmyndigheten som krävs i vissa fall. Det som är av intresse här är tillsynsmyndighetens roll. Myndigheten ska ta emot sådana konsekvensbedömningar som ska upprättas enligt artikel 27, delta i samrådet och, om den planerade behandlingen riskerar att inte vara förenlig med regelverket, lämna skriftliga råd. Utredningen återkommer i avsnitt 12.7.5 till myndighetens befogenheter vid samrådet. Förhandssamråd är en viktig del i tillsynsmyndighetens förebyggande arbete och bör därför uttryckligen anges i bestämmelsen om myndighetens rådgivande roll.
Information och rådgivning till personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud
Genom direktivet ökar kraven på personuppgiftsansvariga och personuppgiftsbiträden i olika avseenden jämfört med i dag. Enligt artikel 46.1 d ska tillsynsmyndigheten öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om deras skyldigheter. Direktivet reglerar även dataskyddsombudens uppdrag mera i detalj. De ska bl.a. informera och ge råd till personuppgiftsansvariga om deras skyldigheter, övervaka efterlevnaden av regelverket och samarbeta och fungera som kontaktpunkt för tillsynsmyndigheten. Förändringarna bör enligt utredningens bedömning medföra att behovet av information och rådgivning från tillsynsmyndigheten till personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud kommer att öka.
Utredningen om tillsynen över den personliga integriteten föreslår att regeln i Datainspektionens instruktion om särskilt stöd till personuppgiftsombud ska upphävas, eftersom det varken finns utrymme för eller behov av en sådan reglering på dataskyddsförordningens område (SOU 2016:65 s. 157 f.). Förslaget ska ses mot bakgrund av att bestämmelsen innebär en anvisning från regeringen om hur tillsynsmyndigheten ska prioritera sina tillsynsuppgifter. En sådan regel anses enligt förslaget inte vara förenlig med kraven på tillsynsmyndighetens oberoende.
Det väcker frågan om tillsynsmyndighetens informations- och rådgivningsskyldighet gentemot personuppgiftsansvariga och per-
Tillsyn SOU 2017:29
458
sonuppgiftsbiträden enligt direktivet bör regleras. Enligt utredningens mening går vissa krav på information och rådgivning, bl.a. artikel 46.1 d, utöver det som ryms i den allmänna service- och samverkansskyldigheten enligt förvaltningslagen. Mot den bakgrunden bör även uppgiften att informera och ge råd till personuppgiftsansvariga och personuppgiftsbiträden pekas ut som en särskild uppgift för tillsynsmyndigheten. Det kan vara lämpligt att formulera uppgiften på liknande sätt som i 1 § Datainspektionens instruktion, att tillsynsmyndigheten ska ge råd och stöd. Skyldigheten bör omfatta råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden. Skyldigheten bör begränsas till information om deras författningsenliga skyldigheter.
Det finns enligt utredningens mening inget hinder mot att ange råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden som en arbetsuppgift bland flera, så länge regleringen inte innebär att den viktas högre eller lägre än någon av de övriga uppgifterna. Om tillsynsmyndighetens arbetsuppgifter regleras i ramlagen finns det inte heller någon risk för konflikt med vad som kommer att gälla på dataskyddsförordningens område. Förslaget står därmed inte i motsatsställning till förslaget från Utredningen om tillsynen över den personliga integriteten att upphäva bestämmelsen om råd och hjälp åt personuppgiftsombud i Datainspektionens instruktion. Av hänsyn till tillsynsmyndighetens oberoende bör bestämmelsen utformas så att det, förutom vid förhandssamråd, tydligt framgår att myndigheten själv avgör när råd och stöd kan vara påkallat.
Även fortsättningsvis kommer dataskyddsombuden att behöva samråda med tillsynsmyndigheten i många frågor. De är i många fall den naturliga kontaktpunkten för tillsynsmyndigheten (se avsnitt 10.5.3). I den utsträckning dataskyddsombud har behov av råd och stöd från tillsynsmyndigheten bör myndigheten naturligtvis på samma sätt som i dag tillgodose det behovet.
Information och rådgivning till riksdag, regering och andra myndigheter
I artikel 28.2 i det nu gällande dataskyddsdirektivet finns motsvarande reglering om tillsynsmyndighetens rådgivande roll som i artiklarna 28.2, 46.1 c och 47.3 i det nya direktivet. När person-
Tillsyn
459
uppgiftslagen infördes ansåg regeringen att svensk rätt uppfyllde de kraven utan någon lagstiftningsåtgärd (prop. 1997/98:44 s. 102).
Enligt 7 kap. 2 § regeringsformen ska vid beredningen av regeringsärenden behövliga upplysningar och yttranden begäras in från berörda myndigheter. Beredningskravet gäller både för riksstyrelseärenden, exempelvis beslut om propositioner och förordningar, och förvaltningsärenden (jfr prop. 2009/10:80 s. 215). Myndigheter under regeringen är skyldiga att svara på de remisser de får. I 4 kap. 10 § riksdagsordningen föreskrivs att en statlig myndighet är skyldig att lämna upplysningar och yttra sig när ett riksdagsutskott begär det.
Enligt 6 § förvaltningslagen är myndigheterna skyldiga att samverka med varandra i frågor som rör deras respektive verksamhetsområden. Skyldigheten enligt lagen att svara på remisser omfattar remisser från andra myndigheter.
Regleringen i artiklarna 28.2, 46.1 c och 47.3 skiljer sig inte från det nu gällande direktivet. Det finns inte anledning att göra en annan bedömning i fråga om behovet av reglering än när personuppgiftslagen infördes. Några lagstiftningsåtgärder för att genomföra dessa artiklar behövs alltså inte.
Information till allmänheten
Tillsynsmyndigheten är enligt direktivet skyldig att självmant informera allmänheten i frågor som rör personuppgiftsbehandling. Enligt 4 § förvaltningslagen har myndigheter serviceskyldighet i förhållande till enskilda och allmänheten. Principen är en del av det som är att anse som god förvaltning och innebär att förvaltningsmyndigheter ska lämna upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör myndighetens verksamhetsområde. Hjälpen ska lämnas i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov och myndighetens verksamhet. Eftersom uppgiften redan är reglerad krävs inte någon lagstiftningsåtgärd för att genomföra artikel 46.1 b och aktuell del av artikel 47.3. En stor del av Datainspektionens verksamhet ägnas redan i dag åt sådan information och vägledning.
Tillsyn SOU 2017:29
460
Information och rådgivning på begäran av enskilda
Artikel 46.1 e tar enligt utredningens uppfattning sikte på två olika saker. Den ena är allmän informationsskyldighet i förhållande till enskilda om hur de kan ta tillvara sina rättigheter. Sådan allmän information ska lämnas på tillsynsmyndighetens eget initiativ. Den andra är mer specifik information om den enskilde t.ex. har gett in ett klagomål till tillsynsmyndigheten. Specifik information ska lämnas bara om det behövs. Om det krävs ska tillsynsmyndigheten även samarbeta med tillsynsmyndigheter i andra medlemsstater för att kunna ge information till enskilda.
Den allmänna skyldigheten enligt förvaltningslagen att lämna hjälp gäller oavsett om det rör sig om en förfrågan från en part i ett ärende eller från någon som har ett allmänt intresse av att få upplysningar om tillsynsmyndighetens verksamhet. När det behövs och är lämpligt ska myndigheten vägleda den enskilde genom att ta initiativ till ytterligare utredning, verka för att utredningen begränsas till vad som är nödvändigt och fästa den enskildes uppmärksamhet på om det finns något annat, bättre sätt att nå det han eller hon eftersträvar (prop. 1985/86:80 s. 59). Serviceskyldigheten är vidsträckt men inte obegränsad. Myndigheten ska göra en bedömning från fall till fall av hur långt den ska sträcka sin service.
I fråga om sådan information som nu diskuteras krävs enligt utredningens mening inte mer än vad som redan följer av myndigheternas allmänna serviceskyldighet. Det behövs därför ingen lagstiftningsåtgärd för att genomföra artikel 46.1 e.
Det kan anmärkas att Datainspektionen har en särskild upplysningstjänst som via telefon och e-post besvarar frågor om personuppgiftsbehandling och att det finns omfattande informationsmaterial på myndighetens hemsida.
12.7 Tillsynsmyndighetens befogenheter
12.7.1 Hur bör tillsynen bedrivas?
I de flesta avseenden bör tillsynen över personuppgiftsbehandling kunna bedrivas på samma sätt som i dag. Tillsynen är av rättslig karaktär, dvs. den inriktas på om den granskade följer gällande regelverk för behandling av personuppgifter. Sådan tillsyn bedrivs
Tillsyn
461
framför allt genom granskning av dokumentation och upplysningar från tillsynsobjektet. Den kan dock även innefatta åtgärder som tillsyn över hur regelverket generellt tillämpas eller kontroll av att t.ex. en loggningsfunktion eller annan teknisk säkerhetsåtgärd fungerar som avsett. När det gäller personuppgiftsbehandling kan särskilt tillsynen över säkerhetsåtgärder behöva utföras på plats hos tillsynsobjektet.
Tillsyn kan påbörjas formlöst, t.ex. genom en faktisk åtgärd som en inspektion på plats, eller mer eller mindre formaliserat där ett formellt beslut som anger exakt vad tillsynen ska omfatta är den andra ytterligheten. Det förhållandet att tillsyn kan initieras i en mängd olika situationer och att det inte alltid finns något givet svar på vad tillsynen ska resultera i, innebär att tillsynsarbetet också kan ha olika skepnader. Tillsynen kan bedrivas förutsättningslöst, t.ex. vid ett rutinmässigt tillsynsbesök hos en myndighet. Den kan också vara målinriktad och exempelvis inriktas på behandlingen i ett enskilt register eller att klarlägga om ett konkret klagomål har fog för sig.
Syftet med tillsynen avgör vad som krävs för att genomföra den. Om syftet är att undersöka klagomål i ett enskilt ärende kan det vara tillräckligt att tillsynsmyndigheten tar del av personuppgifterna och dokumentation om hur de har behandlats. Är det fråga om en kontroll där den som begär kontrollen ifrågasätter att uppgifter om honom eller henne behandlas kan det behövas ett bredare anslag. Om tillsynsmyndigheten behöver få underlag för ett föreläggande kan inledande åtgärder som inhämtande av handlingar behöva följas upp med tillsynsbesök och upprepade kontakter med den personuppgiftsansvarige.
Tillsyn kan också vara tematisk, vilket innebär att en viss fråga eller typ av behandling eller behandlingen i en viss typ av register undersöks oberoende av vilka som utför sådana behandlingar. Tillsynen kan då omfatta många olika tillsynsobjekt och t.ex. bestå i att myndigheten inhämtar skriftlig information.
På samma sätt som det oftast inte finns någon given början på tillsynen är det inte heller reglerat hur tillsynen ska avslutas och vad den ska utmynna i. Tillsynen kan avslutas formlöst, t.ex. genom att myndigheten bestämmer sig för att inte längre avsätta resurser för den. Tillsynen kan också avslutas genom ett protokoll över genom-
Tillsyn SOU 2017:29
462
förd inspektion. En tematisk tillsyn kan utmynna i nya föreskrifter eller allmänna råd. Tillsyn behöver alltså inte utmynna i ett beslut.
Om fel upptäcks i samband med tillsyn kan tillsynsmyndigheten utöva sina befogenheter. När det gäller personuppgiftsbehandling kan det innebära att beslut om t.ex. rättelse, komplettering eller radering kan aktualiseras. Tillsyn kan när som helst övergå i ett vanligt förvaltningsärende hos tillsynsmyndigheten, även om den har påbörjats formlöst. Då ska de regler som gäller för det förfarandet tillämpas.
Tillsynsmyndigheten sätter alltså själv gränserna för vad som ska göras och hur och när det ska göras, så länge det inte kommer i konflikt med den reglering som genomför artiklarna 46.1 g (se avsnitt 12.6.3), 28.5 (se avsnitt 12.6.4), 53.2 (se avsnitt 14.6.2) och 50.4 (se avsnitt 12.10.1).
12.7.2 Utgångspunkterna för regleringen
Utredningens bedömning: Regleringen av tillsynsmyndighe-
tens befogenheter bör utformas i nära anslutning till regleringen i dataskyddsförordningen.
Skälen för utredningens bedömning: Utredningen om tillsynen
över den personliga integriteten anser att det varken finns utrymme för eller behov av kompletterande reglering av tillsynsmyndighetens befogenheter när det gäller dataskyddsförordningen. Utredningen understryker att det ankommer på vår utredning att göra motsvarande överväganden när det gäller tillsynen enligt direktivet.
Enligt tillsynsskrivelsen bör ett tillsynsorgan, när en brist konstateras, ha möjlighet till någon form av ingripande, som ska vara effektivt och tydligt. Det är viktigt att ingripandemöjligheterna har en framåtsyftande funktion och säkerställer att regelverket följs i framtiden, samtidigt som tillsynsorganet också måste kunna ingripa mot regelöverträdelser som inte kan göras ogjorda. Ingripandemöjligheterna bör utformas efter de särskilda förutsättningarna inom respektive tillsynsområde och så att de skapar större enhetlighet, särskilt inom närliggande tillsynsområden (skr. 2009/10:79 s. 41 f.).
För att genomföra direktivets bestämmelser och skapa förutsättningar för en effektiv tillsyn bör enligt utredningens uppfatt-
Tillsyn
463
ning tillsynsmyndighetens befogenheter regleras i ramlagen. En så tydlig reglering som möjligt bör eftersträvas. De uttalanden regeringen gjort i tillsynsskrivelsen bör prägla hur befogenheterna regleras. Hänsyn bör således tas till om motsvarande reglering finns i dataskyddsförordningen när tillsynsmyndighetens befogenheter på direktivets område regleras.
I skäl 82 framhålls att när befogenheterna utövas ska varje åtgärd vara lämplig, nödvändig och proportionerlig för att säkerställa efterlevnaden av regelverket. Åtgärderna ska utformas så att onödiga kostnader och stora olägenheter undviks. Det väcker frågan om det bör införas en proportionalitetsregel som återspeglar innehållet i skäl 82. De befogenheter som tillsynsmyndigheten föreslås få är enligt utredningens mening inte av den karaktären att en uttrycklig proportionalitetsregel är nödvändig.
12.7.3 Undersökningsbefogenheter
Utredningens förslag: Tillsynsmyndigheten ska ha rätt att av
personuppgiftsansvariga och personuppgiftsbiträden på begäran få 1. tillgång till alla personuppgifter som behandlas, 2. upplysningar om och dokumentation av behandlingen av per-
sonuppgifter och säkerhets- och skyddsåtgärder, 3. tillträde till lokaler som den personuppgiftsansvarige eller
personuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel för behandling av personuppgifter, och 4. det biträde och annan information som behövs för tillsynen.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 47.1 ska tillsynsmyndigheten ha effektiva undersökningsbefogenheter som minst ska inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla
Tillsyn SOU 2017:29
464
personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina tillsynsuppgifter.
Enligt 43 § personuppgiftslagen, som är tillämplig på de behöriga myndigheterna, har tillsynsmyndigheten rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid den och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
Tillsynsmyndigheten bör ges tillgång till information och lokaler
Som tidigare nämnts består rättslig tillsyn till stor del av granskning av dokumentation. För att kunna utöva tillsynen effektivt kan tillsynsmyndigheten dock inte bara förlita sig på de handlingar som den får tillgång till. Den kan även i viss utsträckning behöva besöka lokaler där personuppgiftsbehandling pågår bl.a. för att kunna inspektera säkerhetsåtgärder. Tillsynsbesök kan också ge tillsynsmyndigheten bättre inblick i förutsättningarna för den verksamhet där personuppgiftsbehandlingen äger rum.
Tillsynsmyndigheten behöver alltså tillgång till de personuppgifter som behandlas. Tillsynsmyndigheten behöver även upplysningar och dokumentation om pågående behandlingar, t.ex. de register över behandlingar som den personuppgiftsansvarige ska föra (se avsnitt 10.2.7). Därutöver bör tillsynsmyndigheten ha rätt till annan information som behövs, bl.a. dokumentation av säkerhets- och skyddsåtgärder. Det kan också röra sig om dokumentation som inte är direkt kopplad till den behandling som granskas, men som tillsynsmyndigheten ändå behöver för att genomföra sin tillsyn. Det bör därför framgå av ramlagen att tillsynsmyndigheten ska ges tillgång till de personuppgifter som behandlas, tillgång till dokumentation om behandlingen av dem och övrig dokumentation som behövs för tillsynen.
Det normala förfarandet bör vara att tillsynsmyndigheten tar hjälp av personal vid den granskade myndigheten för att få tillgång till behandlade personuppgifter. Tillgång på det sättet ska enligt utredningens mening inte betraktas som en rätt till direktåtkomst (jfr HFD 2015 ref. 61 och SOU 2015:39 s. 389 f). I vissa fall skulle det kunna underlätta om tillsynsmyndigheten själv i samband med
Tillsyn
465
en inspektion på plats får använda datorer och andra medel som tillsynsobjektet använder. En sådan möjlighet torde dock förutsätta att tillsynsmyndigheten ges direktåtkomst till de behöriga myndigheternas information (jfr Datainspektionens samrådsyttrande i dnr 126-2013). Tillsynsmyndigheten bör därför enligt utredningens mening ges tillgång till utrustning och andra medel som har anknytning till behandlingen av personuppgifter enbart med hjälp av tillsynsobjektets personal.
Frågan är om rätten att få tillgång till behandlade personuppgifter även ger rätt att beordra de körningar och andra åtgärder som behövs för att få fram de personuppgifter som behandlas. Enligt 4 § lagen om tillsyn över viss brottsbekämpande verksamhet har Säkerhets- och integritetsskyddsnämnden bl.a. rätt till det biträde som nämnden begär. Sådant biträde kan bestå i att den granskade myndigheten gör lokaler, arkiv och databaser tillgängliga för nämnden. En förutsättning för att få tillgång till de personuppgifter som behandlas är att personal från den granskade myndigheten bistår vid tillsynen genom att utföra de sökningar som behövs. Enligt utredningens mening har tillsynsmyndigheten behov av den typen av biträde och en bestämmelse om det bör tas in i ramlagen. Den kan lämpligen utformas efter mönster av den reglering som gäller för nämnden. Vid sökningar som görs på direkt begäran av tillsynsmyndigheten anses tillsynsobjektet inte vara bunden av de begränsningar i fråga om behandlingen av personuppgifter som annars gäller i verksamheten. Det kan t.ex. gälla ändamålen för behandlingen eller hur känsliga personuppgifter får behandlas.
Tillsynsmyndigheten kan även behöva tillgång till lokaler, utrustning och andra medel som används för att behandla personuppgifter. Tillsynsmyndigheten bör inte ha rätt att med tvång skaffa sig tillgång till lokaler (jfr SOU 1997:39 s. 443 och prop. 1997/98:44 s. 101). Att göra lokaler tillgängliga ingår dock i den personuppgiftsansvariges samarbetsskyldighet i förhållande till tillsynsmyndigheten (se avsnitt 10.2.6). Vägran att ge tillträde kan också enligt förslaget i avsnitt 13.5.1 leda till sanktionsavgift.
Utredningen återkommer till frågan om vad tillsynsmyndigheten kan göra om den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller sina skyldigheter att bistå tillsynsmyndigheten (se avsnitt 12.7.6 och 13.5.2).
Tillsyn SOU 2017:29
466
12.7.4 Skillnad mellan förebyggande och korrigerande befogenheter
Utredningens bedömning: Det bör göras tydlig skillnad mellan
tillsynsmyndighetens förebyggande och korrigerande befogenheter.
Skälen för utredningens bedömning
Innehållet i direktivet
I artikel 47.2 anges att tillsynsmyndigheten ska ha effektiva korrigerande befogenheter, t.ex. för att kunna a) utfärda varningar till personuppgiftsansvariga och personupp-
giftsbiträden om att planerade behandlingar sannolikt kommer att stå i strid med de bestämmelser som antas i enlighet med direktivet, b) beordra personuppgiftsansvariga och personuppgiftsbiträden att
se till att behandlingen av personuppgifter är förenlig med direktivet och, om lämpligt på visst sätt och inom viss tid, bl.a. beordra rättelse, radering eller begränsning av behandlingen enligt artikel 16, och c) införa tillfälliga eller definitiva begränsningar av, inklusive för-
bud mot, behandlingen.
Nuvarande reglering
I artikel 28.3 i det nu gällande direktivet regleras tillsynsmyndighetens korrigerande befogenheter, som delvis har genomförts i 44– 47 §§personuppgiftslagen. Paragraferna är till stor del tillämpliga på de behöriga myndigheterna.
Enligt 45 § personuppgiftslagen ska tillsynsmyndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse, om myndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Går det inte att åstadkomma rättelse eller är saken brådskande får myndigheten förbjuda den personuppgiftsansvarige att fortsätta att behandla personupp-
Tillsyn
467
gifterna på något annat sätt än genom att lagra dem. Enligt 47 § personuppgiftslagen får tillsynsmyndigheten ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas. Enligt 44 § personuppgiftslagen får tillsynsmyndigheten förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, om myndigheten vid en begäran enligt 43 § inte kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig.
Tydligare reglering av tillsynsmyndighetens befogenheter
Datainspektionen vidtar i dag samma åtgärder både för att förebygga otillåten personuppgiftsbehandling och för att korrigera behandling som strider mot personuppgiftslagen. Regeringen ansåg när lagen infördes att det var viktigt att tillsynsmyndigheten i första hand kunde fungera som stöd för de personuppgiftsansvariga och ge dem råd. Datainspektionen ska genom påpekanden och andra åtgärder försöka förmå personuppgiftsansvariga att vidta åtgärder som medför att behandlingen blir laglig (prop. 1997/98:44 s. 103). Påpekanden och liknande förfaranden har i praxis ansetts rymma även åtgärder i form av förelägganden av tvingande karaktär. Tillsynsobjekten har emellertid ansett det oklart om ett föreläggande från Datainspektionen är tvingande och om det får överklagas (SOU 2015:39 s. 622 f.).
I artikel 47.2 görs tydlig skillnad mellan förebyggande och korrigerade befogenheter. För att regleringen i ramlagen ska bli så tydlig som möjligt bör tillsynsmyndighetens befogenheter i förebyggande respektive korrigerande syfte regleras i olika paragrafer. De bör också spegla i vilken ordning befogenheterna bör användas.
En särskild fråga är hur det bör uttryckas vad tillsynsmyndigheten ska ingripa mot. Enligt artikel 47.2 punkterna a och b ska tillsynsmyndigheten se till att uppgiftsbehandlingen är förenlig med de författningar som genomför direktivet. Vilka författningar som omfattas av tillsynsområdet behandlas i avsnitt 12.4.1. Enligt utredningens mening bör de förebyggande befogenheterna användas om det finns risk för att viss personuppgiftsbehandling kan komma att stå i strid med lag eller annan författning, medan de korrigerande
Tillsyn SOU 2017:29
468
befogenheterna bör användas när det har konstaterats att behandlingen strider mot gällande bestämmelser.
Utredningen ser tillsynsmyndighetens befogenheter enligt ramlagen som en trappa som ger möjlighet att successivt använda kraftfullare medel och därigenom stegra påtryckningarna på den som inte självmant rättar sig efter myndighetens anvisningar. Befogenheterna sträcker sig från rådgivning till möjligheten att besluta om sanktionsavgift. Det bör dock understrykas att de korrigerande åtgärderna inte är kopplade till varandra på det sättet att en strängare åtgärd förutsätter att alla mindre ingripande åtgärder redan har prövats.
12.7.5 Förebyggande befogenheter
Utredningens förslag: Om tillsynsmyndigheten bedömer att
det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.
Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.
Skälen för utredningens förslag
Råd och stöd
En viktig arbetsuppgift för tillsynsmyndigheten är att lämna råd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter och att stödja deras strävanden att skapa författningsenliga och integritetssäkra lösningar. Inom ramen för det förebyggande arbetet bör tillsynsmyndigheten på olika sätt försöka förmå den som är ansvarig att vidta de åtgärder som behövs för att minska risken för att behandling av personuppgifter kan komma att stå i strid med lag eller annan författning. Medlen för det bör främst
Tillsyn
469
vara muntliga eller skriftliga råd, rekommendationer och påpekanden som inte är tvingande.
På vilket sätt förändringen ska åstadkommas bör i första hand lämnas åt den personuppgiftsansvarige eller personuppgiftsbiträdet att avgöra. I många fall torde det vara tillräckligt att tillsynsmyndigheten upplyser om på vilket sätt personuppgiftsbehandlingen riskerar att strida mot regelverket. Tillsynsmyndigheten är skyldig att lämna skriftliga råd vid förhandssamråd (se avsnitt 12.6.4 och avsnitt 10.2.5).
Varning
Enligt artikel 47.2 a ska tillsynsmyndigheten t.ex. kunna utfärda varningar till personuppgiftsansvariga och personuppgiftsbiträden för att planerade behandlingar sannolikt kommer att strida mot regelverket för personuppgiftsbehandling. Utredningen tolkar direktivet så att varning bör vara en åtgärd i det förebyggande arbetet. Möjligheten att utfärda varning är ny. Utredningen anser att varning kan vara ett lämpligt komplement till de förebyggande åtgärder som finns i dag. Varning bör kunna användas av tillsynsmyndigheten för att i ett enskilt fall markera allvaret i en situation och försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att ändra sig i fråga om planerad behandling. Därigenom kan det förebyggas att behandling som inte är förenlig med regelverket påbörjas. Varning bör emellertid även kunna användas om pågående behandling riskerar att strida mot lag eller annan författning.
Att utfärda varning bör som regel bli aktuellt först om tillsynsmyndigheten bedömer att den inte på annat sätt kan förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att följa regelverket. Varningen ska tjäna som väckarklocka för den personuppgiftsansvarige eller personuppgiftsbiträdet. Varning bör nämligen – även om den inte är tvingande – ses som ett steg på vägen mot ett föreläggande.
En varning bör vara skriftlig och tydligt ange på vilket sätt behandlingen riskerar att strida mot regelverket. En varning bör kunna avse vilken form av förändring som helst i behandlingen, t.ex. vilka personuppgifter som får behandlas, hur ett behandlings-
Tillsyn SOU 2017:29
470
system bör utformas, vilka säkerhetsåtgärder som krävs eller något annat som har betydelse för behandlingen. Eftersom en varning inte ska vara bindande är det inte fråga om ett beslut av tillsynsmyndigheten som är överklagbart.
Det kan i och för sig diskuteras om ordet varning, som används i direktivet, är ett lämpligt uttryck. Det skulle kunna leda tankarna fel, eftersom ordet varning används i många olika betydelser. Mot bakgrund av att samma ord används både i annan tillsynsverksamhet och i dataskyddsförordningen för motsvarande befogenhet anser utredningen dock att den nya åtgärden bör kallas varning.
12.7.6 Korrigerande befogenheter
Utredningens förslag: Om tillsynsmyndigheten konstaterar att
personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet annars inte fullgör sina skyldigheter, får tillsynsmyndigheten 1. genom förebyggande åtgärder försöka förmå den personupp-
giftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, 2. förelägga den personuppgiftsansvarige eller personuppgifts-
biträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, 3. förbjuda fortsatt behandling om bristen är allvarlig, eller 4. besluta om sanktionsavgift.
Om tillsynsmyndigheten utfärdar ett föreläggande ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.
Tillsyn
471
Skälen för utredningens förslag
Vilka åtgärder kan komma i fråga?
Om tillsynsmyndigheten konstaterar att den personuppgiftsansvarige eller personuppgiftsbiträdet inte uppfyller kraven på författningsenlig personuppgiftsbehandling bör det finnas möjlighet för myndigheten att uppmana den ansvarige och biträdet att uppfylla sina skyldigheter. Det kan göras genom vissa av de åtgärder som normalt används i det förebyggande arbetet, nämligen råd, rekommendationer eller påpekanden. Om den personuppgiftsansvarige eller personuppgiftsbiträdet vidtar de åtgärder som krävs så snart tillsynsmyndigheten väcker en fråga torde det räcka med fortsatt dialog. Tillsynsmyndigheten behöver emellertid också kunna tvinga den personuppgiftsansvarige eller personuppgiftsbiträdet att fullgöra sina skyldigheter. Medlen för det bör vara bindande förelägganden, förbud mot fortsatt behandling och beslut om sanktionsavgift.
Bindande förelägganden
Enligt artikel 47.2 b ska tillsynsmyndigheten t.ex. kunna beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att en behandling ska bli förenlig med bestämmelserna som genomför direktivet. I artikel 58.2 d i förordningen används ordet förelägga i motsvarande bestämmelse. Regleringen tar sikte på att tillsynsmyndigheten ska kunna utfärda bindande beslut som uppmanar tillsynsobjektet att vidta vissa åtgärder för att göra personuppgiftsbehandlingen författningsenlig. Eftersom ordet förelägga används i förordningen är det lämpligt att använda det i ramlagen.
I direktivet anges rättelse, radering och begränsning av behandlingen som exempel på åtgärder som tillsynsmyndigheten ska kunna förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta. Vad som avses med korrigeringsalternativen behandlas i avsnitt 11.4. När det gäller sådana åtgärder kan det vara lämpligt att tillsynsmyndigheten i föreläggandet anger vilken åtgärd som ska vidtas. I många andra fall är dock den tillsynsobjektet bättre lämpad att avgöra vad som bör göras för att behandlingen
Tillsyn SOU 2017:29
472
ska bli författningsenlig. Det kan t.ex. vara fråga om vilka tekniska åtgärder som bör vidtas eller vilka säkerhetslösningar som bör väljas. Tillsynsmyndigheten bör därför endast om det är lämpligt ange vilken åtgärd som ska vidtas. Däremot ska det alltid framgå när åtgärden ska vara genomförd.
En särskild fråga är om tillsynsmyndigheten bör kunna förelägga att uppgifter ska raderas. Datainspektionen får i dag inte själv besluta om radering av personuppgifter. Beslut om radering är en mycket ingripande åtgärd, särskilt för myndigheter. Som framgår av avsnitt 11.4.2 kan radering sällan komma i fråga med hänsyn till reglerna i 2 kap. tryckfrihetsförordningen. Med anledning av åtgärdens begränsade tillämpningsområde tillämpas 47 § personuppgiftslagen sällan mot myndigheter, men upplevs trots det inte som obsolet. Tillsynsmyndigheten bör enligt utredningens mening kunna utfärda föreläggande om radering. Myndigheten måste givetvis beakta att åtgärden inte kan komma att stå i strid med annan lagstiftning.
Förelägganden bör inte bara kunna utfärdas för att säkerställa att personuppgiftsbehandling ska vara författningsenlig. För att tillsynsmyndigheten ska ha effektiva befogenheter behöver den även kunna utfärda bindande förelägganden som tar sikte på att personuppgiftsansvariga och personuppgiftsbiträden ska uppfylla andra skyldigheter. Det kan t.ex. vara att införa bättre säkerhetslösningar, fullgöra dokumentationsskyldighet eller att överlämna viss dokumentation eller ge tillträde till lokaler.
Förbud mot fortsatt behandling
Enligt artikel 47.2 c ska tillsynsmyndigheten t.ex. kunna införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, fortsatt behandling. Med förbud mot fortsatt behandling avses att någon behandling inte längre får förekomma. Personuppgifter får dock alltid behandlas om det är nödvändigt med hänsyn till reglerna i 2 kap. tryckfrihetsförordningen.
För att genomföra direktivet bör en bestämmelse om förbud mot fortsatt behandling tas in i ramlagen. I flera lagstiftningsärenden har det ansetts naturligt att förbud mot fortsatt behandling även bör kunna riktas mot myndigheter (se prop. 2009/10:85 s. 275
Tillsyn
473
och prop. 2014/15:148 s. 89). Åtgärden bör dock på samma sätt som i dag användas restriktivt (jfr prop. 1997/98:44 s. 103). Förbud mot fortsatt behandling bör bara kunna meddelas om en myndighet på ett allvarligt sätt har åsidosatt sina skyldigheter och bristerna är sådana att de inte kan åtgärdas på annat sätt än att behandlingen upphör (jfr SOU 2015:39 s. 626 f.).
Att en personuppgift har behandlats på ett sådant sätt att förbud mot fortsatt behandling aktualiseras behöver inte innebära att all behandling av uppgiften måste upphöra. Förbudet måste kopplas till vad som föranledde det (jfr avsnitt 11.4.3). Hur omfattande förbudet blir beror på vilken typ av personuppgift det är och hur den har behandlats.
Ett förbud mot fortsatt behandling bör normalt vara permanent. I vissa fall kan dock ett tillfälligt förbud vara en lämplig åtgärd, t.ex. om den personuppgiftsansvarige trots påpekande eller varning från tillsynsmyndigheten har påbörjat otillåten personuppgiftsbehandling och myndigheten bedömer att bristerna kan rättas till.
Ska förelägganden kunna förenas med en sanktion?
Utredningen föreslår i avsnitt 13.7.1 att tillsynsmyndigheten ska få besluta om administrativa sanktionsavgifter. Sådana avgifter kan aktualiseras t.ex. om en personuppgiftsansvarig eller ett personuppgiftsbiträde underlåter att följa ett föreläggande eller beslut från tillsynsmyndigheten. Enligt utredningens mening är det tillräckligt att tillsynsmyndigheten i ett föreläggande kan upplysa om att sanktionsavgift kan komma att tas ut om föreläggandet inte följs. Det finns därför inget behov av att även kunna förena ett föreläggande med vite.
12.8 Handläggningen av tillsynsfrågor
12.8.1 Förvaltningslagens tillämplighet
På samma sätt som i dag ska förvaltningslagen tillämpas i tillsynsmyndighetens verksamhet. Lagen innehåller grundläggande regler om handläggning av ärenden hos förvaltningsmyndigheterna men gäller bara i den utsträckning det inte finns avvikande regler i andra
Tillsyn SOU 2017:29
474
författningar. Som tidigare nämnts är tillsynsverksamhet inte författningsreglerad. Det är i huvudsak inte heller fråga om ärendehantering utan en arbetsuppgift som kan lösas på olika sätt. I vissa fall lägger tillsynsmyndigheten upp ett tillsynsärende för att kunna hantera inkommande handlingar. Det är t.ex. vanligt att klagomål som enskilda ger in hanteras som ärenden. Som tidigare nämnts anses enligt rättspraxis ett tillsynsärende inte ha några parter, vilket innebär att de bestämmelser i förvaltningslagen som tar sikte på parter i ett ärende inte blir tillämpliga (se avsnitt 12.6.2).
Direktivet innehåller vissa detaljbestämmelser som tar sikte på tillsynsmyndighetens handläggning av framställningar från enskilda, t.ex. regler om hur tillsynsmyndigheten ska hantera klagomål från enskilda och om kontroller av om behandlingen är författningsenlig. Eftersom förvaltningslagens bestämmelser bara är tilllämpliga i vissa avseenden, anser utredningen att det krävs vissa handläggningsregler för tillsyn enligt ramlagen och att de i största möjliga utsträckning bör tas in i lagen och den tillhörande förordningen. Genom det skapas en samlad reglering och reglerna kan anpassas till vad som krävs enligt direktivet.
12.8.2 Kommunikationsskyldighet
Utredningens förslag: Innan tillsynsmyndigheten fattar ett
bindande beslut mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.
Skälen för utredningens förslag: Eftersom det inte anses finnas
några parter i ett tillsynsärende behövs det en regel om kommunikationsskyldighet i förhållande till tillsynsobjekten. De bör ges tillfälle att yttra sig innan tillsynsmyndigheten meddelar beslut som direkt berör dem. Skyldigheten bör omfatta allt material som tillförts ärendet, både inkomna handlingar från andra än tillsynsobjektet och handlingar som har upprättats av tillsynsmyndigheten. Handlingar som tillsynsobjektet själv lämnat bör inte omfattas. Däremot bör annan information som tillsynsobjektet har lämnat omfattas av skyldigheten, eftersom tillsynsmyndigheten och till-
Tillsyn
475
synsobjektet kan ha olika uppfattningar om dess betydelse. Endast om det är uppenbart obehövligt bör skyldigheten att kommunicera viss handling eller information inte gälla. När handlingar eller information kommuniceras bör tillsynsmyndigheten ange en bestämd tid inom vilken tillsynsobjektet ska ha yttrat sig. Kommunikationsskyldigheten bör regleras i ramlagen.
12.8.3 Beslut ska gälla när de fått laga kraft
Utredningens bedömning: Tillsynsmyndigheten bör inte få
förordna att myndighetens beslut ska gälla omedelbart.
Skälen för utredningens bedömning: Enligt 51 § andra stycket
personuppgiftslagen får tillsynsmyndigheten besluta att ett av myndigheten meddelat beslut ska gälla även om det överklagas. I flertalet av de registerförfattningar som gäller för de myndigheter som kommer att tillämpa ramlagen finns dock ingen hänvisning till den bestämmelsen, varför tillsynsmyndigheten i dag inte har möjlighet att fatta sådana beslut i relation till de myndigheterna.
I förarbetena till åklagardatalagen konstateras att det finns både för- och nackdelar med att låta 51 § andra stycket personuppgiftslagen gälla för åklagarmyndigheterna. Systematiska skäl talar för att regleringen borde utformas på samma sätt, oavsett vem beslutet gäller. Verksamhetsskäl anses dock tala mot att införa en sådan möjlighet. På samma sätt som vid införandet av polisdatalagen konstaterar regeringen att det inte finns skäl att ge Datainspektionen möjlighet att meddela interimistiska beslut (prop. 2014/15:63 s. 57 och prop. 2009/10:85 s. 91). I förarbetena till domstolsdatalagen görs bedömningen att det inte finns något praktiskt behov av en sådan möjlighet (prop. 2014/15:148 s. 95). Samma bedömning görs för Kustbevakningen (prop. 2011/12:45 s. 87).
Direktivet förutsätter inte att tillsynsmyndigheten ska kunna meddela interimistiska beslut. Det som talar för att tillåta interimistiska beslut är att det ger möjlighet att hindra sådan behandling som tillsynsmyndigheten anser strider mot regelverket. Samtidigt ger beslut av det slaget förtursbehandling i domstol. Utan förtursbehandling kan domstolsprövningen dra ut på tiden. Tillsynsmyndigheten och de granskade myndigheterna har emellertid inte alltid
Tillsyn SOU 2017:29
476
samma uppfattning om en behandling är författningsenlig, samtidigt som verksamheten hos behöriga myndigheter är central i en rättsstat. Det är inte heller givet att tillsynsmyndigheten har tillräcklig kunskap om den granskade verksamheten och dess villkor för att kunna ta nödvändiga hänsyn till verksamheten. Det finns därför enligt utredningens mening skäl att vara försiktig med att låta tillsynsmyndigheten förbjuda en annan myndighet att bedriva den verksamhet som statsmakterna beslutat om.
Även om det alltså finns skäl som talar för att tillåta interimistiska beslut, anser utredningen att de argument som tidigare anförts mot en sådan möjlighet inom ramlagens tillämpningsområde alltjämt väger tungt. Tillsynsmyndigheten bör därför inte kunna besluta att myndighetens beslut ska gälla utan hinder av att det inte fått laga kraft.
12.8.4 Anmälningsskyldighet
Utredningens förslag: Att tillsynsmyndigheten ska anmäla per-
sonuppgiftsbehandling som kan utgöra brott eller medföra skadeståndsskyldighet för staten till den myndighet i vars arbetsuppgifter det ingår att utreda frågan ska regleras i förordning.
Skälen för utredningens förslag: Enligt artikel 47.5 ska tillsyns-
myndigheten ha befogenhet att göra rättsliga myndigheter uppmärksammade på överträdelser av de bestämmelser som genomför direktivet.
Tillsynsmyndighetens befogenheter tar sikte på förhållanden som myndigheten har rätt att ingripa mot. Ibland kan emellertid myndigheten vid sin tillsyn upptäcka förhållanden som det ankommer på andra myndigheter att ingripa mot. Om tillsynsmyndigheten uppmärksammar felaktig personuppgiftsbehandling som kan utgöra brott eller medföra skadeståndsskyldighet för staten, bör tillsynsmyndigheten vara skyldig att anmäla det till den myndighet i vars arbetsuppgifter det ingår att utreda frågan. En sådan reglering krävs enligt utredningens mening både för att åstadkomma ett effektivt sanktionssystem och för att möjliggöra för tillsynsmyndigheten att ta tillvara enskildas rättigheter.
Tillsyn
477
Det bör därför införas en skyldighet för tillsynsmyndigheten att anmäla otillåten eller på annat sätt felaktig personuppgiftsbehandling som den upptäcker i sin tillsynsverksamhet till den myndighet som ska utreda frågan. Om tillsynsmyndigheten uppmärksammar förhållanden som kan utgöra brott, bör den anmäla det till Åklagarmyndigheten. Om felaktigheter som kan medföra skadeståndsansvar för staten uppmärksammas, bör tillsynsmyndigheten anmäla det till JK. Tillsynsmyndigheten bör bifoga det underlag som finns och även i övrigt lämna det biträde som behövs med anledning av anmälan. Tillsynsmyndigheten bör samråda med den berörda myndigheten innan anmälan görs. Anmälningsskyldigheten kan regleras i förordning.
12.9 Möjlighet att ifrågasätta giltigheten av unionsrättsakter
Utredningens förslag: Om tillsynsmyndigheten vid handlägg-
ningen av ett ärende bedömer att det finns särskilda skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tilllämpningen av ramlagen, får myndigheten hos allmän förvaltningsdomstol ansöka om att domstolen beslutar om en åtgärd som tillsynsmyndigheten själv skulle ha kunnat besluta om.
Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva överklaganden av tillsynsmyndighetens beslut. Det ska krävas prövningstillstånd vid överklagande till kammarrätten.
Skälen för utredningens förslag: EU-domstolen uttalar i det s.k.
Schrems-målet att de nationella tillsynsmyndigheternas befogenhet enligt artikel 8.3 i rättighetsstadgan, artikel 16.2 i funktionsfördraget och artikel 28 i det nu gällande dataskyddsdirektivet (motsvarande artiklarna 41.1 och 42.1 i det nya direktivet) är att med fullständigt oberoende övervaka EU:s regelverk om dataskydd (dom av den 6 oktober 2015, Schrems, C-362/14, punkterna 38– 42). Målet gällde dels giltigheten av ett beslut av kommissionen om adekvat skyddsnivå för personuppgifter överförda till servrar i USA, dels frågan om en tillsynsmyndighet har rätt att ifrågasätta ett sådant beslut. Enligt domstolen är det tillsynsmyndigheternas uppgift att säkerställa att EU:s dataskydd upprätthålls. Det innefat-
Tillsyn SOU 2017:29
478
tar att myndigheten alltid ska göra en fullständigt oberoende utredning av om en överföring av personuppgifter till ett tredjeland har varit rättsenlig, även om kommissionen i en unionsrättsakt beslutat om förutsättningar för överföringen. Enligt domstolen förutsätter det processuella bestämmelser i nationell rätt som ger tillsynsmyndigheten en självständig rätt att initiera en rättslig prövning i domstol som gör det möjligt att väcka frågan om förhandsavgörande avseende giltigheten av en unionsrättsakt (punkterna 65–66).
Kommissionen ska enligt artikel 36.3 besluta om ett tredjeland säkerställer en adekvat skyddsnivå. Beslutet ska sedan ligga till grund för behöriga myndigheters bedömning av förutsättningarna för överföring av personuppgifter till det landet. Därmed kan samma fråga som prövades i Schrems-målet aktualiseras vid tilllämpningen av ramlagen.
Av EU-domstolens uttalanden följer att tillsynsmyndighetens självständighet, som den garanteras i såväl rättighetsstadgan som direktivet, förutsätter möjlighet för tillsynsmyndigheten att inleda rättsliga förfaranden som innebär att giltigheten av en unionsrättsakt kan ifrågasättas. Eftersom endast nationella domstolar kan initiera en sådan prövning, genom en begäran till EU-domstolen om förhandsbesked, krävs det att tillsynsmyndigheten får inleda en rättslig process vid nationell domstol där den frågan kan aktualiseras (se Jane Reichel, Nationella dataskyddsmyndigheter som lagprövare av EU-rätten, FT 2016 s. 161 f.). Det behövs därför enligt utredningens mening en bestämmelse som möjliggör det.
Om det finns synnerliga skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av ramlagen bör tillsynsmyndigheten ha möjlighet att ansöka hos allmän förvaltningsdomstol om att en viss åtgärd ska vidtas, i stället för att själv besluta om den. Om domstolen delar tillsynsmyndighetens tvekan om giltigheten av unionsrättsakten, kan domstolen genom att begära ett förhandsavgörande från EU-domstolen få giltigheten prövad. Bestämmelsen bör tas in i ramlagen.
Eftersom 14 § andra stycket lagen (1971:289) om allmänna förvaltningsdomstolar endast reglerar forum vid överklagande behövs det en bestämmelse som anger var ansökan ska göras. Ansökan bör göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut. Förvaltningsrättens beslut
Tillsyn
479
bör kunna överklagas. Vid överklagande till kammarrätten bör det krävas prövningstillstånd för att klaganden ska få sitt överklagande prövat i sak.
12.10 Internationellt samarbete
12.10.1 Skyldighet att bistå en tillsynsmyndighet i en annan medlemsstat
Utredningens förslag: På begäran ska tillsynsmyndigheten bistå
en tillsynsmyndighet i en annan medlemstat. Bistånd ska endast få vägras om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå begäran. Vid sådant bistånd får tillsynsmyndigheten använda sina befogenheter enligt ramlagen.
Skälen för utredningens förslag
Innehållet i direktivet
Av artiklarna 46.1 h och 50.1 framgår att tillsynsmyndigheten ska samarbeta med tillsynsmyndigheter i andra medlemsstater. Myndigheterna ska utbyta information och ge varandra bistånd för att säkerställa att direktivet tillämpas på ett enhetligt sätt. Biståndet ska särskilt omfatta information och tillsynsåtgärder, t.ex. samråd, inspektioner och utredningar. Enligt artikel 50.2 ska tillsynsmyndigheten vidta alla lämpliga åtgärder för att kunna besvara en begäran om bistånd utan onödigt dröjsmål och inte senare än en månad efter det att begäran togs emot. Med lämpliga åtgärder avses t.ex. att översända information om en pågående utredning. Information som utbytts får enligt artikel 50.3 endast användas för det syfte för vilket den har begärts. En begäran får enligt artikel 50.4 vägras endast om tillsynsmyndigheten inte är behörig i sakfrågan eller att utföra de åtgärder som begärs eller om det skulle strida mot direktivet, unionsrätten eller nationell rätt att tillmötesgå begäran. Enligt artikel 50.5 ska den begärande myndigheten få information om resultatet av begäran och hur åtgärderna som vidtagits
Tillsyn SOU 2017:29
480
för att tillmötesgå den fortskrider. Även skälen för att vägra tillmötesgå en begäran ska anges.
Det internationella samarbetet bör regleras
För att genomföra direktivet behövs det vissa bestämmelser om internationellt bistånd, både när det gäller bistånd som den svenska tillsynsmyndigheten ska lämna och myndighetens möjligheter att själv begära bistånd från en annan medlemsstat. Av ramlagen bör det framgå att tillsynsmyndigheten på begäran ska bistå andra medlemsstater och vilka befogenheter myndigheten har vid sådant bistånd. Den svenska tillsynsmyndigheten bör enligt utredningens mening kunna vidta samma åtgärder på begäran av en tillsynsmyndighet i en annan medlemsstat som myndigheten själv kan vidta vid sin tillsyn.
En begäran om bistånd får bara vägras i de situationer som anges i artikel 50.4. Enligt utredningens mening bör en begäran om bistånd bara få vägras om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att tillmötesgå den. Det bör framgå av ramlagen. Begäran får således vägras t.ex. om den svenska lagstiftningen inte medger att tillsynsmyndigheten agerar på det sätt som begärs. Detaljerna beträffande samarbetet bör regleras i förordning. Den utländska tillsynsmyndigheten bör underrättas om bistånd vägras. Av underrättelsen bör det framgå varför något bistånd inte ges.
Om regeringen beslutar att bara peka ut en tillsynsmyndighet i Sverige, vilket Utredningen om tillsynen över den personliga integriteten föreslår, finns det inget behov av en vägransgrund som tar sikte på tillsynsmyndighetens behörighet.
Personuppgiftsbehandlingen inom ramlagens tillämpningsområde utförs huvudsakligen av ett begränsat antal statliga myndigheter och behandlingen utförs till största delen inom Sverige. På flera områden samarbetar behöriga myndigheter internationellt och utbyter personuppgifter. Det ingår i tillsynsmyndigheternas uppdrag att granska det internationella uppgiftsutbytet. En tillsynsmyndighet i en annan medlemsstat kan därför vid sin tillsyn behöva bistånd med vissa kontrollåtgärder, t.ex. om personuppgifter har överförts till personuppgiftsansvariga eller personuppgiftsbiträden i
Tillsyn
481
Sverige. Av artikel 40 b framgår att det internationella samarbetet ska omfatta bl.a. hänskjutande av klagomål, bistånd med utredningar och informationsutbyte. Beroende på hur andra medlemsstater väljer att genomföra direktivet kan det även bli aktuellt med bistånd att på enskildas begäran kontrollera om viss personuppgiftsbehandling är författningsenlig.
Om bistånd lämnas ska tillsynsmyndigheten underrätta den utländska tillsynsmyndigheten om hur handläggningen fortskrider och resultatet av begäran. En begäran från en annan medlemsstat om bistånd bör besvaras snabbt, men enligt artikel 50.2 senast en månad efter att den togs emot. Det kan regleras i förordning.
Informationen ska enligt artikel 50.6 som regel tillhandahållas elektroniskt i ett standardiserat format. Kommissionen får enligt artikel 50.8 i genomförandeakter ange format och förfaranden för sådant bistånd. Även formerna för elektronisk överföring av information mellan tillsynsmyndigheterna och mellan dem och styrelsen får regleras på det sättet. Artiklarna 50.6 och 50.8 kräver inga lagstiftningsåtgärder.
Utredningen behandlar frågan om tillsynsmyndigheten bör kunna ställa upp villkor för användningen av den information som lämnas till den utländska tillsynsmyndigheten vid en svensk begäran om bistånd i avsnitt 12.10.2. Behovet av sekretess och en sekretessbrytande bestämmelse i det internationella samarbetet behandlas i avsnitt 16.3.
12.10.2 Svensk begäran om bistånd av en annan medlemsstat
Utredningens förslag: Att tillsynsmyndigheten får begära bi-
stånd av en tillsynsmyndighet i en annan medlemsstat och förfarandet vid en sådan begäran ska regleras i förordning.
Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.
Skälen för utredningens förslag: Den svenska tillsynsmyndighe-
ten ska kunna begära bistånd av en tillsynsmyndighet i en annan medlemsstat med att utföra åtgärder som tillsynsmyndigheten själv
Tillsyn SOU 2017:29
482
kunnat vidta. Enligt artikel 50.3 ska en sådan begäran innehålla all nödvändig information, inklusive syftet med och skälen för den. Informationen som den svenska tillsynsmyndigheten tar emot får inte användas för andra syften än dem för vilka den har begärts.
En svensk begäran om bistånd kan bli aktuell t.ex. om tillsynsmyndigheten vill göra en allmän kontroll av att regelverket följs när personuppgifter sänds till andra medlemsstater. Ett annat exempel är att en svensk brottsbekämpande myndighet har överfört personuppgifter som borde ha rättats till en annan medlemsstat vilket gör att den svenska tillsynsmyndigheten vill få information om hur uppgifterna har behandlats av mottagaren.
Det behövs en reglering av när och hur den svenska tillsynsmyndigheten ska kunna begära bistånd. Reglerna om svensk begäran om bistånd av en tillsynsmyndighet i en annan medlemsstat kan tas in i förordning. Av regleringen bör det framgå att en svensk begäran ska innehålla all information som behövs för att tillsynsmyndigheten i den andra medlemsstaten ska kunna besvara den.
I artikel 50.3 föreskrivs att information som en tillsynsmyndighet får genom samarbete med en tillsynsmyndighet i en annan medlemsstat endast får användas för det syfte för vilket den begärdes. Det bör därför tas in en bestämmelse i ramlagen om att den information som den svenska tillsynsmyndigheten får från en annan medlemsstat med anledning av en begäran om bistånd inte får användas för andra syften än dem för vilka informationen begärdes. En sådan bestämmelse bör finnas i lag eftersom den ska ta över andra bestämmelser i både lag och förordning (jfr propositionen om vissa frågor om internationellt samarbete i brottmål m.m., prop. 1990/91:131, s. 18).
Det väcker också frågan om tillsynsmyndigheten bör ges möjlighet att ställa upp villkor för användningen av den information som lämnas till den utländska tillsynsmyndigheten. Eftersom alla medlemsstater är skyldiga att genomföra direktivet, och den utländska tillsynsmyndigheten alltid får veta för vilket ändamål informationen begärs, bör det inte krävas någon begränsning av användningen av den. Det finns därför inget behov av en regel om användningsbegränsning som tar sikte på den information som den svenska tillsynsmyndigheten lämnar när den begär bistånd.
Tillsyn
483
12.11 Tillsyn ska vara avgiftsfri
12.11.1 Tillsynsmyndigheten ska inte kunna ta ut avgifter
Utredningens förslag: Att tillsynsmyndigheten som huvudre-
gel ska utföra sina tillsynsuppgifter avgiftsfritt ska regleras i förordning.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 46.3 ska tillsynsmyndigheten som huvudregel utföra sina uppgifter avgiftsfritt för både enskilda och dataskyddsombud.
Datainspektionens verksamhet finansieras genom statliga anslag. Enligt 3 och 4 §§avgiftsförordningen (1992:191) får en myndighet ta ut avgifter för varor och tjänster som den tillhandahåller endast om det följer av lag eller förordning eller av ett särskilt beslut av regeringen. Därutöver får en myndighet ta ut avgift i vissa fall, bl.a. för att tillhandahålla information, rådgivning och annan service, om det är förenligt med myndighetens arbetsuppgifter enligt lag, instruktion eller annan förordning och verksamheten är av tillfällig natur eller av mindre omfattning. Enligt 2017 års regleringsbrev får Datainspektionen ta ut avgift för varor och tjänster även om de inte är av tillfällig natur eller mindre omfattning. Det som avses är rätten för myndigheten att ta ut ersättning för den omfattande utbildningsverksamhet som den bedriver. Det har ansetts värdefullt att Datainspektionen kan genomföra utbildning för bl.a. personuppgiftsansvariga och personuppgiftsombud och att det får göras mot avgift. Inspektionen tar även ut avgift för vissa trycksaker.
Tillsynsverksamheten ska vara avgiftsfri
För att tydliggöra att tillsynsmyndigheten som huvudregel ska utföra sina tillsynsuppgifter utan kostnad bör en särskild bestämmelse tas in i förordning. Bestämmelsen bör omfatta all verksamhet som tillsynsmyndigheten utför enligt ramlagen. Därmed omfattar den även uppgifter som myndigheten utför på begäran av en annan
Tillsyn SOU 2017:29
484
medlemsstat (se avsnitt 12.10.1 och 12.11.2). Regleringen innebär att tillsynsmyndighetens arbete med att handlägga klagomål, utföra kontroller, genomföra inspektioner, ge råd och stöd till personuppgiftsansvariga, personuppgiftsbiträden och dataskyddsombud och utfärda föreskrifter och allmänna råd inte får avgiftsbeläggas.
Tillsynsmyndigheten bör dock, i den mån avgiftsförordningen och särskilda beslut medger det, även fortsättningsvis kunna ta ut avgift för sådant som ligger utanför ramlagen. Enligt utredningens mening bör på samma sätt som i dag t.ex. mer omfattande utbildningsinsatser inte ingå i uppgiften att lämna råd och stöd. Det är också rimligt att tillsynsmyndigheten får ta betalt för sådana trycksaker som går utöver vad som kan krävas enligt ramlagen eller förvaltningslagen. Någon ändring i sak är således inte avsedd. Frågor om avgift ska kunna tas ut i vissa fall behandlas även i avsnitt 12.6.3 och 12.11.2.
12.11.2 Ersättning för bistånd till en annan medlemsstat
Utredningens förslag: Att åtgärder som vidtas på begäran av en
tillsynsmyndighet i en annan medlemsstat som huvudregel ska utföras utan ersättning ska regleras i förordning. Tillsynsmyndighetens rätt att överenskomma med utländska tillsynsmyndigheter om ersättning för bistånd i vissa fall ska också regleras i förordning.
Skälen för utredningens förslag: Enligt artikel 50.7 får tillsyns-
myndigheterna som huvudregel inte ta ut någon avgift av varandra för åtgärder som vidtagits med anledning av en begäran om bistånd. Tillsynsmyndigheterna får dock komma överens om regler för ersättning för vissa utgifter i samband med bistånd.
I avsnitt 12.11.1 föreslår utredningen att tillsynsmyndigheten som huvudregel inte får ta ut avgift för att utföra sina tillsynsuppgifter. Avgiftsfriheten föreslås gälla i förhållande till alla, dvs. både i förhållande till svenska och utländska myndigheter och andra organ. Frågan är om möjligheten att göra undantag från huvudregeln när en annan medlemsstat begär bistånd med tillsynsåtgärder i Sverige bör utnyttjas. Sådana undantag förutsätter att det har träffats bindande överenskommelser mellan berörda stater om det.
Tillsyn
485
Överenskommelser med annan stat ingås som huvudregel av regeringen. Regeringen kan även uppdra åt en förvaltningsmyndighet att ingå en internationell överenskommelse i en fråga där överenskommelsen inte kräver riksdagens eller Utrikesnämndens medverkan (10 kap.1 och 2 §§regeringsformen).
En myndighets behörighet att ingå offentligrättsliga avtal måste grundas på ett uttryckligt bemyndigande från regeringen. Bemyndigandet kan avse en viss fråga, men det kan också utformas generellt. Bestämmelsen i 10 kap. 2 § regeringsformen ställer inte upp några begränsningar i fråga om förvaltningsmyndighetens avtalspart i internationella överenskommelser. Det kan t.ex. vara en myndighet eller en annan regering. Med offentligrättsliga avtal avses sådana som endast kan ingås av stater och andra folkrättssubjekt och som får folkrättsliga verkningar. Sådana avtal är folkrättsligt förpliktande för Sverige när de ingåtts av en statlig eller kommunal förvaltningsmyndighet efter bemyndigande från regeringen. Något bemyndigande krävs däremot inte när förvaltningsmyndigheter ingår avtal av uteslutande privaträttslig natur. Om ett avtal ska anses vara privaträttsligt får avgöras utifrån omständigheterna i det enskilda fallet, t.ex. avtalets omfattning eller politiska innebörd (Riktlinjer för handläggningen av ärenden om internationella överenskommelser, Ds 2016:38, s. 17 f.).
Det är svårt att förutse i vilken omfattning andra medlemsstater kommer att begära bistånd av den svenska tillsynsmyndigheten. Det är likaså svårt att förutsäga om biståndet blir resurskrävande för myndigheten. Det ligger i svenskt intresse att kostnader som tillsynsmyndigheter i andra medlemsstater vållar den svenska tillsynsmyndigheten inte alltid ska belasta dess budget. Det är därför enligt utredningens mening rimligt att tillsynsmyndigheten får rättsliga möjligheter att ingå avtal med tillsynsmyndigheter i andra medlemsstater på det sätt som anges i artikel 50.7.
De överenskommelser som är aktuella här kommer att ingås mellan två eller flera myndigheter och rör offentligrättsliga åtgärder. Överenskommelserna kan därmed inte anses vara ett avtal av uteslutande privaträttslig karaktär. Därför krävs en regel som bemyndigar tillsynsmyndigheten att ingå avtal med behöriga tillsynsmyndigheter i andra medlemsstater om ersättning vid begäran om bistånd. Frågan kan regleras i förordning.
Tillsyn SOU 2017:29
486
Enligt huvudregeln i artikel 46.3 ska tillsynsuppgifter vara avgiftsfria för den registrerade och dataskyddsombudet. Om en tillsynsmyndighet i en annan medlemsstat begär bistånd i en fråga som rör en enskild utgår utredningen därför från att de eventuella avgifter som medlemsstaterna kommer överens om inte kommer att drabba någon enskild.
12.12 Övriga frågor
Utredningens bedömning: Övriga bestämmelser om tillsyn
kräver inga lagstiftningsåtgärder.
Skälen för utredningens bedömning: Enligt artikel 49 ska tillsyns-
myndigheten upprätta en årlig rapport om sin verksamhet. Den ska lämnas in till det nationella parlamentet, regeringen eller andra myndigheter som utsetts enligt nationell rätt och offentliggöras. Rapporten kan t.ex. omfatta en förteckning över anmälda överträdelser och vilka sanktioner som har beslutats. Enligt artikel 28.5 i det nu gällande direktivet ska tillsynsmyndigheten regelbundet upprätta en rapport om sin verksamhet, som ska offentliggöras.
Enligt 3 § myndighetsförordningen (2007:515) ska varje myndighet redovisa sin verksamhet till regeringen. Myndigheterna ska också enligt förordningen (2000:605) om årsredovisning och budgetunderlag årligen avge en årsredovisning till regeringen. Förutom redogörelser för myndighetens ekonomiska förhållanden ska årsredovisningen enligt 2 kap. 4 § innehålla information om andra förhållanden av väsentlig betydelse för regeringens uppföljning och prövning av verksamheten. Någon lagstiftningsåtgärd behöver därför inte vidtas för att säkerställa den årliga rapporteringen enligt artikel 49.
I artikel 51 föreskrivs att den styrelse som ska inrättas enligt dataskyddsförordningen ska fullgöra motsvarande arbetsuppgifter på direktivets område. Enligt artikel 46.1 l ankommer det på tillsynsmyndigheten att bidra till styrelsens arbete.
I artikel 29 i det nu gällande direktivet regleras vad som gäller för den arbetsgrupp i vilken Datainspektionen ingår som representant för Sverige. Arbetsgruppen kommer att avvecklas i och med att det direktivet upphör att gälla. Utredningen om tillsynen
Tillsyn
487
över den personliga integriteten föreslår att Datainspektionen ska representera Sverige i styrelsen och att det ska framgå av Datainspektionens instruktion (se SOU 2016:65 s. 142). Någon ytterligare åtgärd för att genomföra artikel 46.1 l behövs inte.
Enligt artikel 46.1 j ska tillsynsmyndigheten följa sådan utveckling som påverkar skyddet av personuppgifter, bl.a. inom informations- och kommunikationsteknik. I 1 § Datainspektionens instruktion föreskrivs att myndigheten ska följa och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik. Någon lagstiftningsåtgärd krävs därför inte för att Sverige ska leva upp till kraven i artikel 46.1 j.
489
13 Sanktioner
13.1 Utgångspunkter för valet av sanktionssystem
13.1.1 Olika typer av sanktioner
Det finns ingen rättslig definition av begreppet sanktion. En sanktion är i princip alltid handlingsdirigerande eller har ett bestraffande syfte. Med en vid definition skulle sanktion kunna sägas vara alla former av påföljder som kan följa på ett rättsstridigt handlande.
En sanktion kan vara repressiv eller icke repressiv. Med att en sanktion är repressiv avses att det är staten som kan ta initiativ till sanktionen. En icke repressiv sanktion är t.ex. möjligheten att begära skadestånd i en civilprocess (se avsnitt 14.3).
Det finns flera olika sorters repressiva sanktioner. Den mest ingripande formen är straff. En annan typ av repressiv sanktion är administrativa avgifter, t.ex. sanktionsavgifter. Sanktionsavgift kan i vissa fall vara ett komplement till andra åtgärder och användas för att i enskilda fall nyansera ingripandet. Sanktionsavgift ersätter i andra fall kriminalisering.
Även t.ex. åtgärdsförelägganden (i förening med vite), skyldighet att vidta rättelse och möjlighet för en tillsynsmyndighet att meddela förbud räknas till repressiva administrativa sanktioner.
13.1.2 Innehållet i direktivet och nuvarande reglering
Innehållet i direktivet
I direktivet överlåts det till medlemsstaterna att välja sanktioner. Enligt artikel 57 ska medlemstaterna föreskriva sanktioner för överträdelser av bestämmelser som antas enligt direktivet och vidta de åtgärder som krävs för att säkerställa att de genomförs. Sank-
Sanktioner SOU 2017:29
490
tionerna ska vara effektiva, proportionerliga och avskräckande. Enligt skäl 89 ska både fysiska och juridiska personer, oavsett om de är privaträttsliga eller offentligrättsliga subjekt, kunna träffas av sanktioner om de överträder bestämmelserna om personuppgiftsbehandling.
Dagens sanktionssystem
I personuppgiftslagen finns dels regler om straffansvar i 49 §, dels regler som ger tillsynsmyndigheten rätt att vid vite förbjuda behandling på annat sätt än genom lagring i 44 och 45 §§. Vidare får tillsynsmyndigheten enligt 47 § hos domstol ansöka om att personuppgifter som behandlats på ett olagligt sätt ska utplånas. Dessa bestämmelser genomför artikel 24 i det nu gällande direktivet. Artikeln ålägger medlemsstaterna att säkerställa att direktivet genomförs och att särskilt besluta om sanktioner som ska användas vid överträdelser av de bestämmelser som genomför direktivet. Möjligheten att begära skadestånd brukar, förutom att ses som ett rättsmedel, också ses som en del av sanktionssystemet.
I förarbetena till personuppgiftslagen framhöll regeringen att de huvudsakliga sanktionerna mot personuppgiftsansvariga som inte följer lagen är skadestånd och vite. Dessa sanktioner ansågs effektiva och i stort sett tillräckliga. Regeringen konstaterade att trenden gick mot avkriminalisering, men föreslog en straffbestämmelse som kriminaliserade vissa åtgärder (prop. 1997/98:44 s. 108.). Då kriminaliserades även oaktsamhet av normalgraden, men straffansvaret har senare begränsats till grov oaktsamhet (prop. 2005/06:173 s. 47 f.). Den som uppsåtligen eller av grov oaktsamhet lämnar osann uppgift i vissa fall, behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser i strid med bestämmelserna i lagen, brister i anmälningsskyldighet eller överför personuppgifter i strid med reglerna om överföring till tredjeland döms till böter eller fängelse i högst sex månader. Om brottet är grovt är straffet fängelse i högst två år. Ringa fall är undantagna från straffansvar. Om någon inte har följt ett vitesföreläggande döms inte till ansvar för samma gärning. Straffansvar kan utkrävas av den som utfört handlingen eller är ansvarig för underlåtenheten. Han eller hon behöver inte vara personuppgiftsansvarig.
SOU 2017:29 Sanktioner
491
Straffbestämmelsen gäller för Skatteverket och Kriminalvården. Eftersom 49 § personuppgiftslagen enbart straffbelägger brott mot den lagen och föreskrifter som har meddelats med stöd av den omfattar straffansvaret inte brott mot bestämmelser i myndigheternas registerförfattningar. Straffbestämmelsen gäller över huvud taget inte för polisen, Tullverket, Kustbevakningen, åklagarväsendet och domstolarna. Skälet till det är enligt förarbetena till dessa myndigheters registerförfattningar att det i brottsbalken föreskrivs straffrättsligt ansvar för otillåten hantering av personuppgifter. Ansvar kan, beroende på omständigheterna, utkrävas för tjänstefel enligt 20 kap. 1 § brottsbalken, brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken eller dataintrång enligt 4 kap. 9 c § brottsbalken (se t.ex. prop. 2014/15:63 s. 56 f.).
Även bestämmelserna om disciplinansvar i lagen (1994:260) om offentlig anställning kan aktualiseras, om någon bryter mot bestämmelserna om personuppgiftsbehandling. En arbetstagare kan meddelas disciplinpåföljd för tjänsteförseelse. Disciplinpåföljderna är varning eller löneavdrag. Disciplinansvar förutsätter att den misstänkta gärningen inte ska anmälas till åtal eller, om den redan prövats straffrättsligt, att den inte har ansetts vara något brott av annat skäl än bristande bevisning. Arbetsdomstolen har bl.a. prövat frågan om disciplinansvar för en handläggare som gjort obehöriga slagningar i Försäkringskassans datasystem (se AD 2005 nr 82).
13.1.3 Ett sammanhållet sanktionssystem
Ett av direktivets övergripande syften är att motverka otillåten behandling av personuppgifter i syfte att förhindra att enskildas integritet kränks. Utgångspunkten för utredningens överväganden om sanktioner är att de ska vara effektiva och bidra till god efterlevnad av bestämmelserna om personuppgiftsbehandling inom ramlagens tillämpningsområde. I avsnitt 12.7.6 behandlas tillsynsmyndighetens korrigerande befogenheter i form av förelägganden och beslut om förbud mot fortsatt behandling. Skadestånd behandlas i avsnitt 14.3. Det som återstår att behandla här är frågor om straffrättsliga, disciplinära och andra offentligrättsliga sanktioner.
Var och en av sanktionerna ska vara effektiv, proportionerlig och avskräckande. För att uppfylla kraven i direktivet ska sanktio-
Sanktioner SOU 2017:29
492
nerna också bilda en helhet som sammantaget utgör ett effektivt sanktionssystem.
Dataskyddsdirektivet och dataskyddsförordningen har stora likheter i fråga om enskildas rättigheter och personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter. De myndigheter och andra aktörer som ska tillämpa ramlagen ska också i varierande utsträckning tillämpa förordningen. Det är mot den bakgrunden svårt att motivera att helt olika sanktionssystem ska gälla beroende på om ramlagen eller förordningen är tillämplig för överträdelser som är likartade och som därför kan antas vara värda samma sanktion. Vid övervägandena om hur sanktionssystemet bör utformas finns det därför skäl att beakta vad som gäller enligt förordningen.
13.2 Vilket sanktionssystem bör väljas?
13.2.1 Ingen straffbestämmelse i ramlagen
Utredningens bedömning: Överträdelser av regler om person-
uppgiftsbehandling bör inte vara straffsanktionerade, utöver vad som gäller enligt brottsbalken.
Skälen för utredningens bedömning
Tidigare överväganden om kriminalisering
I direktivet sägs inget om vilka sanktioner som ska införas, utan bara att sanktioner ska säkerställa efterlevnaden och vara effektiva, proportionerliga och avskräckande. Den sanktion som åtminstone teoretiskt anses som mest avskräckande är straff. Utredningen väljer därför att behandla den först.
Under senare år har frågor om lämpligheten av att kriminalisera överträdelser hamnat i fokus. I början på 1990-talet lade Åklagarutredningen fram fem kriterier som bör vara uppfyllda för att kriminalisering ska vara befogad (Ett reformerat åklagarväsende, SOU 1992:61, del A, s. 110 f.). Både regeringen och riksdagen ställde sig bakom kriterierna för kriminalisering (Ett effektivare brottmålsförfarande, prop. 1994/95:23 och bet. 1994/95:JuU2). Kriterierna man enades om är följande.
SOU 2017:29 Sanktioner
493
• Beteendet kan föranleda påtaglig skada eller fara.
• Alternativa sanktioner står inte till buds, skulle inte vara rationella eller skulle kräva oproportionerligt höga kostnader.
• En straffsanktion krävs med hänsyn till gärningens allvar.
• Straffsanktionen är ett effektivt medel för att motverka det icke önskvärda beteendet.
• Rättsväsendet har resurser att klara av den eventuellt ytterligare belastning som kriminaliseringen innebär.
Regeringen gav år 2011 en utredning i uppdrag att på nytt analysera och ta ställning till vilka kriterier som bör gälla för att kriminalisering ska anses vara befogad. Straffrättsanvändningsutredningen presenterade delvis nya kriterier, som den anser bör användas både vid bedömningen av om kriminalisering är motiverad och om avkriminalisering kan vara aktuell (Vad bör straffas?, SOU 2013:38, del 2, s. 498 f.). Kriterierna är följande.
• Det tänkta straffbudet måste avse ett identifierat och konkretiserat intresse som är skyddsvärt.
• Det beteende som avses bli kriminaliserat måste kunna orsaka skada eller fara för skada på skyddsintresset.
• Endast den som har varit klandervärd bör träffas av straffansvar.
• Det får inte finnas något tillräckligt värdefullt motstående intresse.
• Det får inte finnas någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet.
Straffrättsanvändningsutredningens förslag har inte lett till någon åtgärd från lagstiftarens sida.
EU behandlade frågan om kriterier för kriminalisering år 2009. Europeiska rådet antog då bl.a. slutsatser som vägledning för rådets överläggningar på det straffrättsliga området. En av slutsatserna var att straffrättsliga bestämmelser ska användas i sista hand (Europeiska unionens råd, dokument 16542/3/09).
Sanktioner SOU 2017:29
494
Är dagens bestämmelser om straff- och disciplinansvar effektiva?
Personuppgiftslagens straffbestämmelse är i dag inte tillämplig inom större delen av ramlagens tillämpningsområde. Det straffbara området har också begränsats genom att den numera bara gäller för grovt oaktsamma och uppsåtliga brott. När oaktsamhet av normalgraden avkriminaliserades år 2006 anfördes bl.a. att utvecklingen hade gått mot att straff inte är en nödvändig reaktion på överträdelser av personuppgiftslagen eller anslutande registerförfattningar (prop. 2005/06:173 s. 47 f.).
Frågan är om det finns bärande skäl att nu införa en straffbestämmelse som gäller för ramlagens tillämpningsområde. Det finns inget känt exempel på att en person har dömts för brott mot personuppgiftslagen för en överträdelse som han eller hon gjort sig skyldig till som anställd vid en myndighet (SOU 2015:39 s. 637). Av det förhållandet att 49 § personuppgiftslagen inte såvitt känt har lett till några fällande domar mot anställda vid myndigheter – vilket ibland anförs som skäl för att någon straffbestämmelse inte behövs – går det emellertid inte att dra någon slutsats om bestämmelsen fyllt sin funktion att avhålla från brott.
Det som talar för att ha en särskild straffbestämmelse är att bestämmelserna i brottsbalken, som har åberopats som stöd för att en sådan inte behövs, inte motsvarar det som i dag kriminaliseras i 49 § personuppgiftslagen eller de överträdelser som det skulle kunna vara aktuellt att kriminalisera i ramlagen. Brottsbalksbrotten tar i stället primärt sikte på andra straffvärda förfaranden än felaktig behandling av personuppgifter och har helt andra rekvisit.
Den straffbestämmelse som det ligger närmast till hands att jämföra med är bestämmelsen om dataintrång. Om en arbetstagare behandlat personuppgifter felaktigt i eget intresse, exempelvis gjort registerslagningar som inte krävts för arbetsuppgifterna, fyller bestämmelsen om dataintrång en viktig funktion. Det kan t.ex. vara fråga om någon som av nyfikenhet kontrollerat uppgifter om en granne eller en närstående. Det är inte ovanligt att offentliganställda döms för dataintrång. Dataintrång omfattar dock inte oaktsamhetsbrott och täcker inte heller vissa andra typer av förfaranden som kriminaliseras i personuppgiftslagen.
Bestämmelsen om tjänstefel, där vikt bl.a. läggs vid gärningsmannens befogenheter och uppgiftens samband med myndighets-
SOU 2017:29 Sanktioner
495
utövning för att avgränsa det straffbara området, torde sällan kunna tillämpas på överträdelser av regler om personuppgiftsbehandling. Det kan t.ex. vara svårt att med stöd av reglerna i brottsbalken fälla någon till ansvar för att ett olagligt register har inrättats.
Regler om disciplinansvar fyller en viktig funktion för att säkerställa att arbetstagare inte bryter mot arbetsgivarens föreskrifter, t.ex. om hur personuppgifter får behandlas, men bör inte ses som ett medel för att genomföra direktivets sanktionsbestämmelser. Det gäller även de straffbestämmelser som finns i brottsbalken, eftersom de primärt har ett annat syfte.
Överträdelser ska inte straffsanktioneras i ramlagen
Inom ramlagens tillämpningsområde hanteras i stor utsträckning känsliga personuppgifter eller annars särskilt integritetskänsliga uppgifter, vilket talar för att det behövs en särskild straffbestämmelse.
Det som talar mot en nykriminalisering – som det i allt väsentligt skulle bli fråga om i detta fall – är både den restriktivitet med nya straffbestämmelser som förordas och att kriminalisering troligen inte skulle få avsedd effekt. Straffansvaret skulle i första hand träffa den som faktiskt felbehandlat personuppgifterna på visst sätt. Det torde i de flesta fall vara en person i underordnad ställning som kanske av oförstånd eller okunskap inte följt reglerna om personuppgiftsbehandling. Erfarenheterna från bl.a. Polismyndighetens hantering av det s.k. kringresanderegistret visar att det kan vara mycket svårt att fälla någon ansvarig på högre nivå i myndigheten för brott även vid flagranta och omfattande överträdelser av reglerna om personuppgiftsbehandling. Det beror bl.a. på bevissvårigheter vid principalansvar. Överträdelser kan dessutom vara resultatet av flera personers agerande och underlåtenhet. Det blir då svårt att visa var skulden ligger och vad som lett till överträdelsen. En straffbestämmelse med den straffskala som skulle vara aktuell i det här fallet riskerar också att inte prioriteras. Det kan alltså diskuteras hur stor avskräckande effekt en straffbestämmelse skulle ha för att förhindra felaktig personuppgiftsbehandling inom myndigheter.
Sanktioner SOU 2017:29
496
Direktivet förutsätter vidare att sanktioner ska kunna träffa både fysiska och juridiska personer. De personuppgiftsansvariga som ska tillämpa ramlagen är emellertid nästan uteslutande juridiska personer, men straffansvar kan enligt svensk rätt inte träffa sådana.
Utredningen anser vid en samlad bedömning att en kriminalisering motsvarande 49 § personuppgiftslagen inte skulle vara en tillräckligt effektiv sanktion, eftersom den i huvudsak skulle träffa andra än personuppgiftsansvariga och personuppgiftsbiträden. En annan typ av sanktion riktad direkt mot framför allt personuppgiftsansvariga kan antas få mycket större effekt. Med hänsyn till att straffsanktion ska användas i sista hand och endast om det inte finns någon annan sanktion som är tillräckligt effektiv, anser utredningen att en annan sanktionsform bör väljas. Någon straffbestämmelse bör alltså inte tas in i ramlagen.
13.2.2 En ny administrativ sanktion ska införas
Utredningens förslag: En ny administrativ sanktion – sank-
tionsavgift – ska införas.
Skälen för utredningens förslag
Behovet av en ny typ av sanktion
Genomförandet av direktivet förutsätter att det finns sanktioner mot överträdelser och att de är tillräckligt effektiva och avskräckande. Samma krav ställs i artikel 24 i det nu gällande dataskyddsdirektivet. I förarbetena till personuppgiftslagen ansågs även bestämmelsen om skadestånd till vissa delar genomföra den artikeln. Tanken bakom det synsättet torde vara att skadestånd ibland ses som en civilrättslig sanktion som kompletterar offentligrättsliga sanktioner som t.ex. straffbestämmelser och sanktionsavgifter. Utredningen behandlar skadestånd i avsnitt 14.3. Även om skadestånd vid systematiska eller allvarliga överträdelser kan uppgå till mycket höga belopp är möjligheten att begära skadestånd enligt utredningens mening inte tillräcklig för att uppfylla kravet på effektiva sanktioner. Som utredningen konstaterat är kriminalisering inte heller
SOU 2017:29 Sanktioner
497
en lämplig sanktion. Det krävs därför någon annan typ av sanktion för att uppfylla de krav som ställs i direktivet.
Dataskyddsförordningen har ett nytt sanktionssystem
I dataskyddsförordningen föreskrivs en ny form av sanktion, administrativa sanktionsavgifter, för överträdelser av reglerna om personuppgiftsbehandling. Syftet med sanktionsavgifterna är att stärka verkställigheten av förordningens bestämmelser (skäl 148). Det ligger därför nära till hands att överväga samma sanktionssystem som i förordningen.
Systemet med sanktionsavgifter regleras i artikel 83 och motiveras i skäl 148–150 i förordningen. Den nationella tillsynsmyndigheten ska enligt artikel 83.1 besluta om sådana avgifter. I artikel 83.2 räknas upp vilka omständigheter som allmänt ska beaktas när sanktionsavgifter beslutas och avgiftens storlek bestäms. I artikel 83.3 regleras hur avgiften ska beräknas vid flera överträdelser.
I princip ska sanktionsavgift beslutas för överträdelse av samtliga bestämmelser i förordningen som föreskriver rättigheter för registrerade eller skyldigheter för personuppgiftsansvariga eller personuppgiftsbiträden. Sanktionsavgift ska enligt artiklarna 83.5 e och 83.6 även tas ut när någon inte följer tillsynsmyndighetens förelägganden eller beslut eller inte ger myndigheten tillgång till uppgifter. Enligt artikel 83.8 ska det finnas effektiva rättsmedel och rättssäkerhetsgarantier vid beslut om sanktionsavgifter. Medlemsstaterna får avgöra om sanktionsavgifter ska kunna beslutas mot offentliga myndigheter och organ.
Fördelar och nackdelar med sanktionsavgift
Sanktionsavgifter finns inom en rad rättsområden. De har olika syfte och utformning. Tillämpningsområdet varierar också. I vissa fall är sanktionsavgift den enda sanktionen för en överträdelse, men i andra fall kan avgift tas ut vid sidan av eller i stället för straff. Användningen av sanktionsavgifter har ökat kraftigt. Övergången från straffbestämmelser till bestämmelser om sanktionsavgift syftade ursprungligen till att utnyttja rättsväsendets resurser bättre och att kunna beivra en del mindre allvarliga och ofta förekommande
Sanktioner SOU 2017:29
498
överträdelser effektivare. Ofta kan avgift tas ut oberoende av om reglerna överträtts uppsåtligen eller av oaktsamhet.
Ett annat syfte med sanktionsavgift var att skapa en kännbar ekonomisk sanktion mot juridiska personer, som inte kan bli föremål för straffrättsliga åtgärder. Sanktionsavgift kan riktas mot det subjekt som tjänar på överträdelsen eller har agerat mest klandervärt eller bär det största ansvaret för att överträdelsen begicks. Om sanktionsavgiften riskerar att innebära en kostnad eller förlust som är lika stor som eller större än den besparing som görs genom att regelverket inte följs, skapar avgiften incitament att undvika överträdelser. När sanktionsavgift tas ut av en myndighet har den ekonomiska aspekten dock inte lika stor betydelse.
Krigsmaterielexportöversynskommittén belyser ingående för- och nackdelarna med sanktionsavgifter (Sanktionsväxling – effektivare sanktioner på exportkontrollområdet, SOU 2014:83, s. 104 f.). Kommittén hämtade in information, förutom från länsstyrelserna, från 16 myndigheter med tillsyn över bl.a. områdena miljö, arbetsmiljö, fiskeri, transport, bank- och finansverksamhet samt konsument- och konkurrensfrågor, där det finns sanktionsavgifter. Kommittén ville veta hur tillsynsmyndigheterna ansåg att systemen med administrativa sanktionsavgifter fungerade.
Fördelarna med sanktionsavgifter ansågs vara många. En vanlig åsikt var att sanktionsavgifter har bättre förutsättningar att bidra till regelefterlevnad än straffsanktioner, eftersom brott mot den aktuella lagstiftningen inte prioriteras. Administrativa sanktionsavgifter ansågs också vara mer förutsägbara, vilket leder till en bättre preventiv effekt. Det uppgavs t.ex. att antalet beslutade avgifter hos vissa av myndigheterna minskat över tid. Myndigheterna bedömde att det berodde på ökad regelefterlevnad.
Sanktionsavgifter ledde enligt myndigheterna också till enklare och snabbare beivrande av överträdelser, jämfört med straffsanktioner. Sanktionsavgifter ansågs också vara resurseffektiva, eftersom den tillsynsmyndighet som beslutar om avgifterna fattar beslutet baserat på sin egen utredning. Andra myndigheter behöver inte kopplas in i processen, utom vid överklagande eller om avgiften ska beslutas av domstol på ansökan av tillsynsmyndigheten.
Det finns givetvis också nackdelar med sanktionsavgifter. Om sanktionsavgiftsbeloppet är lågt kan verksamhetsutövaren se avgiften som enbart en kostnad som det går att kalkylera med. I dessa
SOU 2017:29 Sanktioner
499
fall bidrar avgiften inte till ökad regelefterlevnad. System med sanktionsavgifter kan kräva mer resurser hos tillsynsmyndigheten. Domstolsväsendet kan, i vart fall inledningsvis, få fler ärenden att hantera om sanktionsavgifter införs. Innan det finns vägledande praxis kan det t.ex. råda osäkerhet om när sanktionsavgift ska tas ut och med vilket belopp. Det behöver alltså inte bli en ekonomisk besparing för staten att införa sanktionsavgifter (SOU 2014:83 s. 106). Avsaknaden av en domstols bedömning av händelseförlopp kan inverka menligt på rättssäkerheten (Administrativa sanktioner på yrkesfiskets område, prop. 2007/08:107, s. 17).
Är sanktionsavgift en lämplig reaktion mot myndigheter?
Vid överväganden om vilken sanktionsform som bör väljas måste hänsyn tas till att det i huvudsak är myndigheter som kommer att tillämpa ramlagen. Det har länge funnits en samsyn om att vitesföreläggande inte bör användas myndigheter emellan, om det inte finns särskilda skäl för det. Därför har bl.a. personuppgiftslagens regel om att tillsynsmyndigheten får förena förelägganden med vite i många fall inte gjorts tillämplig på myndigheter. När det gäller statens roll som arbetsgivare har det dock i olika sammanhang ansetts rimligt att inte särbehandla staten i fråga om ekonomiska sanktioner (se bl.a. 4 kap. 5 § diskrimineringslagen [2008:567] och 7 kap. 7 § arbetsmiljölagen [1977:1160]).
Sanktionsavgift kan tas ut av myndigheter på vissa områden. Hit hör bl.a. miljösanktionsavgift enligt miljöbalken och förordningen (2012:259) om miljösanktionsavgifter. Enligt praxis tas dock inte miljösanktionsavgift ut av myndigheter om överträdelsen skett vid myndighetsutövning.
Det finns också exempel på sanktionsavgifter som särskilt riktar sig mot myndigheter. Enligt 21 kap. 1 § 3 lagen (2016:1145) om offentlig upphandling får allmän förvaltningsdomstol vid otillåten direktupphandling besluta att en upphandlande myndighet ska betala upphandlingsskadeavgift. I förarbetena till den tidigare lagen om offentlig upphandling, som innehöll en motsvarande bestämmelse, betonades vikten av att sanktionsbestämmelserna är desamma för alla slag av upphandlande myndigheter och enheter och att något undantag för statliga myndigheter därför inte borde göras
Sanktioner SOU 2017:29
500
även om det innebär att staten betalar en avgift till staten (Nya rättsmedel på upphandlingsområdet, prop. 2009/10:180, s. 183).
Direktivet syftar till att förbättra skyddet för enskildas integritet. Enskildas intresse av skydd för sin personliga integritet väger lika tungt oavsett om uppgifter behandlas i det allmännas verksamhet eller i den privata sektorn. Såväl statliga som kommunala myndigheter hanterar mycket stora mängder personuppgifter, ofta känsliga sådana. De utbyts dessutom i allt större utsträckning över myndighets- och nationsgränser. Även om det allmännas verksamhet styrs av annan lagstiftning än personuppgiftsregleringen, exempelvis tryckfrihetsförordningen, offentlighets- och sekretesslagen och arkivlagstiftningen, behandlas personuppgifter på i stort sett samma villkor som i privat sektor. Till det kommer att dataskyddsförordningen kommer att tillämpas av alla myndigheter och att sanktionsavgifter således kan komma att drabba även dem, om regelverket görs tillämpligt på myndigheter.
Det är enligt utredningens mening en principiell skillnad mellan att låta en myndighet använda ekonomiska påtryckningsmedel i syfte att förmå en annan myndighet att göra eller underlåta något och att använda ekonomiska sanktioner som reaktion på begångna överträdelser.
Sammanfattningsvis menar utredningen att övervägande skäl talar för att administrativa sanktionsavgifter ska kunna tas ut av myndigheter för överträdelser av regler om personuppgiftsbehandling inom ramlagens tillämpningsområde.
Är sanktionsavgift i övrigt en lämplig reaktion?
Frågan är då om sanktionsavgift i övrigt är en lämplig reaktion på överträdelser av bestämmelser i ramlagen. Det finns enligt utredningens mening flera skäl som talar för en sådan lösning. De myndigheter som i dag tillämpar sanktionsavgifter inom andra områden ser många fördelar med den sanktionen. De argument som dessa lyft fram väger tungt även vid personuppgiftsbehandling.
Sanktionsavgift är en snabb och tydlig sanktion – som även kan vara kännbar ekonomiskt. Risken att som personuppgiftsansvarig drabbas av en sådan sanktion skulle enligt utredningens bedömning verka avskräckande. Sanktionsavgifter skulle också leda till att
SOU 2017:29 Sanktioner
501
ansvar för överträdelser utkrävs på rätt nivå. Det finns nämligen skäl att förmoda att överträdelser av reglerna om personuppgiftsbehandling ofta beror på att otillräckliga resurser avsatts för att utforma it-system som stödjer en korrekt personuppgiftsbehandling, för att utarbeta handledningar och för att utbilda personalen. Risken att drabbas av sanktionsavgift skulle öka incitamenten för personuppgiftsansvariga att satsa på förebyggande åtgärder och att avsätta tillräckliga resurser för den interna kontrollen av personuppgiftsbehandlingen. Överträdelserna skulle därmed på sikt kunna minska på det sätt som beskrivits inom andra områden. Det finns också anledning att anta att ett system med sanktionsavgifter skulle vara effektivare än straffsanktioner. Mindre bevissvårigheter kan leda till att fler överträdelser beivras än om ansvaret är straffrättsligt. Utredningens slutsats är alltså att det i ramlagen bör tas in regler om sanktionsavgift.
13.3 Utformningen av sanktionsavgiftssystemet
Utredningens bedömning: Sanktionsavgiftssystemet bör ut-
formas med beaktande av regeringens riktlinjer för sådana avgifter, regleringen i dataskyddsförordningen och Sveriges internationella åtaganden.
Skälen för utredningens bedömning
Regeringens riktlinjer för användande av sanktionsavgift
Sanktionsavgift har använts som sanktionsform under lång tid. Införandet av skattetillägg i början av 1970-talet brukar ses som inledningen på mer allmän användning av sanktionsavgift som sanktionsform (SOU 2013:38, del 2, s. 467). Inledningsvis fanns det inga riktlinjer för hur sanktionsavgifter skulle utformas och användas. I samband med lagstiftningsarbetet om ekonomiska sanktioner i näringsverksamhet togs dock ett samlat grepp om frågan (Ekonomiska sanktioner vid brott i näringsverksamhet, Ds Ju 1981:3, och propositionen om ändring i brottsbalken [ekonomiska sanktioner vid brott i näringsverksamhet], prop. 1981/1982:142. Jfr även Wiweka Warling-Nerep, Sanktionsavgifter – särskilt i närings-
Sanktioner SOU 2017:29
502
verksamhet, 2010, s. 53, i fortsättningen Warling-Nerep). I nyssnämnda proposition lade regeringen fram allmänna riktlinjer för hur ett sanktionsavgiftssystem bör utformas (prop. 1981/82:142 s. 24 f.)
Riktlinjerna i propositionen har kommit att ligga till grund för förslagen i olika lagstiftningsärenden och tillämpas alltjämt (se t.ex. Sanktionsavgifter för andra aktörer på fiskets område än yrkesfiskare, prop. 2015/16:118 och Effektiv bekämpning av marknadsmissbruk, prop. 2016/17:22). Riktlinjerna kan sammanfattas enligt följande.
• Ett avgiftssystem kan erbjuda en ändamålsenlig lösning i fall där regelöverträdelser är särskilt frekventa eller speciella svårigheter föreligger att beräkna storleken av den vinst eller besparing som uppnås i det särskilda fallet.
• Avgifter bör få förekomma endast inom speciella och klart avgränsade rättsområden.
• Bestämmelserna om beräkning av avgiftsbeloppet bör konstrueras så att de utgår från ett mätbart moment i den aktuella överträdelsen – en parameter – som gör det möjligt att förutse och fastställa hur stor avgiften ska bli i det särskilda fallet.
• Beroende på det aktuella rättsområdets natur bör särskilt prövas om uppsåt eller oaktsamhet ska förutsättas för avgiftsskyldighet eller om skyldigheten ska bygga på strikt ansvar. För att en konstruktion med strikt ansvar ska vara försvarbar från rättssäkerhetssynpunkt bör det finnas starkt stöd för en presumtion om att överträdelser på området inte kan förekomma annat än som en följd av uppsåt eller oaktsamhet. Bestämmelser som reglerar möjligheten till jämkning av avgiftsbelopp bör så långt möjligt vara så preciserade att det inte föreligger någon tvekan om deras räckvidd.
• Något hinder bör inte föreligga mot att låta avgiftsregler som i första hand riktas mot juridiska personer och straffrättsliga bestämmelser riktade mot fysiska personer vara tillämpliga vid sidan av varandra. De subjektiva rekvisiten kan vara annorlunda utformade i de olika systemen – strikt ansvar vid avgift och uppsåt eller oaktsamhet vid straffrättsligt ansvar.
SOU 2017:29 Sanktioner
503
• Att ta ut sanktionsavgifter kan i viss utsträckning överlämnas till de administrativa myndigheter som är verksamma på det aktuella området. I vissa fall är det emellertid lämpligt att överlämna denna prövning till domstol.
Riktlinjerna tar sikte på sanktioner med vinstbegränsande syfte. De brukar dock också läggas till grund för utformningen av sådana sanktionssystem som har ett bestraffande syfte.
Andra riktlinjer på området
Vid sidan om regeringens riktlinjer i nyssnämnda proposition finns det ytterligare riktlinjer som bör beaktas vid utformningen av ett sanktionsavgiftssystem. Europakonventionen, som är en del av svensk rätt, kan vara av betydelse för sanktionsavgiftssystem, om de är jämställa med en straffrättslig påföljd (se avsnitt 13.8).
Europarådets rekommendation nr R (91) om administrativa sanktionsavgifter omfattar åtta principer. Många av frågeställningarna regleras också i Europakonventionen. Några behandlas dock inte i konventionen. Rekommendationen, som inte är rättsligt bindande, får därför anses komplettera den. Principerna kan sammanfattas enligt följande (SOU 2014:83 s. 110 f.).
• Såväl sanktionens innehåll som de omständigheter som krävs för att sanktionen ska kunna åläggas någon ska framgå av lag.
• Förbud mot retroaktiv tillämpning.
• Förbud mot dubbelprövning (ne bis in idem).
• Krav på rimlig handläggningstid.
• Krav på ett slutligt beslut. Varje inlett förfarande som kan föranleda att en sanktion åläggs en person ska avslutas med ett slutligt avgörande.
• Krav på ett öppet, objektivt och rättvist förfarande. Varje person som riskerar att åläggas en sanktion ska informeras om anklagelsen och den bevisning som åberopas. Vidare ska han eller hon få tillfälle att yttra sig och få tillräcklig tid till det. Ett sanktionsbeslut ska innehålla skälen för beslutet.
Sanktioner SOU 2017:29
504
• Bevisbördan åligger den som beslutar om sanktionen.
• Krav på domstolsprövning. En sanktion beslutad av en administrativ myndighet ska kunna överprövas av en domstol.
Utgångspunkter för utformningen av sanktionsavgiftssystemet
Vid utformningen av sanktionssystemet bör regeringens riktlinjer och Sveriges internationella åtaganden beaktas. Utredningen återkommer i avsnitt 13.8 till frågor som rör Europakonventionen.
Bestämmelserna om sanktionsavgift bör utformas i linje med hur sådana avgifter utformats inom andra rättsområden och de rättssäkerhetskrav som ställs på sanktionsavgift bör få genomslag. Det innebär att frågor om sanktionsavgift bör regleras i lag och att det av den bör framgå när, hur och av vem sanktionsavgift får tas ut. Systemet ska också vara förutsägbart och möta kraven på rimlig handläggningstid, domstolsprövning och en rättssäker process.
Dataskyddsförordningen har ett system med sanktionsavgifter. De behöriga myndigheterna kommer även att tillämpa förordningen, som är direkt tillämplig i svensk rätt. Överträdelser av bestämmelser om personuppgiftsbehandling bör enligt utredningens mening i princip föranleda samma sanktioner. Det är dock inte möjligt att skapa helt identiska system, eftersom tillämpningsområdena för förordningen och direktivet och regleringen i övrigt skiljer sig åt. Det är inte heller känt om förordningens system med sanktionsavgifter kommer att omfatta myndigheter, eftersom det överlåts till varje medlemsstat att bestämma det. Utredningen utgår emellertid i förslagen från hur sanktionsavgifter regleras i förordningen.
13.4 Vem ska betala sanktionsavgift?
Utredningens förslag: Sanktionsavgift får tas ut av personupp-
giftsansvariga och i vissa fall av personuppgiftsbiträden.
Skälen för utredningens förslag: En personuppgiftsansvarig an-
svarar för all personuppgiftsbehandling som utförs under dennes ledning eller på dennes vägnar. Det gäller även den behandling per-
SOU 2017:29 Sanktioner
505
sonuppgiftsbiträden, anställda, personer som är att jämställa med anställda (t.ex. inhyrd personal) eller uppdragstagare utför. Sanktionsavgift bör därmed kunna tas ut av personuppgiftsansvariga. Vem som är personuppgiftsansvarig på ramlagens område framgår i dag oftast av författning.
Även om sanktionsavgift normalt kommer att tas ut av personuppgiftsansvariga, bör enligt utredningens mening sanktionsavgift även kunna tas ut av personuppgiftsbiträden. Det bör dock bara gälla om ett personuppgiftsbiträde brutit mot uttryckliga skyldigheter enligt ramlagen. Utredningen utvecklar i avsnitt 13.5.2 i vilka fall sanktionsavgift bör kunna tas ut av personuppgiftsbiträden. Om ett personuppgiftsbiträde bestämt ändamålen med och medlen för behandlingen i strid med ramlagen är biträdet att anse som personuppgiftsansvarig för den behandlingen (se avsnitt 10.6.3). För sådan behandling bör samma regler om sanktionsavgift gälla som för andra personuppgiftsansvariga.
13.5 Vad ska föranleda sanktionsavgift?
13.5.1 Allmänna utgångspunkter
Överträdelser som kan leda till sanktionsavgift enligt dataskyddsförordningen är något förenklat överträdelser av bestämmelser om personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter gentemot registrerade och överträdelser av bestämmelser om rättigheter för registrerade. Även vägran att ge tillsynsmyndigheten tillgång till uppgifter eller att följa beslut eller förelägganden som myndigheten meddelat kan leda till sanktionsavgift.
Många av de överträdelser som kan leda till sanktionsavgift enligt förordningen bör i motsvarande fall kunna göra det enligt ramlagen. Skälen för att vissa överträdelser bör leda till sanktionsavgift är nämligen i allt väsentligt desamma. Det rör sig om överträdelser av de bestämmelser i ramlagen som är viktigast för att värna registrerades integritet, som innehåller de grundläggande reglerna för hur personuppgifter får behandlas och som – om de inte efterlevs – riskerar att leda till allvarliga kränkningar av registrerades integritet. Utredningen anser mot den bakgrunden att det inte finns skäl att för varje enskild bestämmelse i detalj redogöra
Sanktioner SOU 2017:29
506
för varför sanktionsavgift är motiverad men redovisar i det följande vilka resonemang som ligger bakom urvalet av överträdelser.
Vissa bestämmelser i ramlagen är dock av den arten att någon sanktionsavgift inte bör komma i fråga. Om den som berörs av ett beslut kan överklaga det bör sanktionsavgift inte komma i fråga, eftersom möjligheten till domstolsprövning är tillräcklig för att ta tillvara registrerades intressen. Det är som regel inte heller lämpligt med sanktionsavgift vid överträdelse av bestämmelser som ger utrymme för olika bedömningar, t.ex. om det är nödvändigt att informera i ett specifikt fall. Bestämmelser om dokumentations- eller underrättelseskyldighet bör normalt inte heller föranleda sanktionsavgift.
13.5.2 Överträdelser som kan föranleda sanktionsavgift
Utredningens förslag: Sanktionsavgift får tas ut av en person-
uppgiftsansvarig eller ett personuppgiftsbiträde vid överträdelse av vissa bestämmelser om behandling av personuppgifter.
Sanktionsavgift får också tas ut vid underlåtenhet att bistå tillsynsmyndigheten eller att rätta sig efter förelägganden eller beslut som myndigheten meddelat.
Skälen för utredningens förslag
Överträdelse av bestämmelser till skydd för registrerades integritet
Att överträda bestämmelser som syftar till att skydda registrerades integritet eller deras rättigheter bör som regel leda till sanktionsavgift. Med det som utgångspunkt bör enligt utredningens mening överträdelser av följande skyldigheter föranleda sanktionsavgift.
Bestämmelserna om att personuppgiftsbehandlingen ska ha rättslig grund och utföras för ett särskilt angivet och berättigat ändamål är av så grundläggande natur att överträdelser av dem bör föranleda sanktionsavgift.
Bestämmelserna om personuppgifters kvalitet föreskriver konkreta skyldigheter i fråga om bl.a. uppgifternas korrekthet, aktualitet, adekvans och relevans. Även kraven på att göra skillnad mellan olika slag av uppgifter och att se till att alla rimliga åtgärder vidtas
SOU 2017:29 Sanktioner
507
för att rätta och komplettera personuppgifter är viktiga för skyddet av enskildas integritet. Alla dessa skyldigheter, liksom den personuppgiftsansvariges skyldighet att radera personuppgifter eller begränsa behandlingen av dem om de behandlats på otillåtet sätt och att inte behandla fler personuppgifter än nödvändigt och inte längre än vad som behövs, bör därför kunna föranleda sanktionsavgift. Otillåten behandling av känsliga personuppgifter är i dag straffsanktionerad och bör redan av det skälet kunna föranleda sanktionsavgift.
Även skyldigheten att vidta tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter är författningsenlig och kunna visa det bör kunna leda till sanktionsavgift. Skyldigheten preciseras genom andra bestämmelser, både om vilka personuppgifter som får behandlas och hur det får göras och genom konkreta krav på bl.a. inbyggt dataskydd, dataskydd som standard och loggning. Det bör understrykas att även andra åtgärder än sådana som uttryckligen anges i ramlagen eller föreskrifter som meddelats i anslutning till den kan vara nödvändiga att leva upp till för att kraven på tillräckliga åtgärder ska anses ha uppfyllts.
Skyldigheten att internt begränsa tillgången till personuppgifter är också en viktig del i skyddet för personuppgifter och bör vid överträdelser kunna leda till sanktionsavgift.
Överträdelser av kravet på att vidta åtgärder för att skydda personuppgifter mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada bör också kunna leda till sanktionsavgift. Vad kravet innebär preciseras bl.a. i regler om vad som är en lämplig säkerhetsnivå. Även underlåtenhet att anmäla eller dokumentera personuppgiftsincidenter till tillsynsmyndigheten bör kunna föranleda sanktionsavgift. Det bör också gälla skyldigheten att göra en konsekvensbedömning och att i vissa fall förhandssamråda med tillsynsmyndigheten.
Personuppgifter får bara överföras till tredjeland och internationella organisationer under vissa förutsättningar. Utredningen anser, mot bakgrund av att motsvarande överträdelser är straffsanktionerade i dag, att överträdelser av reglerna om överföring bör kunna föranleda sanktionsavgift.
Sanktioner SOU 2017:29
508
Underlåtenhet att bistå tillsynsmyndigheten eller att följa dess förelägganden eller beslut
I avsnitt 12.7.3 föreslår utredningen att tillsynsmyndigheten ska ges tillgång till uppgifter och dokumentation, tillträde till lokaler och annat nödvändigt bistånd för att kunna utöva sin tillsyn. Sanktionsavgift bör kunna tas ut vid underlåtenhet att bistå tillsynsmyndigheten vid tillsyn. I avsnitt 12.7.6 föreslår utredningen att tillsynsmyndigheten ska kunna meddela förelägganden om viss åtgärd. Tillsynsmyndigheten ska också kunna förbjuda viss behandling. Det är enligt utredningens mening viktigt att sanktionsavgift kan tas ut av den som vägrar att rätta sig efter tillsynsmyndighetens beslut i sådana frågor. Tillsynsmyndighetens ställning kan annars undermineras.
Särskilt om personuppgiftsbiträden
Eftersom den personuppgiftsansvarige ansvarar även för personuppgiftsbiträdens behandling bör sanktionsavgift tas ut av den personuppgiftsansvarige vid överträdelser som berott på biträdets agerande. Som framgår av avsnitt 13.4 bör dock sanktionsavgift kunna tas ut även av personuppgiftsbiträden i vissa fall när de har uttryckliga skyldigheter som framgår av författning.
Sanktionsavgift bör således kunna tas ut av personuppgiftsbiträden om tillgången till personuppgifter internt inte begränsas till vad varje tjänsteman behöver för att utföra sina arbetsuppgifter eller om tillräckliga åtgärder inte vidtas för att säkerställa att de personuppgiftsuppgifter som behandlas skyddas t.ex. mot obehörig eller otillåten behandling. Sanktionsavgift bör också kunna tas ut om skyldigheten att se till att behandling loggas inte fullgörs.
Skyldigheten att bistå tillsynsmyndigheten och att följa förelägganden och beslut som meddelats av tillsynsmyndigheten föreslås gälla även för personuppgiftsbiträden (se avsnitt 12.7.3 och 12.7.6). Det bör därför vara möjligt att ålägga personuppgiftsbiträden sanktionsavgift om de inte fullgör sådana förpliktelser.
I övrigt bör personuppgiftsbiträden inte kunna åläggas sanktionsavgift.
SOU 2017:29 Sanktioner
509
Sanktionsavgift bör inte tas ut för vissa överträdelser
Som nyss nämnts bör inte sanktionsavgift tas ut för överträdelser av alla bestämmelser i ramlagen och de föreskrifter som meddelas i anslutning till den. Det finns inte skäl att ta ut sanktionsavgift för överträdelser av bestämmelser om personuppgiftsansvarigas skyldighet att på begäran av en registrerad rätta, komplettera eller radera personuppgifter eller begränsa behandlingen av dem eller ompröva vissa beslut. Om det finns sakskäl för att vidta åtgärden är den personuppgiftsansvarige skyldig att utföra den oberoende av begäran. Sanktionsavgift kan då tas ut på grund av att de bestämmelserna överträtts. Eftersom sanktionsavgift kan tas ut för överträdelser av de mer konkreta skyldigheterna i ramlagen finns det inte skäl att ta ut sådan avgift för överträdelser av bestämmelsen om att personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.
Sanktionsavgift bör inte heller tas ut om skyldigheten att utse dataskyddsombud inte fullgörs. Det är enligt utredningens mening tillräckligt att det finns en skyldighet att anmäla att ombud har utsetts och entledigats till tillsynsmyndigheten. Om en personuppgiftsansvarig inte skulle fullgöra den skyldigheten, kan tillsynsmyndigheten reagera och t.ex. utfärda ett föreläggande.
Bestämmelser som reglerar förhållandet mellan personuppgiftsansvariga och personuppgiftsbiträden bör inte kunna föranleda sanktionsavgift. Inte heller personuppgiftsbiträdens underlåtenhet att anmäla personuppgiftsincidenter till den personuppgiftsansvarige bör kunna leda till sanktionsavgift.
Inte heller överträdelser av bestämmelser som reglerar skyldigheter mellan gemensamt personuppgiftsansvariga bör kunna föranleda sanktionsavgift. Om överträdelser förekommer i situationer där personuppgiftsansvaret är gemensamt får det avgöras i det enskilda fallet om avgift bör tas ut av en av parterna eller av flera.
En personuppgiftsansvarig ska tillhandahålla viss information till de registrerade. De bestämmelser som reglerar skyldigheten att tillhandahålla allmän information och information som ska lämnas i specifika fall bör inte kunna föranleda sanktionsavgift. Den allmänna informationen är av sådan karaktär att det inte finns någon större risk att en registrerad lider en rättsförlust om den inte lämnas. Skyldigheten att lämna personrelaterad information i specifika
Sanktioner SOU 2017:29
510
fall förutsätter en bedömning av när information ska lämnas, vilket gör att sanktionsavgift inte bör kunna tas ut. Skyldigheten att på begäran informera om eller ge tillgång till personuppgifter bör inte heller kunna leda till sanktionsavgift, eftersom beslut i sådana frågor får överklagas.
13.5.3 Ska sanktionsavgift alltid tas ut?
Utredningens förslag: Regleringen av sanktionsavgifter ska
bygga på strikt ansvar.
Skälen för utredningens förslag
Sanktionsavgiftssystemet bör bygga på strikt ansvar
Huvudregeln är att sanktionsavgiftssystem bygger på strikt ansvar. Som utredningen tolkar dataskyddsförordningen förefaller varken uppsåt eller oaktsamhet vara ett krav för att ta ut sanktionsavgift. Det räcker att en bestämmelse faktiskt har överträtts. Däremot kan det påverka frågan om sanktionsavgift ska tas ut eller inte, och avgiftens storlek, om överträdelsen är uppsåtlig eller oaktsam.
Enligt utredningens mening finns det inte skäl att avvika från grundprincipen för sanktionsavgifter att ansvaret ska vara strikt. Det är framför allt den omständigheten att det inte behöver bevisas att handlandet varit avsiktligt eller att avgöra hur oaktsamt handlandet har varit som gör att system med sanktionsavgifter anses vara så effektiva. För att inte den fördelen ska gå förlorad bör den personuppgiftsansvarige och personuppgiftsbiträden ha strikt ansvar för sådan felaktig behandling av personuppgifter som kan föranleda att sanktionsavgift tas ut. Det är också svårt att se att överträdelser kan bero på annat än uppsåt eller oaktsamhet.
Lagrådet har uttalat att skrivningar om att avgiftsskyldigheten bygger på strikt ansvar inte bör tas med i författningstext. I motsats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift (Ny lag om kontroll av ekologisk produktion, prop. 2012/13:55, s. 142). Utredningen ser därför inget skäl att uttryckligen föreskriva att ansvaret ska vara strikt.
SOU 2017:29 Sanktioner
511
Ska sanktionsavgift alltid tas ut?
Strikt ansvar innebär att det varken krävs uppsåt eller oaktsamhet för att sanktionsavgift ska kunna tas ut. Strikt ansvar medför emellertid inte att sanktionsavgift måste tas ut vid varje överträdelse. En viktig fråga är därför om det ska vara obligatoriskt att ta ut sanktionsavgift när en viss bestämmelse har överträtts.
Enligt utredningens mening bör inte varje överträdelse av de bestämmelser i ramlagen som kan föranleda sanktionsavgift medföra att sådan avgift faktiskt tas ut. Reglerna om personuppgiftsbehandling är mycket komplexa och det nya regelverket kommer inte att förenkla tillämpningen. Det skulle ställa alltför höga krav på de personuppgiftsansvariga och lägga en orimlig börda på tillsynsmyndigheten om varje överträdelse av en viss bestämmelse skulle leda till att sanktionsavgift tas ut. Som exempel kan nämnas att det inte är rimligt att ålägga en myndighet sanktionsavgift för att någon i enstaka fall har beskrivit en persons utseende på ett sätt som inte respekterar hans eller hennes människovärde, även om det kan vara djupt kränkande. Om det däremot har satts i system att göra sådana beskrivningar eller om påpekanden om att det krävs utbildning för att undvika sådant felbeteende inte följs, bör sanktionsavgift kunna övervägas. Det bör således ligga hos den som har till uppgift att besluta om avgiften att avgöra om en överträdelse är så allvarlig eller systematisk att sanktionsavgift bör tas ut. Bestämmelsen bör därför utformas så att det inte är obligatoriskt att besluta om sanktionsavgift.
Det kan diskuteras om lagstiftningen med en sådan regel lever upp till direktivets krav på effektiva sanktioner. Utredningen utgår från att de personuppgiftsansvariga – som i huvudsak är myndigheter – normalt kommer att rätta sig efter tillsynsmyndighetens påpekanden, förelägganden och beslut och att det bara i ett litet antal fall kommer att vara nödvändigt att ta ut sanktionsavgift. Sanktionssystemet som helhet uppfyller således enligt utredningens mening kraven i direktivet. Att det blir en viss skillnad mot sanktionssystemet i dataskyddsförordningen påverkar inte den bedömningen.
Sanktioner SOU 2017:29
512
13.6 Hur sanktionsavgiften ska bestämmas
13.6.1 Sanktionsavgiftens storlek
Utredningens förslag: För mindre allvarliga överträdelser ska
avgiften vara minst 25 000 kronor och högst 10 000 000 kronor. För allvarliga överträdelser ska avgiften bestämmas till minst 50 000 kronor och högst 20 000 000 kronor. Det ska av ramlagen framgå vilka överträdelser som kan leda till den lägre respektive högre sanktionsavgiften.
Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får dock aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.
Skälen för utredningens förslag
Hur hög bör sanktionsavgiften vara?
I dataskyddsförordningen regleras vilken sanktionsavgift som maximalt kan tas ut vid olika överträdelser. I förordningen är de belopp som anges mycket höga och anges dessutom i euro. Några minimibelopp anges inte, men maximibeloppen är 10 000 000 euro respektive 20 000 000 euro, alternativt en viss procentsats av den totala globala årsomsättningen.
När det gäller sanktionsavgifter är det inte ovanligt att det i författning eller genom myndighetsföreskrifter anges fasta belopp för olika typer av överträdelser. Utredningen anser att en sådan ordning inte är ändamålsenlig i detta fall. Ett flertal faktorer som inte går att standardisera måste beaktas i det enskilda fallet för att avgöra hur stor sanktionsavgiften bör vara. På samma sätt som i förordningen bör sanktionsavgiften inte baseras på i förväg fastställda belopp utan bestämmas med utgångspunkt i omständigheterna i det enskilda fallet.
Överträdelser av bestämmelserna i ramlagen kan typiskt sett inte förväntas generera stora besparingar eller vinster för den personuppgiftsansvarige eller personuppgiftsbiträdet. Det finns där-
SOU 2017:29 Sanktioner
513
med inte förutsättningar att knyta avgiften till omsättningen av verksamheten, vinsten eller något liknande kriterium.
Varken på miljöområdet eller på arbetsmiljöområdet är de avgifter som kan tas ut tillnärmelsevis så höga som de som anges i dataskyddsförordningen. Det lägsta belopp som kan beslutas vid en överträdelse inom dessa områden är 1 000 kronor och det högsta beloppet 1 000 000 kronor. Inte heller företagsbot eller upphandlingsskadeavgift kan uppgå till lika höga belopp som enligt förordningen. För företagsbot är minimibeloppet i dag 5 000 kronor och maximibeloppet 10 000 000 kronor. För upphandlingsskadeavgift enligt lagen (2016:1145) om offentlig upphandling är lägsta beloppet 10 000 kronor och det högsta 10 000 000 kronor. Avgiften får dock aldrig överstiga en viss procentsats av upphandlingens värde.
De överträdelser som enligt förordningen kan bli föremål för sanktionsavgift har till största delen sin motsvarighet i direktivet. Det skulle givetvis kunna hävdas att samma typ av överträdelse bör leda till samma sanktion. Utredningen anser dock att det är viktigare att sanktionerna i ramlagen utgör en rimlig reaktion på överträdelserna, särskilt mot bakgrund av att det framför allt är myndigheter som kan komma att träffas av sanktionsavgifterna. De bör också beloppsmässigt ligga i paritet med andra sanktionsavgifter i svensk rätt. Skillnaden mellan sanktionsavgifternas storlek i förordningen och ramlagen kan också motiveras av att de personuppgiftsansvariga som ska tillämpa förordningen kan vara multinationella företag där det krävs synnerligen höga sanktionsbelopp för att det ska vara kännbart. Inom ramlagens tillämpningsområde kan även en lägre avgift förväntas påverka agerandet i önskad riktning. Till det kommer att ett felaktigt handlande av en myndighet sällan föranleds av en önskan att maximera vinst eller att göra en större besparing, även om det inte kan uteslutas att det finns ekonomiska motiv. Lägre men tillräckligt kännbara belopp torde därför påverka myndigheterna så länge budgetprincipen upprätthålls och de inte får ekonomiska tillskott för att kunna betala sina sanktionsavgifter.
Ett av huvudsyftena med sanktionsavgifter är att de ska vara avskräckande. För att regleringen ska få en tillräckligt avskräckande effekt krävs, trots det som sagts om myndigheters relativt sett högre känslighet även för låga sanktionsavgifter, enligt utredningens mening att maximibeloppet sätts relativt högt.
Sanktioner SOU 2017:29
514
De överträdelser som kan leda till sanktionsavgift kan se olika ut och de ekonomiska förutsättningarna för dem som avgiften ska tas ut av kan variera. Spannet inom vilket avgift kan bestämmas bör därför vara relativt stort. För att markera att sanktionsavgift främst är avsedd att användas för allvarliga eller systematiska överträdelser bör miniminivån vara högre än för de avgifter som nyss nämnts.
Beträffande personuppgiftsbiträden väger argumenten ovan inte lika tungt eftersom de ofta, även inom ramlagens tillämpningsområde, är privaträttsliga aktörer som drivs av affärsmässiga överväganden och vinstintressen. Som framgår av avsnitt 10.6.2 agerar myndigheter ibland personuppgiftsbiträden åt varandra. Syftet med det torde vara att spara på statens resurser. Mot den bakgrunden bör samma sanktionsavgifter tillämpas på personuppgiftsbiträden som på personuppgiftsansvariga.
Sammanfattningsvis anser utredningen att sanktionsavgiftsbeloppen bör vara lägre än i dataskyddsförordningen och ligga mer i linje med de sanktionsavgifter som i dag finns på andra områden och med företagsbot. Utredningen återkommer i avsnitt 13.6.2 till hur avgiften bör bestämmas i det enskilda fallet.
Sanktionsavgift ska enligt dataskyddsförordningen tas ut enligt två olika nivåer – en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser och underlåtenhet att följa förelägganden eller beslut av tillsynsmyndigheten eller att på annat sätt bistå den. Utredningen anser att det även inom ramlagens tillämpningsområde bör finnas två avgiftsnivåer.
Avgift vid mindre allvarliga överträdelser
När det gäller mindre allvarliga överträdelser är det enligt utredningens mening viktigt att beloppet är så pass högt att det har en viss avskräckande effekt. Utredningen anser att 25 000 kronor är ett rimligt minimibelopp för mindre allvarliga överträdelser.
Vid överväganden om den övre beloppsgränsen för mindre allvarliga överträdelser finns det skäl att titta på vad som gäller internationellt, särskilt inom EU. Som tidigare konstaterats är de sanktionsavgifter som kan tas ut med stöd av dataskyddsförordningen synnerligen höga. Maximibeloppet för överträdelser inom
SOU 2017:29 Sanktioner
515
ramlagens tillämpningsområde bör därför inte sättas alltför lågt, men betydligt lägre än enligt förordningen. Ett maximibelopp om 10 000 000 kronor för mindre allvarliga överträdelser, vilket motsvarar vad som i dag gäller för företagsbot och upphandlingsskadeavgift, får anses vara tillräckligt för att utgöra en kännbar sanktion.
Till mindre allvarliga överträdelser bör räknas att den personuppgiftsansvarige eller ett personuppgiftsbiträde inte begränsat tillgången till personuppgifter internt. Även om det är en viktig bestämmelse är risken för kränkning av den enskildes integritet mindre än om uppgifterna sprids utanför verksamheten eller behandlas otillåtet på något annat sätt.
Till mindre allvarliga överträdelser bör också räknas underlåtenhet av personuppgiftsansvariga att dokumentera personuppgiftsincidenter. Även underlåtenhet att göra en konsekvensbedömning eller att inleda förhandssamråd med tillsynsmyndigheten bör anses som mindre allvarligt.
Högre avgift för allvarligare överträdelser
Av samma skäl som anförts beträffande minimi- och maximibeloppet för mindre allvarliga överträdelser bör beloppet för allvarligare överträdelser inte sättas alltför lågt, men betydligt lägre än i dataskyddsförordningen. Det finns, utifrån förordningens modell, skäl att bestämma beloppen till det dubbla. Det innebär att 50 000 kronor bör vara minimibelopp för allvarligare överträdelser och att maximibeloppet bör vara 20 000 000 kronor.
Till allvarligare överträdelser bör räknas alla överträdelser av grundläggande krav på personuppgiftsbehandlingen. Bestämmelserna är centrala för skyddet av registrerades integritet, oavsett om det är fråga om känsliga personuppgifter eller personuppgifter i allmänhet. En annan sak är att sanktionsavgiften normalt bör bestämmas till ett högre belopp om överträdelsen avser känsliga personuppgifter.
Eftersom åtgärder för att säkerställa författningsenlig behandling syftar till att avskräcka från behandling i strid med de grundläggande principerna för personuppgiftsbehandling bör överträdelser mot de bestämmelserna också ses som allvarliga, dock med undantag för tillgången till personuppgifter internt.
Sanktioner SOU 2017:29
516
Även överträdelser av bestämmelser som avser skyldighet att vidta åtgärder för att säkerställa säkerhet vid behandling bör ses som allvarliga, eftersom sådana överträdelser kan få mycket långtgående konsekvenser för registrerade.
Överträdelser av vad som gäller vid överföring till tredjeland och internationella organisationer bör också leda till den högre sanktionsavgiften. Det är allvarligt att uppgifterna får spridning om inte skyddet för dem kan garanteras.
Den högre avgiften bör också tillämpas vid underlåtenhet att följa tillsynsmyndighetens förelägganden eller beslut eller att på annat sätt bistå den. Genom det inskärps allvaret i att inte rätta sig efter tillsynsmyndighetens synpunkter.
Flera samtidiga överträdelser
Felaktig eller otillåten personuppgiftsbehandling kan innebära att flera bestämmelser om behandling av personuppgifter överträds samtidigt. Det kan t.ex. vara fråga om behandling som inte bara saknar rättslig grund utan som också strider mot andra bestämmelser om hur personuppgifter får behandlas. På motsvarande sätt kan en överträdelse, oavsett om den strider mot en eller flera bestämmelser, upprepas genom personuppgiftsbehandlingar som är sammankopplade med varandra. Det kan få till följd att en felaktig behandling följer med till nästa behandling. Var och en av dessa överträdelser kan, om den är tillräckligt allvarlig, leda till att sanktionsavgift tas ut. Det är dock enligt utredningens mening inte rimligt att tillsynsmyndigheten i dessa fall lägger samman beloppen som fastställts för var och en av överträdelserna till en gemensam sanktionsavgift. Sanktionsavgiften måste framstå som en rimlig reaktion på samtliga överträdelser som är föremål för bedömning. Om den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till flera överträdelser genom samma eller sammankopplade personuppgiftsbehandlingar bör det totala beloppet för sanktionsavgiften i stället bestämmas efter de samlade överträdelsernas allvar. Om det är fråga om felaktig behandling på samma sätt av många personers personuppgifter, t.ex. om ett otillåtet register omfattar många personer, får alltså en samlad bedömning göras och
SOU 2017:29 Sanktioner
517
en gemensam sanktionsavgift bestämmas med utgångspunkt i hur klandervärd den totala felbehandlingen är.
Sanktionsavgiften vid flera samtidiga överträdelser bör emellertid aldrig få överstiga maximibeloppet för den sanktionsavgiftsnivå som är aktuell. Det bör framgå av ramlagen. Det innebär att om någon av överträdelserna är av allvarligare slag får maximibeloppet för allvarligare överträdelser inte överskridas. Om ingen av överträdelserna är av allvarligare slag ska maximibeloppet för mindre allvarliga överträdelser tillämpas.
13.6.2 Hur avgiften ska bestämmas i det enskilda fallet
Utredningens förslag: Vid bedömningen av om sanktionsavgift
ska tas ut och när storleken på avgiften ska bestämmas, ska särskild hänsyn tas till om överträdelsen varit uppsåtlig eller berott på oaktsamhet, den skada, fara eller kränkning som överträdelsen inneburit, överträdelsens karaktär, svårhetsgrad och varaktighet. Vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa skadan ska också vägas in, liksom om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts sanktionsavgift.
Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.
Skälen för utredningens förslag
Omständigheter som bör påverka sanktionsavgiften
För att komma fram till en lämpligt avvägd sanktionsavgift krävs det bedömningar i flera steg. Först bör det konstateras om det finns förutsättningar för att ta ut sanktionsavgift. Därefter bör det prövas om det finns skäl att avstå från att besluta om sanktionsavgift eller om sanktionsavgiftens storlek bör påverkas till följd av försvårande eller förmildrande omständigheter.
Det är som nyss nämnts inte obligatoriskt att ta ut sanktionsavgift. Det bör därför regleras vilka omständigheter som kan göra att sanktionsavgift inte tas ut och vad som kan påverka avgiftens stor-
Sanktioner SOU 2017:29
518
lek. Det sistnämnda är särskilt viktigt, eftersom sanktionsavgiftens storlek inte anges till ett fast belopp i lagen. En uppräkning av sådana omständigheter kan dock inte göras uttömmande utan bör ange de omständigheter som är särskilt viktiga. Bestämmelsen bör lämna utrymme för att också beakta andra förmildrande eller försvårande omständigheter.
Uppräkningen i dataskyddsförordningen av vilka omständigheter som bör beaktas kan tjäna som ledning för vad som är relevant. Utredningen anser att i princip samtliga omständigheter som räknas upp i artikel 83.2 i förordningen kan vara av större eller mindre betydelse för frågan om avgift ska tas ut och storleken på avgiften.
Både vid bedömningen av om avgift överhuvudtaget bör tas ut och vid bestämmandet av avgiftens storlek bör för det första särskild hänsyn tas till om överträdelsen varit avsiktlig. En avsiktlig överträdelse visar enligt utredningens mening tydligt på nonchalans mot regleringen och utrymmet att underlåta att ta ut avgift eller att bestämma avgiften till ett lågt belopp bör vara mycket litet. Tvärtom talar avsiktliga överträdelser starkt för att sanktionsavgift ska tas ut och att den ska sättas högt. I många fall är dock överträdelser resultatet av mer eller mindre oaktsamma förfaranden, t.ex. missförstånd om hur regleringen ska tillämpas eller ursäktliga bedömningsfel. Även graden av oaktsamhet bör därför vägas in.
För det andra bör beaktas vilken skada, fara eller kränkning som överträdelsen medfört. Ju större skadan, faran eller kränkningen är, desto mindre blir utrymmet att avstå från att ta ut avgift eller att bestämma avgiften till ett lågt belopp.
För det tredje bör överträdelsens karaktär, svårhetsgrad och varaktighet beaktas. Här spelar det roll vilken typ av personuppgifter som har behandlats, hur många uppgifter som har behandlats, för vilka syften och hur länge uppgifterna har behandlats. Om känsliga personuppgifter eller andra särskilt integritetskänsliga uppgifter har behandlats felaktigt, bör utrymmet för att avstå från att ta ut sanktionsavgift vara mindre och beloppet generellt sett sättas högre. Ju allvarligare överträdelsen är och ju längre den pågått, ju fler registrerade som berörs och ju större skada de registrerade drabbats av, desto starkare skäl talar både för att sanktionsavgift ska tas ut och för att beloppet ska sättas högt. Att en överträdelse vid en samlad
SOU 2017:29 Sanktioner
519
bedömning anses vara ringa talar för att någon sanktionsavgift inte bör tas ut eller att den i vart fall bör sättas lågt.
För det fjärde bör hänsyn tas till vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa skadan. Om de har vidtagit kraftfulla åtgärder för att lindra skadan bör det enligt utredningens mening öka möjligheten att avstå från att ta ut sanktionsavgift eller i vart fall leda till att sanktionsavgiften blir lägre än den annars skulle ha blivit. Även tekniska och organisatoriska åtgärder som vidtagits i syfte att undvika överträdelser bör beaktas. Ju fler och effektivare åtgärder som vidtagits, desto mindre klandervärt framstår de ansvarigas agerande. Hur överträdelsen kom till tillsynsmyndighetens kännedom bör också kunna beaktas. Om den personuppgiftsansvarige eller personuppgiftsbiträdet själv anmält överträdelsen eller tvärtom försökt att dölja den, bör det kunna beaktas i mildrande respektive försvårande riktning.
En femte viktig faktor är om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare gjort sig skyldig till överträdelser. Enligt utredningens mening är det särskilt graverande om den personuppgiftsansvarige eller personuppgiftsbiträdet trots påpekanden fortsatt att handla i strid med regleringen. Om den personuppgiftsansvarige eller personuppgiftsbiträdet däremot samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelser och minska negativa effekter av dem talar det i mildrande riktning.
Sanktionsavgiften bör kunna sättas ned helt eller delvis
Utredningen föreslår att den personuppgiftsansvarige och personuppgiftsbiträden ska ha strikt ansvar för överträdelser (se avsnitt 13.5.3). Det är därför nödvändigt att ge utrymme för att jämka eller helt sätta ned sanktionsavgiften i fall där det inte framstår som rimligt och proportionerligt att ta ut avgift.
Sanktionsavgiften bör kunna sättas ned helt eller delvis om exempelvis en personuppgiftsansvarig eller ett personuppgiftsbiträde också blir skadeståndsskyldig. Den samlade reaktionen skulle, beroende på överträdelsen, totalt sett kunna bli alltför betungande. Det bör då vara möjligt att jämka beloppet för att undvika att den samlade reaktionen på överträdelsen blir oproportionerlig. Eftersom ansvaret för överträdelser är strikt, bör det också vara möjligt
Sanktioner SOU 2017:29
520
att jämka sanktionsavgiften om det framkommer omständigheter som gör att överträdelsen är ursäktlig. Om regelverket överträtts på ett sådant sätt att det varit närmast omöjligt för den personuppgiftsansvarige att upptäcka överträdelsen, t.ex. om någon anställd i hemlighet manipulerat ett datasystem, skulle det t.ex. kunna finnas grund för jämkning.
Möjligheten att helt sätta ned avgiften bör tillämpas restriktivt och användas endast i undantagsfall. Det bör enbart aktualiseras om det skulle te sig oskäligt att ta ut sanktionsavgift.
13.7 Beslut om sanktionsavgift
13.7.1 Vem ska besluta om sanktionsavgift?
Utredningens förslag: Tillsynsmyndigheten ska besluta om
sanktionsavgift.
Skälen för utredningens förslag: Beslut om sanktionsavgift fattas
normalt av en tillsynsmyndighet eller en domstol. Generellt sett anses en tillsynsmyndighet lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfattandet är förhållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses mer lämpad att besluta om sanktionsavgift om det är aktuellt att pröva framför allt subjektiva rekvisit eller andra svårbedömda rekvisit.
Kraven på effektivitet och rättssäkerhet måste enligt utredningens uppfattning naturligtvis balanseras mot varandra vid utformningen av ett system med sanktionsavgifter. Det innebär inte med nödvändighet att beslut i fråga om sanktionsavgift måste fattas av domstol.
Enligt artikel 83.1 i dataskyddsförordningen ska tillsynsmyndigheten besluta om sanktionsavgift. Av artikel 83.7 i förordningen framgår att medlemsstaterna får avgöra om och i vilken utsträckning sanktionsavgift ska kunna tas ut av offentliga myndigheter. I artikel 83.9 i förordningen anges att en medlemsstat får föreskriva att domstol i stället för en tillsynsmyndighet får besluta om sanktionsavgift om ett nationellt sanktionsavgiftssystem saknas. Enligt skäl 151 verkar den artikeln ta sikte på två särskilt utpekade med-
SOU 2017:29 Sanktioner
521
lemsstater vilkas rättssystem inte tillåter den ordning förordningen föreskriver.
Utredningen utgår därför från att det kommer att bli tillsynsmyndigheten som beslutar om sanktionsavgifter på förordningens område. Som anges i avsnitt 13.3 har utredningen som utgångspunkt att sanktionssystemen i ramlagen och förordningen så långt möjligt ska stämma överens. Mot den bakgrunden bör tillsynsmyndigheten besluta om sanktionsavgift även enligt ramlagen. Om någon annan lösning skulle väljas på förordningens område när det gäller sanktionsavgift mot myndigheter bör utredningens förslag anpassas till det.
En särskild fråga är vem hos tillsynsmyndigheten som bör pröva frågor om sanktionsavgift. Det finns enligt utredningens mening starka skäl – inte minst från rättssäkerhetssynpunkt – som talar mot att samma person som utrett en eventuell överträdelse får besluta om sanktionsavgift. Det är viktigt att verksamheten organiseras så att förtroendet för tillsynsmyndigheten inte riskerar att rubbas. Med tanke på sanktionsbeslutens betydelse bör det enligt utredningens mening ställas höga krav på den som får besluta om sanktionsavgift. Det kan därför vara lämpligt att sådana beslut bara får fattas av ett fåtal personer.
Tillsynsmyndighetens beslut om sanktionsavgift bör få överklagas till allmän förvaltningsdomstol (se avsnitt 14.7.1). På så sätt tillgodoses rättssäkerhetsaspekterna för den som åläggs sanktionsavgift. På sikt kommer det att kunna bildas domstolspraxis till vägledning för tillsynsmyndighetens beslut.
13.7.2 Förfarandet vid beslut om sanktionsavgift
Utredningens bedömning: Det behövs ingen särskild regel om
att den som sanktionsavgift ska tas ut av ska få yttra sig innan tillsynsmyndigheten beslutar i fråga om sanktionsavgift.
Utredningens förslag: Sanktionsavgift får inte beslutas, om den
som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum.
Att beslutet ska delges den som sanktionsavgiften ska tas ut av ska regleras i förordning.
Sanktioner SOU 2017:29
522
Skälen för utredningens bedömning och förslag: Enligt artikel 57
ska medlemstaterna vidta de åtgärder som krävs för att säkerställa att de sanktioner som införs också genomförs. Det finns inga generella förfaranderegler för handläggningen av ärenden om sanktionsavgift. Det krävs därför särskilda förfaranderegler i ramlagen.
Innan tillsynsmyndigheten beslutar om sanktionsavgift bör den som sanktionsavgiften ska tas ut av ges tillfälle att yttra sig. Det ger den personuppgiftsansvarige eller personuppgiftsbiträdet möjlighet att anföra omständigheter som kan påverka både frågan om sanktionsavgift ska tas ut och frågan om sanktionsavgiftens storlek. Möjligheten att komma till tals innan beslut fattas är en förutsättning för materiellt riktiga avgöranden och är en viktig rättssäkerhetsfråga. Utredningen föreslår i avsnitt 12.8.2 att tillsynsmyndigheten ska vara skyldig att kommunicera underlaget inför beslut som riktar sig mot personuppgiftsansvariga och personuppgiftsbiträden. Det gäller även beslut om sanktionsavgift. Någon särskild regel om kommunikation i ärenden om sanktionsavgift behövs därför inte.
Trots att beslut om sanktionsavgift sannolikt i huvudsak kommer att riktas mot myndigheter bör enligt utredningens mening besluten delges, eftersom utgångspunkten är att avgiften ska betalas kort tid efter beslutet och rättssäkerhetsskäl talar för en sådan ordning. Det kan regleras i förordning.
Det bör finnas en bortre gräns för när en sanktionsavgift får beslutas. En regel som anger när avgift senast får beslutas, som blir en form av preskriptionsregel, bör därför tas in i ramlagen. Förfarandet är avsett att leda till snabbt beivrande av överträdelser, vilket talar för att tiden bör sättas kort. Samtidigt kan vissa överträdelser vara både svårupptäckta och ta tid att utreda. Möjligheten att besluta om sanktionsavgift får därför inte vara för begränsad om systemet ska bli effektivt och avskräckande. Med hänsyn till överträdelsernas karaktär anser utredningen att en tid motsvarande den preskriptionstid som gäller för brott där det svåraste straffet är mer än ett års fängelse, men inte överstiger fängelse i två år, är rimlig. Preskriptionstiden skulle därmed bli fem år. Det motsvarar den preskriptionstid som i dag gäller för grova brott mot 49 § personuppgiftslagen.
SOU 2017:29 Sanktioner
523
13.7.3 Betalning och verkställighet
Utredningens förslag: Sanktionsavgiften ska tillfalla staten. I
förordning ska det bl.a. regleras till vilken myndighet och när sanktionsavgiften ska betalas och vad som gäller vid indrivning.
Skälen för utredningens förslag: Tillsynsmyndighetens beslut om
sanktionsavgift bör gälla som en dom och vara verkställbar. En sådan ordning är rimlig med tanke på att de personuppgiftsansvariga i de flesta fall är myndigheter. Genom den lösningen blir också sanktionsavgiftssystemet effektivare.
Sanktionsavgiften bör som brukligt tillfalla staten, vilket bör framgå av ramlagen. Regeringen bör bestämma till vilken myndighet betalningen ska göras.
Betalning bör normalt göras inom 30 dagar från det att beslutet fick laga kraft. Det bör dock finnas möjlighet för tillsynsmyndigheten att i det enskilda fallet bestämma en längre betalningsfrist. Det kan t.ex. bli aktuellt vid mycket höga belopp. Om en individuellt bestämd betalningsfrist inte kopplas till när beslutet får laga kraft kan betalningsskyldighet således inträda trots att beslutet har överklagats.
Ett beslut om sanktionsavgift bör få lämnas till indrivning efter sista betalningsdagen. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning tillämpas utsökningsbalken. Om beslutet överklagas bör domstolen inhibera verkställighetsförfarandet till dess att den rättsliga prövningen har avslutats, om betalningsfristen inte har kopplats till att beslutet fått laga kraft.
Om betalningsansvaret upphävts genom beslut som fått laga kraft och betalning gjorts bör avgiften återbetalas. Det kan bli aktuellt om fristen för betalning inte kopplats till tidpunkten för laga kraft. Ränta på beloppet bör utges från den dag sanktionsavgiften betalades till och med den dag avgiften återbetalas.
Av samma skäl som det i lagen bör anges en tidpunkt för när sanktionsavgift inte längre får tas ut, bör det också finnas en bortre gräns för när ett beslut om sanktionsavgift får verkställas. När beslutet om sanktionsavgift fått laga kraft bör beslutet verkställas inom tio år. Om så inte blir fallet bör betalningsansvaret för avgiften bortfalla till den del den inte har betalats.
Sanktioner SOU 2017:29
524
Samtliga dessa frågor, utom när det gäller vem sanktionsavgiften ska tillfalla, kan regleras i förordning.
13.7.4 Överklagande
Utredningens bedömning: Det behövs ingen särskild regel om
överklagande av beslut om sanktionsavgift.
Skälen för utredningens bedömning: Ett beslut om att ta ut
sanktionsavgift bör kunna prövas av domstol. Den som har ålagts sanktionsavgift bör ha rätt att överklaga beslutet. Eftersom det är fråga om ett förvaltningsbeslut bör beslutet överklagas till allmän förvaltningsdomstol.
Någon särskild överklaganderegel behövs inte, eftersom tillsynsmyndighetens beslut får överklagas enligt den regel om överklagande som utredningen föreslår i avsnitt 14.7.1.
13.8 Sanktionsavgift och Europakonventionen
13.8.1 Konventionens krav på rättssäkerhetsgarantier
Utredningens bedömning: Systemet med sanktionsavgift upp-
fyller Europakonventionens krav på rättssäkerhetsgarantier.
Skälen för utredningens bedömning: Sanktionsavgift är en straff-
liknande ekonomisk sanktion med ett avskräckande och bestraffande syfte. Det har därför i doktrinen framförts åsikter om att sanktionsavgifter normalt ska presumeras utgöra brottsanklagelser i Europakonventionens mening. Om den föreslagna sanktionsavgiften skulle anses ha den karaktären medför det att de rättssäkerhetsgarantier som ställs upp i artikel 6 i konventionen måste vara uppfyllda (se Warling-Nerep s. 153 f. och SOU 2013:38 s. 455). Utredningen behöver därför ta ställning till om förslagen lever upp till dessa garantier.
Den som avgiften ska tas ut av ska underrättas om överträdelsen och ges rätt att yttra sig innan beslut om sanktionsavgift fattas. Beslutsmyndigheten har bevisbördan för att det är fråga om en
SOU 2017:29 Sanktioner
525
överträdelse och att den bör föranleda sanktionsavgift. Ansvaret är visserligen strikt, men det finns möjlighet att avstå från att ta ut sanktionsavgift eller att jämka den. Den som åläggs sanktionsavgift har rätt till domstolsprövning och rätt att överklaga domstolens beslut. Den föreslagna regleringen uppfyller enligt utredningens mening därför väl konventionens krav på rättssäkerhetsgarantier.
13.8.2 Konventionens förbud mot dubbelprövning
Utredningens bedömning: Det behövs ingen bestämmelse i
ramlagen om förbud mot dubbelprövning.
Skälen för utredningens bedömning: Bestämmelser om att ingen
ska kunna lagföras eller straffas två gånger för samma brott finns dels i sjunde tilläggsprotokollet till Europakonventionen, dels i rättighetsstadgan.
Enligt artikel 4.1 i sjunde tilläggsprotokollet får ingen lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan blivit slutligt frikänd eller dömd (förbud mot dubbelprövning). Dubbelprövningsförbudet är begränsat till samma rättssubjekt. Huvudsyftet med artikeln är att förhindra en upprepning av en brottmålsrättegång som avslutats med ett slutligt avgörande och att förhindra att samma rättssubjekt prövas för samma brott två gånger. Det är följaktligen inte förbjudet att döma ut flera straff för samma brott, utan endast att pröva samma brott på nytt, dvs. vid två olika tillfällen. Konventionen gäller som lag i Sverige och enligt 2 kap. 19 § regeringsformen får lag eller annan föreskrift inte meddelas i strid med Sveriges åtaganden enligt konventionen.
I artikel 50 i rättighetsstadgan föreskrivs att ingen får lagföras eller straffas på nytt för en lagöverträdelse för vilken han eller hon redan har blivit frikänd eller dömd i unionen genom en lagakraftvunnen brottmålsdom. Enligt artikel 52.3 har artikel 50 samma innebörd som sin motsvarighet i Europakonventionen.
Sanktionsavgift får enbart tas ut av personuppgiftsansvariga och personuppgiftsbiträden, som i princip alltid är juridiska personer. Ställföreträdare och faktiska företrädare för de juridiska personerna
Sanktioner SOU 2017:29
526
eller deras anställda kan däremot aldrig bli föremål för sanktionsavgift enligt lagen.
Rekvisiten för de överträdelser av bestämmelser som kan föranleda sanktionsavgift i ramlagen och rekvisiten för straffansvar enligt brottsbalken är olika och bestämmelserna kommer därmed i praktiken mycket sällan att kunna träffa samma handlande. Vidare krävs att den som avgiften ska tas ut av också är den som är straffrättsligt ansvarig (se avsnitt 13.2.1). Eftersom juridiska personer inte kan straffas enligt svensk rätt är det enbart när en fysisk person är behörig myndighet enligt ramlagen eller personuppgiftsbiträde som förbudet mot dubbelprövning kan aktualiseras. Enda gången som det skulle kunna komma i fråga att ta ut sanktionsavgift av en fysisk person är om han eller hon är enskild näringsidkare. Enligt utredningens bedömning rör det sig förmodligen om enstaka fall. Därmed kommer förbudet mycket sällan, om ens någonsin, att behöva tillämpas. Om det mot förmodan skulle bli fallet gäller Europakonventionen som svensk lag. Det innebär att en domstol alltid måste ta hänsyn till förbudet. Mot den bakgrunden anser utredningen att det inte behövs någon bestämmelse om förbud mot dubbelprövning i ramlagen.
527
14 Rättsmedel och skadestånd
14.1 Krav på effektiva rättsmedel vid felaktig personuppgiftsbehandling
Direktivet innehåller flera artiklar om rättsmedel, där den gemensamma nämnaren är att rättsmedlen ska vara effektiva. Den som på rimliga grunder påstår sig ha blivit utsatt för en kränkning av sina rättigheter ska ha möjlighet att få sitt påstående prövat och kunna få rättelse eller gottgörelse för konstaterade kränkningar. Rättsmedlet ska också vara effektivt i den meningen att det ska medge en tillfredsställande prövning. Det måste även vara praktiskt möjligt för berörda personer att utnyttja rättsmedlen. Även om ett visst rättsmedel sett för sig inte uppfyller kraven för att vara effektivt kan flera rättsmedel tillsammans göra det (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 5 uppl. 2015, s. 539).
Enligt artikel 54 ska en registrerad ha rätt till ett effektivt rättsmedel, om han eller hon anser att hans eller hennes rättigheter har kränkts genom att personuppgifter har behandlats på ett sätt som inte är förenligt med de bestämmelser som genomför direktivet. Var och en som lidit skada till följd av behandling av personuppgifter i strid med bestämmelserna ska enligt artikel 56 kunna få ersättning. En registrerad som anser att behandlingen av hans eller hennes personuppgifter står i strid med de bestämmelser som genomför direktivet ska enligt artikel 52.1 också ha rätt att lämna in klagomål till en tillsynsmyndighet. Om tillsynsmyndigheten inte handlägger klagomålet inom viss tid har den registrerade enligt artikel 53.2 rätt till prövning i domstol av om myndigheten onödigt dragit ut på handläggningen av ärendet (dröjsmålstalan). Den som berörs av ett rättsligt beslut, meddelat av tillsynsmyndigheten, ska enligt artikel 53.1 kunna överklaga det till domstol.
Rättsmedel och skadestånd SOU 2017:29
528
Flertalet av rättsmedlen i direktivet gäller i förhållande till personuppgiftsansvariga och i vissa fall personuppgiftsbiträden. Så är fallet med bestämmelserna om rättsmedel i artikel 52.1 (rätten att ge in klagomål till tillsynsmyndigheten), artikel 54 (rätten att föra talan) och artikel 56 (rätten till skadestånd). Artiklarna 53.1 och 53.2 (rätten att överklaga tillsynsmyndighetens beslut och att begära prövning av om myndigheten onödigt dragit ut på handläggningen av ett klagomål) gäller däremot i förhållande till tillsynsmyndigheten.
De flesta av rättsmedlen är främst eller uteslutande tänkta att användas av registrerade. Det gäller framför allt de rättsmedel som riktar sig mot personuppgiftsansvariga och personuppgiftsbiträden. Rätten till skadestånd gäller dock för var och en som lidit skada till följd av en olaglig behandling av personuppgifter eller någon annan åtgärd som står i strid med de bestämmelser som genomför direktivet även om det främst är registrerade som kan drabbas av sådan skada.
Talan mot tillsynsmyndighetens beslut är i första hand tänkt att kunna användas av personuppgiftsansvariga och personuppgiftsbiträden, eftersom det i huvudsak är de som träffas av bindande beslut. Även andra, exempelvis registrerade, ska dock kunna utnyttja rättsmedlet om besluten avser dem, eftersom ett rättsmedel ska vara tillgängligt för varje fysisk och juridisk person som ett rättsligt bindande beslut av tillsynsmyndigheten avser. Registrerade ska också ges rätt att begära domstolsprövning av om tillsynsmyndigheten inte handlagt ett klagomål i tid.
Rätten att använda ett rättsmedel får enligt direktivet inte påverka rätten att använda ett annat av rättsmedlen. Det innebär att en registrerad t.ex. kan välja att både ge in ett klagomål till tillsynsmyndigheten och begära skadestånd av den personuppgiftsansvarige avseende samma personuppgiftsbehandling.
Förutom de rättsmedel som anges i direktivet finns i svensk rätt dessutom möjlighet att enligt 52 § personuppgiftslagen överklaga vissa beslut som en myndighet fattat i egenskap av personuppgiftsansvarig.
SOU 2017:29 Rättsmedel och skadestånd
529
14.2 Talerätt för registrerade
Utredningens bedömning: Rätten att vid allmän domstol föra
talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde om den registrerades rättigheter har kränkts genom personuppgiftsbehandling kräver inga lagstiftningsåtgärder.
Skälen för utredningens bedömning: Enligt artikel 54 ska en regi-
strerad ha rätt till ett effektivt rättsmedel, om han eller hon anser att hans eller hennes rättigheter har kränkts genom att personuppgifter har behandlats på ett sätt som inte är förenligt med de bestämmelser som genomför direktivet. Av rubriken till artikeln – rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde – framgår att det är mot deras agerande som det ska finnas ett rättsmedel. Av skäl 85 framgår att det är ett rättsmedel enligt artikel 47 i rättighetsstadgan som avses. Det innebär att den registrerade ska ha rätt att föra talan vid domstol.
Enligt artikel 22 i det nu gällande direktivet har var och en rätt att föra talan inför domstol vid kränkningar till följd av behandling av personuppgifter. I skäl 55 förtydligas att det som avses är en möjlighet till rättslig prövning när en personuppgiftsansvarig inte respekterar en registrerads rättigheter. Artikel 22 ledde inte till någon lagstiftning när personuppgiftslagen infördes. Frågan behandlas inte heller i förarbetena, förutom i relation till 28 § personuppgiftslagen, som reglerar rätten för en registrerad att begära att en personuppgift rättas. Av förarbetena framgår att om oenighet uppstår mellan den personuppgiftsansvarige och den registrerade om huruvida korrigering ska göras, kan den registrerade vända sig till tillsynsmyndigheten. Regeringen påminner också om möjligheten för den registrerade att själv väcka talan vid allmän domstol (prop. 1997/98:44 s. 132 f.). Det får således, som Informationshanteringsutredningen konstaterar, antas att regeringen ansåg att var och ens rätt att väcka talan vid allmän domstol i den ordning som gäller för tvistemål var tillräcklig för att uppfylla direktivets krav i denna del (SOU 2015:39 s. 656).
Artikel 54 i det nya direktivet har enligt utredningens bedömning i sak samma innebörd. Artikeln innebär en rätt att föra talan vid domstol för den som anser att hans eller hennes rättigheter har kränkts vid behandlingen av personuppgifter.
Rättsmedel och skadestånd SOU 2017:29
530
Utredningen gör samma bedömning som regeringen gjorde beträffande artikel 22 i det nu gällande dataskyddsdirektivet. Det krävs därmed inte någon lagstiftningsåtgärd för att genomföra artikel 54. Den möjlighet enskilda har att väcka talan vid allmän domstol i den ordning som gäller för tvistemål får anses vara tillräcklig.
Förutom att föra talan om skadestånd (rätten till skadestånd regleras särskilt i artikel 56), torde den registrerade också kunna föra en fullgörelse- eller fastställelsetalan (se SOU 2004:6 s. 208).
Talan kan föras mot en personuppgiftsansvarig. Det finns skäl att i detta sammanhang påpeka att ett personuppgiftsbiträde som i strid med den personuppgiftsansvariges instruktioner själv fastställt ändamålen med eller medlen för behandling ska betraktas som personuppgiftsansvarig för den behandlingen (se avsnitt 10.6.3).
Direktivet förutsätter att talan även ska kunna föras mot personuppgiftsbiträden. Eftersom personuppgiftsbiträden inte, utom i det fall som nyss nämnts, självständigt behandlar personuppgifter kommer troligen talan mycket sällan att väckas mot personuppgiftsbiträden.
14.3 Skadestånd
14.3.1 Det allmännas skadeståndsansvar
Enligt 3 kap. 2 § skadeståndslagen (1972:207) ska staten eller en kommun ersätta personskada, sakskada eller ren förmögenhetsskada som vållas genom fel eller försummelse vid myndighetsutövning i verksamhet för vars fullgörande staten eller kommunen svarar. Ersättningsskyldigheten omfattar även ideell skada på grund av att någon genom fel eller försummelse vid myndighetsutövning kränkts på det sätt som anges i 2 kap. 3 § samma lag.
I 2 kap. 3 § skadeståndslagen föreskrivs att den som allvarligt kränker någon annan genom brott som innefattar ett angrepp mot dennes person, frihet, frid eller ära ska ersätta den skada som kränkningen innebär. Ideellt skadestånd för att den personliga integriteten har kränkts, dvs. ersättning för en skada som varken är personskada eller ekonomisk skada, förutsätter alltså att kränkningen har orsakats genom brott. Det krävs också att kränkningen är allvarlig.
SOU 2017:29 Rättsmedel och skadestånd
531
Ersättning för kränkning med stöd av 3 kap. 2 § jämförd med 2 kap. 3 § skadeståndslagen förutsätter att kränkningen har orsakats vid myndighetsutövning. Om det inte är fråga om myndighetsutövning kan skadestånd ändå utgå enligt 3 kap. 1 § skadeståndslagen för skada som vållats av arbetstagare. Det förutsätter att kränkningen har orsakats av att den anställde har begått brott i tjänsteutövningen.
Genom Högsta domstolens praxis har det lagts fast en rätt till ideellt skadestånd vid kränkningar av Europakonventionen även i andra fall än de som regleras i skadeståndslagen. Det har bl.a. varit fråga om kränkningar av rätten till privat- och familjeliv enligt artikel 8 i konventionen. Utredningen om det allmännas ansvar enligt Europakonventionen föreslog en ny regel i skadeståndslagen som skulle ge fysiska och juridiska personer rätt till skadestånd av staten eller en kommun vid överträdelser av konventionen (Skadestånd och Europakonventionen, SOU 2010:87). Förslaget har inte lett till lagstiftning.
Den som anser att han eller hon har orsakats skada av det allmänna kan väcka talan mot staten eller en kommun vid allmän domstol. Saken prövas då som tvistemål.
Om en skada orsakats av staten kan JK besluta om skadestånd till enskilda inom ramen för statens frivilliga skadereglering. Sådana anspråk från enskilda handläggs enligt förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. Det kan vara anspråk som grundas på 3 kap. 1 eller 2 § skadeståndslagen eller skadeståndsregler i andra författningar, t.ex. 48 § personuppgiftslagen (se avsnitt 14.3.2). Möjligheten till frivillig skadereglering syftar till att avlasta domstolarna. Regleringen är främst avsedd för fall där det egentligen inte finns någon tvist, utan det står klart att ett skadeståndsgrundande fel har begåtts och att den enskilde har rätt till viss ersättning. JK:s skadereglering är kostnadsfri för enskilda. Ombudskostnader kan i viss utsträckning ersättas. Den som inte är nöjd med JK:s beslut kan väcka talan på vanligt sätt vid allmän domstol.
På det kommunala området finns det ingen motsvarande frivillig skadereglering. En kommun är emellertid oförhindrad att frivilligt reglera en skada som någon orsakats i kommunens verksamhet, exempelvis i samband med otillåten behandling av personuppgifter. Om ett landsting eller en kommun inte själv vill reglera en påstådd
Rättsmedel och skadestånd SOU 2017:29
532
skada, får den enskilde vända sig till allmän domstol. Som tidigare nämnts kan socialnämnder och landsting ha uppgifter som omfattas av ramlagens tillämpningsområde (se avsnitt 8.4.5).
14.3.2 Skadeståndsskyldighet för personuppgiftsansvariga
Utredningens förslag: Den personuppgiftsansvarige ska ersätta
den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med ramlagen eller föreskrifter som meddelats i anslutning till den har orsakat.
Utredningens bedömning: Jämkning av skadeståndsskyldig-
heten bör inte vara möjlig.
Skälen för utredningens förslag och bedömning
Innehållet i direktivet och nuvarande reglering
Enligt artikel 56 ska var och en som lidit materiell eller immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de bestämmelser som genomför direktivet ha rätt till ersättning från den personuppgiftsansvarige eller varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt.
Enligt 48 § första stycket personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med lagen har orsakat. Alla åtgärder som är oförenliga med personuppgiftslagen kan leda till skadeståndsskyldighet. Ersättningsskyldighet inträder så snart en bestämmelse överträtts, vilket gör att skadeståndsansvaret är strikt.
I registerförfattningarna för myndigheterna i rättskedjan hänvisas till 48 § personuppgiftslagen. Myndigheternas skadeståndsansvar omfattar därmed både överträdelser som begås mot reglerna i registerförfattningen och mot de regler i personuppgiftslagen som gäller för myndigheten.
SOU 2017:29 Rättsmedel och skadestånd
533
Regleringen i det nya direktivet motsvarar artikel 19 i dataskyddsrambeslutet. Varken i artikel 56 i direktivet eller i artikel 19 i dataskyddsrambeslutet finns det någon exculperingsregel. Med det avses en bestämmelse som gör att den personuppgiftsansvarige under vissa förhållanden kan undgå skadeståndsansvar trots att behandlingen av personuppgifter varit felaktig. En sådan regel finns däremot i 48 § andra stycket personuppgiftslagen.
JK:s skadereglering i personuppgiftsärenden
JK handlägger inom ramen för statens frivilliga skadereglering skadeståndsanspråk enligt 48 § personuppgiftslagen. Under åren 2011– 2013 kom det in 196 sådana ärenden. Under samma period avgjorde JK 225 ärenden varav ersättning utgick i 131 fall, dvs. i ca 60 procent av ärendena. Det kan jämföras med att det i ärenden om skadeståndsanspråk mot staten som grundas på skadeståndslagen normalt utgår ersättning i 12–13 procent av fallen. Exempel på skador på grund av överträdelse av personuppgiftslagen som enligt JK:s beslut medfört ersättningsskyldighet är bristande gallringsrutiner, felaktiga personuppgifter i olika register och felaktiga uppgifter på domstolars uppropslistor. I betänkandet Myndighetsdatalag redovisas en genomgång av JK:s praxis (SOU 2015:39 s. 643 f.).
Vem ska vara skadeståndsskyldig?
Direktivet förutsätter att enskilda ska kunna begära skadestånd vid behandling av personuppgifter i strid med de bestämmelser som genomför direktivet. Det behövs därför en bestämmelse i ramlagen om skadeståndsansvar.
Enligt 48 § personuppgiftslagen är det enbart den personuppgiftsansvarige som är skadeståndsskyldig. Gentemot den registrerade är den personuppgiftsansvarige ansvarig för all behandling, dvs. även när ett personuppgiftsbiträde eller annan hjälp anlitas. Om fel har begåtts av t.ex. ett personuppgiftsbiträde anses det alltså bero på den personuppgiftsansvarige.
Enligt dataskyddsförordningen ska det även finnas möjlighet att rikta skadeståndstalan mot personuppgiftsbiträden (artikel 82.1), men i direktivet finns ingen motsvarande bestämmelse. Däremot
Rättsmedel och skadestånd SOU 2017:29
534
framgår det av rubriken till artikel 54 att den registrerade ska ha rätt till ett effektivt rättsmedel inte bara mot den personuppgiftsansvarige utan även mot personuppgiftsbiträden, dvs. kunna väcka talan vid allmän domstol mot dessa för att få en domstolsprövning till stånd.
Utredningen anser att det skulle föra för långt att enbart av rubriken till artikel 54 dra slutsatsen att det måste finnas möjlighet för enskilda att föra skadeståndstalan även mot personuppgiftsbiträden. Det finns inte heller något annat som talar för att ålägga personuppgiftsbiträden skadeståndsansvar. Bara den personuppgiftsansvarige bör således vara skadeståndsansvarig enligt ramlagen. För den registrerade tillgodoses rätten till ersättning för skada som ett personuppgiftsbiträde har orsakat genom att den personuppgiftsansvarige är ansvarig även för biträdets handlande.
Det finns dock skäl att erinra om att ett personuppgiftsbiträde ibland är att anse som personuppgiftsansvarig för viss behandling och då givetvis kan bli skadeståndsskyldig i den egenskapen. Enligt artikel 22.5 gäller det om biträdet själv fastställt ändamålen och medlen för behandlingen (se avsnitt 10.6.3).
Utredningen återkommer i slutbetänkandet till frågan om och i så fall i vilken utsträckning skadeståndsskyldighet enligt registerförfattningarna behöver regleras särskilt.
Vad avses med varje annan myndighet?
Enligt artikel 56 ska den som har lidit materiell eller immateriell skada ha rätt till ersättning för skadan från den personuppgiftsansvarige eller från varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt. I skäl 88 förklaras att den som lidit skada bör få ersättning av den personuppgiftsansvarige eller någon annan myndighet som är behörig enligt nationell rätt.
Frågan är vad som avses med varje annan myndighet. Formuleringen skulle enligt utredningens uppfattning kunna tolkas på tre olika sätt. För det första kan den tolkas som att inte bara den personuppgiftsansvarige kan bli skadeståndsskyldig, utan även någon annan behörig myndighet som bidragit till den felaktiga personuppgiftsbehandlingen. För det andra kan formuleringen avse att det i nationell rätt kan vara en annan myndighet än den personupp-
SOU 2017:29 Rättsmedel och skadestånd
535
giftsansvarige som är skadeståndsansvarig. För det tredje skulle formuleringen kunna syfta på att den enskilde kan vända sig till en särskild myndighet, som hanterar frågor om det allmännas skadeståndsansvar.
Att andra myndigheter vid sidan av den personuppgiftsansvariga myndigheten skulle kunna bli skadeståndsskyldiga anser utredningen inte vara en rimlig tolkning, eftersom det skulle urholka den ansvarsfördelning som direktivet bygger på. Att det däremot i vissa av medlemsstaterna kan finnas regler som gör att särskilt utpekade myndigheter i stället kan vara skadeståndsskyldiga kan inte uteslutas. Någon sådan ordning finns inte i svensk rätt. Om bestämmelsen ska tolkas på det tredje sättet finns det redan en sådan myndighet som kan avses, nämligen JK, som har det mandat som krävs.
Utredningen anser att båda de senare tolkningarna är möjliga. Direktivet förutsätter inte att det införs en ordning där en särskild myndighet är skadeståndsansvarig. Det finns inte heller skäl att ändra den ordning som gäller. Den innebär att den personuppgiftsansvarige bär ansvaret för behandlingen och kan bli skadeståndsskyldig, men att JK samtidigt företräder staten när det gäller skadeståndsfrågor i statlig verksamhet. Någon lagstiftningsåtgärd behövs därmed inte för att genomföra artikel 56 i denna del.
Skadeståndets omfattning
Enligt artikel 56 ska både materiell och immateriell skada till följd av olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med regelverket ersättas. Begreppet skada bör enligt skäl 88 tolkas brett baserat på EU-domstolens rättspraxis och på ett sätt som fullt ut återspeglar direktivets mål. Skadeståndsansvaret är enligt direktivet strikt och förutsätter att en registrerad ersätts för all den skada han eller hon lidit till följd av behandling i strid med regelverket. Det finns således ingen möjlighet att ha regler som innebär att viss personuppgiftsbehandling inte ska medföra skadeståndsansvar.
Rätten till personlig integritet är en immateriell rättighet. Den personuppgiftsansvarige är därför ersättningsskyldig inte bara för ekonomisk skada utan även för ideell skada. Den enskilde har alltså, förutom rätt till ersättning för personskada, sakskada och ren för-
Rättsmedel och skadestånd SOU 2017:29
536
mögenhetsskada, rätt till ekonomisk kompensation för kränkningen. Det är bara skada eller kränkning som behandlingen har fört med sig som ska ersättas. Orsakssambandet ska vara adekvat.
Den nuvarande skadeståndsregeln i personuppgiftslagen möter både kravet på att all skada ska ersättas och att det ska finnas adekvat kausalitet. Bestämmelsen i ramlagen kan därför utformas med den som mönster. Som tidigare nämnts finns det ingen exculperingsregel i artikel 56. En personuppgiftsansvarig kan alltså inte undgå ansvar genom att t.ex. göra gällande att uppgifterna var felaktiga redan när de mottogs. Eftersom direktivet inte innehåller någon regel som motsvarar 48 § andra stycket personuppgiftslagen är det emellertid enligt utredningens mening inte möjligt att ha någon sådan jämkningsregel i ramlagen.
Hur ska ersättningen för kränkning beräknas?
Liksom i dag bör ersättningen för kränkning uppskattas efter skälighet, mot bakgrund av samtliga omständigheter. Det som kan ha betydelse är bl.a. att personuppgifter spridits eller att det funnits risk för otillbörlig spridning av integritetskänsliga eller felaktiga personuppgifter. En annan omständighet kan vara att den registrerade drabbats av beslut eller andra åtgärder som fått eller kunnat få negativa konsekvenser för honom eller henne. Om den registrerade själv har lämnat oriktig eller ofullständig information till den personuppgiftsansvarige, kan den personuppgiftsansvariges behandling av personuppgifterna inte anses innebära en sådan kränkning av den personliga integriteten som bör föranleda ersättning.
Förhållandet till skadeståndslagen
Ramlagens bestämmelse kommer i likhet med 48 § personuppgiftslagen att vara en sådan specialbestämmelse om skadestånd som enligt 1 kap. 1 § skadeståndslagen tar över de allmänna reglerna i den lagen. Om en ersättningsfråga inte regleras i ramlagen – t.ex. hur ersättningen för en personskada eller sakskada ska beräknas (5 kap. skadeståndslagen) eller hur ansvaret ska fördelas när flera är skadeståndsskyldiga (6 kap. 4 § skadeståndslagen) – tillämpas de allmänna reglerna i skadeståndslagen.
SOU 2017:29 Rättsmedel och skadestånd
537
14.4 Överklagande av en myndighets beslut i egenskap av personuppgiftsansvarig
Utredningens förslag: Om den personuppgiftsansvarige är en
myndighet ska beslut angående rättelse, komplettering, radering eller begränsning av behandlingen, som meddelats på begäran av den registrerade, kunna överklagas till allmän förvaltningsdomstol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad, att ta ut avgift för att lämna sådan information eller att inte medge omprövning av ett automatiserat beslut. Vid överklagande till kammarrätten ska krävas prövningstillstånd.
Sådana beslut som meddelas av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän ska inte kunna överklagas.
Några andra beslut än de som uttryckligen anges i ramlagen ska inte få överklagas.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt direktivet krävs endast att tillsynsmyndighetens beslut ska kunna överklagas (se avsnitt 14.7.1). I övrigt ställs inga krav på att beslut ska kunna överklagas. Inte heller det nu gällande direktivet ställer några sådana krav.
Enligt 52 § första stycket personuppgiftslagen får dock även vissa beslut som fattas av en personuppgiftsansvarig, som är en myndighet, överklagas till allmän förvaltningsdomstol. Det gäller emellertid bara vissa i paragrafen uppräknade beslut, nämligen beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Överklaganderätten gäller inte beslut av riksdagen, regeringen eller riksdagens ombudsmän.
Skälet till att bestämmelsen infördes var troligtvis att beslut som en myndighet fattar i egenskap av personuppgiftsansvarig ses som ett utflöde av myndighetsutövning och inte som ett ställningstagande av myndigheten i ett civilrättsligt förhållande. En enskild ska
Rättsmedel och skadestånd SOU 2017:29
538
därför inte behöva väcka talan vid allmän domstol i den ordning som gäller för tvistemål, utan i stället kunna överklaga besluten till allmän förvaltningsdomstol. De beslut som får överklagas har bedömts vara sådana beslut som får återverkningar för enskilda (jfr SOU 2015:39 s. 663).
Även i de behöriga myndigheternas registerförfattningar finns det bestämmelser om överklagande av sådana beslut, men det varierar hur överklagandebestämmelserna är utformade. I t.ex. 2 kap. 2 § första stycket 13 polisdatalagen (2010:361), 2 kap. 2 § första stycket 13 åklagardatalagen (2015:433) och 2 kap. 2 § första stycket 13 kustbevakningsdatalagen (2012:145) hänvisas till 52 § första stycket personuppgiftslagen. Domstolsdatalagen (2015:728) har däremot egna överklagandebestämmelser som i sak i allt väsentligt motsvarar 52 § första stycket personuppgiftslagen, men har anpassats till följd av instansordningen (20–22 §§). I lagen (2001:617) om behandling av personuppgifter inom kriminalvården finns det också särskilda överklagandebestämmelser (12–16 §§).
Behovet av en överklagandebestämmelse i ramlagen
Det är naturligt att se en myndighets beslut i egenskap av personuppgiftsansvarig, exempelvis i fråga om en personuppgift ska rättas eller inte, som ett utflöde av dess myndighetsutövning. I allmänhet har myndigheten behandlat personuppgifterna i syfte att fullgöra myndighetsuppgifter. Personuppgifterna har också normalt behandlats med stöd av olika författningsbestämmelser, oberoende av den registrerades samtycke. Utredningen anser därför att ramlagen bör innehålla en bestämmelse som motsvarar 52 § personuppgiftslagen, även om direktivet inte ställer krav på att andra beslut än tillsynsmyndighetens ska kunna överklagas.
Utredningen kommer att behandla frågan om det behövs särskilda överklagandebestämmelser i registerförfattningarna i slutbetänkandet.
SOU 2017:29 Rättsmedel och skadestånd
539
Vilka beslut ska kunna överklagas?
När det gäller enskildas rätt att överklaga myndighetsbeslut, bör enligt utredningens uppfattning samma utgångspunkt gälla som i fråga om rätten att överklaga beslut enligt personuppgiftslagen. Överklaganderätten bör alltså enbart ta sikte på sådana beslut av myndigheten som den fattat i egenskap av personuppgiftsansvarig och som direkt berör den enskilde och som gått honom eller henne emot. Sådana beslut bör på samma sätt som andra förvaltningsbeslut kunna överklagas till allmän förvaltningsdomstol.
Utredningen har med den utgångspunkten övervägt vilka beslut som bör vara överklagbara. Beslut som fattas på begäran av en registrerad om att personuppgifter ska rättas, kompletteras eller raderas eller att behandlingen av personuppgifter ska begränsas bör kunna överklagas. Det bör gälla oavsett om myndigheten avslår begäran eller vidtar en annan åtgärd än den som begärts. Har myndigheten helt eller delvis underlåtit att lämna information som den enskilde har begärt, bör beslutet kunna överklagas. Även beslut att ta ut avgift för information eller att vägra omprövning av ett automatiserat beslut bör kunna överklagas.
Enbart vissa beslut som en myndighet i egenskap av personuppgiftsansvarig fattar bör alltså få överklagas. Det bör framgå direkt av ramlagen vilka beslut det är. Uppräkningen motsvarar i allt väsentligt de beslut som i dag får överklagas enligt 52 § personuppgiftslagen.
Överklagandena bör, på samma sätt som i dag, prövas av allmän förvaltningsdomstol. Det finns inte skäl att beskära instansordningen så att förvaltningsrättens avgörande inte får överklagas. Vid överklagande till kammarrätten bör det dock, på samma sätt som i dag, krävas att domstolen beviljar prövningstillstånd för att klaganden ska få sitt överklagande prövat i sak.
Vad bör inte få överklagas?
Alla beslut som en myndighet fattar i egenskap av personuppgiftsansvarig bör dock inte få överklagas. En myndighets beslut att betala ut skadestånd för att personuppgifter behandlats i strid med ramlagen eller att avslå en framställning om det bör enligt utredningens mening inte få överklagas. Den enskilde har i sådana fall
Rättsmedel och skadestånd SOU 2017:29
540
alltid möjlighet att väcka talan om saken vid allmän domstol. Administrativa beslut av en personuppgiftsansvarig myndighet, t.ex. i fråga om tillgången till personuppgifter, berör inte den enskilde på ett sådant sätt att de bör få överklagas. Det bör av ramlagen framgå att andra beslut än de som räknas upp inte får överklagas.
Rätten att överklaga bör inte heller gälla beslut av myndigheter vilkas beslut normalt inte får överklagas. En uttrycklig bestämmelse om det bör tas in i ramlagen. Det gäller för beslut av regeringen (jfr regleringen av utlämnande av allmänna handlingar i 6 kap. 7 § offentlighets- och sekretesslagen). För utlämnande av allmänna handlingar gäller samma ordning för JO som för riksdagen och regeringen (se 4 § andra stycket lagen [1989:186] om överklagande av administrativa beslut av Riksdagsförvaltningen och riksdagens myndigheter). Beslut som fattas av Riksdagens ombudsmän i egenskap av personuppgiftsansvarig myndighet därför inte kunna överklagas.
Högsta domstolens och Högsta förvaltningsdomstolens beslut får inte överklagas (jfr 11 kap. 1 § regeringsformen, 3 kap. 1 § rättegångsbalken och 1 § lagen [1971:289] om allmänna förvaltningsdomstolar). Därför bör inte heller deras beslut enligt ramlagen få överklagas (jfr prop. 2014/15:148 s. 94).
14.5 Klagomål
Utredningens bedömning: En registrerads rätt att lämna in
klagomål till en tillsynsmyndighet om han eller hon anser att hans eller hennes personuppgifter har behandlats felaktigt kräver inga lagstiftningsåtgärder.
Skälen för utredningens bedömning
Innehållet i direktivet
I direktivet finns bestämmelser om hur klagomål över behandling av personuppgifter ska hanteras. Med klagomål avses här missnöje som uttrycks av enskilda och som inte avser begäran om rättelse, omprövning, överklagande eller någon annan formellt reglerad åtgärd.
SOU 2017:29 Rättsmedel och skadestånd
541
Enligt artikel 52.1 har alla registrerade som anser att behandling av personuppgifter som avser dem står i strid med de bestämmelser som genomför direktivet rätt att lämna in klagomål till en enda tillsynsmyndighet. Av artikel 46.1 f framgår att det ska ingå i tillsynsmyndighetens uppgifter att behandla klagomål från registrerade. Rätten att ge in klagomål får inte påverka andra administrativa prövningsförfaranden eller rättsmedel och rätten till andra rättsmedel får inte påverka rätten att ge in klagomål.
Artiklarna 46.1 f, 46.2 och 52.2–4 innehåller bestämmelser av processuell karaktär som anger hur tillsynsmyndigheten ska hantera ett klagomål i förhållande till den enskilde. Där regleras bl.a. vilken information som tillsynsmyndigheten ska ge den enskilde om handläggningen och resultatet. Av artikel 53.2 framgår att det ska göras inom viss tid. Myndigheten riskerar annars att bli föremål för en s.k. dröjsmålstalan. Enligt artiklarna 13.1 d och 14 f ska den personuppgiftsansvarige göra information om rätten att lämna in klagomål till tillsynsmyndigheten tillgänglig för den registrerade. Den frågan behandlas i avsnitt 11.2.6 och 11.2.8.
Dagens hantering av klagomål
I artikel 28.4 och skäl 63 i det nu gällande direktivet finns också bestämmelser om klagomålshantering. I korthet innebär de att var och en kan vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter vid personupp- giftsbehandling och att den som framställt en sådan begäran har rätt att få besked om vad den lett till. Indirekt framgår också att tillsynsmyndigheten har till uppgift att hantera klagomål.
I dag finns det inte någon uttrycklig regel om att den som är missnöjd med behandlingen av personuppgifter har rätt att ge in klagomål. Av 4 § förvaltningslagen (1986:223) följer dock att en enskild alltid kan kontakta en myndighet och framföra synpunkter.
Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen och de behöriga myndigheternas registerförfattningar. Enligt inspektionens praxis kan en enskild ge in klagomål dit. Myndigheten brukar informera den enskilde om vilka åtgärder klagomålet lett till. Om myndigheten anser att det krävs, genomför den tillsyn med anledning av klagomålet. Av avsnitt 12.1.2 framgår att Säker-
Rättsmedel och skadestånd SOU 2017:29
542
hets- och integritetsskyddsnämnden också har tillsyn över viss personuppgiftsbehandling.
Regleringen avseende klagomål har två perspektiv
Det nya dataskyddsdirektivet innehåller betydligt fler och mer utförliga bestämmelser om klagomålshantering än det nu gällande direktivet. Tidigare fanns bestämmelserna enbart i kapitlet om tillsynsmyndigheten. I det nya direktivet har artiklarna delvis annat innehåll och annan placering. De finns både i det kapitel som rör tillsynsmyndighetens uppgifter och i det kapitel som rör rättsmedel för enskilda. Klagomålshanteringen har därmed fått en tydlig koppling även till registrerades rättigheter.
Artikel 52.1 behandlar främst hanteringen av klagomål från registrerades perspektiv. I artiklarna 46.1 f, 46.2 och 52.2–52.4 regleras klagomålshanteringen huvudsakligen från tillsynsmyndighetens perspektiv. Även om de sistnämnda artiklarna främst riktar sig till tillsynsmyndigheten, genom att de definierar dess uppgifter och anger hur klagomål ska behandlas av myndigheten, får de indirekt betydelse även för registrerade. De ger uttryck för vad registrerade kan förvänta sig av tillsynsmyndigheten och tydliggör därmed innebörden av rätten i artikel 52.1.
Regleringen har alltså två tydliga perspektiv: tillsynsmyndighetens och de registrerades.
Reglernas syfte – att ge den registrerade ett rättsmedel
Att registrerade kan framföra klagomål till en tillsynsmyndighet är ägnat att öka förtroendet för och därmed legitimiteten i den verksamhet som tillsynen avser. Syftet med en klagomålsfunktion är dels att skapa tilltro, dels att säkerställa att det finns en fristående instans som den som anser sig vara utsatt för felaktig behandling kan vända sig till med klagomål. De registrerades behov av att få klagomål utredda står alltså i centrum.
I direktivet är utgångspunkten att ge den som anser sig vara felaktigt behandlad en uttrycklig möjlighet att framföra sitt klagomål och få det hanterat. Möjligheten för den registrerade att ge in klagomål till tillsynsmyndigheten uttrycks som en rättighet. Även om
SOU 2017:29 Rättsmedel och skadestånd
543
tillsynsmyndigheten väljer att inte genomföra tillsyn med anledning av klagomålet, ska den alltid ge den registrerade besked om vad klagomålet lett till. Han eller hon ges också rätt att väcka dröjsmålstalan mot myndigheten om klagomålet inte hanteras inom viss tid. Placeringen av artikel 52 i kapitlet som behandlar rättsmedel, ansvar och sanktioner understryker enligt utredningens mening att rätten att ge in klagomål ska ses som ett rättsmedel.
Behövs det en tydligare reglering av rätten att ge in klagomål?
Enligt utredningens mening har kraven på tillsynsmyndighetens hantering av klagomål skärpts i förhållande till vad som gäller i dag. Artikel 52.1 innebär emellertid endast en rätt för den registrerade att vända sig till myndigheten med synpunkter på hur hans eller hennes personuppgifter behandlats. Vad den registrerade kan uppnå genom att ge in ett klagomål skiljer sig från vad han eller hon kan uppnå genom en domstolsprövning och kan inte heller jämställas med rätten att överklaga ett beslut fattat av tillsynsmyndigheten (se avsnitt 14.7.1).
Artikel 52.1 bör därför enligt utredningens mening inte ges någon annan innebörd än att en registrerad ska tillförsäkras rätt att framföra eventuella klagomål till en tillsynsmyndighet. Att registrerade ska ha rätt till ett annat rättsmedel om de inte inom viss tid informerats om handläggningen eller resultatet av klagomålet påverkar inte den bedömningen.
Frågan är då om den mer detaljerade regleringen av klagomål i direktivet innebär att det behövs en uttrycklig bestämmelse i ramlagen som ger en registrerad rätt att ge in klagomål till tillsynsmyndigheten.
Det vore enligt utredningens uppfattning av flera skäl inte lämpligt att ta in en sådan regel i ramlagen. I andra lagstiftningsärenden där motsvarande fråga har behandlats har lagstiftaren valt att reglera rätten att ge in klagomål indirekt genom att i stället reglera tillsynsmyndighetens uppgifter (se Ny postlag, prop. 2009/10:216, s. 77 f., jfr också El- och naturgasmarknaderna – europeisk harmonisering, SOU 2003:113, s. 122 f.). Inte ens i 5 § lagen (1986:765) med instruktion för Riksdagens ombudsmän – vars främsta uppgift är att behandla klagomål från allmänheten – har möjligheten att
Rättsmedel och skadestånd SOU 2017:29
544
klaga på myndigheter konstruerats som en rättighet för enskilda. Att uttryckligen föreskriva rätt att ge in klagomål avseende personuppgiftsbehandling skulle alltså avvika från systematiken i den svenska lagstiftningen. Det utgör det främsta skälet till varför utredningen inte föreslår en sådan bestämmelse.
En annan viktig aspekt är att regleringen inte bör ge enskilda fel förväntningar. Redan i dag finns det tyvärr ofta felaktiga förväntningar på vad klagomål kan leda till och vilka åtgärder en tillsynsmyndighet kan vidta med anledning av klagomål. Enskilda förväntar sig t.ex. många gånger att tillsyn alltid ska utövas när klagomål har getts in eller att tillsynsmyndigheten kan ändra eller på annat sätt påverka ett beslut i sak. Att reglera rätten att ge in klagomål skulle enligt utredningens mening kunna skapa felaktiga förväntningar hos enskilda om vad som kan uppnås genom ett klagomål (jfr Skapa tilltro – Generell tillsyn, enskildas klagomål och det allmänna ombudet inom socialförsäkringen, SOU 2015:46, s. 109 f.). Risken för felaktiga förväntningar skulle öka med en särskild regel, eftersom en sådan regel skulle avvika från vad som gäller vid annan klagomålshantering. I förlängningen skulle det kunna leda till att allmänhetens förtroende för verksamheten snarare undergrävs än motsatsen, eftersom de flesta klagomål inte leder till det resultat som klaganden förväntar sig.
Mot den bakgrunden anser utredningen att rätten att ge in klagomål endast bör regleras indirekt som en av tillsynsmyndighetens uppgifter (se avsnitt 12.6.1 och 12.6.2).
Vad avses med en enda tillsynsmyndighet?
Enligt artikel 52.1 ska den registrerade ha rätt att lämna in klagomål till en enda tillsynsmyndighet. Det är oklart vad som avses med det. Artikeln skulle kunna förstås som att en registrerad ska ha rätt att lämna in ett klagomål till vilken behörig tillsynsmyndighet som helst i en stat som är bunden av direktivet. En registrerad som bor i Sverige, vars uppgifter behandlas av en personuppgiftsansvarig i Tyskland, skulle vid en sådan tolkning kunna lämna in sitt klagomål till en svensk tillsynsmyndighet. Omvänt skulle någon som bor i Tyskland, vars personuppgifter behandlas av en personuppgiftsansvarig i Sverige, kunna lämna in sitt klagomål i Tyskland.
SOU 2017:29 Rättsmedel och skadestånd
545
Det finns exempel på unionsrättsakter där det föreskrivs att enskilda ska kunna vända sig med en begäran till en behörig myndighet i valfri medlemsstat. Myndigheten som tagit emot begäran är sedan skyldig att vidarebefordra den till rätt myndighet, se t.ex. artikel 37.1 Europolförordningen. Eftersom det inte finns någon bestämmelse av motsvarande slag i direktivet anser utredningen att hänvisningen till en enda tillsynsmyndighet inte kan ha den innebörden.
Uttrycket bör i stället tolkas så att den registrerade ska kunna vända sig till valfri tillsynsmyndighet med sitt klagomål, om det finns flera sådana myndigheter i en medlemsstat. Frågan aktualiseras därmed bara om en medlemsstat väljer att utse flera tillsynsmyndigheter. I Sverige föreslås enbart Datainspektionen bli tillsynsmyndighet enligt direktivet. Någon lagstiftningsåtgärd krävs därmed inte i den delen.
14.6 Dröjsmålstalan
14.6.1 En särskild reglering behövs
Utredningens bedömning: Det behövs en särskild reglering om
dröjsmålstalan i ramlagen.
Skälen för utredningens bedömning
Dröjsmålstalan i EU-rätten
Inom EU-rätten är det vanligt med bestämmelser som har till syfte att förhindra passivitet och förebygga långsam handläggning hos myndigheter, s.k. dröjsmålstalan. Den enskilde får genom en sådan talan möjlighet att i domstol få prövat om den myndighet som ska fatta beslut i ärendet fördröjer handläggningen av det. Bestämmelserna innehåller ofta tidsfrister för handläggningen och reglerar konsekvenserna av att fristerna inte iakttas. Överskrids den fastställda tiden, presumeras den enskilde – enligt den vanligaste typen av dröjsmålstalan – ha fått avslag på sin ansökan och kan överklaga det beslutet till domstol. På senare tid har det tillkommit en variant som innebär att en ansökan ska anses bifallen om beslut inte har
Rättsmedel och skadestånd SOU 2017:29
546
fattats inom viss tid. Enligt ytterligare en modell ska själva underlåtenheten att fatta beslut kunna angripas genom domstolstalan. Ibland anges att följderna av att ett beslut inte har fattats när tidsfristen löper ut ska regleras nationellt.
Innehållet i direktivet
I artikel 53.2 finns en bestämmelse om dröjsmålstalan, vilket är en nyhet. Enligt artikeln ska registrerade ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten inte inom tre månader behandlar ett klagomål eller om tillsynsmyndigheten inte informerar om handläggningen eller resultatet av det klagomål som lämnats in. Rätten får inte påverka något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. I skäl 85 anges bl.a. att en registrerad bör ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten inte reagerar på ett klagomål. Myndigheten bör vidare i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir.
Olika sätt att säkerställa en effektiv handläggning
I flera europeiska länder finns det regleringar som påminner om de dröjsmålsbestämmelser som finns i EU-rätten, även om lösningarna kan variera. I svensk rätt finns det däremot ingen generell regel om dröjsmålstalan. De regler som finns i speciallagstiftning på finansmarknadsområdet är resultatet av genomförandet av unionsrättsakter. Över tid har det dock diskuterats om en generell regel om dröjsmålstalan bör införas. I lagrådsremissen En modern rättssäker förvaltning – ny förvaltningslag den 23 februari 2017 föreslås en generell bestämmelse om dröjsmålstalan. Förslaget bygger på betänkandet En ny förvaltningslag (SOU 2010:29 s. 253 f.).
Även om det i dag inte finns någon generell regel om dröjsmålstalan eller generell möjlighet att på annat sätt påskynda handläggningen saknas det inte krav på att myndigheter ska handlägga ärenden skyndsamt. Artikel 6 i Europakonventionen, som gäller som svensk lag, ställer krav på skyndsam handläggning vid prövningen av civila rättigheter och skyldigheter och anklagelser för brott. Vidare ska enligt 2 kap. 11 § andra stycket regeringsformen en rät-
SOU 2017:29 Rättsmedel och skadestånd
547
tegång genomföras inom skälig tid. Vid handläggning i domstol finns det också ett särskilt rättsmedel – förtursförklaring – som en enskild part kan använda om han eller hon anser att handläggningen av ett mål eller ärende drar ut på tiden. Den enskilde får då skriftligen ansöka hos domstolen om att den ska förklara att målet eller ärendet ska handläggas med förtur (1 § lagen [2009:1058] om förtursförklaring i domstol).
Myndigheterna är också föremål för krav från statsmakterna att förkorta handläggningstiderna och att arbeta bort ärendebalanser. I myndigheternas regleringsbrev poängterar regeringen ofta att handläggningen av ärenden ska bedrivas effektivt. Chefen för en myndighet har till uppgift att bevaka att ärenden inte blir liggande utan att åtgärder vidtas.
Vissa tillsynsorgan ska också se till att de myndigheter som står under deras tillsyn avgör sina ärenden utan onödigt dröjsmål. Enligt 29 § myndighetsförordningen (2007:515) ska myndigheterna senast den 1 mars varje år till JK skicka in förteckningar över ärenden som har kommit in före den 1 juli föregående år men som inte har avgjorts vid årets utgång. Enligt förordningen om handläggning av skadeståndsanspråk mot staten har JK genom frivillig skadereglering möjlighet att ge enskilda ersättning för ideell skada till följd av dröjsmål vid myndigheters handläggning av ärenden. Enskilda kan även få skadestånd på grund av långsam handläggning eller ett uteblivet beslut efter att ha väckt talan mot staten vid allmän domstol. Enskilda kan vidare anmäla till JO om handläggningen av ett ärende dragit ut på tiden. Den yttersta konsekvensen av oskäliga dröjsmål kan bli att JO väcker åtal för tjänstefel mot den ansvariga befattningshavaren.
Avsaknaden av en regel om dröjsmålstalan innebär således inte att den enskilde står utan rättsmedel om han eller hon anser att en myndighet inte hanterat en fråga i rimlig tid.
Är de rättsmedel som finns för att motverka långsam handläggning tillräckliga?
Artikel 53.2 har två syften. Den ska för det första säkerställa en effektiv och ändamålsenlig klagomålshantering inom rimlig tid hos tillsynsmyndigheten. För det andra ger artikeln den registrerade ett verktyg om myndigheten inte i tid ger den enskilde besked om
Rättsmedel och skadestånd SOU 2017:29
548
resultatet av klagomålet. De rättsmedel mot långsam handläggning som finns i dag är enligt utredningens bedömning otillräckliga för att uppfylla kraven i artikeln.
Två olika modeller för dröjsmålstalan
Övervägandena om en ny reglering bör enligt utredningens mening utgå från de rättsmedel som tidigare införts för att genomföra liknande EU-rättsliga bestämmelser och förslaget till ny förvaltningslag. Det innebär att det finns två möjliga modeller för hur rättsmedlet kan utformas.
Den ena modellen tillämpas främst på finansmarknadsområdet. Syftet med bestämmelserna är att motverka att handläggningsfrister överskrids. Om en myndighet inte har meddelat beslut i en viss fråga inom angiven tid får den berörde vända sig till allmän förvaltningsdomstol och begära att domstolen förklarar att ärendet onödigt uppehålls. Om domstolen förklarar att så är fallet och myndigheten därefter inte meddelar beslut inom viss tid, anses myndigheten ha fattat ett avslagsbeslut i den fråga som myndigheten skulle ha tagit ställning till inom fristen. Domstolen prövar endast om ärendet är färdigt för avgörande, om samtliga handlingar och uppgifter som behövs som underlag för beslutet har lämnats till myndigheten och om, när det är aktuellt, alla nödvändiga samrådsförfaranden har genomförts. Den modellen finns t.ex. i 26 kap. 2 § lagen (2007:528) om värdepappersmarknaden och 21 kap. 5 § försäkringsrörelselagen (2010:2043). En motsvarande bestämmelse finns i 6 kap. 26 § tullagen (2016:253).
Den andra modellen för dröjsmålstalan är ännu endast ett förslag. Förslaget innebär att det i en ny förvaltningslag ska tas in en generellt tillämplig bestämmelse om rättsmedel vid dröjsmål. Har myndigheten i ett särskilt beslut förklarat att den inte anser sig kunna avsluta ett ärende trots att det enligt den enskilde är klart för avgörande får den enskilde överklaga beslutet. Domstolsprövningen aktiveras då genom överklagandet. Modellen möter kravet på att det ska finns ett myndighetsbeslut som kan angripas för att ett förvaltningsprocessuellt rättsmedel ska få användas. Myndigheten ska som vanligt svara för ärendets beredning och avgörande. Domstolens prövning avser enbart frågan om handläggningen nått
SOU 2017:29 Rättsmedel och skadestånd
549
fram till den punkt där ärendet kan avgöras. Domstolen kan, om den finner att så är fallet, förelägga myndigheten att inom viss tid avgöra ärendet. Till skillnad från den första modellen blir inte effekten av dröjsmålet att myndigheten anses ha fattat ett avslagsbeslut i sak som kan överklagas. En prövning i sak kan den enskilde alltså få först när myndigheten verkligen prövat sakfrågan.
De varianter av dröjsmålstalan som finns i dag utgår i regel från att fördröjningen uppkommit vid handläggning av ärenden som initierats av en enskild part. Därmed ligger sådana ärenden som myndigheter tagit upp ex officio utanför tillämpningsområdet. Skälet till denna begränsning är att det skulle få svåröverskådliga konsekvenser och föranleda betydande tillämpningssvårigheter att ge enskilda möjlighet att föra talan om dröjsmål även i dessa fall (jfr SOU 2010:29 s. 300 f.).
Vilken lagteknisk lösning bör väljas?
Varken den reglering som finns i dag eller förslaget till ny förvaltningslag motsvarar enligt utredningens mening i sin helhet vad som krävs för att uppfylla artikel 53.2. Förslaget till ny förvaltningslag utgår nämligen från att det är parter som har talerätt. Enskilda får normalt sett inte partsställning när de ger in ett klagomål till Datainspektionen och myndigheten beslutar att inte vidta någon åtgärd i anledning av klagomålet (se RÅ 2010 ref. 29). De eventuella åtgärder som tillsynsmyndigheten vidtar i anledning av klagomål som rör behandlingen av personuppgifter riktar sig inte heller mot den enskilde utan mot den personuppgiftsansvarige. Det är därför enligt utredningens mening nödvändigt att skapa en särskild regel om dröjsmålstalan i ramlagen för att genomföra artikel 53.2.
Förslaget till reglering i den nya förvaltningslagen kan användas som utgångspunkt för regleringen i ramlagen. Det svarar mot den grundläggande förutsättningen för domstolsprövning i förvaltningsförfarandet, att det finns ett överklagbart beslut. Ett annat skäl till att den lösningen bör väljas är att det inte skulle vara lämpligt att låta dröjsmålstalan avseende tillsyn utmynna i att det ska anses ha fattats ett avslagsbeslut. Det skulle i så fall innebära att tillsyn inte ska utövas i anledning av klagomålet, vilket inte skulle gagna den enskilde. Tillsynsmyndighetens oberoende ställning och
Rättsmedel och skadestånd SOU 2017:29
550
rätt att själv bedöma om det i ett enskilt fall bör utövas tillsyn skulle också kunna äventyras. Det finns emellertid skäl att i vissa avseenden avvika från hur dröjsmålstalan har utformats i förslaget till ny förvaltningslag, framför allt när det gäller tidsfristerna.
14.6.2 Handläggningen hos tillsynsmyndigheten
Utredningens förslag: Om tillsynsmyndigheten inte inom tre
månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten på skriftlig begäran av den registrerade antingen lämna besked i den frågan eller i ett särskilt beslut avslå begäran.
Tillsynsmyndigheten ska avgöra frågan inom två veckor från den dag då begäran kom in till myndigheten.
Om tillsynsmyndigheten har avslagit en sådan begäran får den registrerade begära nytt besked tidigast tre månader efter det att beslutet om avslag på den tidigare begäran meddelades. Myndigheten ska avvisa en begäran som framställs innan tidsfristen har löpt ut.
Skälen för utredningens förslag
Besked om tillsyn ska utövas
Av artikel 53.2 framgår att det inte är tillräckligt att tillsynsmyndigheten behandlar ett klagomål. Myndigheten ska också informera den registrerade om handläggningen eller resultatet av klagomålet.
Med att myndigheten ska informera den registrerade om handläggningen avses enligt utredningens mening att den registrerade ska få information om klagomålets status, dvs. hur långt ärendet har kommit. Att den registrerade ska hållas informerad om handläggningen följer av allmänna förvaltningsrättsliga principer och den allmänna serviceskyldigheten i förvaltningslagen och kräver därför inga lagstiftningsåtgärder.
Myndigheten bör informera om handläggningen på eget initiativ när det behövs, men också på begäran av den registrerade. Det kan – särskilt om myndigheten bedömer att klagomålet inte kommer
SOU 2017:29 Rättsmedel och skadestånd
551
att hinna behandlas inom tre månader – t.ex. vara lämpligt att den registrerade får besked om att tillsynsmyndigheten tagit emot klagomålet. Myndigheten bör då också redogöra för hur klagomål hanteras, vad hanteringen kan utmynna i och, när det är möjligt, hur lång tid det normalt brukar ta att ta ställning till ett liknande klagomål. Det som avses är generell information. Sådan information ger den enskilde en realistisk bild av handläggningen och är särskilt viktig om tillsynsmyndigheten bedömer att den inte kommer kunna ge den registrerade ett snabbt besked om resultatet av klagomålet. Det bör däremot inte krävas att han eller hon får individuellt anpassad information om beräknad handläggningstid eller eventuella åtgärder som kan komma att aktualiseras i ärendet.
Enligt artikel 53.2 ska den registrerade även få information om resultatet av klagomålet. Enligt utredningens mening innebär det inte att han eller hon ska få ett överklagbart beslut, utan enbart ett tydligt besked om tillsyn utövas eller kommer att utövas med anledning av klagomålet. Myndigheten behöver alltså inte redovisa för den registrerade om och i så fall vilka åtgärder som vidtas mot den personuppgiftsansvarige. Däremot kan det vara lämpligt att den registrerade får en kopia av ett sådant beslut.
När kan den registrerade hävda att tillsynsmyndigheten fördröjer handläggningen?
I artikel 53.2 föreskrivs en frist om tre månader inom vilken tillsynsmyndigheten ska ha agerat. En motsvarande reglering finns i artikel 78.2 i dataskyddsförordningen.
I den svenska språkversionerna har uttrycket ”inom tre månader” placerats på olika ställen i direktivet och förordningen. Följden av det blir en skillnad mellan vad myndigheten måste göra inom tidsfristen för att inte anses ha varit passiv eller fördröjt handläggningen. I de franska, engelska, tyska och danska språkversionerna har tidsfristen placerats på samma sätt som i den svenska lydelsen av artikel 78.2 i förordningen. Tidsfristen syftar då på att myndigheten inom tre månader antingen ska informera den enskilde om handläggningen eller om resultatet av klagomålet. Utredningen utgår därför från att det är det som avses även i direktivet.
Enligt ordalydelsen är det alltså tillräckligt att tillsynsmyndigheten vidtar endera av dessa två åtgärder för att den inte ska anses
Rättsmedel och skadestånd SOU 2017:29
552
ha varit passiv och kunna bli föremål för dröjsmålstalan. Enligt utredningens mening är det dock inte rimligt att tolka artikeln så snävt att det skulle räcka att tillsynsmyndigheten inom tre månader ger den registrerade allmän information om ärendets handläggning. Myndigheten skulle med en sådan ordningkunna lämna informationen och därefter dröja med att ta ställning i frågan om tillsyn ska utövas utan att den enskilde skulle ha rätt att få besked om det.
Den registrerade är av naturliga skäl mest intresserad av att få besked om hans eller hennes klagomål kommer leda till tillsyn. Det kan påverka om han eller hon – när det är möjligt – vill använda ett annat rättsmedel, t.ex. begära domstolsprövning. För att möjligheten att föra dröjsmålstalan ska få avsedd effekt, bör det därför krävas att tillsynsmyndigheten inom tremånadersfristen ger den enskilde besked om huruvida tillsyn kommer att utövas.
Möjligheten att skriftligen begära besked av tillsynsmyndigheten
Utredningen utgår från att tillsynsmyndigheten kommer att sträva efter att i möjligaste mån hantera klagomålen skyndsamt. Normalt bör tillsynsmyndigheten inom tre månader kunna ge besked om huruvida tillsyn kommer att utövas, eftersom det i de flesta fall är relativt enkelt att avgöra om ett klagomål helt saknar grund eller om det finns några oklarheter som kan behöva utredas.
I de fall där beskedet drar ut på tiden bör den enskilde i första hand på informell väg försöka förmå tillsynsmyndigheten att påskynda handläggningen. Om den enskilde i sina kontakter med myndigheten misslyckas med att få besked, bör han eller hon kunna vända sig till domstol för prövning av om tillsynsmyndigheten fördröjer handläggningen.
För att domstolsprövning ska kunna aktualiseras krävs att tillsynsmyndigheten först fattar ett beslut som kan överklagas. Den registrerade bör därför skriftligen begära att tillsynsmyndigheten tar ställning till om tillsyn ska utövas. Det bör kunna göras när det gått tre månader från den dag då klagomålet kom in till myndigheten. Det bör understrykas att tre månader inte är en rekommenderad handläggningstid. Fristen anger endast vid vilken tidpunkt den registrerade tidigast kan väcka frågan om tillsynsmyndigheten fördröjer handläggningen.
SOU 2017:29 Rättsmedel och skadestånd
553
Utredningen anser att det inte är rimligt att kräva att myndigheten omgående besvarar den skriftliga begäran om besked i frågan om tillsyn ska utövas. Det skulle medföra att tillsynsmyndigheten tvingas prioritera den frågan framför alla andra arbetsuppgifter som myndigheten har. Tillsynsmyndigheten bör ges en viss frist inom vilken det är realistiskt att den kan ta ställning i frågan. Fristen bör vara relativt kort för att möjligheten att begära domstolsprövning av om myndigheten fördröjt handläggningen ska bli ett verkningsfullt medel. Utredningen anser att begäran om besked om tillsyn ska utövas bör besvaras inom två veckor från den dag begäran kom in till myndigheten.
Om myndigheten ger den registrerade besked i frågan om tillsyn ska utövas faller frågan om domstolsprövning. Det gäller oavsett vad beslutet innebär. Myndigheten behöver inte ge besked om vad tillsynen kommer att omfatta om beskedet är att tillsyn kommer att utövas. Att den registrerade så småningom bör få en kopia av ett eventuellt tillsynsbeslut är en annan sak.
Tillsynsmyndighetens beslut ska motiveras
Om tillsynsmyndigheten bedömer att den inte kan ge den registrerade besked om huruvida tillsyn kommer att utövas, bör myndigheten avslå begäran. Det bör krävas att myndigheten motiverar avslagsbeslutet och anger när den beräknar att kunna ge besked. Det sistnämnda är viktigt för att den registrerade ska kunna bedöma om han eller hon vill vända sig till domstol. Det är också en förutsättning för att domstolen, om den registrerade väljer att väcka dröjsmålstalan, ska få ett adekvat underlag för sin prövning. Dessutom bör effekten av att myndigheten själv tvingas skapa sig en bild av hur klagomålet fortsättningsvis ska hanteras inte underskattas. Ett motiverat beslut förutsätter att myndigheten gör klart för sig vad som behöver göras. Det bör kunna resultera t.ex. i att tillsynsmyndigheten upprättar en plan för handläggningen. Även ett besked om att myndigheten för närvarande inte kan ta ställning till om tillsyn ska utövas kan på detta indirekta sätt påskynda hanteringen (jfr SOU 2010:29 s. 303 f.).
Den registrerade bör vara oförhindrad att återkomma med en ny begäran om besked om tillsynsmyndigheten inte beslutar i till-
Rättsmedel och skadestånd SOU 2017:29
554
synsfrågan inom den tid som kan förväntas. Med en sådan ordning ökar pressen på tillsynsmyndigheten att handlägga frågan skyndsamt. För att förfarandet inte ska kunna missbrukas bör dock den registrerade inte kunna begära nytt besked av tillsynsmyndigheten förrän det har gått tre månader från det senaste avslagsbeslutet. Om den registrerade ändå kommer in med en sådan begäran innan tre månader passerat bör tillsynsmyndigheten kunna avvisa den. Beslutet om avvisning bör få överklagas till domstol i likhet med andra beslut av tillsynsmyndigheten (se avsnitt 14.7.1).
14.6.3 Domstolsprövningen
Utredningens förslag: Om tillsynsmyndigheten avslår den regi-
strerades begäran om besked om huruvida tillsyn kommer att utövas, får han eller hon överklaga beslutet till allmän förvaltningsdomstol.
Om domstolen bifaller ett sådant överklagande ska den förelägga tillsynsmyndigheten att, inom en bestämd tid, lämna den registrerade besked i fråga om tillsyn kommer att utövas. Annars ska domstolen avslå överklagandet. Domstolens beslut får inte överklagas.
Skälen för utredningens förslag
Vad ska domstolsprövningen gå ut på?
Om tillsynsmyndigheten meddelar att den ännu inte kan ta ställning till om tillsyn ska utövas, och därmed avslår den registrerades begäran om besked, bör den registrerade kunna överklaga beslutet och i domstol få prövat om myndigheten fördröjer handläggningen. Att tillsynsmyndighetens beslut får överklagas behandlas i avsnitt 14.7.1. För överklagande bör de vanliga reglerna om överklagande i förvaltningslagen gälla. Beslutet ska således överklagas inom tre veckor från det att den registrerade fått del av det. Överklagandet ska vara skriftligt och ges in till tillsynsmyndigheten. Av överklagandet ska det framgå vilket beslut som överklagas, i detta fall avslagsbeslutet. Det ska också framgå på vilket sätt den registrerade vill att beslutet ska ändras. Här kan yrkandet endast avse
SOU 2017:29 Rättsmedel och skadestånd
555
att den registrerade vill ha besked om tillsynsmyndigheten avser att utöva tillsyn.
Domstolen bör enbart pröva om de av tillsynsmyndigheten redovisade skälen för fördröjningen är hållbara. Domstolen övertar inga förvaltningsuppgifter från myndigheten och bör inte uttala sig i frågan om tillsyn bör utövas. Det avgör tillsynsmyndigheten självständigt. Prövningen i domstol bör således oftast kunna göras snabbt och enkelt. Saken bör normalt kunna avgöras av ensamdomare (jfr SOU 2010:29 s. 304 f.).
Anser domstolen att tillsynsmyndigheten har goda skäl för att dröja med beskedet, bör den avslå överklagandet.
Om domstolen anser att den registrerade har fog för sin talan bör överklagandet bifallas. För att bifallet ska få önskad effekt, dvs. att den registrerade får besked om tillsyn kommer att utövas, bör domstolen i beslutet förelägga tillsynsmyndigheten att ge den registrerade besked i den frågan.
Det bör framgå av domstolens beslut när tillsynsmyndigheten senast ska lämna besked till den registrerade. Ett alternativ skulle vara att föreskriva inom vilken tid efter domstolens avgörande som tillsynsmyndigheten ska ha tagit ställning till om tillsyn ska utövas. Utredningen anser dock att en sådan lösning inte är lämplig, eftersom fristen bör kunna anpassas till omständigheterna i det enskilda fallet. Att det inte kan bli fråga om någon längre tid är en konsekvens av att den enskildes framställning har bifallits och att myndighetens skäl för att dröja med beskedet därmed inte godtagits.
Den fråga som kan bli föremål för dröjsmålstalan är relativt okomplicerad och det bör därmed inte vara svårt för domstolen att bedöma inom vilken tid tillsynsmyndigheten bör lämna besked. Utredningen anser därför att domstolen alltid bör ange en bestämd tid för när tillsynsmyndigheten senast ska ta ställning till om tillsyn ska utövas. Det finns annars risk för att syftet med artikel 53.2 inte uppnås. Det kommer enligt utredningens mening inte heller i konflikt med tillsynsmyndighetens oberoende, eftersom domstolen inte prövar frågan om tillsyn ska utövas.
Den tid som domstolen bestämt för när tillsynsmyndigheten ska ta ställning till om tillsyn ska utövas gäller även om myndigheten på grund av nytillkomna omständigheter skulle anse sig behöva längre tid. Någon möjlighet för myndigheten att begära för-
Rättsmedel och skadestånd SOU 2017:29
556
längd tid bör inte finnas. Förfarandet riskerar annars att inte bli tillräckligt effektivt.
Domstolen bör däremot inte kunna förelägga tillsynsmyndigheten att ge besked om vilka åtgärder som kommer att vidtas mot den personuppgiftsansvarige. Det krävs inte enligt artikel 53.2 och det vore enligt utredningens mening direkt olämpligt, eftersom det skulle inkräkta på tillsynsmyndighetens oberoende.
Ska domstolens beslut kunna förenas med en sanktion?
Utredningen har övervägt om domstolens föreläggande till tillsynsmyndigheten bör kunna förstärkas genom någon form av sanktion om myndigheten inte följer föreläggandet. En möjlighet skulle kunna vara att ge domstolen rätt att förena föreläggandet med vite. Även om det finns ett fåtal bestämmelser som ger möjlighet att förelägga statliga myndigheter vite (se t.ex. 35 § lagen [2003:460] om etikprövning av forskning som avser människor) har det i princip ansetts främmande att ett statligt organ ska kunna rikta sådana hot mot ett annat (se propositionen med förslag till lag om viten m.m., prop. 1984/85:96, s. 98 f.).
Utredningen utgår från att tillsynsmyndigheten kommer att respektera domstolens beslut. Finns det ett domstolsutslag, som säger att frågan ska vara avgjord vid viss tidpunkt, ökar också risken för att någon som företräder myndigheten drabbas av kritik från JO eller JK. Att inte följa domstolens beslut kan ytterst resultera i disciplinansvar eller åtal för tjänstefel och kan även utgöra grund för skadeståndskyldighet för staten. Utredningen menar att dessa regler utgör tillräcklig påtryckning. Förvaltningslagsutredningen har samma uppfattning och regeringen har ställt sig bakom den bedömningen i förslaget till ny förvaltningslag (SOU 2010:29 s. 305 f. och lagrådsremissen s. 127 f.)
Ska domstolens beslut kunna överklagas eller angripas på annat sätt?
Eftersom förslaget öppnar för överklagande av beslut under förfarandet, är det viktigt att instanskedjan hålls kort. En registrerad som inte fått bifall till sitt överklagande bör därför inte kunna föra dröjsmålsfrågan vidare för prövning i ytterligare en instans. Till-
SOU 2017:29 Rättsmedel och skadestånd
557
synsmyndigheten bör inte heller kunna överklaga beslutet. Utredningen anser således att domstolens beslut, oavsett utgången, inte bör kunna överklagas.
14.7 Överklagande av tillsynsmyndighetens beslut
14.7.1 Tillsynsmyndighetens beslut ska kunna överklagas
Utredningens förslag: Tillsynsmyndighetens beslut enligt ram-
lagen eller föreskrifter som meddelats i anslutning till den får överklagas till allmän förvaltningsdomstol. Vid överklagande till kammarrätten ska det krävas prövningstillstånd.
Skälen för utredningens förslag
Innehållet i direktivet
I artikel 53.1 och skäl 86 slås fast att en fysisk eller juridisk person har rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av tillsynsmyndigheten. Enligt skäl 86 avses med beslut som får rättsliga följder bl.a. tillsynsmyndighetens beslut när den utövar sina utrednings- och korrigeringsbefogenheter. Däremot tar rätten inte sikte på beslut om åtgärder som inte är rättsligt bindande, t.ex. yttranden eller rådgivning.
Nuvarande reglering
Enligt 22 § förvaltningslagen får ett beslut överklagas av den som beslutet angår, om det har gått honom eller henne emot och är överklagbart. Enligt 51 § första stycket personuppgiftslagen får tillsynsmyndighetens beslut, med undantag av beslut om föreskrifter, överklagas till allmän förvaltningsdomstol. Paragrafen genomför artikel 28.3 i det nu gällande direktivet som slår fast att sådana beslut av tillsynsmyndighetens som går en part emot ska kunna överklagas till domstol.
Överklagandebestämmelsen i personuppgiftslagen är även tilllämplig när tillsynsmyndigheten fattat beslut enligt vissa av regis-
Rättsmedel och skadestånd SOU 2017:29
558
terförfattningarna för de behöriga myndigheterna. Det beror på att registerförfattningen innehåller en uttrycklig hänvisning till överklagandebestämmelsen (se t.ex. 2 kap. 2 § 13 åklagardatalagen). Några registerförfattningar innehåller överklagandebestämmelser med samma innebörd som överklagandebestämmelsen i personuppgiftslagen (se t.ex. 19 § domstolsdatalagen).
En överklagandebestämmelse i ramlagen
Om en myndighets befogenheter regleras i en författning bör det som huvudregel av samma författning framgå om och i så fall hur myndighetens beslut kan överklagas. En sådan ordning ger en samlad bild både av vilka befogenheter en myndighet har och hur den som blir föremål för myndighetens beslut kan angripa dem. Utredningen föreslår att tillsynsmyndighetens befogenheter regleras i ramlagen (se avsnitt 12.7). Den bör därför även reglera rätten att överklaga tillsynsmyndighetens beslut.
Vilka beslut ska få överklagas?
Enligt artikel 53.1 får endast rättsligt bindande beslut överklagas. Det ligger i linje med vad som allmänt gäller för överklagbarhet och klagorätt. Även om motsvarande artikel i det nu gällande direktivet har en något annorlunda språklig utformning beträffande vilka beslut som får överklagas anser utredningen att det inte är någon saklig skillnad.
Förvaltningslagen ger inget svar på frågan om ett beslut kan överklagas. Rätten att överklaga regleras i stället genom bestämmelser i specialförfattningar och myndighetsinstruktioner. Även om det i en författning anges att ett beslut enligt författningen eller ett beslut av en viss myndighet får överklagas, innebär det inte att alla sådana beslut är överklagbara. Överklagbarheten är nämligen begränsad till följd av allmänna principer som har utbildats i rättspraxis (jfr RÅ 2007 ref. 7 och där angivna rättsfall). En myndighets faktiska handlande eller underlåtenhet att handla kan exempelvis inte överklagas. En annan förutsättning för överklagande är att beslutet har en inte alltför obetydlig verkan för parter eller andra. Normalt saknas det också möjlighet att klaga över motiveringen till
SOU 2017:29 Rättsmedel och skadestånd
559
ett beslut (Översyn av förvaltningsprocessen; en allmän regel om domstolsprövning av förvaltningsbeslut m.m., prop. 1997/98:101, s. 49 f.). Frågan om överklagbarhet har prövats när det gäller tillsynsmyndighetens beslut enligt personuppgiftslagen (för exempel se Öman m.fl. s. 549 f.).
Bestämmelsen i ramlagen bör med beaktande av det som nu har sagts i likhet med dagens reglering ha som utgångspunkt att tillsynsmyndighetens beslut ska kunna överklagas. På samma sätt som i dag får det avgöras i rättstillämpningen om ett beslut som tillsynsmyndigheten har fattat är överklagbart.
I avsnitt 12.6.3 och 12.7.6 föreslår utredningen att tillsynsmyndigheten ska kunna fatta vissa beslut som saknar motsvarighet i dagens reglering. Tillsynsmyndigheten får bl.a. i vissa fall vägra att kontrollera om behandlingen av personuppgifter är författningsenlig och kommer också att kunna meddela förelägganden om radering av personuppgifter. I vilken utsträckning de nya typerna av beslut kommer att kunna överklagas blir på motsvarande sätt en fråga för rättstillämpningen.
Överklagandena bör på samma sätt som i dag prövas av allmän förvaltningsdomstol. Av de skäl som angetts i avsnitt 14.4 bör instansordningen inte beskäras så att förvaltningsrättens avgörande inte får överklagas. Vid överklagande till kammarrätten bör det dock krävas prövningstillstånd för att klaganden ska få sitt överklagande prövat i sak.
Vem får överklaga?
För att någon ska få överklaga ett beslut ska han eller hon ha klagorätt. Om en person har klagorätt måste bedömas i varje enskilt fall av den domstol som behandlar överklagandet.
I 51 § personuppgiftslagen ställs det inte något krav på att den som klagar ska vara part. I praxis har det inte heller krävts att den som överklagar tillsynsmyndighetens beslut har ställning som part. I stället har det bl.a. förts resonemang dels om beslutet angått den som överklagat det, dels om det gått honom eller henne emot (jfr 22 § förvaltningslagen). Tillämpningen stämmer väl överens med de krav på klagorätt som ställs upp i direktivet. Ramlagens bestämmel-
Rättsmedel och skadestånd SOU 2017:29
560
se kan därför utformas med 51 § första stycket personuppgiftslagen som mönster.
Att det är den som beslutet angår och som det gått emot innebär i praktiken att det är den beslutet riktas mot som har rätt att överklaga tillsynsmyndighetens beslut. I ett tillsynsärende kommer det oftast att vara den personuppgiftsansvarige eller ett personuppgiftsbiträde. När det gäller avslag på begäran om kontroll av om viss behandling är författningsenlig berörs den registrerade som har begärt kontrollen. Det kan dock inte uteslutas att beslut av tillsynsmyndigheten i något annat fall skulle kunna få rättsliga följder även för någon annan än den som beslutet riktar sig mot. Vederbörande har då rätt att överklaga beslutet enligt förvaltningslagens regler om talerätt.
Särskilt om tillsynsmyndighetens beslut i anledning av klagomål
Enligt rättspraxis avseende personuppgiftslagen är Datainspektionens beslut att inte vidta någon åtgärd med anledning av en anmälan (klagomål) eller att skriva av ett ärende om tillsyn inte möjliga att överklaga (se RÅ 2010 ref. 29).
EU-domstolen har uttalat att artikel 28.3 i det nu gällande dataskyddsdirektivet ska förstås som att en enskild, som gett in en begäran till tillsynsmyndigheten, ska ha tillgång till ett rättsmedel som innebär att han eller hon vid nationell domstol kan angripa tillsynsmyndighetens beslut om det gått honom eller henne emot (dom av den 6 oktober 2015, Schrems, C-362/14, punkten 64). Utredningen måste därför överväga om direktivet förutsätter att enskilda ska ha generell rätt att överklaga tillsynsmyndighetens beslut, t.ex. beslut att inte vidta någon åtgärd i anledning av klagomål.
I skäl 85 i direktivet framhålls att en registrerad ska ha rätt till ett effektivt rättsmedel också om tillsynsmyndigheten helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när det är nödvändigt för att skydda den registrerades rättigheter. Av skäl 86 framgår att bl.a. den registrerade ska kunna vända sig till behörig nationell domstol. Vidare sägs i artikel 52.4 att tillsynsmyndigheten ska underrätta den enskilde om handläggningen och resultatet av ett klagomål som han eller hon gett in och om rätten till rättsmedel enligt artikel 53. Av artikel 53.1 följer emellertid att det enbart är
SOU 2017:29 Rättsmedel och skadestånd
561
den som ett rättsligt bindande beslut riktar sig mot som ska ha tillgång till ett effektivt rättsmedel.
Direktivet innehåller således skrivningar som kan tala både för och emot en klagorätt för enskilda när det gäller tillsynsmyndighetens beslut i anledning av klagomål. En generell rätt till domstolsprövning av tillsynsmyndighetens beslut av det slag som nu är aktuellt skulle äventyra tillsynsmyndighetens oberoende ställning. Att tillsynsmyndigheten ska vara oberoende framgår bl.a. av artikel 42.1. Enligt artikel 46.1 f ska tillsynsmyndigheten behandla klagomål och när så är lämpligt undersöka den sakfråga klagomålet gäller. Tillsynsmyndigheten har därmed inte någon skyldighet att vidta tillsynsåtgärder eller ens att alltid närmare undersöka sakfrågan. Tvärtom har tillsynsmyndigheten enligt direktivet, på samma sätt som som i svensk tillsynstradition, ett uttalat utrymme att själv avgöra vilka tillsynsärenden som ska drivas och på vilket sätt det ska göras.
I vilken utsträckning enskilda ska anses ha klagorätt får överlämnas till rättstillämpningen.
Det bör också understrykas att en registrerad alltid har möjlighet att väcka talan i civilrättslig ordning mot en personuppgiftsansvarig eller ett personuppgiftsbiträde, att begära skadestånd och i vissa fall även att överklaga en myndighets beslut i egenskap av personuppgiftsansvarig (se avsnitt 14.2, 14.3 och 14.4). En registrerad kan välja att väcka en sådan talan eller överklaga ett sådant beslut oavsett vad tillsynsmyndigheten gjort i sin tillsyn.
Särskilt om myndigheters rätt att överklaga
De allmänna förvaltningsrättsliga principerna om klagorätt anses bara vara tillämpliga på myndigheter när de uppträder i någon privaträttslig egenskap, exempelvis som arbetsgivare eller fastighetsägare. Då anses myndigheter ha samma rätt att överklaga som enskilda. När myndigheter däremot uppträder i sin offentligrättsliga roll, vilket de gör i egenskap av personuppgiftsansvariga, är förhållandena annorlunda. En myndighet får då överklaga en annan myndighets beslut bara under vissa förutsättningar. Utgångspunkten är att överklagande kräver författningsstöd. Det har också betydelse om det är fråga om en kommunal, en landstingskommunal eller en
Rättsmedel och skadestånd SOU 2017:29
562
statlig myndighet (se Trygve Hellners och Bo Malmqvist, Förvaltningslagen med kommentarer, 3 uppl., 2010, s. 300 f.).
Till skillnad från vad som anges i t.ex. artiklarna 53.2 och 54 omfattar rätten till rättsmedel enligt artikel 53.1 inte bara den registrerade. Av artikel 53.1 jämförd med skäl 86 framgår att även myndigheter i sin egenskap av personuppgiftsansvariga ska ha rätt att överklaga tillsynsmyndighetens beslut. Både statliga, kommunala (t.ex. socialnämnden vid ungdomspåföljder) och landstingskommunala (t.ex. rättspsykiatriska enheter) myndigheter kommer att vara personuppgiftsansvariga enligt ramlagen.
Myndigheter som är personuppgiftsansvariga anses redan i dag kunna överklaga tillsynsmyndighetens beslut till allmän förvaltningsdomstol enligt 51 § personuppgiftslagen. Detsamma bör gälla enligt ramlagen. Att kretsen av taleberättigade är vidare när det gäller tillsynsmyndighetens beslut än vid övriga rättsmedel är enligt utredningens uppfattning naturligt. Det är främst myndigheter som kommer att vara personuppgiftsansvariga för den behandling som utförs enligt ramlagen. Tillsynsmyndighetens beslut kommer oftast att rikta sig direkt mot de personuppgiftsansvariga och de kommer därför att ha intresse av att kunna överklaga besluten. Bestämmelsen om överklagande av tillsynsmyndighetens beslut måste därför ge både statliga, kommunala och landstingskommunala myndigheter rätt att överklaga.
14.7.2 Det behövs ingen ny forumregel
Utredningens bedömning: Det behövs ingen ny forumregel för
talan mot tillsynsmyndighetens beslut.
Skälen för utredningens bedömning: Enligt artikel 53.3 ska med-
lemsstaterna föreskriva att talan mot en tillsynsmyndighet ska väckas vid domstol i den medlemsstat där tillsynsmyndigheten har sitt säte. Med väcka talan måste i detta sammanhang förstås att ett domstolsförfarande mot tillsynsmyndigheten initieras genom överklagande av myndighetens beslut.
Artikel 53.3 skulle kunna tolkas som en domsrättsregel. Eftersom det i artikel 41.1 anges att varje medlemsstat ska utse en eller flera tillsynsmyndigheter anser utredningen dock att artikeln bör
SOU 2017:29 Rättsmedel och skadestånd
563
tolkas som krav på att det ska finnas en forumregel. För att uppfylla kraven i artikeln är det alltså tillräckligt att det finns bestämmelser som möjliggör överklagande av tillsynsmyndighetens beslut och som anger till vilken domstol besluten ska överklagas.
Enligt 14 § lagen (1971:289) om allmänna förvaltningsdomstolar ska, om det i lag eller annan författning föreskrivs att talan ska väckas vid eller beslut överklagas till allmän förvaltningsdomstol, det göras vid en förvaltningsrätt. Beslut ska överklagas till den förvaltningsrätt inom vars domkrets ärendet först prövats, om det inte för ett visst slag av mål föreskrivs annat.
Det finns således redan en regel som talar om till vilken domstol tillsynsmyndighetens beslut ska överklagas och något behov av särregler finns inte. Det krävs därför ingen åtgärd för att genomföra artikel 53.3. Eftersom den föreslagna tillsynsmyndigheten, Datainspektionen, endast har verksamhet i Stockholm finns det inga alternativa forum.
14.8 Rättsmedlen är oberoende av varandra
Utredningens bedömning: Den föreslagna regleringen lever
upp till kravet på att användningen av ett rättsmedel inte ska få påverka rätten att använda andra rättsmedel eller administrativa förfaranden.
Skälen för utredningens bedömning: Rätten till rättsmedel får
enligt artikel 53.1 och skäl 86 inte påverka något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. Även om den registrerade har rätt att överklaga ett beslut av en personuppgiftsansvarig myndighet ska han eller hon när som helst kunna utnyttja andra rättsmedel som står till buds.
Den registrerade kan som framgått kräva skadestånd av den personuppgiftsansvarige. Det förhållandet att den personuppgiftsansvariges beslut i fråga om skadestånd inte får överklagas avskär inte den registrerade från möjligheten att väcka talan om skadestånd eller föra annan talan vid allmän domstol.
Skadeståndsskyldighet inträder oberoende av om den personuppgiftsansvarige fattat något formellt beslut och oavsett om ett beslut överklagats av den registrerade. Även om den personupp-
Rättsmedel och skadestånd SOU 2017:29
564
giftsansvariges beslut ändras efter överklagande, kan den registrerade ha rätt till skadestånd.
Den registrerade kan således under vissa förutsättningar föra talan parallellt i både allmän förvaltningsdomstol (om ändring av ett myndighetsbeslut genom överklagande) och allmän domstol (om t.ex. skadestånd) om vad som i realiteten är samma sak.
Den registrerade kan dessutom när som helst lämna in klagomål till tillsynsmyndigheten, som oberoende av domstolsprocesserna kan agera och utnyttja sina befogenheter. Möjligheten att lämna in klagomål även till andra organ än tillsynsmyndigheten står också öppen.
Enligt utredningens bedömning lever således regleringen upp till kravet på att användningen av ett rättsmedel inte får påverka rätten att använda andra rättsmedel eller administrativa förfaranden.
14.9 Rätt för ideella organisationer att företräda registrerade
Utredningens bedömning: Det krävs inga lagstiftningsåtgärder
för att en registrerad ska kunna ge en ideell organisation i uppdrag att företräda honom eller henne hos tillsynsmyndigheten eller i domstol.
Skälen för utredningens bedömning
Innehållet i direktivet
Enligt artikel 55 ska en registrerad ha rätt att ge ett organ, en organisation eller en sammanslutning utan vinstsyfte i uppdrag att lämna in klagomål till tillsynsmyndigheten och att utöva de rättigheter som avses i artiklarna 52, 53 och 54 för hans eller hennes räkning. Förutom att ge in klagomål till tillsynsmyndigheten ska alltså den som fått ett sådant uppdrag kunna överklaga beslut, väcka dröjsmålstalan eller väcka talan vid allmän domstol. Organets, organisationens eller sammanslutningens stadgeenliga mål ska vara av allmänt intresse och den ska vara verksam för att skydda registrerades rättigheter och friheter vid behandling av personuppgifter.
SOU 2017:29 Rättsmedel och skadestånd
565
Enligt skäl 87 bör en registrerad som anser att hans eller hennes rättigheter enligt direktivet har kränkts ha rätt att ge ett organ som syftar till att skydda registrerades rättigheter och intressen vad gäller skyddet av deras personuppgifter, i uppdrag att lämna in klagomål och utöva hans eller hennes rätt till rättsmedel. Den registrerades rätt att bli företrädd bör inte påverka nationella processuella regler enligt vilka det kan vara obligatoriskt att registrerade inför domstol företräds av en advokat.
För enkelhetens skull benämns organet, organisationen eller sammanslutningen i det följande ideell organisation.
Nuvarande reglering
Processrätten medger som huvudregel inte att organisationer intar partställning vid sidan av den egentliga parten i en process. Undantag gäller dock för arbetstvister, (4 kap. 5 § lagen [1974:371] om rättegången i arbetstvister), tvister mellan konsumenter och näringsidkare om varor, tjänster eller andra nyttigheter (5 § lagen [2002:599] om grupprättegång), mål om skadestånd för vissa miljöskador och andra enskilda anspråk (32 kap.13 och 14 §§miljöbalken) och mål om diskriminering (6 kap. 2 § diskrimineringslagen [2008:567]). I personuppgiftslagen och annan reglering om personuppgiftsbehandling finns inga regler om talerätt för organisationer.
En enskild får enligt 48 § förvaltningsprocesslagen i en rättegång i allmän förvaltningsdomstol anlita ett ombud eller ett biträde. Enligt 12 kap. 1 § rättegångsbalken får en enskild anlita ett ombud i en process vid allmän domstol. I såväl förvaltningsprocesslagen som rättegångsbalken ställs uttryckliga kompetenskrav på ombudet eller biträdet (48 § första stycket förvaltningsprocesslagen respektive 12 kap. 2 § rättegångsbalken), varför juridiska personer inte kan uppträda som ombud i en rättegång (se Fitger m.fl., Rättegångsbalken, del 1, supplement 81, oktober 2016, s. 12:5 och En mer ändamålsenlig förvaltningsprocess, prop. 2012/13:45, s. 106 f.). I förvaltningsärenden kan däremot även en juridisk person agera ombud eller biträde, eftersom motsvarande kompetenskrav saknas (9 § första stycket förvaltningslagen, Förslag till lag om allmänna förvaltningsdomstolar m.m., prop. 1971:30, del 2, s. 362 och RÅ 1963
Rättsmedel och skadestånd SOU 2017:29
566
ref. 37). Om ett ombud eller ett biträde är oskickligt, visar oförstånd eller är olämpligt på något annat sätt får myndigheten eller domstolen avvisa ombudet (48 § andra stycket förvaltningsprocesslagen, 12 kap. 5 § rättegångsbalken och 9 § andra stycket förvaltningslagen).
Behövs det en särskild reglering av organisationers rätt att företräda enskilda?
Artikel 55, som saknar motsvarighet i det nu gällande direktivet, kan tolkas på två sätt. Den kan antingen tolkas som att ideella organisationer ska medges talerätt vid sidan av registrerade eller att registrerade ska kunna anlita en sådan organisation som ombud i mål och ärenden som rör personuppgiftsbehandling.
Enligt utredningens bedömning kan bestämmelsen inte uppfattas på det sättet att ideella organisationer ska ges talerätt vid sidan av registrerade. Det framgår tydligt av att det i artikeln sägs att den registrerade ska kunna ge organisationen i uppdrag att för hans eller hennes räkning vidta vissa åtgärder. Med den formuleringen kan regleringen inte förstås på annat sätt än att registrerade ska kunna anlita en ideell organisation som ombud.
Dagens regler medger att registrerade i förvaltningsärenden anlitar en juridisk person, t.ex. en ideell organisation. Behovet av att kunna anlita en sådan organisation i frågor som rör klagomål hos tillsynsmyndigheten är alltså redan tillgodosett. I lagrådsremissen med förslag till ny förvaltningslag föreslås att det även i förvaltningslagen ska ställas kompetenskrav på ombud (s. 88 f.). Kravet motsvarar de krav som finns i förvaltningsprocesslagen och rättegångsbalken. Den nya förvaltningslagen föreslås träda i kraft den 1 juli 2018. Om ett sådant kompetenskrav införs kommer det inte längre vara möjligt att anlita en juridisk person som ombud i ett förvaltningsärende.
När det gäller kravet på att registrerade ska ha rätt att anlita sådana organisationer som ombud i en rättegång i domstol är det visserligen inte möjligt för organisationen som sådan att företräda dem. Däremot kan en företrädare för organisationen som har tillräcklig kompetens uppträda som ombud, eftersom det inte finns något krav på att ett ombud ska vara advokat eller jurist eller på någon särskild relation till huvudmannen. Den registrerade kan ut-
SOU 2017:29 Rättsmedel och skadestånd
567
forma en fullmakt för den ideella organisationen på ett sådant sätt att företrädare för organisationen omfattas av den. Det kan tilläggas att även om det skulle skapas förutsättningar för att anlita en organisation som ombud i domstol, skulle det i praktiken ändå vara en fysisk person – en representant för organisationen – som för den registrerades talan. Utredningen anser mot den bakgrunden att det inte finns skäl att föreslå någon regel om att ideella organisationer ska kunna vara ombud. Registrerades rätt att ge en ideell organisation sådana uppdrag som avses i direktivet tillgodoses enligt utredningens mening genom de möjligheter som befintlig lagstiftning ger.
569
15 Överföring till tredjeland och internationella organisationer
15.1 Bakgrund
15.1.1 2013 års lag
Dataskyddsrambeslutet (se avsnitt 4.1.3) reglerar behandlingen av personuppgifter vid de flesta informationsöverföringar som i dag görs inom tillämpningsområdet för det nya dataskyddsdirektivet. I rambeslutet fastställs gemensamma regler för behandling av personuppgifter inom ramen för polisiärt och straffrättsligt samarbete när personuppgifter överförs eller görs tillgängliga mellan EUmedlemsstater, Island, Liechtenstein, Norge och Schweiz och EUorgan och EU:s informationssystem. Dataskyddsrambeslutet är genomfört i Sverige huvudsakligen genom 2013 års lag.
Lagen reglerar möjligheterna för en svensk myndighet att föra över personuppgifter till ett tredjeland eller ett internationellt organ. Enligt 7 § får personuppgifter överföras till ett tredjeland eller ett internationellt organ om den som har överfört eller gjort uppgifterna tillgängliga för den svenska myndigheten har medgett att de överförs, överföringen är nödvändig för något av de ändamål som omfattas av lagens tillämpningsområde och mottagaren har ansvar för ett sådant ändamål. Därtill ska staten där den mottagande myndigheten eller organet finns ha en adekvat skyddsnivå för den avsedda behandlingen. Undantag från kravet på adekvat skyddsnivå görs i vissa enskilda fall som framgår av paragrafen. På samma sätt föreskrivs undantag från kravet på medgivande i förväg.
Eftersom 2013 års lag enbart är tillämplig på personuppgifter som härrör från andra medlemsstater eller från de andra stater, organ och informationssystem som nyss nämnts, gäller personuppgiftslagen (1998:204) för andra överföringar bl.a. genom hänvis-
Överföring till tredjeland och internationella organisationer SOU 2017:29
570
ningar dit i myndigheters registerförfattningar. Som exempel på när personuppgiftslagen är tillämplig kan nämnas överföringar till USA, Kanada eller Kina av personuppgifter som har sitt ursprung i Sverige. Polismyndigheten står för en stor del av överföringarna av personuppgifter till tredjeland. Sådana överföringar kan göras med stöd av, förutom nyss nämnda lagar, lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och polisdatalagen (2010:361).
15.1.2 Personuppgiftslagen
Syftet med det nu gällande dataskyddsdirektivet (se avsnitt 4.1.2) har varit att skapa en gemensam, hög nivå på integritetsskyddet vid behandling av personuppgifter för att på så sätt möjliggöra ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet har också genomförts i övriga stater som är anslutna till EES. Ett fritt flöde av personuppgifter till tredjeland är däremot inte tillåtet. Det har genom direktivet lagts fast en gemensam nivå till skydd för personuppgifter som överförs till tredjeland.
Artiklarna 25 och 26 i det nu gällande dataskyddsdirektivet om överföring till tredjeland har genomförts i 33–35 §§personuppgiftslagen och 12–14 §§personuppgiftsförordningen (1998:1191). I förarbetena till lagen framhålls att direktivets bestämmelser om överföring till tredjeland är detaljerade och komplicerade. En mer komplicerad reglering än vad som är nödvändig borde därför inte införas i lagstiftningen (prop. 1997/98:44 s. 95). Det ansågs ofrånkomligt att i personuppgiftslagen föreskriva förbud mot att överföra personuppgifter till tredjeland och de konkreta undantag från förbudet som räknas upp i direktivet (prop. 1997/98:44 s. 96). Regeringen eller den myndighet som regeringen bestämmer har bemyndigats att meddela föreskrifter om ytterligare undantag från överföringsförbudet.
I januari 2000 modifierades överföringsförbudet till att bara gälla de fall där det saknas en adekvat skyddsnivå i det tredjelandet (se Personuppgiftslagens överföringsregler, prop. 1999/2000:11, s. 14 f.). Ändringen syftade till att skapa ökat utrymme för användning av internet och andra elektroniska kommunikationssätt, t.ex. e-post.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
571
Enligt 33 § personuppgiftslagen är det alltså förbjudet att till tredjeland föra över personuppgifter som är under behandling, om landet inte har en adekvat skyddsnivå för personuppgifter. Förbudet gäller även överföring av personuppgifter för behandling där. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. I paragrafen anges vilka omständigheter som ska tillmätas särskild vikt. Den personuppgiftsansvarige anses ha bevisbördan för att skyddsnivån i det tredjelandet är adekvat (se prop. 1999/2000:11 s. 20).
Trots avsaknad av adekvat skyddsnivå är enligt 34 § personuppgiftslagen överföring av personuppgifter till tredjeland tillåten om den enskilde har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig i vissa särskilt uppräknade fall. Paragrafen reglerar vissa undantag från överföringsförbudet i 33 §. Ett viktigt undantag är att personuppgifter får föras över för användning enbart i en stat som har anslutit sig till dataskyddskonventionen (se avsnitt 4.3).
15.1.3 Innehållet i direktivet
Även det nya dataskyddsdirektivet reglerar förutsättningarna för att överföra personuppgifter till tredjeland. Dessutom regleras överföringar till internationella organisationer. Bestämmelserna, som är förhållandevis detaljerade, finns i artiklarna 35–40.
Ett grundläggande krav för överföring av personuppgifter till ett tredjeland eller en internationell organisation är att det tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå för uppgifterna. Kommissionen beslutar om ett tredjeland eller en internationell organisation uppfyller det kravet. Sådana beslut får direkt verkan i medlemsstaterna. Kommissionen ska i sin bedömning bl.a. ta hänsyn till rättsstatsprincipen, tillgången till rättslig prövning och om det finns oberoende tillsyn i mottagarlandet.
Har kommissionen inte fattat något beslut om adekvat skyddsnivå, finns det ändå möjlighet att föra över personuppgifter till ett tredjeland eller en internationell organisation om överföringen omfattas av lämpliga skyddsåtgärder. Om det inte finns ett beslut om
Överföring till tredjeland och internationella organisationer SOU 2017:29
572
adekvat skyddsnivå och överföringen inte heller omfattas av lämpliga skyddsåtgärder, får överföringen göras endast om den är nödvändig i en särskild undantagssituation.
Huvudregeln är att överföringen ska göras till en behörig myndighet i det tredjelandet. Medlemsstaterna ges dock möjlighet att föreskriva att personuppgifter, i enskilda och särskilda fall, får överföras direkt till mottagare i tredjeland.
15.2 Några grundläggande begrepp
15.2.1 Överföring
Utredningens bedömning: Det behövs inte någon definition av
vad som avses med överföring.
Skälen för utredningens bedömning
Vad avses med överföring?
Vilka åtgärder som innebär överföring av personuppgifter har diskuterats bl.a. av Informationshanteringsutredningen och E-offentlighetskommittén (se SOU 2015:39 s. 478 f. och Allmänna handlingar i elektronisk form – offentlighet och integritet, SOU 2010:4, s. 338).
Enligt Informationshanteringsutredningen är det inte fråga om överföring av personuppgifter till tredjeland bara genom att en person befinner sig utanför unionen med personuppgifter i sin besittning. Det krävs en avsikt att personuppgifterna ska nå en mottagare i tredjeland. Om en myndighet skickar, vidarebefordrar eller förmedlar information i elektronisk form till en mottagare som befinner sig i ett tredjeland torde det däremot vara fråga om en överföring (SOU 2015:39 s. 479 f.).
Det krävs inte att överföringen till det tredjelandet innebär att personuppgifter lämnas ut till tredje man. Det anses vara en överföring även om personuppgifterna lämnas till ett personuppgiftsbiträde i tredjeland för att faktiskt behandlas där, t.ex. om en myndighet använder sig av en utländsk leverantör av en it-tjänst (SOU 2015:39 s. 480).
SOU 2017:29 Överföring till tredjeland och internationella organisationer
573
Det saknas vägledande avgöranden i rättspraxis om vad som är att se som en överföring. I den juridiska litteraturen har det förts viss diskussion om vad som ska förstås med överföring (se bl.a. Öman m.fl. s. 447 f.). I vilken mån det ska ses som en överföring att befinna sig i ett tredjeland och där ha elektronisk tillgång till personuppgifter som ”finns” i hemlandet anses exempelvis oklart.
När det gäller publicering på internet antogs det tidigare att all öppen publicering på en webbplats innebar att personuppgifterna blev tillgängliga i hela världen och därmed kunde anses överförda till alla länder i det nu gällande dataskyddsdirektivets mening. EUdomstolen slog emellertid i det s.k. konfirmandlärarmålet fast att det inte är fråga om överföring till tredjeland när en person i en medlemsstat lägger ut personuppgifter på en webbplats på internet som är lagrad hos en fysisk eller juridisk person som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat (dom av den 6 november 2003, Lindqvist, C-101/01).
Det har diskuterats hur långt EU-domstolens uttalande sträcker sig (se t.ex. SOU 2004:6 s. 232 f.). E-offentlighetskommittén anser att EU-domstolens avgörande klarlagt att det i de flesta fall inte innebär en överföring till tredjeland när information läggs ut på internet. Om uppgifterna t.ex. publiceras på en webbplats på internet och webbplatsen lagras hos en internetleverantör som är etablerad inom EU är det i princip inte fråga om en överföring till tredjeland. Enligt kommittén bör det alltså inte ses som överföring om en myndighet lägger ut information från ett s.k. allmänt register på sin hemsida så länge den aktuella servern finns inom EU (SOU 2010:4 s. 338). Högsta domstolen ansåg i NJA 2005 s. 361 att en rektor på en enskilt bedriven skola inte hade överfört personuppgifter till tredjeland genom att publicera uppgifterna på skolans webbplats.
Utredningen anser att det är fråga om överföring när en behörig myndighet skickar, vidarebefordrar eller förmedlar information i elektronisk form till någon som befinner sig i ett tredjeland eller till en internationell organisation. Det bör också ses som överföring att en behörig myndighet gör information tillgänglig för ett tredjeland eller en internationell organisation genom att informationen tillförs ett för de behöriga myndigheterna gemensamt datasystem, t.ex. en databas hos Interpol. Överföring på papper av personupp-
Överföring till tredjeland och internationella organisationer SOU 2017:29
574
gifter som inte har undergått automatiserad behandling eller har ingått i ett manuellt register bör däremot inte betraktas som en överföring.
En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation kan samtidigt innebära utlämnande av allmänna handlingar. Då aktualiseras även bestämmelser om sekretess. Utredningen återkommer till det i avsnitt 15.12.4.
Bör det införas en definition av överföring?
Dataskyddsdirektivet innehåller inte någon definition av överföring. Det definieras inte heller i 2013 års lag eller i personuppgiftslagen. Något behov av att i lag slå fast vad överföring innebär finns inte heller nu. Överföring bör därför inte definieras i ramlagen.
15.2.2 Medlemsstat
Utredningens förslag: Medlemsstat ska i ramlagen definieras
som en stat som är medlem i EU och Island, Liechtenstein, Norge och Schweiz.
Skälen för utredningens förslag
Vad är en medlemsstat?
Kapitel V i direktivet gäller vid all överföring av personuppgifter från en medlemsstat till ett tredjeland eller till en internationell organisation. Kapitlet reglerar också vidareöverföring till ett tredjeland eller en internationell organisation av personuppgifter som det tredjelandet eller den internationella organisationen har fått från en medlemsstat. Ordet medlemsstat används i stor utsträckning i direktivet. Det finns därför anledning att titta närmare på vad som avses med en medlemsstat.
I vanligt språkbruk benämns en stat som är medlem i EU medlemsstat. Direktivet utgår från att det gäller för alla EU:s medlems-
SOU 2017:29 Överföring till tredjeland och internationella organisationer
575
stater. Danmark är enligt skäl 100 inte automatiskt bundet av det men beslutade i oktober 2016 att ansluta sig. I skäl 99 påminns om att Storbritannien och Irland inte är bundna av de delar av det straffrättsliga och polisiära samarbetet som de tidigare valt att stå utanför.
Enligt skäl 101–103 är direktivet en vidareutveckling av bestämmelserna i Schengenregelverket i förhållande till Island, Liechtenstein, Norge och Schweiz. De tre förstnämnda är, tillsammans med övriga medlemsstater i EU, anslutna till EES. Schweiz, som inte ingår i EES, har ingått avtal med EU med liknande innehåll.
Utredningen anser att de stater som är bundna av direktivet ska betraktas som medlemsstater, eftersom de är skyldiga att garantera det skydd för personuppgifter som direktivet föreskriver.
Det bör införas en definition av medlemsstat
På flera ställen i direktivet används ordet medlemsstat för att bl.a. beskriva varifrån personuppgifterna som hanteras kommer och vilka staters intressen som ska beaktas i olika sammanhang. Det är svårt att undvika att använda ordet medlemsstat i ramlagen. Eftersom vissa stater som inte är medlemsstater i EU omfattas av direktivet går det inte att använda ordet medlemsstat i ramlagen utan att definiera det. Ett alternativ skulle vara att räkna upp alla berörda stater, men det skulle bli onödigt omfattande och komplicerat att göra det i alla bestämmelser. Genom att definiera medlemsstat blir det tydligt vilka stater regleringen omfattar utan att ramlagen tyngs av långa uppräkningar. Medlemsstat bör därför definieras i ramlagen.
Direktivet gäller för alla EU:s medlemsstater. Island, Liechtenstein, Norge och Schweiz är också bundna av direktivet och bör därför likställas med medlemsstater i ramlagen. Medlemsstat bör definieras som en stat som är medlem i EU och Island, Liechtenstein, Norge och Schweiz.
Överföring till tredjeland och internationella organisationer SOU 2017:29
576
Förhållandet till äldre rättsakter som gäller för EU:s medlemsstater
Dataskyddsdirektivet ska enligt artikel 60 inte påverka tillämpningen av särskilda bestämmelser om dataskydd i unionsrättsakter på området för straffrättsligt samarbete och polissamarbete som antagits före dagen för antagandet av direktivet. De bestämmelser som avses reglerar behandling av personuppgifter som överförs mellan medlemsstaterna eller tillgång till EU-informationssystem. Eftersom skyddet för personuppgifter ska tillämpas enhetligt i hela unionen ska kommissionen enligt artikel 62.6 se över om äldre rättsakter behöver anpassas till direktivet.
Som exempel på äldre rättsakter nämns i skäl 94 Prümrådsbeslutet och konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater. Ett annat exempel är rambeslutet och rådsbeslutet om elektroniskt utbyte av uppgifter ur kriminalregister, Ecris (se avsnitt 6.3).
Äldre rättsakter på området ska således fortsätta att tillämpas i förhållande till EU:s medlemsstater.
Förhållandet till EU:s organ och informationssystem
En särskild fråga är hur direktivet förhåller sig till EU:s organ och informationssystem. Direktivet reglerar enbart överföringar av personuppgifter från medlemsstater till tredjeland (eller andra än behöriga myndigheter i tredjeland, se avsnitt 15.8) och internationella organisationer. EU:s institutioner och organ, t.ex. Europol och Eurojust, och EU-informationssystem, som Schengens informationssystem (SIS II) och tullinformationssystemet (TIS), faller inte in under någon av dessa kategorier.
Enligt 2 § 2013 års lag, som bl.a. genomför artikel 1.2 i dataskyddsrambeslutet, gäller den lagen för överföring av personuppgifter till stater som är medlemmar i EU, Island, Liechtenstein, Norge eller Schweiz och till EU-organ eller EU-informationssystem. Någon motsvarande reglering i förhållande till EU:s organ och informationssystem finns inte i direktivet. Det enda som sägs om dem är att det i artikel 2.3 b anges att direktivet inte tillämpas på personuppgiftsbehandling som utförs av unionens institutioner, organ och byråer. Personuppgiftsbehandlingen inom EU:s institutioner och organ styrs i stället av Europaparlamentets och rådets
SOU 2017:29 Överföring till tredjeland och internationella organisationer
577
förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter.
Flera rättsakter som har antagits inom EU när det gäller polisiärt och straffrättsligt samarbete innehåller särskilda bestämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med rättsakterna. I några fall utgör dessa bestämmelser en komplett och enhetlig uppsättning regler som omfattar alla relevanta aspekter av dataskydd och som är mer detaljerade än direktivet. Som exempel kan nämnas rättsakter som reglerar funktionssättet för Europol, Eurojust, SIS II och TIS. Rättsakterna möjliggör informationsutbyte mellan medlemsstaterna och medför även i vissa fall uppgiftsskyldighet för de nationella myndigheterna, se t.ex. artikel 7.6 i Europolförordningen. Uppgiftsskyldighet gäller även exempelvis i förhållande till Europeiska byrån för bedrägeribekämpning (Olaf) enligt artikel 8 i Europaparlamentets och rådets förordning (EU, EURATOM) nr 883/2013 av den 11 september 2013. Informationsutbyte äger också rum också inom ramen för den europeiska gräns- och kustbevakningen, Frontex, enligt Europaparlamentets och rådets förordning (EU) 2016/1624 av den 14 september 2016 om en europeisk gräns- och kustbevakning och om ändring av Europaparlamentets och rådets förordning (EU) 2016/399 och upphävande av Europaparlamentets och rådets förordning (EG) nr 863/2007, rådets förordning (EG) nr 2007/2004 och rådets beslut 2005/267/EG.
När uppgiftsskyldighet eller andra åtaganden och möjlighet att utbyta information med EU:s organ eller genom EU:s informationssystem regleras i andra rättsakter bör de enligt utredningens mening gälla framför direktivet (jämför artikel 60 och skäl 94). Det gör att personuppgifter även i fortsättningen kan överföras till t.ex. SIS II och TIS i samma utsträckning som hittills. Om det inte finns några rättsakter utgår utredningen från att kommissionen på något annat sätt kommer att reglera informationsflödet och skyddet för personuppgifter till unionens institutioner, organ, byråer och informationssystem (se artikel 62.6).
Överföring till tredjeland och internationella organisationer SOU 2017:29
578
15.2.3 Tredjeland
Utredningens förslag: Tredjeland ska i ramlagen definieras som
en stat som inte är en medlemsstat.
Skälen för utredningens förslag: Direktivet innehåller inte någon
definition av tredjeland. Utredningen gör samma bedömning som gjordes när personuppgiftslagen infördes, nämligen att tredjeland bör definieras (SOU 1997:39 s. 343). Särskilt mot bakgrund av det som nyss har sagts om att direktivet även ska tillämpas av några stater utanför EU, är en sådan definition nödvändig. Tillämpningsområdet för ramlagens överföringsregler blir också tydligare på det sättet.
Utredningen anser att definitionen av medlemsstat bör bilda utgångspunkt för hur tredjeland definieras i ramlagen. Som framgår av avsnitt 15.2.2 avses med medlemsstat en stat som är medlem i EU och Island, Liechtenstein, Norge och Schweiz. Stater som inte är medlemsstater enligt direktivet ska betraktas som tredjeland. Definitionen av tredjeland bör därför vara en stat som inte är en medlemsstat.
15.2.4 Internationell organisation
Utredningens förslag: Internationell organisation ska i ramla-
gen definieras som en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater.
Skälen för utredningens förslag: Det är en nyhet i direktivet att
reglerna om överföring av personuppgifter även omfattar överföringar till internationella organisationer. Det nu gällande dataskyddsdirektivet reglerar bara överföring till tredjeland. Dataskyddsrambeslutet innehåller däremot bestämmelser om överföring till internationella organ (”international bodies”). Reglerna om överföring i 2013 års lag omfattar därför även överföring till sådana organ.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
579
Internationell organisation definieras i artikel 3.16. Utredningen anser att direktivets uttryck internationell organisation, som också används i dataskyddsförordningen, bör användas i ramlagen. För att tydliggöra vad som avses bör det tas in en definition i lagen. Internationell organisation bör definieras som en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater.
Inom ramlagens tillämpningsområde är det främst till Interpol som personuppgifter brukar överföras, men det finns även andra internationella organisationer som kan komma i fråga.
15.2.5 Internationella avtal
Utredningens bedömning: Det behövs inte någon definition av
internationella avtal.
Skälen för utredningens bedömning: I artikel 39.2 förklaras vad
som menas med ett internationellt avtal. Enligt artikeln avses varje gällande bilateralt eller multilateralt internationellt avtal mellan medlemsstater och tredjeländer inom området för straffrättsligt samarbete och polissamarbete. I artikel 61 slås fast att sådana internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer och som medlemsstaterna ingick före den 6 maj 2016 och är förenliga med unionsrätten som den tillämpades före den dagen, ska fortsätta att gälla tills de ändras, ersätts eller återkallas. Det torde inte vara nödvändigt att avtalet i sin helhet gäller personuppgiftsbehandling, utan ett avtal om t.ex. internationellt samarbete som innehåller bestämmelser om dataskydd bör också kunna ses som ett internationellt avtal i direktivets mening.
Artikel 39.2 behöver inte genomföras i nationell rätt. Utredningen ser inte heller något behov av att definiera internationellt avtal, eftersom uttrycket inte används i ramlagen.
Överföring till tredjeland och internationella organisationer SOU 2017:29
580
15.3 Allmänna principer för överföring av personuppgifter
15.3.1 Grundläggande förutsättningar för överföring
Utredningens förslag: Behöriga myndigheter får, om vissa vill-
kor är uppfyllda, överföra personuppgifter som behandlas till ett tredjeland eller en internationell organisation. Det gäller även överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation.
En behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation ska särskilt beakta risken för att enskilda får försämrat skydd för sina personuppgifter.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
I artikel 35 anges allmänna principer för överföring av personuppgifter till ett tredjeland eller en internationell organisation.
En grundläggande förutsättning för överföring av personuppgifter till ett tredjeland eller en internationell organisation är att nationella bestämmelser om behandling av personuppgifter respekteras och att de villkor som räknas upp i punkterna a–d i artikel 35.1 är uppfyllda (se avsnitt 15.3.2–15.3.4). Det gäller för all överföring av personuppgifter oavsett på vilken grund överföringen görs (med undantag för att kravet i 35.1 b inte behöver vara uppfyllt när personuppgifter får överföras till någon annan än en behörig myndighet, se avsnitt 15.8). Enligt artikel 35.1 får behöriga myndigheter överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation.
En liknande bestämmelse finns i 7 § första stycket 2013 års lag, som genomför artikel 13.1 i dataskyddsrambeslutet. Enligt 33 § personuppgiftslagen omfattar förbudet mot överföring till tredjeland dels personuppgifter som är under behandling, dels personuppgifter som överförs för behandling i tredjeland.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
581
De grundläggande förutsättningarna för överföring anges i ramlagen
Artikel 35.1 bör genomföras i ramlagen. Av paragrafen bör framgå att behöriga myndigheter får överföra personuppgifter till ett tredjeland eller en internationell organisation endast om vissa särskilt uppräknade villkor är uppfyllda. Vilka de särskilda villkoren är och hur de ska komma till uttryck i ramlagen diskuteras i det följande. Här räcker det att konstatera att paragrafen bör utformas så att det framgår att samtliga villkor ska vara uppfyllda för att en behörig myndighet ska få överföra personuppgifter till ett tredjeland eller en internationell organisation. Behörig myndighet definieras i ramlagen (se avsnitt 7.1.4).
Av paragrafen bör vidare framgå att det ska vara fråga om personuppgifter som håller på att behandlas, dvs. är föremål för sådan behandling som omfattas av ramlagens tillämpningsområde (se avsnitt 7.1.6). Kravet på att personuppgifterna ska vara föremål för behandling uttrycks annorlunda i det nu gällande dataskyddsdirektivet. Där talas det i stället om personuppgifter som är under behandling. I 33 § personuppgiftslagen används samma formulering. Att uttrycket håller på att behandlas används i det nya dataskyddsdirektivet innebär enligt utredningens mening inte någon ändring i sak i förhållande till vad som gäller i dag. Utredningen anser emellertid att ordet behandlas bör användas i ramlagen eftersom det stämmer bättre överens med förslagen i övrigt.
Paragrafen bör också reglera överföring av personuppgifter för behandling i ett tredjeland eller av en internationell organisation. Det är fråga om sådana personuppgifter som inte är föremål för automatiserad eller annan strukturerad behandling i Sverige, utan överförs till ett tredjeland eller en internationell organisation för att automatiseras där t.ex. genom att läggas in i en databas.
Det är inte ovanligt att personuppgifter överförs till tredjeland genom så kallade nationella kontaktpunkter inom ramen för internationellt samarbete. Syftet med nationella kontaktpunkter är att underlätta det internationella samarbetet genom att varje stat pekar ut en viss myndighet som är ständigt tillgänglig och genom vilken all information till staten kanaliseras, oberoende av vem den slutliga mottagaren är. Kontaktpunkten ser till att informationen omedelbart vidarebefordras till mottagaren. Som exempel kan nämnas att Polismyndigheten är nationell kontaktpunkt bl.a. när det gäller
Överföring till tredjeland och internationella organisationer SOU 2017:29
582
FN:s vapenprogram (Förenta nationernas resolution 55/255, antagen den 31 maj 2001 av generalförsamlingen, tilläggsprotokoll mot olaglig tillverkning av och handel med skjutvapen, deras delar och komponenter och ammunition till Förenta nationernas konvention mot gränsöverskridande organiserad brottslighet) och enligt FN:s konventioner om bekämpande av nukleär terrorism och brott mot sjöfartens säkerhet (Förenta nationernas konvention den 13 april 2005 för bekämpande av nukleär terrorism och Förenta nationernas konvention den 10 mars 1988 för bekämpande av brott mot sjöfartens säkerhet med dess protokoll den 14 oktober 2005). Ramlagens reglering av överföring bör enligt utredningens mening inte hindra att sådant samarbete är möjligt även i fortsättningen. Det är dock endast behöriga myndigheter som kan fungera som kontaktpunkter för informationsutbyte inom ramlagens tillämpningsområde.
Överföringen ska vara förenlig med övriga bestämmelser i ramlagen
Ett krav för att personuppgifter ska få överföras till ett tredjeland eller en internationell organisation är enligt artikel 35.1 att de nationella bestämmelserna som antas i enlighet med andra bestämmelser i direktivet respekteras.
Redan i dag ska de grundläggande kraven på behandling av personuppgifter i 9 § personuppgiftslagen alltid vara uppfyllda för att uppgifterna ska få överföras till ett tredjeland. Överföringen ska också vara tillåten enligt 10 § personuppgiftslagen. Är det exempelvis känsliga personuppgifter, uppgifter om lagöverträdelser eller personnummer som ska överföras, krävs det också att behandlingen är tillåten enligt 13–22 §§ (se prop. 1997/98:44 s. 137).
För att personuppgifter ska få överföras till ett tredjeland eller en internationell organisation bör det krävas att alla de grundläggande förutsättningarna för att få behandla personuppgifter är uppfyllda. Det följer av att överföringen som sådan är en behandling av personuppgifter i ramlagens mening. Överföringen får naturligtvis inte heller stå i strid med andra bestämmelser i lagen.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
583
Skyddsnivån får inte försämras genom överföringen
Av artikel 35.3 framgår att alla bestämmelser som gäller överföring ska tillämpas för att den skyddsnivå som säkerställs genom direktivet inte ska undergrävas. Enligt skäl 64 är det viktigt att den skyddsnivå som direktivet garanterar fysiska personer inom unionen inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra adressater i tredjeland eller till internationella organisationer.
Bestämmelsen fyller en viktig funktion för att tydliggöra att enskildas intresse av skydd för personuppgifter ska värnas även när uppgifterna lämnar medlemssfären. En bestämmelse som motsvarar innehållet i artikeln bör därför tas in i ramlagen. Av den bör framgå att en behörig myndighet som avser att överföra personuppgifter till ett tredjeland eller en internationell organisation särskilt ska beakta risken för att enskilda får ett försämrat skydd för sina personuppgifter.
15.3.2 Överföringen ska vara nödvändig för ett visst ändamål och riktas till en behörig myndighet
Utredningens förslag: Personuppgifter får överföras till ett
tredjeland eller en internationell organisation endast om överföringen är nödvändig för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Överföringen ska riktas till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 35.1 a får personuppgifter överföras till ett tredjeland eller till en internationell organisation endast om överföringen är nödvändig för de ändamål som anges i artikel 1.1. Enligt den arti-
Överföring till tredjeland och internationella organisationer SOU 2017:29
584
keln ska direktivet tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Ett ytterligare villkor för överföring av personuppgifter är enligt artikel 35.1 b att uppgifterna överförs till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är en behörig myndighet för något av de ändamål som anges i artikel 1.1. I skäl 64 framhålls att en överföring endast bör utföras av behöriga myndigheter som agerar som personuppgiftsansvariga, utom när personuppgiftsbiträden uttryckligen har getts i uppdrag att göra överföringar för personuppgiftsansvarigas räkning.
I 2013 års lag finns motsvarande bestämmelser i 7 § första stycket 2 och 3, som genomför artikel 13.1 a och b i dataskyddsrambeslutet. Enligt paragrafen får personuppgifter överföras endast om det är nödvändigt för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder och endast till en mottagare som har ansvar för sådan verksamhet.
Överföring enbart till behöriga myndigheter för vissa ändamål
Artiklarna 35.1 a och b bör genomföras i ramlagen. Paragrafen bör formuleras på samma sätt som regleringen av lagens tillämpningsområde, dvs. knytas till arbetsuppgifterna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Utredningen anser att det blir mer överskådligt än att hänvisa till paragrafen som reglerar lagens tillämpningsområde. Det är också så bestämmelsen i 2013 års lag har formulerats.
Kravet på att överföringen ska vara nödvändig bör enligt utredningens mening tolkas på samma sätt som i allmänt språkbruk, dvs. att det är fråga om något som behövs (se avsnitt 9.1.2). Den personuppgift som överförs kan behövas antingen för att den överförande eller för att den mottagande myndigheten ska kunna utföra en arbetsuppgift som den har ansvar för inom det angivna tillämpningsområdet. En svensk behörig myndighet kan t.ex. behöva över-
SOU 2017:29 Överföring till tredjeland och internationella organisationer
585
föra personuppgifter till ett tredjeland för att få hjälp med bevisupptagning i ett ärende som handläggs i Sverige. På motsvarande sätt kan ett tredjeland eller en internationell organisation behöva få tillgång till svenska personuppgifter för sin brottsbekämpning, lagföring eller straffverkställighet.
Av paragrafen bör vidare framgå att det bara är tillåtet att föra över personuppgifter om det görs till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet. Personuppgifterna ska följaktligen överföras till en myndighet eller en annan aktör som har i uppdrag att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Den behöriga myndigheten som personuppgifterna lämnas till behöver inte ha samma arbetsuppgifter som den svenska myndigheten som överför personuppgifterna. Det bör således inte finnas något hinder mot att exempelvis en svensk åklagare lämnar personuppgifter till en utländsk domstol. Det bör inte heller finnas något hinder mot att personuppgifter överförs mellan två nationella kontaktpunkter oavsett vilken typ av myndighet som har utsetts till kontaktpunkt.
15.3.3 Viss skyddsnivå ska vara säkerställd
Utredningens förslag: Personuppgifter får överföras till ett
tredjeland eller en internationell organisation endast om kommissionen har antagit ett beslut om adekvat skyddsnivå, eller, om det inte finns ett sådant beslut, om personuppgifterna omfattas av tillräckliga skyddsåtgärder hos adressaten. Om det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får personuppgifter överföras endast när ett undantag för särskilda situationer är tillämpligt.
Skälen för utredningens förslag: Enligt artikel 35.1 d gäller som
huvudregel att personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om personuppgiftsbehandlingen där säkerställer viss skyddsnivå. Tanken är att den skyddsnivå som säkerställs genom direktivet som utgångspunkt ska gälla även när personuppgifter överförs till ett tredjeland eller en inter-
Överföring till tredjeland och internationella organisationer SOU 2017:29
586
nationell organisation. För att personuppgifter ska få lämnas ut från en medlemsstat krävs det därför enligt artikel 36 i första hand att det tredjelandet eller den internationella organisationen omfattas av ett beslut från kommissionen om att landet eller organisationen säkerställer en adekvat skyddsnivå. Om det inte finns ett sådant beslut får personuppgifter enligt artikel 37 ändå överföras i vissa fall om lämpliga skyddsåtgärder har vidtagits eller säkerställts. Är inte heller det kravet uppfyllt får personuppgifter endast överföras i de särskilda undantagssituationer som är uttömmande reglerade i artikel 38.
De tre överföringsgrunderna redovisas mer ingående i samband med att artiklarna 36–38 behandlas. Det räcker därför här att konstatera att villkoret ska genomföras i svensk rätt genom en bestämmelse i ramlagen som motsvarar innehållet i artikel 35.1 d.
15.3.4 Överföring av uppgifter från andra medlemsstater ska vara medgiven
Utredningens förslag: Personuppgifter som en svensk myndig-
het har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till en svensk myndighet har medgett att de överförs.
Om medgivande på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat.
Att den andra medlemsstaten utan dröjsmål ska informeras om överföringen ska regleras i förordning.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
587
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 35.1 c ska den som vill överföra personuppgifter som kommer från en annan medlemsstat till ett tredjeland eller en internationell organisation ha den andra medlemsstatens tillstånd till överföringen. Tillståndet ska ges innan överföringen får äga rum.
I artikel 35.2 görs undantag från huvudregeln om förhandstillstånd. Där anges att det är tillåtet att överföra personuppgifter utan förhandstillstånd om överföringen är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland eller mot en medlemsstats väsentliga intressen och tillstånd inte kan inhämtas i tid. Den myndighet som skulle ha gett tillstånd ska då utan dröjsmål informeras om att överföringen har gjorts.
Nuvarande reglering
I 2013 års lag finns motsvarande bestämmelse i 7 § första stycket 1, som genomför artikel 13.1 c i dataskyddsrambeslutet. Enligt den bestämmelsen får personuppgifter överföras endast om den som överfört eller gjort uppgifterna tillgängliga har medgett att de överförs. Enligt 7 § tredje stycket, som genomför artikel 13.2 i rambeslutet, får, om medgivande på grund av tidsbrist inte kan utverkas i förväg, personuppgifterna ändå överföras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Detsamma gäller om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för andra väsentliga intressen för Sverige eller en annan medlemsstat i EU. Den myndighet som skulle ha medgett överföringen ska, enligt 1 § förordningen (2013:343) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, utan dröjsmål informeras om att överföringen gjorts utan föregående medgivande.
Överföring till tredjeland och internationella organisationer SOU 2017:29
588
Huvudregeln är att förhandstillstånd krävs
Artikel 35.1 c bör genomföras i ramlagen. Av paragrafen bör det framgå att personuppgifter som en svensk myndighet har fått från en annan medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat personuppgifterna till en svensk myndighet i förväg har tillåtit det. Utredningen föreslår att ordet medge används i ramlagen, eftersom det på ett bättre sätt speglar vad som avses.
Undantag vid allvarlig fara
Även artikel 35.2 om undantag från kravet på förhandsmedgivande bör genomföras i ramlagen. Med hänsyn till att bestämmelsen i 2013 års lag är väl anpassad till hur svensk lagstiftning brukar utformas finns det skäl att använda en liknande formulering i ramlagen. Det innebär att ordet fara bör användas i stället för ordet hot, som används i den svenska språkversionen av direktivet. En motsvarande bestämmelse, som också syftar till att tillgodose skyddet för allmän säkerhet, finns i artikel 38.1 c. Där används ordet fara i den svenska versionen. I den engelska versionen av direktivet används ordet ”threat” i både artikel 35.2 och 38.1 c. Någon saklig skillnad kan därför inte vara avsedd.
Det är vidare tillräckligt att det, på samma sätt som i 2013 års lag, anges att det ska vara fara för allmän säkerhet. Tillägget i direktivet att det ska gälla säkerheten i en medlemsstat eller ett tredjeland innebär att tillämpningsområdet omfattar alla stater och saknar därmed egentligt innehåll. Att använda formuleringen ”den allmänna säkerheten i en stat” skulle inte heller bidra till någon ökad klarhet. De väsentliga intressena, som enligt direktivet gäller till förmån för en medlemsstat, bör däremot avse Sverige eller en annan medlemsstat.
Det bör föreskrivas att den som har överfört personuppgifter till ett tredjeland eller en internationell organisation utan förhandsmedgivande, när sådant krävs, utan dröjsmål ska informera den medlemsstat som lämnat uppgifterna till Sverige om överföringen. En sådan bestämmelse kan tas in i förordning.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
589
15.4 Beslut om adekvat skyddsnivå
Utredningens förslag: Om kommissionen har beslutat att det
finns adekvat nivå för skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller på annat sätt angiven del av det, får personuppgifter överföras dit. Detsamma gäller om det finns ett sådant beslut avseende en internationell organisation.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 36.1 får personuppgifter överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att det tredjelandet eller den internationella organisationen säkerställer en adekvat skyddsnivå. Därutöver ska de grundläggande förutsättningarna för överföring i artikel 35 vara uppfyllda.
Kommissionen får enligt artikel 36.3, med bindande verkan för medlemsstaterna, besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå. Den territoriella och sektoriella tillämpningen ska anges i beslutet och det ska också, i förekommande fall, anges vilken eller vilka myndigheter som är tillsynsmyndigheter. En mekanism för regelbunden översyn, minst vart fjärde år, ska inrättas. Vilka omständigheter kommissionen ska beakta när den beslutar om adekvat skyddsnivå framgår av artikel 36.2. Enligt artikel 36.4 ska kommissionen fortlöpande bevaka om utvecklingen i ett tredjeland eller hos en internationell organisation påverkar ett beslut om adekvat skyddsnivå.
Kommissionen får enligt artikel 36.5, även det med bindande verkan för medlemsstaterna, besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå. Kommissionen kan alltså dra tillbaka, ändra eller upphäva ett beslut om adekvat skyddsnivå och även förordna att beslutet ska gälla omedelbart. Om kommissionen fattar ett sådant beslut är det inte längre tillåtet att överföra personuppgifter dit. Däremot kan en överföring vara tillåten om kraven på lämpliga
Överföring till tredjeland och internationella organisationer SOU 2017:29
590
skyddsåtgärder eller undantag i särskilda situationer är uppfyllda (se skäl 70). Enligt artikel 36.8 ska kommissionen på sin webbplats och i EU:s officiella tidning offentliggöra beslut i fråga om adekvat skyddsnivå.
Nuvarande reglering
I 2013 års lag finns motsvarande bestämmelse i 7 § första stycket 4, som genomför artikel 13.1 d i dataskyddsrambeslutet. Där anges som krav för överföring att den stat där den mottagande myndigheten eller det mottagande internationella organet finns har en adekvat skyddsnivå för den avsedda personuppgiftsbehandlingen.
Kommissionen får, enligt artikel 25.6 i det nu gällande dataskyddsdirektivet, konstatera att ett tredjeland, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, har en skyddsnivå som är adekvat. Om kommissionen meddelar ett sådant beslut är medlemsstaterna skyldiga att vidta nödvändiga åtgärder för att följa beslutet. Medlemsstaterna och kommissionen ska informera varandra om de anser att ett visst tredjeland inte har en adekvat skyddsnivå. Om kommissionen kommer fram till att ett tredjeland inte har en adekvat skyddsnivå är medlemsstaterna skyldiga att vidta de åtgärder som är nödvändiga för att förhindra att personuppgifter överförs dit. Kommissionen ska i sådant fall vid lämpligt tillfälle inleda förhandlingar med det tredjelandet för att avhjälpa den uppkomna situationen.
Möjligheten för kommissionen att besluta om adekvat skyddsnivå enligt artikel 25.6 har utnyttjats i förhållande till vissa länder och områden. Av 13 § personuppgiftsförordningen och bilaga 1 till förordningen framgår i vilken utsträckning personuppgifter får överföras till ett tredjeland, eller till vissa mottagare i ett tredjeland, som har en adekvat dataskyddsnivå.
Adekvat skyddsnivå innebär att överföring alltid är tillåten
Medlemsstaterna ska alltså, på samma sätt som i dag, vara bundna av kommissionens beslut att ett tredjeland eller en internationell organisation har en adekvat skyddsnivå. Detsamma gäller ett beslut att ett tredjeland eller en internationell organisation inte längre
SOU 2017:29 Överföring till tredjeland och internationella organisationer
591
uppfyller kraven på adekvat skyddsnivå. Även om ett tredjeland eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå, ska det enligt artikel 36.7 fortfarande vara möjligt att i vissa fall föra över personuppgifter dit om lämpliga skyddsåtgärder enligt artikel 37 säkerställs eller ett undantag för särskilda situationer i artikel 38 är tillämpligt.
Merparten av artikel 36 behandlar kommissionens arbetsuppgifter och kräver därmed inga lagstiftningsåtgärder. Artiklarna 36.1 och 36.3 bör däremot genomföras i ramlagen. Av paragrafen bör framgå att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att landet eller organisationen säkerställer en adekvat nivå för skyddet av personuppgifter. Detsamma bör gälla om kommissionen har beslutat att det finns en adekvat skyddsnivå i en viss geografisk eller på annat sätt angiven del av ett tredjeland, vilket motsvarar direktivets uttryck ett territorium eller en eller flera specificerade sektorer inom ett tredjeland. Ett sådant beslut skulle kunna avse t.ex. en region eller en viss myndighet i ett tredjeland. De grundläggande förutsättningarna för överföring av personuppgifter till ett tredjeland eller en internationell organisation ska också vara uppfyllda för att personuppgifter ska få överföras.
Att kommissionen har återkallat ett beslut om adekvat skyddsnivå bör likställas med att det saknas ett sådant beslut. Det förhållandet att det inte längre finns en adekvat skyddsnivå hindrar inte att personuppgifterna överförs med stöd av någon av de andra tilllåtna grunderna för överföring (lämpliga skyddsåtgärder eller undantag i särskilda situationer). Det följer av övriga bestämmelser i ramlagen.
15.5 Tillräckliga skyddsåtgärder
Utredningens förslag: Om det inte finns ett beslut om adekvat
skyddsnivå, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation om skyddsåtgärder för personuppgifter har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter, eller om den behöriga myndighet som uppgifterna ska överföras till på annat sätt garanterar tillräckligt skydd för dem.
Överföring till tredjeland och internationella organisationer SOU 2017:29
592
Skälen för utredningens förslag
Innehållet i direktivet
Även om det inte finns något beslut av kommissionen om adekvat skyddsnivå får personuppgifter överföras till ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder kan säkerställas i det enskilda fallet. Enligt artikel 37.1 får personuppgifter överföras till ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder för personuppgifter har fastställts i ett rättsligt bindande instrument, eller om den personuppgiftsansvarige har bedömt alla omständigheter kring överföringen och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna ändå föreligger. Dessutom ska de grundläggande förutsättningarna för överföring i artikel 35 vara uppfyllda.
Som exempel på rättsligt bindande instrument anges i skäl 71 rättsligt bindande bilaterala avtal som har ingåtts av medlemsstaterna och genomförts i staternas rättsordningar och som kan åberopas av registrerade. De bilaterala avtalen ska i sådana fall sörja för att kraven på dataskydd uppfylls och att registrerades rättigheter, däribland rätten till effektiv administrativ eller rättslig prövning, respekteras.
Vid bedömningen av om det finns lämpliga skyddsåtgärder för personuppgifter bör enligt skäl 71 den personuppgiftsansvarige kunna beakta sådana samarbetsavtal som ingåtts mellan Europol eller Eurojust och tredjeland och som medger utbyte av personuppgifter. Det bör också kunna beaktas att överföringen kommer att omfattas av tystnadsplikt och att personuppgifterna inte kommer att behandlas i annat syfte än det för vilket de överfördes. Dessutom bör den personuppgiftsansvarige beakta att personuppgifterna inte kommer att användas för att göra framställningar om, meddela eller verkställa ett dödsstraff eller någon annan form av grym eller omänsklig behandling. Den personuppgiftsansvarige bör också kunna begära ytterligare skyddsåtgärder.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
593
Nuvarande reglering
Enligt artikel 26.2 i det nu gällande dataskyddsdirektivet får en medlemsstat tillåta att personuppgifter överförs till ett tredjeland som inte säkerställer en adekvat skyddsnivå om den personuppgiftsansvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas och för utövandet av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler. Artikeln har genomförts i 35 § andra stycket personuppgiftslagen som ger regeringen, eller den myndighet som regeringen bestämmer, möjlighet att meddela föreskrifter om undantag från överföringsförbudet i personuppgiftslagen om det finns tillräckliga garantier till skydd för de registrerades rättigheter. I enskilda fall får regeringen också besluta om undantag på sådan grund eller överlåta till tillsynsmyndigheten att fatta sådana beslut. Regeringen får vidare enligt 35 § första stycket personuppgiftslagen meddela föreskrifter om generella undantag från förbudet mot överföring av personuppgifter, när överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Av 13 § personuppgiftsförordningen och bilaga 2 till förordningen framgår i vilken utsträckning personuppgifter får överföras till ett tredjeland med stöd av vissa standardavtalsklausuler. Ytterligare avtal som har ingåtts med tredjeland har genomförts i Sverige genom 13 a § personuppgiftsförordningen och bilaga 3 till förordningen.
Enligt 7 § andra stycket 2013 års lag, som genomför bl.a. artikel 13.3 a i dataskyddsrambeslutet, får personuppgifter överföras även om kravet på adekvat skyddsnivå inte är uppfyllt, om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
Överföring är tillåten om det finns tillräckliga skyddsåtgärder
Det bör i ramlagen tas in en bestämmelse om att personuppgifter får överföras till ett tredjeland eller en internationell organisation, trots att det inte finns ett beslut om adekvat skyddsnivå, om lämpliga skyddsåtgärder säkerställs för personuppgiftsbehandlingen där. Paragrafen bör motsvara innehållet i artikel 37.1. De grundläggande förutsättningarna för överföring av personuppgifter till ett tredje-
Överföring till tredjeland och internationella organisationer SOU 2017:29
594
land eller en internationell organisation ska också vara uppfyllda för att personuppgifter ska få överföras.
I enlighet med artikel 37.1 a bör för det första lämpliga skyddsåtgärder kunna föreligga om ett avtal säkerställer skyddet för personuppgifter. Ett sådant avtal är dataskyddskonventionen (se avsnitt 4.3). Det har också träffats ett avtal mellan USA och EU om skydd av personuppgifter i samband med förebyggande, utredning, avslöjande och lagföring av brott (kallat Umbrella agreement). Avtalet bör betraktas som ett sådant avtal som ger tillräckliga garantier till skydd för behandlingen av personuppgifter. Även andra avtal om internationellt samarbete som innehåller bestämmelser om dataskydd och som respekterar registrerades rättigheter kan garantera tillräckligt skydd för personuppgifter som överförs.
För det andra bör personuppgifter få överföras om den personuppgiftsansvarige har tagit hänsyn till alla omständigheter kring överföringen och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger. Innebörden är att överföringen är tillåten om den behöriga myndighet som personuppgifterna överförs till säkerställer lämpliga skyddsåtgärder för personuppgifterna.
Direktivet använder uttrycket lämpliga skyddsåtgärder. Att använda uttrycket lämpliga skyddsåtgärder kan ge intryck av att den som vill överföra personuppgifter kan göra en skönsmässig bedömning av vilka skyddsåtgärder som är lämpliga, vilket inte är avsikten. I 2013 års lag används uttrycket tillräckliga skyddsåtgärder, vilket är en lämplig formulering. Utredningen föreslår att formuleringen skyddsåtgärder för personuppgifter som ger tillräckliga garantier till skydd för registrerades rättigheter används beträffande skydd som garanteras genom avtal. I den bestämmelse som genomför artikel 37.1 b bör därför föreskrivas att den behöriga myndighet som personuppgifterna överförs till på annat sätt än genom avtal ska garantera tillräckligt skydd för uppgifterna. Tillräckliga skyddsåtgärder kan då användas som ett samlingsbegrepp både för garantier genom avtal och för andra garantier.
När tillräckliga skyddsåtgärder inte garanteras genom ett avtal ska den personuppgiftsansvarige, inför överföring av personuppgifter till ett tredjeland eller en internationell organisation, bedöma alla omständigheter kring överföringen. Vid bedömningen bör den personuppgiftsansvarige t.ex. kunna beakta att den som ska behandla uppgifterna i det tredjelandet eller den internationella orga-
SOU 2017:29 Överföring till tredjeland och internationella organisationer
595
nisationen kommer att ha tystnadsplikt som omfattar de överförda uppgifterna eller att det garanteras att personuppgifterna inte kommer att behandlas för något annat ändamål än det för vilket de överförts. Kommer personuppgifterna att omfattas av sekretess efter att de överförts till ett tredjeland eller en internationell organisation kan det också vägas in vid bedömningen av om det finns tillräckliga skyddsåtgärder. Den personuppgiftsansvarige bör även kunna beakta vilka regler som gäller för behandling av personuppgifter i det tredjelandet eller vilka interna rutiner som tillämpas i den internationella organisation dit personuppgifterna ska föras.
Prövningen av ett lands skyddsnivå ska göras med utgångspunkt i omständigheterna i det enskilda fallet. Det är alltså inte tillräckligt att det t.ex. årligen görs en bedömning av förhållandena i ett visst tredjeland eller hos en viss organisation och att den bedömningen sedan generellt läggs till grund för beslut att överföra personuppgifter dit. En annan sak är att överföring av vissa personuppgifter kan vara standardbetonad, t.ex. att översända utdrag ur belastningsregistret. Är det fråga om sådana rutinöverföringar räcker det enligt utredningens mening att kontrollera skyddsnivån medan det inte krävs någon särskild bedömning av innehållet i registerutdraget.
För att tillsynsmyndigheten ska kunna säkerställa att prövningen av skyddsnivån varit fullgod är det nödvändigt att en hänvisning görs i det enskilda fallet till vilka dokument och eventuella upplysningar som har legat till grund för bedömningen.
15.6 Undantag i särskilda situationer
15.6.1 Överföringen ska vara nödvändig i en särskild situation
Utredningens förslag: Om det inte finns ett beslut om adekvat
skyddsnivå eller tillräckliga skyddsåtgärder får en överföring, eller en samling av överföringar, av personuppgifter göras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig i vissa särskilda undantagssituationer.
Överföring till tredjeland och internationella organisationer SOU 2017:29
596
Skälen för utredningens förslag
Innehållet i direktivet
Finns det inte ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder får en överföring, eller en kategori av överföringar, av personuppgifter endast äga rum i särskilda undantagssituationer som räknas upp i artikel 38.1. De grundläggande förutsättningarna för att överföra personuppgifter till ett tredjeland eller en internationell organisation enligt artikel 35 ska dock alltid vara uppfyllda.
De situationer som anges i artikel 38.1 är att överföringen ska vara nödvändig för att a) skydda intressen som är av grundläggande betydelse för den
registrerade eller en annan person, b) skydda den registrerades berättigade intressen om lagstiftningen
i den medlemsstat som överför personuppgifterna föreskriver det, c) avvärja en omedelbar eller allvarlig fara för den allmänna säker-
heten i en medlemsstat eller i ett tredjeland, d) i ett enskilt fall förebygga, förhindra, avslöja, utreda eller lagföra
brott eller verkställa straffrättsliga påföljder, inklusive skydda mot, förebygga och förhindra hot mot den allmänna säkerheten, och e) i ett enskilt fall fastslå, göra gällande eller försvara rättsliga an-
språk.
Nuvarande reglering
Enligt 7 § andra stycket 2013 års lag, som genomför artikel 13.3 a i dataskyddsrambeslutet, får, om kravet på adekvat skyddsnivå inte är uppfyllt, personuppgifter överföras i ett enskilt fall om överföringen är motiverad av ett berättigat intresse hos den som uppgifterna avser eller av ett särskilt viktigt allmänt intresse eller om mottagaren i det enskilda fallet tillhandahåller tillräckliga skyddsåtgärder för personuppgifterna.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
597
Överföring är tillåten bara för att tillgodose viktiga intressen
Eftersom direktivet reglerar all personuppgiftsbehandling inom tillämpningsområdet kommer överföringsreglerna i ramlagen att tillämpas i fler situationer än motsvarande reglering i 2013 års lag. Den lagen är bara tillämplig beträffande sådana personuppgifter som Sverige har fått från en annan EU-medlemsstat, Island, Norge, Schweiz, Liechtenstein eller ett EU-organ eller EU-informationssystem. Det är därför av stor vikt att det i ramlagen tydligt regleras vad som bör gälla i de fall där ett visst tredjeland eller en viss organisation inte omfattas av ett beslut om adekvat skyddsnivå och där inte heller tillräckliga skyddsåtgärder garanteras. I enskilda fall kan det nämligen, trots bristen på skydd för personuppgifter, vara angeläget att kunna föra över vissa personuppgifter till ett sådant land eller en sådan organisation.
Ett exempel på när personuppgifter kan behöva överföras, trots att kraven på adekvat skyddsnivå och tillräckliga skyddsåtgärder inte är uppfyllda, kan vara att en misstänkt har överlämnats till Sverige enligt den europeiska arresteringsordern men har lyckats fly från lagföring eller verkställighet av straff och antas befinna sig i exempelvis ett land i Sydamerika eller Asien från vilket svenska myndigheter begär honom eller henne utlämnad. Ett annat exempel kan vara att svenska myndigheter har information om att en misstänkt terrorist befinner sig här i landet men personen identifieras först när han eller hon har rest till ett tredjeland och kan antas komma att begå brott där.
Det bör därför tas in en bestämmelse i ramlagen om att personuppgifter får överföras till ett tredjeland eller en internationell organisation, trots att det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder, om överföringen är nödvändig i vissa särskilda undantagssituationer. Paragrafen bör motsvara innehållet i artikel 38.1. De särskilda situationerna behandlas i det följande. Det bör dock understrykas att de grundläggande förutsättningarna för överföring alltid ska vara uppfyllda för att personuppgifter ska få överföras i de särskilda undantagsfallen.
Överföring till tredjeland och internationella organisationer SOU 2017:29
598
Samlingar av överföringar
En nyhet i direktivet är uttrycket en kategori av överföringar av personuppgifter. I den engelska språkversionen av direktivet talas det om ”a category of transfers” och i den tyska används uttrycket ”eine Katagorie von Übermittlungen”. Någon förklaring till vad som avses kan inte utläsas av direktivet. I dataskyddsförordningens bestämmelse om överföring av personuppgifter till tredjeland i särskilda situationer, artikel 49, talas det om uppsättning av överföringar. Det engelska uttrycket som används där är ”set of transfers” och det tyska är ”Reihe von Übermittlungen”, vilka motsvarar den svenska språkversionen.
Ordet kategori används i andra artiklar, t.ex. kategorier av registrerade i artikel 6 och särskilda kategorier av personuppgifter i artikel 10. I dessa fall handlar det om olika grupper av personer, t.ex. personer som dömts för brott eller brottsoffer, respektive typer av personuppgifter, t.ex. genetiska uppgifter och uppgifter om hälsa och sexualliv. I artikel 14 b och c talas det om kategorier av personuppgifter respektive kategorier av mottagare. Kategorier av mottagare kan avse vilken typ av myndighet som får personuppgifterna, t.ex. domstolar.
Det är svårt att förstå vad som avses med kategorier av överföringar bara genom att jämföra med hur ordet kategori används i andra artiklar. Det ligger närmare till hands att anta att det rör sig om överföringar som på något sätt är samlade, antingen för att det rör sig om flera överföringar av samma typ av personuppgifter till olika mottagare, flera överföringar i ett ärende eller överföringar av samma personuppgifter till flera mottagare samtidigt. Som exempel kan nämnas att det i ett tredjeland utreds brott av en större liga som har anknytning till Sverige och myndigheter i det tredjelandet begär att få utdrag ur belastningsregistret på samtliga misstänkta. Ett annat exempel kan vara om det till ett tredjeland lämnas ut en digital upptagning från en kameraövervakning och det på upptagningen finns flera personuppgifter i form av personer, fordon och andra indirekta personuppgifter. En utskrift från hemlig avlyssning av elektronisk kommunikation som skickas till ett tredjeland eller en internationell organisation kan t.ex. innehålla uppgifter om olika personer som förekommer i en förundersökning.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
599
Utredningen anser att uttrycket samling av överföringar bör användas i stället för kategori av överföringar, eftersom det bättre speglar vad vi uppfattar avses i direktivet.
15.6.2 Enskildas vitala intressen
Utredningens förslag: I undantagsfall får personuppgifter över-
föras om det är nödvändigt för att skydda den registrerades eller en annan fysisk persons vitala intressen.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
Enligt artikel 38.1 a får en överföring, eller en kategori av överföringar, av personuppgifter göras till ett tredjeland eller en internationell organisation om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person.
I 34 § första stycket d personuppgiftslagen, som genomför artikel 26.1 e i det nu gällande dataskyddsdirektivet, föreskrivs att personuppgifter, trots det generella förbudet, får överföras till ett tredjeland om överföringen är nödvändig för att vitala intressen för den registrerade ska kunna skyddas.
Överföring för att skydda enskildas vitala intressen
Den första undantagssituationen avser enligt artikel 38.1 a fall där överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person. Det bör tas in en regel i ramlagen som motsvarar innehållet i artikeln. Beträffande uttrycket grundläggande betydelse gör utredningen följande bedömning.
I den svenska språkversionen av det nu gällande dataskyddsdirektivet anges i artikel 7 d, som en allmän princip för behandling av personuppgifter, att behandlingen ska vara nödvändig för att skydda intressen som är av grundläggande betydelse för den regi-
Överföring till tredjeland och internationella organisationer SOU 2017:29
600
strerade. I andra språkversioner av det direktivet används i stället uttryck som vitala eller livsviktiga intressen. I skäl 31 till det direktivet används uttrycket intressen som är av avgörande betydelse för den registrerades liv. I artikel 26.1 e i det nu gällande dataskyddsdirektivet, som föreskriver undantag från kravet på adekvat skyddsnivå vid överföring till tredjeland, används uttrycket intressen som är av avgörande betydelse för den registrerade. På grund av den osäkerhet som har rått om bestämmelsen i det nu gällande direktivet enbart syftar på sådant som är livsviktigt (gäller liv eller död) eller om även sådant som ”bara” är av grundläggande betydelse avses, valde lagstiftaren att i personuppgiftslagen använda uttrycket vitala intressen. Vitala intressen ansågs i svenskan ha såväl en snävare som en bredare innebörd (SOU 1997:39 s. 361).
Det talas i den svenska språkversionen av det nya direktivet och dataskyddsförordningen om intressen som är av grundläggande betydelse eller om grundläggande intressen. I skäl 112 till dataskyddsförordningen används uttrycket ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv. I den tyska språkversionen av direktivet används uttrycket ”lebenswichtiger Intressen”, dvs. livsviktiga intressen, medan det i den engelska versionen talas om ”vital interests”. I övriga språkversioner används uttryck som till svenska kan översättas med vitala intressen, t.ex. ”des intérêts vitaux” på franska och ”los intereses vitales” på spanska. Det är oklart varför formuleringen intressen som är av grundläggande betydelse – som kan tolkas som mer vittomfattande än vitala intressen – har använts i den svenska versionen.
Att vitala intressen används i personuppgiftslagen och därmed är ett inarbetat uttryck talar för att välja den formuleringen även i ramlagen. Vitala intressen är också det uttryck som används i andra språkversioner av direktivet. Utredningen anser därför att vitala intressen är det uttryck som bör användas. Med det bör förstås att det ska vara fråga om ett väsentligt intresse för den enskilde. Det kan röra liv, hälsa eller något annat som är av avgörande betydelse för den enskilde.
Åtgärden ska vara nödvändig för att skydda vitala intressen för den registrerade eller en annan person. Vilken annan person det kan vara fråga om kan inte utläsas av direktivet. Någon annan än en fysisk person bör det enligt utredningen inte vara fråga om, efter-
SOU 2017:29 Överföring till tredjeland och internationella organisationer
601
som målsättningen med direktivet är ett ökat skydd för fysiska personer. Utöver det bör den personkrets som ska omfattas av undantaget inte begränsas ytterligare i ramlagen. Det bör således framgå att överföringen ska vara nödvändig för att skydda vitala intressen för den registrerade eller för en annan fysisk person.
15.6.3 Registrerades berättigade intressen
Utredningens förslag: I undantagsfall får personuppgifter över-
föras om det är nödvändigt för att skydda den registrerades berättigade intressen.
Skälen för utredningens förslag: I artikel 38.1 b regleras den situa-
tionen att överföringen av personuppgifter är nödvändig för att skydda den registrerades berättigade intressen, om lagstiftningen i den medlemsstat som överför personuppgifterna föreskriver det.
Enligt 7 § andra stycket 2013 års lag, som genomför bl.a. dataskyddsrambeslutets artikel 13.3 a i, får personuppgifter överföras trots att kravet på adekvat skyddsnivå inte är uppfyllt, om överföringen är motiverad av ett berättigat intresse hos den som uppgiften avser.
Medlemsstaterna får välja om det ska föreskrivas undantag till skydd för den registrerades berättigade intressen. Utredningen anser att den möjligheten bör utnyttjas för att registrerades skydd vid personuppgiftsbehandling inte ska bli för svagt. Ett särskilt skydd för registrerades berättigade intressen finns redan i dag i 2013 års lag och motsvarande skydd bör finnas även fortsättningsvis. Behovet tillgodoses inte genom de övriga undantagen för särskilda situationer. Rent språkligt innefattas t.ex. inte alla intressen som kan vara berättigade i vitala intressen. I Svenska Akademiens Ordbok förklaras ordet berättigad som någon som fått något tilldelat sig eller förvärvat något, eller som är i sin fulla rätt att göra något. Berättigad kan också innebära att något är rättmätigt, välgrundat eller grundat på fullgiltiga skäl. Det behöver alltså inte vara fråga om något som är livsviktigt eller annars av avgörande betydelse för den registrerade. En bestämmelse som motsvarar artikel 38.1 b bör tas in i ramlagen. Uttrycket berättigat intresse bör användas eftersom det är inarbetat.
Överföring till tredjeland och internationella organisationer SOU 2017:29
602
I ärenden om utlämning för brott eller övertagande av lagföring kan personuppgifter om den misstänkte behöva överföras t.ex. för att ge den andra staten underlag för att bedöma om det finns tillräcklig grund för att utlämna personen eller att överta lagföringen. Det kan vara ett berättigat intresse för den misstänkte att lagföring kommer till stånd antingen i Sverige eller i den andra staten. Ett annat exempel på berättigat intresse kan vara att en misstänkt begär att ett vittne som befinner sig i ett tredjeland ska förhöras där.
15.6.4 Myndigheters intresse i enskilda fall
Utredningens förslag: I undantagsfall får personuppgifter över-
föras om det är nödvändigt för att en behörig myndighet i ett enskilt fall ska kunna förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet.
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 38.1 d får en överföring, eller en kategori av överföringar, av personuppgifter – trots avsaknad av beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder – göras till ett tredjeland eller en internationell organisation om överföringen är nödvändig i det enskilda fallet för de ändamål som omfattas av direktivets tillämpningsområde. Bestämmelsen är till för att tillgodose behöriga myndigheters intresse av att personuppgifter i ett specifikt fall ska kunna överföras till ett tredjeland eller en internationell organisation, trots att landet eller organisationen dit uppgifterna ska överföras inte omfattas av ett beslut om adekvat skyddsnivå och det inte heller finns tillräckliga skyddsåtgärder för personuppgifterna.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
603
Överföring för myndighetsintressen
En bestämmelse som motsvarar artikel 38.1 d bör tas in i ramlagen. Det är viktigt att behöriga myndigheter har möjlighet att i enskilda fall överföra personuppgifter till tredjeland eller internationella organisationer. Utan en sådan möjlighet försvåras brottsbekämpning och lagföring. Om polisen t.ex. får tillförlitliga uppgifter om ett nära förestående attentat från personer kopplade till ett visst tredjeland måste information kunna utbytas med behöriga myndigheter där, även om det inte finns ett beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder garanteras. Överföringen ska vara nödvändig för något syfte som omfattas av ramlagens tillämpningsområde. Utredningen anser att det blir tydligare att i regeln uttryckligen ange vilka ändamål som avses än att hänvisa till den paragraf där tillämpningsområdet regleras.
Situationer som skulle kunna göra det nu aktuella undantaget tillämpligt är om personuppgifter behöver överföras från Sverige till ett tredjeland för delgivning, bevisupptagning eller straffverkställighet där, eller för att få en person utlämnad därifrån för att tillgodose svenska behov. Undantaget kan även bli tillämpligt om ett tredjeland eller en internationell organisation på motsvarande sätt behöver få tillgång till svenska personuppgifter för brottsbekämpning, lagföring eller straffverkställighet. Överföringen ska vara nödvändig i det enskilda fallet t.ex. för att få fram upplysningar om en person som är misstänkt för ett mord i Sverige och som polisen tror uppehåller sig i Turkiet. Ett annat exempel kan vara att överföringen är nödvändig för att kunna delge en i USA bosatt målsägande kallelse till en brottsmålsrättegång vid svensk domstol.
I direktivet görs klart att undantaget bara får utnyttjas i enskilda fall. Det kan visserligen hävdas att varje överföring av personuppgifter avser enskilda fall, men utredningen noterar att ingen sådan begränsning görs när det gäller undantagen till skydd för enskildas intressen. Utredningen tolkar inskränkningen till enskilda fall i denna punkt som ett uttryck för att undantaget för myndighetsintressen inte får utnyttjas för bl.a. strukturella och storskaliga överföringar (se skäl 72). Mot den bakgrunden bör det av lagtexten framgå att det ska vara fråga om enskilda fall.
Överföring till tredjeland och internationella organisationer SOU 2017:29
604
15.6.5 Rättsliga anspråk i enskilda fall
Utredningens förslag: I undantagsfall får personuppgifter över-
föras om det i ett enskilt fall är nödvändigt för att kunna fastställa, göra gällande eller försvara ett sådant rättsligt anspråk som hänför sig till ett sådant syfte som omfattas av ramlagens tillämpningsområde.
Skälen för utredningens förslag
Innehållet i direktivet och nuvarande reglering
I artikel 38.1 e regleras den situationen att överföring av personuppgifter är nödvändig i ett enskilt fall för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till de syften som omfattas av direktivets tillämpningsområde. Även här pekar direktivet ut att det ska vara fråga om en överföring som är nödvändig i ett enskilt fall.
I 34 § första stycket c personuppgiftslagen, som genomför bl.a. artikel 26.1 d i det nu gällande dataskyddsdirektivet, föreskrivs att personuppgifter, trots överföringsförbudet, får överföras till ett tredjeland om överföringen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Det krävs inte att det rättsliga anspråket är knutet till något särskilt ändamål.
Överföring för att skydda rättsliga anspråk
En bestämmelse som motsvarar artikel 38.1 e bör tas in i ramlagen. Beträffande uttrycket rättsligt anspråk gör utredningen följande bedömning.
Rättsligt anspråk används i dag förutom i 34 § första stycket c också i 16 § första stycket c personuppgiftslagen, där det anges som en grund för att få behandla känsliga personuppgifter. I kommentaren till sistnämnda bestämmelse sägs att det inte är helt klart vad som avses med rättsliga anspråk. Förmodligen avses sådana anspråk om vilka man kan föra talan i domstol eller ett domstolsliknande organ och som kan utkrävas av eller med hjälp av statsmakterna, t.ex. Kronofogdemyndigheten (Öman m.fl. s. 301). I den tyska
SOU 2017:29 Överföring till tredjeland och internationella organisationer
605
versionen av det nu gällande dataskyddsdirektivet (artikel 8.2 e) talas det om ”vor Gericht”, alltså inför domstol.
Trots att det råder viss oklarhet om vad som avses med ett rättsligt anspråk i personuppgiftslagen anser utredningen att det uttrycket bör användas i ramlagen, eftersom uttrycket är inarbetat. Dessutom är det betydligt enklare att identifiera vad som kan vara ett rättsligt anspråk inom ramlagens tillämpningsområde. Det kan t.ex. vara ett enskilt anspråk i anledning av brott. Även uttrycken fastställa, göra gällande och försvara är inarbetade och bör användas i ramlagen.
Av paragrafen bör det framgå att det rättsliga anspråket ska hänföra sig till att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. I stället för att upprepa det i paragrafen anser utredningen att en hänvisning kan göras till bestämmelsen om överföring för att tillgodose myndighetsintressen (se avsnitt 15.6.4). I likhet med vad som gäller för myndighetsintressena bör det framgå att undantaget till skydd för rättsliga anspråk bara får utnyttjas i enskilda fall.
15.6.6 Allvarlig fara för allmän säkerhet
Utredningens förslag: I undantagsfall får personuppgifter över-
föras om det är nödvändigt för att avvärja en omedelbar och allvarlig fara för allmän säkerhet.
Skälen för utredningens förslag: Enligt artikel 38.1 c får person-
uppgifter överföras, trots avsaknaden av beslut om adekvat skyddsnivå och tillräckliga skyddsåtgärder, om överföringen är nödvändig för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.
Det finns ett liknande krav på fara för allmän säkerhet i 7 § tredje stycket 2013 års lag, som genomför artikel 13.2 i dataskyddsrambeslutet, för att få överföra personuppgifter till ett tredjeland eller ett internationellt organ när det på grund av tidsbrist inte har gått att utverka ett förhandsmedgivande till överföringen.
Det nu aktuella undantaget bör återspeglas i ramlagen. Av paragrafen bör det framgå att personuppgifter i undantagsfall får över-
Överföring till tredjeland och internationella organisationer SOU 2017:29
606
föras till ett tredjeland eller en internationell organisation, om överföringen är nödvändig för att avvärja en omedelbar och allvarlig fara för allmän säkerhet. Det är tillräckligt att det, på samma sätt som i 2013 års lag, anges att det ska vara fara för allmän säkerhet. Tillägget i artikeln att det gäller säkerheten i en medlemsstat eller ett tredjeland gör att tillämpningsområdet omfattar alla stater. Det saknar därför materiellt innehåll. Formuleringen den allmänna säkerheten i en stat skulle inte heller bidra till någon ökad klarhet.
Bestämmelsen skulle t.ex. kunna tillämpas om överföringen är nödvändig för att avvärja ett terroristattentat eller en flygplanskapning. Eftersom det typiskt sett är fråga om en överhängande fara för att något ska hända får prövningen i dessa fall göras med utgångspunkt i att åtgärden kan antas vara nödvändig för att avvärja faran. Att faran inte förverkligas behöver inte innebära att överföringen har varit otillåten. Bedömningen måste självfallet göras med hänsyn till vad som är känt när prövningen görs.
15.6.7 En intresseavvägning ska göras i vissa fall
Utredningens förslag: Personuppgifter får inte överföras till ett
tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs i det enskilda fallet för ett myndighetsintresse eller för att kunna fastslå, göra gällande eller försvara ett rättsligt anspråk.
Skälen för utredningens förslag: I artikel 38.2 föreskrivs att per-
sonuppgifter inte får överföras till ett tredjeland eller en internationell organisation om den överförande behöriga myndigheten fastställer att den registrerades grundläggande fri- och rättigheter väger tyngre än det allmänna intresset av en sådan överföring som avses i punkt 1 d och e, dvs. myndigheters intresse av brottsbekämpning, lagföring, straffverkställighet och ordningshållning och rättsliga anspråk som hänför sig till sådana ändamål. Det ska alltså göras en intresseavvägning mellan skyddet för den enskildes fri- och rättigheter och det allmännas intresse av att överföringen görs för dessa ändamål. Väger den enskildes intresse av skydd mot kränkning av
SOU 2017:29 Överföring till tredjeland och internationella organisationer
607
grundläggande fri- och rättigheter tyngre än det allmännas intresse av att personuppgifterna överförs, får uppgifterna inte överföras. Sådana grundläggande fri- och rättigheter kan t.ex. vara yttrandefrihet och religionsfrihet.
Artikeln bör genomföras i ramlagen. Lagtexten bör ansluta nära till direktivets text. Det bör framgå att personuppgifter inte får överföras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs i det enskilda fallet för något av de två nu aktuella ändamålen.
15.7 Vidareöverföring
Utredningens förslag: En svensk behörig myndighet får inte
tillåta att sådana personuppgifter som en svensk myndighet har fått från en annan medlemsstat, och som överförts till ett tredjeland eller en internationell organisation, vidareöverförs till ett tredjeland eller en internationell organisation om inte en behörig myndighet i den andra medlemsstaten, har medgett att uppgifterna får vidareöverföras.
Frågan om en svensk behörig myndighet ska medge vidareöverföring till ett tredjeland eller en internationell organisation av personuppgifter som en svensk myndighet har lämnat till en annan medlemsstat som överfört uppgifterna till ett tredjeland eller en internationell organisation, ska bedömas med hänsyn till alla kända omständigheter som har samband med överföringen. Särskild vikt ska läggas vid brottets allvar, allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och nivån på skyddet av personuppgifter i det tredjelandet eller hos den internationella organisationen dit uppgifterna ska vidareöverföras.
Överföring till tredjeland och internationella organisationer SOU 2017:29
608
Skälen för utredningens förslag
Innehållet i direktivet
Regleringen av överföring av personuppgifter till ett tredjeland eller en internationell organisation omfattar även vidareöverföring av personuppgifter från ett tredjeland eller en internationell organisation till ett annat tredjeland eller en annan internationell organisation. Det följer bl.a. av en bisats i artikel 35.1, i vilken det sägs att de behöriga myndigheterna endast får överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation, inklusive för vidareöverföring till ett annat tredjeland eller en annan internationell organisation […].
Av artikel 35.1 e framgår att det är den behöriga myndigheten som gjorde den ursprungliga överföringen eller en annan behörig myndighet i samma medlemsstat, som ska godkänna vidareöverföringen till ett annat tredjeland eller en annan internationell organisation. Myndigheten ska beakta alla relevanta faktorer, inbegripet brottets allvar, det ändamål för vilket personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter hos den som ska motta uppgifterna om de vidareöverförs.
Med vidareöverföring avses att personuppgifter överförs från ett tredjeland antingen till ett annat tredjeland eller till en internationell organisation. Det kan också vara fråga om att personuppgifter överförs från en internationell organisation till en annan internationell organisation eller till ett tredjeland. Det är fråga om en överföring i tre led. Personuppgifterna som ska vidareöverföras kommer då från en medlemsstat som lämnat dem vidare till en annan medlemsstat som i sin tur har överfört dem till det tredjelandet eller den internationella organisationen som vidareöverför dem.
Direktivet utgår från att det är den medlemsstat som först lämnade personuppgifterna till en annan medlemsstat som ska godkänna vidareöverföringen från ett tredjeland till ett annat. Även om det är den medlemsstat som överförde personuppgifterna till ett tredjeland som förfogat över uppgifterna senast, och därför har lättast att överblicka om vidareöverföringen bör tillåtas, är det alltså den medlemsstat som uppgifterna ursprungligen kom från som ska godkänna att de vidareöverförs. Om ett tredjeland vänder sig till den medlemsstat som det tredjelandet fick personuppgifterna från
SOU 2017:29 Överföring till tredjeland och internationella organisationer
609
bör direktivet tolkas så att den medlemsstaten ska inhämta tillstånd till vidareöverföring från den medlemsstat som ursprungligen lämnade uppgifterna.
Medgivande till vidareöverföring
Bestämmelsen om vidareöverföring bör genomföras i ramlagen. Som artikeln är utformad förefaller det närmast som att det i nationell rätt ska föreskrivas vad ett tredjeland (eller en internationell organisation) ska beakta vid överföring av personuppgifter, som kommer från en medlemsstat, till ett annat tredjeland eller till en internationell organisation. Det ligger i sakens natur att det inte är möjligt att reglera det i svensk rätt, annat än genom möjligheten att ställa upp villkor för det tredjelandets eller den internationella organisationens användning av personuppgifterna (se avsnitt 15.9). Regleringen i ramlagen bör i stället utgå från vad en svensk myndighet ska göra när den får en förfrågan från ett tredjeland eller en internationell organisation om att vidareöverföra personuppgifter som en svensk myndighet har fått från en annan medlemsstat.
Med vidareöverföring avser utredningen den överföring av personuppgifter som görs efter att personuppgifterna har lämnat medlemssfären, dvs. mellan tredjeländer och internationella organisationer. Rent språkligt är det fråga om vidareöverföring även när en svensk myndighet lämnar vidare personuppgifter som kommer från en annan medlemsstat till ett tredjeland eller till en internationell organisation. Det är sådana situationer som regleras i 2013 års lag. I dessa fall, som behandlas i avsnitt 15.3.4, bör man även i fortsättningen tala om överföring till tredjeland eller internationella organisationer.
Av lagtexten bör följaktligen framgå att personuppgifter, som en svensk myndighet har fått från en annan medlemsstat och överfört till ett tredjeland eller en internationell organisation, inte får vidareöverföras till ett tredjeland eller en internationell organisation, om inte den svenska myndigheten inhämtat godkännande till vidareöverföringen från behörig myndighet i den andra medlemsstaten. Medgivande till vidareöverföring kan inhämtas antingen från den myndighet som gjorde den ursprungliga överföringen eller från en annan behörig myndighet i samma medlemsstat. Ett exem-
Överföring till tredjeland och internationella organisationer SOU 2017:29
610
pel kan vara att en tysk polismyndighet ursprungligen lämnade personuppgifterna till Polismyndigheten men att ärendet, när frågan om vidareöverföring väcks, handläggs av tysk åklagare. Det är då naturligt att medgivande inhämtas från den tyska åklagaren.
En begäran om medgivande till vidareöverföring kan givetvis även omfatta personuppgifter som har sitt ursprung i den svenska myndigheten, eftersom handläggningen i Sverige kan ha genererat information som innehåller fler personuppgifter än vad Sverige fick. Den svenska myndigheten får då ta ställning till hur de personuppgifterna ska hanteras. Det kan vara naturligt att ta upp den frågan i dialogen med den behöriga myndigheten i den medlemsstat som lämnade personuppgifterna till Sverige, eftersom det eventuellt kan påverka dess syn på om medgivande ska lämnas.
I artikeln talas det om vidareöverföring till ett annat tredjeland eller en annan internationell organisation. Tanken kan dock inte ha varit att personuppgifter inte kan vidareöverföras från ett tredjeland till en internationell organisation och vice versa. Paragrafen bör därför inte formuleras så att överföringen ska göras till ett annat tredjeland eller en annan internationell organisation.
Exempel på vidareöverföring kan vara att Sverige har fått personuppgifter från Tyskland och överfört dessa till USA som i sin tur vill vidareöverföra uppgifterna till Kanada. Då måste ett medgivande inhämtas från Tyskland för att USA ska få lämna personuppgifterna vidare till Kanada. Om USA inte känner till att Sverige har fått uppgifterna från Tyskland kommer USA att vända sig till Sverige med frågan om personuppgifterna får vidareöverföras. I ett sådant läge kan inte Sverige medge vidareöverföringen utan att inhämta ett medgivande från Tyskland. Den situationen kan också uppkomma att USA i det nyss nämnda exemplet i stället vill vidareöverföra personuppgifterna till en internationell organisation, t.ex. FN. Även i det fallet måste Sverige inhämta ett medgivande till vidareöverföring från Tyskland.
Bedömningen av om svensk myndighet ska medge vidareöverföring
Av ramlagen bör det framgå vad en svensk myndighet ska ta hänsyn till när den tillfrågas om den kan medge vidareöverföring av personuppgifter som Sverige har lämnat till en annan medlemsstat
SOU 2017:29 Överföring till tredjeland och internationella organisationer
611
som i sin tur har överfört uppgifterna till ett tredjeland eller en internationell organisation som vill vidareöverföra dem. Det bör framgå att det ska vara en svensk behörig myndighet som ska lämna medgivandet. Det bör antingen kunna vara den behöriga myndigheten som ursprungligen lämnade de svenska personuppgifterna till en annan medlemsstat eller en annan behörig myndighet i Sverige. Myndigheten bör beakta alla omständigheter som har samband med vidareöverföringen. Utredningen anser att alla omständigheter är ett bättre ordval än alla relevanta faktorer. Av naturliga skäl kan bara sådana omständigheter som är kända beaktas. Sådana omständigheter som inte är relevanta bör den tillfrågade myndigheten kunna bortse från utan att det direkt framgår av lagtexten.
Vid bedömningen av om ett medgivande till vidareöverföring ska lämnas, bör särskild vikt läggas vid brottets allvar, allvaret i faran för allmän säkerhet, det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten och skyddsnivån för personuppgifter i det tredjelandet eller den internationella organisationen dit uppgifterna ska vidareöverföras.
I sammanhanget bör nämnas att bestämmelsen om förhandsmedgivanden i artikel 35.1 e tar sikte på medgivande i det enskilda fallet. Medgivandet ska alltså avse en viss vidareöverföring av personuppgifter till ett tredjeland eller en internationell organisation. Artikeln hindrar emellertid inte att medgivande ges generellt i förväg för vidareöverföringar mellan tredjeländer och internationella organisationer som kan komma att bli nödvändiga. Bestämmelsen i ramlagen bör därför utformas så att det blir möjligt.
15.8 Överföring till andra än behöriga myndigheter
15.8.1 Förutsättningarna för överföring till andra än behöriga myndigheter
Utredningens förslag: En myndighet som har till arbetsuppgift
att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet får i ett enskilt fall överföra personuppgifter till någon som inte är behörig myndighet i ett tredjeland.
Överföring till tredjeland och internationella organisationer SOU 2017:29
612
Skälen för utredningens förslag
Innehållet i direktivet
Enligt artikel 39 får behöriga myndigheter överföra personuppgifter, i enskilda och särskilda fall, direkt till mottagare som är etablerade i tredjeland under förutsättning att direktivets övriga bestämmelser efterlevs och att samtliga i artikeln uppräknade villkor är uppfyllda. Artikeln reglerar ett undantag från den allmänna principen i artikel 35.1 b att personuppgifter som ska överföras till ett tredjeland eller en internationell organisation ska lämnas till en behörig myndighet. Bestämmelser som meddelas med stöd av artikel 39.1 ska dock inte hindra tillämpningen av internationella avtal och ska alltså inte betraktas som undantag från befintliga bilaterala eller multilaterala internationella avtal på området för straffrättsligt och polisiärt samarbete.
En grundläggande förutsättning för att personuppgifter ska få överföras till andra än behöriga myndigheter i ett tredjeland är att den överförande myndigheten är en sådan behörig myndighet som avses i artikel 3.7 a. Med det avses en offentlig myndighet som har till arbetsuppgift att förebygga, förhindra, utreda, avslöja eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla den allmänna säkerheten. Någon hänvisning till artikel 3.7 b görs inte, vilket innebär att ett annat organ eller någon annan som har anförtrotts myndighetsutövning inom direktivets tillämpningsområde inte har rätt att överföra personuppgifter till andra än behöriga myndigheter.
Bakgrunden framgår av skäl 73 där följande uttalas. Myndigheter i medlemsstaterna som är verksamma inom direktivets tillämpningsområde tillämpar bilaterala eller multilaterala internationella avtal, som har ingåtts med tredjeländer på området för straffrättsligt samarbete och polissamarbete, för att utbyta information. Informationsutbytet sker i princip genom eller i samarbete med de tredjeländernas behöriga myndigheter. Ibland kan dock de ordinarie förfaranden som kräver kontakt med en myndighet i ett tredjeland vara ineffektiva och olämpliga, framför allt för att överföringen inte kan utföras i tid, eller för att myndigheten i det tredjelandet inte respekterar rättsstatsprincipen eller internationella människorättsliga normer och standarder. I sådana fall underlättar det om
SOU 2017:29 Överföring till tredjeland och internationella organisationer
613
behöriga myndigheter kan överföra personuppgifter direkt till andra än behöriga myndigheter i dessa tredjeländer.
Övriga bestämmelser i direktivet måste också efterlevas. Det innebär bl.a. att de grundläggande förutsättningarna i artikel 35 – med undantag för kravet på att överföringen ska göras till en behörig myndighet – ska vara uppfyllda. Vidare ska de i artikel 39.1 särskilt uppräknade villkoren vara uppfyllda för att överföringen ska vara tillåten. Villkoren kommer att beskrivas mer ingående i det följande.
Överföring till någon annan än en behörig myndighet
Det finns tillfällen då det underlättar om en svensk myndighet kan överföra personuppgifter till ett tredjeland utan att behöva kanalisera dem via en behörig myndighet i det landet. Så kan vara fallet när det rör sig om en särskilt brådskande åtgärd och en kontakt med den behöriga myndigheten riskerar att försena åtgärden eller göra den meningslös. Ett exempel är att det finns misstankar om penningtvätt eller annan ekonomisk brottslighet, där möjligheten att snabbt spåra ekonomiska transaktioner kan vara avgörande för att ingripa mot pågående brott och det krävs kontakt med ett organ som inte är en behörig myndighet. Ett annat exempel kan vara att en svensk myndighet snabbt vill kunna stoppa en utbetalning på grund av misstankar om bedrägeri och då behöver kontakta en bank eller ett finansinstitut i ett tredjeland. Det kan också finnas ett akut behov av att direkt kontakta en person som riskerar att utsättas för ett allvarligt våldsbrott.
I dag är det också vanligt att Polismyndigheten i sin brottsutredande verksamhet överför personuppgifter till t.ex. Google och Facebook, för att få uppgift om vilken fysisk person som ligger bakom ett användarkonto eller alias. Arbetet skulle väsentligt fördröjas om varje enskild förfrågan skulle behöva gå via en behörig myndighet i det tredjelandet.
Mot den bakgrunden anser utredningen att möjligheten att införa undantag från kravet på att överföringen ska göras till en behörig myndighet bör utnyttjas. Artikel 39.1 bör därför genomföras i ramlagen. Av paragrafen bör framgå att det under vissa förutsättningar är möjligt att i ett enskilt fall föra över personuppgifter till
Överföring till tredjeland och internationella organisationer SOU 2017:29
614
någon som inte är en behörig myndighet i ett tredjeland. Det kan exempelvis vara fråga om överföringar till företag eller privatpersoner i ett tredjeland.
Den som personuppgifterna överförs till ska vara etablerad i det tredjelandet. Enligt utredningens mening bör det vara tillräckligt att en fysisk person är stadigvarande bosatt och att en juridisk person har sitt säte eller ett fast driftsställe i det tredjelandet för att anses vara etablerad där. Kravet på etablering behöver enligt utredningens bedömning inte framgå av lagtexten. Det är tillräckligt att det anges att personuppgifter får överföras till andra än behöriga myndigheter i tredjeland.
Det behöver inte föreskrivas att det ska vara fråga om särskilda fall. Att det rör sig om konkreta fall där det finns ett särskilt behov av att överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland ligger redan i uttrycket enskilda fall.
Endast en myndighet som har som arbetsuppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda och lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet bör ges möjlighet att utnyttja undantaget. Andra aktörer som är behöriga myndigheter i ramlagens mening bör alltså inte få göra sådana överföringar.
15.8.2 Överföringen ska vara absolut nödvändig
Utredningens förslag: För att personuppgifter ska få överföras
till andra än behöriga myndigheter i ett tredjeland ska överföringen vara absolut nödvändig för att den svenska myndigheten ska kunna utföra en arbetsuppgift som den har ansvar för och som ligger inom ramlagens tillämpningsområde. Den som ska ta emot personuppgifterna ska informeras om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas.
Skälen för utredningens förslag: Det första villkoret för att per-
sonuppgifter ska få överföras till annan än en behörig myndighet i ett tredjeland är enligt artikel 39.1 a att överföringen är absolut nödvändig för att den överförande myndigheten ska kunna utföra en arbetsuppgift som den ansvarar för enligt unionsrätten eller nationell rätt för de ändamål som omfattas av direktivets tillämp-
SOU 2017:29 Överföring till tredjeland och internationella organisationer
615
ningsområde. Enligt artikel 39.1 e ska den överförande myndigheten informera mottagaren om de specifika ändamål för vilket eller vilka mottagaren får behandla personuppgifterna, förutsatt att den behandlingen är nödvändig. Artiklarna 39.1 a och e bör genomföras i ramlagen. Det görs lämpligen genom att innehållet i dem anges som villkor för att personuppgifter ska få överföras till andra än behöriga myndigheter i ett tredjeland.
Överföringen ska alltså vara absolut nödvändig för att t.ex. en domstol ska kunna utföra en arbetsuppgift. Med nödvändig avses att det är fråga om något som behöver göras. För att markera att undantaget ska tillämpas restriktivt och att det kan bli fråga om överföring endast i undantagsfall bör uttrycket absolut nödvändigt användas. Personuppgifter får således överföras endast om det är absolut nödvändigt för att den överförande myndigheten ska kunna utföra en arbetsuppgift som den ansvarar för inom ramlagens tilllämpningsområde.
Vidare bör det föreskrivas att den svenska myndighet som överför personuppgifterna ska lämna information om det eller de specifika ändamål för vilket eller vilka uppgifterna får behandlas av mottagaren. Det ligger i sakens natur att det inte går att i svensk rätt föreskriva att behandlingen i det tredjelandet ska vara nödvändig.
15.8.3 Överföring till behörig myndighet blir ineffektiv eller är olämplig
Utredningens förslag: Personuppgifter får överföras till någon
som inte är behörig myndighet i ett tredjeland om det skulle vara ineffektivt eller olämpligt att överföra uppgifterna till en behörig myndighet där.
Skyldigheten att informera om överföringen och undantag från skyldigheten ska regleras i förordning.
Överföring till tredjeland och internationella organisationer SOU 2017:29
616
Skälen för utredningens förslag
Överföring till behörig myndighet bör undvikas
Enligt artikel 39.1 c får personuppgifter överföras direkt till en mottagare som är etablerad i ett tredjeland om den överförande myndigheten anser att en överföring till en behörig myndighet i det tredjelandet skulle bli ineffektiv eller vara olämplig. Det gäller i synnerhet om överföringen inte kan göras inom rimlig tid. Enligt artikel 39.1 d ska behörig myndighet i det tredjelandet utan dröjsmål informeras, såvida det inte blir ineffektivt eller det är olämpligt att lämna informationen.
Villkoret i artikel 39.1 c bör framgå av ramlagen. Utredningen anser att det är tillräckligt att det av paragrafen framgår att det skulle vara ineffektivt eller olämpligt att överföra personuppgifterna till en behörig myndighet i mottagarlandet. I kravet på att det skulle vara ineffektivt att föra över personuppgifterna till en behörig myndighet ligger att handläggningen riskerar att fördröjas. Exempel på när det kan vara ineffektivt att gå via en behörig myndighet i ett tredjeland kan vara överföringar till företag som Google eller Facebook, där det kan röra sig om stora mängder personuppgifter som behöver överföras på kort tid och det kan vara av avgörande betydelse med ett snabbt svar.
I undantagsfall kan det vara olämpligt att överföra en personuppgift via den behöriga myndigheten. Om tidigare kontakter i ärendet med den behöriga myndigheten fått negativa konsekvenser för den svenska myndighetens handläggning bör det kunna vara ett sådant fall. Ett annat exempel är kontakter med ett krigshärjat tredjeland där det kanske inte finns någon behörig myndighet att kommunicera med eller där det är oklart vem som är behörig företrädare för staten. Då är det nödvändigt att kunna överföra personuppgifter till andra än behöriga myndigheter.
Det är den överförande myndigheten som ska bedöma om det skulle vara ineffektivt eller på annat sätt olämpligt att överföra personuppgifterna till en behörig myndighet.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
617
Informationsskyldighet
Det bör också finnas en bestämmelse som motsvarar innehållet i artikel 39.1 d. Av den bör framgå att om en svensk myndighet har överfört personuppgifter till någon som inte är en behörig myndighet i ett tredjeland, ska den svenska myndigheten informera den behöriga myndigheten i det landet om överföringen. Vilken myndighet som är behörig i det tredjelandet avgörs av det landets regelsystem. Informationen bör lämnas så snart som möjligt efter överföringen. Det bör dock vara tillräckligt att informationen lämnas utan onödigt dröjsmål. Att visst kortare dröjsmål kan förekomma är naturligt eftersom det handlar om kontakter med tredjeland där det t.ex. kan vara nödvändigt att översätta informationen. Kravet på information ska inte gälla om det skulle vara ineffektivt eller olämpligt att lämna informationen. Det skulle t.ex. kunna vara ineffektivt om Polismyndigheten behöver informera behörig myndighet varje gång det görs en överföring av personuppgifter till Facebook eller Google i syfte att få information om användaren av konton. Bestämmelser om informationsskyldigheten och undantag från den kan tas in i förordning.
15.8.4 En intresseavvägning ska göras
Utredningens förslag: Personuppgifter får inte överföras till
någon som inte är en behörig myndighet i ett tredjeland om den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter väger tyngre än det allmännas intresse av att överföringen görs.
Skälen för utredningens förslag: Utöver de redan nämnda villko-
ren för att personuppgifter ska få överföras till andra än behöriga myndigheter, ska enligt artikel 39.1 b den överförande myndigheten ha fastställt att ingen av den berörda registrerades grundläggande fri- och rättigheter väger tyngre än det allmänna intresset som gör överföringen nödvändig i det aktuella fallet. En intresseavvägning ska alltså göras.
En bestämmelse som motsvarar innehållet i artikeln bör tas in i ramlagen. Intresseavvägningen påminner till viss del om den intres-
Överföring till tredjeland och internationella organisationer SOU 2017:29
618
seavvägning som föreslås i avsnitt 15.6.7. Bestämmelsen bör därför utformas på liknande sätt. De intressen som ska vägas mot varandra är å ena sidan den registrerades intresse av skydd mot att hans eller hennes grundläggande fri- och rättigheter kränks genom överföringen och å andra sidan det allmännas intresse av att personuppgifterna överförs. Väger den registrerades intresse av skydd tyngre får överföringen inte göras.
15.9 Villkor för användningen av personuppgifter
15.9.1 Villkor som ställs upp av utländska myndigheter eller organ
Utredningens förslag: Om en svensk behörig myndighet har
fått personuppgifter från ett tredjeland eller en internationell organisation och gäller på grund av en överenskommelse med det tredjelandet eller den internationella organisationen villkor som begränsar möjligheten att använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad som är föreskrivet i lag eller annan författning.
Skälen för utredningens förslag: När en utländsk myndighet eller
internationell organisation överför personuppgifter till en svensk myndighet är det inte ovanligt att den ställer upp villkor för hur uppgifterna får användas. Det kan handla om för vilka ändamål de får användas eller hur länge uppgifterna får behandlas.
Det finns flera författningar som innehåller regler om vad som gäller när en svensk myndighet får personuppgifter från en utländsk myndighet och det ställs villkor för hur uppgifterna får användas. Sådana regler finns bl.a. i 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål, 4 kap. 2 § lagen (2000:1219) om internationellt tullsamarbete och 5 § lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar. I 8 § första stycket 2013 års lag, som bl.a. genomför artikel 12 i rambeslutet, finns en regel om att svenska myndigheter ska följa villkor som begränsar möjligheten att använda personuppgifter som den fått från medlemsstater i EU, Island, Norge, Schweiz eller Liechtenstein, ett EU-organ eller ett EU-informationssystem. Sådana
SOU 2017:29 Överföring till tredjeland och internationella organisationer
619
regler innebär att svenska myndigheter är skyldiga att följa de villkor som ställs i fråga om hur lämnad information får användas. Det gäller oavsett om villkoren skulle stå i strid med svensk lagstiftning (se bl.a. JO 2007/08 s. 57 angående tillämpningen).
Direktivet föreskriver inte någon skyldighet för medlemsstaternas myndigheter att följa sådana villkor som ett tredjeland eller en internationell organisation har ställt upp för användningen av personuppgifter som överförs av det tredjelandet eller den internationella organisationen. Utredningen anser att det behövs en sådan reglering i ramlagen, bl.a. mot bakgrund av att den nuvarande regleringen inte täcker ramlagens hela tillämpningsområde. Av paragrafen bör framgå att svenska myndigheter ska följa villkor som ställts upp av ett tredjeland eller en internationell organisation. Sådana användningsbegränsningar bör följas oavsett vad som annars är föreskrivet i lag eller annan författning. Paragrafen bör utformas efter mönster av andra liknande bestämmelser.
15.9.2 Villkor när personuppgifter överförs av svenska myndigheter
Utredningens förslag: En svensk behörig myndighet får, vid
överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt.
Skälen för utredningens förslag: När en svensk behörig myndig-
het överför personuppgifter till ett tredjeland eller en internationell organisation finns det ibland skäl att ställa villkor som begränsar användningen av uppgifterna, t.ex. för vilket ändamål och hur länge de får behandlas. Behovet av sådana användningsbegränsningar visar sig normalt redan i samband med att en utländsk myndighet begär att få ut personuppgifter som finns tillgängliga hos en svensk myndighet eller att den svenska myndigheten behöver överföra sådana uppgifter. Att personuppgifterna förses med villkor för användningen kan ibland vara en förutsättning för att det ska anses vara lämpligt att överföra uppgifterna.
Överföring till tredjeland och internationella organisationer SOU 2017:29
620
I dag finns det inom ramlagens tillämpningsområde bestämmelser i flera lagar om att svenska myndigheter under vissa förutsättningar får ställa upp villkor som begränsar möjligheten att använda uppgifter som lämnas till en annan stat. Det gäller 5 kap. 2 § lagen om internationell rättslig hjälp i brottmål, 2 kap. 7 § lagen om internationellt tullsamarbete och 6 § lagen om vissa former av internationellt samarbete i brottsutredningar. Lagarna i fråga reglerar samarbete över gränserna och utbyte av information i det samarbetet. Regleringen gäller generellt och alltså inte bara i förhållande till tredjeland utan även i samarbetet mellan medlemsstater. Flertalet av dem gäller dock inte i förhållande till internationella organisationer. Lagarna gäller vidare bara för vissa svenska myndigheter.
I 9 § 2013 års lag, som bl.a. genomför artikel 12 i dataskyddsrambeslutet, föreskrivs att om en svensk myndighet överför personuppgifter, ska myndigheten underrätta mottagaren om de villkor som gäller för användningen av uppgifterna. Paragrafen gäller endast när personuppgifter överförs till medlemsstater i EU, till Island, Norge, Schweiz eller Liechtenstein eller till ett EU-organ eller ett EU-informationssystem.
Direktivet reglerar inte möjligheten för en behörig myndighet i en medlemsstat att ställa upp villkor för hur personuppgifter som överförs till ett tredjeland eller en internationell organisation när personuppgifter får användas. Utredningen anser att det behövs en sådan reglering i ramlagen av de skäl som nyss nämnts. En bestämmelse om villkor för användningen av personuppgifter som överförs till tredjeland och internationella organisationer kan inte anses stå i strid med direktivet, eftersom det syftar till att stärka skyddet för enskilda.
Ett exempel på när det kan finnas behov av att ställa upp villkor för behandlingen av personuppgifter är när en svensk behörig myndighet vill kunna kontrollera att personuppgifterna inte utan myndighetens vetskap vidareöverförs till ett annat tredjeland (se avsnitt 15.7). Förses personuppgifterna med ett sådant villkor när de överförs begränsas risken för att uppgifterna sprids vidare.
Det bör därför föreskrivas att svenska behöriga myndigheter i ett enskilt fall får ange villkor för hur personuppgifter som överförs till ett tredjeland eller en internationell organisation får användas.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
621
15.10 Dokumentationskrav och informationsskyldighet
Utredningens förslag: Skyldigheten att i vissa fall dokumentera
överföringar som görs till tredjeland eller internationella organisationer ska regleras i förordning. Detsamma gäller den personuppgiftsansvariges skyldighet att informera tillsynsmyndigheten om vissa överföringar till tredjeland och internationella organisationer.
Skälen för utredningens förslag
Innehållet i direktivet
En nyhet i direktivet är att det införs dokumentationskrav och skyldighet att informera tillsynsmyndigheten om vissa typer av överföringar till tredjeland och internationella organisationer.
Enligt artikel 37.2 ska den personuppgiftsansvarige informera tillsynsmyndigheten om kategorier av överföringar som görs enligt artikel 37.1 b, dvs. på den grunden att den personuppgiftsansvarige har bedömt att det finns lämpliga skyddsåtgärder för personuppgifterna. Sådana överföringar ska enligt artikel 37.3 dokumenteras och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten. Även när en överföring görs enligt artikel 38.1, dvs. i särskilda situationer, ska överföringen dokumenteras och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten. Det framgår av artikel 38.3. I båda fallen ska dokumentationen innehålla upplysning om datum och tidpunkt för överföringen, information om den mottagande behöriga myndigheten, skälet till överföringen och de personuppgifter som har överförts.
En myndighet, som med stöd av artikel 39.1 har överfört personuppgifter direkt till en mottagare som är etablerad i ett tredjeland, ska enligt artikel 39.3 informera tillsynsmyndigheten om överföringen. Även sådana överföringar ska dokumenteras.
Överföring till tredjeland och internationella organisationer SOU 2017:29
622
Informationsskyldighet och krav på dokumentation
Det bör enligt utredningens mening finnas bestämmelser som genomför direktivets krav på information och dokumentation när personuppgifter överförs till ett tredjeland eller en internationell organisation. Bestämmelserna kan tas in i förordning.
När en överföring görs på den grunden att den personuppgiftsansvarige har bedömt att den behöriga myndigheten som personuppgifterna ska överföras till garanterar ett tillräckligt skydd för uppgifterna på annat sätt än genom avtal, ska överföringen dokumenteras. Dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten. Den personuppgiftsansvarige ska dock alltid informera tillsynsmyndigheten om samlingar av överföringar som görs på denna grund.
Om personuppgifter överförs med stöd av reglerna om undantag för särskilda situationer ska överföringen också dokumenteras och dokumentationen göras tillgänglig för tillsynsmyndigheten på begäran. Syftet är att tillsynsmyndigheten i efterhand ska kunna kontrollera om överföringen har gjorts i enlighet med reglerna. För överföringar i särskilda situationer ställs dock inget krav på att den personuppgiftsansvarige ska informera tillsynsmyndigheten om samlingar av överföringar.
När det gäller överföringar som görs till andra än behöriga myndigheter i tredjeland bör det föreskrivas att sådana överföringar ska dokumenteras. Den överförande myndigheten ska också informera tillsynsmyndigheten om samtliga överföringar som görs på den grunden. Informationsskyldigheten är alltså mer omfattande än vid överföringar som görs sedan den personuppgiftsansvarige har bedömt alla omständigheter kring överföringen och funnit att den mottagande behöriga myndigheten garanterar ett tillräckligt skydd för personuppgifterna.
Tillsynsmyndigheten bör tillsammans med de behöriga myndigheterna utarbeta rutiner för när och hur informationen bör lämnas.
Särskilt om dokumentationen i vissa fall
I dokumentationen av överföringar som görs på den grunden att den mottagande myndigheten på annat sätt än genom avtal garanterar tillräckligt skydd för personuppgifterna eller med stöd av reg-
SOU 2017:29 Överföring till tredjeland och internationella organisationer
623
lerna om undantag för särskilda situationer ska det upplysas om datum och tid för överföringen. Det bör alltså framgå när överföringen gjordes.
Dokumentationen ska även innehålla de personuppgifter som har överförts. Är det enbart fråga om någon enstaka personuppgift, t.ex. ett namn, vållar det inga större svårigheter att dokumentera den uppgiften. Om det däremot är fråga om en större mängd personuppgifter, t.ex. alla uppgifter i ett register eller i ett ärende, är det inte rimligt att alla dessa ska framgå av dokumentationen. Det bör vara tillräckligt att dokumentationen innehåller sådan information som behövs för att det i efterhand ska gå att ta fram vilka personuppgifter som överfördes, exempelvis genom hänvisning till ett ärendenummer hos Åklagarmyndigheten.
Dokumentationen bör även innehålla information om den mottagande behöriga myndigheten. Det bör alltså framgå vart personuppgifterna har skickats.
Slutligen bör dokumentationen återge skälen för överföringen. I den engelska versionen av direktivet används uttrycket ”the justification for the transfer”, dvs. motiveringen för överföringen. För att tillsynsmyndigheten ska kunna granska om överföringen har varit tillåten, bör det finnas information om varför den gjordes och hur myndigheten kom fram till att överföringen kunde göras. Underlaget för bedömningen att den mottagande myndigheten garanterade tillräckligt skydd för personuppgifterna på annat sätt än genom avtal eller att ett undantag för särskilda situationer var för handen är alltså en viktig del av dokumentationen.
Utredningen anser att både ändamålet med överföringen och vilken grund för överföring som har tillämpats i det enskilda fallet kan tolkas in i direktivets uttryck skälet till överföringen. För tydlighetens skull bör det framgå att både ändamålet med och grunden för överföringen ska dokumenteras. Exempel på sådan information skulle kunna vara att personuppgifter har överförts till ett tredjeland för att svensk åklagare ska utreda ett bedrägeribrott (ändamål inom ramlagens tillämpningsområde) och att den behöriga myndigheten i det tredjelandet bl.a. har garanterat att uppgifterna inte kommer att användas för något annat ändamål (tillräckliga skyddsåtgärder). Ett annat exempel kan vara att personuppgifter har överförts till ett tredjeland för att en dömd har begärt (den särskilda situationen berättigat intresse) att få överföra sin straffverkstäl-
Överföring till tredjeland och internationella organisationer SOU 2017:29
624
lighet (ändamål inom ramlagens tillämpningsområde) från Sverige till det tredjelandet. Däremot bör det inte vara tillräckligt att enbart ange att personuppgifter har överförts till ett angivet tredjeland med stöd av en viss paragraf i ramlagen.
Informations- och dokumentationsskyldigheten kan regleras i förordning.
15.11 Internationellt samarbete
Utredningens bedömning: Några lagstiftningsåtgärder krävs
inte för att stärka Sveriges delaktighet i det internationella samarbetet till skydd för personuppgifter.
Skälen för utredningens bedömning: Av artikel 40 framgår att
kommissionen och medlemsstaterna ska vidta lämpliga åtgärder för att utveckla rutiner för internationellt samarbete och på internationell nivå erbjuda ömsesidigt bistånd. Syftet är att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter. Det ömsesidiga biståndet kan avse bl.a. underrättelser, klagomål, hjälp vid utredningar och informationsutbyte. Lämpliga åtgärder ska också vidtas öka det internationella samarbetet när det gäller tillämpningen av aktuell lagstiftning. Vidare ska medlemsstaterna främja utbyte och dokumentation om lagstiftning och praxis. Några lagstiftningsåtgärder behövs inte för att genomföra reglerna om internationellt samarbete till skydd för personuppgifter.
Mot bakgrund av att Sverige redan deltar i internationellt samarbete när det gäller bl.a. polisiära och straffrättsliga frågor, i vilket personuppgiftsbehandling är en viktig del, och att det redan finns lagstiftning för det samarbetet (se bl.a. avsnitt 3.2.6 och 3.2.7), ser utredningen inget behov av någon ytterligare lagstiftning.
Det internationell samarbetet mellan tillsynsmyndigheterna behandlas i avsnitt 12.10.
SOU 2017:29 Överföring till tredjeland och internationella organisationer
625
15.12 Sekretess vid överföring till tredjeland
15.12.1 Överföring innebär utlämnande
En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation är ett utlämnande i offentlighets- och sekretesslagens mening (se t.ex. 6 kap. 1 § om utlämnande av allmän handling och 6 kap. 4 § om utlämnande av uppgift). Frågan är då hur förutsättningarna för att överföra personuppgifter till tredjeland förhåller sig till reglerna om offentlighet och sekretess. Bestämmelserna i direktivet om överföring av personuppgifter till tredjeland är, liksom bestämmelserna i 2013 års lag och personuppgiftslagen, formellt neutrala i den meningen att det i princip inte påverkar tillämpningen om de personuppgifter som överförs omfattas av sekretess eller inte hos den utlämnande myndigheten. Det är en annan sak att eventuell sekretess för överförda personuppgifter kan påverka vilken skyddsnivå i mottagarlandet som krävs i det enskilda fallet. Är det fråga om sekretessbelagda uppgifter som ska överföras kan det exempelvis finnas skäl att ställa högre krav på tillräckliga skyddsåtgärder för att överföra personuppgifter på den grunden.
15.12.2 Utlämnande av offentliga allmänna handlingar till tredjeland
Om personuppgifter och andra uppgifter i en allmän handling är offentliga – dvs. inte omfattas av sekretess eller träffas av en sekretessbestämmelse men vid en prövning bedöms inte vara sekretessbelagda – ska handlingen lämnas ut till en enskild som begär att få ta del av den med stöd av 2 kap. tryckfrihetsförordningen. Det gäller oavsett om han eller hon befinner sig i ett tredjeland och oavsett medborgarskap. En utlänning i tredjeland har alltså samma rätt som en svensk medborgare att enligt 2 kap. 13 § tryckfrihetsförordningen mot avgift få en kopia av handlingen. I praktiken betyder det att en myndighet inte kan neka att lämna ut handlingen med hänvisning till att skyddsnivån för personuppgifter i mottagarlandet inte är tillräcklig. Myndigheterna är dock enligt 2 kap. 13 § första stycket andra meningen tryckfrihetsförordningen inte skyldiga att lämna ut allmänna handlingar i elektronisk form. Behand-
Överföring till tredjeland och internationella organisationer SOU 2017:29
626
ling av personuppgifter vid utlämnande av allmänna handlingar regleras som anges i avsnitt 7.3 i dataskyddsförordningen.
15.12.3 Uppgifter som inte är sekretessbelagda
Vid utlämnande av personuppgifter till ett tredjeland i andra situationer än med stöd av 2 kap. tryckfrihetsförordningen, är regelverket inte lika tydligt. Handlar det om utlämnande enligt bestämmelser om ärendehandläggning eller liknande, t.ex. bestämmelser om kommunikation eller partsinsyn, görs ingen skillnad på parter i Sverige, EU eller tredjeland.
Det finns inga generellt tillämpliga bestämmelser som vare sig förpliktar eller begränsar myndigheter vid utlämnande av offentliga personuppgifter till tredjeland, t.ex. en myndighet i ett sådant land (jfr SOU 2015:39 s. 484). Att en myndighet enligt 6 kap. 5 § offentlighets- och sekretesslagen på begäran av en annan myndighet är skyldig att lämna ut en uppgift som den förfogar över om uppgiften inte är sekretessbelagd, ses i allmänhet som en precisering av myndigheternas allmänna samverkansskyldighet som tar sikte på svenska förvaltningsmyndigheter och domstolar. Den medför inte någon skyldighet att lämna ut personuppgifter, vare sig de är sekretessbelagda eller inte, till utländska myndigheter (jfr bet. 1982/83:KU12 s. 36). En utländsk myndighet anses inte heller ha rätt att överklaga en myndighets beslut att inte lämna ut en allmän handling eller att avslå en begäran om att få del av en personuppgift (Lenberg m.fl., supplement 12, juli 2015, s. 6:7.4 f.).
15.12.4 Uppgifter som är sekretessbelagda
Utgångspunkten är att en sekretessbelagd uppgift inte får röjas för en utländsk myndighet eller en mellanfolklig organisation. Enligt 8 kap. 3 § offentlighets- och sekretesslagen får dock sekretessbelagda uppgifter lämnas ut till en utländsk myndighet eller en mellanfolklig organisation om utlämnandet görs med stöd av särskild föreskrift i lag eller förordning. Med det avses uttryckliga uppgiftsskyldigheter eller andra sekretessbrytande regler.
Sekretessbelagda uppgifter får även enligt 8 kap. 3 § offentlighets- och sekretesslagen lämnas till en utländsk myndighet eller en
SOU 2017:29 Överföring till tredjeland och internationella organisationer
627
mellanfolklig organisation om uppgiften i motsvarande fall får lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas ut. Om en svensk myndighet i motsvarande läge inte skulle ha fått uppgifterna på grund av sekretess får de alltså inte lämnas ut. Vid bedömningen av om uppgiftslämnandet är förenligt med svenska intressen får bl.a. Sveriges intresse av internationellt samarbete med den utländska myndigheten eller det mellanfolkliga organet beaktas.
Det kan inom ramen för det internationella samarbetet finnas bestämmelser som hindrar att personuppgifter överförs till tredjeland. Enligt t.ex. 10 § lagen (2000:344) om Schengens informationssystem får en uppgift som behandlas i registret inte överföras eller göras tillgänglig för ett tredjeland (med vilket här bör förstås stater som inte är anslutna till Schengensamarbetet) eller en internationell organisation.
629
16 Sekretessfrågor
16.1 Allmänt om offentlighet och sekretess
16.1.1 Rätten att ta del av allmänna handlingar
Enligt 2 kap. 1 § tryckfrihetsförordningen har var och en rätt att ta del av allmänna handlingar. Den rätten får enligt 2 kap. 2 § första stycket tryckfrihetsförordningen begränsas bara om det är nödvändigt med hänsyn till vissa intressen. En sådan begränsning ska anges noga i en bestämmelse i en särskild lag eller, om det i ett visst fall anses lämpligare, i en annan lag som den förstnämnda lagen hänvisar till. Den särskilda lag som avses är offentlighets- och sekretesslagen (2009:400).
Sekretess innebär inte bara begränsningar av rätten att ta del av allmänna handlingar utan även förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretess innebär således både handlingssekretess och tystnadsplikt. Till den del sekretessbestämmelserna innebär tystnadsplikt, medför de en begränsning av yttrandefriheten enligt regeringsformen.
16.1.2 Huvuddragen i sekretessregleringen
En sekretessbestämmelse består som regel av tre huvudsakliga rekvisit som anger sekretessens föremål, räckvidd och styrka.
Sekretessens föremål är den information som kan hemlighållas och anges i lagen genom ordet ”uppgift” tillsammans med en mer eller mindre långtgående precisering av uppgiftens art, t.ex. uppgift om enskilds personliga förhållanden.
Sekretessbestämmelsens räckvidd bestäms normalt genom att det i bestämmelsen preciseras att sekretessen bara gäller i en viss
Sekretessfrågor SOU 2017:29
630
typ av ärende, i en viss typ av verksamhet eller hos en viss myndighet. Ett fåtal sekretessbestämmelser gäller utan någon begränsning av räckvidden. Uppgiften kan då hemlighållas oavsett i vilket ärende, i vilken verksamhet eller hos vilken myndighet den finns.
Sekretessens styrka bestäms som regel med hjälp av s.k. skaderekvisit. Man skiljer mellan raka och omvända skaderekvisit. Vid raka skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess bara gäller om det kan antas att viss skada uppstår om de lämnas ut. Vid omvända skaderekvisit är utgångspunkten den motsatta. Då är presumtionen att uppgifterna omfattas av sekretess. Uppgifterna får då lämnas ut endast om det står klart att uppgifterna kan röjas utan att viss skada uppstår. Sekretessen kan även vara absolut, vilket innebär att de uppgifter som sekretessen omfattar ska hemlighållas utan någon skadeprövning om uppgifterna begärs ut.
Som huvudregel följer sekretess inte med en uppgift när den lämnas till en annan myndighet. Det beror bl.a. på att behovet av sekretess och styrkan i sekretessen inte kan bestämmas enbart med hänsyn till sekretessintresset utan varierar mellan myndigheter. Offentlighetsintresset kan kräva att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan (se propositionen med förslag till ny sekretesslag m.m., prop. 1979/80:2, Del A, s. 75 f.). Det finns dock vissa bestämmelser om överföring av sekretess.
Vid överföring av sekretess skiljer man mellan primära och sekundära sekretessbestämmelser. En primär sekretessbestämmelse gäller hos en myndighet eller för en viss typ av verksamhet eller en viss ärendetyp. En sekundär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa med stöd av en särskild bestämmelse om överföring av sekretess. Överföring av sekretess innebär enligt 3 kap. 1 § offentlighets- och sekretesslagen att en primär sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till.
En primär sekretessbestämmelse kan normalt tillämpas på en uppgift oavsett om myndigheten har fått uppgifterna från en annan myndighet eller från en enskild. En sekundär sekretessbestämmelse kan däremot bara tillämpas på uppgifter som den mottagande myndigheten har fått från en annan myndighet. En sådan bestämmelse
SOU 2017:29 Sekretessfrågor
631
kan alltså inte tillämpas på uppgifter som den mottagande myndigheten har fått direkt från en enskild (se Skydd för förföljda personer, samordningsnummer m.m., prop. 1997/98:9, s. 38 f., Sekretessfrågor – Skyddade adresser, m.m., prop. 2005/06:161, s. 30 och JO 2000/01 s. 44 och 50).
Sekretesstiden i olika sekretessbestämmelser varierar beroende på vilken typ av uppgift det är fråga om. Endast i ett fåtal bestämmelser saknas tidsgränser.
16.2 Ändrade regler om sekretess och tystnadsplikt med anledning av dataskyddsreformen
Enligt artikel 44.2 i direktivet ska tystnadsplikt gälla för personal vid tillsynsmyndigheten för konfidentiell information som de får kännedom om vid utförandet av sina uppgifter eller utövandet av sina befogenheter. Direktivet innehåller däremot, i motsats till dataskyddsförordningen, inte någon bestämmelse om tystnadsplikt för dataskyddsombud.
Det ingår i Dataskyddsutredningens uppdrag att bl.a. överväga om nu gällande sekretessbestämmelser behöver anpassas till dataskyddsförordningens reglering om tystnadsplikt hos tillsynsmyndigheten och sekretess och tystnadsplikt för dataskyddsombud och att anpassa hänvisningarna till personuppgiftslagen i offentlighets- och sekretesslagen (dir. 2016:15 s. 13 f.). Dataskyddsutredningen ska redovisa sitt uppdrag den 12 maj 2017.
Även om utgångspunkten har varit att Dataskyddsutredningen ska hantera de frågor som rör tystnadsplikt och sekretess med anledning av EU:s dataskyddsreform, är det uppenbart att det inte kan gälla frågor som enbart väcks vid genomförandet av dataskyddsdirektivet. Utredningen, som är oförhindrad att vid genomförandet av direktivet ta upp närliggande frågor, anser att det finns anledning att redan nu lägga fram några förslag till särskild sekretessreglering som enbart rör ramlagens tillämpningsområde. Utredningen har samrått med Dataskyddsutredningen om förslagen.
Utredningen förutser vidare att det även inom ramlagens tilllämpningsområde kommer att krävas en regel om tystnadsplikt för dataskyddsombud, bl.a. därför att det enligt förslaget till ramlag kommer att finnas behöriga myndigheter som inte tillämpar offent-
Sekretessfrågor SOU 2017:29
632
lighets- och sekretesslagen. Även de föreslås ha dataskyddsombud (se avsnitt 10.5.2). Eftersom det är önskvärt att en sådan regel utformas på samma sätt för både dataskyddsförordningens och ramlagens tillämpningsområden och Dataskyddsutredningen redovisar sina förslag senare än vi, har det lämnats utrymme för en sådan regel i förslaget till ramlag. Det finns därför anledning att i slutbetänkandet återkomma till det och till frågan om Dataskyddsutredningens övriga förslag på sekretessområdet kräver någon kompletterande reglering inom ramlagens tillämpningsområde.
16.3 Sekretess i tillsynsverksamheten
16.3.1 Nuvarande reglering
Sekretess till skydd för tillsynsverksamheten
Tillsynsverksamhet skyddas av olika sekretessregler, både primära och sekundära. Enligt 17 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs.
Får en myndighet i verksamhet som rör tillsyn en sekretessreglerad uppgift från en annan myndighet, blir enligt 11 kap. 1 § offentlighets- och sekretesslagen sekretessbestämmelsen tillämplig även hos tillsynsmyndigheten. Därmed gäller i princip samma sekretess hos tillsynsmyndigheten som hos den myndighet som är föremål för tillsyn. Sekretessen gäller även för uppgifter som tillsynsmyndigheten hämtar in från andra myndigheter än den som granskningen avser, om uppgifterna behövs för tillsynen. Enligt 11 kap. 8 § gäller en primär sekretessbestämmelse som ska tillämpas av tillsynsmyndigheten framför överförd sekretess enligt 11 kap. 1 §.
Sekretess gäller enligt 42 kap. 5 § offentlighets- och sekretesslagen hos Säkerhets- och integritetsskyddsnämnden i dess tillsynsverksamhet. Sekretessen hos nämnden regleras uttömmande i 42 kap. 6–8 §§. Om nämnden har fått uppgifter från en enskild gäller enligt 42 kap 6 § sekretess enligt 15 kap. endast om det kan antas att riket lider betydande skada om uppgiften röjs och enligt
SOU 2017:29 Sekretessfrågor
633
18 kap. endast om det kan antas att verksamheten för att förebygga eller beivra brott allvarligt motverkas om uppgiften röjs. Överföring av sekretess regleras i 42 kap. 8 §. Sekretess följer alltid med en uppgift som lämnats av en annan myndighet till nämnden. Enligt förarbetena är det viktigt att uppgifter i dessa fall inte får ett svagare skydd hos nämnden än hos den utlämnande myndigheten (Ytterligare rättssäkerhetsgarantier vid användande av hemliga tvångsmedel, prop. 2006/07:133, s. 74). Sekretess överförs både från myndigheter som omfattas av nämndens tillsyn och från andra myndigheter.
Sekretess till skydd för enskild i tillsynsverksamhet
Enligt 32 kap. 1 § offentlighets- och sekretesslagen gäller sekretess hos Datainspektionen i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen och i ärende om sådant bistånd som avses i dataskyddskonventionen, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.
Enligt 42 kap. 6 § andra stycket gäller sekretess hos Säkerhets- och integritetsskyddsnämnden till skydd för uppgift om enskildas personliga förhållanden som lämnas av enskilda själva, om uppgiften skulle ha varit sekretessreglerad om den funnits hos den myndighet som det aktuella tillsynsärendet får anses avse. Om uppgifterna inte kan hänföras till någon sådan myndighet, är de således offentliga.
Primär sekretess som kan gälla i tillsynsverksamhet
Den primära sekretessen för brottsbekämpande verksamhet enligt 18 kap.1 och 2 §§offentlighets- och sekretesslagen gäller i princip hos alla myndigheter. Är det fråga om sådan sekretess gäller därmed sekretessen till skydd för uppgifter i förundersökningar, ärenden om användning av tvångsmedel och underrättelseverksamhet även hos tillsynsmyndigheten. Detsamma gäller sekretess enligt andra bestämmelser i 18 kap. som är konstruerade så att sekretessen följer med uppgiften. Särskilda sekretessbestämmelser gäller som nyss nämnts för Säkerhets- och integritetsskyddsnämnden.
Sekretessfrågor SOU 2017:29
634
Sekretess med hänsyn till förhållandet till andra stater
Enligt 15 kap. 1 § offentlighets- och sekretesslagen gäller sekretess för uppgift som angår Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. För att sekretess ska gälla krävs att den svenska myndigheten företräder Sverige på sådant sätt att kontakten anses röra Sveriges förbindelser med den andra staten. Paragrafen kan även vara tillämplig på en utländsk myndighets kontakter med en svensk myndighet, men utrymmet för sekretess är starkt begränsat (Eva Lenberg, Ulrika Geijer och Anna Tansjö, i fortsättningen Lenberg m.fl., supplement 9, januari 2014, s. 15:1.1).
Sekretessen i 15 kap. 1 a § offentlighets- och sekretesslagen infördes för att möta ökade krav på sekretess i internationellt samarbete. Sekretess gäller för uppgift som en svensk myndighet har fått från ett utländskt organ på grund av bl.a. en bindande EUrättsakt eller ett av EU ingånget avtal eller av riksdagen godkänt avtal med en annan stat eller mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samarbetet försämras om uppgiften röjs. Sekretess gäller också för uppgift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal. Bestämmelsen gäller hos alla som tillämpar offentlighets- och sekretesslagen.
Sekretess gäller enligt 42 kap. 7 § offentlighets- och sekretesslagen hos Säkerhets- och integritetsskyddsnämnden för uppgift som nämnden har fått direkt från en utländsk myndighet eller en mellanfolklig organisation. Förutsättningen för sekretess är att det skulle ha gällt sekretess för uppgiften om den hade funnits hos den myndighet som det aktuella tillsynsärendet får anses avse. Kan uppgifterna inte hänföras till någon sådan myndighet är de alltså offentliga. Datainspektionen har däremot inte någon motsvarande sekretessbestämmelse som skyddar allmänna utländska intressen i myndighetens tillsynsverksamhet.
SOU 2017:29 Sekretessfrågor
635
16.3.2 Behovet av en ny sekretessbestämmelse
Utredningens bedömning: Det behövs en ny sekretessbestäm-
melse för att värna tillsynsmyndighetens internationella samarbete enligt ramlagen.
Skälen för utredningens bedömning
Ökat informationsutbyte mellan tillsynsmyndigheter
Brottsligheten är i allt större utsträckning gränsöverskridande. Det ställer krav på ökat samarbete mellan behöriga myndigheter inom olika delar av ramlagens tillämpningsområde. Ett av direktivets syften är att underlätta det fria flödet av uppgifter mellan behöriga myndigheter, nationellt och internationellt. Det får i sin tur betydelse för tillsynen över personuppgiftsbehandling. Ökat sådant informationsutbyte ställer högre krav på samarbete mellan tillsynsmyndigheterna, eftersom fler skyddsvärda och integritetskänsliga uppgifter kan komma att utbytas. Betydelsen av ett kraftfullt tillsynsarbete framhålls i skäl 4. Enligt artikel 50.1 ska medlemsstaterna införa åtgärder som bidrar till ett verkningsfullt samarbete när det gäller tillsynen. Tillsynsmyndigheterna ska utbyta relevant information och bistå varandra med tillsynsåtgärder. Samarbetet behandlas i avsnitt 12.10.
I det internationella straffrättsliga samarbetet har det länge varit en självklar utgångspunkt att uppgifter skyddas av sekretess i alla medlemsstater, för att inte samarbetet ska äventyras. För närvarande pågår lagstiftningsarbete för att skapa ökat sekretesskydd för utländska intressen vid internationellt polisiärt samarbete (se Några frågor om offentlighet och sekretess, Ds 2016:2, s. 67 f.).
Det behövs en ny sekretessbestämmelse
För att kunna fullgöra sina skyldigheter enligt ramlagen måste tillsynsmyndigheten både kunna hämta in och ta emot nödvändig information från tillsynsmyndigheter i andra medlemsstater. Informationen kan röra t.ex. personuppgiftsbehandling vid pågående förundersökningar, underrättelsearbete, samarbete i spaningsverk-
Sekretessfrågor SOU 2017:29
636
samhet eller andra uppgifter som kan vara sekretessreglerade. Av en svensk begäran om bistånd ska det framgå vilken hjälp den svenska tillsynsmyndigheten begär och skälen för begäran. En begäran om bistånd bör givetvis formuleras så att den inte i onödan avslöjar sekretessbelagd information. De sekretessregler som finns är enligt utredningens mening tillräckliga för att tillsynsmyndigheten ska kunna fullgöra sina skyldigheter när det gäller svenska framställningar om bistånd. Behovet av en sekretessbrytande bestämmelse behandlas i avsnitt 16.3.4.
Regleringen i offentlighets- och sekretesslagen utgår från att det är svenska myndigheter som åsyftas, om inte annat sägs (Lenberg m.fl., s. 8:1.1). Det får betydelse framför allt vid internationellt samarbete. Om uppgifter lämnas direkt från en utländsk myndighet eller mellanfolklig organisation till en svensk myndighet blir bestämmelserna om överföring av sekretess inte tillämpliga (se Förstärkt integritet vid signalspaning, prop. 2008/09:201, s. 102). Det väcker frågan om den nuvarande sekretessregleringen i tillräcklig utsträckning skyddar den information som den svenska tillsynsmyndigheten kan komma att motta från en utländsk tillsynsmyndighet.
Tillsynen över de behöriga myndigheterna kommer att ge tillsynsmyndigheten insyn i bl.a. brottsbekämpande verksamhet där intresset av sekretess till skydd för det allmännas verksamhet är starkt. Det gäller i lika hög grad utländska myndigheters brottsbekämpande verksamhet som svenska myndigheters. Det var mot den bakgrunden som sekretessen i 18 kap. 17 § offentlighets- och sekretesslagen infördes. Som nyss nämnts pågår lagstiftningsarbete i syfte att förbättra sekretesskyddet i det internationella polisiära samarbetet. Även om det inte är ett uttryckligt krav i direktivet är det enligt utredningens mening nödvändigt att uppgifter som härrör från internationellt samarbete på det brottsbekämpande och straffrättsliga området har ett fullgott sekretesskydd hos tillsynsmyndigheten vid tillsyn över sådant samarbete.
Om de uppgifter som utländska tillsynsmyndigheter lämnar när de begär svenskt bistånd inte skyddas genom sekretess hos den svenska tillsynsmyndigheten, kan det leda till att utländska tillsynsmyndigheter både kan komma att avhålla sig från att begära bistånd från Sverige och vara mindre villiga att bistå den svenska myndigheten när den begär att få uppgifter. Det skulle kunna
SOU 2017:29 Sekretessfrågor
637
hämma den svenska tillsynsmyndighetens möjlighet att bedriva ett effektivt tillsynsarbete och göra det svårt för Sverige att leva upp till direktivets skyldigheter om internationellt samarbete vid tillsyn. Samarbetet på ramlagens område kräver därför enligt utredningens mening att utländska allmänna intressen kan skyddas. Eftersom frågan om sekretess i det gränsöverskridande tillsynsarbetet över huvud taget inte berörs i direktivet, kan bestämmelsen om sekretess i 15 kap. 1 a § offentlighets- och sekretesslagen inte anses tilllämplig.
Sverige har skyldighet att se till att regleringen i direktivet blir effektiv. Det finns därför skäl att införa en ny sekretessbestämmelse som skyddar uppgifter som tillsynsmyndigheten får när den på begäran bistår en utländsk tillsynsmyndighet vid tillsyn inom direktivets tillämpningsområde.
Ett tillåtet intresse enligt tryckfrihetsförordningen ?
Enligt 2 kap. 2 § första stycket tryckfrihetsförordningen får rätten att ta del av allmänna handlingar begränsas bara för vissa där särskilt angivna intressen. Ett sådant intresse är rikets förhållande till annan stat eller mellanfolklig organisation (2 kap. 2 § 1 tryckfrihetsförordningen) och ett annat är myndighets verksamhet för inspektion, kontroll eller annan tillsyn (2 kap. 2 § 3).
När bestämmelsen i 18 kap. 17 § offentlighets- och sekretesslagen infördes bedömde regeringen att ordalydelsen i fyra av de sju intressen som räknas upp i 2 kap. 2 § tryckfrihetsförordningen uttryckligen är begränsade till svenska förhållanden. Det gällde bl.a. intresset i punkten 3 (se Internationell rättslig hjälp i brottmål, prop. 1999/2000:61, s. 164 ). Därefter har emellertid flera bestämmelser om sekretess i internationellt samarbete med skyddsintressen som liknar det nu aktuella införts. Som exempel kan nämnas 17 kap. 7 a § (administrativt samarbete avseende beskattning), 17 kap. 7 b § (tillsyn över marknaderna för el och naturgas) och 42 kap.7 och 8 c §§offentlighets- och sekretesslagen (Säkerhets- och integritetskyddsnämndens tillsyn över bl.a. behandling av personuppgifter).
Mot bakgrund av att det under senare år har införts flera sekretessregler, som lutar sig mot 2 kap. 2 § 3 tryckfrihetsförordningen
Sekretessfrågor SOU 2017:29
638
och som syftar till att skydda utländska allmänna intressen på tillsynsområdet, drar utredningen slutsatsen att den tidigare uppfattningen att 2 kap. 2 § 3 enbart kan avse svenska intressen har övergetts, även om det inte kommit till direkt uttryck i lagstiftningen (se t.ex. Sekretess vid samarbete mellan europeiska energitillsynsmyndigheter, prop. 2012/13:7, s. 12). Därmed finns det enligt utredningens uppfattning inget som hindrar att det införs en ny sekretessbestämmelse som syftar till att värna utländska intressen på tillsynsområdet. Till det kommer att en sekretessregel i detta fall även är motiverad med hänsyn till rikets förhållande till annan stat.
16.3.3 Utformningen av sekretessbestämmelsen
Utredningens förslag: Sekretess ska gälla hos tillsynsmyndig-
heten i tillsynsverksamhet enligt ramlagen för uppgift som har lämnats av en tillsynsmyndighet i en annan medlemsstat i samband med en begäran om svenskt bistånd, om det kan antas att den svenska tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs. Sekretessen ska gälla i högst 40 år.
Skälen för utredningens förslag
Sekretessens föremål, räckvidd och styrka
Sekretessen bör skydda uppgifter som lämnas till den svenska tillsynsmyndigheten av en tillsynsmyndighet i en medlemsstat när den begär svenskt bistånd. Det som behöver kunna sekretessbeläggas är framför allt uppgifter som kan ge inblick i enskilda ärenden hos tillsynsobjekten eller avslöja hur arbetet bedrivs där, t.ex. vilken spanings- eller utredningsverksamhet som bedrivs eller vilka arbetsmetoder som används av t.ex. kriminalvårdsmyndigheter eller polisen. Den svenska tillsynsmyndigheten skulle också kunna få inblick i utländska tillsynsmyndigheters ställningstaganden och diskussioner kring gränsöverskridande samarbeten som inte berör Sverige.
Frågan är då hur sekretessregeln närmare bör utformas. En lösning kan vara att med 18 kap. 17 § offentlighets- och sekretesslagen som förebild föreskriva att sekretess gäller om det kan antas att viss åtgärd begärs under förutsättning att överlämnade uppgifter inte
SOU 2017:29 Sekretessfrågor
639
röjs. En sådan bestämmelse skulle fungera när en utländsk tillsynsmyndighet begär hjälp men inte skydda utländska intressen när uppgifter lämnas av den utländska tillsynsmyndigheten på eget initiativ. En annan lösning kan vara att med 42 kap. 7 § som förebild föreskriva att sekretess gäller i den utsträckning uppgiften skulle ha varit sekretessreglerad om den funnits hos den myndighet som det aktuella tillsynsärendet får anses avse. Nackdelen med den lösningen är att om uppgifterna inte kan hänföras till någon sådan myndighet blir de offentliga. En tredje lösning kan vara att utforma bestämmelsen på samma sätt som 17 kap. 7 b § offentlighets- och sekretesslagen. Den paragrafen tar sikte på om ett röjande skulle motverka den svenska myndighetens möjlighet att bedriva tillsyn. Bestämmelsen infördes med anledning av samarbetet inom EU vid tillsyn över marknaderna för el och naturgas (prop. 2012/13:7 s. 20). Utredningen anser att det sistnämnda alternativet är det bästa.
När en ny sekretessbestämmelse övervägs ska det alltid göras en intresseavvägning mellan sekretessintresset och insynsintresset (se prop. 1979/80:2, Del A, s. 78). När skälen för att införa en sekretessbestämmelse väger tyngre än insynsintresset kommer avvägningen mellan skyddsintresset och allmänhetens intresse av insyn normalt till uttryck genom att sekretessbestämmelsen förses med ett skaderekvisit. Det kan antingen vara ett rakt skaderekvisit, som innebär en presumtion för offentlighet, eller ett omvänt skaderekvisit, som innebär en presumtion för sekretess (se avsnitt 16.1.2). I vissa fall förses dock sekretessbestämmelsen med andra rekvisit som anger under vilka förutsättningar som sekretessen gäller. Gemensamt för de bestämmelser som saknar ett traditionellt skaderekvisit är att de är tydligt avgränsade i fråga om föremål och räckvidd. Enligt utredningens mening finns det betydande svårigheter att tillämpa skaderekvisit i bestämmelser som avser att skydda utländska intressen. Möjligheterna att rätt bedöma skadan är begränsade i de fallen och därför bör en annan typ av rekvisit väljas. Regeln bör därför utformas så att sekretess gäller om det kan antas att tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs. Det är samma rekvisit som finns i sekretessregeln till skydd för det internationella samarbetet vid tillsyn över marknaderna för el och naturgas. Sekretessbestämmelsen bör for-
Sekretessfrågor SOU 2017:29
640
muleras så att den kan fungera oavsett om en eller flera tillsynsmyndigheter skulle utses på direktivets område.
Av paragrafen bör det alltså framgå att sekretess gäller hos tillsynsmyndigheten i dess tillsynsverksamhet enligt ramlagen för uppgift som har lämnats i samband med en begäran om svenskt bistånd från en tillsynsmyndighet i en annan medlemsstat, om det kan antas att den svenska myndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs.
Sekretesstiden och sekretessbestämmelsens placering
Vid utrikessekretess, internationellt rättsligt samarbete och annat tillsynssamarbete är sekretesstiden högst fyrtio år. Samma sekretesstid bör gälla för nu aktuella uppgifter.
Den nya sekretessbestämmelsen skulle kunna placeras antingen i kapitel 17, som reglerar sekretess till skydd för bl.a. myndigheters verksamhet för tillsyn, eller i kapitel 15, som reglerar sekretess till skydd för rikets förhållande till andra stater. Utredningen anser att den bör placeras i kapitel 17, där det redan finns bestämmelser med liknande skyddsintressen.
Rätten att meddela och offentliggöra uppgifter
Enligt 3 kap. 1 § offentlighets- och sekretesslagen innebär sekretess ett förbud att röja uppgift, vare sig det görs muntligen, genom utlämnande av allmän handling eller på något annat sätt. När en ny sekretessbestämmelse införs måste därför ställning tas till om den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ges företräde framför meddelarfriheten enligt 1 kap. 1 § tredje stycket tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen.
Enligt förarbetena till sekretesslagen bör som grundprincip alltid gälla stor återhållsamhet vid prövningen av om undantag ska göras från rätten att meddela och offentliggöra uppgifter. Den enskilda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att meddela och offentliggöra uppgifter än i andra fall (prop. 1979/80:2,
SOU 2017:29 Sekretessfrågor
641
Del A, s. 110 f.). Undantag från huvudregeln är framför allt aktuellt ifråga om sekretessregler utan skaderekvisit eller med omvänt skaderekvisit. Att undantag görs med hänsyn till allmänna intressen är ovanligt. De undantag som finns i dag rör särskilt viktiga skyddsintressen (prop. 2012/13:7 s. 18 f. och Sekretess i det internationella samarbetet, prop. 2012/13:192, s. 38). Enligt utredningens mening bör något undantag från huvudregeln inte göras i detta fall.
16.3.4 En sekretessbrytande regel för tillsynsverksamheten
Utredningens förslag: Tillsynsmyndigheten får, om det är för-
enligt med svenska intressen, lämna ut en uppgift till en behörig tillsynsmyndighet i annan medlemsstat, även om uppgiften är sekretessbelagd.
Skälen för utredningens förslag
Nuvarande reglering
Enligt 10 kap. 17 § offentlighets- och sekretesslagen hindrar sekretess inte att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över eller revision hos den myndighet där uppgiften förekommer. Ordet myndighet syftar som tidigare nämnts på svenska myndigheter. Bestämmelsen möjliggör utlämnande till bl.a. JO, JK och Datainspektionen.
Sekretess hindrar enligt 10 kap. 2 § offentlighets- och sekretesslagen inte heller att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Syftet med paragrafen är att förhindra att sekretessregleringen gör det omöjligt för en myndighet att sköta de uppgifter som den är skyldig att utföra.
Enligt 8 kap. 3 § offentlighets- och sekretesslagen får en uppgift för vilken sekretess gäller inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnande görs med stöd av en särskild föreskrift i lag eller förordning, eller uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den ut-
Sekretessfrågor SOU 2017:29
642
ländska myndigheten eller till den mellanfolkliga organisationen. Lagen (1978:801) om internationellt samarbete rörande kriminalvård i frihet och lagen (2000:1219) om internationellt tullsamarbete är exempel på författningar med sådana särskilda föreskrifter.
Det behövs en ny sekretessbrytande bestämmelse
För att kunna utöva tillsyn behöver tillsynsmyndigheten få tillgång till all information som rör viss behandling av personuppgifter. För det ändamålet måste tillsynsmyndigheten inte sällan själv lämna ut sekretessbelagda uppgifter för att kunna få svar på förfrågningar. Regleringen i 10 kap. 2 § offentlighets- och sekretesslagen möjliggör för tillsynsmyndigheten att lämna ut information till andra myndigheter, för att kunna få den information som behövs för tillsynen. När det gäller utlämnande till en utländsk tillsynsmyndighet ska emellertid även 8 kap. 3 § offentlighets- och sekretesslagen beaktas.
I avsnitt 12.10.1 föreslås att tillsynsmyndigheten på begäran ska bistå tillsynsmyndigheter i andra medlemsstater. På motsvarande sätt ska tillsynsmyndigheten, som framgår av avsnitt 12.10.2, kunna begära bistånd av en annan medlemsstat. Internationellt bistånd kan innefatta utbyte av information som omfattas av sekretess. Tillsynsuppgiften i sig innebär inte en sådan uppgiftsskyldighet som avses i 8 kap. 3 § offentlighets- och sekretesslagen. Om myndigheten bedömer att den måste lämna ut sekretessbelagda uppgifter för att få internationellt bistånd kan det finnas grund för att bryta sekretessen med stöd av 10 kap. 2 § offentlighets- och sekretesslagen. Enligt förarbetena ska dock den paragrafen tillämpas restriktivt. Sekretessen får efterges bara när ett utlämnande av sekretessbelagda uppgifter är en nödvändig förutsättning för att en myndighet ska kunna fullgöra ett visst åliggande (prop. 1979/80:2, Del A, s. 465 och 494). För att genomföra direktivet och för att tillsynsmyndighetens internationella arbete ska underlättas bör det i ramlagen tas in en särskild bestämmelse som bryter sekretessen vid samarbete med en utländsk tillsynsmyndighet.
Av bestämmelsen bör framgå att en sekretessbelagd uppgift får lämnas ut till en behörig tillsynsmyndighet i en annan medlemsstat om det är förenligt med svenska intressen. Den prövningen bör
SOU 2017:29 Sekretessfrågor
643
endast få göras av den som enligt myndighetens arbetsordning eller motsvarande har rätt att fatta sådana beslut på myndighetens vägnar (jfr Lenberg m.fl., s. 8:3.1). Skulle det vid en sådan prövning bedömas vara oförenligt med svenska intressen att lämna ut uppgifterna, bör begäran om bistånd vägras med hänvisning till att det skulle strida mot lag att tillmötesgå den.
16.3.5 En hänvisningsbestämmelse bör införas
Utredningens förslag: Det bör göras en hänvisning i offentlig-
hets- och sekretesslagen till regeln om användningsbegränsning i ramlagen.
Skälen för utredningens förslag: I avsnitt 12.10.2 föreslås en sär-
skild regel om hur den information som tillsynsmyndigheten hämtar in från en tillsynsmyndighet i en annan medlemsstat får användas. En sådan användningsbegränsning har företräde framför andra författningsregler. I 9 kap. 2 § offentlighets- och sekretesslagen räknas det upp ett antal sådana bestämmelser. En hänvisning till regeln i ramlagen bör införas i den paragrafen.
16.4 Sekretess för sammanställningar av känsliga personuppgifter
Utredningens förslag: Sekretess till skydd för enskild ska gälla
hos en behörig myndighet för uppgift i en sammanställning av känsliga personuppgifter. Sekretessen ska gälla i högst 70 år.
För sådana uppgifter ska meddelarfrihet inte gälla.
Skälen för utredningens förslag
Sekretessens föremål, styrka och räckvidd
I avsnitt 9.2.4 föreslår utredningen ett generellt förbud mot vissa sökningar. Det ska vara förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Där dis-
Sekretessfrågor SOU 2017:29
644
kuteras också ingående om ett sådant förbud innebär att begränsningsregeln i 2 kap. 3 § tryckfrihetsförordningen blir tillämplig. Om så inte är fallet skulle någon som vill ta del av allmänna handlingar inte kunna hindras från att begära sökning på känsliga personuppgifter för att få fram ett sådant personurval. För att allmänheten inte med stöd av offentlighetsprincipen ska kunna få ut uppgifter i sammanställningar grundade på sådana sökningar, bör det enligt utredningens mening införas en sekretessregel som knyts till regeln om sökförbud i ramlagen. Sekretessen bör gälla hos behöriga myndigheter till skydd för enskild för uppgifter i sammanställningar av känsliga personuppgifter.
Avsikten med sekretessbestämmelsen är att skydda enskildas integritet. Det rör sig om personuppgifter som omgärdas av starka dataskyddsregler. Även om det anses nödvändigt att i vissa fall medge myndigheter att göra sökningar som kan resultera i personurval som grundar sig på känsliga personuppgifter är det svårt att se att det skulle finnas något allmänt intresse av att kunna ta del av sådana uppgifter. Syftet med bestämmelsen är att en behörig myndighet inte ska behöva göra en otillåten sökning för att kunna bedöma sekretessfrågan om uppgifterna begärs ut (jfr Sekretess i utländska databaser, prop. 2011/12:157, s. 17). Mot den bakgrunden bör enligt utredningens mening sekretessen vara absolut.
Sekretessbestämmelsens placering och sekretesstiden
Eftersom det är en sekretessbestämmelse till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott bör den placeras i 35 kap. offentlighets- och sekretesslagen.
Vid sekretess till skydd för enskild i 35 kap. varierar sekretesstiden mellan femtio och sjuttio år. Den kortare sekretesstiden gäller bl.a. inom Kriminalvården medan den längre gäller för flertalet bestämmelser i kapitlet. Utredningen anser att den längre sekretesstiden bör gälla i detta fall.
SOU 2017:29 Sekretessfrågor
645
Rätten att meddela och offentliggöra uppgifter
I avsnitt 16.3.3 påpekas att när en ny sekretessbestämmelse införs ska även behovet av eventuellt undantag från meddelarfriheten prövas. Syftet med sekretessbestämmelsen är att komplettera förbudet mot sammanställningar grundade på känsliga personuppgifter. Det föreslås därför att sekretessen ska vara absolut. Därmed talar också starka skäl för att undantag från meddelarfriheten bör göras i detta fall. Mot det skulle kunna invändas att det är viktigt att anställda kan slå larm om regelverket skulle missbrukas genom systematiska otillåtna sökningar. Utredningen anser att det får förutsättas att myndigheterna tillämpar en så viktig bestämmelse på rätt sätt. Skälen för att begränsa meddelarfriheten väger därför tyngre. En bestämmelse som begränsar meddelarfriheten bör därför införas.
16.5 Sekretess för rapporter om personuppgiftsincidenter
En nyhet i direktivet är kravet på rapportering av personuppgiftsincidenter till tillsynsmyndigheten. Det väcker frågan om det kräver någon justering i sekretessregleringen.
Redan i dag gäller viss sekretess för rapporter om it-incidenter. Enligt 18 kap. 3 § offentlighets- och sekretesslagen gäller sekretessen för bl.a. brottsanmälningar och förundersökning i 18 kap.1 och 2 §§offentlighets- och sekretesslagen inte bara hos de brottsbekämpande myndigheterna utan även hos andra myndigheter när de biträder en brottsbekämpande myndighet. Myndigheter som står i begrepp att göra en anmälan till en brottsbekämpande myndighet förfogar över det underlag som utgör grunden för anmälan. Sekretessen i 18 kap. 3 § kompletterar den sekretess som gäller enligt 18 kap. 1 och 2 §§. Sekretessen gäller såväl hos myndigheter som har anmälningsskyldighet som hos andra. Om en personuppgiftsincident leder till en brottsanmälan skyddas alltså det underlag som en behörig myndighet eller tillsynsmyndigheten tar fram genom regleringen i 18 kap. 3 §. Den sekretessen är enligt utredningens mening tillräcklig för att tillgodose behovet av att skydda uppgifter om sådana personuppgiftsincidenter som kan utgöra brott.
Enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen gäller vidare sekretess för uppgift som lämnar eller kan bidra till upplys-
Sekretessfrågor SOU 2017:29
646
ning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information. Sekretess gäller oavsett var uppgiften finns. Uppgifter om de tekniska system som en personuppgiftsincident berör skyddas genom den sekretessbestämmelsen, som har ett rakt skaderekvisit. Det har kritiserats i olika sammanhang. Utredningen om genomförande av NIS-direktivet har i uppdrag att överväga om sekretesskyddet för rapportering av it-incidenter i 18 kap. 8 § 3 är tillräckligt (dir. 2016:29). Den utredningen ska redovisa sitt uppdrag den 1 maj 2017.
Mot bakgrund av att frågan om sekretess för rapportering av itincidenter för närvarande utreds, anser utredningen att det inte finns skäl att nu behandla frågan om det krävs någon ytterligare sekretess för rapporter om personuppgiftsincidenter. Beroende på vad Utredningen om genomförande av NIS-direktivet kommer att föreslå, kan det eventuellt finnas anledning att återkomma till frågan i slutbetänkandet.
647
17 Konsekvenser
17.1 Få helt nya krav eller arbetsuppgifter men skärpta krav i vissa fall
Förslaget till ramlag och förordning genomför dataskyddsdirektivet. En allmän utgångspunkt för uppdraget har varit att sträva efter lösningar som ansluter till nuvarande systematik för reglering av personuppgiftsbehandling. Utredningen har också strävat efter att ligga så nära dataskyddsförordningen som möjligt, när samma fråga behandlas i båda instrumenten och det inte finns sakliga skäl att välja en annan lösning för ramlagens tillämpningsområde.
Direktivet innebär framför allt en harmonisering inom EU. De flesta bestämmelserna i ramlagen motsvarar i större eller mindre utsträckning regler i personuppgiftslagen eller i myndigheternas registerförfattningar. Utredningens förslag ansluter nära till direktivet, men på ett fåtal punkter föreslås regler som ger ett starkare skydd för enskilda än vad som krävs enligt direktivet. I de flesta fall hör det samman med att den svenska lagstiftningen redan ger ett motsvarande skydd.
Förslagen i kapitlen 6, 7 och 9 har till stor del motsvarigheter i dagens lagstiftning. Kraven blir dock i vissa fall tydligare, vilket bör bidra till att lagstiftningen blir mer lättillämpad. I vissa avseenden ställs dock något högre krav på de personuppgiftsansvariga. Det gäller bl.a. att ytterligare kategorier av personuppgifter ska betraktas som känsliga personuppgifter. Kraven på hur personuppgifternas kvalitet ska säkerställas blir också tydligare.
Även om många av kraven i kapitel 10 följer redan av dagens lagstiftning ställs det också vissa nya krav på de personuppgiftsansvariga. Det införs t.ex. skyldighet att dokumentera och rapportera personuppgiftsincidenter och kraven på organisatoriska och tekniska åtgärder blir tydligare och mera detaljerade än i dag. Det ställs
Konsekvenser SOU 2017:29
648
också nya krav på att de personuppgiftsansvariga ska genomföra och dokumentera konsekvensbedömningar och ha förhandssamråd med tillsynsmyndigheten. Den skyldighet som flertalet av myndigheterna i rättskedjan har att utse personuppgiftsombud (i ramlagen dataskyddsombud) blir generell. Kraven på personuppgiftsbiträden skärps och blir tydligare.
De skyldigheter för personuppgiftsansvariga som föreslås i kapitel 11 motsvaras till största delen av dagens krav, men enskildas rättigheter stärks genom att informationsskyldigheten utvidgas och förtydligas i viss utsträckning.
I kapitel 13 föreslås ett system med sanktionsavgifter för överträdelser av bestämmelser i ramlagen. Det motsvarar det sanktionssystem som kommer att gälla för överträdelser av bestämmelser i dataskyddsförordningen. Det blir en ny arbetsuppgift för tillsynsmyndigheten att besluta om sanktionsavgifter, men antalet ärenden förväntas inte bli särskilt stort inom ramlagens tillämpningsområde. Det beror bl.a. på att de som ska tillämpa ramlagen till största delen är myndigheter, som i regel kan förväntas följa tillsynsmyndighetens synpunkter utan att det krävs repressiva åtgärder.
En annan nyhet är möjligheten för enskilda att föra dröjsmålstalan, som behandlas i kapitel 14. Om tillsynsmyndigheten dröjer med att ge en klagande besked om huruvida ett klagomål gör att myndigheten kommer att utöva tillsyn, ska klaganden kunna väcka talan om dröjsmålet i allmän förvaltningsdomstol. Övriga förslag beträffande rättsmedel i kapitel 14 motsvarar i allt väsentligt det som gäller i dag.
Reglerna om överföring till tredjeland och internationella organisationer i kapitel 15 motsvarar till stor del dem som finns i 2013 års lag. Grunderna för överföring har dock blivit fler och reglerna mer detaljerade. I några avseenden skärps också reglerna, bl.a. införs det krav på dokumentation och underrättelser till tillsynsmyndigheten. Reglerna kommer också att vara tillämpliga i många fler fall än i dag eftersom ramlagen har ett vidare tillämpningsområde än 2013 års lag.
När det gäller kapitel 12, som behandlar tillsyn, har Utredningen om tillsynen över den personliga integriteten haft i uppdrag att överväga konsekvenserna av EU:s dataskyddsreform för tillsynen över personuppgiftsbehandling även när det gäller direktivet. Frågan om resurser ligger enligt direktiven till vår utredning utan-
SOU 2017:29 Konsekvenser
649
för vårt uppdrag (dir. 2016:21 s. 6). Det bör dock anmärkas att systemet med sanktionsavgifter, som innebär en ny arbetsuppgift för tillsynsmyndigheten, inte var känd när Utredningen om tillsynen över den personliga integriteten presenterade sitt betänkande. Det kan också ifrågasättas om konsekvenserna av att laglighetskontroller ska omfatta hela ramlagens tillämpningsområde fullt ut kunde överblickas då.
I kapitel 16 föreslås vissa ändringar i sekretessregleringen. De kan inte förväntas öka arbetsbördan för berörda myndigheter.
Den största förändringen som följer av EU:s dataskyddsreform är inte utredningens förslag utan det faktum att de som ska tilllämpa ramlagen med kompletterande lagstiftning även i varierande utsträckning ska tillämpa dataskyddsförordningen med kompletterande lagstiftning. Båda regelverken kommer att tillämpas parallellt, men inte på samma behandling, t.ex. när en personuppgift vid ett visst tillfälle ska behandlas både för ändamål inom och utanför ramlagens tillämpningsområde. Tillämparna måste således behärska dubbla regelverk. Utredningen har försökt illustrera vad det kan innebära genom redovisningen i kapitel 8, som inte innehåller några förslag. Det ankommer inte på utredningen att överväga de samlade konsekvenserna av EU:s dataskyddsreform.
17.2 Ekonomiska konsekvenser
17.2.1 Konsekvenser för staten
Utredningens bedömning: För de behöriga myndigheterna
kommer förslaget till ramlag att kräva utbildning. Kostnaderna för det bör rymmas inom befintliga anslag. Förslaget kommer också att innebära att de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter, men kostnadsökningarna kommer inte att bli större än att de ryms inom de befintliga ekonomiska ramarna.
Skälen för utredningens bedömning: De förslag utredningen läg-
ger fram innebär inga skyldigheter för myndigheterna att inrätta nya it-system. Några kostnader för det bör således inte beräknas med anledning av förslagen. När det gäller de ökade kraven på
Konsekvenser SOU 2017:29
650
loggning föreslår utredningen att Sverige ska utnyttja möjligheten att skjuta upp tidpunkten när de förändringar som kan krävas ska vara genomförda till år 2023. Anledningen till det är som utvecklas i avsnitt 18.2.4 att myndigheterna behöver ha tid för att analysera vad de nya kraven innebär. Det är därför för tidigt att ta ställning till eventuella konsekvenser i den delen.
När ny lagstiftning införs krävs det normalt utbildningsinsatser. Det är inte unikt för de förslag som utredningen presenterar utan uppkommer regelmässigt i olika lagstiftningsärenden. Att det krävs utbildning i detta fall beror inte heller enbart på den lagstiftning som utredningen föreslår utan på den samlade reformen. Kostnader för utbildning täcks normalt av myndigheternas anslag och utredningen noterar att det vid genomförandet av betydligt större reformer, t.ex. när offentlighets- och sekretesslagen infördes, inte ansågs nödvändigt att tillföra särskilda medel för utbildning. Kostnaderna för utbildning bör därför rymmas inom befintliga ramar.
Ny lagstiftning kräver normalt också nya interna föreskrifter och styrande dokument. Det får anses ingå i de normala uppgifterna för myndigheterna.
Förslagen medför vissa nya arbetsuppgifter för de allmänna förvaltningsdomstolarna. Med hänsyn till att den fråga som dröjsmålstalan gäller – om det förhållandet att tillsynsmyndigheten underlåtit att ge besked om tillsyn ska utövas har inneburit ett onödigt dröjsmål – i de flesta fall inte torde vara komplicerad, bedömer utredningen att sådan talan kommer att väckas bara i ett fåtal fall varje år. Kostnaderna bör således rymmas inom befintliga ramar.
Antalet beslut om sanktionsavgift beräknas av de skäl som nyss nämnts bli få. Det bör därför inte påverka tillsynsmyndighetens arbetsbörda i någon större utsträckning. Eftersom sanktionsavgifterna kan vara kännbara ekonomiskt är det rimligt att utgå från att tillsynsmyndighetens beslut kommer att överklagas till allmän förvaltningsdomstol i relativt stor utsträckning. Det faktum att sådana beslut förväntas bli ovanliga innebär att även överklagandena bör stanna vid ett litet antal varje år. Kostnaderna för de allmänna förvaltningsdomstolarna bör därför rymmas inom befintliga anslagsramar.
SOU 2017:29 Konsekvenser
651
17.2.2 Konsekvenser för kommuner och landsting
Utredningens bedömning: Att ramlagen i vissa fall ska tilläm-
pas i verksamhet som bedrivs av kommuner eller landsting innebär inga ökade kostnader för dem.
Skälen för utredningens bedömning: Ramlagens tillämpningsom-
råde omfattar bl.a. myndigheter och andra aktörer som verkställer straffrättsliga påföljder. Viss vård, t.ex. ungdomsvård och vård för missbrukare, kan utdömas som en straffrättslig påföljd. Som framgår av avsnitt 8.4.5 kommer det att innebära att ramlagen blir tilllämplig i viss verksamhet där man i dag tillämpar personuppgiftslagen eller lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Att ramlagen ska tillämpas i stället för dataskyddsförordningen innebär i sig inga ökade kostnader för dataskyddet.
Det som har sagts i avsnitt 17.2.1 om konsekvenserna för staten i fråga om it-system, utbildning och interna styrdokument har giltighet även för kommuner eller landsting. Att ramlagen i viss utsträckning ska tillämpas av kommuner ochlandsting medför alltså inte några ökade kostnader för dem.
17.2.3 Konsekvenser för enskilda
Utredningens bedömning: Förslagen förbättrar skyddet för
enskildas integritet och ger dem bättre förutsättningar att kunna ta tillvara sina rättigheter. De medför inga ökade kostnader för enskilda.
Skälen för utredningens bedömning: Förslagen syftar till att
stärka integritetsskyddet för enskilda och att ge dem bättre möjligheter att kunna kontrollera hur deras personuppgifter behandlas. Enskilda får också ökade möjligheter att reagera om tillsynsmyndigheten inte behandlar deras klagomål i rimlig tid.
Förslagen förväntas inte leda till några kostnadsökningar för enskilda. Visserligen föreslås att de personuppgiftsansvariga i vissa fall ska kunna ta ut avgift för information som begärs, men det är i situationer där den enskilde alltför ofta återkommer med begäran
Konsekvenser SOU 2017:29
652
om information. Den personuppgiftsansvarige kan då ge den enskilde informationen mot avgift i stället för att avslå begäran.
Det kan finnas fall där enskilda i egenskap av personuppgiftsansvariga ska tillämpa ramlagen i stället för dataskyddsförordningen. Det torde röra sig om få fall och av de skäl som angetts tidigare finns det inte anledning att räkna med att de kommer att drabbas av några ökade kostnader.
17.3 Konsekvenser för brottsligheten och det brottsförebyggande arbetet
Utredningens bedömning: Förbättrat dataskydd ger möjlighet
till ökat informationsutbyte mellan brottsbekämpande myndigheter, vilket är positivt för det brottsförebyggande arbetet. Förslagen förväntas inte få några direkta effekter på brottsligheten.
Skälen för utredningens bedömning: Förslagen kan inte förväntas
få några direkta effekter på brottsligheten, eftersom det handlar om en administrativ reform.
När det gäller det brottsförebyggande arbetet kan däremot ett ökat informationsflöde både inom Sverige och mellan medlemsstaterna förväntas få positiv inverkan. Särskilt för Polismyndigheten har olika initiativ till utökat utbyte av information inom EU och med de andra nordiska länderna visat sig ha en positiv effekt för brottsbekämpningen. Det gäller exempelvis det utökade utbytet av dna-uppgifter, fingeravtrycksuppgifter och kriminalregisterutdrag. Informationsutbytet bör enligt utredningens mening kunna förbättras ytterligare genom de nya dataskyddsreglerna. Harmoniserade regler om dataskydd underlättar också på annat sätt utbytet av information mellan brottsbekämpande myndigheter både inom och utom landet.
17.4 Konsekvenser i övrigt
Utredningens bedömning: Förslagen förväntas inte få några
andra konsekvenser.
SOU 2017:29 Konsekvenser
653
Skälen för utredningens bedömning: Förslagen får inte några
samhällsekonomiska konsekvenser eller några konsekvenser för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jämställdheten eller andra sådana konsekvenser som avses i 14 § kommittéförordningen (1998:1474) eller 7 § förordningen (2007:1244) om konsekvensutredning vid regelgivning.
655
18 Ikraftträdande och övergångsbestämmelser
18.1 Ikraftträdande
Utredningens förslag: Ramlagen och övriga författningsförslag
ska träda i kraft den 1 maj 2018.
Skälen för utredningens förslag: Enligt artikel 63 ska medlems-
staterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att genomföra direktivet. Bestämmelserna ska tillämpas av medlemsstaterna från och med samma dag. Den lagstiftning som utredningen föreslår i detta betänkande bör träda i kraft så snart som möjligt, men hänsyn måste också tas till de anpassningar av myndigheternas registerförfattningar som kommer att presenteras i slutbetänkandet. Lämplig tidpunkt för ikraftträdande är den 1 maj 2018. Samtidigt bör, som föreslås i avsnitt 6.1.4, 2013 års lag upphöra att gälla.
18.2 Övergångsbestämmelser
18.2.1 Den nya dataskyddsregleringen medför särskilda övergångsproblem
Utredningens bedömning: Om personuppgiftslagen upphävs
innan ramlagen hunnit träda i kraft, bör personuppgiftslagens bestämmelser fortsätta att gälla för sådan behandling av personuppgifter för brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet som i dag stöds på den lagen.
Ikraftträdande och övergångsbestämmelser SOU 2017:29
656
Skälen för utredningens bedömning: Dataskyddsförordningen
medför att personuppgiftslagen måste upphävas när förordningen börjar tillämpas. Det nuvarande regelverket delas då upp i en del som i huvudsak regleras direkt genom förordningen och en annan del som regleras genom de bestämmelser som genomför det nya dataskyddsdirektivet. Det aktualiserar hur vissa frågor bör hanteras i övergången mellan det gamla och det nya regelverket.
Direktivet ska vara genomfört den 6 maj 2018 medan dataskyddsförordningen börjar tillämpas den 25 maj 2018. Vid den senare tidpunkten kommer personuppgiftslagen att upphöra att gälla. Det gäller oberoende av om den svenska lagstiftning som genomför direktivet har hunnit träda i kraft då. Det ingår i uppdraget till Dataskyddsutredningen att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen och det får därför förutsättas att den utredningen lämnar förslag på de övergångsregler som kan krävas när personuppgiftslagen upphör att gälla. Den utredningen ska dock presentera sina förslag först den 12 maj 2017.
För att behovet av övergångsbestämmelser till den lagstiftning som vi föreslår ska kunna överblickas, ser vi det som nödvändigt att, trots att det ligger utanför vårt uppdrag, redovisa behovet av sådana övergångsbestämmelser samlat i detta avsnitt. Vi lämnar också på vissa punkter konkreta förslag till övergångsbestämmelser. Det får i det fortsatta lagstiftningsarbetet avgöras om det behövs sådana särskilda övergångsbestämmelser till ramlagen som föreslås här, eller om frågorna kan lösas genom den övergångsreglering som Dataskyddsutredningen föreslår.
Arbetet med att genomföra direktivet i svensk rätt kommer att bli omfattande och tidsödande. Det finns därför viss risk för att all den lagstiftning som ska genomföra direktivet inte hinner bli klar i tid. För de behöriga myndigheter som i dag har en registerförfattning kommer lagstiftningen inte i alla delar att leva upp till kraven i direktivet, om den nya lagstiftningen inte finns på plats den 6 maj 2018. Regleringen bör ändå i allt väsentligt kunna fungera dels med stöd av att de nuvarande författningarna till stor del uppfyller de nya kraven, dels med stöd av övergångsbestämmelser till den lag som upphäver personuppgiftslagen. De behöriga myndigheter som i fortsättningen ska tillämpa ramlagen, och som inte har någon egen registerförfattning, kommer däremot inte längre att ha någon reglering för sin personuppgiftsbehandling då personuppgiftslagen
SOU 2017:29 Ikraftträdande och övergångsbestämmelser
657
upphävs, eftersom de – i motsats till andra som tillämpar personuppgiftslagen – inte ska tillämpa dataskyddsförordningen.
Mot den bakgrunden bedömer utredningen att den bästa lösningen skulle vara att införa en övergångsreglering som innebär att personuppgiftslagens bestämmelser, även om lagen upphävs, fortsätter att gälla fram till dess att ramlagen träder i kraft. En sådan reglering kan dock inte knytas till införandet av ramlagen. Den bör inte heller utgå från direktivet, eftersom den lagstiftning som genomför det och som mejslar ut dess tillämpningsområde ännu inte gäller. Direktivets tillämpningsområde utgör emellertid en spegling av det undantag som görs i artikel 2.2 i dataskyddsförordningen. En särskild övergångsbestämmelse som knyts till att personuppgiftslagen upphävs och som täcker behovet av att ha fortsatt rättsligt stöd för personuppgiftsbehandling på direktivets område under den tid som lagstiftningsarbetet med ramlagen pågår, skulle därför kunna utformas på följande sätt. Övergångsbestämmelsen kan sedan upphävas när ramlagen träder i kraft.
Personuppgiftslagen gäller fortfarande för sådan behandling av personuppgifter som avses i artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen.
En annan fråga som väcks är hur ärenden som ligger inom ramlagens tillämpningsområde och som har påbörjats före den tidpunkt när ramlagen träder i kraft ska hanteras. Det kan t.ex. gälla beslut av personuppgiftsansvariga myndigheter som har överklagats eller pågående tillsynsärenden hos Datainspektionen eller Säkerhets- och integritetsskyddsnämnden. En möjlighet är att låta övergångsfrågorna styras helt av de övergångsbestämmelser som Dataskyddsutredningen kommer att föreslå. Det finns dock risk för att någon fråga även i de fallen kan komma att falla mellan stolarna. Utredningen föreslår därför i avsnitt 18.2.2 vissa övergångsbestämmelser som kan komma att överlappa de förslag som Dataskyddsutredningen överlämnar.
Ikraftträdande och övergångsbestämmelser SOU 2017:29
658
18.2.2 Ärendehandläggning m.m.
Utredningens förslag: För ärenden om tillsyn över personupp-
giftsbehandling för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet som inte avgjorts när lagen träder i kraft ska äldre bestämmelser om handläggningen fortsätta att gälla.
Äldre bestämmelser ska också fortsätta att gälla för överklaganden enligt personuppgiftslagen och ärenden om skadestånd för felaktig personuppgiftsbehandling inom nyss nämnda områden.
Utredningens bedömning: Det behövs inga övergångsbestäm-
melser för de behöriga myndigheternas behandling av personuppgifter.
Skälen för utredningens förslag och bedömning: Det som kan
behöva regleras i övergångsbestämmelser till ramlagen – förutom bestämmelser som rör det nya sanktionssystemet (se avsnitt 18.2.3) och bestämmelser som rör loggning (se avsnitt 18.2.4) – är framför allt hur pågående ärenden hos de behöriga myndigheterna och hos de nuvarande tillsynsmyndigheterna bör hanteras.
I frågor som rör behandling av personuppgifter hos de behöriga myndigheterna bör den nya lagstiftningen tillämpas från det att den träder i kraft. Det innebär exempelvis att framställningar om att få del av information, ärenden om rättelse och andra oavslutade ärenden ska hanteras enligt ramlagen. Några övergångsbestämmelser för de behöriga myndigheternas handläggning behövs därmed inte.
Beträffande tillsynsåtgärder följer det av allmänna principer att förelägganden och förbud som har meddelats med stöd av personuppgiftslagen och som rör ramlagens tillämpningsområde fortsätter att gälla efter det att personuppgiftslagen upphävts. Det behövs därför inte någon särskild övergångsbestämmelse för det.
När det gäller andra frågor om tillsyn över behandling av personuppgifter inom ramlagens tillämpningsområde bör det föreskrivas att äldre bestämmelser ska fortsätta att gälla för de ärenden som har påbörjats före ikraftträdandet men inte hunnit avgöras när den nya lagen träder i kraft. Med den lösningen bör det inte uppstå några övergångsproblem och det saknar då också betydelse vilken
SOU 2017:29 Ikraftträdande och övergångsbestämmelser
659
organisatorisk lösning som regeringen väljer för den framtida tillsynsverksamheten. En sådan övergångsreglering skulle träffa ärenden under handläggning hos både Datainspektionen och Säkerhets- och integritetsskyddsnämnden.
Även när det gäller ärenden om skadestånd för felaktig personuppgiftsbehandling inom ramlagens tillämpningsområde bör äldre bestämmelser fortsätta att gälla. Detsamma bör gälla för överklaganden i ännu inte avslutade ärenden som rör behandlingen av personuppgifter. Det innebär att domstolen vid sin prövning ska tillämpa den äldre lagstiftningen. I båda fallen skulle sådana övergångsbestämmelser underlätta övergången till den nya, delade regleringen.
18.2.3 Övergångsbestämmelser till det nya sanktionssystemet
Utredningens förslag: Sanktionsavgift får inte tas ut för sådana
överträdelser av bestämmelser om personuppgiftsbehandling för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet som har begåtts före ramlagens ikraftträdande.
Äldre bestämmelser ska fortsätta att gälla för överträdelser som har begåtts före ikraftträdandet.
Skälen för utredningens förslag
Ett nytt sanktionssystem införs
Enligt allmänna principer får en ny lag inte retroaktiv verkan. Frågan kompliceras emellertid i de fall där den nya lagen innehåller sanktionsbestämmelser, vilket är fallet med ramlagen.
I avsnitt 13.5–7 föreslår utredningen ett nytt sanktionssystem för överträdelser av bestämmelserna om behandling av personuppgifter i ramlagen. Förslaget innebär att överträdelser ska beivras genom sanktionsavgift, som är en administrativ sanktion. Sanktionsavgift föreslås kunna tas ut både för överträdelser som inte är straffsanktionerade nu och för överträdelser som i dag omfattas av straffansvaret i 49 § personuppgiftslagen. Sanktionsavgift ska tas ut av personuppgiftsansvariga och i vissa fall av personuppgiftsbi-
Ikraftträdande och övergångsbestämmelser SOU 2017:29
660
träden. Det gäller oavsett om de är juridiska eller fysiska personer. I huvudsak kommer sanktionsavgift att tas ut av andra rättssubjekt än de som i dag kan åläggas straffansvar. Det nya sanktionssystemet aktualiserar emellertid frågan hur överträdelser som begåtts före ramlagens ikraftträdande bör hanteras.
Som framgår av avsnitt 13.2.1 föreslår utredningen ingen ny straffbestämmelse. Eftersom någon motsvarighet till 49 § personuppgiftslagen inte tas in i ramlagen bortfaller straffansvaret för de gärningar som regleras där, om inte frågan regleras genom särskilda övergångsbestämmelser.
Förbudet mot retroaktivitet och lindrigaste lagens princip
Vid bedömningen av om det behövs övergångsbestämmelser för de överträdelser som har begåtts tidigare men inte hunnit beivras när ramlagen träder i kraft, ska artikel 7 i Europakonventionen, 2 kap. 10 § regeringsformen och 5 § andra stycket lagen (1964:163) om införande av brottsbalken beaktas.
Enligt artikel 7 i Europakonventionen får ingen fällas till ansvar för någon gärning eller underlåtenhet som vid den tidpunkt då den begicks inte utgjorde ett brott enligt nationell eller internationell rätt. Inte heller får ett strängare straff utmätas än som var tillämpligt vid den tidpunkt då brottet begicks.
I 2 kap. 10 § regeringsformen förbjuds retroaktiv straff- och skattelagstiftning. Förbudet mot retroaktiv skattelag anses vara analogt tillämpligt på straffliknande administrativa påföljder (se propositionen om ändring i regeringsformen, prop. 1975/76:209, s. 125). Av 5 § andra stycket lagen om införande av brottsbalken framgår att straff ska bestämmas enligt den lag som gällde när gärningen företogs, utom i fall där annan lag gäller när dom meddelas och den nya lagen leder till frihet från straff eller lindrigare straff. Bestämmelsen har enligt förarbetena generell räckvidd, dvs. den gäller även utanför brottsbalken (propositionen med förslag till lag om införande av brottsbalken m.m., prop. 1964:10, s. 99). Den ger uttryck för det som brukar kallas den lindrigaste lagens princip.
SOU 2017:29 Ikraftträdande och övergångsbestämmelser
661
Det behövs särskilda övergångsbestämmelser
Utredningen föreslår att vissa handlingar som i dag inte är straffbara ska kunna föranleda sanktionsavgift (se avsnitt 13.5.2). Det gäller exempelvis skyldigheten att anmäla personuppgiftsincidenter. Handlingar som i dag är straffbara föreslås inte längre kunna bestraffas men däremot kunna föranleda sanktionsavgift. Det gäller t.ex. otillåten överföring av personuppgifter till tredjeland.
Om en sådan överträdelse som kan leda till sanktionsavgift men som inte är straffbelagd i dag har inträffat före ikraftträdandet skulle det strida mot retroaktivitetsförbudet att besluta om sanktionsavgift. Detsamma gäller om en skyldighet blir mer omfattande än vad den är i dag. I vissa fall har ramlagen liknande bestämmelser som de som finns i personuppgiftslagen, men det kan skilja sig i fråga om detaljer. Det kan då vara svårt att avgöra om det är fråga om ett förfarande som tidigarekunna föranleda straff. Eftersom tillämpningsområdet för sanktionsavgift inte är detsamma som för straffansvar är det inte rimligt att låta systemet med sanktionsavgift gälla retroaktivt. Det är inte heller självklart hur bedömningen av vilken sanktion som är lindrigast – straffpåföljd eller sanktionsavgift – skulle utfalla i ett enskilt fall.
För att undvika de tolknings- och tillämpningsproblem som kan uppstå om den lindrigaste lagens princip skulle tillämpas på sanktionsavgift enligt ramlagen är det enligt utredningens mening lämpligare att låta äldre bestämmelser fortsätta att gälla för de överträdelser som har begåtts innan ramlagen trätt i kraft. Sanktionsavgift bör därför bara kunna tas ut för överträdelser som ägt rum efter ramlagens ikraftträdande, vilket bör tydliggöras genom en övergångsbestämmelse.
Utredningen anser att det är viktigt att de överträdelser som är straffsanktionerade kan beivras även efter ikraftträdandet av ramlagen. Därför bör det även införas en övergångsbestämmelse som innebär att äldre bestämmelser ska fortsätta att gälla för överträdelser som begåtts före ikraftträdandet.
Ikraftträdande och övergångsbestämmelser SOU 2017:29
662
När ska överträdelsen anses ha ägt rum?
Normalt är det inga större problem att slå fast när en överträdelse har ägt rum. När det gäller personuppgiftsbehandling är det tidpunkten när en personuppgift registreras, överförs, lämnas ut eller behandlas på annat sätt som är utgångspunkten. Så länge en personuppgift finns kvar i ett it-system behandlas den. Det gäller enligt både den nuvarande och den föreslagna lagstiftningen. Det innebär att det i de allra flesta fall pågår behandling när en överträdelse upptäcks. Det är endast i de fall där behandlingen har upphört som tidpunkten för överträdelsen kan komma att få betydelse.
En särskild fråga är hur man bör se på överträdelser som började före men har fortsatt efter ramlagens ikraftträdande, t.ex. där behandlingen av personuppgifter borde ha upphört före ikraftträdandet men uppgifterna alltjämt finns kvar. Situationen kan närmast jämföras med brott som består i pågående handlande, s.k. perdurerande brott. När det gäller brott som begås genom ett pågående handlande både före och efter en ny lags ikraftträdande, och där någon del av handlandet infaller under den nya lagens tid, anses det att den nya lagen ska tillämpas på hela förfarandet (jfr Nils-Olof Berggren, Agneta Bäcklund, Johan Munck, Dag Victor och Fredrik Wersäll, Brottsbalken, En kommentar, maj 2012, BrP s. 6). Motsvarande resonemang bör enligt utredningens mening tillämpas vid bedömningen av hur en överträdelse av ramlagens bestämmelser ska hanteras. Avslutades behandlingen av personuppgifter efter lagens ikraftträdande ska enbart ramlagen tillämpas.
18.2.4 Övergångsbestämmelser i övrigt
Utredningens förslag: Bestämmelserna om loggning behöver
inte tillämpas förrän den 1 maj 2023 i automatiserade behandlingssystem som har inrättats före den 6 maj 2018.
SOU 2017:29 Ikraftträdande och övergångsbestämmelser
663
Skälen för utredningens förslag
Särskilda övergångsbestämmelser för existerande behandlingssystem
Som tidigare nämnts ska de författningar som genomför direktivet vara i kraft senast den 6 maj 2018. Enligt artikel 63.2 får dock medlemsstaterna, om det skulle innebära oproportionerliga ansträngningar att anpassa ett automatiserat system som inrättats innan dess, föreskriva att systemet ska anpassas till artikel 25.1 (kravet på loggning) senast den 6 maj 2023. Under exceptionella omständigheter får enligt artikel 63.3 en medlemsstat medge ytterligare anstånd med anpassningen, dock längst till 6 maj 2026. Kommissionen ska, om det undantaget utnyttjas, underrättas om skälen till problemen och motiveringen för tidsperioden för anpassning.
Myndigheterna i rättskedjan använder automatiserade behandlingssystem som inrättats före den 6 maj 2018. I direktivet ställs emellertid mer detaljerade krav än tidigare på loggning i sådana system. Samtliga myndigheter har uppgett att de behöver tid för att närmare analysera behovet av anpassningar och för att utforma systemen efter de föreslagna kraven på loggning. Det kommer att krävas noggranna verksamhets- och systemanalyser för att klarlägga i vilken utsträckning dagens system för loggning uppfyller kraven och vilka eventuella förändringar som kan behövas. Arbetet med att analysera vilka anpassningar som krävs skulle möjligen hinna genomföras till dess att ramlagen börjar gälla, men det anses inte vara möjligt att inom den korta tiden till ikraftträdandet också hinna anpassa systemen. Det kan vidare krävas viss samordning mellan myndigheterna, eftersom de utbyter många uppgifter elektroniskt och i vissa fall använder samma datasystem. Vad myndigheterna framfört visar att det skulle innebära oproportionerliga ansträngningar för dem att redan vid lagens ikraftträdande anpassa sina nuvarande system till loggningskraven. Det finns således behov av en sådan övergångsbestämmelse som direktivet medger. Utredningen föreslår därför att det införs övergångsbestämmelser både i ramlagen och den föreslagna förordningen som innebär att den nya bestämmelsen om loggning i förordningen inte behöver tillämpas före den 1 maj 2023.
Utredningen vill understryka att loggning i dag görs i automatiserade behandlingssystem. Den föreslagna övergångsbestämmelsen påverkar inte de generella krav på loggning som redan gäller.
Ikraftträdande och övergångsbestämmelser SOU 2017:29
664
Övriga lagändringar
När det gäller övriga lagändringar ska de enligt huvudprincipen gälla från och med att de träder i kraft. Några övergångsbestämmelser behövs inte.
665
19 Författningskommentar
19.1 Förslaget till brottsdatalag
1 kap. Allmänna bestämmelser Syftet med lagen
1 §
Paragrafen reglerar syftet med lagen och tydliggör att lagen genomför dataskyddsdirektivet. Den behandlas i avsnitt 6.1.3.
I första stycket, som genomför artikel 1, anges det övergripande syftet med lagen. Syftet är dubbelt. Det ena syftet är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter. Genom formuleringen tydliggörs att lagens skyddsobjekt är fysiska personer. Lagen innehåller inga bestämmelser till skydd för juridiska personer. Det andra syftet är att säkerställa att de myndigheter som är behöriga myndigheter enligt lagen kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt vid brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. Det gäller både nationellt och internationellt informationsutbyte.
I andra stycket anges att lagen genomför Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
Författningskommentar SOU 2017:29
666
Lagens tillämpningsområde
2 §
I paragrafen, som tillsammans med 3 och 4 §§ genomför artikel 2, anges lagens tillämpningsområde. Den behandlas i avsnitt 7.1.1– 7.1.5. Gränsdragningsfrågor behandlas i kapitel 8.
Lagen gäller för behandling av personuppgifter. Vad som är en personuppgift och behandling av personuppgifter definieras i 6 §.
Lagen gäller bara när en behörig myndighet behandlar personuppgifter för vissa syften. Behörig myndighet definieras i 6 §.
Det framgår inte direkt av lagen vilka som är behöriga myndigheter. Det avgörande är om myndigheten har sådana arbetsuppgifter att den behandlar personuppgifter för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Polismyndigheten, Tullverket, Kustbevakningen, Skatteverket, Ekobrottsmyndigheten, Åklagarmyndigheten, de allmänna domstolarna och Kriminalvården är behöriga myndigheter men enbart när de behandlar personuppgifter för sådana syften. När t.ex. Skatteverket behandlar personuppgifter i beskattningsverksamheten eller Polismyndigheten utfärdar pass är myndigheten inte en behörig myndighet. Lagen gäller således inte generellt i de behöriga myndigheternas verksamhet. Även andra myndigheter än de nyss nämnda har vissa arbetsuppgifter som gör lagen tillämplig, t.ex. Rättsmedicinalverket vid rättsmedicinska obduktioner och utfärdande av rättsintyg och förvaltningsdomstolar när de prövar frågor som rör verkställighet av straff.
Exempel på arbetsuppgifter som inte gör en myndighet till behörig myndighet i lagens mening är skyldighet att anmäla brott eller annan uppgiftsskyldighet till brottsbekämpande myndigheter. Det förhållandet att en brottmålsdom expedieras till någon eller att en viss myndighet får tillgång till uppgifter om lagöverträdelser i belastningsregistret eller misstankeregistret gör inte heller att mottagaren av personuppgifterna blir en behörig myndighet i lagens mening.
Även andra aktörer än myndigheter kan vara behöriga myndigheter i lagens mening, om de har anförtrotts myndighetsutövning för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Det gäller t.ex. när naturvårdsvakter och jakttillsynsmän tar egendom i beslag och när ord-
SOU 2017:29 Författningskommentar
667
ningsvakter upprätthåller allmän ordning och säkerhet exempelvis vid domstolsförhandlingar.
Lagen ska däremot inte tillämpas av offentliga försvarare, målsägandebiträden och särskilda företrädare för barn. Eftersom någon myndighetsutövning inte har överlåtits till dem är de inte behöriga myndigheter i lagens mening.
Lagen gäller bara när behöriga myndigheter behandlar personuppgifter för vissa syften, nämligen att förebygga, förhindra eller upptäcka brottslig verksamhet, att utreda eller lagföra brott, att verkställa straffrättsliga påföljder eller att upprätthålla allmän ordning och säkerhet. När en behörig myndighet behandlar personuppgifter för något annat syfte gäller inte lagen.
Det är bl.a. Polismyndighetens och andra myndigheters underrättelseverksamhet som avses när formuleringen förebygga, för-
hindra eller upptäcka brottslig verksamhet används. Med underrättel-
severksamhet avses arbete med insamling, bearbetning och analys av information i syfte att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns misstankar om att ett visst konkret brott har begåtts (se prop. 2009/10:85 s. 318). Om det finns misstankar om ett konkret brott kan personuppgifter behandlas för att utreda brottet. Även behandling av överskottsinformation med stöd av 27 kap. 23 a § rättegångsbalken omfattas, om syftet med behandlingen är att förhindra brott. Annan brottsförebyggande verksamhet kan också omfattas av tillämpningsområdet, vilket utvecklas i avsnitt 7.1.2.
Lagen ska däremot inte tillämpas vid sådan kontrollverksamhet som vissa myndigheter som också har ett brottsbekämpande uppdrag utför med stöd av sina kontrollbefogenheter, t.ex. vid skattekontroll eller tullkontroll, vilket utvecklas avsnitt 8.2.10.
Med att utreda brott avses framför allt att genomföra förundersökning enligt 23 kap. rättegångsbalken. Med brott avses ett konkret brott. Det kan vara fråga om såväl brott som bevisligen har begåtts som brott som det enbart finns misstankar om. Det saknar betydelse om brottet hunnit påbörjas, om det är straffbart på planeringsstadiet. Misstankarna behöver inte vara riktade mot någon bestämd person. Om misstankarna enbart avser icke-preciserad brottslighet, är det i stället fråga om underrättelseverksamhet. Även den form av förenklat utredningsförfarande som regleras i 23 kap. 22 § rättegångsbalken och åtgärder som vidtas med stöd av
Författningskommentar SOU 2017:29
668
23 kap.3 och 8 §§rättegångsbalken innan förundersökning har hunnit inledas omfattas av tillämpningsområdet. Brottsbekämpande myndigheters handläggning av brottsanmälningar hör också hit, även om de leder till beslut om att inte inleda förundersökning.
Reglerna om förundersökning i brottmål tillämpas även vid vissa andra typer av undersökningar. I den mån sådana undersökningar görs i syfte att utreda brott, t.ex. vid utredning om utlämning för brott, är lagen tillämplig. Görs de däremot i annat syfte, t.ex. för att ge underlag för bedömningar inom socialtjänsten, är lagen inte tilllämplig.
Med lagföra brott avses framför allt åklagares beslut i åtalsfrågor och beslut i fråga om åtalsunderlåtelse och brottmålsförfarandet i allmän domstol. Till brottmålsförfarandet räknas inte bara den rättegång och dom som följer på allmänt åtal utan även handläggningen av förprocessuella frågor som exempelvis förordnande av målsägandebiträde och offentlig försvarare och beslut i fråga om häktning och andra straffprocessuella tvångsmedel. Även expediering av domar och beslut hör till brottmålsförfarandet. Vid behandling av personuppgifter för sådana syften ska lagen tillämpas. Detsamma gäller vid personutredning inom ramen för brottmålet och i sådan stödverksamhet som avser att tillföra åklagare eller domstolar forensisk, medicinsk eller psykiatrisk kompetens.
I begreppet lagföra brott ingår också de förenklade straffrättsliga förfaranden som i huvudsak används vid bötesbrott, föreläggande av ordningsbot och strafföreläggande.
Behandling av personuppgifter i syfte att verkställa straffrättsliga
påföljder förekommer hos ett flertal myndigheter. Kriminalvården
verkställer fängelsestraff, skyddstillsyn och samhällstjänst och ska då tillämpa lagen. Det är dock inte vid all behandling av personuppgifter i Kriminalvården som lagen ska tillämpas. När Kriminalvården exempelvis bedriver hälso- och sjukvård i fängelser och häkten ligger det utanför lagens tillämpningsområde. Kriminalvårdens hantering av administrativa frihetsberövanden ligger också utanför tillämpningsområdet.
När påföljden bestämts till böter behandlas personuppgifter av Polismyndigheten i egenskap av uppbördsmyndighet. Vid sådan behandling av personuppgifter är lagen tillämplig. Den ska däremot inte tillämpas i Kronofogdemyndighetens indrivningsverksamhet.
SOU 2017:29 Författningskommentar
669
Statens institutionsstyrelse verkställer sluten ungdomsvård och ska då tillämpa lagen. Även socialnämnder verkställer i viss utsträckning straffrättsliga påföljder när påföljden är ungdomsvård, ungdomstjänst eller vård av missbrukare. På motsvarande sätt verkställer rättspsykiatriska enheter rättspsykiatrisk vård. Vid behandling av personuppgifter för sådana syften ska lagen tillämpas.
Lagen ska också tillämpas vid behandling av personuppgifter när frågor som rör verkställigheten eller ändring av en straffrättslig påföljd prövas. Den är också tillämplig vid internationellt samarbete för de syften som anges i paragrafen. Det innebär att den ska tilllämpas exempelvis vid informationsutbyte för brottsbekämpning och i ärenden om utlämning, övertagande av lagföring och överförande av straffverkställighet.
Det är framför allt Polismyndigheten som har till uppgift att
upprätthålla allmän ordning och säkerhet. Lagen ska bl.a. tillämpas
på behandling av personuppgifter vid ingripanden enligt 13–13 c §§polislagen (1984:387), men inte vid förvaltningsbeslut enligt ordningslagen (1993:1617). Även Kustbevakningen har vissa ordningshållande uppgifter och ska då tillämpa lagen i samma utsträckning som Polismyndigheten. Den ska också tillämpas vid Polismyndighetens, åklagares och domstolars handläggning av frågor som rör tillträdesförbud vid idrottsarrangemang och på det register över sådana förbud som Polismyndigheten för. Däremot ska lagen inte tillämpas vid idrottsorganisationers behandling av uppgifter om sådana förbud, eftersom de inte är behöriga myndigheter.
Lagen ska även tillämpas av militärpolisen, ordningsvakter och skyddsvakter när de ingriper i syfte att upprätthålla allmän ordning och säkerhet. Detsamma gäller sådana väktare som genom särskilt förordnande har fått i uppdrag att utöva myndighet i Polismyndigheten eller Kriminalvården för något av de syften som gör lagen tillämplig. Avser förordnandet något annat syfte, t.ex. kontroll av flygpassagerare, är lagen inte tillämplig.
Lagen ska inte tillämpas på allmän övervakning t.ex. via övervakningskameror i en kommunikationscentral, eftersom upprätthållande av allmän ordning och säkerhet tar sikte på fysisk närvaro på platsen för en händelse. Behandling av personuppgifter vid omhändertagande enligt lagen (1976:511) om omhändertagande av berusade personer m.m. är ett annat exempel på när lagen inte ska till-
Författningskommentar SOU 2017:29
670
lämpas. Informationssäkerhet ligger också utanför lagens tillämpningsområde.
Om det ursprungliga syftet med att behandla personuppgifterna upphör, är lagen inte längre tillämplig. Ett exempel är att ett enskilt anspråk, som har behandlats tillsammans med ett brottmål, avskiljs för att i stället handläggas enligt den ordning som är föreskriven för tvistemål. Ett annat exempel är att det under en förundersökning klarläggs att det inte förelegat något brott, t.ex. att ett misstänkt dödsfall var naturligt. Någon grund för att behandla personuppgifterna med stöd av lagen finns då inte längre.
För att lagen ska vara tillämplig krävs både att myndigheten är behörig och att behandlingen i det enskilda fallet utförs för något av de tillåtna syftena. Det innebär att om t.ex. Polismyndigheten samtidigt skickar samma personuppgift rörande en ung lagöverträdare till två olika mottagare (åklagaren respektive socialnämnden) är lagen tillämplig i det ena fallet men inte i det andra beroende på att behandlingen har olika syften (att redovisa underlag för åklagarens beslut i fråga om förundersökning respektive att fästa socialnämndens uppmärksamhet på att nämndens sociala insatser kan behövas).
När det gäller tillämpningsområdet görs ingen skillnad mellan att uppgifter behandlas för en behörig myndighets egen verksamhet eller för att bistå en annan svensk eller utländsk behörig myndighet, så länge syftet med behandlingen är något av de som anges i lagen. Om t.ex. Åklagarmyndigheten bistår en utländsk myndighet med någon utredningsåtgärd inom ramen för internationell rättslig hjälp i brottmål eller i samband med att en arresteringsorder från en annan medlemsstat behandlas, ska lagen tillämpas.
Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen, vilket framgår av 4 §.
SOU 2017:29 Författningskommentar
671
3 §
Paragrafen begränsar lagens tillämpningsområde huvudsakligen till helt eller delvis automatiserad behandling av personuppgifter, men även viss manuell behandling omfattas. Paragrafen genomför artikel 2.2 och behandlas i avsnitt 7.1.6.
För att lagen ska vara tillämplig krävs att behandlingen är helt eller delvis automatiserad eller att personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. När det gäller automatiserad behandling krävs det inte att de hanterade personuppgifterna finns i något som kan karaktäriseras som ett register eller att de annars är ordnade på visst sätt. Även behandling av enstaka personuppgifter, t.ex. namn, i löpande text omfattas således av lagens tillämpningsområde. Helt manuell behandling av personuppgifter som inte ingår i någon samling och inte heller är avsedda att ingå i en sådan ligger däremot utanför tilllämpningsområdet.
4 §
Paragrafen reglerar i enlighet med artikel 2.3 undantag från lagens tillämpningsområde. Paragrafen behandlas i avsnitt 7.2.1.
I paragrafen undantas Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet från tillämpningsområdet. Däremot undantas inte Säkerhetspolisens personuppgiftsbehandling i övrigt, exempelvis när myndigheten handlägger en förundersökning som den övertagit från Polismyndigheten med stöd av 30 § förordningen (2014:1102) med instruktion för Polismyndigheten.
Något motsvarande generellt undantag för personuppgiftsbehandling som rör nationell säkerhet gäller inte för andra myndigheter som tillämpar lagen. Det innebär exempelvis att Åklagarmyndigheten och allmänna domstolar ska tillämpa lagen även vid handläggning av mål om brott mot Sveriges säkerhet.
Författningskommentar SOU 2017:29
672
Avvikande bestämmelser i annan författning
5 §
Paragrafen reglerar förhållandet mellan lagen och annan reglering av behandling av personuppgifter hos behöriga myndigheter. Paragrafen genomför artiklarna 60 och 61 och behandlas i avsnitt 6.1.2 och 6.3.
Lagen är subsidiär till annan lagstiftning. Det innebär att om det finns avvikande bestämmelser om behandlingen av personuppgifter t.ex. i en viss myndighets registerförfattning, som polisdatalagen (2010:361) eller domstolsdatalagen (2015:728), eller i en författning som reglerar ett visst register, som lagen (1998:620) om belastningsregister, eller visst samarbete inom direktivets tillämpningsområde, gäller de i stället för bestämmelserna i lagen.
Avvikande bestämmelser kan också finnas i författningar som genomför dataskyddsbestämmelser som har sin grund i rättsakter och avtal som enligt artiklarna 60 och 61 i direktivet ska ha företräde därför att de har tillkommit före direktivet, t.ex. samarbete enligt Prümrådsbeslutet som regleras i 4 kap. i den föreslagna lagen (2017:000) om internationellt polisiärt samarbete.
Uttryck i lagen
6 §
I paragrafen, som genomför artikel 3, definieras vissa uttryck som används i lagen.
Behandling av personuppgifter
Definitionen motsvarar direktivets definition av behandling i artikel 3.2. Uttrycket behandlas i avsnitt 6.2.
Uttrycket behandling av personuppgifter omfattar alla åtgärder som vidtas med sådana uppgifter. Så snart personuppgifter hanteras på något sätt är det fråga om behandling som omfattas av lagens bestämmelser, om den är helt eller delvis automatiserad eller avser manuell behandling i en strukturerad samling av personuppgifter.
SOU 2017:29 Författningskommentar
673
Uppräkningen i definitionen av olika sätt att hantera personuppgifter är således inte uttömmande.
Behörig myndighet
Definitionen motsvarar direktivets definition av behörig myndighet i artikel 3.7. Uttrycket behandlas i avsnitt 7.1.4. Gränsdragningsfrågor behandlas i kapitel 8.
Det framgår inte direkt av lagen vilka myndigheter som är behöriga myndigheter. Det avgörande är om myndigheten har till arbetsuppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Myndigheterna är behöriga myndigheter bara när de utför sådana arbetsuppgifter. Vad som ryms i de uppgifterna och i vilka fall någon kan vara behörig myndighet utvecklas i kommentaren till 2 §. En myndighet kan således vara både behörig och icke behörig i lagens mening beroende på vilka arbetsuppgifter som utförs.
Även andra aktörer än myndigheter kan vara behöriga myndigheter i lagens mening om de har anförtrotts myndighetsutövning för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Det utvecklas i kommentaren till 2 §.
Biometriska uppgifter
Definitionen utgår från hur biometriska uppgifter definieras i artikel 3.13. Uttrycket behandlas i avsnitt 6.2.
Biometri är ett samlingsnamn för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på fysiska karaktärsdrag hos den som ska identifieras. Mönster av fingeravtryck, ansiktsgeometri, ögats iris, regnbågshinna och näthinna, röst, hand, blodkärl, dna eller gång är exempel på områden där sådan teknik kan användas. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Uppgifterna kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i
Författningskommentar SOU 2017:29
674
syfte att kontrollera en persons identitet. Fingeravtryck och dnaprofiler är i dag de vanligaste formerna av biometriska uppgifter.
Biometriska uppgifter i form av fingeravtryck kan framgå av ett spår som påträffas vid utredning av ett brott. Även analys av spåren omfattas av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Dna-spår behandlas i kommentaren till uttrycket genetiska uppgifter.
Av 2 kap. 12 § framgår att biometriska uppgifter som används i syfte att identifiera en person är känsliga personuppgifter som bara får behandlas om det är särskilt föreskrivet och absolut nödvändigt.
Fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma unik identifiering faller utanför definitionen. Bearbetning av bilder av personer för att förbättra bildkvaliteten, förstärka detaljer och liknande omfattas alltså inte. Om bilder däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram i syfte att identifiera personer omfattas de av definitionen. Att fotografier kan omfattas av regleringen av känsliga personuppgifter på andra grunder behandlas i kommentaren till 2 kap. 11 §.
Dataskyddsombud
Dataskyddsombud definieras inte i direktivet. Uttrycket behandlas i avsnitt 10.5.1.
Ett dataskyddsombud är en fysisk person som utses av den personuppgiftsansvarige att självständigt utföra vissa uppgifter i syfte att se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Ett dataskyddsombud kan antingen vara anställd hos den personuppgiftsansvarige eller en utomstående. Kravet på självständighet innebär att dataskyddsombud ska kunna utföra sina arbetsuppgifter på ett oberoende sätt. Ombuden förutsätts framför allt ha goda kunskaper om reglerna om personuppgiftsbehandling. Ombuden bör också har sådan ställning i organisationen att deras synpunkter och råd tas på allvar.
Dataskyddsombudens uppgifter regleras i 3 kap. 14 och 15 §§.
SOU 2017:29 Författningskommentar
675
Genetiska uppgifter
Definitionen utgår från hur genetiska uppgifter definieras i artikel 3.12. Uttrycket behandlas i avsnitt 6.2.
All information som rör en persons nedärvda eller förvärvade genetiska kännetecken och som kan tas fram ur ett spår från t.ex. en brottsplats eller ett prov från människokroppen omfattas av definitionen. Det innebär att den är något vidare än direktivets definition, som enbart omfattar information om en persons fysiologi eller hälsa som härrör från en analys av ett prov från personen i fråga.
Genetiska uppgifter behandlas vid dna-analyser i forensisk verksamhet för att ta fram dna-profiler eller forensiska uppslag. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Eftersom nedärvda eller förvärvade genetiska kännetecken för en person kan framgå av ett spår som påträffas vid utredning av ett brott, omfattas även analys av spåren av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Själva dna-profilen, som behandlas i exempelvis Polismyndighetens dna-register, utgör däremot inte en genetisk uppgift, eftersom inga nedärvda eller förvärvade genetiska kännetecken kan utläsas ur den. Dna-profilen är i stället en biometrisk uppgift, eftersom den tas fram genom en särskild teknisk behandling av en persons arvsmassa för att möjliggöra eller bekräfta unik identifiering av personen i fråga.
I 28 kap.12–12 b §§rättegångsbalken finns bestämmelser om provtagning för dna-analys.
Av 2 kap. 12 § framgår att genetiska uppgifter är känsliga personuppgifter som bara får behandlas om det är särskilt föreskrivet och absolut nödvändigt.
Internationell organisation
Definitionen utgår från hur internationell organisation definieras i artikel 3.16. Uttrycket behandlas i avsnitt 15.2.4.
Med internationell organisation avses dels organisationer och deras underställda organ som lyder under folkrätten, dels andra organ som inrättats genom eller på grundval av överenskommelser mellan två eller flera stater. Interpol och Världstullorganisationen
Författningskommentar SOU 2017:29
676
(World Customs Organization) är exempel på internationella organisationer som omfattas av definitionen. Internationella domstolar och tribunaler som t.ex. Internationella brottmålsdomstolen, Internationella krigsförbrytartribunalen för det forna Jugoslavien och Tribunalen för Libanon ska också betraktas som internationella organisationer.
Medlemsstat
Definitionen har ingen motsvarighet i direktivet. Uttrycket behandlas i avsnitt 15.2.2.
Med medlemsstat avses sådana stater som är bundna av direktivet, vilket gäller EU:s medlemsstater. Dessutom ska några stater utanför EU – Island, Liechtenstein, Norge och Schweiz – tillämpa direktivet. Även de senare är medlemsstater i lagens mening.
Mottagare
Definitionen utgår från hur mottagare definieras i artikel 3.10. Uttrycket behandlas i avsnitt 6.2.
Mottagare defineras som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Undantaget omfattar bl.a. myndigheter som tar del av personuppgifter i sin tillsyn över viss verksamhet, t.ex. Datainspektionen och Säkerhets- och integritetsskyddsnämnden som båda utövar tillsyn över personuppgiftsbehandling. Även andra myndigheter som utövar tillsyn, t.ex. JO och JK, omfattas av undantaget.
Personuppgift
Definitionen utgår från hur personuppgift definieras i artikel 3.1. Med personuppgift avses varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Uttrycket behandlas i avsnitt 6.2.
Varje information som kan hänföras till en fysisk person är en personuppgift. Det gäller även information som kan hänföras till en
SOU 2017:29 Författningskommentar
677
individ om en fysisk person kan identifieras med hjälp av informationen. Det krävs inte att den personuppgiftsansvarige ska förfoga över samtliga uppgifter som gör identifieringen möjlig. Det innebär att t.ex. oidentifierade fingeravtryck och dna-profiler är personuppgifter, eftersom det är möjligt att identifiera en person med hjälp av dem. Även bild- eller ljudupptagningar kan utgöra personuppgifter, om man direkt eller indirekt kan avgöra vilken individ som upptagningen avser.
Definitionen omfattar bara uppgifter om personer som är i livet. Det innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Av lagen (1987:269) om kriterier för bestämmande av människans död och lagen (2005:130) om dödförklaring framgår när någon ska betraktas som avliden. Däremot omfattar definitionen uppgifter om vem som är släkt med den avlidne.
Uppgifter om juridiska personer omfattas inte av definitionen.
Personuppgiftsansvarig
Definitionen utgår från hur personuppgiftsansvarig definieras i artikel 3.8. Uttrycket behandlas i avsnittt 10.1.1.
Personuppgiftsansvarig är enligt definitionen den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Att bestämma ändamålen med behandlingen innebär i princip att bestämma att en behandling ska utföras och varför. Att bestämma medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen, dvs. hur behandlingen ska gå till. Det kan handla om vilka personuppgifter som ska behandlas, vilka som ska få ta del av dem och hur länge personuppgifterna får behandlas. Den personuppgiftsansvarige styr dock inte alltid själv över alla medel för behandlingen. Vid direktåtkomst bestämmer den som medger åtkomsten hur tillgången tekniskt ska lösas och vilka personuppgifter som ska tillgängliggöras. Den som ges direktåtkomst är personuppgiftsansvarig för behandlingen av de personuppgifter som direktåtkomsten avser. Som framgår av definitionen kan endast behöriga myndigheter vara personuppgiftsansvariga.
Författningskommentar SOU 2017:29
678
Det kan framgå av lag eller förordning vem som är personuppgiftsansvarig. I annat fall avgör de faktiska omständigheterna vem som är personuppgiftsansvarig. Två eller flera behöriga myndigheter får enligt 3 kap. 21 § vara gemensamt personuppgiftsansvariga endast om det anges särskilt i lag eller förordning eller i ett regeringsbeslut i ett enskilt fall. Förutsättningarna för gemensamt personuppgiftsansvar behandlas i avsnitt 10.7.2.
Personuppgiftsbiträde
Definitionen utgår från hur personuppgiftsbiträde definieras i artikel 3.9. Uttrycket behandlas i avsnitt 10.6.1.
Ett personuppgiftsbiträde är en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning med stöd av ett skriftligt avtal eller en annan skriftlig överenskommelse. Kravet på att det ska finnas ett avtal eller en överenskommelse framgår av 3 kap. 18 §.
Ett personuppgiftsbiträde behandlar personuppgifter endast enligt instruktioner från den personuppgiftsansvarige och har inte rätt att själv bestämma över personuppgiftsbehandlingen. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen, t.ex. en servicebyrå eller en konsult. En myndighet kan också behandla personuppgifter som personuppgiftsbiträde åt en annan myndighet, t.ex. vid utkontraktering av it-drift. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar kan inte vara personuppgiftsbiträde.
Personuppgiftsincident
Definitionen utgår från hur personuppgiftsincident definieras i artikel 3.11. Uttrycket behandlas i avsnitt 10.4.1.
Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det är som regel fråga om en oplanerad händelse som påverkar säkerheten för personuppgifterna på ett negativt sätt och som medför allvarliga konsekvenser för skyddet av uppgifterna. En personuppgiftsincident kan exempelvis uppstå vid fel eller störningar i
SOU 2017:29 Författningskommentar
679
system, komponenter eller programvara eller vid haveri i ett tekniskt system eller en komponent i infrastrukturen. En personuppgiftsincident kan också orsakas av en säkerhetsbrist i tekniska hjälpmedel. Det kan även vara fråga om handhavandefel, dvs. internt felaktigt bruk eller felaktig implementering av tekniska system eller komponenter. En informationsförlust eller ett informationsläckage kan också bedömas som en personuppgiftsincident. Det kan orsakas av exempelvis brand eller annan yttre påverkan, men kan också bero på felaktig avyttring av teknisk utrustning som innehåller information som inte ska vara allmänt tillgänglig, eller otillåtet eller oavsiktligt offentliggörande av sådan information. Personuppgiftsincidenter kan också vara olika typer av angrepp på och intrång i systemen, t.ex. överbelastningsattacker, införande av skadliga koder, hackning, olovligt nyttjande eller annat missbruk av lösenord, olovlig åtkomst till information genom skadliga program och obehörig användning av informationssystem. Även angrepp som möjliggjorts eller utförts av den personuppgiftsansvariges personal eller andra som har anknytning till myndigheten, exempelvis inhyrd personal, kan utgöra personuppgiftsincidenter.
Det saknar betydelse för definitionen av en personuppgiftsincident hur händelsen började och vem som ansvarade för att den uppkom. Det avgörande är i stället effekten av incidenten.
Registrerad
Definitionen har ingen direkt motsvarighet i direktivet, men ordet registrerad ingår i definitionen av personuppgifter i artikel 3.1. Uttrycket behandlas i avsnitt 6.2.
Med registrerad avses den fysiska person som en personuppgift rör. Av definitionen av personuppgift framgår bl.a. att personen ska vara i livet.
Tillsynsmyndighet
Definitionen utgår från hur en tillsynsmyndighet definieras i artikel 3.15. Uttrycket behandlas i avsnitt 12.4.1.
Tillsynsmyndighet är enligt definitionen en myndighet som utses av regeringen att enligt direktivet utöva tillsyn över behandling
Författningskommentar SOU 2017:29
680
av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Genom att tillsynsområdet knutits till de grundläggande syftena med lagen omfattar tillsynen inte bara behandling enligt lagen utan även enligt den förordning som kompletterar lagen. Dessutom omfattar tillsynsområdet personuppgiftsbehandling med stöd av de registerförfattningar som gäller för behöriga myndigheter eller för ett särskilt register som förs för brottsbekämpning, lagföring, straffverkställighet eller upprätthållande av allmän ordning och säkerhet. Tillsyn över bestämmelser om personuppgiftsbehandling i andra författningar omfattas också, om bestämmelserna reglerar personuppgiftsbehandling som utförs av en behörig myndighet för något av de syften som ligger inom lagens tillämpningsområde. Exempel på bestämmelser av sådant slag är 26 och 27 §§ lagen (1988:688) om kontaktförbud.
Tredjeland
Tredjeland definieras inte i direktivet. Definitionen täcker alla stater som inte är medlemsstater i lagens mening och utgår alltså från hur medlemsstat definieras. Uttrycket behandlas i avsnitt 15.2.3.
Tredje man
Definitionen har ingen motsvarighet i direktivet. Tredje man definieras som någon annan än den registrerade, den personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvarige eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter. Uttrycket behandlas i avsnitt 11.3.3.
Uppgift som rör hälsa
Definitionen motsvarar direktivets definition i artikel 3.14. Uttrycket behandlas i avsnitt 6.2. Med uppgift som rör hälsa avses en personuppgift som rör en persons fysiska eller psykiska hälsa, in-
SOU 2017:29 Författningskommentar
681
kluderande information om tillhandahållande av hälso- och sjukvårdstjänster som ger upplysning om personens hälsostatus. Av 2 kap. 11 § framgår att uppgifter som rör hälsa är känsliga personuppgifter som bara får behandlas under vissa förutsättningar.
2 kap. Behandling av personuppgifter
Behandling för ändamål inom denna lags tillämpningsområde
Tillåtna rättsliga grunder för behandling av personuppgifter
1 §
Paragrafen reglerar, tillsammans med 2 §, de tillåtna rättsliga grunderna för behandling av personuppgifter enligt lagen. Paragrafen genomför artikel 8.1 och delar av artikel 8.2. Den behandlas i avsnitt 9.1.2.
En behörig myndighet får behandla personuppgifter om det är nödvändigt för att den ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten enligt lagen. Personuppgifter får behandlas bara om det är nödvändigt för att fullgöra en sådan arbetsuppgift. Behandling av personuppgifter och behörig myndighet definieras i 1 kap. 6 §. Vad som avses med förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet och behörig myndighet redovisas i kommentaren till 1 kap. 2 §.
Personuppgiftsbehandling måste alltid ha stöd i den behöriga myndighetens arbetsuppgifter så som de kommer till uttryck i unionsrätten eller i svensk lagstiftning och andra för verksamheten bindande beslut om arbetsuppgifter som regeringen meddelat.
Författningskommentar SOU 2017:29
682
2 §
Paragrafen reglerar, tillsammans med 1 §, de tillåtna rättsliga grunderna för behandling av personuppgifter enligt lagen. I paragrafen regleras två särskilt angivna fall där det är tillåtet att behandla personuppgifter oberoende av om förutsättningarna för behandling enligt 1 § är för handen. Tillämpningsområdet för paragrafen är begränsat, eftersom det enbart är personuppgifter som lämnats till en behörig myndighet som får behandlas. Frågan behandlas i avsnitt 9.1.3.
Enligt punkten 1 får personuppgifter alltid behandlas om behandlingen är nödvändig för diarieföring. Normalt finns det en rättslig grund enligt 1 § för de behöriga myndigheternas diarieföring, t.ex. att det är fråga om en handling som hänför sig till en förundersökning, ett mål eller ett ärende. Den nu aktuella punkten täcker behovet av att kunna diarieföra handlingar i andra fall. Det kan även röra sig om muntliga uppgifter som nedtecknas i en tjänsteanteckning eller liknande. Vilka uppgifter som måste noteras i samband med diarieföring av en handling framgår av 5 kap. 2 § offentlighets- och sekretesslagen (2009:400). Vid diarieföring av inkomna handlingar får det således alltid anges vem en handling har kommit från och i korthet vad handlingen rör. Någon annan behandling än sådan som är nödvändig för diarieföringen får emellertid inte utföras med stöd av denna punkt. Den fortsatta behandlingen ska således – utom i fall där andra punkten i denna paragraf blir tillämplig – alltid ha stöd i 1 §.
Personuppgifter får enligt punkten 2 alltid behandlas om de har lämnats till den behöriga myndigheten i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning. Uttrycket ”anmälan, ansökan eller liknande” innefattar alla slag av framställningar till en behörig myndighet. Det gäller både skriftliga framställningar och uppgifter som lämnas muntligen men nedtecknas av någon hos den behöriga myndigheten. Oftast omfattas framställningar av detta slag av bestämmelsen om rättslig grund i 1 § och ska då behandlas med stöd av den bestämmelsen, men i vissa fall kan innehållet i handlingen vara sådant att nödvändighetsrekvisitet i den paragrafen inte är uppfyllt. Eftersom det vanligtvis krävs något slag av handläggning hos den behöriga myndigheten för att hantera en framställan, har det ansetts nödvändigt
SOU 2017:29 Författningskommentar
683
med en särskild bestämmelse för personuppgiftsbehandling i dessa fall (jfr t.ex. prop. 2009/10:85 s. 324). Behandlingen måste vara nödvändig för handläggningen. Det kan i ett enskilt fall innebära att personuppgifter i ett e-postmeddelande inte får behandlas på annat sätt än att uppgifterna tas emot och därefter omedelbart arkiveras eller gallras. I ett annat fall kan bestämmelsen innebära att personuppgifterna också får behandlas i samband med att framställan besvaras.
Ändamål för behandling av personuppgifter
3 §
I paragrafen föreskrivs att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål och att det ska framgå för vilket ändamål uppgifterna behandlas. Paragrafen genomför delar av artiklarna 4.1 b och 8.2 och behandlas i avsnitt 9.1.5.
Av första stycket framgår att ändamålen för behandling av personuppgifter ska vara särskilda, uttryckligt angivna och berättigade. Ändamålen måste bestämmas redan när uppgiften behandlas första gången, eftersom det är i förhållande till dem som det ska prövas om personuppgifterna som behandlas är adekvata och relevanta och hur många personuppgifter som behöver behandlas (8 §).
Ändamålet får inte blandas ihop med den rättsliga grunden för behandling. Ändamålet ska vara mer konkret. Att ändamålet ska vara särskilt innebär att det måste vara tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för behandlingen eller om för många personuppgifter behandlas. Ändamålet får alltså inte vara så vagt eller vittomfattande att någon sådan prövning i praktiken inte blir möjlig. Ändamålet kan t.ex. vara förundersökningen om ett visst brott, åtalet för vissa gärningar eller handläggningen av en begäran om domstolsprövning av ett kontaktförbud eller tillträdesförbud. Det kan också vara fråga om verkställigheten av ett straff eller handläggningen av ett ingripande på grund av en ordningsstörning.
Att ändamålet ska vara berättigat innebär en koppling till de rättsliga grunderna. Personuppgifter får inte behandlas för ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga
Författningskommentar SOU 2017:29
684
grunden. Personuppgifter som avser en förundersökning får t.ex. inte längre behandlas för det ändamålet när brottet har preskriberats. Uppgifter om verkställigheten av en påföljd får inte behandlas om påföljden har bortfallit. Däremot kan det vara berättigat för åklagare och domstolar att fortsätta att behandla personuppgifter efter en dom till dess att det står klart att den fått laga kraft.
Om det ändamål för vilket personuppgifterna behandlas inte framgår av sammanhanget eller på annat sätt ska det enligt andra
stycket tydliggöras genom en särskild upplysning. Behandlas upp-
gifterna i en förundersökning eller i ett mål eller ärende framgår ändamålet av sammanhanget. Det gäller också om uppgifterna finns i ett särskilt reglerat register.
4 §
I paragrafen regleras förutsättningarna för att personuppgifter ska få behandlas för ett nytt ändamål inom lagens tillämpningsområde. Paragrafen genomför artikel 4.2 och behandlas i avsnitt 9.1.6.
Personuppgifter får enligt paragrafen inte behandlas innan det har säkerställts att det finns en rättslig grund för den nya behandlingen och att kraven i övrigt är uppfyllda. Det nya ändamålet ska alltså bestämmas innan behandlingen för det ändamålet påbörjas.
Av punkten 1 framgår att det alltid ska finnas en rättslig grund för att behandla personuppgifterna för det nya ändamålet. I 1 § anges vilka rättsliga grunder som är tillåtna. Om personuppgifter behandlas för att utreda ett brott finns det rättslig grund för att behandla dem t.ex. om det upptäcks att samma person har begått ett annat brott.
Av punkten 2 framgår att behandlingen ska vara nödvändig och proportionerlig för det nya ändamålet. Behandlingen kan vara nödvändig exempelvis om det i en förundersökning finns uppgifter som avslöjar planer på fritagning av en häktad och uppgiften därför behöver lämnas till Kriminalvården. Att behandlingen ska vara proportionerlig i förhållande till det nya ändamålet innebär att skälen för behandlingen ska väga tyngre än det intrång som behandlingen innebär för enskilda. Det har också betydelse vilka personuppgifter det är fråga om och i vilken verksamhet de ska användas.
SOU 2017:29 Författningskommentar
685
Bara om alla de förutsättningar som räknas upp i paragrafen är uppfyllda får personuppgifter behandlas för ett nytt ändamål. Någon prövning av om behandlingen för det nya ändamålet är förenlig med det ändamål för vilket uppgifterna ursprungligen behandlades behöver däremot inte göras. Det saknar också betydelse om det är samma eller en annan personuppgiftsansvarig som ska behandla uppgifterna för ett nytt ändamål, så länge det nya ändamålet omfattas av lagens tillämpningsområde.
5 §
I paragrafen föreskrivs att en behörig myndighet får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom lagens tillämpningsområde. Den genomför delar av artikel 4.3 och behandlas i avsnitt 9.1.7.
Vid behandling för vetenskapliga, statistiska eller historiska ändamål ska lagens övriga bestämmelser tillämpas på samma sätt som vid annan behandling enligt lagen. De uppgifter som behandlas ska vara adekvata och relevanta och inte för omfattande i förhållande till det vetenskapliga, statistiska eller historiska ändamålet. På samma sätt som man vid behandling för andra ändamål inom lagens tillämpningsområde måste se till att uppgifterna inte behandlas under längre tid än vad som behövs för de ändamålen, får uppgifter som behandlas för statistiska, vetenskapliga eller historiska ändamål inte behandlas under längre tid än vad som behövs för dessa ändamål.
Paragrafen reglerar bara behöriga myndigheters behandling för statistiska, vetenskapliga eller historiska ändamål och gäller inte för exempelvis Brottsförebyggande rådets statistikverksamhet.
Grundläggande krav på behandlingen av personuppgifter
Laglig och korrekt behandling
6 §
I paragrafen föreskrivs att personuppgifter alltid ska behandlas författningsenligt och på ett korrekt sätt. Paragrafen genomför artikel 4.1 a och behandlas i avsnitt 9.2.1.
Författningskommentar SOU 2017:29
686
När det är tillåtet att behandla personuppgifter och vilka krav som ställs på behandlingen framgår inte bara av denna lag och föreskrifter som har meddelats med stöd av den, utan också av de behöriga myndigheternas registerförfattningar och andra författningar som reglerar särskilda register eller särskilda samarbeten inom lagens tillämpningsområde. Även regler om personuppgiftsbehandling i andra författningar kan vara tillämpliga, t.ex. 26 och 27 §§ lagen (1988:688) om kontaktförbud. Regler av nu aktuellt slag har betydelse både för om behandlingen är författningsenlig och vad som är ett korrekt sätt att behandla personuppgifter. I det ligger bl.a. kravet på att det ska göras en kontinuerlig bedömning av att personuppgiftsbehandlingen uppfyller alla formella krav.
Vilka personuppgifter som får behandlas, och som därmed gör behandlingen författningsenlig, styrs av andra regler. Det kan framgå av t.ex. rättegångsbalken, häkteslagen eller lagar om straffprocessuella tvångsmedel vilka personuppgifter som ska behandlas och därigenom indirekt när behandlingen är författningsenlig. Kraven på dokumentation i protokoll över polisiära ingripanden eller straffprocessuella tvångsmedel, förundersökningsprotokoll, beslut och domar är exempel på det.
Vad som är ett korrekt sätt för behandling styrs emellertid inte bara av författningsregler och den praxis som utbildas kring dem. Tillsynsmyndighetens allmänna råd och uttalanden i fråga om personuppgiftsbehandling har också betydelse, liksom myndigheternas interna regler.
Otillåten behandling av personuppgifter kan i vissa fall vara straffbar enligt bestämmelser i brottsbalken, bl.a. regeln om dataintrång i 4 kap. 9 c §. Det kan då röra sig om externa angrepp eller om att någon som har tillgång till ett it-system överskrider sina befogenheter.
Personuppgifters kvalitet
7 §
Paragrafen reglerar hur personuppgifter som behandlas ska vara beskaffade. Den genomför delar av artikel 4.1 d och behandlas i avsnitt 9.2.2.
SOU 2017:29 Författningskommentar
687
I första stycket föreskrivs att de personuppgifter som behandlas ska vara korrekta och, om det är nödvändigt, uppdaterade.
En personuppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är får man söka ledning i ändamålen med behandlingen. Det är ändamålen i det enskilda fallet som avses, exempelvis utredningen av en misshandel eller rättpsykiatrisk undersökning av en viss person. Inom lagens tillämpningsområde måste frågan om en personuppgift är korrekt inte bara vägas mot ändamålen med behandlingen utan även ses mot bakgrund av vad uppgiften rör, när den lämnas och vem som lämnar den. För att kunna avgöra om personuppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på personliga bedömningar. Kravet på att personuppgifter ska vara korrekta innebär inte något hinder mot att samla in exempelvis osäkra underrättelseuppgifter, under förutsättning att personuppgifterna är relevanta för arbetet (se 8 §) och att det framgår att det är osäkert om uppgiften är riktig (se exempelvis 3 kap. 4 § andra stycket polisdatalagen [2010:361]). Att personuppgifter som grundar sig på fakta i så stor utsträckning som möjligt ska skiljas från uppgifter som grundar sig på personliga bedömningar framgår av 10 §. Det krav som kan ställas när det gäller personuppgifter som behandlas vid utsagor (t.ex. förhör med misstänkta) måste inskränkas till att utsagorna återges på ett korrekt sätt, dvs. så som de har lämnats och att dokumentationen av dem följer gällande regler.
De personuppgifter som behandlas behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att de är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen. Exempelvis kan uppgifter om telefonnummer eller andra kontaktuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. När ärendet har avslutats eller arkiverats är det dock inte nödvändigt att uppdatera kontaktuppgifter.
I andra stycket föreskrivs att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Motsvarande bestämmelser finns i exempelvis 2 kap. 10 § tredje stycket polisdatalagen och 2 kap. 8 § tredje stycket åklagardatalagen (2015:433). Syftet med bestämmelsen är att förhindra att personers utseende beskrivs i ordalag som kan vara kränkande för individen. Exempel på signalementsbeteckningar som anses
Författningskommentar SOU 2017:29
688
acceptabla finns bl.a. i Rikspolisstyrelsens föreskrifter och allmänna råd om fingeravtryck och annan signalementsupptagning (RPSFS 2005:12, FAP 473–1).
Utformningen av bestämmelsen innebär att en behörig myndighet alltid är oförhindrad att, när den får ett tips från allmänheten om en person som kan misstänkas för brott, göra de anteckningar som är nödvändiga för att underlätta identifieringen av personen, t.ex. anteckningar om fysiska kännetecken. Anteckningarna måste dock utformas på ett objektivt sätt. I anslutning till dessa anteckningar får även sådana känsliga personuppgifter som avses i 11 § första stycket antecknas, om det är absolut nödvändigt för det arbete som tipset bör föranleda.
8 §
Paragrafen reglerar omfattningen av behandlingen av personuppgifter. Den genomför artikel 4.1 c och behandlas i avsnitt 9.2.2.
Av paragrafen framgår att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att fler personuppgifter inte får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är ändamålen i det enskilda fallet som avses, exempelvis utredningen av en stöld eller ett ärende om förordnande av offentlig försvarare. Att personuppgifterna ska vara adekvata och relevanta innebär att ovidkommande uppgifter inte får behandlas. En prövning av om en personuppgift är nödvändig för behandlingen ska göras kontinuerligt av den behöriga myndigheten, inte bara när uppgiften registreras eller på annat sätt samlas in. Även vid en senare behandling ska personuppgiften behövas för just den behandlingen, annars är kravet på adekvans och relevans inte uppfyllt.
Förutom att uppgifterna ska vara adekvata och relevanta får de inte heller vara fler än nödvändigt. Det understryker kravet på att en fortlöpande bedömning görs.
Vid all behandling måste det alltså prövas om det går att utelämna personuppgifter, eller i vart fall att endast använda uppgifter som indirekt går att hänföra till en viss person. Om fullständig avidentifiering är ett fullgott alternativ till att använda direkta eller
SOU 2017:29 Författningskommentar
689
indirekta personuppgifter är förutsättningarna för att behandla personuppgifterna inte uppfyllda.
Åtskillnad mellan olika slag av personuppgifter
9 §
I paragrafen ställs krav på att personuppgifter som rör olika kategorier av registrerade så långt det är möjligt ska särskiljas. Paragrafen genomför artikel 6. Den behandlas i avsnitt 9.2.3.
I paragrafen anges personer som är misstänkta för brott, dömda för brott, brottsoffer och andra som berörs av ett brott som exempel på kategorier av registrerade. Andra som berörs av ett brott kan vara t.ex. vittnen eller vårdnadshavare för målsägande, misstänkta eller vittnen. Det är särskilt viktigt att det framgår om någon är misstänkt för brott eller inte. Det gäller oavsett misstankegrad.
Om det framgår av sammanhanget eller på annat sätt vilken kategori en person tillhör behöver någon särskild upplysning inte lämnas. Om en person har hörts under en förundersökning eller under en brottmålsrättegång och det av sammanhanget framgår att han eller hon har hörts som t.ex. målsägande, tilltalad eller vittne, behöver uppgifterna inte förses med någon tilläggsupplysning.
Kravet på att olika kategorier av uppgifter ska särskiljas innebär att det krävs rutiner hos behöriga myndigheter för att följa upp om en tidigare brottsmisstanke avskrivs i sin helhet, exempelvis i samband med att en förundersökning läggs ned eller om rätten meddelar en frikännande dom.
Varje enskild uppgift måste inte förses med en särskild upplysning, vilket inte heller torde vara praktiskt möjligt. Vid behandling av uppgifter i bild- eller ljudupptagningar eller i löpande text framgår det som regel av sammanhanget till vilka personkategorier olika personer hör. Ibland kan dock en sådan upptagning eller text behöva förses med en upplysning som förtydligar det.
Kravet på att olika uppgifter ska särskiljas gäller så långt det är möjligt. Om en misstänkt fotograferas i stadsmiljö förekommer ofta andra personer på samma fotografi. De kan vara helt okända och då kan det naturligtvis inte krävas att de kategoriseras på något sätt. Det är tillräckligt att det i stället anges vem som är den misstänkte.
Författningskommentar SOU 2017:29
690
10 §
I paragrafen ställs krav på att personuppgifter som som grundar sig på fakta så långt det är möjligt ska skiljas från personuppgifter som grundar sig på personliga bedömningar. Paragrafen genomför artikel 7.1. Den behandlas i avsnitt 9.2.3.
Om det framgår av sammanhanget eller på annat sätt om uppgiften grundar sig på fakta eller personliga bedömningar behöver någon särskild upplysning inte lämnas. Det som uttalas vid ett förhör eller vittnesmål kan grunda sig på bedömningar eller vara faktabaserat. Det kan då utläsas av sammanhanget om det är fråga om fakta eller bedömningar. Detsamma gäller innehållet i intyg och andra liknande handlingar. Kravet gäller också uppgifter som finns i promemorior och analyser. Tas uppgifterna ur sitt sammanhang måste de förses med en särskild upplysning.
Kravet på att personuppgifter som grundar sig på fakta ska skiljas från personuppgifter som grundar sig på personliga bedömningar gäller så långt det är möjligt. Det kan t.ex. vara omöjligt att värdera vad som är fakta respektive bedömningar i en anmälan om brott som har skickats med post till Polismyndigheten. Det räcker då att det framgår från vem personuppgifterna kommer. Det är särskilt viktigt att det kan utläsas om den som lämnar en uppgift själv har fått den av någon annan person och i så fall under vilka omständigheter.
Känsliga personuppgifter
11 §
Paragrafen reglerar tillsammans med 12–14 §§ i vilken utsträckning känsliga personuppgifter får behandlas. Att uppgifterna betecknas som känsliga personuppgifter framgår av 13 §. Paragrafen genomför delar av artikel 10 och behandlas i avsnitt 9.2.4.
Enligt första stycket får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte behandlas. Det innebär att det inte är tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda på den grunden att de utifrån etniskt ursprung, politiska åsikter
SOU 2017:29 Författningskommentar
691
eller något annat i paragrafen angivet förhållande kan hänföras till en viss kategori av människor.
En uppgift om utseende är normalt inte en känslig personuppgift och den får alltså behandlas, med den begränsning som följer av 7 § andra stycket. Om en sådan uppgift samtidigt innebär uppgift om etniskt ursprung omfattas den dock av förbudet. Bestämmelsen hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung (se prop. 2009/10:85 s. 325). Uppgifter om att en viss person kommer från en viss världsdel eller ett visst land faller också som regel utanför förbudet mot behandling av känsliga personuppgifter. Skulle en sådan personuppgift i det enskilda fallet t.ex. avslöja etniskt ursprung är dock förbudet tillämpligt.
Avbildningar av personer, t.ex. fotografier, kan avslöja många detaljer. Man kan t.ex. se hudfärg eller om personen bär klädsel eller andra kännetecken som är typiska för utövare av en viss religion. Även fysiska handikapp kan avslöjas av bilder och det kan framgå att en person kan vara sjuk eller skadad. Bilder på människor i mera normala sammanhang torde inte avslöja känsliga personuppgifter, medan bilder på människor som utövar religiösa, politiska eller sexuella aktiviteter som regel utgör känsliga personuppgifter (jfr Öhman m.fl. s. 288).
I andra stycket görs det undantag från huvudregeln att känsliga personuppgifter inte får behandlas. Uppgifter om en person som behandlas på annan grund får kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att om andra uppgifter om en person samlas in i samband med t.ex. en förundersökning får de kompletteras med uppgifter om religiös övertygelse eller etniskt ursprung om det är av stor betydelse för utredningen, exempelvis för att utreda hets mot folkgrupp. Under utredning av sexualbrott kan det ibland vara befogat att anteckna uppgifter om den misstänktes sexualliv. Med hänsyn till den restriktivitet som ligger i uttrycket ”absolut nödvändigt” måste dock behovet av att göra sådana kompletteringar prövas noga i det enskilda fallet.
Känsliga personuppgifter kan också förekomma i behöriga myndigheters verksamhet på grund av att någon under ett förhör har lämnat en sådan uppgift eller i en inlaga nämnt uppgiften. Det kan vara fråga om helt grundlösa påståenden. Eftersom myndigheterna
Författningskommentar SOU 2017:29
692
inte kan hindra någon från att yttra sig vare sig muntligen eller skriftligen kan känsliga personuppgifter på detta sätt komma att ingå i t.ex. en förundersökning eller en dom. Om det nedtecknade förhöret eller den inkomna handlingen ingår i förundersökningen eller uppgiften antecknas i domen omfattas behandlingen av den känsliga personuppgiften även i dessa fall av undantaget i detta stycke.
12 §
Paragrafen reglerar tillsammans med 11, 13 och 14 §§ i vilken utsträckning två särskilda typer av känsliga personuppgifter får behandlas. Paragrafen genomför delar av artikel 10 och behandlas i avsnitt 9.2.4.
Enligt paragrafen får biometriska uppgifter som används för att identifiera en person och genetiska uppgifter endast behandlas om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålen med behandlingen. I t.ex. 4 kap. polisdatalagen (2010:361) finns sådana särskilda föreskrifter som avses i förevarande paragraf. I kommentaren till 11 § ges exempel på vad som avses med kravet på att behandlingen är absolut nödvändig. I 1 kap. 6 § definieras vad som avses med biometriska respektive genetiska uppgifter.
13 §
Paragrafen reglerar tillsammans med 11, 12 och 14 §§ i vilken utsträckning känsliga personuppgifter får behandlas. Paragrafen behandlas i avsnitt 9.2.4.
I paragrafen klargörs att sådana personuppgifter som avses i 11 och 12 §§ betecknas som känsliga personuppgifter i lagen. Vidare tydliggörs att sådana uppgifter alltid får behandlas i de fall som avses i 2 §, dvs. om det är nödvändigt för diarieföring eller, i fråga om uppgifter i en anmälan, ansökan eller liknande, om det är nödvändigt för myndighetens handläggning. Det innebär bl.a. att det är möjligt för en behörig myndighet att ta emot och besvara anmälningar, ansökningar och liknande skrifter som lämnas i elektronisk form även om de innehåller känsliga personuppgifter. Regleringen innebär också att sådana uppgifter får arkiveras om det är nödvän-
SOU 2017:29 Författningskommentar
693
digt. Som framgår av kommentaren till 2 § är den behandling som är tillåten begränsad.
14 §
Paragrafen reglerar användningen av känsliga personuppgifter vid sökning. Frågan behandlas i avsnitt 9.2.4. Av 11 och 12 §§ framgår vilka personuppgifter som är känsliga personuppgifter.
Enligt paragrafen är det förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har viss politisk eller religiös åskådning eller sexuell läggning. Uppgifter som beskriver en persons utseende, t.ex. uppgifter om längd, hudfärg eller tatueringar, får användas som sökbegrepp, så länge syftet med sökningen inte är att göra en sammanställning av en viss grupp av personer grundat på exempelvis etniskt ursprung eller politisk åskådning.
Även tillåtna sökningar kan resultera i ett personurval grundat på känsliga personuppgifter. I vilken utsträckning det sedan är tilllåtet att behandla någon eller några av personuppgifterna i sammanställningen får prövas mot huvudregeln för behandling av känsliga personuppgifter i 11 §.
Åtgärder för att säkerställa personuppgifternas kvalitet
15 §
I paragrafen föreskrivs vad den personuppgiftsansvarige ska göra för att förhindra att felaktiga eller ofullständiga personuppgifter behandlas, lämnas ut eller görs tillgängliga. Den genomför delar av artiklarna 4.1 d, 7.2 och 7.3 och behandlas i avsnitt 9.2.6. I 4 kap. 9 § regleras vad som gäller när den registrerade begär att personuppgifter ska rättas eller kompletteras.
I första stycket föreskrivs att alla rimliga åtgärder ska vidtas för att personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen utan onödigt dröjsmål ska rättas och för att förhindra att sådana uppgifter lämnas ut eller görs tillgängliga. Vad som avses med att uppgifter är korrekta framgår av
Författningskommentar SOU 2017:29
694
kommentaren till 7 §. Den personuppgiftsansvarige ska också utan onödigt dröjsmål uppdatera uppgifter som är inaktuella om det är nödvändigt. Bestämmelsen innebär att den personuppgiftsansvarige självmant måste vidta åtgärder för att säkerställa personuppgifternas kvalitet.
Vad som utgör rimliga åtgärder skiljer sig åt beroende på om personuppgifterna är felaktiga, ofullständiga eller inaktuella, eftersom personuppgifter alltid ska vara korrekta men endast behöver vara uppdaterade om det är nödvändigt. Vilka åtgärder som är rimliga att vidta får bedömas mot bakgrund av omständigheterna i varje enskilt fall, som t.ex. ändamålet med behandlingen, vilka personuppgifter som behandlas och vilka konsekvenser en felaktig eller ofullständig uppgift kan få för den enskilde (se Öman m.fl. s. 209).
När personuppgifter lämnas ut till en behörig myndighet ska mottagaren enligt andra stycket så långt det är möjligt ges information som gör det möjligt att bedöma i vilken utsträckning uppgifterna är korrekta, fullständiga, uppdaterade och tillförlitliga. Det gör att mottagaren kan fullgöra sin skyldighet att kontrollera kvaliteten på personuppgifter som kommer från andra behöriga myndigheter. Informationen kan exempelvis ange varifrån personuppgifterna kommer, vad som är känt om uppgiftslämnaren, när och för vilket ändamål personuppgifterna hämtades in och om de grundar sig på fakta eller personliga bedömningar. Andra exempel på information som kan vara relevant för mottagaren är om personuppgiften grundas på misstanke om brott, saken är föremål för domstolsprövning eller avser en lagakraftvunnen dom. Mottagare definieras i 1 kap. 6 §.
16 §
I paragrafen föreskrivs vilka åtgärder som ska vidtas om personuppgifter behandlas på ett otillåtet sätt. Den genomför delar av artiklarna 4.1 d, 7.2 och 7.3 och behandlas i avsnitt 9.2.6. I 4 kap. 10 § regleras vad som gäller när den registrerade begär att motsvarande åtgärder ska vidtas.
I första stycket föreskrivs att alla rimliga åtgärder ska vidtas för att personuppgifter som behandlas i strid med 1, 2, 3 § första
SOU 2017:29 Författningskommentar
695
stycket, 4–6, 8, 11, 12, 14 eller 17 § första stycket utan onödigt dröjsmål ska raderas. Den personuppgiftsansvarige ska också se till att sådana uppgifter inte lämnas ut eller görs tillgängliga. Det gäller också när radering krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. När radering kan komma i fråga, förutsättningarna för det och vad som kan vara en rättslig förpliktelse utvecklas i kommentaren till 4 kap. 10 §.
I stället för att radera personuppgifter som behandlas på ett otillåtet sätt ska den personuppgiftsansvarige enligt andra stycket utan onödigt dröjsmål begränsa behandlingen av uppgifterna om de behöver sparas som bevisning. Vad det innebär utvecklas i kommentaren till 4 kap. 10 §.
Längsta tid som personuppgifter får behandlas
17 §
Paragrafen reglerar hur länge behöriga myndigheter får behandla personuppgifter för andra ändamål än arkivändamål. Där framgår också hur bestämmelsen förhåller sig till arkivlagstiftningen. Paragrafen genomför artikel 4.1 e och behandlas i avsnitt 9.3.2.
I första stycket föreskrivs att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det som avses är ändamålet i det enskilda fallet. Ibland behandlas personuppgifter för flera olika ändamål. Att det inte längre finns behov av att behandla personuppgiften för ett visst ändamål medför inte att behandlingen av den måste upphöra för alla andra ändamål samtidigt. Å andra sidan innebär det förhållandet att personuppgiften fortfarande behövs för ett visst ändamål inte att den får fortsätta att behandlas för alla ändamål lika länge. Finns det inte längre behov av att behandla uppgifterna för något av ändamålen får de bara behandlas för arkivändamål. Behovet av att fortsätta att behandla uppgifterna måste därför prövas kontinuerligt. Om det är tillräckligt att behandla avidentifierade uppgifter är det inte längre tillåtet att behandla personuppgifterna.
Av andra stycket framgår att bestämmelsen om längsta tid för behandling inte hindrar att personuppgifterna arkiveras av den behöriga myndigheten eller att arkivmaterial lämnas till en arkivmyndighet.
Författningskommentar SOU 2017:29
696
18 §
Paragrafen reglerar vad som gäller om det inte är föreskrivet hur länge behöriga myndigheter får behandla personuppgifter för andra ändamål än arkivändamål. Paragrafen genomför artikel 5 och behandlas i avsnitt 9.3.2.
Enligt paragrafen ska den personuppgiftsansvarige en gång om året se över behovet av att behandla personuppgifter. Det gäller dock bara om det inte finns någon författningsbestämmelse som reglerar när uppgifterna inte längre får behandlas för annat än arkivändamål. Sådana bestämmelser finns i t.ex. 3 kap.9–14 §§ och 4 kap.14–16 §§polisdatalagen (2010:361) och 7 § lagen (2001:617) om behandling av personuppgifter inom kriminalvården. Bestämmelser om hur länge personuppgifter får behandlas finns inte bara i lag eller förordning utan kan även finnas i myndighetsföreskrifter som har stöd i bemyndiganden.
Automatiserade beslut
19 §
Paragrafen reglerar automatiserade beslut. Paragrafen genomför delar av artikel 11 och behandlas i avsnitt 9.4.
I första stycket föreskrivs att den som berörs av ett beslut som enbart grundas på automatiserad behandling av personuppgifter som är avsedda att bedöma hans eller hennes egenskaper har rätt att få beslutet omprövat av någon person. Rätten till information regleras i 4 kap. 4 §.
I andra stycket förbjuds automatiserade beslut som enbart grundas på känsliga personuppgifter. Vilka uppgifter som är känsliga personuppgifter framgår av kommentarerna till 11 och 12 §§.
Villkor om användningsbegränsning
20 §
Paragrafen reglerar möjligheten att ställa upp villkor för behandlingen av personuppgifter. Paragrafen genomför artikel 9.4 och behandlas i avsnitt 9.5. Om det inte är särskilt föreskrivet får sådana
SOU 2017:29 Författningskommentar
697
villkor inte ställas upp i förhållande till en mottagare i en annan medlemsstat eller ett EU-organ, om det inte i motsvarande fall får ställas upp samma typ av villkor i förhållande till en mottagare i Sverige. Paragrafen är bara tillämplig vid utlämnande för ändamål inom lagens tillämpningsområde.
Behandling för ändamål utanför denna lags tillämpningsområde
21 §
Paragrafen upplyser om vad som gäller när personuppgifter som behandlas med stöd av lagen ska behandlas för ett ändamål som ligger utanför lagens tillämpningsområde. Paragrafen genomför artikel 9.1 och behandlas i avsnitt 9.6.
I paragrafen upplyses om att det av artikel 2.1 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) framgår att förordningen ska tillämpas när en behörig myndighet behandlar personuppgifter för ändamål som ligger utanför lagens tillämpningsområde. Exempel på sådant utlämnande är när en behörig myndighet lämnar ut personuppgifter med stöd av 2 kap. tryckfrihetsförordningen.
Personuppgifter som en behörig myndighet behandlar enligt lagen kan också behöva lämnas till en enhet inom myndigheten som bedriver verksamhet utanför lagens tillämpningsområde. Personuppgifter som Polismyndigheten behandlar i sin brottsbekämpande verksamhet kan t.ex. behövas för att bedöma en persons lämplighet att få vapenlicens. Ett annat exempel är att uppgifter i Kustbevakningens brottsutredande verksamhet överlämnas till den enhet som hanterar frågor om vattenföroreningsavgift på grund av oljeutsläpp. Vid behandling för att lämna ut personuppgifter för sådana ändamål ska dataskyddsförordningen tillämpas i stället för denna lag. Prövningen av om behandlingen är tillåten ska då enbart göras med utgångspunkt i dataskyddsförordningens bestämmelser.
Författningskommentar SOU 2017:29
698
Föreskrifter
22 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om underrättelseskyldighet och om åtgärder för att säkerställa att personuppgifter inte behandlas längre än nödvändigt.
3 kap. Personuppgiftsansvarigas skyldigheter Personuppgiftsansvarets omfattning
1 §
Paragrafen reglerar personuppgiftsansvarets omfattning. Personuppgiftsansvarig definieras i 1 kap. 6 §. Paragrafen, som genomför artikel 4.4, behandlas i avsnitt 10.1.2.
Paragrafen slår fast det helhetsansvar som den personuppgiftsansvarige har och tydliggör hur långt ansvaret sträcker sig när det gäller behandlingen av personuppgifter. Den närmare innebörden av personuppgiftsansvaret framgår av lagens övriga bestämmelser och föreskrifter som meddelas i anslutning till den. Vem som är personuppgiftsansvarig kan framgå av andra författningar.
Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under den personuppgiftsansvariges ledning. Med det avses all personuppgiftsbehandling vid den behöriga myndigheten. Det gäller både behandling som utförs genom en aktiv handling, t.ex. insamling eller sökning, och passiv behandling, t.ex. lagring. Ansvaret omfattar däremot inte sådan behandling som den behöriga myndigheten eventuellt utför som personuppgiftsbiträde. Genom att ansvaret knyts till behandling som utförs under den personuppgiftsansvariges ledning tydliggörs att det inte är den personuppgiftsansvarige, dvs. den behöriga myndigheten, som utför personuppgiftsbehandlingen, utan de anställda.
Den personuppgiftsansvarige är också ansvarig för all behandling av personuppgifter som utförs på dennes vägnar. Med det avses främst sådan behandling som den personuppgiftsansvarige har uppdragit åt ett personuppgiftsbiträde att utföra. Den personuppgiftsansvarige kan uppdra åt ett biträde att utföra viss behandling av
SOU 2017:29 Författningskommentar
699
personuppgifter, men kan inte genom det avsäga sig personuppgiftsansvaret. Personuppgiftsansvaret sträcker sig då utanför den personuppgiftsansvariges egen verksamhet. Personuppgiftsbiträdens behandling ska styras av skriftliga avtal eller andra skriftliga överenskommelser och får endast utföras enligt instruktioner från den personuppgiftsansvarige, se kommentarerna till 18 och 19 §§.
Två eller flera personuppgiftsansvariga kan behandla samma personuppgifter samtidigt för olika ändamål, t.ex. om de har direktåtkomst till personuppgifter i samma system. Varje personuppgiftsansvarig är då ansvarig för den behandling som utförs under dennes ledning eller på dennes vägnar.
Åtgärder för att säkerställa författningsenlig behandling
Tekniska och organisatoriska åtgärder
2 §
Paragrafen genomför artikel 19.1 och reglerar, tillsammans med 3– 5 §§, de krav som ställs på personuppgiftsansvariga i fråga om tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att registrerades rättigheter skyddas. Tekniska och organisatoriska åtgärder för att skydda personuppgifterna regleras i 8 §. Paragrafen behandlas i avsnitt 10.2.1.
Organisatoriska åtgärder som avses i paragrafen är bl.a. att anta interna strategier för dataskydd, att informera och utbilda personalen och att säkerställa en tydlig ansvarsfördelning. Åtgärder som vidtas för att visa att behandlingen är författningsenlig kan t.ex. vara dokumentation av it-system, behandlingar och vidtagna åtgärder och teknisk spårbarhet genom loggning och logguppföljning.
Vilka åtgärder som bör vidtas får avgöras efter en bedömning i enskilda fall. Vid den bedömningen har det betydelse bl.a. vilka personuppgifter som ska behandlas, mängden uppgifter och hur integritetskänsliga de är. Även grunden för behandlingen och riskerna med den ska beaktas. Mer långtgående åtgärder kan behövas vid behandling som kan medföra särskilda risker för integritetsintrång eller vid omfattande behandling av en stor mängd personuppgifter.
Författningskommentar SOU 2017:29
700
Skyldigheten att vidta lämpliga åtgärder är inte knuten till en viss tidpunkt, utan något som den personuppgiftsansvarige ständigt ska ha för ögonen. Åtgärder som har vidtagits måste därför kontinuerligt revideras och vid behov förändras.
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.
3 §
Paragrafen, som genomför artikel 20.1, reglerar skyldigheten att beakta principen om inbyggt dataskydd vid behandling av personuppgifter. Den behandlas i avsnitt 10.2.1.
Paragrafen innebär att den personuppgiftsansvarige både när det bestäms att en viss typ av personuppgifter ska behandlas och när behandlingen utförs, ska vidta åtgärder som medför att dataskyddsprinciper säkerställs och skyddsåtgärder integreras i behandlingen. Skyldigheten är tätt förknippad med de skyldigheter som följer av 2, 4 och 8 §§. Paragrafen kan ses som en precisering av den övergripande skyldigheten i 2 §.
Exempel på grundläggande dataskyddsprinciper som bör säkerställas är uppgiftsminimering, dvs. att så få personuppgifter som möjligt samlas in och hanteras, och att de inte behandlas längre än vad som behövs och inte används på ett otillåtet sätt. Principerna kan implementeras i verksamheten genom åtgärder som exempelvis begränsar behandlingen till personuppgifter som endast indirekt pekar ut en individ eller till personuppgifter som är mindre integritetskänsliga. Att använda pseudonymisering, vilket innebär att uppgifterna inte går att koppla till en enskild person utan ytterligare information som hålls avskild, är ett annat exempel. Om det i ett ärendehanteringssystem är möjligt att behandla personuppgifterna utöver vad som är tillåtet med hänsyn till ändamålet bör funktionerna begränsas och spärras innan systemet tas i drift. Funktioner för att avskilja personuppgifter automatiskt är också exempel på inbyggt dataskydd. Andra åtgärder som kan vidtas för att implementera dataskyddsprinciper är behörighetsstyrning och kryptering av information. Sådana åtgärder syftar till att begränsa åtkomsten till personuppgifterna så att endast de som behöver uppgifterna för att kunna utföra sina arbetsuppgifter har tillgång till dem.
SOU 2017:29 Författningskommentar
701
Integrering av skyddsåtgärder kan avse funktioner för autentisering, t.ex. lösenord, möjlighet att använda kryptering vid kommunikation över internet och på mobila enheter, funktioner för loggning och säkerhetskopiering.
Vilka åtgärder som bör vidtas får avgöras i varje enskilt fall. Vilka faktorer som kan vara av betydelse utvecklas i kommentaren till 2 §. De tekniska möjligheterna och kostnaderna för genomförandet ska också vägas in.
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.
4 §
Paragrafen, som genomför artikel 20.2, fastställer den personuppgiftsansvariges skyldighet att i automatiserade behandlingssystem införa dataskydd som standard. Den behandlas i avsnitt 10.2.1.
Dataskydd som standard innebär att systemet automatiskt styr användaren mot att arbeta integritetssäkert. Grundinställningarna ska vara satta så att inte mer information än nödvändigt samlas in eller visas. Skyldigheten att ha dataskydd som standard tar sikte på mängden insamlade personuppgifter, behandlingens omfattning, hur länge personuppgifterna behandlas och hur tillgängliga de är. Det innebär att den personuppgiftsansvarige ska se till att det i automatiserade behandlingssystem endast är möjligt att samla in de typer av personuppgifter som behövs, att personuppgifterna endast kan behandlas på ett sådant sätt och så länge som det är nödvändigt och att uppgifterna endast är tillgängliga för de personer som behöver dem i sitt arbete. Paragrafen kan i likhet med 3 § ses som en precisering av den övergripande skyldigheten i 2 §.
Med automatiserade behandlingssystem avses särskilt för verksamheten utformade eller anpassade behandlingssystem där personuppgifter behandlas mer eller mindre strukturerat, t.ex. verksamhetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser. För att dataskydd som standard ska kunna införas i automatiserade behandlingssystem krävs det att den personuppgiftsansvarige har tekniska möjligheter och rätt att vidta sådana åtgärder i systemet. Standardprogram som Word, Outlook och Excel är inte att anse som automatiserade
Författningskommentar SOU 2017:29
702
behandlingssystem i paragrafens mening och omfattas därför inte av kraven.
Något utrymme för lämplighetsbedömning i det enskilda fallet finns inte. Den personuppgiftsansvarige är skyldig att införa dataskydd som standard oavsett vilken behandling det rör sig om eller vad kostnaderna uppgår till.
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.
5 §
Paragrafen, som genomför artikel 25.1, reglerar den personuppgiftsansvariges skyldighet att säkerställa att det i automatiserade behandlingssystem förs loggar över vissa typer av behandlingar. Paragrafen behandlas i avsnitt 10.2.2.
En logg är en behandlingshistorik som sparas under en viss tid. Det är en teknisk funktion i systemet som ska fungera automatiskt och som inte ska gå att ändra eller påverka på annat sätt. En logg bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Syftet med loggning är dels att verka förebyggande, dels att ge den personuppgiftsansvarige möjlighet att kontrollera användningen av systemen och att upptäcka felaktig eller obehörig användning av personuppgifterna. Loggningen bör inte utformas så att den medför onödiga intrång i användarnas integritet.
Krav på loggning vid behandling av personuppgifter följer indirekt av de generella kraven på lämpliga tekniska och organisatoriska åtgärder i både 2 och 8 §§. Förevarande paragraf utgör därmed ett mer preciserat krav på loggning i vissa typer av system. Vad som avses med automatiserade behandlingssystem framgår av kommentaren till 4 §. Standardprogram som Word, Outlook och Excel är i detta sammanhang inte att anse som automatiserade behandlingssystem och omfattas därför inte av kravet på loggning i paragrafen. Inte heller lagringsytor som t.ex. usb-minnen och anställdas personliga mappar på den egna datorn omfattas. Krav på loggning i sådan programvara och på sådana lagringsytor följer dock, i den mån det är tekniskt möjligt, av 2 och 8 §§.
SOU 2017:29 Författningskommentar
703
Paragrafen innebär att den personuppgiftsansvarige ska säkerställa att de automatiserade behandlingssystem som används möjliggör loggning i den utsträckning som krävs och att informationen faktiskt loggas. Av 2 § följer bl.a. krav på logguppföljning. Logguppföljning ska göras systematiskt och återkommande och vara såväl förebyggande som reaktiv. Den personuppgiftsansvarige ska se till att det finns rutiner för logguppföljning.
Paragrafen gäller enligt 20 § även för personuppgiftsbiträden. I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.
Tillgången till personuppgifter
6 §
Paragrafen reglerar den interna tillgången till personuppgifter för dem som arbetar under den personuppgiftsansvariges ledning. Den behandlas i avsnitt 10.2.3.
Paragrafen innebär att den personuppgiftsansvarige är skyldig att se till att anställda och andra som deltar i arbetet hos den personuppgiftsansvarige, t.ex. praktikanter eller inhyrd personal, bara ges tillgång till de personuppgifter som krävs för att de ska kunna fullgöra sina arbetsuppgifter. I de behöriga myndigheternas verksamheter behandlas som regel en betydande mängd personuppgifter. De är ofta av integritetskänsligt slag och bör inte spridas till någon som inte är behörig att ta del av uppgifterna. Kravet på behörighetsbegränsning syftar till att minska den interna exponeringen och spridningen av personuppgifterna. Hur det bör göras får bedömas med utgångspunkt i förutsättningarna och den behöriga myndighetens behov. Faktorer som myndighetens och it-systemens storlek och om personuppgifterna är sekretessreglerade eller annars integritetskänsliga ska beaktas.
Paragrafen reglerar inte bara tillgången till den personuppgiftsansvariges egen information. Vid direktåtkomst är det den mottagande myndigheten som ansvarar för att den egna personalen inte ges tillgång till fler personuppgifter i det it-system som åtkomsten avser än vad arbetsuppgifterna motiverar.
Paragrafen gäller enligt 20 § även för personuppgiftsbiträden.
Författningskommentar SOU 2017:29
704
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses här.
Konsekvensbedömning och förhandssamråd
7 §
Paragrafen, som genomför artiklarna 27.1 och 28.1, slår fast den personuppgiftsansvariges skyldighet att inför vissa behandlingar göra en konsekvensbedömning och samråda med tillsynsmyndigheten. Den behandlas i avsnitt 10.2.4 och 10.2.5.
Av första stycket framgår att en konsekvensbedömning ska göras om det kan antas att en viss typ av ny behandling kommer att medföra särskild risk för intrång i registrerades personliga integritet. En konsekvensbedömning ska också göras om betydande förändringar av redan pågående behandlingar kan antas leda till sådan risk. Vid riskbedömningen bör bl.a. användningen av ny teknik och behandlingens art, omfattning, sammanhang och ändamål beaktas. Exempel på riskfyllda behandlingar som bör föranleda en konsekvensbedömning är inrättandet av storskaliga register som innehåller känsliga personuppgifter eller vissa former av profilering. En konsekvensbedömning ska omfatta relevanta system och processer för behandlingen men inte behandlingen i enskilda fall.
Andra stycket reglerar s.k. förhandssamråd. När en konsekvens-
bedömning visar att det finns särskild risk för intrång i registerades personliga integritet eller när typen av behandling innebär särskild risk för intrång, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten. Samrådet ska äga rum i god tid innan behandlingen påbörjas eller betydande förändringar genomförs. Det bör dock inte äga rum så tidigt att det inte finns något konkret förslag på teknisk lösning för tillsynsmyndigheten att ta ställning till. När förhandssamrådet lämpligen bör äga rum får avgöras i varje enskilt fall och förutsätter en dialog med tillsynsmyndigheten. Tillsynsmyndighetens roll vid förhandssamråd regleras i 5 kap. 4 §.
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana åtgärder som avses i paragrafen.
SOU 2017:29 Författningskommentar
705
Säkerheten för personuppgifter
Skyddsåtgärder
8 §
I paragrafen, som genomför artiklarna 4.1 f och 29, regleras den personuppgiftsansvariges skyldighet att skydda de personuppgifter som behandlas. Paragrafen behandlas i avsnitt 10.3.
Enligt paragrafen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Personuppgifterna ska särskilt skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada. Uppräkningen illustrerar vad skyddsåtgärderna ska åstadkomma, men den är inte uttömmande.
Skydd mot obehörig eller otillåten behandling innebär att obehöriga personer ska vägras åtkomst till utrustning som används vid behandling (åtkomstskydd för utrustning), att obehörig läsning, kopiering, ändring eller radering av datamedier ska förhindras (kontroll av datamedier), att obehörig registrering av personuppgifter och obehörig kännedom om, ändring eller radering av lagrade personuppgifter ska förhindras (lagringskontroll) och att obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med uppgiftslämnande eller transport av databärare ska förhindras (transportkontroll). Åtgärder ska också vidtas i syfte att säkerställa att personer som är behöriga att använda ett it-system endast har tillgång till personuppgifter som omfattas av deras behörighet (åtkomstkontroll). Den personuppgiftsansvarige ska också säkerställa att det kan kontrolleras och fastställas till vilka myndigheter eller andra organ personuppgifter har överförts och för vilka myndigheter eller andra organ uppgifterna har gjorts tillgängliga (kommunikationskontroll) och att det i efterhand kan kontrolleras och fastställas vilka personuppgifter som förts in i ett it-system, när det har gjorts och av vem (indatakontroll).
Skydd mot förlust, förstöring eller annan oavsiktlig skada innebär bl.a. att de it-system som används ska kunna återställas vid störningar (återställande), att systemen ska fungera och att funktionsfel rapporteras (driftsäkerhet) och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemen (dataintegritet).
Författningskommentar SOU 2017:29
706
Som exempel på organisatoriska skyddsåtgärder kan nämnas fastställandet av en säkerhetspolicy, kontroller och uppföljning av säkerheten, utbildning i datasäkerhet och information om vikten av att följa gällande säkerhetsrutiner. Rutiner för anmälan och uppföljning av personuppgiftsincidenter utgör också sådana åtgärder, se kommentaren till 9 §.
Vilken skyddsnivå som är lämplig får avgöras från fall till fall. Bedömningen är bl.a. beroende av vilka personuppgifter som behandlas och hur integritetskänsliga de är.
Paragrafen gäller enligt 20 § även för personuppgiftsbiträden. I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådana skyddsåtgärder som avses i paragrafen.
Personuppgiftsincidenter
9 §
Paragrafen, som genomför artikel 30.1, reglerar anmälan av personuppgiftsincidenter till tillsynsmyndigheten. Personuppgiftsincident definieras i 1 kap. 6 §. Paragrafen behandlas i avsnitt 10.4.2.
Bestämmelser om rapportering av it-incidenter finns också i 10 a och 39 §§säkerhetsskyddsförordningen (1996:633) och 20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Anmälan av personuppgiftsincidenter enligt förevarande paragraf kommer som regel att göras parallellt med anmälan av it-incidenter enligt den sistnämnda förordningen.
I första stycket föreskrivs att den personuppgiftsansvarige ska anmäla en inträffad personuppgiftsincident till tillsynsmyndigheten inom 72 timmar. Anmälan ska dock inte göras till tillsynsmyndigheten om incidenten rör nationell säkerhet. Undantag från anmälningsskyldigheten gäller således om incidenten ska anmälas enligt säkerhetsskyddsförordningen.
Någon anmälan behöver enligt andra stycket inte göras om det kan antas att personuppgiftsincidenten inte har medfört eller kommer att medföra någon risk för otillbörligt intrång i registrerades personliga integritet. Undantaget kan exempelvis vara tillämpligt om incidenten påverkat en mycket begränsad mängd personuppgifter som inte är av känslig art eller om skyddet för uppgifterna
SOU 2017:29 Författningskommentar
707
påverkats under så kort tid att obehörig åtkomst inte varit möjlig. Den personuppgiftsansvarige har bevisbördan för att personuppgiftsincidenten inte har medfört eller kan antas medföra någon risk för otillbörligt intrång i registrerades personliga integritet.
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om förfarandet vid en anmälan.
10 §
Paragrafen reglerar den personuppgiftsansvariges skyldighet att underrätta registrerade om en personuppgiftsincident. Underrättelseskyldigheten omfattar bara sådana personuppgiftsincidenter som ska anmälas enligt 9 §. Gäller undantag från anmälningsskyldigheten behöver den registrerade inte underrättas. Informationen kan också begränsas med stöd av 11 §. Paragrafen genomför artiklarna 31.1, 31.3 och 31.5 och behandlas i avsnitt 10.4.3.
I första stycket anges under vilka omständigheter den registrerade ska underrättas. Underrättelseskyldigheten gäller bara om personuppgiftsincidenten medfört eller kan antas medföra särskild risk för otillbörligt intrång i registrerades personliga integritet. Sådan särskild risk kan exempelvis finnas om känsliga personuppgifter har gjorts tillgängliga för ett stort antal obehöriga personer eller om en större mängd personuppgifter i ett specifikt ärende har ändrats eller förstörts. Hur snabbt den personuppgiftsansvarige bör informera den registrerade beror på omständigheterna i det enskilda fallet. En omedelbar skaderisk kan kräva att de registrerade underrättas omgående. Underrättelsen bör lämnas så snart det är möjligt. Personuppgiftsincidentens art och den registrerades intresse av och möjlighet att själv vidta åtgärder för att begränsa skadan bör beaktas. Även den tid det tar för den personuppgiftsansvarige att vidta akuta åtgärder för att begränsa skadan, avhjälpa fel och liknande kan påverka tidpunkten för underrättelsen.
I andra stycket regleras i vilka fall någon underrättelse inte krävs. Den registrerade behöver enligt punkten 1 inte underrättas om den personuppgiftsansvarige har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av personuppgiftsincidenten. Det kan t.ex. vara fallet om personuppgifterna har skyddats genom kryptering eller om pseudonymisering
Författningskommentar SOU 2017:29
708
av personuppgifterna har tillämpats. Ett annat exempel kan vara att säkerhetskopiering gjorts.
Den registrerade behöver enligt punkten 2 inte heller underrättas om den personuppgiftsansvarige har vidtagit åtgärder som säkerställer att det inte längre finns särskild risk för otillbörligt intrång i registrerades personliga integritet. En sådan åtgärd kan vara att tillgången till ett register har begränsats till dess att den personuppgiftsansvarige har kunnat överblicka konsekvenserna av incidenten.
Om det skulle krävas en oproportionerlig ansträngning att underrätta de registrerade behöver enligt punkten 3 underrättelse inte heller lämnas. Det skulle kunna vara fallet om en personuppgiftsincident påverkar ett mycket stort antal registrerade. I det sistnämnda fallet ska i stället allmänheten informeras eller en liknande åtgärd vidtas för att de registrerade ska få nödvändig information. Det framgår av tredje stycket.
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan underrättelse som avses i förevarande paragraf.
11 §
Paragrafen, som genomför artikel 31.5, reglerar i vilka fall information till registrerade enligt 10 § får begränsas. Den behandlas i avsnitt 10.4.3.
Den personuppgiftsansvarige får enligt första stycket underlåta att lämna information om personuppgiftsincidenter i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifterna inte får lämnas ut. Det är främst sekretess och tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) som avses. Vad det innebär utvecklas i kommentaren till 4 kap. 5 §. I första hand bör informationen senareläggas eller begränsas. Bara om det är absolut nödvändigt med hänsyn till de intressen som anges i paragrafen bör den personuppgiftsansvarige helt underlåta att informera den registrerade.
I andra stycket föreskrivs att en personuppgiftsansvarig som inte är en myndighet i motsvarande utsträckning får underlåta att lämna information.
SOU 2017:29 Författningskommentar
709
Samarbete med tillsynsmyndigheten
12 §
I paragrafen, som genomför artikel 26, regleras den personuppgiftsansvariges skyldighet att samarbeta med tillsynsmyndigheten. Paragrafen behandlas i avsnitt 10.2.6. Skyldigheten omfattar enbart samarbete med myndighet som har utsetts till tillsynsmyndighet enligt lagen, se definitionen i 1 kap. 6 §. Skyldighet att bistå tillsynsmyndigheten regleras också i 5 kap. 5 §. Samarbete med andra tillsynsmyndigheter regleras inte i lagen.
Skyldigheten att samarbeta hör samman med tillsynsmyndighetens undersökningsbefogenheter. Skyldigheten innebär inte bara att den personuppgiftsansvarige ska ge tillsynsmyndigheten tillgång till det material, de resurser och den hjälp som krävs för att den ska kunna utöva tillsyn utan även att den personuppgiftsansvarige ska underlätta för tillsynsmyndigheten att utöva sina undersökningsbefogenheter på ett effektivt sätt. Det kan exempelvis innebära att hjälp ska erbjudas och ges inom rimlig tid. Tillsynsmyndigheten ska också ges möjlighet att ta del av information och material på det sätt som den anser mest lämpligt. Tillsynsmyndigheten förutsätts precisera vilken hjälp myndigheten behöver och sätter därigenom ramarna för samarbetsskyldigheten.
Skyldigheten att samarbeta gäller när tillsynsmyndigheten utför sina författningsreglerade uppgifter. Det innebär att bestämmelsen ska tillämpas när tillsynsmyndigheten utövar allmän tillsyn över personuppgiftsbehandling, handlägger klagomål från registrerade, på begäran kontrollerar om personuppgifter behandlas författningsenligt, bistår en tillsynsmyndighet i en annan medlemsstat och lämnar råd inom ramen för bl.a. förhandssamråd.
Paragrafen gäller enligt 20 § även för personuppgiftsbiträden.
Dataskyddsombud
13 §
Paragrafen reglerar den personuppgiftsansvariges skyldighet att utse dataskyddsombud. Den genomför artiklarna 32.1 och 32.4 och behandlas i avsnitt 10.5.2. Dataskyddsombud definieras i 1 kap. 6 §.
Författningskommentar SOU 2017:29
710
I paragrafen föreskrivs att ett eller flera dataskyddsombud ska utses. Dataskyddsombudet kan vara anställd hos den personuppgiftsansvarige eller en utomstående person. Den personuppgiftsansvarige får inte utse sig själv till dataskyddsombud.
Det finns inget som hindrar att flera personuppgiftsansvariga utser ett gemensamt dataskyddsombud. Det skulle kunna aktualiseras om de personuppgiftsansvariga bedriver liknande verksamhet i nära anslutning till varandra eller utför behandling i ett gemensamt system eller i ett avgränsat samarbete.
Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.
14 §
I paragrafen, som genomför artikel 34, anges vilka uppgifter dataskyddsombud ska utföra. Paragrafen behandlas i avsnitt 10.5.3.
I punkten 1 föreskrivs att dataskyddsombud självständigt ska kontrollera att den personuppgiftsansvarige behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör de skyldigheter som åligger personuppgiftsansvariga. Det innebär att ombudet måste förvissa sig om att den personuppgiftsansvarige följer bestämmelserna i lagen och andra författningar som reglerar behandlingen av personuppgifter. Hur omfattande kontrollen bör vara får avgöras efter omständigheterna.
Dataskyddsombuden bör framför allt granska den faktiska hanteringen av personuppgifter. Därutöver bör ombuden exempelvis granska rutinerna för behandling av personuppgifter, hur tillgången till personuppgifter hanteras och vilka krav på utbildning och andra kvalifikationer som den personuppgiftsansvarige ställer på personal som behandlar personuppgifter. Ombuden bör påpeka eventuella brister för den personuppgiftsansvarige så att denne blir medveten om dem och har möjlighet att vidta lämpliga åtgärder.
Kravet på självständighet innebär att dataskyddsombud ska kunna utföra sina arbetsuppgifter på ett oberoende sätt. Ombuden bör framför allt ha sådan ställning i organisationen att deras synpunkter och råd tas på allvar. De förutsätts också ha goda kunskaper om regelverket om personuppgiftsbehandling.
SOU 2017:29 Författningskommentar
711
I punkten 2 anges att dataskyddsombuden ska informera och ge råd till den personuppgiftsansvarige och de som behandlar personuppgifter under dennes ledning om deras skyldigheter vid sådan behandling. Det handlar främst om att göra den personuppgiftsansvarige och medarbetarna medvetna om vad de i olika situationer är skyldiga att göra, t.ex. att informera registrerade, att ha säkerhetsrutiner och att dokumentera personuppgiftsbehandlingen. Det innebär inte att dataskyddsombuden ska tala om för den personuppgiftsansvarige och medarbetarna hur de ska behandla personuppgifter i enskilda fall.
Om den personuppgiftsansvarige begär det ska dataskyddsombudet också ge råd vid en konsekvensbedömning och kontrollera att bedömningen genomförs på korrekt sätt. Det framgår av punk-
ten 3.
Enligt punkten 4 ska dataskyddsombuden vara kontaktpunkt för enskilda i frågor som rör behandling av personuppgifter. Syftet med bestämmelsen är att enskilda ska kunna vända sig till en kunnig person inom organisationen i frågor som t.ex. rör information om personuppgiftsbehandlingen och rättelse av felaktiga personuppgifter. Dataskyddsombuden har som kontaktpunkt skyldighet att hjälpa enskilda som vänder sig till myndigheten. I den rollen ligger också att bevaka att den personuppgiftsansvarige fullgör sina skyldigheter gentemot registrerade. Ombuden behöver däremot inte vidta de åtgärder som kan krävas med anledning av förfrågningar eller klagomål från registrerade.
I punkten 5 föreskrivs att dataskyddsombuden ska samarbeta med tillsynsmyndigheten och fungera som kontaktpunkt för den vid förhandssamråd och andra frågor som rör behandling av personuppgifter. Samarbeta har här i princip samma innebörd som i 12 §, dvs. det handlar om att underlätta tillsynsmyndighetens arbete. I samarbetsskyldigheten ligger även att ombuden, när det är lämpligt, ska samråda med tillsynsmyndigheten i frågor som rör personuppgiftsbehandling. Det innebär att ombuden vid tveksamheter av olika slag bör fråga tillsynsmyndigheten om råd. Vid förhandssamråd bör arbetsuppgiften främst bestå i att bistå tillsynsmyndigheten med nödvändigt underlag och information och eventuellt stå till förfogande vid frågor angående behandlingen.
Ett dataskyddsombud behöver inte ägna sig uteslutande åt de arbetsuppgifter som anges i paragrafen. Beroende på hur organisa-
Författningskommentar SOU 2017:29
712
tionen ser ut kan arbetet som dataskyddsombud kombineras med andra arbetsuppgifter, så länge de inte kommer i konflikt med uppdraget som ombud.
15 §
Paragrafen, som behandlas i avsnitt 10.5.3, reglerar dataskyddsombudens skyldighet att anmäla brister till tillsynsmyndigheten.
Om den personuppgiftsansvarige inte följer regelverket för behandling av personuppgifter ska dataskyddsombudet agera. Skulle ombudet upptäcka en brist i behandlingen, bör han eller hon i första hand påpeka det för den personuppgiftsansvarige. Om den personuppgiftsansvarige inte åtgärdar bristen, är dataskyddsombudet enligt paragrafen skyldig att anmäla bristen till tillsynsmyndigheten.
Hur snart den personuppgiftsansvarige bör vidta rättelse efter ett påpekande beror på omständigheterna i det enskilda fallet. Att det kan ta någon tid att rätta till en upptäckt brist bör i allmänhet accepteras. Dröjer det alltför länge innan något görs, bör ombudet emellertid påtala saken för tillsynsmyndigheten. Att ett anställt dataskyddsombud med stöd av paragrafen gör en anmälan får inte leda till några konsekvenser för ombudet i arbetsrättsligt hänseende, eftersom det är en lagreglerad skyldighet.
[16 § Dataskyddsombuds tystnadsplikt – se avsnitt 16.2]
Personuppgiftsbiträden
17 §
Av paragrafen framgår att personuppgiftsbiträden får anlitas och vad den personuppgiftsansvarige måste göra innan ett personuppgiftsbiträde anlitas. Paragrafen genomför artikel 22.1 och behandlas i avsnitt 10.6.2.
En personuppgiftsansvarig får anlita personuppgiftsbiträden. Det förutsätter dock att det är lämpligt. Om det är lämpligt får avgöras med hänsyn bl.a. till vilka personuppgifter som ska behandlas och om det gäller sekretess för uppgifterna. Paragrafen föreskriver
SOU 2017:29 Författningskommentar
713
att den personuppgiftsansvarige ska försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att personuppgiftsbehandlingen ska vara författningsenlig och för att skydda registrerades rättigheter. Kraven omfattar inte bara säkerhetsåtgärder, utan även andra tekniska och organisatoriska åtgärder. Skyldigheten innebär att den personuppgiftsansvarige, innan ett personuppgiftsbiträde anlitas, bl.a. bör förhöra sig om hur biträdet kommer att behandla uppgifterna tekniskt, hur arbetet är organiserat och vilket skydd personuppgifterna kommer att ha.
18 §
Paragrafen, som genomför artiklarna 22.2–22.4, reglerar bl.a. kravet på skriftligt avtal eller annan skriftlig överenskommelse mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Paragrafen behandlas i avsnitt 10.6.2.
I första stycket ställs krav på att det ska ingås ett skriftligt avtal eller någon annan skriftlig överenskommelse som reglerar personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Eftersom statliga myndigheter, som är att anse som två enheter inom samma juridiska person, i rättslig mening inte kan ingå bindande avtal med varandra får de träffa en skriftlig överenskommelse som reglerar behandlingen om en myndighet agerar personuppgiftsbiträde åt en annan.
I andra stycket föreskrivs att den personuppgiftsansvarige inte utan skriftligt tillstånd från den personuppgiftsansvarige får anlita ett annat personuppgiftsbiträde, ett s.k. underbiträde. Ett sådant tillstånd kan gälla biträdets rätt att anlita underbiträden generellt eller i en specifik situation. Syftet med bestämmelsen är att den personuppgiftsansvarige ska känna till vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning.
I 23 § upplyses om att det kan finnas föreskrifter på lägre nivå om innehållet i sådana avtal och överenskommelser som avses i första stycket.
Författningskommentar SOU 2017:29
714
19 §
Paragrafen, som genomför artikel 22.5 och delar av artikel 23, reglerar vad som gäller vid behandling av personuppgifter hos ett personuppgiftsbiträde. Paragrafen behandlas i avsnitt 10.6.3.
I första stycket slås fast den grundläggande principen att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Instruktionerna till biträdet bör vara så tydliga att det inte finns risk för otillåten behandling. Instruktionerna kan exempelvis gälla hur tillgången till personuppgifter hos biträdets anställda ska begränsas, om biträdet ska använda kryptering vid kommunikation och andra åtgärder som krävs för dataskydd. Om det finns avvikande regler i annan lagstiftning som föreskriver att personuppgiftsbiträdet är skyldig att utföra viss behandling, t.ex. att lämna ut allmänna handlingar, får behandlingen utföras utan särskilda instruktioner.
I andra stycket regleras det fallet där personuppgiftsbiträdet i strid med den personuppgiftsansvariges instruktioner bestämmer ändamålen med och medlen för behandlingen. Personuppgiftsbiträdet är då att anse som personuppgiftsansvarig för den behandlingen.
20 §
I paragrafen föreskrivs vilka skyldigheter som gäller för personuppgiftsbiträden. Paragrafen, som genomför delar av artiklarna 25, 26 och 29, behandlas i avsnitt 10.6.5.
Hänvisningen till 5 och 6 §§ innebär att personuppgiftbiträden, i likhet med personuppgiftsansvariga, är skyldiga att dels säkerställa att loggar förs i automatiserade behandlingssystem, dels se till att anställda bara ges tillgång till de personuppgifter som krävs för att fullgöra arbetsuppgifterna. Innebörden av bestämmelserna framgår av kommentarerna till 5 och 6 §§.
Vidare gäller skyldigheten enligt 8 § att vidta lämpliga skyddsåtgärder även för personuppgiftsbiträden. Innebörden av skyldigheten framgår av kommentaren till den paragrafen.
Personuppgiftsbiträden är också, genom hänvisningen till 12 §, skyldiga att i samma utsträckning som personuppgiftsansvariga
SOU 2017:29 Författningskommentar
715
samarbeta med tillsynsmyndigheten. Innebörden av skyldigheten framgår av kommentaren till den paragrafen. Personuppgiftsbiträdens skyldighet att samarbeta med tillsynsmyndigheten kan aktualiseras i flera olika situationer. Samarbete kan t.ex. krävas vid tillsyn hos biträdet. Då är samarbetsskyldigheten i princip densamma som för den personuppgiftsansvarige. Samarbetsskyldigheten kan också aktualiseras vid tillsyn hos den personuppgiftsansvarige som biträdet utför personuppgiftsbehandling åt eller inom ramen för den personuppgiftsansvariges förhandssamråd med tillsynsmyndigheten. Skyldigheten innebär att biträdet också måste samarbeta med den personuppgiftsansvarige, eftersom det är en förutsättning för att tillsynsmyndigheten ska kunna utföra sitt arbete.
Att personuppgiftsbiträden åläggs vissa skyldigheter fråntar inte de personuppgiftsansvariga deras ansvar. Den personuppgiftsansvarige är, som framgår av kommentaren till 1 §, ansvarig för den behandling av personuppgifter som personuppgiftsbiträdet utför på dennes vägnar. Den omständigheten att personuppgiftsbiträden ges en direkt skyldighet att vidta vissa åtgärder innebär dock att tillsynsmyndigheten vid brister kan vidta åtgärder mot både personuppgiftsbiträdet och den personuppgiftsansvarige.
Gemensamt personuppgiftsansvar
21 §
Paragrafen, som genomför artikel 21, anger när två eller flera behöriga myndigheter får vara gemensamt personuppgiftsansvariga. Den behandlas i avsnitt 10.7.2.
Gemensamt personuppgiftsansvar får endast förekomma om det har beslutats genom lag eller förordning eller av regeringen i ett enskilt fall. Behöriga myndigheter får inte själva komma överens om att personuppgiftsansvaret för viss personuppgiftsbehandling ska vara gemensamt.
Om det vid en bedömning av de faktiska omständigheterna konstateras att gemensamt personuppgiftsansvar föreligger, trots att det inte finns något beslut om det, står behandlingen i strid med denna paragraf. Tillsynsmyndigheten har då möjlighet att vidta åtgärder mot de personuppgiftsansvariga, t.ex. att förbjuda behandlingen.
Författningskommentar SOU 2017:29
716
Bemyndigande
22 §
I paragrafen, som behandlas i avsnitt 10.8, bemyndigas regeringen med stöd av 8 kap. 3 § första stycket regeringsformen att meddela föreskrifter om skyldigheten att föra register över kategorier av behandlingar av personuppgifter och skyldigheten att införa interna rutiner för anmälan av överträdelser.
Föreskrifter
23 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om sådana åtgärder som avses i 2–5, 7 och 8 §§, om tillgången till personuppgifter, om anmälan och underrättelse av personuppgiftsincidenter och om innehållet i sådana avtal och överenskommelser som avses i 18 §.
4 kap. Enskildas rättigheter
Rätten till information
Allmän information
1 §
I paragrafen, som genomför artikel 13.1, anges vilken allmän information som på den personuppgiftsansvariges eget initiativ ska göras tillgänglig för registrerade. Informationen, som riktar sig till allmänheten eller en obestämd, större krets av registrerade, kan göras tillgänglig t.ex. på den behöriga myndighetens webbplats. Paragrafen behandlas i avsnitt 11.2.5 och 11.2.6.
Enligt punkten 1 ska den personuppgiftsansvariges identitet och kontaktuppgifter göras tillgängliga. Med det avses uppgifter om namn, post- och besöksadress, telefonnummer och e-postadress. Alla personuppgiftsansvariga är enligt 3 kap. 13 § skyldiga att utse dataskyddsombud. Enligt punkten 2 ska dataskyddsombudets kontaktuppgifter anges. Det behöver inte vara en kontaktuppgift direkt
SOU 2017:29 Författningskommentar
717
till dataskyddsombudet, t.ex. hans eller hennes e-postadress, utan det är tillräckligt att ombudet går att nå med hjälp av uppgifterna.
I punkten 3 föreskrivs att ändamålen med behandlingen ska framgå. Det är inte ändamålen med behandlingen av personuppgifter i enskilda fall som avses utan vilka typer av ändamål som den behöriga myndigheten behandlar personuppgifter för. Det kan t.ex. vara förundersökning, ärenden om strafföreläggande eller handläggning av brottmål.
I punkterna 4 och 5 föreskrivs att den personuppgiftsansvarige ska upplysa om de rättigheter som enskilda har enligt 3, 9 och 10 §§. Det gäller rätten för registrerade att få information om behandlingen av personuppgifter och att få del av dem och rätten att begära rättelse, radering eller begränsning av behandlingen. Den personuppgiftsansvarige ska även enligt punkten 6 upplysa om möjligheten att lämna in klagomål till tillsynsmyndigheten och ange kontaktuppgifterna till den.
I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan information som regleras i förevarande paragraf.
Personrelaterad information
2 §
Paragrafen, som genomför artikel 13.2, anger vilken information som ska lämnas till den registrerade i specifika fall för att han eller hon ska kunna ta tillvara sina rättigheter. Det är fråga om personrelaterad information som på den personuppgiftsansvariges eget initiativ ska lämnas till den registrerade. Paragrafen behandlas i avsnitt 11.2.5 och 11.2.7.
I första stycket föreskrivs att den registrerade i specifika fall ska ges viss information för att kunna ta tillvara sina rättigheter. Specifika fall kan vara t.ex. att den registrerade riskerar att lida rättsförlust om han eller hon inte får del av informationen eller att det av annat skäl är viktigt för honom eller henne att känna till behandlingen för att kunna ta tillvara sina rättigheter. Ett annat exempel kan vara att känsliga personuppgifter har behandlats i strid med 2 kap. 11 §. Information behöver inte lämnas vid fel som inte kan antas ha negativ påverkan, t.ex. när personnummer eller adressuppgifter som visat sig vara felaktiga rättas. För att informations-
Författningskommentar SOU 2017:29
718
skyldigheten ska inträda bör normalt krävas att det är fråga om överträdelser av regelverket som kan föranleda skadeståndsansvar, allvarlig kritik eller ingripande från tillsynsmyndigheten eller någon liknande reaktion.
Att informationen är tillgänglig på den personuppgiftsansvariges webbplats eller i en informationsskrift befriar inte den personuppgiftsansvarige från skyldigheten att lämna samma information till en viss registrerad, om informationen behövs för att han eller hon ska kunna ta tillvara sina rättigheter.
Enligt punkten 1 ska information lämnas om den rättsliga grunden för personuppgiftsbehandlingen. Det som avses är författningsstödet för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen.
Punkten 2 föreskriver att kategorier av mottagare av personupp-
gifterna ska anges. Mottagare definieras i 1 kap. 6 §. Allmän information är tillräcklig, exempelvis till vilken typ av myndighet som personuppgifterna har lämnats eller ska lämnas. Det kan vara t.ex. allmän domstol eller Kriminalvården. Om mottagarkategorin finns i ett tredjeland eller är en internationell organisation ska det anges.
Information ska enligt punkten 3 lämnas om hur länge personuppgifterna får behandlas. Om det inte är möjligt att ange hur länge uppgifterna får behandlas i det enskilda fallet ska i stället kriterierna för att fastställa det anges. Det kan vara upplysningar om vilka omständigheter eller tidpunkter som styr hur länge uppgifterna får behandlas, t.ex. nedläggning av åtal eller när viss tid förflutit efter det att uppgifterna behandlades första gången.
Även övrig nödvändig information ska lämnas enligt punkten 4. Om informationen är nödvändig ska bedömas utifrån den registrerades behov av den för att kunna ta tillvara sina rättigheter. Det kan vara en upplysning om rätten att begära att få del av uppgifterna, rätten att begära rättelse, radering eller begränsning av behandlingen och möjligheten att lämna in klagomål till tillsynsmyndigheten.
Av andra stycket framgår att den personuppgiftsansvarige vid bedömningen av om information enligt punkten 4 ska lämnas särskilt ska beakta om personuppgifterna har samlats in utan att den registrerade vetat om det.
Av 5 § framgår att informationsskyldigheten får begränsas. I 12 § föreskrivs att avgift inte får tas ut för information enligt före-
SOU 2017:29 Författningskommentar
719
varande paragraf. I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om informationen i fråga.
3 §
Paragrafen, som genomför artikel 14, behandlas i avsnitt 11.2.5 och 11.2.8. I paragrafen regleras en enskilds rätt att få besked om hans eller hennes personuppgifter behandlas, att få del av sådana uppgifter och att få viss information om behandlingen av dem.
I första stycket föreskrivs att den som begär det har rätt till skriftligt besked om personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas ska sökanden få del av dem och få viss i paragrafen uppräknad skriftlig information.
Vem som helst får begära besked av den personuppgiftsansvarige. Vårdnadshavare och andra ställföreträdare kan begära besked för den som inte själv har rätt att göra det. Om en underårig förstår vad åtgärden innebär och själv kan tillgodogöra sig den information som begäran avser bör hans eller hennes begäran godtas. Sökanden har bevisbördan för att begäran har gjorts och tidpunkten för det. Bestämmelserna i 10 § förvaltningslagen (1986:223), 44 § förvaltningsprocesslagen (1971:291) och 33 kap. 3 § rättegångsbalken kan vara till ledning vid avgörande av frågan om när en begäran ska anses ha gjorts (jfr prop. 1997/98:44 s. 132). Begäran ska besvaras utan onödigt dröjsmål. Beskedet till sökanden ska vara skriftligt och kan lämnas t.ex. via e-post. Det ska avse om personuppgifter som rör sökanden behandlas.
Om sökandens personuppgifter behandlas ska, med de begränsningar som följer av andra stycket och 5–7 §§, han eller hon få del av dem. Rätten omfattar även personuppgifter som utgörs av bild- och ljudupptagningar och personuppgifter i ostrukturerat material som t.ex. löpande text.
Det är de uppgifter som behandlas vid tiden för utlämnandet som ska lämnas ut (jfr prop. 1997/98:44 s. 132). Sökanden ska få tillgång till all information som den personuppgiftsansvarige själv kan få fram om honom eller henne, men det är tillräckligt att att använda de sök- och sammanställningsmöjligheter som är faktiskt tillgängliga och rättsligt tillåtna (jfr prop. 1997/98:44 s. 82 f.). Det bör räcka att sökningar görs i myndighetens verksamhetsspecifika
Författningskommentar SOU 2017:29
720
behandlingssystem, t.ex. dokument- och ärendehanteringssystem, register och databaser. Om uppgifter är sökbara i standardprogram som Word, Outlook och Excel bör de också omfattas.
För att det ska kunna utrönas om personuppgifter behandlas krävs att det finns sökbara uppgifter som direkt kan hänföras till den person som begär informationen. Sökanden förutsätts därför lämna sådana uppgifter om sin identitet att det blir möjligt att söka efter informationen. Det kan vara fullständigt namn eller person- eller samordningsnummer eller någon annan lika unik identitet.
Sökanden kan få del av uppgifterna genom t.ex. en kopia av en handling med de personuppgifter som rör honom eller henne. Den personuppgiftsansvarige har dock ingen skyldighet att lämna ut en kopia om sökandens rättigheter kan säkerställas på annat sätt, t.ex. genom en sammanfattning av vilka personuppgifter som behandlas.
Sökanden ska också informeras om behandlingen av personuppgifterna. Enligt punkterna 1 och 2 ska informationen avse vilka personuppgifter om sökanden som behandlas och, om det är känt, varifrån uppgifterna kommer.
I punkten 3 föreskrivs att den rättsliga grunden för behandlingen ska anges. Det som avses är författningsstödet för behandlingen, dvs. regleringen av den arbetsuppgift som föranleder personuppgiftsbehandlingen. Vidare ska enligt punkten 4 information om ändamålen med behandlingen lämnas. Det som avses är ändamålen i det enskilda fallet, t.ex. vilket ärende eller vilken förundersökning det är fråga om.
Vidare ska information om mottagare eller kategorier av mottagare av personuppgifterna lämnas enligt punkten 5. Mottagare definieras i 1 kap. 6 §. Det som sägs i kommentaren till 2 § gäller även de uppgifter som är aktuella här.
Enligt punkten 6 ska information också lämnas om hur länge personuppgifterna får behandlas. Det som sägs i kommentaren till 2 § gäller även de uppgifter som är aktuella här.
I punkten 7 föreskrivs att den personuppgiftsansvarige ska informera om rätten att begära rättelse, radering eller begränsning av behandlingen. Den personuppgiftsansvarige ska även enligt punk-
ten 8 upplysa om möjligheten att lämna in klagomål till tillsyns-
myndigheten och kontaktuppgifterna till den. Punkterna motsvarar 1 § 5 och 6 och behandlas i kommentaren till den paragrafen.
SOU 2017:29 Författningskommentar
721
I andra stycket begränsas rätten att få del av personuppgifter. Om sökanden redan har tagit del av personuppgifterna behöver de inte lämnas ut till honom eller henne. Det har ingen betydelse på vilket sätt sökanden fått del av dem. Det kan t.ex. vara personuppgifter i handlingar som sökanden själv har skickat in till myndigheten eller som myndigheten har expedierat till honom eller henne. Den personuppgiftsansvarige måste emellertid tydligt ange vilka personuppgifter som behandlas och ge sökanden en förteckning över dem. Sökanden har också rätt att få del av personuppgifterna om han eller hon begär det.
Om en begäran om information är orimlig eller uppenbart ogrundad får den avslås enligt 7 § första stycket.
I 12 § andra stycket föreskrivs att information enligt förevarande paragraf ska lämnas till den registrerade avgiftsfritt en gång per år och att utlämnande därutöver kan avgiftsbeläggas. I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan information som regleras i förevarande paragraf och om kraven på en begäran om information.
4 §
Paragrafen, som genomför en delar av artikel 11, ger den som har varit föremål för ett automatiserat beslut rätt till information. Paragrafen behandlas i avsnitt 11.2.9.
Paragrafen innebär att den registrerade ska kunna begära närmare information av den personuppgiftsansvarige om beslutet. Det kan t.ex. gälla frågor om omständigheterna som ledde fram till beslutet.
I 12 § första stycket föreskrivs att avgift inte får tas ut för information enligt förevarande paragraf. I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om sådan information som regleras i förevarande paragraf och om kraven på en begäran om information.
Författningskommentar SOU 2017:29
722
Begränsning av rätten till information
5 §
Paragrafen, som genomför artiklarna 13.3, 15.1 och 16.4, gör undantag från den personuppgiftsansvariges informationsskyldighet. Paragrafen är delvis utformad efter mönster av 27 § personuppgiftslagen och behandlas i avsnitt 11.3.1.
Enligt första stycket gäller den personuppgiftsansvariges skyldighet att lämna personrelaterad information enligt 2 och 3 §§ inte i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifterna inte får lämnas ut. Regleringen innebär att den personuppgiftsansvarige får begränsa eller utelämna informationen. Det är främst sekretess och tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) som avses. Även andra bestämmelser om tystnadsplikt och bestämmelser som begränsar möjligheten att använda uppgifter som en svensk myndighet har fått från en myndighet i en annan stat kan begränsa informationsskyldigheten. Undantaget från informationsskyldigheten gäller även vid beslut som har meddelats med stöd av författning, t.ex. beslut om förbehåll enligt 10 kap. 14 § offentlighets- och sekretesslagen. Även andra författningar kan innehålla bestämmelser som gör paragrafen tillämplig, t.ex. 6 kap. 6 § lagen (2010:751) om betaltjänster. Det är dock endast bestämmelser om att uppgifter inte får lämnas som hänför sig till de intressen som räknas upp i paragrafen som inskränker rätten till information. I avsnitt 11.3.1 redovisas ingående vilken prövning den personuppgiftsansvarige ska göra och hur den förhåller sig till de i paragrafen uppräknade intressena.
I punkten 1 skyddas intresset av att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det rör sig alltså om skydd för allmänna intressen. Punkten 2 skyddar intresset av att andra rättsliga utredningar eller undersökningar inte hindras. Det kan exempelvis vara fråga om utredning om administrativa avgifter som vattenföroreningsavgift vid oljeutsläpp. I punkten 3 skyddas nationell säkerhet. Intresset av att skydda annans fri- och rättigheter regleras i punkten 4. Det är inte
SOU 2017:29 Författningskommentar
723
den registrerades fri- och rättigheter som skyddas, utan andra personers.
Den personuppgiftsansvarige är enligt andra stycket inte heller skyldig att lämna ut skälen för beslut enligt första stycket och beslut i fråga om rättelse, radering eller begränsning av behandlingen om motiveringen skulle riskera att skada något av de intressen som anges i första stycket.
Eftersom lagen är tillämplig på andra aktörer än myndigheter föreskrivs i tredje stycket att även en personuppgiftsansvarig som inte är en myndighet i motsvarande utsträckning får begränsa eller underlåta att lämna information av hänsyn till något av de intressen som anges i första stycket.
6 §
Paragrafen, som har sin grund i artikel 15.1 e, föreskriver undantag från informationsskyldigheten i 3 § för personuppgifter i viss typ av text. Paragrafen behandlas i avsnitt 11.3.3.
Den personuppgiftsansvariges skyldighet att lämna personrelaterad information enligt 3 § gäller enligt första stycket inte för personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller text som utgör minnesanteckningar eller liknande. Med löpande text avses information som inte har strukturerats så att sökning av personuppgifter underlättas. Bild- och ljudupptagningar omfattas inte av undantaget eftersom det bara gäller text. Med text som inte fått sin slutliga utformning avses koncept eller utkast till protokoll, skrivelser, beslut eller liknande. Löpande text som är avsedd att tidvis ändras eller kompletteras och därför aldrig får någon slutlig utformning omfattas inte. Det sistnämnda kan t.ex. vara diarier, journaler, register eller förteckningar som förs löpande. Med minnesanteckning avses anteckningar som utgör hjälpmedel för handläggningen, t.ex. promemorior och andra anteckningar eller upptagningar som har skapats bara för att förbereda ett ärende för avgörande och som inte har tillfört ärendet något i sak.
Av andra stycket framgår att undantaget från informationsskyldigheten inte gäller under vissa förhållanden. Sökanden har då rätt
Författningskommentar SOU 2017:29
724
att få del av personuppgifter även i ofärdig löpande text eller som utgör minnesanteckningar och liknande.
Undantaget gäller för det första inte om personuppgifterna har lämnats ut till tredje man. Tredje man definieras i 1 kap. 6 §. Det är den version av uppgifterna i t.ex. utkastet som lämnades till tredje man som informationsskyldigheten omfattar, även om utkastet därefter har ändrats.
Vidare gäller inte undantaget om personuppgifterna behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse. Om ett ärende har avslutats och utkastet eller minnesanteckningen har arkiverats eller om handlingarna endast används vid statistikproduktion eller forskning ska alltså information om behandlingen av personuppgifterna lämnas ut. Undantaget gäller inte heller för löpande text som inte fått sin slutliga utformning, om personuppgifterna har behandlats under längre tid än ett år.
Det är tidpunkten för begäran som är avgörande för bedömningen av om något av undantagen gäller. Både ettårsfristen och frågan om uppgifterna har lämnats ut till tredje man eller behandlas för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse ska bedömas i förhållande till när begäran om information gjordes (jfr prop. 1997/98:44 s. 83 f.).
7 §
Paragrafen, som tillsammans med 12 § genomför delar av artikel 12.4, behandlas i avsnitt 11.3.4. Paragrafen föreskriver att information enligt 3 § inte behöver lämnas om begäran är orimlig eller uppenbart ogrundad.
I första stycket föreskrivs att den personuppgiftsansvarige får avslå en begäran att få information om behandlingen av personuppgifter och få del av dem om begäran är orimlig eller uppenbart ogrundad. En begäran kan vara orimlig t.ex. om den återupprepas ofta. En begäran kan också vara orimlig om den är så oprecis att det skulle vara närmast omöjligt att besvara den, t.ex. om den rör en större myndighets hela verksamhet. Normalt bör i sådana fall begäran kunna preciseras till viss verksamhet, visst ärende eller någon annan liknande avgränsning. En begäran kan vara uppenbart ogrun-
SOU 2017:29 Författningskommentar
725
dad t.ex. om sökanden missbrukar sin rätt till information genom att exempelvis lämna felaktiga eller missvisande uppgifter i sin begäran. Den personuppgiftsansvarige har bevisbördan för att en begäran är orimlig eller uppenbart ogrundad.
I andra stycket upplyses att den personuppgiftsansvarige med stöd av 12 § andra stycket i vissa fall får ta ut avgift i stället för att avslå begäran.
Möjligheten att begära kontroll genom tillsynsmyndigheten
8 §
I paragrafen, som behandlas i avsnitt 11.3.1, upplyses om att den registrerade med stöd av 5 kap. 3 § kan begära att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter behandlas författningsenligt.
Rätten till rättelse, radering och begränsning av behandlingen
9 §
Paragrafen reglerar den enskildes rätt att begära rättelse eller komplettering av felaktiga eller ofullständiga personuppgifter och begränsning av behandlingen av personuppgifterna. Den genomför artikel 16.1 och, tillsammans med 10 §, artikel 16.3. Paragrafen behandlas i avsnitt 11.4.1 och 11.4.3. I 2 kap. 15 § regleras personuppgiftsansvarigas skyldighet att på eget initiativ rätta felaktiga eller ofullständiga personuppgifter och uppdatera inaktuella personuppgifter.
Enligt första stycket ska den personuppgiftsansvarige på begäran av den registrerade rätta eller komplettera personuppgifter som rör honom eller henne om de är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen. Vårdnadshavare och andra ställföreträdare kan begära rättelse eller komplettering åt en registrerad som inte själv har rätt att göra det. I kommentaren till 2 kap. 7 § framgår vad som avses med att en personuppgift är korrekt och vilka bedömningar som ska göras.
Rättelse eller komplettering ska göras utan onödigt dröjsmål. Det innebär att den personuppgiftsansvarige skyndsamt ska utreda
Författningskommentar SOU 2017:29
726
frågan och, om det finns skäl för det, så fort som möjligt genomföra åtgärden.
Den personuppgiftsansvarige ska enligt andra stycket begränsa behandlingen av personuppgifter som rör den registrerade om han eller hon bestrider att de är korrekta. Den registrerade kan ha en annan uppfattning än den personuppgiftsansvarige om huruvida en personuppgift är korrekt. Om korrektheten bestrids är den personuppgiftsansvarige skyldig att försöka klarlägga hur det förhåller sig. Om den personuppgiftsansvariges utredning om den omstridda personuppgiften inte kan slutföras inom den tid som en personuppgift ska rättas eller kompletteras, ska behandlingen begränsas under utredningstiden.
Har behandlingen av en personuppgift begränsats får uppgiften inte längre behandlas av vare sig den personuppgiftsansvarige, ett personuppgiftsbiträde eller någon annan, utom för de ändamål för vilka behandlingen begränsades. Uppgiften får dock lämnas ut med stöd av 2 kap. tryckfrihetsförordningen. Den personuppgiftsansvarige ska vidta åtgärder som visar att behandlingen av personuppgiften har begränsats. En sådan åtgärd kan vara att föra över uppgiften från det datasystem där den behandlas, t.ex. myndighetens verksamhetssystem, till ett arkivsystem. Andra åtgärder kan vara att göra personuppgiften oåtkomlig genom en teknisk begränsning eller annan inskränkning av tillgången till uppgiften. När utredningen om personuppgiften är avslutad ska begränsningen av behandlingen upphöra. Då ska personuppgiften antingen rättas eller fortsätta att behandlas som tidigare.
I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om kraven på en begäran om korrigeringsåtgärd.
10 §
Paragrafen reglerar den enskildes rätt att vid otillåten behandling av personuppgifter begära radering eller, om personuppgifterna behöver finnas kvar som bevisning, begränsning av behandlingen. Den genomför artikel 16.2 och, tillsammans med 9 §, artikel 16.3. Paragrafen behandlas i avsnitt 11.4.2 och 11.4.3. I 2 kap. 16 § regleras personuppgiftsansvarigas skyldighet att på eget initiativ radera eller
SOU 2017:29 Författningskommentar
727
begränsa behandlingen av personuppgifter som behandlas på otilllåtet sätt.
Enligt första stycket ska den personuppgiftsansvarige på begäran av den registrerade radera personuppgifter som rör honom eller henne om de behandlas i strid med 2 kap. 1, 2, 3 § första stycket, 4– 6, 8, 11, 12, 14 eller 17 § första stycket eller om det krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Vårdnadshavare och andra ställföreträdare kan begära radering för en registrerad som inte har rätt att själv göra det.
Om personuppgifter behandlas i strid med någon av de bestämmelser som räknas upp i paragrafen ska de raderas. Med radering avses att personuppgifter tas bort från informationssamlingar på ett sådant sätt att de inte längre kan återskapas. I de aktuella bestämmelserna föreskrivs bl.a. att personuppgifter ska vara adekvata och relevanta, att inte fler personuppgifter än nödvändigt får behandlas och att de bara får behandlas om det finns en rättslig grund och för särskilt angivna ändamål. Där regleras också behandling av känsliga personuppgifter och hur länge personuppgifter får behandlas. Frågan om en personuppgift ska raderas ska bedömas mot bakgrund av kraven i dessa bestämmelser.
Personuppgifter ska också raderas om det krävs för att den personuppgiftsansvarige ska utföra en rättslig förpliktelse. Rättslig förpliktelse kan avse en skyldighet som rör hur personuppgifter får behandlas enligt denna lag, myndighetens registerförfattning eller annan författning om ett enskilt register, t.ex. lagen (1998:621) om misstankeregister.
Utrymmet för att radera uppgifter i allmänna handlingar begränsas av arkivlagstiftningen genom att det krävs författningsstöd för gallring.
Radering ska göras utan onödigt dröjsmål. Det innebär att den personuppgiftsansvarige skyndsamt ska utreda frågan och, om det finns skäl för det, så fort som möjligt radera uppgiften.
Om förutsättningarna för att radera personuppgifterna är uppfyllda, men uppgifterna behöver finnas kvar som bevisning, ska enligt andra stycket den personuppgiftsansvarige på begäran av den registrerade i stället begränsa behandlingen av uppgifterna.
En begränsning kan bara göras i de fall där personuppgifterna behandlas otillåtet, eftersom det endast är då som radering kan komma i fråga. För att personuppgifterna inte ska raderas ska de
Författningskommentar SOU 2017:29
728
behövas som bevisning, t.ex. i en rättsprocess angående otillåten personuppgiftsbehandling. Däremot är det inte tillåtet att ha kvar personuppgifter som ska raderas i syfte att använda dem t.ex. för brottsbekämpning.
Begränsning av behandlingen är inte en permanent åtgärd. När personuppgifterna inte längre behöver finnas kvar som bevisning, t.ex. för att domen eller beslutet i skadeståndsmålet har fått laga kraft, ska begränsningen upphöra och personuppgifterna raderas.
Behandlingen ska begränsas utan onödigt dröjsmål. Hur det kan göras utvecklas i kommentaren till 9 §.
I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om kraven på en begäran om radering eller begränsning av behandlingen.
11 §
Enligt paragrafen, som behandlas i avsnitt 11.4.4, avgör den personuppgiftsansvarige vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen.
Paragrafen innebär att den personuppgiftsansvarige – med beaktande av vilken åtgärd som är lagligen möjlig att vidta – ska se till att den lämpligaste åtgärden vidtas oavsett vilken åtgärd som begärs av den registrerade. Vad som är mest lämpligt ska bedömas med utgångspunkt i både verksamhetens behov och den registrerades rätt till skydd för sina personuppgifter.
Avgiftsfri information
12 §
Paragrafen, som tillsammans med 7 § genomför delar av artikel 12.4, föreskriver att information som huvudregel ska vara avgiftsfri. Den behandlas i avsnitt 11.3.4 och 11.5.9.
I första stycket slås fast att den information som den personuppgiftsansvarige på eget initiativ ska lämna till en registrerad om behandlingen av hans eller hennes personuppgifter och information om automatiserade beslut ska vara avgiftsfri, medan den informa-
SOU 2017:29 Författningskommentar
729
tion om behandlingen av den registrerades personuppgifter som lämnas på begäran ska vara utan avgift en gång per år.
I andra stycket föreskrivs att om någon begär att få information om behandlingen av personuppgifter och få del av dem oftare än en gång per år får den personuppgiftsansvarige ta ut en rimlig avgift för det. Den personuppgiftsansvarige får, i stället för att ta ut avgift, avslå begäran, vilket regleras i 7 § första stycket. Utgångspunkten bör vara att den personuppgiftsansvarige i första hand tar ut avgift och i andra hand avslår begäran om information. Vilken åtgärd som är lämpligast får avgöras med utgångspunkt i omständigheterna i det enskilda fallet. En viktig faktor kan vara hur många framställningar om information som personen har gjort under året och hur lång tid som förflutit efter den senaste framställan. Även omständigheter som hur preciserad eller komplicerad begäran är och vilka skäl han eller hon anger för sin begäran bör beaktas.
Om den personuppgiftsansvarige avser att ta ut avgift bör den som begärt informationen underrättas om det. Den personuppgiftsansvarige bör förhöra sig om begäran vidhålls. Avgiften ska vara rimlig, vilket innebär att den inte får överstiga de administrativa kostnaderna för att besvara begäran.
I 13 § upplyses om att det kan finnas föreskrifter på lägre nivå om avgift för information.
Föreskrifter
13 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter bl.a. om information till registrerade och avgift för informationen.
Författningskommentar SOU 2017:29
730
5 kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 §
Paragrafen, som genomför artikel 41.1 och behandlas i avsnitt 12.5, reglerar tillsynsmyndighetens uppdrag.
Paragrafen tydliggör att tillsynsmyndigheten ska ha dubbla perspektiv vid sin tillsyn. Den innebär att tillsynsmyndigheten i sin tillsyn ska verka både för att fysiska personers grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och för underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde. Vid sin tolkning och tillämpning av regelverket ska tillsynsmyndigheten bl.a. beakta hur tillsynen påverkar informationsutbytet både nationellt och internationellt, t.ex. vid bedömning av vad som utgör lämpliga skyddsåtgärder och en tillräcklig skyddsnivå. Om myndigheten exempelvis i sin tillsyn konstaterar att den personuppgiftsansvarige ska vidta någon åtgärd och det finns flera alternativ som är likvärdiga ur integritetssynpunkt, bör den åtgärd som innebär minst hinder för det fria flödet av personuppgifter förordas. Intresseavvägningen ska även speglas i tillsynsmyndighetens föreskrifter, råd och annan information som myndigheten tar fram.
Tillsynsmyndighetens uppgifter
2 §
Paragrafen genomför delar av artiklarna 46 och 50.1 och reglerar, tillsammans med 3 och 4 §§, tillsynsmyndighetens uppgifter. Paragrafen behandlas i avsnitt 12.6.1, 12.6.2 och 12.10.1.
I paragrafen räknas de huvudsakliga tillsynsuppgifterna upp. Tillsynsmyndigheten avgör om och i vilken utsträckning tillsyn ska utövas och hur den ska genomföras. Myndigheten ska agera helt oberoende vid denna bedömning. Det innebär att ingen kan kräva att myndigheten ska utöva tillsyn, förutom när det gäller kontroll enligt 3 §. Det finns inte heller några formella krav på hur tillsynen ska utövas, med undantag från vissa bestämmelser i denna lag och i föreskrifter som beslutas i anslutning till den. Om tillsynsmyndig-
SOU 2017:29 Författningskommentar
731
heten beslutar att inleda ett tillsynsärende tillämpas förvaltningslagen (1986:223) på handläggningen om det inte finns avvikande bestämmelser (se avsnitt 12.8.1). Det anses dock inte finnas några parter i tillsynsärenden, varför bestämmelser i förvaltningslagen som rör parter inte ska tillämpas (jfr RÅ 2010 ref. 29).
I punkten 1 anges tillsynsmyndighetens allmänna uppgift att utöva tillsyn över behandlingen av personuppgifter. Vad det innebär utvecklas i avsnitt 12.7.1. Av punkten 2 framgår att handläggning av klagomål från registrerade är en tillsynsuppgift. Tillsynsmyndigheten är skyldig att åtminstone hantera inkomna klagomål och ta ställning till om klagomålet bör föranleda någon tillsynsåtgärd och att underrätta klaganden om resultatet (se 9 §). Tillsynsmyndigheten är dock bara skyldig att utreda klagomål i den utsträckning den finner det lämpligt. Punkten 3 hänvisar till 3 § när det gäller kontroll av om viss behandling är författningsenlig. I
punkten 4 regleras tillsynsmyndighetens skyldighet att på begäran
bistå en tillsynsmyndighet i en annan medlemsstat. Det kan exempelvis vara fråga om att inhämta handlingar från en svensk myndighet eller att undersöka hur personuppgifter som har överförts till Sverige har behandlats. Samarbetet regleras i 11, 12 och 14 §§.
3 §
I paragrafen, som genomför artiklarna 17.1 och och 46.4 och delar av artikel 46.1, regleras tillsynsmyndighetens skyldighet att kontrollera om viss personuppgiftsbehandling är författningsenlig. Paragrafen behandlas i avsnitt 12.6.1 och 12.6.3.
I första stycket anges vem som får begära kontroll och förutsättningarna för det. Det som ska kontrolleras är om personuppgifter om en fysisk person som han eller hon inte har fått tillgång till eller information om eller begärt att få korrigerade, behandlas författningsenligt. En grundläggande förutsättning för att tillsynsmyndigheten ska vara skyldig att utföra kontrollen är att den som begär kontrollen först har begärt information eller en korrigeringsåtgärd av den personuppgiftsansvarige. Juridiska personer har inte rätt att begära kontroll.
Kontrollen ska avse om uppgifter om personen i fråga behandlas och i så fall om de behandlas i enlighet med denna lag och andra
Författningskommentar SOU 2017:29
732
författningar som reglerar behandling av personuppgifter inom lagens tillämpningsområde. Med utgångspunkt i uppgifterna i begäran avgör tillsynsmyndigheten hur omfattande kontroll som behövs i det enskilda fallet. Den enskilde själv kan begära kontroll, men kontroll kan också begäras av en vårdnadshavare eller ett ombud, jfr kommentaren till 4 kap. 3 §.
Tillsynsmyndigheten är endast skyldig att underrätta den sökande om att kontrollen har utförts, men inte att röja vad kontrollen har resulterat i.
Enligt andra stycket kan tillsynsmyndigheten vägra att utföra kontroll om begäran är orimlig eller uppenbart ogrundad. En begäran kan vara orimlig om den upprepas för ofta. En begäran kan även vägras om den är så opreciserad att det skulle krävas oproportionerligt stora ansträngningar av tillsynsmyndigheten för att utföra den. En begäran är uppenbart ogrundad om någon av de grundläggande förutsättningarna brister, t.ex. om den som begär kontroll inte först har vänt sig till den personuppgiftsansvarige eller om den som begär kontrollen inte är behörig att göra det. Tillsynsmyndigheten har bevisbördan för att begäran är orimlig eller uppenbart ogrundad. Ett beslut att vägra att utföra kontroll kan överklagas till allmän förvaltningsdomstol, se kommentaren till 7 kap. 4 §.
4 §
Paragrafen, som genomför delar av artikel 46.1, reglerar tillsynsmyndighetens skyldighet att lämna råd och stöd till personuppgiftsansvariga och till personuppgiftsbiträden. Paragrafen behandlas i avsnitt 12.6.1 och 12.6.4.
Med råd avses både muntliga och skriftliga råd. Det kan vara fråga om allmänna råd eller rådgivning i ett enskilt fall. Det kan även vara fråga om rådgivning vid förhandssamråd. Rådgivning av sistnämnda slag är tillsynsmyndigheten skyldig att bistå med, medan myndigheten i övrigt ska ge råd och stöd bara när den anser att det är påkallat. Rådgivningen och stödet ska avse personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter.
Råd kan t.ex. lämnas genom information på tillsynsmyndighetens hemsida, genom publicering av allmänna råd eller andra rikt-
SOU 2017:29 Författningskommentar
733
linjer eller någon funktion för rådgivning per telefon eller e-post. Paragrafen ger således ingen rätt för personuppgiftsansvariga eller personuppgiftsbiträden att avkräva tillsynsmyndigheten råd i en konkret fråga, om det inte är särskilt reglerat. Förhandssamråd är exempel på det sistnämnda.
Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
5 §
Paragrafen, som genomför artiklarna 25.3 och 47.1, reglerar tillsynsmyndighetens undersökningsbefogenheter. Den behandlas i avsnitt 12.7.3.
Enligt punkten 1 har tillsynsmyndigheten rätt att för sin tillsyn från personuppgiftsansvariga och personuppgiftsbiträden få tillgång till alla personuppgifter som behandlas. Det innebär att tillsynsobjektet ska lämna de begärda uppgifterna även om det kräver viss efterforskning. Att tillsynsmyndigheten har rätt få del av annan information framgår av punkterna 2 och 4 och rätten att få hjälp med de sökningar i behandlingssystem som myndigheten begär regleras i punkten 4.
Punkten 2 ger tillsynsmyndigheten rätt till upplysningar och
dokumentation som rör behandling av personuppgifter och vilka åtgärder som har vidtagits för att säkerställa skyddet för personuppgifterna och registrerades personliga integritet. Dokumentationen kan avse exempelvis de register eller loggar som personuppgiftsansvariga och personuppgiftsbiträden ska föra. Det kan också vara fråga om upplysningar om och dokumentation av vilka organisatoriska och tekniska åtgärder som vidtogs i samband med att ett register inrättades eller en viss typ av behandling påbörjades. Det kan också röra sig om åtgärder för att garantera säkerheten, begränsa den interna tillgången till uppgifter eller förhindra otillåten behandling och åtgärder för intern kontroll. Informationen kan avse exempelvis ändamålen med behandlingen eller loggar och förteckningar över pågående behandlingar. Att en myndighet saknar faktisk möjlighet att påverka hur uppgifter hanteras innan de blir
Författningskommentar SOU 2017:29
734
tillgängliga hos myndigheten hindrar inte att den är skyldig att redovisa säkerheten vid behandlingen (se HFD 2012 ref. 21).
I punkten 3 regleras tillsynsmyndighetens rätt att få tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel som används för behandlingen. Rätten till tillträde ger inte myndigheten rätt att bereda sig tillträde med tvång. Om den personuppgiftsansvarige eller personuppgiftsbiträdet inte samarbetar kan tillsynsmyndigheten utnyttja sina korrigerande befogenheter enligt 7 §. Tillsynsmyndigheten har också rätt att få tillgång till den utrustning som tillsynsobjektet disponerar för att, med hjälp av tillsynsobjektets personal, kunna göra nödvändiga körningar och kontroller. Punkten ger således inte tillsynsmyndigheten någon rätt att fritt använda tillsynsobjektets utrustning och datasystem.
Punkten 4 klargör att tillsynsmyndigheten har rätt att få hjälp
med de sökningar och andra åtgärder som den begär och annan nödvändig hjälp för att genomföra tillsynen. Paragrafen ger även tillsynsmyndigheten rätt till information som inte har direkt anknytning till behandlingen av personuppgifter men som myndigheten behöver för tillsynen. Informationen kan avse t.ex. verksamhetsplaner som beskriver den verksamhet där behandlingen utförs.
Förebyggande befogenheter
6 §
Paragrafen reglerar tillsynsmyndighetens befogenheter i det förebyggande arbetet. De åtgärder som regleras i paragrafen är inte av tvingande karaktär. De syftar till att förebygga att framtida behandling av personuppgifter står i strid med regelverket. Paragrafen genomför delar av artikel 47.2 och behandlas i avsnitt 12.7.4, 12.7.5 och 10.2.5.
Av första stycket framgår att tillsynsmyndigheten, om det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att minska risken genom råd, rekommendationer och påpekanden. Det kan vara fråga om ett nytt register som ska inrättas, en ny typ av behandling som ska påbörjas eller en större förändring av pågående behandling. Tillsynsmyndig-
SOU 2017:29 Författningskommentar
735
heten kan också identifiera risker i pågående behandling som skulle kunna innebära att regelverket inte kommer att följas. Rådgivning kan avse såväl formella som informella samråd.
Av 7 § första stycket 1 framgår att de befogenheter som räknas upp i detta stycke även i vissa fall får användas i korrigerande syfte.
Enligt andra stycket får tillsynsmyndigheten skriftligen varna för att viss behandling riskerar att strida mot regelverket. En varning är en mer ingripande åtgärd än åtgärderna i första stycket. Varning kan användas för att visa hur allvarligt tillsynsmyndigheten ser på den planerade behandlingen. Tillsynsmyndigheten behöver inte ha uttömt andra förebyggande åtgärder innan den utfärdar en varning. En varning ska vara skriftlig. Av den ska framgå varför tillsynsmyndigheten bedömt att behandlingen inte kommer att vara författningsenlig. Åtgärden är inte tvingande, men den som får en varning förväntas rätta sig efter den. Om tillsynsmyndigheten finner det lämpligt kan den i beslutet om varning erinra om att – om tillsynsobjektet skulle sätta sina planer i verket – det skulle kunna leda till ett beslut om sanktionsavgift om förutsättningarna för det är uppfyllda.
Varning får också utfärdas om pågående behandling riskerar att stå i strid med lag eller annan författning. Det kan t.ex. aktualiseras om det vid förhandssamråd enligt 3 kap. 7 § andra stycket visar sig att det finns risk för att de förändringar som planeras kan göra att den framtida behandlingen inte blir författningsenlig.
Korrigerande befogenheter
7 §
I paragrafen regleras tillsynsmyndighetens korrigerande befogenheter. Paragrafen, som genomför delar av artikel 47.2, behandlas i avsnitt 12.7.4 och 12.7.6.
Tillsynsmyndigheten har möjlighet att successivt använda olika medel och därigenom stegra påtryckningarna på den som inte självmant rättar sig. Förutom de medel som anges i första stycket 1 är befogenheterna tvingande. De sträcker sig från förelägganden till möjligheten att besluta om sanktionsavgift. Befogenheterna anges i stegrande ordning men är inte kopplade till varandra på det sättet
Författningskommentar SOU 2017:29
736
att en strängare åtgärd förutsätter att mindre ingripande åtgärder redan har prövats.
De korrigerande befogenheterna får användas när tillsynsmyndigheten konstaterar att den personuppgiftsansvarige behandlar personuppgifter i strid med lag eller annan författning eller annars inte fullgör sina skyldigheter. De skyldigheter som avses är framför allt skyldigheterna i 3 kap. Den personuppgiftsansvarige har emellertid också skyldigheter enligt 4 och 8 kap. och skyldighet att bistå tillsynsmyndigheten enligt 5 §. Även underlåtenhet att fullgöra sådana skyldigheter och skyldigheter som regleras i myndigheternas registerförfattningar eller i föreskrifter med anledning av denna lag omfattas.
Enligt första stycket punkten 1 får tillsynsmyndigheten använda de förebyggande befogenheter som regleras i 6 § första stycket för att försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter. Vilka befogenheter tillsynsmyndigheten kan använda utvecklas i kommentaren till 6 §.
Enligt punkten 2 får tillsynsmyndigheten förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att viss behandling av personuppgifter ska bli författningsenlig eller för att de ska uppfylla andra skyldigheter. Sådana förelägganden är bindande för mottagaren. Vad som avses med författningsenlig utvecklas i kommentaren till 2 kap. 6 §.
Tillsynsmyndigheten kan t.ex. förelägga den personuppgiftsansvarige att förändra viss personuppgiftsbehandling eller att uppfylla krav på loggning, dokumentations- eller underrättelseskyldighet. Ett föreläggande kan också avse att den personuppgiftsansvarige ska rätta, komplettera eller radera en personuppgift. Tillsynsmyndigheten kan även förelägga den behöriga myndigheten att vidta ytterligare tekniska eller organisatoriska åtgärder för säkerheten vid behandling eller att inrätta en intern ordning för anmälan av överträdelser av bestämmelserna, upprätta konsekvensbedömning eller fullgöra samrådsskyldighet.
Punkten 3 ger tillsynsmyndigheten rätt att förbjuda fortsatt be-
handling, om den personuppgiftsansvarige eller biträdet allvarligt brister i sina skyldigheter. Med förbud mot fortsatt behandling avses att uppgifter inte längre får behandlas för de ändamål som den personuppgiftsansvarige har bestämt, utan endast får behandlas
SOU 2017:29 Författningskommentar
737
i syfte att uppfylla 2 kap. tryckfrihetsförordningen. För förbud bör krävas, förutom att det är fråga om allvarliga brister, att bristerna i fråga inte kan avhjälpas genom andra mindre ingripande åtgärder. En sådan allvarlig brist kan vara att personuppgifter behandlas för ändamål som inte är tillåtna. Att tillsynsmyndigheten inte på begäran får det underlag eller den hjälp som den har rätt till enligt 5 § kan i vissa fall vara en allvarlig brist, t.ex. att myndigheten vägras tillträde. Det kan också vara en allvarlig brist om den personuppgiftsansvarige eller personuppgiftsbiträdet inte rättar sig efter ett föreläggande eller negligerar en skriftlig varning.
Ett beslut enligt punkten 3 bör normalt vara permanent. Tillsynsmyndigheten bör dock kunna meddela tillfälligt förbud om den anser att det finns förutsättningar för att bristen, trots att den är allvarlig, ska kunna åtgärdas.
Det ankommer på den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta de tekniska åtgärder som krävs för att personuppgifterna inte längre ska kunna behandlas om fortsatt behandling förbjuds.
Av punkten 4 framgår att tillsynsmyndigheten får besluta om sanktionsavgift. De närmare reglerna om det finns i 6 kap.
Beslut enligt första stycket punkterna 2–4 ska vara skriftliga och motiveras. Tillsynsmyndighetens beslut gäller först efter att de har fått laga kraft. Besluten kan överklagas enligt 7 kap. 4 §.
I andra stycket föreskrivs att det av ett föreläggande alltid ska framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas. Om föreläggandet avser rättelse, komplettering, radering eller begränsning av behandlingen bör det framgå av föreläggandet vad som ska göras. Tillsynsmyndigheten får emellertid överlåta åt den granskade myndigheten att avgöra vilka åtgärder som ska vidtas för att behandlingen ska bli författningsenlig eller hur andra skyldigheter ska fullgöras. Det kan vara lämpligt när det är fråga om tekniska eller organisatoriska åtgärder som ska vidtas eller när det annars finns olika alternativ för vilka åtgärder som kan vidtas och hur de bör genomföras.
Författningskommentar SOU 2017:29
738
Kommunikation
8 §
Paragrafen, som delvis genomför artikel 47.4, reglerar tillsynsmyndighetens kommunikationsskyldighet vid bindande beslut enligt 7 §. Paragrafen behandlas i avsnitt 12.8.2.
Enligt paragrafen ska den personuppgiftsansvarige eller personuppgiftsbiträdet ges tillfälle att yttra sig till tillsynsmyndigheten innan den fattar beslut om förelägganden eller andra åtgärder som anges i 7 § första stycket 2–4. Skyldigheten omfattar endast sådan information som tillför ärendet något i sak som kan ha betydelse för tillsynsmyndighetens bedömning. Om det är uppenbart obehövligt behövs ingen kommunikation. Det kan t.ex. gälla material som den personuppgiftsansvarige eller personuppgiftsbiträdet själv har upprättat. Däremot bör sammanställningar som tillsynsmyndigheten upprättat över uppgifter som den personuppgiftsansvarige eller personuppgiftsbiträdet har lämnat som regel kommuniceras.
Kommunikationsskyldigheten gäller inte om frågan är okomplicerad och den personuppgiftsansvarige eller personuppgiftsbiträdet har fått del av informationen genom andra kontakter med tillsynsmyndigheten.
Av underrättelsen som ger den berörde möjlighet att yttra sig bör det framgå när ett yttrande ska ha kommit in. Svarstiden bör anpassas till vilka åtgärder beslutet rör och hur omfattande materialet är. Underrättelsen bör vara skriftlig.
Besked angående handläggningen av ett klagomål
9 §
Paragrafen ger registrerade rätt att få besked angående handläggningen av klagomål som lämnats till tillsynsmyndigheten. Den genomför, tillsammans med 10 § och 7 kap. 3 §, artikel 53.2. Paragrafen behandlas i avsnitt 14.6.2.
Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska utövas i anledning av klagomålet, ska myndigheten enligt
första stycket på skriftlig begäran av den registrerade antingen lämna
besked i den frågan eller i ett särskilt beslut avslå begäran.
SOU 2017:29 Författningskommentar
739
Tillsynsmyndigheten ska alltså antingen lämna besked om huruvida den avser att utöva tillsyn eller avslå den registrerades begäran om besked. Tillsynsmyndigheten behöver inte redovisa hur tillsynen kommer att bedrivas eller ange vilka åtgärder skulle kunna aktualiseras om myndigheten bestämmer sig för att utöva tillsyn. Myndigheten behöver inte heller motivera sitt ställningstagande att utöva tillsyn eller att inte göra det. Det finns dock inget som hindrar att myndigheten anger skälen för det.
Besked eller beslut ska enligt andra stycket meddelas inom två veckor från den dag då begäran om besked kom in till tillsynsmyndigheten. Om myndigheten inte kan ge besked om den avser att utöva tillsyn inom den angivna tiden, ska den i stället avslå begäran om besked genom ett överklagbart och motiverat beslut. Av motiveringen bör det framgå dels varför myndigheten inte kan ge besked, dels hur lång tid myndigheten beräknar att den ytterligare behöver för att kunna ta ställning i frågan om den ska utöva tillsyn.
10 §
I paragrafen, som behandlas i avsnitt 14.6.2, regleras den registrerades rätt enligt 9 § att begära nytt besked om handläggningen.
I paragrafen föreskrivs att den registrerade på nytt kan rikta en begäran om besked till tillsynsmyndigheten tre månader efter det förra beslutet. Det ligger i sakens natur att en sådan begäran inte behöver behandlas om tillsynsmyndigheten redan vid det första tillfället beslutade att inte utöva tillsyn. Det är då tillräckligt att tillsynsmyndigheten upplyser om sitt tidigare beslut.
Tillsynsmyndigheten ska avvisa en begäran om besked som görs innan tremånadersfristen har löpt ut. Avvisningsbeslutet får överklagas enligt 7 kap. 4 §.
Regleringen hindrar inte den enskilde från informella kontakter med myndigheten om handläggningen, men möjligheten att få ett formellt överklagbart beslut begränsas enligt paragrafen.
Författningskommentar SOU 2017:29
740
Samarbete med tillsynsmyndigheter i andra medlemsstater
11 §
Paragrafen, som genomför artikel 50.4, anger i vilka fall en begäran från en tillsynsmyndighet i en annan medlemsstat om bistånd får vägras. Paragrafen behandlas i avsnitt 12.10.1.
Tillsynsmyndigheten får vägra att lämna en utländsk tillsynsmyndighet det bistånd den begär bara om det skulle strida mot en bindande unionsrättsakt, en lag eller en förordning att göra det. Det kan vara fallet t.ex. om den svenska lagstiftningen inte medger att tillsynsmyndigheten agerar på det sätt som begärs. Tillsynsmyndigheten får exempelvis inte med tvång eller i hemlighet bereda sig tillträde till de lokaler som en personuppgiftsansvarig disponerar.
12 §
I paragrafen, som genomför artikel 50.2, regleras tillsynsmyndighetens befogenheter vid internationellt samarbete. Paragrafen behandlas i avsnitt 12.10.1.
Tillsynsmyndigheten har rätt att utnyttja alla de befogenheter som den har i sin vanliga tillsyn när den bistår en utländsk tillsynsmyndighet. Vilka åtgärder som är lämpliga att använda får avgöras i det enskilda fallet.
13 §
Paragrafen innehåller en sekretessbrytande bestämmelse som gör det möjligt för tillsynsmyndigheten att lämna information till en utländsk tillsynsmyndighet. Paragrafen behandlas i avsnitt 16.3.4.
Om det är förenligt med svenska intressen får tillsynsmyndigheten lämna ut uppgifter till en behörig tillsynsmyndighet i en annan medlemsstat även om uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). På samma sätt som vid utlämnande med stöd av 8 kap. 3 § andra punkten samma lag ska en avvägning göras mellan Sveriges intresse av internationellt samarbete på tillsynsområdet och de skäl som talar mot utlämnande. Om det bedöms vara oförenligt med svenska intressen att lämna ut uppgifterna utgör det grund för tillsynsmyndigheten
SOU 2017:29 Författningskommentar
741
att enligt 11 § vägra lämna begärt bistånd när det gäller den informationen.
14 §
Paragrafen, som genomför delar av artikel 50.3, behandlas i avsnitt 12.10.2. Paragrafen föreskriver att de uppgifter som tillsynsmyndigheten får från en tillsynsmyndighet i en annan medlemsstat inte får användas för något annat ändamål än det för vilket de begärdes. Regleringen innebär ett förbud att använda upplysningarna för något annat ändamål än det som den svenska tillsynsmyndigheten angav i sin begäran. Uppgifterna får t.ex. inte lämnas vidare till andra myndigheter för att användas i deras verksamhet.
Ansökan hos allmän förvaltningsdomstol
15 §
Paragrafen gör det möjligt för tillsynsmyndigheten att få giltigheten av en unionsrättsakt prövad genom en talan vid allmän förvaltningsdomstol. Paragrafen behandlas i avsnitt 12.9.
Enligt första stycket har tillsynsmyndigheten möjlighet begära att förvaltningsdomstolen beslutar om en bindande åtgärd som tillsynsmyndigheten själv hade kunnat besluta om enligt 7 § första stycket 2–4. I första hand rör det sig om åtgärder som rättelse, komplettering eller radering. Inom ramen för processen kan tillsynsmyndigheten begära att domstolen inhämtar förhandsbesked från EU-domstolen om huruvida en viss unionsrättsakt strider mot artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (jfr dom av den 6 oktober 2015, Schrems, C-362/14).
Bestämmelsen ska tillämpas endast om det finns särskilda skäl att ifrågasätta giltigheten av unionsrättsakten. Det räcker inte att tillsynsobjektet gör invändning om rättsaktens giltighet. Tillsynsmyndigheten ska göra en egen bedömning av om förfarandet är nödvändigt. Det kan t.ex. vara särskilda skäl om det finns anledning ifrågasätta ett beslut från kommissionen om att ett visst tredjeland uppfyller kraven på adekvat skyddsnivå.
Författningskommentar SOU 2017:29
742
I andra stycket föreskrivs att en ansökan enligt paragrafen ska göras till den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.
Enligt tredje stycket krävs det prövningstillstånd vid överklagande till kammarrätten.
Föreskrifter
16 §
I paragrafen upplyses om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om bl.a. tillsynsmyndighetens anmälningsskyldighet och samarbetet med utländska tillsynsmyndigheter.
6 kap. Administrativa sanktionsavgifter Överträdelser som kan föranleda sanktionsavgift
1 §
Paragrafen reglerar vid vilka överträdelser sanktionsavgift får tas ut av en personuppgiftsansvarig. Den genomför, tillsammans med 2– 7 §§, artikel 57. Paragrafen behandlas i avsnitt 13.5.1–3. Möjligheten att ålägga personuppgiftsbiträden sanktionsavgift regleras i 2 §.
Flertalet av lagens bestämmelser riktar sig till personuppgiftsansvariga. Även vid ett personuppgiftsbiträdes handlande som lett till överträdelser kan sanktionsavgift tas ut av den personuppgiftsansvarige, eftersom personuppgiftsansvaret enligt 3 kap. 1 § omfattar all behandling som utförs på deras vägnar.
Tillsynsmyndigheten avgör i det enskilda fallet om sanktionsavgift bör tas ut, vilket framgår av formuleringen att avgift får tas ut. I paragrafen anges uttömmande vilka överträdelser av personuppgiftsansvarigas skyldigheter som kan föranleda sanktionsavgift och i vilka fall underlåtenhet att vidta åtgärder kan göra det. Både överträdelser av bestämmelser i lagen och bestämmelser som har utfärdats i anslutning till lagen kan leda till sanktionsavgift.
Ansvaret för överträdelser är strikt. Det krävs alltså varken uppsåt eller oaktsamhet för att sanktionsavgift ska kunna tas ut. Det är
SOU 2017:29 Författningskommentar
743
tillräckligt att en överträdelse ägt rum. I 4 § anges vilka omständigheter som särskilt ska beaktas vid bedömning av om avgift ska tas ut och avgiftens storlek.
Enligt första stycket punkten 1 kan sanktionsavgift utgå för överträdelse av flertalet av de grundläggande bestämmelserna i 2 kap. Det innebär bl.a. att behandling av personuppgifter utan rättslig grund, för ändamål som inte är tillräckligt preciserade och behandling av fler personuppgifter än som behövs eller för längre tid än vad som är nödvändigt kan leda till sanktionsavgift. Detsamma gäller otillåten behandling av känsliga personuppgifter eller underlåtenhet att i tillräcklig utsträckning göra åtskillnad mellan olika slags uppgifter eller att säkerställa personuppgifternas kvalitet, exempelvis genom att komplettera ofullständiga uppgifter.
Enligt punkten 2 kan underlåtenhet att vidta tekniska och organisatoriska åtgärder enligt 3 kap. 2–5 §§ eller skyddsåtgärder enligt 3 kap. 8 § också leda till sanktionsavgift. Överträdelsen kan t.ex. bestå i att den personuppgiftsansvarige tar i bruk ett it-system som inte har det inbyggda dataskydd som krävs. Underlåtenhet att begränsa tillgången till personuppgifter internt enligt 3 kap. 6 § eller att göra konsekvensbedömning och förhandssamråda med tillsynsmyndigheten enligt 3 kap. 7 § kan föranleda sanktionsavgift.
Vid överträdelser av reglerna om överföring till tredjeland eller internationella organisationer kan enligt punkten 3 sanktionsavgift också tas ut.
Sanktionsavgift kan vidare enligt andra stycket utgå för underlåtenhet att anmäla eller dokumentera inträffade personuppgiftsincidenter. Vad som är en personuppgiftsincident definieras i 1 kap. 6 §. Anmälningsskyldigheten utvecklas i kommentaren till 3 kap. 9 §.
Vid underlåtenhet att bistå tillsynsmyndigheten enligt någon av punkterna i 5 kap. 5 § får sanktionsavgift också tas ut av den personuppgiftsansvarige. Det gäller också vid underlåtenhet att följa tillsynsmyndighetens förelägganden eller beslut enligt 5 kap. 7 § första stycket 2 eller 3.
Innan tillsynsmyndigheten beslutar om sanktionsavgift ska den personuppgiftsansvarige ges tillfälle att yttra sig, se 5 kap. 8 §.
Författningskommentar SOU 2017:29
744
2 §
I paragrafen regleras vid vilka överträdelser personuppgiftsbiträden får åläggas sanktionsavgift. Paragrafen behandlas i avsnitt 13.5.1–3. Personuppgiftsbiträde definieras i 1 kap. 6 §.
De bestämmelser som räknas upp i första stycket innefattar uttryckliga skyldigheter för personuppgiftsbiträden. Sanktionsavgift får tas ut om tillgången till personuppgifter inte har begränsats internt eller om personuppgiftsbiträden inte har vidtagit nödvändiga skyddsåtgärder. Även underlåtenhet att logga behandling av personuppgifter kan leda till sanktionsavgift.
Vid underlåtenhet att bistå tillsynsmyndigheten enligt någon av punkterna i 5 kap. 5 § får sanktionsavgift enligt andra stycket också tas ut av personuppgiftsbiträden. Detsamma gäller vid underlåtenhet att följa tillsynsmyndighetens förelägganden eller beslut enligt 5 kap. 7 § första stycket 2 eller 3.
Bestämmelsen anger uttömmande vilka överträdelser som kan leda till sanktionsavgift. Ansvaret är strikt.
Innan sanktionsavgift beslutas ska personuppgiftsbiträdet ges tillfälle att yttra sig, se 5 kap. 8 §.
3 §
I paragrafen fastställs minimi- och maximibelopp för sanktionsavgift. Överträdelser av alla regler som kan föranleda sanktionsavgift ska, om det inte finns skäl enligt 5 § att sätta ned avgiften, leda till sanktionsavgift inom dessa ramar. Överträdelser av samma slag kan leda till olika höga sanktionsavgifter inom spannet. I paragrafen anges också hur sanktionsavgiften ska beräknas vid flera överträdelser. Hur avgiften närmare ska bestämmas regleras i 4 §. Paragrafen behandlas i avsnitt 13.6.1.
I första stycket anges sanktionsavgiften för mindre allvarliga överträdelser. Avgiften ska i dessa fall uppgå till minst 25 000 kronor och högst 10 000 000 kronor. I stycket anges uttömmande vilka överträdelser som ska betraktas som mindre allvarliga.
I andra stycket anges minimi- och maximibeloppen för sanktionsavgift för allvarligare överträdelser, vilket är alla överträdelser utom de som anges i första stycket. Avgiften är i dessa fall lägst 50 000 kronor och högst 20 000 000 kronor.
SOU 2017:29 Författningskommentar
745
I tredje stycket anges hur avgiften ska bestämmas om flera regler har överträtts genom samma personuppgiftsbehandling, eller om en eller flera regler har överträtts genom sammankopplade personuppgiftsbehandlingar. Det kan t.ex. röra sig om att ett flertal registrerades personuppgifter har behandlats på samma otillåtna sätt eller i ett otillåtet register. Det kan också vara fråga om att en personuppgift som borde ha rättats eller raderats har spritts och sedan blivit föremål för ny behandling. Tredje stycket tar alltså sikte på det fallet att samma behandling av personuppgifter inneburit att flera av de regler som räknas upp i 1 eller 2 § överträtts. Sanktionsavgiften ska då bestämmas efter de samlade överträdelsernas allvar. Maximibeloppet för den allvarligaste överträdelsen får dock inte överskridas. Sanktionsavgiften ska framstå som en rimlig reaktion på de samlade överträdelserna. Till skillnad från vad som gäller vid fastställande av skadestånd ska alltså beloppet inte beräknas för varje enskild överträdelse mot varje registrerad utan med utgångspunkt i vad som är en rimlig total reaktion på överträdelserna.
4 §
I paragrafen anges vilka omständigheter som särskilt ska beaktas vid bedömningen av om sanktionsavgift ska tas ut och avgiftens storlek. Samma omständigheter ska beaktas vid båda bedömningarna. Uppräkningen är inte uttömmande. Paragrafen behandlas i avsnitt 13.6.2. Jämkning av avgiften regleras i 5 §.
I punkten 1 föreskrivs att det ska beaktas om överträdelsen var uppsåtlig eller berodde på oaktsamhet. Som framgår av kommentaren till 1 § är ansvaret strikt. Om det kan konstateras att en överträdelse är avsiktlig bör det i princip vara uteslutet att avstå från att ta ut sanktionsavgift. Tillvägagångssättet och om det varit fråga om systematiskt handlande har också betydelse. Det finns skäl att se särskilt allvarligt på överträdelser som har tydlig karaktär av nonchalans mot regelverket eller som innebär att förfaranden som tidigare lett till påpekanden från tillsynsmyndigheten upprepas. Att en överträdelse varit avsiktlig talar också för högre avgift än i andra fall. Exempel på en avsiktlig överträdelse kan vara att en myndighet medvetet inrättar ett register som det inte är tillåtet att föra. Om en myndighet uppmärksammas på att viss personuppgiftsbehandling
Författningskommentar SOU 2017:29
746
är otillåten men trots det fortsätter med behandlingen är det också en avsiktlig överträdelse. Däremot kan en överträdelse inte ses som avsiktlig om myndigheten, efter att den blivit medveten om att personuppgiftsbehandlingen inte är tillåten, under en kort tid fortsätter att behandla vissa personuppgifter om det inte är möjligt att omedelbart vidta åtgärder som gör behandlingen författningsenlig.
Om överträdelsen haft sin grund i oaktsamhet talar det för lägre sanktionsavgift, såvida inte oaktsamheten är grov. Ju ringare oaktsamheten är, desto starkare skäl kan det finnas att avstå från att ta ut avgift. Om den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sitt bästa för att agera korrekt men felbedömt rättsläget är utrymmet att avstå från att ta ut sanktionsavgift också större. Det kan dock inte uteslutas att sanktionsavgift i vissa fall bör tas ut även om omständigheterna är mildrande. Det kan vara fallet t.ex. om överträdelsen fått eller riskerat att få allvarliga konsekvenser för de registrerade.
Enligt punkten 2 ska det beaktas vilken skada, fara eller kränkning som överträdelsen inneburit. Det är främst vad överträdelsen fått för följder för de registrerade som avses. Det behöver inte konstateras att skada uppstått utan det räcker att det funnits risk för skada. Som regel blir det fråga om att göra en helhetsbedömning av de potentiella skadeverkningarna. En faktisk skada behöver inte heller vara allvarligare än risken för skada, särskilt om risken varit mycket hög och skadan – om den hade inträffat – skulle ha fått stora konsekvenser.
Även överträdelsens karaktär, svårhetsgrad och varaktighet ska enligt punkten 3 beaktas. Vid bedömningen av överträdelsens karaktär och svårhetsgrad bör hänsyn tas till en rad omständigheter. Vilket slag av behandling det varit fråga om och vilken typ av uppgifter som behandlats är naturligtvis viktigt (t.ex. om det varit känsliga personuppgifter eller annars integritetskänsliga uppgifter). Även hur många personuppgifter som behandlats är relevant liksom behandlingens omfattning i övrigt (t.ex. om det varit fråga om enstaka uppgifter eller ett register av stor omfattning). Vidare bör hänsyn tas till vilken regel som har överträtts och vikten av det skyddsintresse som den bär upp. Hur behandlingen utförts kan också spela roll, eftersom det t.ex. kan påverka spridningen av uppgifterna. Även hur lång tid behandlingen pågått har betydelse, t.ex. om den personuppgiftsansvarige underlåtit att i rätt tid ta bort
SOU 2017:29 Författningskommentar
747
särskilt integritetskänsliga uppgifter. Generellt sett innebär längre tids behandling oftast att risken för att uppgifter kunnat spridas ökat. För vilka syften uppgifterna har behandlats kan också ha betydelse (t.ex. om verksamhetsintressen eller andra motiv legat bakom behandlingen). Ju mer central bestämmelsen som överträtts är för registrerades integritetsskydd, ju fler personuppgifter som behandlats och ju längre de behandlats, desto mindre är utrymmet för att avstå att ta ut avgift eller att sätta sanktionsavgiften lägre. Om känsliga personuppgifter behandlats på ett otillåtet sätt finns det i allmänhet skäl att se strängare på överträdelsen. Om överträdelsen kan anses vara ringa bör det finnas utrymme för att inte ta ut avgift eller bestämma avgiften till ett förhållandevis lågt belopp.
I punkterna 4 och 5 räknas andra omständigheter upp som särskilt ska beaktas. Det kan påverka i mildrande riktning om den personuppgiftsansvarige eller personuppgiftsbiträdet har gjort sitt bästa för att förebygga eller begränsa eventuella skadliga verkningar av överträdelsen. Om den personuppgiftsansvarige däremot inte vidtagit några sådana åtgärder alls eller gjort det först efter påtryckningar talar det i motsatt riktning.
Om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare har ålagts att betala sanktionsavgift för samma typ eller liknande överträdelser bör det ses som försvårande.
Att de uppräknade omständigheterna ska beaktas särskilt utesluter inte att det kan finnas andra omständigheter som i det enskilda fallet kan tillmätas lika stor eller större betydelse.
5 §
Paragrafen, som föreskriver att sanktionsavgiften kan sättas ned helt eller delvis, behandlas i avsnitt 13.6.2.
Det kan ibland finnas omständigheter som gör att det framstår som oskäligt eller stötande att ta ut sanktionsavgift, trots att förutsättningarna för att ta ut avgift är uppfyllda. Paragrafen ger möjlighet att sätta ned sanktionsavgiften, helt eller delvis, om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgift.
Det kan t.ex. röra sig om fall där det har gått så lång tid sedan överträdelsen att det skulle vara oskäligt att ta ut sanktionsavgift.
Författningskommentar SOU 2017:29
748
Avgift kan också te sig oskälig om den samlade reaktionen med hänsyn till att den personuppgiftsansvarige eller personuppgiftsbiträdet även ålagts skadestånd skulle bli oproportionerlig i förhållande till överträdelsen.
Det är däremot inte oskäligt att ta ut avgift när överträdelsen exempelvis har berott på att den personuppgiftsansvarige eller personuppgiftsbiträdet inte känt till reglerna eller överträdelsen berott på dålig ekonomi, tidsbrist, glömska eller dåliga rutiner.
Omständigheter utom den avgiftsskyldiges kontroll som lett till överträdelsen kan i undantagsfall göra överträdelsen ursäktlig. I fall där någon t.ex. avsiktligen och i hemlighet har manipulerat ett datasystem eller vidtagit liknande åtgärder bör den personuppgiftsansvarige kunna undgå ansvar. Det förutsätter emellertid att den personuppgiftsansvarige har vidtagit nödvändiga säkerhetsåtgärder. Den omständigheten att ett personuppgiftsbiträde har behandlat personuppgifter i strid med regelverket kan dock aldrig leda till att den personuppgiftsansvarige befrias från ansvar, utom i de fall där personuppgiftsbiträdet enligt 3 kap. 19 § andra stycket själv ska betraktas som personuppgiftsansvarig.
Beslut om sanktionsavgift
6 §
Paragrafen behandlas i avsnitt 13.7.1 och 13.7.3.
I första stycket föreskrivs att tillsynsmyndigheten beslutar om sanktionsavgift. Tillsynsmyndighet definieras i 1 kap. 6 §. Av andra
stycket framgår att sanktionsavgiften tillfaller staten.
7 §
Paragrafen föreskriver att möjligheten att besluta om sanktionsavgift bortfaller om den som ska avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år efter överträdelsen. Paragrafen behandlas i avsnitt 13.7.2.
Så länge otillåten eller felaktig behandling pågår är det fråga om en pågående överträdelse som kan leda till sanktionsavgift. Den i paragrafen angivna tiden förskjuts då framåt så länge personuppgif-
SOU 2017:29 Författningskommentar
749
terna behandlas. Tidpunkten för överträdelsen kan emellertid få betydelse om överträdelsen avsåg överföring till tredjeland eller om behandlingen har avbrutits. Tiden bör då räknas från när överföringen gjordes eller när behandlingen upphörde.
Föreskrifter
8 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om handläggningen av beslut om och verkställighet av sanktionsavgifter.
7 kap. Skadestånd och rättsmedel
Skadestånd
1 §
I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter i strid med regelverket. Paragrafen, som har utformats efter mönster av 48 § personuppgiftslagen och genomför artikel 56, behandlas i avsnitt 14.3.2.
Paragrafen är en sådan specialbestämmelse om skadestånd som enligt 1 kap. 1 § (1972:207) skadeståndslagen tar över reglerna i den lagen. Om en ersättningsfråga inte berörs i förevarande paragraf – t.ex. frågan om hur ersättningen för en personskada eller sakskada ska beräknas (5 kap. skadeståndslagen) eller hur ansvaret ska fördelas när flera är skadeståndsskyldiga (6 kap. 4 § skadeståndslagen) – tillämpas de allmänna reglerna i skadeståndslagen.
Rätt till skadestånd kan uppkomma på grund av behandling i strid med bestämmelser i denna lag eller föreskrifter som meddelats i anslutning till lagen. För att den personuppgiftsansvarige ska bli ersättningsskyldig behöver den registrerade bara bevisa att behandling av den registrerades personuppgifter stått i strid med reglerna om personuppgiftsbehandling och att den har skadat eller kränkt honom eller henne.
Den registrerades rätt till skadestånd omfattar ersättning för skada och för kränkning av den personliga integriteten. Med skada
Författningskommentar SOU 2017:29
750
avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen.
Det är bara sådan skada eller kränkning som behandlingen av personuppgifter har vållat som ersätts, vilket framgår av att behandlingen ska ha orsakat skada respektive kränkning. Orsakssambandet ska vara adekvat.
Ersättningen för kränkning får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det enskilda fallet. Sådana faktorer som att det funnits risk för otillbörlig spridning av känsliga eller felaktiga personuppgifter eller att den registrerade genom behandlingen av uppgifterna drabbats av beslut eller åtgärder som kunnat få negativa följder hör till det som bör beaktas. Om det t.ex. skett en namnförväxling vid misstanke om rattfylleri och det lett till en felaktig indragning av körkort kan skadestånd aktualiseras. Har den registrerade själv lämnat en oriktig eller ofullständig personuppgift, kan den personuppgiftsansvariges behandling av den uppgiften inte anses innebära någon sådan kränkning av den personliga integriteten som bör föranleda ersättning. Ersättningen för kränkning bör i princip fastställas för varje person för sig.
Gentemot den registrerade är den personuppgiftsansvarige ansvarig för all den behandling som utförs för den personuppgiftsansvariges räkning. Det gäller även när ett personuppgiftsbiträde eller någon annan utfört behandlingen. Anspråk på skadestånd ska således riktas mot den personuppgiftsansvarige även i de fallen. Talan om skadestånd ska, om den personuppgiftsansvarige är en myndighet, riktas mot den juridiska personen, dvs. staten, landstinget eller kommunen. Med myndighet avses detsamma som i regeringsformen, dvs. samtliga statliga och kommunala organ med undantag av riksdagen och de kommunala beslutande församlingarna.
Någon möjlighet till jämkning av skadeståndet om den personuppgiftsansvarige hävdar att den felaktiga behandlingen inte beror på dennes handlande finns inte. Vid medvållande kan dock 6 kap. 1 § skadeståndslagen vara tillämplig.
SOU 2017:29 Författningskommentar
751
Överklagande
Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig
2 §
I paragrafen anges i vilken utsträckning beslut som en myndighet har fattat i egenskap av personuppgiftsansvarig får överklagas. Med myndighet avses i denna paragraf detsamma som i regeringsformen, dvs. samtliga statliga och kommunala organ med undantag av riksdagen och de kommunala beslutande församlingarna. Paragrafen behandlas i avsnitt 14.4.
Vilka typer av beslut som får överklagas räknas upp i första
stycket. Uppräkningen är uttömmande. Beslut i fråga om rättelse,
komplettering eller radering av personuppgifter eller begränsning av behandlingen av personuppgifter får överklagas om den registrerade har begärt åtgärden och beslutet har gått honom eller henne emot. Rätten att överklaga kan gälla även i de fall där myndigheten vidtagit en annan åtgärd än den som den registrerade begärt.
Beslut som innebär att en personuppgiftsansvarig myndighet, helt eller delvis, inte har tillmötesgått en begäran om personrelaterad information får också överklagas. Detsamma gäller beslut att vägra att ompröva ett automatiserat beslut och beslut att ta ut avgift för viss information.
Besluten ska överklagas till allmän förvaltningsdomstol. Vilken förvaltningsdomstol som är behörig framgår av 14 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. För prövning i kammarrätten krävs det enligt andra stycket prövningstillstånd.
Av tredje stycket framgår att det inte finns någon möjlighet att överklaga beslut av de högsta statsorganen.
Dröjsmålstalan
3 §
Paragrafen reglerar domstolens handläggning av en s.k. dröjsmålstalan. Den genomför, tillsammans med 5 kap. 9 §, artikel 53.2 och behandlas i avsnitt 14.6.3.
Författningskommentar SOU 2017:29
752
I första stycket föreskrivs att tillsynsmyndighetens beslut att avslå en begäran om besked enligt 5 kap. 9 § får överklagas till allmän förvaltningsdomstol.
Om domstolen bifaller överklagandet, ska den enligt andra
stycket förelägga tillsynsmyndigheten att inom viss tid meddela den
registrerade om tillsyn kommer att utövas. Domstolen ska inte pröva frågan om tillsyn bör utövas utan enbart om handläggningen i onödan dragit ut på tiden. Prövningen är alltså begränsad till om frågan om tillsyn ska utövas är klar för avgörande. För sin bedömning behöver domstolen ta del av handlingarna så att den kan ta ställning till om tillsynsmyndigheten haft tillräckligt underlag för att avgöra frågan. Om domstolen konstaterar att dröjsmålet är motiverat, dvs. att skälen till att något besked inte har lämnats är godtagbara, ska den avslå överklagandet.
Vid bedömningen av om skälen för fördröjningen är godtagbara kan domstolen bl.a. behöva pröva om ärendet har handlagts med den skyndsamhet som varit påkallad och om eventuella avbrott i handläggningen kan accepteras. Det är inte möjligt att ange generellt hur lång tid tillsynsmyndigheten bör få på sig. En prövning måste göras i det enskilda fallet. Allmänna invändningar om arbetsanhopning och resursbrist kan normalt sett inte accepteras som skäl för dröjsmål. Domstolen bör dock i undantagsfall kunna ta hänsyn till vilka resurser som tillsynsmyndigheten haft till sitt förfogande.
Frågeställningen är mycket begränsad och med tanke på ärendets natur är det angeläget att domstolsprövningen görs snabbt. Eftersom prövningen är okomplicerad bör frågan kunna avgöras av ensamdomare.
Om domstolen finner att tillsynsmyndigheten dragit ut på handläggningen ska den förelägga myndigheten att inom viss tid fatta beslut om tillsyn ska utövas och att ge klaganden besked i frågan. Det kan av naturliga skäl inte bli fråga om någon längre tid, eftersom domstolen genom att bifalla överklagandet har konstaterat att tillsynsmyndigheten redan har dragit ut på handläggningen. Någon möjlighet för domstolen att förena föreläggandet med vite eller någon annan sanktion finns inte.
Domstolens beslut får enligt tredje stycket inte överklagas. Det gäller oavsett om överklagandet bifalls eller avslås. Det innebär att varken tillsynsmyndigheten eller klaganden kan överklaga beslutet.
SOU 2017:29 Författningskommentar
753
Överklagande av andra beslut av tillsynsmyndigheten
4 §
I paragrafen, som har utformats efter mönster av 51 § personuppgiftslagen, föreskrivs att tillsynsmyndighetens beslut i andra frågor än som regleras i 3 § får överklagas. Bestämmelsen genomför artikel 53.1 och behandlas i avsnitt 14.7.1.
Utgångspunkten enligt första stycket är att tillsynsmyndighetens beslut enligt lagen eller enligt föreskrifter som meddelats i anslutning till lagen får överklagas. Det är framför allt fråga om beslut som tillsynsmyndigheten har fattat med stöd av sina korrigerande befogenheter i 5 kap. 7 §. Det kan t.ex. vara beslut om rättelse eller radering. Det kan också vara beslut om sanktionsavgift. Även beslut enligt 5 kap. 9 § att avslå en begäran om besked om tillsyn kommer att utövas eller beslut enligt 5 kap. 3 § andra stycket att vägra utföra kontroll får överklagas.
För att kammarrätten ska ta upp ett överklagande krävs det enligt andra stycket prövningstillstånd.
Beslut som inte får överklagas
5 §
Enligt paragrafen, som behandlas i avsnitt 14.4, får inga andra beslut än de som räknas upp i 2–4 §§ överklagas.
Uppräkningen är uttömmande. Någon rätt att med stöd av förvaltningslagen överklaga andra beslut som en myndighet eller annan har fattat med stöd av lagen finns alltså inte. Det gäller både beslut av personuppgiftsansvariga, tillsynsmyndigheten och personuppgiftsbiträden.
Författningskommentar SOU 2017:29
754
8 kap. Överföring av personuppgifter till tredjeland och internationella organisationer
Grundläggande förutsättningar för överföring
1 §
I paragrafen, som genomför artikel 35.1 a, b och d och artikel 35.3, anges de grundläggande förutsättningarna för att få överföra personuppgifter till ett tredjeland eller en internationell organisation. Paragrafen behandlas i avsnitt 15.3.1–3.
Enligt första stycket får personuppgifter överföras till ett tredjeland eller en internationell organisation om uppgifterna behandlas i Sverige. Det gäller också om personuppgifterna överförs till ett tredjeland eller en internationell organisation för att behandlas där. Tredjeland och internationell organisation definieras i 1 kap. 6 §.
Med behandlas förstås sådan behandling av personuppgifter som lagen reglerar. Behandling av personuppgifter definieras i 1 kap. 6 §. Överföring är en form av personuppgiftsbehandling. För att personuppgifter ska få överföras till ett tredjeland eller en internationell organisation måste därför de grundläggande förutsättningarna för att få behandla personuppgifter alltid vara uppfyllda.
Med överföring avses att en behörig myndighet skickar, vidarebefordrar eller förmedlar information i elektronisk form till någon som befinner sig i ett tredjeland eller till en internationell organisation. Det är också fråga om en överföring när en behörig myndighet gör information tillgänglig för ett tredjeland eller en internationell organisation genom att informationen tillförs ett gemensamt datasystem, t.ex. en databas hos Interpol. Däremot omfattar paragrafen normalt inte överföringar på papper av personuppgifter som inte har undergått automatiserad behandling.
Personuppgifter som har samlats in och behandlats automatiserat i Sverige och som skickas till ett personuppgiftsbiträde i tredjeland för vidarebearbetning omfattas av regleringen. Överföring av personuppgifter till ett tredjeland eller en internationell organisation för behandling där avser bl.a. den situationen att uppgifterna inte behandlas automatiserat i Sverige, utan överförs till ett tredjeland eller en internationell organisation för att automatiseras där. Som exempel kan nämnas blanketter, formulär eller undersökningar som fyllts i för hand och som skickas per post till ett per-
SOU 2017:29 Författningskommentar
755
sonuppgiftsbiträde i ett tredjeland där personuppgifterna läggs in i en databas.
Endast behöriga myndigheter har enligt paragrafen rätt att överföra personuppgifter till ett tredjeland eller en internationell organisation. Behörig myndighet definieras i 1 kap. 6 §.
En behörig myndighet kan även vara en kontaktpunkt hos en behörig myndighet. Polismyndigheten är kontaktpunkt enligt bl.a. FN:s vapenprotokoll och FN:s konvention för bekämpande av nukleär terrorism. Genom sådana kontaktpunkter kan även andra än den egna myndighetens personuppgifter överföras. Kontaktpunkten ansvarar då i sin egenskap av behörig myndighet för att överföringen följer de regler som gäller för överföring av personuppgifter till tredjeland och internationella organisationer. En kontaktpunkt som vidarebefordrar andra myndigheters personuppgifter kan behöva samråda med den myndighet från vilken uppgifterna kommer om det är lämpligt att de överförs till ett tredjeland eller en internationell organisation och vilket skydd personuppgifterna i så fall behöver.
Bestämmelserna om överföring reglerar inte på vems initiativ personuppgifterna överförs, om det är den svenska behöriga myndighetens eller den utländska behöriga myndighetens.
Överföring till ett tredjeland eller en internationell organisation får endast göras om både de i punkterna 1 och 2 angivna villkoren och något av alternativen i punkten 3 samtidigt är uppfyllda.
Punkten 1 innebär en begränsning av de syften för vilka person-
uppgifter får överföras till ett tredjeland eller en internationell organisation. Överföringen av personuppgifter måste vara nödvändig för ett syfte som omfattas av lagens tillämpningsområde (jfr 1 kap. 2 §). Det är således inte tillåtet att till en behörig myndighet i ett tredjeland eller en internationell organisation överföra personuppgifter i något annat syfte, t.ex. för att uppgifterna behövs i ett migrationsärende.
Nödvändighetsrekvisitet innebär att det ska prövas om personuppgifterna behövs för att en behörig myndighet ska kunna utföra en arbetsuppgift som den har ansvar för och som omfattas av denna lags tillämpningsområde. Överföringen kan vara nödvändig för att en svensk myndighet t.ex. ska kunna utreda ett brott som har begåtts här men där viss bevisning finns i ett tredjeland. Ett typiskt exempel är att målsäganden eller ett vittne befinner sig i tredjeland
Författningskommentar SOU 2017:29
756
och att förhör under förundersökningen behöver hållas där. Ett annat exempel är att personuppgifter rörande någon som är internationellt efterlyst sänds till Interpol.
Överföringen kan också vara nödvändig t.ex. för att en behörig myndighet i ett tredjeland ska kunna lagföra ett brott. Kravet är också uppfyllt om en internationell organisation som är en behörig myndighet behöver personuppgifter för ett syfte som omfattas av tillämpningsområdet. Ett exempel kan vara att det i en svensk förundersökning kommer fram information om en person som kan misstänkas för människohandel i ett tredjeland. Ett annat exempel kan vara en narkotikahärva där en försäljare av narkotika i Sverige berättar om en distributör i Turkiet. Svensk behörig myndighet kan i båda fallen överföra personuppgifter till det tredjelandet om de behövs för att upptäcka eller utreda brott där. Om en myndighet i ett tredjeland begär att få personuppgifter av en svensk behörig myndighet ska den svenska myndigheten pröva om den utländska myndigheten behöver uppgifterna för ett syfte som omfattas av lagens tillämpningsområde.
Punkten 2 begränsar till vilka utländska adressater personuppgif-
ter får överföras. Personuppgifter får som huvudregel bara överföras till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet.
Av kravet på att överföringen ska göras till en behörig myndighet följer att den myndighet eller organisation som ska ta emot personuppgifterna ska ha som arbetsuppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Den som personuppgiften överförs till behöver inte ha samma arbetsuppgifter som den svenska myndigheten, men ska vara behörig genom att den har en arbetsuppgift som omfattas av lagens tillämpningsområde. Exempelvis kan Polismyndigheten lämna personuppgifter till en åklagarmyndighet i ett tredjeland. När det gäller internationella organisationer är det framför allt Interpol som är av intresse. Även vissa utredningsorgan under FN torde kunna ha arbetsuppgifter som omfattas av lagens tillämpningsområde, liksom internationella tribunaler. Om en svensk behörig myndighet behöver överföra personuppgifter till en myndighet eller en organisation som inte har en sådan arbetsupp-
SOU 2017:29 Författningskommentar
757
gift, t.ex. en migrationsmyndighet i ett tredjeland, är lagen inte tillämplig.
I punkten 3 ställs dessutom krav på viss skyddsnivå för personuppgifter som överförs till ett tredjeland eller till en internationell organisation. Personuppgifter får alltid överföras till ett tredjeland eller till en internationell organisation för vilket eller vilken kommissionen har beslutat att det finns en adekvat skyddsnivå (se 3 §). Om det inte finns ett sådant beslut får personuppgifterna ändå överföras om uppgifterna kommer att omfattas av tillräckliga säkerhetsåtgärder hos den som mottar dem (se 4 §). Finns det inte något beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder får personuppgifter överföras endast när ett undantag för särskilda situationer gäller (se 5 §). Överföringsgrunderna är alternativa men ska prövas i den ordning som anges i paragrafen. I första hand ska det alltså prövas om det finns beslut om adekvat skyddsnivå och i andra hand om det finns tillräckliga skyddsåtgärder. Först därefter finns det anledning att se om någon av undantagssituationerna är för handen.
Om personuppgifter ska överföras till en internationell organisation, t.ex. Interpol, är det organisationen som sådan, och inte de enskilda stater som är medlemmar i organisationen, som ska uppfylla kravet på skyddsnivå. Ska personuppgiften skickas till ett tredjeland, men överföringen görs med hjälp av Interpol, ska däremot skyddsnivån i det tredjelandet bedömas.
Det finns alltid risk för att skyddet för enskildas integritet försämras när personuppgifter överförs till ett tredjeland eller en internationell organisation som inte har samma dataskyddsnivå som direktivet kräver av medlemsstaterna. Den risken ska därför enligt
andra stycket alltid beaktas särskilt vid bedömningen av hur viktigt
det är att personuppgifterna överförs till det tredjelandet eller den internationella organisationen.
2 §
Paragrafen, som genomför artiklarna 35.1 c och 35.2, anger förutsättningarna för att få överföra personuppgifter som en svensk myndighet har fått från en annan medlemsstat till ett tredjeland
Författningskommentar SOU 2017:29
758
eller till en internationell organisation. Paragrafen behandlas i avsnitt 15.3.4.
Enligt första stycket krävs medgivande från den medlemsstat som en svensk myndighet har fått personuppgifterna från för att uppgifterna ska få överföras till ett tredjeland eller en internationell organisation. Medlemsstat definieras i 1 kap. 6 §. Det behöver inte vara en behörig myndighet i Sverige som har tagit emot personuppgifterna. Paragrafen är även tillämplig på personuppgifter som har lämnats till en annan svensk myndighet och som sedan används i t.ex. brottsbekämpande verksamhet. Personuppgifterna kan ha lämnats till svensk myndighet t.ex. genom att de skickats elektroniskt eller gjorts tillgängliga i ett gemensamt informationssystem.
Medgivandet till överföring ska som huvudregel ges i förväg, innan personuppgifterna överförs till det tredjelandet eller den internationella organisationen. Det hindrar dock inte att en myndighet som lämnar personuppgifter till en annan medlemsstat generellt medger att uppgifterna får överföras till ett tredjeland eller en internationell organisation om det skulle bli nödvändigt längre fram. Sådana generella medgivanden kan tänkas bli vanliga i informationsutbytet mellan EU:s medlemsstater. Finns det ett generellt medgivande som omfattar personuppgifterna som ska överföras, behöver den svenska myndigheten inte göra något ytterligare för att säkerställa att den andra medlemsstaten godtar att uppgifterna överförs till ett tredjeland eller en internationell organisation.
Om det på grund av tidsbrist inte går att i förväg inhämta medgivande från den medlemsstat som lämnat personuppgifterna till Sverige, finns det enligt andra stycket möjlighet att ändå överföra uppgifterna till ett tredjeland eller en internationell organisation. För att det ska vara tillåtet krävs det att åtgärden är nödvändig för att avvärja en omedelbar och allvarlig fara för allmän säkerhet i Sverige eller utomlands, eller för att tillgodose andra väsentliga intressen för Sverige eller en annan medlemsstat. Möjligheten att överföra personuppgifter utan medgivande i förväg ska betraktas som en nödlösning. I kommentaren till 5 § utvecklas vad som avses med en omedelbar och allvarlig fara för allmän säkerhet.
SOU 2017:29 Författningskommentar
759
Tillåtna grunder för överföring
Beslut om adekvat skyddsnivå
3 §
Paragrafen, som genomför artikel 36.1, innehåller den första tillåtna grunden för att överföra personuppgifter till ett tredjeland eller till en internationell organisation. Det är först om förutsättningarna i denna paragraf inte är uppfyllda som alternativen att överföra personuppgifter med stöd av reglerna om tillräckliga skyddsåtgärder i 4 § eller särskilda situationer i 5 § ska prövas. Paragrafen behandlas i avsnitt 15.4.
Enligt paragrafen får personuppgifter alltid överföras till ett tredjeland eller en internationell organisation som enligt ett beslut av kommissionen har en adekvat skyddsnivå för personuppgifter. Om kommissionen har meddelat ett sådant beslut för ett territorium eller en sektor i ett tredjeland får personuppgifter överföras dit. Avgränsningen avgörs av innehållet i kommissionens beslut.
De grundläggande förutsättningarna för överföring av personuppgifter till ett tredjeland eller en internationell organisation i 1 § ska alltid vara uppfyllda för att personuppgifter ska få överföras med stöd av ett beslut om adekvat skyddsnivå. Det innebär bl.a. att personuppgifter ska överföras mellan behöriga myndigheter. Ska personuppgifter som svensk myndighet har fått från en annan medlemsstat överföras ska även kraven i 2 § vara uppfyllda.
Om kommissionen beslutar att ett tredjeland, eller en del av det, eller en internationell organisation inte längre säkerställer en adekvat skyddsnivå får personuppgifter inte överföras dit med stöd av den nu aktuella paragrafen. Det hindrar dock inte att personuppgifter överförs till det tredjelandet eller den internationella organisationen om någon av de andra tillåtna grunderna för överföring är tillämplig.
Författningskommentar SOU 2017:29
760
Tillräckliga skyddsåtgärder
4 §
I paragrafen, som genomför artikel 37.1, behandlas den andra tillåtna grunden för överföring av personuppgifter till ett tredjeland eller en internationell organisation. Paragrafen behandlas i avsnitt 15.5.
Om det inte finns ett beslut om adekvat skyddsnivå enligt 3 § får en behörig myndighet i Sverige ändå överföra personuppgifter till en behörig myndighet i ett tredjeland, eller till en internationell organisation som är en behörig myndighet, om det finns tillräckliga skyddsåtgärder för uppgifterna där. De grundläggande förutsättningarna i 1 och 2 §§ ska alltid vara uppfyllda för att personuppgifter ska få överföras på denna grund.
Enligt punkten 1 kan tillräckliga skyddsåtgärder finnas om sådana har fastställts i ett avtal som ger tillräckliga garantier till skydd för registrerades rättigheter. Personuppgifter kan normalt överföras till länder som är anslutna till dataskyddskonventionen eller har ingått bindande avtal om internationellt samarbete som innehåller dataskyddsregler som är tillämpliga på överföringen. Det kan också vara fråga om bilaterala avtal som Sverige ingått med ett tredjeland och som sörjer för att kravet på dataskydd uppfylls och registrerades rättigheter respekteras.
Enligt punkten 2 får personuppgifter också överföras om den behöriga myndighet som ska ta emot uppgifterna på annat sätt än genom avtal garanterar tillräckligt skydd för dem. Den som ska överföra personuppgifterna till det tredjelandet eller den internationella organisationen ska bedöma alla omständigheter kring överföringen och komma till slutsatsen att skyddsåtgärderna är tillräckliga. Exempel på sådant som kan vägas in vid bedömningen av om tillräckligt skydd garanteras är bl.a. bindande åtaganden att inte sprida personuppgifterna vidare eller att inte använda personuppgifterna efter viss tidpunkt.
Det är den personuppgiftsansvarige som har bevisbördan för att skyddsnivån är tillräcklig hos den som tar emot personuppgifterna i det tredjelandet eller den internationella organisationen. I de fall där personuppgifter överförs till ett tredjeland via en nationell kontaktpunkt i det landet bör bedömningen av om tillräckligt skydd för uppgifterna garanteras avse situationen hos den som
SOU 2017:29 Författningskommentar
761
slutligen ska ta emot dem. Om det inte är känt till vilken behörig myndighet i det tredjelandet som kontaktpunkten kommer att vidarebefordra personuppgifterna får bedömningen i stället göras utifrån vilket dataskydd kontaktpunkten erbjuder.
Överföring i särskilda situationer
5 §
Paragrafen genomför artiklarna 38.1 och 38.2. Den behandlas i avsnitt 15.6.
Paragrafen reglerar möjligheten att överföra personuppgifter till en behörig myndighet i ett tredjeland eller till en internationell organisation som är en behörig myndighet när det varken finns beslut om adekvat skyddsnivå eller tillräckliga skyddsåtgärder för uppgifterna. Kravet är då att det ska vara fråga om en särskild situation. Undantagen för särskilda situationer gäller även samlingar av överföringar. Med samling avses här flera överföringar som på något sätt är sammankopplade, antingen därför att det är flera personuppgifter som överförs inom ramen för ett ärende, eller för att det är en personuppgift som överförs till flera adressater. En överföring kan också innehålla flera personuppgifter och därmed utgöra en samling, t.ex. ett utdrag från ett register. Det viktiga när det gäller samlingar av överföringar är att det i efterhand går att kontrollera vilka personuppgifter som har överförts.
Överföringen ska enligt första stycket vara nödvändig i någon av de särskilda situationer som räknas upp i punkterna 1–4. Punkterna är alternativa. I punkterna 2 och 3 föreskrivs att överföringen ska vara nödvändig i det enskilda fallet. Oavsett vilken situation som är för handen ska de grundläggande förutsättningarna för överföring till tredjeland och internationella organisationer i 1 § alltid vara uppfyllda. Det innebär bl.a. att överföringen ska göras mellan behöriga myndigheter och i ett syfte som omfattas av lagens tillämpningsområde. Även förutsättningarna i 2 § ska vara uppfyllda om personuppgifter som kommer från en annan medlemsstat ska överföras.
I punkten 1 regleras två situationer som kan göra överföringen nödvändig. Det är dels för att skydda vitala intressen för den registrerade eller en annan fysisk person, dels för att skydda andra be-
Författningskommentar SOU 2017:29
762
rättigade intressen för den registrerade. I det sistnämnda fallet gäller alltså inte skyddet till förmån för någon annan än den vars personuppgifter ska överföras. Den som är misstänkt för ett brott kan ha ett berättigat intresse av att viss bevisning som finns i ett tredjeland inhämtas därifrån. Ett vittne som befinner sig i ett tredjeland kan ha ett berättigat intresse av att hans eller hennes personuppgifter överförs dit för att ett förhör ska kunna komma till stånd där.
När det gäller skyddet för vitala intressen kan det gälla både för den som personuppgiften avser och för någon annan fysisk person. Det kan t.ex. handla om att överföra uppgifter om en person som misstänks planera ett sprängdåd eller ett värdetransportrån i ett tredjeland. Ett annat exempel är att någon som har rymt från ett fängelsestraff utgör ett hot mot en målsägande eller ett vittne som bor i tredjeland och polisen där behöver få kännedom om det för att kunna skydda personen. Även andra för den enskilde väsentliga intressen som inte är direkt avgörande för liv och död, t.ex. hälsa och ekonomiska intressen, kan skyddas med stöd av undantaget för vitala intressen.
Punkten 2 tillgodoser behöriga myndigheters behov av att i ett
enskilt fall kunna överföra personuppgifter till ett tredjeland eller en internationell organisation som inte uppfyller kraven på adekvat skyddsnivå eller garanterar tillräckligt skydd för personuppgifterna. Som exempel på när personuppgifter kan behöva överföras i ett enskilt fall för ett ändamål som omfattas av lagens tillämpningsområde kan nämnas bevisupptagning vid utländsk domstol, kvarstad på och beslag av egendom som finns i ett tredjeland och husrannsakan i en bostad eller lokal som är belägen där. Ett annat exempel kan vara att överföringen är nödvändig i ett brottmål för att kunna delge en i tredjeland bosatt målsägande kallelse till rättegång vid svensk domstol.
Åtgärden behöver inte vara nödvändig för att tillgodose svenska myndigheters behov och intressen. Det kan finnas förutsättningar för att tillämpa punkten om ett tredjeland behöver få tillgång till svenska personuppgifter, t.ex. uppgift om att en viss person är dömd för sexuellt utnyttjande av barn. Personuppgifter kan lämnas både på begäran och på den svenska myndighetens eget initiativ.
Punkten 3 innebär att personuppgifter kan överföras till ett
tredjeland eller en internationell organisation om överföringen är
SOU 2017:29 Författningskommentar
763
nödvändig i ett enskilt fall för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk. Det rättsliga anspråket ska vara hänförligt till ett ändamål som omfattas av lagens tillämpningsområde. Exempel på sådana rättsliga anspråk är bl.a. skadestånd i anledning av brott.
Ett exempel på när det kan vara nödvändigt att överföra personuppgifter enligt punkten 4 för att avvärja en omedelbar och allvarlig fara för allmän säkerhet är om det finns information om förestående allvarliga störningar i samhällslivet som har samband med brott eller andra särskilda händelser som kan vålla omfattande ordningsstörning, t.ex. gatukravaller och plundring. Det kan vara fråga om allmän säkerhet i Sverige eller i någon annan stat. Om det är fråga om en omedelbar fara för allmän säkerhet utomlands ligger det i sakens natur att den som vill överföra personuppgifterna har fått veta något av intresse som det är viktigt att det tredjelandet eller den internationella organisationen får information om direkt, t.ex. planer på terroristattentat eller flygplanskapning eller risk för kravaller i samband med en fotbollsmatch. Den överförande myndigheten kan naturligtvis bara beakta sådant som den känner till vid prövningen av om personuppgifterna får överföras. Att det sedan i efterhand visar sig att överföringen inte var nödvändig, t.ex. därför att faran aldrig realiserades, innebär inte att överföringen var otilllåten.
Enligt andra stycket ska en intresseavvägning göras när personuppgifter ska överföras enligt punkten 2 eller 3. De intressen som ska vägas mot varandra är skyddet för den registrerades grundläggande fri- och rättigheter och det allmännas intresse av att överföringen görs. Om den registrerades intresse väger tyngre än det allmännas får personuppgifterna inte överföras. Ett exempel där den registrerades intresse väger tyngre kan vara om han eller hon riskerar dödsstraff, kroppsstraff eller tortyr om hans eller hennes personuppgifter överförs till en behörig myndighet i ett tredjeland.
Författningskommentar SOU 2017:29
764
Vidareöverföring
6 §
Paragrafen reglerar, tillsammans med 7 §, vidareöverföring av personuppgifter till ett tredjeland eller en internationell organisation. Med vidareöverföring förstås överföring av personuppgifter mellan tredjeländer och internationella organisationer av sådana personuppgifter som överförts dit av en medlemsstat. Paragrafen, som genomför artikel 35.1, behandlas i avsnitt 15.7.
I paragrafen anges förutsättningarna för att en svensk myndighet ska få tillåta en vidareöverföring. Den svenska myndigheten kan t.ex. få frågan om ett tredjeland får vidareöverföra personuppgifter som överförts dit. För det första måste det vara en behörig myndighet i Sverige som ger tillåtelse till vidareöverföringen. För det andra innebär hänvisningen till 2 § första stycket att det ska vara fråga om personuppgifter som en svensk myndighet har fått från en annan medlemsstat, t.ex. genom att de skickats elektroniskt eller att de gjorts tillgängliga i ett gemensamt datasystem. Personuppgifterna ska sedan ha överförts till ett tredjeland eller till en internationell organisation som i sin tur vill vidareöverföra uppgifterna till ett tredjeland eller en internationell organisation.
Dessutom krävs det att den behöriga myndigheten i den medlemsstat som lämnade personuppgifterna till en svensk myndighet har medgett att uppgifterna får vidareöverföras. En annan behörig myndighet i den andra medlemsstaten kan också medge vidareöverföring. Om medgivande saknas får den svenska myndigheten inte tillåta att personuppgifterna vidareöverförs.
Något formkrav för hur medgivandet ska lämnas finns inte. Ett medgivande skulle därför kunna lämnas muntligen. Någon form av dokumentation, t.ex. genom en tjänsteanteckning, torde dock vara nödvändig för att tillsynsmyndigheten i efterhand ska kunna kontrollera om nödvändigt medgivande fanns innan den svenska myndigheten tillät vidareöverföringen.
SOU 2017:29 Författningskommentar
765
7 §
I paragrafen, som tillsammans med 6 § genomför artikel 35.1, anges vad en svensk myndighet ska beakta när den tar ställning till en fråga från en annan medlemsstat om att ett tredjeland eller en internationell organisation ska få vidareöverföra personuppgifter som har överförts dit av den andra medlemsstaten. Paragrafen behandlas i avsnitt 15.7.
Paragrafen ska alltså tillämpas på personuppgifter som har sitt ursprung i en svensk myndighet. Personuppgifterna har sedan överlämnats till en annan medlemsstat som in sin tur har överfört dem till det tredjelandet eller den internationella organisationen som vill vidareöverföra uppgifterna. Det är alltid en svensk behörig myndighet som ska medge vidareöverföringen. Med det avses antingen den svenska behöriga myndigheten som ursprungligen lämnade personuppgifterna till den andra medlemsstaten eller en annan svensk behörig myndighet. Om exempelvis Polismyndigheten har lämnat personuppgifter till en annan medlemsstat, som överfört uppgifterna till det tredjeland som vill vidareöverföra dem, men ärendet handläggs av svensk åklagare när förfrågan om vidareöverföring görs är det naturligt att Åklagarmyndigheten prövar frågan om vidareöverföring. Om personuppgifterna har sitt ursprung i en annan myndighet som inte är behörig i lagens mening, t.ex. Skatteverkets beskattningsverksamhet eller Tullverkets verksamhet effektiv handel, bör den myndigheten rådfrågas om medgivande till vidareöverföring ska lämnas. Den rådfrågade myndigheten bör då, utifrån vad som är känt för den, beakta motsvarande omständigheter som den behöriga myndigheten ska ta hänsyn till.
Vid bedömningen av om medgivande till vidareöverföring ska lämnas, ska enligt paragrafen alla omständigheter som har samband med vidareöverföringen beaktas. Av naturliga skäl kan hänsyn tas endast till sådana omständigheter som är kända när bedömningen görs. Det krävs inte att myndigheten gör omfattande efterforskningar för att få fram alla omständigheter som skulle kunna ha betydelse för om medgivande ska lämnas.
I paragrafen pekas ut några omständigheter som ska tillmätas särskild vikt när en svensk behörig myndighet ska ta ställning till en förfrågan från en annan medlemsstat om vidareöverföring kan medges. Brottets allvar ska ses i ljuset av varför vidareöverföringen
Författningskommentar SOU 2017:29
766
är nödvändig. Är exempelvis vidareöverföringen nödvändig för att förebygga brott är det allvaret i det brottet som ska beaktas. Om personuppgifter vidareöverförs till ett tredjeland för att den allmänna ordningen och säkerheten där ska kunna upprätthållas, är det i stället allvaret i faran som hotar ordningen eller säkerheten som ska beaktas. Även det ändamål för vilket personuppgifterna ursprungligen lämnades till den andra medlemsstaten ska beaktas. När det gäller skyddsnivån för personuppgifter, bör bl.a. lagstiftningen i det tredjelandet beaktas. Uppräkningen av omständigheter i paragrafen är inte avsedd att vara uttömmande.
Det finns i och för sig inget som hindrar att en svensk behörig myndighet i förväg generellt medger att personuppgifter får vidareöverföras om det skulle komma att behövas. Det kan tvärtom ligga i den svenska myndighetens intresse att personuppgifterna får stor spridning om det t.ex. är fråga om en efterlyst person som eftersöks. En behörig myndighet ska dock, om den lämnar generella medgivanden till vidareöverföring, beakta att olika tredjeländer och internationella organisationer kan ha olika nivå på skyddet för personuppgifter och att olika personuppgifter kan behöva olika starkt skydd.
Överföring till andra än behöriga myndigheter
8 §
Paragrafen, som genomför artikel 39.1 a–c och e, är ett undantag från kravet i 1 § första stycket 2 att överföring av personuppgifter till tredjeland ska göras till behöriga myndigheter. Om förutsättningarna i paragrafen är uppfyllda får personuppgifter överföras även till andra än behöriga myndigheter. Det kan t.ex. vara företag och privatpersoner i ett tredjeland. Överföring till andra än behöriga myndigheter får dock göras endast om samtliga i första stycket punkterna 1–3 angivna förutsättningar är uppfyllda. Paragrafen behandlas i avsnitt 15.8.
Begränsningen i första stycket innebär att det enbart är vissa svenska behöriga myndigheter som har möjlighet att utnyttja möjligheten till överföring. En aktör som utövar myndighet men som inte är en myndighet får inte överföra personuppgifter till andra än behöriga myndigheter.
SOU 2017:29 Författningskommentar
767
Enligt punkten 1 ska överföringen vara absolut nödvändig för att den svenska myndigheten ska kunna utföra en arbetsuppgift som anges i 1 kap. 2 §. Kravet på absolut nödvändighet innebär att överföringen inte kan underlåtas. Det kan vara fallet bl.a. vid brådskande delgivning av en fysisk person i ett tredjeland genom ett delgivningsföretag som är etablerat där. Ett annat exempel kan vara att Tullverket i sin underrättelseverksamhet kan behöva kontakta ett hotell eller ett transportföretag i ett tredjeland för att snabbt få fram information. Överföring kan också vara nödvändig för att en svensk myndighet ska kunna underrätta en målsägande enligt förundersökningskungörelsen (1947:948) när en gripen, anhållen eller häktad avviker eller ett frihetsberövande hävs, eller enligt fängelseförordningen (2010:2010) när en intagen har permission, rymmer, fritas eller friges.
Kravet i punkten 2 innebär en skyldighet för den svenska myndighet som överför personuppgifterna till någon som inte är en behörig myndighet att underrätta den som ska ta emot uppgifterna om för vilket eller vilka specifika ändamål de får behandlas.
Enligt punkten 3 krävs slutligen att den svenska myndigheten bedömer att det skulle vara ineffektivt eller på något annat sätt olämpligt att i stället överföra personuppgifterna till en behörig myndighet i det tredjelandet. Det kan vara något i tidigare kontakter med den behöriga myndigheten i det landet eller andra indikationer som ger anledning att tro att syftet med överföringen kan komma att förfelas eller att det på något annat sätt skulle vara olämpligt att överföra personuppgifterna via den behöriga myndigheten. Däremot är bestämmelsen inte tillämplig enbart om det skulle ta längre tid att kanalisera personuppgifterna via en behörig myndighet därför att det t.ex. krävs en formell framställning om rättslig hjälp i brottmål.
Ett exempel är de mycket vanliga överföringarna som Polismyndigheten gör till internetoperatörer för att förhindra och utreda internetrelaterad brottslighet. Det skulle vara ineffektivt om varje sådan överföring skulle behöva göras genom en behörig myndighet i mottagarlandet både med hänsyn till mängden förfrågningar och den brådska som ofta råder. Ett annat exempel är information som lämnas till en bank för att förhindra att banken utnyttjas för brottsliga penningöverföringar. I sådana fall kan kontakt behöva tas omedelbart. När det gäller underrättelser till målsägande
Författningskommentar SOU 2017:29
768
enligt förundersökningskungörelsen skulle det kunna medföra problem för målsäganden om underrättelserna alltid kanaliseras via det tredjelandets behöriga myndigheter.
Enligt andra stycket ska det göras en intresseavvägning mellan den registrerades intresse av skydd mot kränkning av grundläggande fri- och rättigheter och det allmännas intresse av att överföringen kommer till stånd. Om den enskildes skyddsintresse väger tyngre får överföringen inte göras. Ett exempel kan vara om personen som uppgifterna avser riskerar förföljelse på grund av sin religion eller politiska åskådning om personuppgifterna överförs till någon annan än en behörig myndighet i ett tredjeland. Intresseavvägningen motsvarar den som enligt 5 § andra stycket ska göras när personuppgifter ska överföras i vissa särskilda situationer.
Villkor om användningsbegränsning
9 §
I paragrafen anges vad som gäller om en svensk behörig myndighet har fått personuppgifter från ett tredjeland eller en internationell organisation och överföringen försetts med villkor för användningen av uppgifterna. Paragrafen behandlas i avsnitt 15.9.1.
Om det tredjelandet eller den internationella organisationen som överfört personuppgifterna med stöd av en bindande överenskommelse har ställt upp särskilda villkor för hur en viss personuppgift får behandlas, t.ex. av vem eller på vilket sätt uppgiften får användas eller hur länge den får behandlas, ska enligt paragrafen villkoren följas av svenska myndigheter. Det gäller oavsett vad som annars är föreskrivet i lag eller annan författning. Ett begränsande villkor följer med personuppgiften om den lämnas vidare till en annan myndighet (se JO 2007/08 s. 57). Den myndighet som lämnar personuppgifter vidare anses vara skyldig att informera om begränsningen. Likartade bestämmelser om användningsbegränsning finns bl.a. i 6 kap. 4 § den föreslagna lagen (2017:000) om internationellt polisiärt samarbete och 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål.
SOU 2017:29 Författningskommentar
769
10 §
Enligt paragrafen får en svensk behörig myndighet, när den överför personuppgifter till ett tredjeland eller en internationell organisation ställa upp villkor som begränsar det tredjelandets eller den internationella organisationens möjlighet att använda uppgifterna. Paragrafen behandlas i avsnitt 15.9.2.
Förutsättningen för att få ställa upp sådana villkor är dels att det finns en bindande överenskommelse som medger sådana villkor, dels att det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Det får dock bara göras i enskilda fall.
Det kan vara aktuellt att ställa upp villkor om den överförande svenska myndigheten vill försäkra sig om att det tredjelandet inte vidareöverför uppgifterna till ett annat tredjeland eller en internationell organisation utan att först inhämta tillstånd från den svenska myndigheten. Ett annat exempel kan vara att en svensk myndighet har fått personuppgifter från en annan medlemsstat med villkor som begränsar användningen. Om den svenska behöriga myndigheten, med den andra medlemsstatens medgivande, då vill överföra uppgifterna till ett tredjeland eller en internationell organisation är det naturligt att den svenska myndigheten föreskriver motsvarande villkor för det tredjelandet eller den internationella organisationen.
Liknande bestämmelser finns bl.a. i 5 kap. 2 § lagen (2000:562) om internationell rättslig hjälp i brottmål och 6 kap. 4 § den föreslagna lagen (2017:000) om internationellt polisiärt samarbete.
Föreskrifter
11 §
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om bl.a. information till annan medlemsstat när personuppgifter, som en svensk myndighet har fått från den andra medlemsstaten, har överförts till ett tredjeland eller en internationell organisation utan förhandsmedgivande och information till behörig myndighet i tredjeland när personuppgifter har överförts till någon annan än en behörig myndighet i det tredjelandet.
Författningskommentar SOU 2017:29
770
Övergångsbestämmelser
Övergångsbestämmelserna behandlas i avsnitt 6.1.4, 18.1 och 18.2.
Punkten 1 föreskriver när lagen ska träda i kraft och punkten 2
att 2013 års lag då ska upphöra att gälla.
I punkten 3 föreskrivs att bestämmelsen om loggning i 3 kap. 5 § inte behöver tillämpas på automatiserade behandlingssystem som inrättats före den 6 maj 2018 förrän den 1 maj 2023.
Sanktionsavgift får enligt punkten 4 beslutas endast för överträdelser som har begåtts efter ikraftträdandet. Bestämmelsen tydliggör att sanktionsavgift inte får beslutas för en överträdelse som har begåtts före ikraftträdandet, även om sanktionsavgift skulle betraktas som en mildare åtgärd än ett straff.
Enligt punkten 5 ska äldre bestämmelser fortsätta att gälla för överträdelser av bestämmelser om personuppgiftsbehandling som begåtts före ikraftträdandet. Den gäller endast för sådana överträdelser som varit straffbara enligt 49 § personuppgiftslagen. Vid bedömningen av om det varit fråga om en överträdelse ska de krav som gällde för personuppgiftsbehandling vid tidpunkten för överträdelsen tillämpas.
Punkten 6 föreskriver att ärenden om tillsyn över behandling av
personuppgifter inom denna lags tillämpningsområde som har inletts hos Datainspektionen eller Säkerhets- och integritetsskyddsnämnden före ikraftträdandet men ännu inte har avgjorts när lagen träder i kraft ska handläggas enligt äldre föreskrifter.
I punkten 7 föreskrivs att äldre föreskrifter också ska gälla för överklagande av beslut om behandling av personuppgifter inom denna lags tillämpningsområde som har meddelats före ikraftträdandet. Med äldre föreskrifter avses här personuppgiftslagen, personuppgiftsförordningen eller särskilda överklagandebestämmelser i de behöriga myndigheternas registerförfattningar. Punkten tar inte bara sikte på själva överklagandet utan också på vilket regelverk som ska tillämpas när överklagandet prövas. Äldre föreskrifter ska tillämpas även i det fallet.
Punkten 8 innebär att bestämmelserna om skadestånd i 48 § per-
sonuppgiftslagen fortfarande ska gälla för skada som har orsakats vid behandling av personuppgifter inom denna lags tillämpningsområde före ikraftträdandet.
SOU 2017:29 Författningskommentar
771
19.2 Förslaget till lag om ändring i lagen ( 2000:562 ) om internationell rättslig hjälp i brottmål
5 kap.
2 §
Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten att ställa upp villkor om användningsbegränsningar i samband med rättslig hjälp.
Första stycket är oförändrat.
I andra stycket införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
19.3 Förslaget till lag om ändring i lagen ( 2000:1219 ) om internationellt tullsamarbete
2 kap.
7 §
Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten att ställa upp villkor om användningsbegränsningar i samband med internationellt tullsamarbete.
Första stycket är oförändrat.
I andra stycket införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
19.4 Förslaget till lag om ändring i lagen ( 2003:1174 ) om vissa former av internationellt samarbete i brottsutredningar
6 §
Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten att ställa upp villkor om användningsbegränsningar inom ramen för gemensamma utredningsgrupper.
Författningskommentar SOU 2017:29
772
Första stycket är oförändrat.
I andra stycket införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall.
19.5 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
9 kap.
2 §
Paragrafen, som behandlas i avsnitt 16.3.5, innehåller en upplysning om att det finns bestämmelser som gör det möjligt att ställa upp villkor om användningsbegränsning i andra författningar.
Punkterna 1–9 är oförändrade. Punkterna 10 och 11 är enbart omnumrerade. Punkten 12, som är ny, innehåller en hänvisning till brottsdata-
lagen (2018:000).
17 kap.
7 c §
Paragrafen, som är ny, reglerar sekretessen hos den myndighet som utsetts till tillsynsmyndighet enligt brottsdatalagen (2018:000) vid samarbete med tillsynsmyndigheter i andra medlemsstater. Vilka stater som är medlemsstater och vad som avses med tillsynsmyndighet framgår av 1 kap. 6 § brottsdatalagen. Paragrafen behandlas i avsnitt 16.3.2 och 16.3.3.
I första stycket föreskrivs att sekretess gäller för uppgifter som lämnas till den svenska tillsynsmyndigheten av en tillsynsmyndighet i en annan medlemsstat i samband med en begäran om svenskt bistånd med tillsyn. Det kan exempelvis vara uppgifter som kan ge inblick i enskilda ärenden hos ett utländskt tillsynsobjekt eller avslöja hur arbetet bedrivs där. Sekretessen skyddar alltså utländska intressen. Att uppgiften ska ha lämnats i samband med en begäran om bistånd innebär inte att den behöver ha lämnats i själva begäran utan den kan även härröra från de fortsatta kontakterna. Det kan
SOU 2017:29 Författningskommentar
773
t.ex. vara fråga om en uppgift som den utländska tillsynsmyndigheten lämnat spontant.
Sekretessen gäller om det kan antas att den svenska tillsynsmyndighetens möjlighet att bedriva tillsyn motverkas om uppgiften röjs. Vid bedömningen bör vägas in vilken effekt offentliggörande av uppgiften skulle antas få på det framtida samarbetet och på den svenska tillsynsmyndighetens möjligheter att få bistånd i sin tillsyn från andra medlemsstater.
I andra stycket anges att sekretessen gäller i högst 40 år för uppgift i allmän handling.
35 kap.
4 b §
Paragrafen, som är ny, reglerar sekretessen hos behöriga myndigheter för uppgifter i sammanställningar av känsliga personuppgifter enligt 2 kap. 14 § brottsdatalagen (2018:000). Paragrafen behandlas i avsnitt 16.4.
I första stycket föreskrivs att sekretess ska gälla hos behöriga myndigheter för uppgifter i sammanställningar av känsliga personuppgifter. Sekretessen är absolut, vilket innebär att de uppgifter som omfattas av bestämmelsen ska hemlighållas utan någon skadeprövning om uppgifterna begärs ut.
I andra stycket anges att sekretessen gäller i högst 70 år för uppgift i allmän handling.
24 §
I paragrafen anges i vilken utsträckning den tystnadsplikt som följer av sekretessbestämmelserna i kapitlet inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen. Paragrafen behandlas i avsnitt 16.4.
I ett nytt första stycke föreskrivs att den tystnadsplikt som följer av 4 b § ska ha företräde framför rätten att meddela och offentliggöra uppgifter.
Författningskommentar SOU 2017:29
774
I andra stycket görs enbart redaktionella ändringar, medan tredje
stycket är oförändrat.
19.6 Förslaget till lag om ändring i lagen ( 2017:000 ) om internationellt polisiärt samarbete
6 kap.
4 §
Paragrafen, som behandlas i avsnitt 9.5, reglerar möjligheten för en svensk brottsbekämpande myndighet att ställa upp villkor om användningsbegränsningar. Det införs en upplysning om att det i brottsdatalagen (2018:000) finns bestämmelser om att villkor om hur personuppgifter får behandlas inte får ställas upp i vissa fall. Paragrafen är i övrigt oförändrad.
775
Särskilda yttranden
Särskilt yttrande av experten advokaten Conny Larsson
Jag ställer mig bakom utredningens bedömningar och de bestämmelser som föreslås men med följande reservationer. Myndigheternas intresse att nå resultat i sin verksamhet kommer ofta att stå i konflikt med den personliga integriteten. Avvägningen däremellan görs av samma personal som företräder myndighetens intresse. Regelverket är dessutom svårt att överblicka och det ställs mycket stora krav på kunskaper för att förstå hur reglerna hänger ihop. Jag vill därför framhålla nödvändigheten i att personalen som behandlar personuppgifter får utbildning och annat stöd som behövs för att kunna göra korrekta bedömningar.
Förslagets definition av ”personuppgiftsbiträde” hänvisar till ett särskilt och skriftligt avtal. Eftersom definitionen i direktivet endast förutsätter ett avtal och inte även att detta är skriftligt, inskränker förslaget vilka som definitionsmässigt kan utgöra personuppgiftsbiträde. Om någon anlitas utan att avtalet ges skriftlig form anses denne inte vara något personuppgiftsbiträde och omfattas då inte av direktivets krav på personuppgiftsbiträdena. Jag finner det mindre lyckat att skyddet för den personliga integriteten på detta sätt blir beroende av om avtalet upprättats skriftligen eller inte och skulle därför föredra samma definition som i direktivet så att kravet på att avtalet ska vara skriftligt utgår.
Vid anlitande av personuppgiftsbiträde måste särskilt bedömas om det är lagligt att låta denne få tillgång till de personuppgifter som ska behandlas. Detta kan nämligen utgöra ett utlämnande eller röjande av uppgifterna, även om personuppgiftsbiträdet inte faktiskt och aktivt tar del av uppgifterna. Om uppgifterna omfattas av sekretess kan röjandet vara otillåtet, särskilt när det är fråga om uppgifter som omfattas av absolut sekretess eller omvänt skaderek-
Särskilda yttranden SOU 2017:29
776
visit. Detta kan inte alltid åtgärdas genom sekretessavtal, säkerhetskrav, behörighetsbegränsningar, loggning eller kontroll av personal hos personuppgiftsbiträdet. Eftersom personuppgifterna ofta är av känsligt slag eller kan leda till särskilda konsekvenser för de registrerade vill jag framhålla att det är särskilt angeläget att noggrant utreda om tillämpliga sekretessregler eller säkerhetskrav medger anlitande av ett utomstående personuppgiftsbiträde innan denne får tillgång till personuppgifterna (se t.ex. JO dnr 2011-3032).
Förslaget innebär vidare att personuppgifter ska få behandlas för andra ändamål än de ursprungliga, om det kan anses nödvändigt och proportionerligt. Enligt direktivet ska det även vara nödvändigt och proportionerligt enligt unionsrätten eller medlemsstaternas nationella rätt. Enligt 2 kap. 21 § regeringsformen måste detta även vara godtagbart i ett demokratiskt samhälle som motsvarar vad som gäller enligt den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Jag finner det mycket angeläget att det sätts tydliga gränser för de sekundära ändamålen och att förslaget kompletteras med ett krav på att ändamålen även ska vara godtagbara i ett demokratiskt samhälle.
I brottsbekämpande sammanhang kan felaktig information leda till förödande konsekvenser för den registrerade. Det måste såsom anges i direktivet ställas stora krav på att alla rimliga åtgärder vidtas för att säkerställa uppgifternas riktighet. Detta är särskilt angeläget då uppgifterna behandlas i hemlighet utan att den registrerade kan påpeka eventuella felaktigheter. När det gäller att bedöma vilka konkreta säkerhetskrav behandlingen innebär kommer myndigheterna att ställas inför svåra bedömningar. Det kommer att finnas ett mycket stort behov av stöd och vägledning, inte bara vad gäller hur de tekniska lösningarna ska utformas utan även beträffande organisation och administration. Därför är det av väsentlig betydelse att tillsynsmyndigheterna verkligen får de resurser och den kompetens som behövs för att kunna bistå de personuppgiftsansvariga, t.ex. genom stickprov, rådgivning och information.
De sanktionsavgifter som kan bli aktuella vid åsidosättanden av skyldigheterna ska enligt förslaget tillfalla staten. Flertalet av de myndigheter som berörs är statliga förvaltningsmyndigheter. Innebörden blir således att staten i praktiken kommer att betala sanktionsavgifterna till sig själv. Samtidigt föreslås att inga straffbestämmelser ska ingå och de skadeståndsbelopp som enligt rätts-
SOU 2017:29 Särskilda yttranden
777
praxis normalt utdöms vid kränkningar av den personliga integriteten är blygsamma (jfr Högsta domstolens dom den 6 december 2013, T 2807-12). Jag är därför mycket tveksam till att sanktionsavgifterna verkligen kommer att få den avhållande effekt som åsyftas i direktivet och oroar mig för de signaler detta sänder till allmänheten.
Avslutningsvis vill jag framhålla de särskilda risker för den personliga integriteten som typiskt sett föreligger när personuppgifter ska lämnas ut till annat land. Detta gäller särskilt när det är fråga om länder utanför EU eller EES där det är oklart om det finns ett adekvat skydd för den personliga integriteten. Här är det svårt att förutse och kontrollera hur personuppgifterna kommer att användas efter det att de överlämnats, särskilt eftersom det inte med bindande verkan går att uppställa villkor eller krav som strider mot nationell rätt i dessa länder. En noggrann bedömning av riskerna för att personuppgifterna kan komma att behandlas och användas för andra ändamål som inte skulle vara tillåtet i Sverige är i dessa fall av utomordentligt stor betydelse.
Särskilda yttranden SOU 2017:29
778
Särskilt yttrande av experten verksjuristen David Kummel
Allmän utgångspunkt avseende förhållandet mellan dataskyddsförordningen och dataskyddsdirektivet
En grundläggande tanke som präglar stora delar av utredningens förslag är att dataskyddsdirektivet ska implementeras på ett sätt som ligger så nära dataskyddsförordningen som möjligt. I flera sammanhang, se bland annat avsnitt 12.2 och 13.1.3, poängteras att förordningen och direktivet uppvisar stora likheter gällande såväl begreppsanvändning som reglering i sak. Att likheter finns följer av att de båda regelverken har arbetats fram i en samordnad process. För personuppgiftsbehandling inom det brottsbekämpande området gör sig emellertid helt andra behov och avvägningar gällande än vad som är fallet på den allmänna förordningens område. Det är också anledningen till att en särskild rättsakt har valts för det brottsbekämpande området. En grundprincip i dataskyddsregelverket är den avvägning som krävs för att avgöra om personuppgiftsbehandlingen är berättigad. Vad som är berättigat inom rättsväsendet avgörs inte huvudsakligen av de berörda myndigheterna, utan av lagstiftaren. Inom direktivets område är förhållanden mellan stat och individ och avvägningar mellan det berättigade intresset av att brott bekämpas och olika former av inskränkningar i enskildas personliga integritet noggrant författningsreglerade.
Under förhandlingsarbetet har det eftersträvats att de båda rättsakterna inte i onödan ska skilja sig åt i begreppsanvändning eller sakinnehåll. Med det i beaktande måste utgångspunkten vara att varje kvarvarande avvikelse i direktivet har föranletts av en aktiv bedömning att regleringen på direktivets område ska skilja sig åt från vad som gäller enligt förordningen. Av denna anledning bör enligt min mening implementeringen av direktivet som utgångspunkt ta fasta på de skillnader som föreligger mellan rättsakterna, inte likheterna. Att med hänvisning till enhetlighet och en förväntad enklare praktisk tillämpning ställa väsentligt annorlunda eller höjda krav på personuppgiftsansvariga än vad direktivet stadgar riskerar att ge oönskade hämmande effekter på brottsbekämpande myndigheters förmåga att fullfölja det uppdrag som statsmakterna gett dem. Därutöver finns en uppenbar risk att det leder till att det ställs krav på brottsbekämpande myndigheter att ägna sig åt admi-
SOU 2017:29 Särskilda yttranden
779
nistration och dokumentation som inte möts av att skyddet för enskildas integritet på ett motsvarande sätt stärks i realiteten.
Mot denna bakgrund bör särskilt tas fasta på utredningsdirektivens konstaterande att ”när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt anpassade bestämmelser”. Jag menar att utredningen, i denna och andra frågor, särskilt borde ha angett en motivering till att de lämnade förslagen går längre än vad direktivet kräver eller annars genomförs på ett sätt som anpassas till den nationella regleringen på förordningens område. Dessa förslag bör i det fortsatta lagstiftningsarbetet genomföras endast i den utsträckning de kan motiveras och skapa en önskvärd balans mellan direktivets övergripande syfte: att säkerställa ett effektivt rättsväsende genom främjandet av en informationshantering i och mellan medlemsstater, samtidigt som enskildas personliga integritet skyddas.
Ramlagens tillämplighet på behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet
Enligt min mening har utredningen kraftigt beskurit ramlagens tilllämpningsområde när det gäller personuppgiftsbehandling som sker i syfte att (med direktivets lydelse) skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Utöver brottsbekämpning och myndighetsutövning för att mer handgripligen upprätthålla ordning vid demonstrationer och liknande förtydligar direktivets beaktandesats 12 att ”Polisens och andra brottsbekämpande myndigheters verksamhet […] omfattar också upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott.”
Att statsmakterna har lagt arbetsuppgifter på Polismyndigheten har i vissa fall med frågor om våldsanvändning att göra, men i många fall motiveras det även utifrån att arbetsuppgiften angränsar till polisens grundläggande brottsförebyggande och ordningshållande uppdrag, liksom av det faktum att de informationsunderlag som krävs för att genomföra uppgiften redan finns tillgängliga inom den brottsbekämpande verksamheten. Ofta finns det således
Särskilda yttranden SOU 2017:29
780
inom sådan verksamhet ett stort behov av att söka och nyttja uppgifter som finns i myndigheten, men mer sällan ett behov av att samla in och påbörja ny behandling av personuppgifter.
Jag anser att det finns skäl att låta större delar av polisens icke brottsbekämpande verksamhet omfattas av ramlagen, bland annat gränskontrollverksamhet och polisens transport, omhändertagande och förvar av ej brottsmisstänkta personer. Direktivet innehåller inget som förhindrar en sådan implementering, samtidigt som det väsentligen skulle underlätta vid tillämpningen att ha en och samma rättsliga grund för personuppgiftsbehandlingen för dessa och brottsbekämpande syften. Arbetsuppgifterna utförs i många fall sömlöst ihop med brottsbekämpande verksamhet och kräver ofta behandling av personuppgifter som primärt behandlas för brottsbekämpande ändamål för att kunna fatta effektiva och rättssäkra beslut för att upprätthålla allmän ordning och säkerhet.
781
Kommittédirektiv 2016:21
Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet
Beslut vid regeringssammanträde den 17 mars 2016
Sammanfattning
Inom kort förväntas EU besluta om ett direktiv med regler om skydd av personuppgifter när behöriga myndigheter behandlar sådana uppgifter vid brottsbekämpning, brottmålshantering eller straffverkställighet. En särskild utredare ska föreslå hur EUdirektivet ska genomföras i svensk rätt. Utredaren ska bl.a.
• lämna förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde,
• lämna de förslag till författningsändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behandling av personuppgifter till de nya förutsättningarna,
• bedöma om direktivet ger anledning till ny eller ändrad reglering om tillsyn och vid behov lämna författningsförslag,
• bedöma om det finns anledning att reglera Säkerhetspolisens personuppgiftsbehandling separat från den lagstiftning som gäller för Polismyndigheten och vid behov lämna författningsförslag.
Utredaren ska senast den 1 april 2017 i ett delbetänkande redovisa uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn
Bilaga 1 SOU 2017:29
782
inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.
Den nuvarande regleringen och EU:s dataskyddsreform
Några grundläggande bestämmelser om skydd av personuppgifter vid brottsbekämpning
Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Behandling av personuppgifter i brottsbekämpande myndigheters verksamhet kan typiskt sett falla under bestämmelsen. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap. regeringsformen.
I EU:s stadga om de grundläggande rättigheterna (EUT C 83, 30.3.2010, s. 389) bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Artikel 8 i stadgan reglerar skydd av personuppgifter. Enligt artikeln har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.
I detta sammanhang bör även artikel 8 i Europakonventionen nämnas. Enligt artikeln har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. Rättigheten är dock inte
Bilaga 1
783
absolut. Inskränkningar får göras med stöd av lag och om det är nödvändigt och proportionerligt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål, bl.a. förebyggande av oordning och brott.
Den nuvarande EU-regleringen
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet gäller inte på området för polissamarbete och straffrättsligt samarbete och inte heller på området för nationell säkerhet.
Den nuvarande EU-regleringen i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är tillämplig på informationsutbyte över gränserna. Dataskyddsrambeslutet är alltså tillämpligt på uppgifter som överförs eller görs tillgängliga mellan medlemsstater eller mellan medlemsstater och EU-organ och vissa informationssystem. Dataskyddsrambeslutet gäller däremot inte för rent nationell personuppgiftsbehandling. Från tillämpningsområdet undantas också personuppgiftsbehandling inom området nationell säkerhet.
Den nuvarande svenska regleringen
Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204). Personuppgiftslagen har gjorts generellt tillämplig vilket innebär att den gäller även utanför EU-rättens tillämpningsområde och alltså reglerar behandling av personuppgifter oavsett ändamålet med behandlingen. Personuppgiftslagen är dock subsidiär i förhållande till andra lagar och förordningar. Inom flera områden, bl.a. när det gäller brottsbekämpning, finns särlagstiftning i s.k. registerförfattningar som helt eller delvis ersätter personuppgiftslagen. När särregleringen helt ersätter personuppgiftslagen, görs som regel hänvisningar till vissa paragrafer i lagen som ändå ska gälla. Sådana hänvisningar görs
Bilaga 1 SOU 2017:29
784
ofta till personuppgiftslagens bestämmelser om bl.a. information till den registrerade, rättelser, säkerheten vid behandling, överföring av personuppgifter till tredjeland, tillsynsmyndighetens befogenheter och skadestånd.
Vid genomförandet av dataskyddsrambeslutet bedömdes merparten av rambeslutets artiklar motsvaras av bestämmelser i svensk rätt, dels i personuppgiftslagen, dels i berörda myndigheters registerförfattningar. De kompletterande bestämmelser som krävdes genomfördes i en särskild lag, lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
EU:s dataskyddsreform
Inom kort väntas en ny EU-förordning antas om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter (nedan dataskyddsförordningen).1Samtidigt väntas ett nytt EU-direktiv antas om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (nedan det nya dataskyddsdirektivet).2
Dataskyddsförordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta dataskyddsdirektivet från år 1995. Den börjar tillämpas två år räknat från den tjugonde dagen efter publicering i Europeiska unionens officiella tidning. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Från dataskyddsförordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot
1 Kommittédirektiven utgår från den version av förslaget som finns i dok 5455/16 av den 28 januari 2016. 2 Kommittédirektiven utgår från den version av förslaget som finns i dok 5463/16 av den 28 januari 2016.
Bilaga 1
785
mot den allmänna säkerheten. Den personuppgiftsbehandling som görs för dessa syften faller i stället under det nya dataskyddsdirektivets tillämpningsområde. Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt.
Från både förordningens och direktivets tillämpningsområden undantas personuppgiftsbehandling i verksamhet som inte omfattas av unionsrätten, däribland området nationell säkerhet.
EU:s dataskyddsreform kommer att kräva en bred översyn av svenska författningar om personuppgiftsbehandling. Bland övrigt utredningsarbete bör nämnas att en särskild utredare har i uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som dataskyddsförordningen ger anledning till (dir. 2016:15). Den utredningen syftar till att säkerställa att det finns en ändamålsenlig och välbalanserad kompletterande nationell reglering om personuppgiftsbehandling när förordningen börjar tillämpas.
Uppdraget att föreslå hur EU-direktivet ska genomföras i svensk rätt
En väl avvägd balans är nödvändig mellan å ena sidan skyddet för den personliga integriteten och å andra sidan samhällets krav på att brott förebyggs och förhindras, att brott utreds och att personer som begår brott lagförs. Den svenska regleringen om skydd av personuppgifter inom direktivets tillämpningsområde har i stor utsträckning nyligen moderniserats och bedömts ändamålsenlig. En avvägning mellan olika intressen har då gjorts. En allmän utgångspunkt för uppdraget är därför att utredaren ska sträva efter principiella lösningar som ansluter till nuvarande systematik i bl.a. polisdatalagen (2010:361), åklagardatalagen (2015:433) och domstolsdatalagen (2015:728). Även i övrigt ska utredaren så långt det är lämpligt och möjligt sträva efter principiella lösningar som är förenliga med gällande författningar och systematik. Vid utformningen av de författningsförslag som lämnas ska utredaren beakta EU:s stadga om de grundläggande rättigheterna och de internationella konventioner på området som Sverige är förpliktat att
Bilaga 1 SOU 2017:29
786
följa. Liksom vid all lagstiftning ska enkelhet, överskådlighet och konsekvens eftersträvas för det samlade regelverket om skydd av personuppgifter. I detta ligger också att förslagen så långt som möjligt ska vara kostnadseffektiva.
Direktivet kommer att vara ett resultat av förhandlingar och kompromisser i och mellan kommissionen, rådet och Europaparlamentet, vilket kan medföra oklarheter och otydligheter i text och systematik. Utredaren ska därför eftersträva att innebörden av direktivet vid behov förklaras och tydliggörs.
En ny ramlagstiftning för skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet
Det nya dataskyddsdirektivet innehåller ett antal bestämmelser som innebär förpliktelser för medlemsstaterna. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa bestämmelserna i direktivet.
I förhållande till nuvarande svensk reglering innehåller direktivet en delvis ny eller mer detaljerad reglering om rättigheter för enskilda och om skyldigheter för personuppgiftsansvariga eller biträden när det gäller bl.a. datasäkerhet, dokumentation och loggning, konsekvensanalyser och förhandssamråd med tillsynsmyndighet och regler om underrättelser vid s.k. personuppgiftsincidenter.
Direktivet innehåller också regler som anpassats för rättsaktens tillämpningsområde om överföring av personuppgifter till tredjeland och internationella organisationer. Även när det gäller uppgifter och befogenheter för en tillsynsmyndighet innehåller direktivet särskilt anpassade bestämmelser.
Enligt direktivet har enskilda vissa rättigheter, bl.a. att vända sig till en tillsynsmyndighet med klagomål, att få tillgång till rättsmedel både mot tillsynsmyndighetens beslut och mot åtgärder av en personuppgiftsansvarig eller biträde samt att få ersättning av ansvariga som inte lever upp till direktivets krav. Direktivet förpliktar även medlemsstater att föreskriva regler om påföljder eller sanktioner vid överträdelser av bestämmelser som genomför direktivet.
Direktivets tillämpningsområde omfattar personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straff, inkluderande skydd mot samt förebyggande av hot mot den all-
Bilaga 1
787
männa säkerheten. Det finns behov av att utifrån svenska förhållanden analysera och beskriva direktivets tillämpningsområde. Det behöver bl.a. analyseras i vilken utsträckning även personuppgiftsbehandling vid andra myndigheter än dem som ingår i rättskedjan, exempelvis Statens institutionsstyrelse och Rättsmedicinalverket, omfattas av direktivets förpliktelser.
Som framgått är det personuppgiftslagen som i dag i huvudsak innehåller reglering av motsvarande slag som det nya dataskyddsdirektivet kräver. När den nya dataskyddsförordningen börjar tillämpas kommer dock personuppgiftslagen och föreskrifter i anslutning till den lagen att behöva upphävas. Det regelverk som ersätter personuppgiftslagen – förordningen och kompletterande nationella bestämmelser – är inte anpassat till de särskilda förutsättningar som gäller för personuppgiftsbehandling inom området för brottsbekämpning, brottmålshantering och straffverkställighet. Det bedöms emellertid fortfarande vara lämpligt med ett så långt som möjligt gemensamt regelverk om behandling av personuppgifter för de myndigheter som bedriver verksamhet inom det aktuella området. Det behövs därför en ny svensk ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde och att utredaren utgår från detta vid analyser, bedömningar och förslag.
Efter en analys av direktivets tillämpningsområde är det möjligt att utredaren bedömer att myndigheter som för närvarande inte omfattas av särreglering i registerförfattningar kommer att omfattas av direktivets krav. Det finns därför anledning att i första hand undersöka om den nya ramlagstiftningen kan utformas på ett sätt som inte förutsätter att det tas fram nya, kompletterande, registerförfattningar för sådana myndigheter.
Det behöver analyseras hur direktivets förpliktelser förhåller sig till svensk rätt. Förutom en övergripande analys avseende förhållandet till svensk reglering av personuppgiftsbehandling inom direktivets tillämpningsområde, behöver analysen omfatta förhållandet till nationell reglering avseende sekretess och arkiv liksom förvaltningsrätt, processrätt och skadeståndsrätt. Behovet av analys omfattar exempelvis frågan om hur direktivets utrymme för begränsningar av enskildas rätt till information eller tillgång till sina egna personuppgifter förhåller sig till svensk sekretessreglering och hur möjligheterna att anpassa tidpunkten för den enskildes ut-
Bilaga 1 SOU 2017:29
788
övande av rätten till insyn förhåller sig till nationella straffprocessuella bestämmelser.
Direktivet innehåller en bestämmelse om att dataskyddsrambeslutet ska upphävas. Frågan är vilka konsekvenser det får för den svenska lagstiftning som delvis genomförde rambeslutet, lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
Utredaren ska alltså
• analysera och beskriva direktivets tillämpningsområde,
• analysera hur svensk rätt förhåller sig till direktivets förpliktelser,
• bedöma i vilka avseenden ny eller ändrad författningsreglering krävs för att Sverige ska leva upp till förpliktelserna,
• lämna förslag till en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde,
• ta ställning till om lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen bör upphävas och vid behov lämna förslag till författningsändringar, och
• om det behövs, lämna förslag till författningsändringar även på andra områden än den reglering som närmast rör personuppgiftsbehandling.
Hur behöver centrala författningar om rättsväsendets personuppgiftsbehandling anpassas?
Inom det nya dataskyddsdirektivets tillämpningsområde hanterar rättsväsendet en stor mängd information som innebär behandling av personuppgifter. Ett antal författningar är i detta avseende av central betydelse. Det gäller polisdatalagen, lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kustbevakningsdatalagen (2012:145), åklagardatalagen, domstolsdatalagen och lagen (2001:617) om behandling av personuppgifter inom kriminalvården. De berörda lagarna kompletteras av förordningar.
Bilaga 1
789
Det krävs en närmare analys och bedömning av i vilken utsträckning direktivets förpliktelser medför behov av ändringar av de angivna lagarna och de tillhörande förordningarna. Det kommer också att krävas en anpassning av de angivna författningarna med anledning av en ny ramlagstiftning för skydd av personuppgifter inom direktivets tillämpningsområde när personuppgiftslagen upphävs.
Utredaren ska därför
• analysera och bedöma behovet av författningsändringar för att anpassa de angivna författningarna till direktivets förpliktelser och de nya förutsättningarna för regleringen, och
• lämna förslag till författningsändringar.
Inom direktivets tillämpningsområde berörs, utöver de angivna lagarna och förordningarna, även andra författningar av direktivets förpliktelser eller andra delar av EU:s dataskyddsreform. Det gäller t.ex. lagen (1998:620) om belastningsregister och lagen (1998:621) om misstankeregister. Det ligger dock inte inom ramen för utredarens uppdrag att se över behovet av ändringar när det gäller de lagarna eller andra författningar som inte har angetts här.
Personuppgiftsbehandling vid tillhandahållande av information – bör även dataskyddsförordningens reglering kompletteras?
Polismyndigheten, Skatteverket, Tullverket, Kustbevakningen, åklagarväsendet, domstolsväsendet och Kriminalvården kommer att tillämpa regleringen i dataskyddsförordningen när de behandlar personuppgifter i verksamhet som utförs i annat syfte än att bekämpa brott, hantera brottmål eller verkställa straff. Som en utgångspunkt ingår det inte i utredarens uppdrag att se över eller lämna förslag till förändringar av författningar inom förordningens tillämpningsområde. Det gäller även i den utsträckning t.ex. kustbevakningsdatalagen eller domstolsdatalagen reglerar behandling av personuppgifter inom förordningens tillämpningsområde.
Enligt det nya dataskyddsdirektivets artikel 7a ska personuppgifter som samlas in av behöriga myndigheter i syfte att bekämpa brott, hantera brottmål eller verkställa straff inte därefter behandlas för andra ändamål än de som ryms inom direktivets tillämpningsområde, om inte sådan behandling är tillåten enligt
Bilaga 1 SOU 2017:29
790
unionsrätten eller nationell rätt. I sådana fall ska dataskyddsförordningen tillämpas på denna behandling, om inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten. Förordningens reglering tillämpas alltså redan vid tillhandahållandet när t.ex. uppgifter som samlats in under en förundersökning överförs för ändamål som faller utanför direktivets tillämpningsområde. Enligt den nuvarande svenska regleringen finns bestämmelser som reglerar tillåtligheten av behandling för sådant tillhandahållande, s.k. sekundära ändamål, i den författning som reglerar myndighetens behandling av personuppgifter för brottsbekämpande ändamål (se t.ex. 2 kap. 8 § polisdatalagen).
Förordningen ger ett visst utrymme för medlemsstaterna att behålla eller införa mer specifika bestämmelser om hur bestämmelserna i förordningen ska tillämpas (förordningens artikel 6.2a). Det krävs en analys och bedömning av i vilken utsträckning det är möjligt och lämpligt att utnyttja förordningens utrymme att behålla eller införa specifik reglering i svensk rätt som tar sikte på den typ av situation som beskrivits.
Utredaren ska därför
• analysera om det finns utrymme för och behov av att inom förordningens tillämpningsområde införa eller behålla specifik reglering i svensk rätt om behandling av personuppgifter för tillhandahållande av information, och
• vid behov föreslå författningsändringar.
Hur behöver reglerna om tillsyn anpassas?
Tillsyn över behandling av personuppgifter inom det nya dataskyddsdirektivets tillämpningsområde utövas i dag av Datainspektionen. Säkerhets- och integritetsskyddsnämnden har också ett tillsynsuppdrag och granskar bl.a. brottsbekämpande myndigheters användning av hemliga tvångsmedel och polisens personuppgiftsbehandling. Att Datainspektionens tillsyn kompletteras med tillsyn av en myndighet med särskild uppgift att utöva tillsyn över personuppgiftsbehandling i bl.a. polisens brottsbekämpande verksamhet har ansetts innebära möjligheter att inrikta tillsynen på de områden som kan ge upphov till särskilda risker från integritetssynpunkt (prop. 2009/10:85 s. 273 f.).
Bilaga 1
791
Det nya dataskyddsdirektivet innehåller flera bestämmelser som rör tillsyn, bl.a. tillsynsmyndighetens befogenheter. Det ligger i utredarens uppdrag att föreslå hur direktivets förpliktelser ska genomföras även när det gäller bestämmelserna om tillsyn. Det finns dock några frågor om tillsyn som inte ingår i uppdraget på grund av att de omhändertas av andra utredningar.
Utredningen om tillsynen över den personliga integriteten (Ju 2015:02), som ska redovisa sitt uppdrag senast den 30 september 2016, ska bl.a. lämna de förslag som behövs för att den myndighet för tillsyn som utredningen kommer att föreslå ska kunna fullgöra de uppgifter som den nu aktuella EU-reformen medför. Det får därför anses ligga inom ramen för det uppdraget att omhänderta vissa frågor om genomförandet av direktivet. Hit hör frågor om anpassning till direktivets förpliktelser avseende organisation, utnämningen respektive avsättandet av medlemmar samt resurser och anknytande frågor för den myndigheten. Dessa frågor ingår alltså inte i utredarens uppdrag.
Det ligger vidare inom ramen för uppdraget för den särskilda utredare som har i uppdrag att föreslå anpassningar på generell nivå som förordningen ger anledning till att bl.a. analysera om det finns behov av författningsändringar med avseende på tystnadsplikt hos tillsynsmyndigheten till skydd för enskild. Eftersom direktivets krav i denna del överensstämmer med förordningens ingår inte heller denna fråga i utredarens uppdrag.
Med en utgångspunkt i att Säkerhets- och integritetsskyddsnämnden även i fortsättningen utövar tillsyn inom direktivets tillämpningsområde finns det behov av att också med avseende på nämnden se över om och i vilken utsträckning en ny reglering eller ändringar i svensk rätt krävs med anledning av direktivets förpliktelser. Detta ingår i sin helhet i utredarens uppdrag.
Utredaren ska alltså, med undantag för de frågor som angetts ingå i andra utredningars uppdrag,
• analysera och bedöma om direktivet föranleder behov av ny eller ändrad reglering om tillsyn, och
• vid behov föreslå författningsändringar.
Bilaga 1 SOU 2017:29
792
Uppdraget att bedöma hur Säkerhetspolisens personuppgiftsbehandling bör regleras
Den 1 januari 2015 ombildades Säkerhetspolisen till en fristående myndighet. Regleringen av Säkerhetspolisens behandling av personuppgifter har anpassats till de nya förhållandena (se prop. 2014/15:94), men myndighetens behandling av personuppgifter regleras fortfarande i polisdatalagen med tillhörande förordning.
EU:s dataskyddsreform kommer att medföra ett förändrat regelverk för nationell personuppgiftsbehandling. Samtidigt är centrala delar av Säkerhetspolisens verksamhet av sådant slag att unionsrätten inte är tillämplig.
De förändringar i nationell rätt som föranleds av EU:s dataskyddsreform innebär att det behövs en analys och bedömning av på vilket sätt Säkerhetspolisens personuppgiftsbehandling bör regleras och om det finns skäl att separera den regleringen från polisdatalagstiftningen. En utgångspunkt för utredarens analys och bedömning ska vara att regleringen av Säkerhetspolisens personuppgiftsbehandling nyligen har moderniserats och bedömts ändamålsenlig. Så långt det är lämpligt och möjligt ska principiella lösningar som är förenliga med gällande författningar och systematik eftersträvas om författningsförslag lämnas.
Utredaren ska
• analysera och bedöma hur Säkerhetspolisens personuppgiftsbehandling bör regleras och om regleringen bör separeras från den lagstiftning som gäller för Polismyndigheten, och
• vid behov föreslå författningsändringar.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för brottsbekämpningen och för den personliga integriteten.
Bilaga 1
793
Samråd och redovisning av uppdraget
Utredaren ska hålla sig väl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och EU. Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning av regelverket eftersträvas. Utredaren ska därför följa och i lämplig omfattning samråda med utredningen som har i uppdrag att föreslå anpassningar på generell nivå som dataskyddsförordningen ger anledning till och Utredningen om tillsynen över den personliga integriteten.
Samråd är särskilt viktigt i processuella frågor och frågor som rör sanktioner, tillsynsmyndigheten och arkivering. Utredaren ska också, i den utsträckning det bedöms lämpligt, hålla sig informerad om och samråda med övriga utredningar som har i uppdrag att anpassa svensk rätt till reformen av EU:s dataskyddsregelverk. Under genomförandet av uppdraget ska utredaren även ha en dialog med och inhämta upplysningar från de myndigheter som kan vara berörda av aktuella frågor.
Utredaren är fri att ta upp och lämna förslag i näraliggande frågor som aktualiseras under utredningsuppdraget men som inte rör genomförandet av eller anpassningen av svensk rätt till EU:s dataskyddsreform.
Uppdraget att föreslå hur direktivet ska genomföras ska redovisas genom ett delbetänkande senast den 1 april 2017 i den del det rör dels en ny ramlagstiftning för skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet, dels tillsyn inom direktivets tillämpningsområde. Uppdraget ska slutredovisas senast den 30 september 2017.
(Justitiedepartementet)
795
Bilaga 2
DIREKTIV
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/680
av den 27 april 2016
om skydd för fysiska personer med avseende på behöriga myndigheters behandling av
personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets
rambeslut 2008/977/RIF
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Regionkommitténs yttrande (1),
i enlighet med det ordinarie lagstiftningsförfarandet (2), och
av följande skäl:
(1)
Skyddet för fysiska personer med avseende på behandling av personuppgifter är en grundläggande rättighet. I
artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och
artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskrivs att var och en har rätt
till skydd av de personuppgifter som rör honom eller henne.
(2)
Principerna och reglerna för skyddet för fysiska personer med avseende på behandling av deras personuppgifter
bör, oavsett deras medborgarskap eller hemvist, respektera deras rättigheter och grundläggande friheter, särskilt
deras rätt till skydd av personuppgifter. Detta direktiv är avsett att bidra till att skapa ett område med frihet,
säkerhet och rättvisa.
(3)
Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av
personuppgifter. Omfattningen av insamlingen och delningen av personuppgifter har ökat avsevärt. Tekniken gör
det möjligt att i en aldrig tidigare skådad omfattning behandla personuppgifter i verksamheter såsom
förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställighet av straffrättsliga
påföljder.
(4)
Det fria flödet av personuppgifter mellan behöriga myndigheter för att förebygga, förhindra, utreda, avslöja eller
lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot eller förebygga och förhindra hot
mot den allmänna säkerheten inom unionen, samt överföringar av sådana personuppgifter till tredjeländer och
internationella organisationer, bör underlättas samtidigt som en hög skyddsnivå för personuppgifter säkerställs.
Denna utveckling kräver en stark och mer sammanhängande ram för skyddet av personuppgifter inom unionen,
uppbackad av kraftfullt tillsynsarbete.
(5)
Europaparlamentets och rådets direktiv 95/46/EG (3) är tillämpligt på all behandling av personuppgifter i
medlemsstaterna, såväl inom den offentliga som inom den privata sektorn. Det är emellertid inte tillämpligt på
behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten”, t.ex.
verksamhet på områdena för straffrättsligt samarbete och polissamarbete.
4.5.2016
L 119/89
Europeiska unionens officiella tidning
SV
(1) EUT C 391, 18.12.2012, s. 127.
(2) Europaparlamentets ståndpunkt av den 12 mars 2014 (ännu ej offentliggjord i EUT) och rådets ståndpunkt vid första behandlingen av
den 8 april 2016 (ännu ej offentliggjord i EUT). Europaparlamentets ståndpunkt av den 14 april 2016.
(3) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling
av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).
796
SOU 2017:29
Bilaga 2
(6)
Rådets rambeslut 2008/977/RIF (1) är tillämpligt på områdena för straffrättsligt samarbete och polissamarbete.
Tillämpningsområdet för det rambeslutet begränsas till behandling av sådana personuppgifter som överförs eller
görs tillgängliga mellan medlemsstaterna.
(7)
Att säkerställa en enhetlig och hög skyddsnivå för fysiska personers personuppgifter och underlätta utbytet av
personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett
effektivt straffrättsligt samarbete och polissamarbete. Därför bör skyddet för fysiska personers rättigheter och
friheter i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda,
avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och
förhindra hot mot den allmänna säkerheten, vara likvärdigt i alla medlemsstater. Ett effektivt skydd av
personuppgifter i hela unionen förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem
som behandlar personuppgifter, ökar, samt likvärdiga befogenheter för att övervaka och säkerställa efterlevnaden
av bestämmelserna om skydd av personuppgifter i medlemsstaterna.
(8)
I artikel 16.2 i EUF-fördraget bemyndigas Europaparlamentet och rådet att fastställa bestämmelser om skydd för
fysiska personer när det gäller behandling av personuppgifter samt om det fria flödet för personuppgifter.
(9)
Med stöd av denna grund fastställs i Europaparlamentets och rådets förordning (EU) 2016/679 (2) allmänna
bestämmelser om skydd av fysiska personer i samband med behandling av personuppgifter och om det fria flödet
för sådana uppgifter inom unionen.
(10) I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete,
fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med
hänsyn till dessa områdens särart kan komma att bli nödvändigt att anta särskilda regler om skydd av
personuppgifter och om det fria flödet av personuppgifter på områdena för straffrättsligt samarbete och
polissamarbete med stöd av artikel 16 i EUF-fördraget.
(11) Det är därför lämpligt att dessa områden behandlas i ett direktiv som fastställer särskilda regler om skydd för
fysiska personer i samband med behöriga myndigheters behandling av personuppgifter för att förebygga,
förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt
förebygga och förhindra hot mot den allmänna säkerheten, med respekt för den särskilda karaktären hos denna
verksamhet. Sådana behöriga myndigheter kan omfatta inte bara offentliga myndigheter såsom rättsliga
myndigheter, polis eller andra brottsbekämpande myndigheter, utan också alla andra organ eller enheter som
genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning enligt detta direktiv. Förordning (EU)
2016/679 bör tillämpas när ett sådant organ eller en sådan enhet behandlar personuppgifter för andra ändamål
än de som avses i detta direktiv. Förordning (EU) 2016/679 är därför tillämplig i fall då ett organ eller en enhet
samlar in personuppgifter för andra ändamål och behandlar dessa personuppgifter ytterligare för att iaktta sina
rättsliga skyldigheter. Exempelvis behåller finansinstitut vissa personuppgifter som de behandlar i syfte att utreda,
avslöja eller lagföra brott, och tillhandahåller dessa personuppgifter för behöriga nationella myndigheter endast i
särskilda fall och i enlighet med medlemsstaternas nationella rätt. Ett organ eller en enhet som behandlar
personuppgifter för sådana myndigheters räkning inom detta direktivs tillämpningsområde bör vara bundet av ett
avtal eller annan rättsakt och de bestämmelser som är tillämpliga på personuppgiftsbiträden enligt detta direktiv,
medan tillämpningen av förordning (EU) 2016/679 förblir opåverkad när det gäller personuppgiftsbiträdets
behandling av personuppgifter som inte omfattas av detta direktivs tillämpningsområde.
(12) Polisens och andra brottsbekämpande myndigheters verksamhet är främst inriktad på att förebygga, förhindra,
utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör
ett brott eller inte. Sådan verksamhet kan också innefatta myndighetsutövning genom vidtagande av
tvångsåtgärder vid demonstrationer, större idrottsevenemang och upplopp. Denna verksamhet omfattar också
upprätthållande av lag och ordning som en uppgift som anförtros åt polisen eller andra brottsbekämpande
4.5.2016
L 119/90
Europeiska unionens officiella tidning
SV
(1) Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för
polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60).
(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds
förordning) (se sidan 1 i detta nummer av EUT).
797
SOU 2017:29
Bilaga 2
myndigheter när det är nödvändigt för att skydda mot samt förebygga och förhindra hot mot den allmänna
säkerheten och mot i lag skyddade grundläggande allmänna intressen som kan leda till ett brott. Medlemsstaterna
får åt behöriga myndigheter anförtro andra uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra,
utreda, avslöja eller lagföra brott, inklusive att skydda mot och förebygga hot mot den allmänna säkerheten, så att
behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av
tillämpningsområdet för förordning (EU) 2016/679.
(13) Ett brott i den mening som avses i detta direktiv bör utgöra ett självständigt begrepp i unionsrätten enligt
Europeiska unionens domstols (nedan kallad domstolen) tolkning.
(14) Eftersom detta direktiv inte bör tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet
som inte omfattas av unionsrätten, bör verksamhet som rör nationell säkerhet, verksamhet som utförs av byråer
och organ som hanterar nationella säkerhetsfrågor och medlemsstaternas behandling av personuppgifter när de
utför verksamhet som omfattas av del V kapitel 2 i fördraget om Europeiska unionen (EU-fördraget) inte
betraktas som verksamhet som omfattas av detta direktivs tillämpningsområde.
(15) För att säkerställa en enhetlig skyddsnivå för fysiska personer genom rättsligt verkställbara rättigheter i hela
unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan behöriga myndigheter, bör detta
direktiv innehålla harmoniserade bestämmelser om skydd och fri rörlighet för personuppgifter som behandlas för
att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att
skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Tillnärmningen av medlemsstaternas
nationella rätt bör inte leda till försämringar i det personuppgiftsskydd de tillhandahåller, utan i stället ha till syfte
att säkerställa en hög skyddsnivå inom unionen. Inget ska hindra medlemsstaterna från att föreskriva starkare
skyddsåtgärder än dem som fastställs i detta direktiv för skyddet av den registrerades rättigheter och friheter med
avseende på behöriga myndigheters behandling av personuppgifter.
(16) Detta direktiv påverkar inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna
handlingar. Enligt förordning (EU) 2016/679 får personuppgifter i allmänna handlingar som förvaras av en
offentlig myndighet eller ett offentligt eller privat organ för utförande av en uppgift av allmänt intresse lämnas ut
av myndigheten eller organet i enlighet med unionsrätten eller medlemsstatens nationella lagstiftning som den
offentliga myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få
tillgång till allmänna handlingar med rätten till skydd av personuppgifter.
(17) Det skydd som ska tillhandahållas enligt detta direktiv bör tillämpas på fysiska personer, oavsett medborgarskap
eller hemvist, med avseende på behandling av deras personuppgifter.
(18) För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara
teknikneutralt och inte vara beroende av den teknik som används. Skyddet för fysiska personer bör vara
tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller
är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt
särskilda kriterier, bör inte omfattas av detta direktiv.
(19) Europaparlamentets och rådets förordning (EG) nr 45/2001 (1) är tillämplig på den behandling av
personuppgifter som sker i unionens institutioner, organ och byråer. Förordning (EG) nr 45/2001 och de av
unionens övriga rättsakter som är tillämpliga på sådan behandling av personuppgifter bör anpassas till
principerna och bestämmelserna i förordning (EU) 2016/679.
(20) Detta direktiv bör inte hindra medlemsstaterna från att i nationell straffprocesslagstiftning ange vilken behandling
och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters
behandling av personuppgifter, särskilt när det gäller personuppgifter som ingår i ett domstolsbeslut eller i
protokoll avseende straffrättsliga förfaranden.
4.5.2016
L 119/91
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitu
tionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001,
s. 1).
798
SOU 2017:29
Bilaga 2
(21) Principerna för dataskydd bör gälla all information som rör en identifierad eller identifierbar fysisk person. För att
avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen
av den personuppgiftsansvarige eller av någon annan person, rimligen kan komma att användas för att direkt
eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan
komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer som
kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för
behandlingen som den tekniska utvecklingen. Principerna för dataskydd bör därför inte gälla för anonym
information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller
för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar.
(22) Offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig
förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter
eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader, bör inte
betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild
utredning i allmänhetens intresse, i enlighet med unionsrätten eller medlemstaternas nationella rätt. Offentliga
myndigheters begäranden om att uppgifter ska lämnas ut bör alltid vara skriftliga och motiverade, läggas fram i
enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters
behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser om dataskydd som är
tillämpliga på behandlingens ändamål.
(23) Genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade
genetiska kännetecken som ger unik information om denna enskilda persons fysiologi eller hälsa och vilka
framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller
RNA-analys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.
Eftersom genetiska uppgifter är komplexa och känsliga finns det en stor risk för att den personuppgiftsansvarige
missbrukar och återanvänder dem för olika ändamål. All diskriminering på grundval av genetiska särdrag bör i
princip vara förbjuden.
(24) Personuppgifter om hälsa bör innefatta alla uppgifter som hänför sig till en registrerad persons hälsotillstånd som
ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta
inbegriper uppgifter om den enskilda personen som samlats in i samband med registrering för eller tillhanda
hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv
2011/24/EU (1), ett nummer, en symbol eller ett kännetecken som personen tilldelats för att unikt identifiera den
fysiska personen för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökningar av en
kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prover, och andra uppgifter om
exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades
fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller från annan
sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.
(25) Samtliga medlemsstater är anslutna till Internationella kriminalpolisorganisationen (Interpol). För att kunna
fullgöra sitt uppdrag mottar, lagrar och cirkulerar Interpol personuppgifter i syfte att hjälpa behöriga myndigheter
att förebygga, förhindra och bekämpa internationell brottslighet. Därför är det lämpligt att stärka samarbetet
mellan unionen och Interpol genom att främja ett effektivt utbyte av personuppgifter med respekt för de
grundläggande rättigheterna och friheterna vid automatiserad behandling av personuppgifter. När personuppgifter
överförs från unionen till Interpol samt till länder som har delegerade medlemmar i Interpol bör detta direktiv,
framför allt bestämmelserna om internationella överföringar, gälla. Detta direktiv bör inte påverka de särskilda
bestämmelserna i rådets gemensamma ståndpunkt 2005/69/RIF (2) och rådets beslut 2007/533/RIF (3).
(26) Varje behandling av personuppgifter måste vara laglig, korrekt och öppen i förhållande till berörda fysiska
personer och endast genomföras för särskilda lagstadgade ändamål. Detta hindrar i sig inte brottsbekämpande
myndigheter från att genomföra verksamhet såsom hemliga utredningar eller videoövervakning. Sådan
verksamhet kan genomföras i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa
4.5.2016
L 119/92
Europeiska unionens officiella tidning
SV
(1) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande
hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).
(2) Rådets gemensamma ståndpunkt 2005/69/RIF av den 24 januari 2005 om utbyte av vissa uppgifter med Interpol (EUT L 27, 29.1.2005,
s. 61).
(3) Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens
informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63).
799
SOU 2017:29
Bilaga 2
straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten,
förutsatt att verksamheten har fastställts i lag och utgör en nödvändig och proportionell åtgärd i ett demokratiskt
samhälle med hänsyn tagen till den fysiska personens berättigade intressen. Dataskyddsprincipen om korrekt
behandling är ett begrepp som är skilt från rätten till en opartisk domstol enligt artikel 47 i stadgan och rätten
till en rättvis rättegång enligt artikel 6 i den europeiska konventionen om skydd för de mänskliga rättigheterna
och de grundläggande friheterna (Europakonventionen). Fysiska personer bör göras medvetna om risker, regler,
skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina
rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara
tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör
vara adekvata och relevanta för de ändamål som de behandlas för. Det bör i synnerhet säkerställas att de
uppgifter som insamlats inte är orimligt omfattande och att de inte sparas längre än vad som är nödvändigt för
det ändamål för vilket uppgifterna behandlas. Personuppgifter bör endast behandlas om syftet med behandlingen
inte rimligen kan uppnås genom andra medel. För att säkerställa att uppgifter inte sparas längre än nödvändigt
bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Medlemsstaterna
bör inrätta lämpliga skyddsåtgärder för personuppgifter som lagras under längre perioder, för arkivändamål av
allmänt intresse, för vetenskapliga, statistiska eller historiska ändamål.
(27) Om behöriga myndigheter ska kunna förebygga, förhindra, utreda och lagföra brott är det nödvändigt att de
behandlar personuppgifter som insamlats inom ramen för förebyggande, förhindrande, utredning och lagföring av
specifika brott i ett bredare sammanhang för att utveckla förståelsen för kriminell verksamhet och göra
kopplingar mellan olika upptäckta brott.
(28) För att bibehålla behandlingens säkerhet och förhindra behandling som innebär en överträdelse av detta direktiv
bör personuppgifter behandlas på ett sätt som säkerställer en lämplig säkerhets- och konfidentialitetsnivå samt
förhindrar obehörigt tillträde till eller obehörig användning av personuppgifter och den utrustning som används
för behandlingen, med beaktande av tillgänglig teknik och den tekniska utvecklingen samt genomförande
kostnader i förhållande till riskerna och den typ av personuppgifter som ska skyddas.
(29) Personuppgifter bör samlas in för särskilda, uttryckligt angivna och berättigade ändamål som omfattas av detta
direktivs tillämpningsområde och bör inte behandlas för andra ändamål än att förebygga, förhindra, utreda,
avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot samt förebygga och
förhindra hot mot den allmänna säkerheten. Om samma eller en annan personuppgiftsansvarig behandlar
personuppgifter för ett ändamål som omfattas av detta direktiv men som inte är det ändamål som uppgifterna
insamlades för, bör behandlingen vara tillåten, förutsatt att behandlingen har godkänts i enlighet med tillämpliga
rättsliga bestämmelser och är nödvändig och står i proportion till det andra ändamålet.
(30) Principen om uppgifters korrekthet bör tillämpas med hänsyn till den typ av behandling det är fråga om och
syftet med denna. Särskilt i domstolsförfaranden baseras utsagor som innehåller personuppgifter på fysiska
personers subjektiva uppfattning, och kan inte alltid verifieras. Följaktligen bör inte korrekthetskravet röra
korrektheten i en utsaga, utan endast det faktum att en viss utsaga har gjorts.
(31) Behandling av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete innebär av naturliga
skäl att personuppgifter om olika kategorier av registrerade behandlas. Därför är det viktigt att i tillämpliga fall
och i möjligaste mån göra en klar åtskillnad mellan personuppgifter om olika kategorier av registrerade, t.ex.
brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med
relevant information eller personer med kontakter eller band till brottsmisstänkta och brottsdömda. Detta bör
inte hindra tillämpningen av rätten till oskuldspresumtion som garanteras i stadgan och i Europakonventionen,
tolkade enligt rättspraxis från domstolen och Europeiska domstolen för de mänskliga rättigheterna.
(32) De behöriga myndigheterna bör säkerställa att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte
överförs eller görs tillgängliga. För att säkerställa skydd för fysiska personer, korrekthet, fullständighet eller i
vilken grad personuppgifterna är aktuella och tillförlitlighet i de personuppgifter som överförs eller görs
tillgängliga, bör de behöriga myndigheterna i möjligaste mån föra in nödvändiga uppgifter vid all överföring av
personuppgifter.
(33) När det i detta direktiv hänvisas till medlemsstaternas nationella rätt, en rättslig grund eller lagstiftningsåtgärd
innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, med förbehåll för krav i den
4.5.2016
L 119/93
Europeiska unionens officiella tidning
SV
800
SOU 2017:29
Bilaga 2
berörda medlemsstatens konstitutionella ordning. Medlemsstaternas nationella rätt, den rättsliga grunden eller
lagstiftningsåtgärden bör emellertid i dessa fall vara tydlig och precis, och dess tillämpning förutsägbar för dem
som omfattas av den i enlighet med rättspraxis från domstolen och Europeiska domstolen för de mänskliga
rättigheterna. Medlemsstaternas nationella rätt som reglerar behandlingen av personuppgifter inom
tillämpningsområdet för detta direktiv bör åtminstone specificera målen, vilka personuppgifter som ska
behandlas, behandlingens ändamål, förfarandena för att bevara personuppgifternas integritet och konfidentialitet
samt förfarandena för förstöring av dem så att tillräckliga garantier mot risken för missbruk och godtycklighet
ges.
(34) Behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra
brott, verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den
allmänna säkerheten, bör omfatta varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller
uppsättningar av personuppgifter som utförs i dessa syften, oberoende av om de utförs automatiserat eller ej,
såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning,
användning, justering eller sammanförande, begränsning av behandlingen, radering eller förstöring. Framför allt
bör bestämmelserna i detta direktiv gälla personuppgifter som vid tillämpningen av detta direktiv överförs till en
mottagare som inte omfattas av detta direktiv. Med sådana mottagare bör avses fysiska eller juridiska personer,
myndigheter, institutioner eller andra organ som den behöriga myndigheten lagligen lämnar ut personuppgifterna
till. Om personuppgifter ursprungligen samlats in av en behörig myndighet för något av detta direktivs ändamål,
bör förordning (EU) 2016/679 vara tillämplig på behandlingen av dessa uppgifter för andra ändamål än de som
anges i detta direktiv om behandlingen är godkänd enligt unionsrätten eller nationell rätt. Framför allt bör
bestämmelserna i förordning (EU) 2016/679 gälla överföring av personuppgifter för ändamål som inte omfattas
av detta direktiv. Förordning (EU) 2016/679 bör gälla när personuppgifter behandlas av en mottagare som varken
är eller agerar i egenskap av behörig myndighet i den mening som avses i detta direktiv och som lagligen
mottagit personuppgifter av en behörig myndighet. Vid tillämpningen av detta direktiv bör medlemsstaterna
också närmare kunna ange tillämpningen av bestämmelserna i förordning (EU) 2016/679 på de villkor som
anges i den förordningen.
(35) För att vara laglig bör behandlingen av personuppgifter enligt detta direktiv vara nödvändig för att utföra en
uppgift av allmänt intresse som en behörig myndighet ansvarar för enligt unionsrätten eller medlemsstaternas
nationella rätt för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,
inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Denna verksamhet bör
omfatta skydd av intressen som är av grundläggande betydelse för den registrerade. Utförandet av uppgifterna att
förebygga, förhindra, utreda, avslöja eller lagföra brott, som de behöriga myndigheterna institutionellt har
tilldelats enligt lag, gör det möjligt för dem att kräva eller beordra att fysiska personer efterlever de begäranden
som gjorts. I detta fall bör den registrerades samtycke, enligt definitionen i förordning (EU) 2016/679, inte utgöra
en rättslig grund för behöriga myndigheters behandling av personuppgifter. Om den registrerade är skyldig att
fullgöra en rättslig förpliktelse har den registrerade inte någon genuin och fri valmöjlighet, och således är det inte
möjligt att betrakta den registrerades reaktion som en frivillig viljeyttring. Detta bör inte hindra medlemsstaterna
från att i lag fastställa att den registrerade får tillåta behandling av sina personuppgifter vid tillämpning av detta
direktiv, såsom DNA-testning inom ramen för brottsutredningar eller övervakning av var den registrerade
befinner sig med elektronisk fotboja för verkställighet av straffrättsliga påföljder.
(36) Medlemsstaterna bör föreskriva att om det i den unionsrätt eller nationella rätt som är tillämplig på den
överförande behöriga myndigheten fastställs särskilda villkor som under särskilda omständigheter är tillämpliga
på behandlingen av personuppgifter, såsom användning av hanteringskoder, bör den överförande behöriga
myndigheten informera den mottagare till vilken uppgifterna överförs om dessa villkor och om kravet att
respektera dem. Sådana villkor kan till exempel innefatta ett förbud mot att överföra personuppgifter till andra
mottagare eller använda dem i andra syften än de för vilka de överfördes till mottagaren eller att informera den
registrerade vid en begränsning av rätten till information utan förhandsgodkännande från den överförande
behöriga myndigheten. Dessa skyldigheter bör även gälla för överföringar från den överförande behöriga
myndigheten till mottagare i tredjeländer eller internationella organisationer. Medlemsstaterna bör säkerställa att
den överförande behöriga myndigheten inte tillämpar dessa villkor på mottagare i andra medlemsstater eller på
byråer och organ som inrättats i enlighet med avdelning V kapitlen 4 och 5 i EUF-fördraget, med undantag för
sådana villkor som är tillämpliga på motsvarande överföringar av uppgifter inom den medlemsstat där den
behöriga myndigheten är belägen.
(37) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör
åtnjuta ett särskilt skydd eftersom behandling av sådana uppgifter kan innebära betydande risker för de
grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som
avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i detta direktiv inte innebär att unionen
4.5.2016
L 119/94
Europeiska unionens officiella tidning
SV
801
SOU 2017:29
Bilaga 2
godtar teorier som söker fastställa förekomsten av skilda människoraser. Dessa personuppgifter bör inte
behandlas såvida inte behandlingen omfattas av lämpliga skyddsåtgärder för den registrerades lagstadgade
rättigheter och friheter och medges i fall som är tillåtna enligt lag, eller behandlingen, om den ännu inte är
tillåten enligt lag, är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade
eller en annan person, eller behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den
registrerade. Lämpliga skyddsåtgärder för den registrerades rättigheter och friheter kan till exempel inbegripa
möjligheten att samla in dessa uppgifter endast i samband med andra uppgifter om den berörda fysiska personen,
möjligheten att säkra de insamlande uppgifterna, striktare regler om tillgång till uppgifterna för den behöriga
myndighetens personal på lämpligt sätt, och förbud mot att översända sådana uppgifter. Behandling av sådana
uppgifter bör även tillåtas enligt lag när den registrerade uttryckligen har gett sitt samtycke i fall där uppgiftsbe
handlingen är särskilt inkräktande för honom eller henne. Den registrerades samtycke bör dock inte i sig utgöra
någon rättslig grund för behöriga myndigheters behandling av sådana känsliga personuppgifter.
(38) Den registrerade bör ha rätt att inte bli föremål för ett beslut angående bedömning av personliga aspekter rörande
honom eller henne som uteslutande grundas på automatiserad behandling och som har negativa rättsliga följder
eller i betydande grad påverkar honom eller henne. Denna form av uppgiftsbehandling bör under alla
omständigheter omfattas av lämpliga skyddsåtgärder, inbegripet skild information till den registrerade och rätt till
personlig kontakt, särskilt för framförande av egna synpunkter, rätten att erhålla en förklaring för det beslut som
fattats efter sådan bedömning och rätten att överklaga beslutet. Profilering som leder till diskriminering av fysiska
personer på grundval av personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande
rättigheter och friheter är förbjuden på de villkor som fastställs i artiklarna 21 och 52 i stadgan.
(39) För att den registrerade ska kunna utöva sina rättigheter bör all information till denne vara lättåtkomlig, t.ex. via
den personuppgiftsansvariges webbplats, och lättbegriplig, på ett klart och tydligt språk. Denna information bör
anpassas till de behov som sårbara människor, t.ex. barn, har.
(40) Det bör finnas arrangemang som underlättar för registrerade att utöva sina rättigheter enligt de bestämmelser
som antas i enlighet med detta direktiv, bl.a. rutiner för att kostnadsfritt begära och i tillämpliga fall få, särskilt,
kostnadsfri tillgång till och rättelse eller radering av personuppgifter och begränsning av behandlingen.
Personuppgiftsansvariga bör vara skyldiga att besvara en begäran från den registrerade utan onödigt dröjsmål, om
inte de personuppgiftsansvariga tillämpar begränsningar av den registrerades rättigheter i enlighet med detta
direktiv. Om en begäran är uppenbart ogrundad eller orimlig, som i fall då en registrerad utan skäl och vid
upprepade tillfällen begär uppgifter eller om denne missbrukar sin rätt till information genom att exempelvis i sin
begäran tillhandahålla felaktig eller missvisande information, bör den personuppgiftsansvarige dessutom kunna ta
ut en rimlig avgift eller vägra att tillmötesgå begäran.
(41) När den personuppgiftsansvarige begär att ytterligare information som är nödvändig för att bekräfta den
registrerades identitet ska tillhandahållas bör denna information endast behandlas för detta specifika ändamål och
bör inte lagras längre än vad som krävs för detta ändamål.
(42) Åtminstone följande information bör göras tillgänglig för den registrerade: Vem som är personuppgiftsansvarig,
att behandling sker, syftena med behandlingen, rätten att lämna in klagomål och rätten att av den personuppgift
sansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandlingen.
Informationen kan anges på den behöriga myndighetens webbplats. Dessutom bör den registrerade, i specifika fall
och för att göra det möjligt för honom eller henne att utöva sina rättigheter, informeras om behandlingens
rättsliga grund och om hur länge uppgifterna kommer att lagras, i den utsträckning som den ytterligare
informationen är nödvändig, med beaktande av de särskilda omständigheter under vilka personuppgifterna
behandlas, för att garantera en korrekt behandling när det gäller den registrerade.
(43) Fysiska personer bör ha rätt att få tillgång till uppgifter som insamlats som rör dem samt att på enkelt sätt och
med rimliga intervall kunna utöva denna rätt för att hålla sig underrättade om att behandling sker och kunna
kontrollera att den är laglig. Därför bör varje registrerad ha rätt att känna till och underrättas om de ändamål för
vilka uppgifterna behandlas, hur länge behandlingen kommer att pågå och vilka som kommer att få del av
uppgifterna, inbegripet mottagare i tredjeländer. Om denna underrättelse omfattar information om personupp
gifternas ursprung bör denna information inte avslöja fysiska personers identitet, framför allt konfidentiella källor.
För att denna rättighet ska respekteras är det tillräckligt att den registrerade innehar en komplett sammanfattning
av dessa uppgifter i begripligt format, det vill säga ett format som gör det möjligt för den registrerade att få
kännedom om dessa uppgifter och kontrollera att de är korrekta och behandlade i enlighet med detta direktiv så
4.5.2016
L 119/95
Europeiska unionens officiella tidning
SV
802
SOU 2017:29
Bilaga 2
att den sökande kan utöva de rättigheter som han eller hon tilldelas enligt detta direktiv. En sådan
sammanfattning skulle kunna tillhandahållas i form av en kopia av de personuppgifter som håller på att
behandlas.
(44) Medlemsstaterna bör ha möjlighet att genom lagstiftning vidta åtgärder som innebär att informationen till de
registrerade senareläggs, begränsas eller utelämnas eller att deras tillgång till sina personuppgifter helt eller delvis
begränsas, i den utsträckning och så länge som en sådan åtgärd utgör en nödvändig och proportionell åtgärd i ett
demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och
berättigade intressen, och syftet är att undvika att hindra officiella eller rättsliga utredningar, undersökningar eller
förfaranden, undvika menlig inverkan på förebyggande, förhindrande, utredning, upptäckt eller lagföring av brott
eller verkställighet av straffrättsliga påföljder, skydd för allmän eller nationell säkerhet eller skydd för andra
personers rättigheter och friheter. Den personuppgiftsansvarige bör genom en konkret och individuell granskning
i varje enskilt fall bedöma om rätten till tillgång delvis eller helt bör begränsas.
(45) En vägran eller begränsning av tillgång bör i princip meddelas den registrerade skriftligen och inkludera de
faktiska eller rättsliga skäl som beslutet grundar sig på.
(46) All begränsning av den registrerades rättigheter måste vara förenlig med stadgan och med Europakonventionen,
tolkade enligt rättspraxis från domstolen respektive Europeiska domstolen för de mänskliga rättigheterna, och i
synnerhet respektera kärnan i dessa rättigheter och friheter.
(47) Fysiska personer bör ha rätt att få felaktiga personuppgifter som rör dem rättade, särskilt faktauppgifter, samt rätt
att få dem raderade om behandlingen av uppgifterna utgör en överträdelse av detta direktiv. Rätten till rättelse
bör emellertid inte påverka exempelvis innehållet i ett vittnesmål. En fysisk person bör också ha rätt till
begränsning av behandlingen när han eller hon bestrider korrektheten av en personuppgift och det inte kan
fastställas huruvida denna är korrekt eller när personuppgiften måste sparas som bevisning. Framför allt bör
behandlingen av personuppgifter begränsas snarare än att uppgifterna raderas om det i ett visst fall finns rimliga
skäl att anta att en radering skulle kunna påverka den registrerades legitima intressen. I ett sådant fall bör
begränsade uppgifter endast behandlas för det ändamål som hindrade att de raderades. Behandling av
personuppgifter kan exempelvis begränsas genom att man flyttar de valda uppgifterna till ett annat databehand
lingssystem, till exempel för arkivering, eller gör de valda uppgifterna otillgängliga. I automatiserade register bör
begränsningen av behandlingen i princip ske med tekniska medel. Att behandlingen av personuppgifter är
begränsad bör anges inom systemet på sådant sätt att det tydligt framgår att behandlingen av personuppgifterna
är begränsad. Sådan rättelse, radering av personuppgifter eller begränsning av behandlingen bör meddelas till de
mottagare till vilka uppgifterna har lämnats ut och till de behöriga myndigheter från vilka de oriktiga uppgifterna
härrörde. De personuppgiftsansvariga bör också avstå från vidare spridning av sådana uppgifter.
(48) Om en personuppgiftsansvarig nekar en registrerad dennes rätt till information, tillgång till, rättelse, eller radering
av personuppgifter eller till begränsning av behandlingen bör den registrerade ha rätt att begära att den nationella
tillsynsmyndigheten kontrollerar behandlingens laglighet. De registrerade bör informeras om denna rättighet. När
en tillsynsmyndighet agerar för de registrerades räkning, bör tillsynsmyndigheten åtminstone informera dem om
att tillsynsmyndigheten har utfört alla nödvändiga kontroller eller översyner. Tillsynsmyndigheten bör också
informera de registrerade om rätten att begära rättslig prövning.
(49) När personuppgifter behandlas inom ramen för en brottsutredning eller domstolsförfaranden vid brottmål, bör
medlemsstaterna kunna föreskriva att rätten till information, tillgång, rättelse och radering samt till begränsning
av behandlingen utövas i enlighet med nationella bestämmelser om rättsliga förfaranden.
(50) Den personuppgiftsansvarige bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som
utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder
och bör kunna visa att behandlingen är förenlig med detta direktiv. I samband med dessa åtgärder bör
behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och
friheter beaktas. De åtgärder som den personuppgiftsansvarige vidtar bör omfatta utarbetande och genomförande
av särskilda skyddsåtgärder för behandling av personuppgifter om sårbara fysiska personer, t.ex. barn.
(51) Risker för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till
följd av uppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet
om behandlingen kan leda till diskriminering, identitetsstöld eller identitetsbedrägeri, ekonomisk förlust, skadat
anseende, förlust av konfidentialitet när det gäller uppgifter som omfattas av tystnadsplikt, obehörigt hävande av
4.5.2016
L 119/96
Europeiska unionens officiella tidning
SV
803
SOU 2017:29
Bilaga 2
pseudonymisering, eller annan betydande ekonomisk eller social nackdel; eller om registrerade kan komma att
berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter; om
personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller
medlemskap i fackförening, om genetiska uppgifter eller biometriska uppgifter behandlas för att unikt identifiera
en person eller om uppgifter om hälsa eller uppgifter om sexualliv och sexuell läggning eller fällande domar i
brottmål samt brott eller därmed sammanhängande säkerhetsåtgärder behandlas; om det förekommer en
bedömning av personliga aspekter, exempelvis analyser och förutsägelser beträffande sådant som rör arbetspres
tationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort
eller förflyttningar, i syfte att skapa eller använda personliga profiler; eller om personuppgifter rörande sårbara
fysiska personer, framför allt barn, behandlas; eller om behandlingen inbegriper ett stort antal personuppgifter
och gäller ett stort antal registrerade.
(52) Riskens sannolikhetsgrad och allvar bör fastställas utifrån behandlingens art, omfattning, sammanhang och
ändamål. Risken bör utvärderas enligt en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbe
handlingen medför hög risk. Med hög risk avses en särskild risk för menlig inverkan på registrerades rättigheter
och friheter.
(53) Skyddet för fysiska personers rättigheter och friheter i samband med behandlingen av personuppgifter kräver
lämpliga tekniska och organisatoriska åtgärder för att säkerställa att kraven i detta direktiv uppfylls.
Genomförandet av sådana åtgärder bör inte enbart bero på ekonomiska hänsyn. För att kunna visa
överensstämmelse med detta direktiv bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder,
som i synnerhet följer principerna om inbyggt dataskydd och dataskydd som standard. Om den personuppgift
sansvarige har genomfört en konsekvensbedömning avseende dataskydd i enlighet med detta direktiv bör
resultatet beaktas vid utarbetandet av dessa åtgärder och förfaranden. Sådana åtgärder kan bland annat bestå av
pseudonymisering snarast möjligt. Pseudonymisering vid tillämpning av detta direktiv kan utgöra ett verktyg som
kan underlätta det fria flödet av personuppgifter inom området med frihet, säkerhet och rättvisa.
(54) Skyddet för de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och registerförarnas ansvar,
också i förhållande till tillsynsmyndigheternas övervakning och åtgärder, kräver ett tydligt fastställande av vem
som bär ansvaret enligt detta direktiv, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel
för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en
personuppgiftsansvarigs vägnar.
(55)
Ett personuppgiftsbiträdes behandling bör styras av en rättsakt som omfattar ett avtal som binder personuppgifts
biträdet till den personuppgiftsansvarige och där det särskilt anges att personuppgiftsbiträdet endast bör agera på
instruktion av den personuppgiftsansvarige. Personuppgiftsbiträdet bör beakta principen om inbyggt dataskydd
och dataskydd som standard.
(56) För att visa överensstämmelse med detta direktiv bör de personuppgiftsansvariga eller registerförarna föra register
över alla kategorier av behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgifts
biträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register
tillgängligt för myndigheten så att det kan tjäna som grund för övervakningen av behandlingen. Personuppgift
sansvariga eller personuppgiftsbiträden som behandlar personuppgifter i icke-automatiserade behandlingssystem
bör ha infört effektiva metoder, t.ex. loggar eller andra typer av register, för att visa att behandlingen är laglig,
möjliggöra egenkontroll och säkerställa dataintegritet och datasäkerhet.
(57) Loggar bör åtminstone föras över behandlingar i automatiserade behandlingssystem såsom insamling, ändring,
läsning, utlämning, inklusive överföringar, sammanförande eller radering. Identifieringen av den person som läst
eller lämnat ut personuppgifter bör loggas och från denna identifiering skulle det kunna vara möjligt att fastställa
motiveringen till behandlingen. Loggarna bör endast användas för att kontrollera om behandlingen av
uppgifterna är tillåten, för egenkontroll, för att garantera dataintegritet och datasäkerhet samt för straffrättsliga
förfaranden. Egenkontroll omfattar även behöriga myndigheters interna disciplinära förfaranden.
(58) En konsekvensbedömning avseende dataskydd bör genomföras av den personuppgiftsansvarige om det är
sannolikt att uppgiftsbehandlingen, på grund av sin karaktär, sin omfattning eller sina ändamål, medför en hög
risk för de registrerades rättigheter och friheter, vilken i synnerhet bör omfatta planerade åtgärder, skyddsåtgärder
och mekanismer för att säkerställa skyddet av personuppgifter och för att styrka efterlevnaden av detta direktiv.
Konsekvensbedömningarna bör omfatta relevanta system och processer för behandling men inte enskilda fall.
4.5.2016
L 119/97
Europeiska unionens officiella tidning
SV
804
SOU 2017:29
Bilaga 2
(59)
I syfte att säkerställa ett effektivt skydd av de registrerades rättigheter och friheter bör den personuppgift
sansvarige eller personuppgiftsbiträdet i vissa fall samråda med tillsynsmyndigheten före behandlingen.
(60)
För att upprätthålla säkerheten och förhindra behandling som bryter mot detta direktiv bör personuppgift
sansvariga eller personuppgiftsbiträden utvärdera de risker som behandlingen är förknippad med och bör vidta
åtgärder, såsom kryptering, för att mildra dem. Åtgärderna bör leda till en lämplig säkerhetsnivå, inklusive
konfidentialitetsnivå, med beaktande av den senaste utvecklingen och till genomförandekostnaderna med hänsyn
till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av riskerna när det gäller
datasäkerhet bör man beakta de risker som uppgiftsbehandling medför, såsom förstöring, förlust eller ändringar
genom olyckshändelse eller olagliga handlingar eller obehörigt röjande av eller obehörig åtkomst till de
personuppgifter som överförts, lagrats eller på annat sätt behandlats, som framför allt kan leda till fysisk,
materiell eller immateriell skada. Den personuppgiftsansvarige och personuppgiftsbiträdet bör säkerställa att
behandlingen av personuppgifter inte utförs av obehöriga personer.
(61) En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk,
materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till
begränsning av deras rättigheter, diskriminering, identitetsstöld eller identitetsbedrägeri, ekonomisk förlust,
obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller
personuppgifter som omfattas av tystnadsplikt, eller till annan betydande ekonomisk eller social nackdel för den
berörda fysiska personen. Så snart en personuppgiftsansvarig blir medveten om en personuppgiftsincident bör
den personuppgiftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt
dröjsmål och, om möjligt, inom 72 timmar efter att ha fått kännedom om denna, om inte den personuppgift
sansvarige, i enlighet med ansvarsprincipen, kan visa att det är osannolikt att personuppgiftsincidenten kommer
att medföra en risk för fysiska personers rättigheter och friheter. Om anmälan inte kan göras inom 72 timmar
bör skälen till fördröjningen åtfölja anmälan och informationen får lämnas i omgångar utan otillbörligt vidare
dröjsmål.
(62) Fysiska personer bör utan onödigt dröjsmål underrättas om personuppgiftsincidenten sannolikt leder till en högre
risk för deras rättigheter och friheter så att de kan vidta nödvändiga försiktighetsåtgärder. Underrättelsen bör
innehålla en beskrivning av personuppgiftsincidentens art samt rekommendationer till den berörda fysiska
personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta
rimligtvis är möjligt, i nära samarbete med tillsynsmyndigheten och i enlighet med den vägledning som lämnats
av den eller andra relevanta myndigheter. Exempelvis kräver behovet av att mildra en omedelbar skaderisk att de
registrerade underrättas omgående medan behovet att vidta lämpliga åtgärder vid fortlöpande eller likartade
uppgiftsincidenter kan motivera längre tid för underrättelsen. Om man inte kan undvika att hindra officiella eller
rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, förhindrande,
upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder eller skydda allmän
säkerhet, nationell säkerhet eller andra personers rättigheter och friheter genom att senarelägga eller begränsa
informationen till den berörda fysiska personen om en personuppgiftsincident skulle denna information under
exceptionella omständigheter kunna utelämnas.
(63) Den personuppgiftsansvarige bör utse en person att hjälpa denne att övervaka den interna efterlevnaden av de
bestämmelser som antas i enlighet med detta direktiv, förutom om en medlemsstat beslutar att undanta
domstolar och andra oberoende rättsliga myndigheter som behandlar personuppgifter inom ramen för sin
dömande verksamhet. Denna person kan vara en av den personuppgiftsansvariges medarbetare som fått särskild
utbildning inom dataskyddslagstiftning och praxis i fråga om dataskydd för att förvärva sakkunskap på detta
område. Den nödvändiga nivån på sakkunskapen bör särskilt fastställas i enlighet med den uppgiftsbehandling
som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige. Hans
eller hennes uppgift kan utföras på deltid eller heltid. Flera personuppgiftsansvariga kan, med beaktande av
organisationsstruktur och storlek, gemensamt utse ett dataskyddsombud, t.ex. vid gemensamma resurser i
centralenheter. Denna person kan också utnämnas till olika befattningar inom de berörda personuppgiftsan
svarigas struktur. Denna person bör hjälpa den personuppgiftsansvarige och de anställda som behandlar
personuppgifter genom att ge information och råd till dem angående efterlevnaden av deras respektive
skyldigheter i fråga om dataskydd. Dataskyddsombudet i fråga bör kunna utföra sina uppdrag och uppgifter på
ett oberoende sätt i enlighet med medlemsstaternas nationella rätt.
(64) Medlemsstaterna bör säkerställa att överföringar till ett tredjeland eller en internationell organisation endast får
äga rum om detta är nödvändigt för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller för att
verkställa straffrättsliga påföljder, inklusive för att skydda mot samt förebygga och förhindra hot mot den
4.5.2016
L 119/98
Europeiska unionens officiella tidning
SV
805
SOU 2017:29
Bilaga 2
allmänna säkerheten, och den personuppgiftsansvarige i tredjelandet eller den internationella organisationen är en
myndighet som är behörig i den mening som avses i detta direktiv. En överföring bör endast utföras av behöriga
myndigheter som agerar som personuppgiftsansvariga, utom när personuppgiftsbiträden uttryckligen har getts i
uppdrag att göra en överföring för personuppgiftsansvarigas räkning. En sådan överföring kan äga rum när
kommissionen har beslutat att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat eller när
lämpliga skyddsåtgärder föreligger, eller när undantag för särskilda situationer gäller. Det är viktigt att den
skyddsnivå som fysiska personer garanteras inom unionen genom detta direktiv inte undergrävs när
personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare
i tredjeländer eller internationella organisationer, vilket inbegriper fall av vidare överföring av personuppgifter
från tredjelandet eller den internationella organisationen till personuppgiftsansvariga eller personuppgiftsbiträden
i samma eller i ett annat tredjeland eller en annan internationell organisation.
(65) Om personuppgifter överförs från en medlemsstat till tredjeländer eller internationella organisationer bör en
sådan överföring i princip ske först efter det att den medlemsstat från vilken uppgifterna insamlades har gett sitt
tillstånd till överföringen. För ett effektivt samarbete i fråga om brottsbekämpning krävs att, om ett hot mot en
medlemsstats eller ett tredjelands allmänna säkerhet eller en medlemsstats väsentliga intressen är så överhängande
att det är omöjligt att i tid inhämta ett förhandstillstånd, den behöriga myndigheten bör få överföra de relevanta
personuppgifterna till det berörda tredjelandet eller internationella organisationen utan sådant förhandstillstånd.
Medlemsstaterna bör föreskriva att eventuella särskilda villkor som rör överföringen bör vidarebefordras till
tredjeländer eller internationella organisationer. För vidare överföring av personuppgifter bör det krävas
förhandstillstånd från den behöriga myndighet som utförde den ursprungliga överföringen. När den behöriga
myndighet som utförde den ursprungliga överföringen fattar beslut om en begäran om tillstånd för vidare
överföring bör den vederbörligen beakta alla relevanta faktorer, inklusive hur allvarligt brottet är, de särskilda
villkor på vilka, och det ändamål för vilket, uppgifterna ursprungligen överfördes, arten och villkoren för
verkställandet av den straffrättsliga påföljden, samt nivån på skyddet av personuppgifter i det tredjeland eller den
internationella organisation som personuppgifterna vidare överförs till. Den behöriga myndighet som utförde den
ursprungliga överföringen bör också ha möjlighet att tillämpa särskilda villkor för vidare överföring. Dessa
särskilda villkor kan beskrivas, t.ex. i hanteringskoder.
(66) Kommissionen bör med verkan för hela unionen kunna fastställa att vissa tredjeländer, ett visst territorium eller
en eller flera specificerade sektorer i ett tredjeland eller en internationell organisation kan erbjuda en adekvat
dataskyddsnivå, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer
eller internationella organisationer som anses erbjuda en sådan skyddsnivå. I dessa fall bör överföringar av
personuppgifter till dessa länder kunna ske utan särskilt tillstånd, utom när en annan medlemsstat från vilken
uppgifterna insamlades måste ge tillstånd till överföringen.
(67) I enlighet med de grundläggande värderingar som unionen vilar på, särskilt skyddet av de mänskliga
rättigheterna, bör kommissionen i sin bedömning av ett tredjeland, ett territorium eller en specificerad sektor i ett
tredjeland beakta i vilken omfattning ett visst tredjeland iakttar rättsstatsprincipen, möjligheten till rättslig
prövning samt internationella människorättsliga normer och standarder samt landets allmänna lagstiftning och
sektorslagstiftning, vilket inbegriper lagstiftning om allmän säkerhet, försvar och nationell säkerhet samt allmän
ordning och straffrätt. Vid antagandet av ett beslut om adekvat skyddsnivå avseende ett territorium eller en
specificerad sektor i ett tredjeland bör hänsyn tas till tydliga och objektiva kriterier, t.ex. specifik behandling och
tillämpningsområdet för tillämpliga rättsliga standarder och gällande lagstiftning i det tredjelandet. Tredjelandet
bör erbjuda garantier som säkerställer en tillfredsställande skyddsnivå, som i huvudsak motsvarar den som
säkerställs inom unionen, i synnerhet när uppgifter behandlas inom en eller flera specifika sektorer. Tredjelandet
bör framför allt säkerställa en effektiv oberoende dataskyddsövervakning samt sörja för mekanismer för
samarbete med medlemsstaternas dataskyddsmyndigheter och de registrerade bör tillförsäkras effektiva och
verkställbara rättigheter samt effektiva administrativa och rättsliga rättsmedel.
(68) Utöver de internationella åtaganden som tredjelandet eller den internationella organisationen har ingått bör
kommissionen också beakta de skyldigheter som följer av tredjelandets eller den internationella organisationens
deltagande i multilaterala eller regionala system, särskilt rörande skydd av personuppgifter, samt genomförandet
av dessa skyldigheter. Framför allt bör tredjelandets anslutning till Europarådets konvention av den 28 januari
1981 om skydd för fysiska personer vid automatiserad databehandling av personuppgifter och dess tilläggs
protokoll beaktas. Kommissionen bör samråda med Europeiska dataskyddsstyrelsen, inrättad genom förordning
4.5.2016
L 119/99
Europeiska unionens officiella tidning
SV
806
SOU 2017:29
Bilaga 2
(EU) 2016/679 (nedan kallad styrelsen) vid bedömningen av skyddsnivån i tredjeländer eller internationella
organisationer. Kommissionen bör också beakta alla relevanta kommissionsbeslut om adekvat skyddsnivå som
antagits i enlighet med artikel 45 i förordning (EU) 2016/679.
(69) Kommissionen bör övervaka hur beslut om skyddsnivå i ett tredjeland, ett territorium eller en specificerad sektor
i ett tredjeland eller en internationell organisation fungerar. I sina beslut om adekvat skyddsnivå bör
kommissionen föreskriva en mekanism för periodisk översyn av hur de fungerar. Denna periodiska översyn bör
göras i samråd med tredjelandet eller den internationella organisationen i fråga och bör beakta all relevant
utveckling i tredjelandet eller den internationella organisationen.
(70) Kommissionen bör även kunna konstatera att ett tredjeland eller ett territorium eller en specificerad sektor inom
ett tredjeland, eller en internationell organisation, inte längre säkerställer en adekvat dataskyddsnivå. Följaktligen
bör överföringar av personuppgifter till det tredjelandet eller den internationella organisationen förbjudas om inte
kraven i detta direktiv rörande överföring som är föremål för lämpliga skyddsåtgärder och undantag i särskilda
situationer är uppfyllda. Bestämmelser bör fastställas för förfaranden för samråd mellan kommissionen och dessa
tredjeländer eller internationella organisationer. Kommissionen bör i god tid informera tredjelandet eller den
internationella organisationen om skälen och inleda samråd med tredjelandet eller organisationen för att avhjälpa
situationen.
(71) Överföringar som inte grundar sig på ett sådant beslut om adekvat skyddsnivå bör endast tillåtas om lämpliga
skyddsåtgärder garanteras i ett rättsligt bindande instrument, som säkerställer skyddet av personuppgifterna eller
om den personuppgiftsansvarige har gjort en bedömning av alla omständigheter kring en uppgiftsöverföring och
på grundval av denna bedömning anser att lämpliga skyddsåtgärder föreligger vad avser skyddet av
personuppgifter. Sådana rättsligt bindande instrument kan t.ex. vara rättsligt bindande bilaterala avtal som har
ingåtts av medlemsstaterna och genomförts inom deras rättsordning och som kan åberopas av registrerade som
omfattas av denna och som sörjer för att kraven i fråga om dataskydd uppfylls och att registrerades rättigheter
respekteras, inbegripet rätten till en effektiv administrativ eller rättslig prövning. Den personuppgiftsansvarige bör
vid bedömningen av alla omständigheter kring uppgiftsöverföringen kunna beakta samarbetsavtal som ingåtts
mellan Europol eller Eurojust och tredjeländer, som medger utbyte av personuppgifter. Den personuppgift
sansvarige bör också kunna beakta att överföringen av personuppgifter kommer att omfattas av tystnadplikt och
principen om specificitet, vilket säkerställer att personuppgifterna inte kommer att behandlas i andra syften än för
överföringen. Dessutom bör den personuppgiftsansvarige beakta att personuppgifterna inte kommer att användas
för att göra framställningar om, meddela eller verkställa dödsstraff eller någon form av grym och omänsklig
behandling. Även om dessa villkor kan betraktas som tillräckliga skyddsåtgärder för överföringen av uppgifter bör
den personuppgiftsansvarige kunna begära ytterligare skyddsåtgärder.
(72) Om det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder saknas kan en överföring
eller en kategori av överföringar endast äga rum i särskilda situationer om överföringen är nödvändig för att
skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller för att
skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför personupp
gifterna föreskriver detta, eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en
medlemsstat eller i ett tredjeland, eller om det är nödvändigt i ett enskilt fall för att förebygga, förhindra, avslöja,
utreda eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive för att skydda mot eller förebygga och
förhindra hot mot den allmänna säkerheten, eller i ett enskilt fall för att fastslå, göra gällande eller försvara
rättsliga anspråk. Dessa undantag bör tolkas restriktivt och bör inte möjliggöra upprepade, omfattande eller
strukturella överföringar av personuppgifter eller storskaliga överföringar av uppgifter, utan begränsas till
uppgifter som är absolut nödvändiga. Sådana överföringar bör dokumenteras och på begäran göras tillgängliga
för tillsynsmyndigheten så att man kan övervaka om överföringen är laglig.
(73) Medlemsstaternas behöriga myndigheter tillämpar gällande bilaterala eller multilaterala internationella avtal som
ingåtts med tredjeländer på området för straffrättsligt samarbete och polissamarbete för utbyte av relevant
information för att de ska kunna fullgöra de uppgifter som de anförtrotts enligt lag. Detta sker i princip genom
eller åtminstone i samarbete med tredjeländernas berörda myndigheter, i vissa fall även i avsaknad av ett bilateralt
eller multilateralt internationellt avtal. I specifika enskilda fall är emellertid de ordinarie förfaranden som kräver
kontakt med myndigheten i tredjelandet ineffektiva eller olämpliga, framför allt för att överföringen inte skulle
kunna utföras i tid eller för att myndigheten i tredjelandet inte respekterar rättsstatsprincipen eller internationella
människorättsliga normer och standarder, så att medlemsstaternas behöriga myndigheter skulle kunna besluta att
överföra personuppgifterna direkt till de mottagare som är etablerade i dessa tredjeländer. Detta kan till exempel
vara fallet om det finns ett akut behov av att överföra personuppgifter för att rädda livet på en person som
riskerar att utsättas för ett brott eller för att förhindra en överhängande fara för brottslighet, inbegripet terrorism.
Även om denna överföring mellan behöriga myndigheter och mottagare som är etablerade i tredjeländer endast
4.5.2016
L 119/100
Europeiska unionens officiella tidning
SV
807
SOU 2017:29
Bilaga 2
äger rum i särskilda enskilda fall bör det i detta direktiv föreskrivas villkor för att reglera sådana fall. Dessa
bestämmelser bör inte betraktas som undantag från något befintligt bilateralt eller multilateralt internationellt
avtal på området för straffrättsligt samarbete och polissamarbete. Dessa bestämmelser bör vara tillämpliga utöver
övriga bestämmelser i detta direktiv, särskilt bestämmelserna om när personuppgifter får behandlas och
bestämmelserna i kapitel V.
(74) När personuppgifter förs över gränserna kan detta öka risken för att fysiska personer inte ska kunna utöva sina
dataskyddsrättigheter för att skydda sig mot olaglig användning eller olagligt utlämnande av dessa uppgifter.
Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller genomföra utredningar
avseende verksamheter utanför sina egna gränser. Deras strävan att samarbeta i ett gränsöverskridande
sammanhang kan också försvåras på grund av otillräckliga preventiva eller korrigerande befogenheter och
oenhetliga rättsliga regelverk. Närmare samarbete mellan tillsynsmyndigheter bör därför främjas för att hjälpa
dem att utbyta information med sina utländska motparter.
(75) För att skydda fysiska personer med avseende på behandling av personuppgifter är det av avgörande betydelse att
medlemsstaterna inrättar tillsynsmyndigheter som kan utföra sitt uppdrag fullständigt oberoende. Tillsynsmyndig
heterna bör övervaka tillämpningen av detta direktiv och bör bidra till enhetlig tillämpning av dessa i hela
unionen, för att skydda fysiska personer när deras personuppgifter behandlas. För detta ändamål bör tillsynsmyn
digheterna samarbeta såväl sinsemellan som med kommissionen.
(76) Medlemsstaterna får anförtro en tillsynsmyndighet som de redan har inrättat i enlighet med förordning (EU)
2016/679 ansvaret för de uppgifter som ska utföras av de nationella tillsynsmyndigheter som ska inrättas i
enlighet med detta direktiv.
(77) Medlemsstaterna bör kunna inrätta mer än en tillsynsmyndighet för att återspegla sin konstitutionella,
organisatoriska och administrativa struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella
resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina
uppgifter, däribland de uppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyn
digheter i hela unionen. Varje tillsynsmyndighet bör ha en separat offentlig årlig budget, som kan ingå i den
övergripande statsbudgeten eller nationella budgeten.
(78) Tillsynsmyndigheterna bör vara föremål för oberoende kontroll- eller övervakningsmekanismer i fråga om sina
utgifter, förutsatt att denna finansiella kontroll inte påverkar deras oberoende.
(79) De allmänna villkoren för tillsynsmyndighetens ledamot eller ledamöter bör fastställas i medlemsstaternas
nationella rätt och bör i synnerhet föreskriva att de ska utnämnas antingen av den berörda medlemsstatens
parlament eller dess regering eller dess statschef på grundval av ett förslag från regeringen eller en minister eller
parlamentet eller dess kammare eller av ett oberoende organ som enligt medlemsstaternas nationella rätt har
anförtrotts utnämningen genom ett öppet förfarande. I syfte att säkerställa tillsynsmyndighetens oberoende bör
ledamoten eller ledamöterna handla med integritet, bör avstå från alla handlingar som står i strid med deras
tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i
strid med deras uppdrag. För att säkerställa tillsynsmyndighetens oberoende bör personalurvalet göras av tillsyns
myndigheten, och kunna innefatta ett ingripande från ett oberoende organ som enligt medlemsstaternas
nationella rätt har anförtrotts uppgiften.
(80) Detta direktiv är visserligen tillämpligt på nationella domstolars och andra rättsliga myndigheters verksamheter,
men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter inom ramen för
domstolars dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga uppgifter.
Detta undantag bör vara inskränkt till rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga
verksamheter där domare i enlighet med medlemsstaternas nationella rätt kan medverka. Medlemsstaterna bör
också kunna föreskriva att tillsynsmyndigheten inte ska vara behörig att övervaka andra oberoende rättsliga
myndigheter som behandlar personuppgifter inom ramen för sin rättsliga verksamhet, exempelvis allmänna
åklagarmyndigheter. Under alla omständigheter är domstolarnas och andra oberoende rättsliga myndigheters
efterlevnad av bestämmelserna i detta direktiv alltid föremål för en oberoende kontroll i enlighet med artikel 8.3 i
stadgan.
4.5.2016
L 119/101
Europeiska unionens officiella tidning
SV
808
SOU 2017:29
Bilaga 2
(81) Tillsynsmyndigheterna bör hantera klagomål som anförs av registrerade och utreda ärendena i fråga eller överföra
dem till den behöriga övervakande myndigheten. Utredningen av ett klagomål bör, med förbehåll för eventuell
domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid
informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet kräver
ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om
detta.
(82) För att man ska kunna övervaka efterlevnaden av och verkställa detta direktiv på ett effektivt, tillförlitligt och
enhetligt sätt i hela unionen enligt EUF-fördraget, i enlighet med den tolkning som domstolen gjort, bör tillsyns
myndigheterna i alla medlemsstater ha samma uppgifter och effektiva befogenheter, bl.a. undersökningsbefo
genheter, korrigerande befogenheter och rådgivande befogenheter, som utgör nödvändiga medel för utförandet av
deras uppgifter. Emellertid bör deras befogenheter inte inkräkta på särskilda regler för straffrättsliga förfaranden,
inbegripet utredning och lagföring av brott, eller domstolsväsendets oberoende. Utan att det påverkar åklagarmyn
digheternas befogenheter enligt medlemsstaternas nationella rätt bör tillsynsmyndigheterna också ha befogenhet
att upplysa de rättsliga myndigheterna om överträdelser av detta direktiv eller delta i rättsliga förfaranden.
Tillsynsmyndigheternas befogenheter bör utövas i överensstämmelse med lämpliga rättssäkerhetsgarantier som
fastställs i unionsrätten och i medlemsstaternas nationella rätt samt opartiskt, korrekt och inom rimlig tid.
Framför allt bör varje åtgärd vara lämplig, nödvändig och proportionell för att säkerställa efterlevnaden av detta
direktiv, med beaktande av omständigheterna i varje enskilt fall, samt respektera varje persons rätt att bli hörd
innan några enskilda åtgärder som påverkar den berörda personen negativt vidtas, och utformas så att onödiga
kostnader och alltför stora olägenheter för denne undviks. Undersökningsbefogenheten när det gäller tillträde till
lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella rätt, såsom kravet på att inhämta
förhandstillstånd från rättsliga myndigheter. Antagande av ett rättsligt bindande beslut bör bli föremål för
domstolsprövning i den medlemsstat där den tillsynsmyndighet som antog beslutet är belägen.
(83) Tillsynsmyndigheterna bör bistå varandra när de utför sina uppgifter och ge ömsesidigt bistånd för att säkerställa
att de bestämmelser som antas i enlighet med detta direktiv efterlevs och tillämpas på ett enhetligt sätt.
(84) Styrelsen bör bidra till detta direktivs enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till
kommissionen och främja samarbetet mellan tillsynsmyndigheterna i hela unionen.
(85) Alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet och till ett effektivt
rättsmedel i enlighet med artikel 47 i stadgan, om den registrerade anser att hans eller hennes rättigheter enligt de
bestämmelser som antas i enlighet med detta direktiv har kränkts eller om tillsynsmyndigheten inte reagerar på
ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda
den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske
i den utsträckning som är lämplig i det enskilda fallet. Den behöriga tillsynsmyndigheten bör i rimlig tid
informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet kräver
ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om
detta. För att förenkla inlämnandet av klagomål bör varje tillsynsmyndighet vidta åtgärder, såsom att
tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra
kommunikationsformer utesluts.
(86) Varje fysisk eller juridisk person bör ha rätt till ett effektivt rättsmedel vid behörig nationell domstol mot en
tillsynsmyndighets beslut som har rättsliga följder för denna person. Ett sådant beslut avser särskilt tillsynsmyn
dighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på
klagomål. Denna rätt inbegriper dock inte tillsynsmyndigheters övriga åtgärder som inte är rättsligt bindande,
såsom yttranden som avgetts eller rådgivning som tillhandahållits av tillsynsmyndigheten. Talan mot en
tillsynsmyndighet bör väckas vid domstol i den medlemsstat där tillsynsmyndigheten är etablerad och bör prövas
i enlighet med den nationella rätten i den medlemsstaten. Dessa domstolar bör ha fullständig behörighet, vilket
bör omfatta behörighet att rättsligt eller faktiskt pröva alla frågor som rör de tvister som anhängiggjorts vid dem.
(87) Om en registrerad anser att hans eller hennes rättigheter enligt detta direktiv har kränkts bör han eller hon ha rätt
att ge ett organ som syftar till att skydda registrerades rättigheter och intressen vad gäller skyddet av deras
4.5.2016
L 119/102
Europeiska unionens officiella tidning
SV
809
SOU 2017:29
Bilaga 2
personuppgifter, och som inrättats i enlighet med den nationella rätten i en medlemsstat, i uppdrag att på hans
eller hennes vägnar lämna in ett klagomål till en tillsynsmyndighet och utöva rätten till rättsmedel. De
registrerades rätt att bli företrädda bör inte påverka medlemsstatens nationella processrätt enligt vilken det kan
vara obligatoriskt att registrerade företräds inför nationell domstol av en advokat enligt definitionen i rådets
direktiv 77/249/EEG (1).
(88) Personer som lider skada till följd av behandling som står i strid med de bestämmelser som antas i enlighet med
detta direktiv bör få ersättning av den personuppgiftsansvarige eller av någon annan myndighet som är behörig
enligt medlemsstaternas nationella rätt. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis
och på ett sätt som fullt ut återspeglar detta direktivs mål. Detta påverkar inte skadeståndsanspråk till följd av
överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Vid hänvisning till
behandling som är olaglig eller står i strid med de bestämmelser som antas i enlighet med detta direktiv omfattas
även behandling som inte är i överensstämmelse med de genomförandeakter som antagits i enlighet med detta
direktiv. Registrerade bör få full och effektiv ersättning för den skada de lidit.
(89) Om någon fysisk eller juridisk person överträder detta direktiv bör detta leda till sanktioner, oavsett om personen
i fråga omfattas av privaträtt eller offentlig rätt. Medlemsstaterna bör säkerställa att sanktioner är effektiva,
proportionella och avskräckande och bör vidta alla åtgärder som krävs för att sanktionerna ska verkställas.
(90)
För att säkerställa enhetliga villkor för genomförandet av detta direktiv bör kommissionen tilldelas genomförande
befogenheter vad gäller adekvata skyddsnivåer i ett tredjeland, ett territorium eller en specificerad sektor inom ett
tredjeland eller en internationell organisation och för format och förfaranden för ömsesidigt bistånd samt tillväga
gångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyndigheter
och styrelsen. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU)
nr 182/2011 (2).
(91) Mot bakgrund av att dessa rättsakter har allmän räckvidd bör granskningsförfarandet användas vid antagandet av
genomförandeakter om adekvata skyddsnivåer i ett tredjeland, ett territorium eller en specificerad sektor inom
detta tredjeland eller en internationell organisation och om format och förfaranden för ömsesidigt bistånd samt
tillvägagångssätten för elektroniskt utbyte av information mellan tillsynsmyndigheter samt mellan tillsynsmyn
digheter och styrelsen.
(92) Kommissionen bör när tvingande skäl till skyndsamhet föreligger i vederbörligen motiverade fall anta omedelbart
tillämpliga genomförandeakter avseende ett tredjeland, ett territorium eller en specificerad sektor i ett tredjeland
eller en internationell organisation där en adekvat skyddsnivå inte längre kan säkerställas.
(93) Eftersom målen för detta direktiv, nämligen att skydda fysiska personers grundläggande rättigheter och friheter,
särskilt deras rätt till skydd av personuppgifter, och för att säkerställa ett fritt utbyte av personuppgifter mellan
behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare
på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i
enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma
artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.
(94) Särskilda bestämmelser i unionsakter på området för straffrättsligt samarbete och polissamarbete som antagits
före dagen för antagandet av detta direktiv, och som reglerar behandlingen av personuppgifter mellan
medlemsstaterna eller tillträdet för utsedda myndigheter i medlemsstaterna till informationssystem som inrättats i
4.5.2016
L 119/103
Europeiska unionens officiella tidning
SV
(1) Rådets direktiv 77/249/EEG av den 22 mars 1977 om underlättande för advokater att effektivt begagna sig av friheten att tillhandahålla
tjänster (EGT L 78, 26.3.1977, s. 17).
(2) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer
för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
810
SOU 2017:29
Bilaga 2
enlighet med fördragen, bör kvarstå oförändrade, till exempel de särskilda bestämmelser om skydd av
personuppgifter som tillämpas i enlighet med rådets beslut 2008/615/RIF (1), eller artikel 23 i konventionen om
ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (2). Eftersom artikel 8 i stadgan och
artikel 16 i EUF-fördraget kräver att den grundläggande rätten till skydd av personuppgifter bör säkerställas på ett
enhetligt sätt i hela unionen bör kommissionen utvärdera situationen vad gäller förhållandet mellan detta direktiv
och rättsakter, antagna före dagen för antagandet av detta direktiv, som reglerar behandling av personuppgifter
mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som
inrättats i enlighet med fördragen, i syfte att bedöma om dessa särskilda bestämmelser behöver anpassas till detta
direktiv. Vid behov bör kommissionen lägga fram förslag i syfte att säkerställa enhetliga rättsregler angående
behandlingen av personuppgifter.
(95) För att säkerställa ett övergripande och enhetligt skydd av personuppgifter i unionen bör internationella avtal
som medlemsstaterna ingått före dagen för detta direktivs ikraftträdande, och som överensstämmer med relevant
unionsrätt som var tillämplig före den dagen, fortsätta att gälla till dess att de ändras, ersätts eller upphävs.
(96) Medlemsstaterna bör medges en period på högst två år från dagen för ikraftträdandet av detta direktiv för att
införliva det. Behandling som redan pågår den dagen bör bringas i överensstämmelse med detta direktiv inom en
period av två år från det att detta direktiv träder i kraft. I fall där sådan behandling överensstämmer med
unionsrätt som var tillämplig före dagen för ikraftträdandet av detta direktiv bör dock inte kraven i detta direktiv
rörande förhandssamråd med tillsynsmyndigheten gälla för behandling som redan pågick vid den tidpunkten,
eftersom dessa krav, p.g.a. sin natur, är sådana att de ska uppfyllas före själva behandlingen. Om medlemsstaterna
tillämpar den längre genomförandeperioden som löper ut sju år efter detta direktivs ikraftträdande för
fullgörandet av loggningsskyldigheterna för automatiserade behandlingssystem som inrättats före den dagen bör
den personuppgiftsansvarige eller personuppgiftsbiträdet ha infört effektiva metoder, t.ex. loggar eller andra typer
av register, för att visa att behandlingen av uppgifterna är laglig, möjliggöra egenkontroll samt säkerställa
dataintegritet och datasäkerhet.
(97) Detta direktiv påverkar inte bestämmelserna om bekämpande av sexuella övergrepp mot barn, sexuell
exploatering av barn och barnpornografi i Europaparlamentets och rådets direktiv 2011/93/EU (3).
(98) Rambeslut 2008/977/RIF bör därför upphävas.
(99) I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på
området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, är Förenade kungariket och
Irland inte bundna av de bestämmelser i detta direktiv som avser medlemsstaternas behandling av
personuppgifter när de bedriver verksamhet som omfattas av avdelning V kapitel 4 eller 5 i tredje delen av EUF-
fördraget i det fall då Förenade kungariket och Irland inte är bundna av bestämmelserna om formerna för
straffrättsligt samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste iakttas som fastställs på
grundval av artikel 16 i EUF-fördraget.
(100) I enlighet med artiklarna 2 och 2a i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-
fördraget, är Danmark inte bundet av reglerna i detta direktiv och omfattas inte av den tillämpning av regler som
avser medlemsstaternas behandling av personuppgifter när dessa utövar verksamhet som omfattas av
tillämpningsområdet för kapitlen 4 och 5 i avdelning V i tredje delen i EUF-fördraget. Eftersom detta direktiv
bygger på av Schengenregelverket, som omfattas av avdelning V i tredje delen av EUF-fördraget, ska Danmark i
enlighet med artikel 4 i protokollet inom en tid av sex månader efter antagandet av detta direktiv besluta
huruvida landet ska genomföra det i sin nationella lagstiftning.
(101) När det gäller Island och Norge utgör detta direktiv en vidareutveckling av bestämmelserna i Schengenregelverket
i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa
staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (4).
4.5.2016
L 119/104
Europeiska unionens officiella tidning
SV
(1) Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism
och gränsöverskridande brottslighet (EUT L 210, 6.8.2008, s. 1).
(2) Rådets akt av den 29 maj 2000 om att i enlighet med artikel 34 i Fördraget om Europeiska unionen upprätta konventionen om
ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater (EGT C 197, 12.7.2000, s. 1).
(3) Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell
exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 17.12.2011, s. 1).
(4) EGT L 176, 10.7.1999, s. 36.
811
SOU 2017:29
Bilaga 2
(102) När det gäller Schweiz utgör detta direktiv, i enlighet med avtalet mellan Europeiska unionen, Europeiska
gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet,
tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenre
gelverket (1).
(103) När det gäller Liechtenstein utgör detta direktiv en vidareutveckling av bestämmelserna i Schengenregelverket i
enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och
Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen,
Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till
genomförandet, tillämpningen och utvecklingen av Schengenregelverket (2).
(104) Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i stadgan som
erkänns i EUF-fördraget, särskilt rätten till respekt för privatlivet och familjelivet, rätten till skydd av
personuppgifter, rätt till ett effektivt rättsmedel och till en opartisk domstol. De inskränkningar som gjorts av
dessa rättigheter överensstämmer med artikel 52.1 i stadgan eftersom de är nödvändiga för att uppnå av unionen
erkända mål av allmänt intresse eller för att skydda andras rättigheter och friheter.
(105) I enlighet med den gemensamma politiska förklaringen av den 28 september 2011 från medlemsstaterna och
kommissionen om förklarande dokument, har medlemsstaterna åtagit sig att, i de fall detta är berättigat, låta
anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika
delarna i direktivet och motsvarande delar i de nationella införlivandeåtgärderna. Med avseende på detta direktiv
anser lagstiftaren att översändandet av sådana dokument är berättigat.
(106) Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning
(EG) nr 45/2001 och avgav ett yttrande den 7 mars 2012 (3).
(107) Detta direktiv bör inte hindra medlemsstaterna från att i nationell straffprocesslagstiftning genomföra
bestämmelser om registrerades utövande av sina rättigheter vad gäller information, tillgång till och rättelse eller
radering av personuppgifter och begränsning av behandling i samband med straffrättsliga förfaranden samt
eventuella begränsningar av dessa rättigheter.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
Allmänna bestämmelser
Artikel 1
Syfte och mål
1.
I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av
personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott
eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna
säkerheten.
2.
Enligt detta direktiv ska medlemsstaterna
a) skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, och
b) säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt
unionsrätten eller medlemsstaternas nationella rätt, varken begränsas eller förbjuds av skäl som rör skyddet för
fysiska personer med avseende på behandlingen av personuppgifter.
4.5.2016
L 119/105
Europeiska unionens officiella tidning
SV
(1) EUT L 53, 27.2.2008, s. 52.
(2) EUT L 160, 18.6.2011, s. 21.
(3) EGT C 192, 30.6.2012, s. 7.
812
SOU 2017:29
Bilaga 2
3.
Detta direktiv ska inte hindra medlemsstaterna från att föreskriva starkare skyddsåtgärder än de som fastställs i
detta direktiv för skyddet av den registrerades rättigheter och friheter med avseende på behöriga myndigheters
behandling av personuppgifter.
Artikel 2
Tillämpningsområde
1.
Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål
som anges i artikel 1.1.
2.
Detta direktiv ska tillämpas på behandling av personuppgifter som helt eller delvis företas på automatiserad väg
samt på annan behandling än automatiserad behandling av personuppgifter som ingår i eller kommer att ingå i ett
register.
3.
Detta direktiv tillämpas inte på behandling av personuppgifter
a) som utgör ett led i en verksamhet som inte omfattas av unionsrätten,
b) som utförs av unionens institutioner, organ och byråer.
Artikel 3
Definitioner
I detta direktiv avses med
1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar enskild person (nedan kallad en
registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med
hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidenti
fikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska,
psykiska, ekonomiska, kulturella eller sociala identitet,
2. behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av
personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering,
strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring,
spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
3. begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i
framtiden,
4. profilering: varje form av automatiserad behandling av personuppgifter som består i att dessa personuppgifter
används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller
förutsäga aspekter rörande denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga
preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar,
5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan
tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa
kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer
att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,
6. register: en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om
samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
7. behörig myndighet:
a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller
verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller
b) annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning
för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive
skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten,
4.5.2016
L 119/106
Europeiska unionens officiella tidning
SV
813
SOU 2017:29
Bilaga 2
8. personuppgiftsansvarig: en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och
medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten
eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne
ska utses föreskrivs i unionsrätten eller medlemsstaternas nationella rätt,
9. personuppgiftsbiträde: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar
personuppgifter för den personuppgiftsansvariges räkning,
10. mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personupp
gifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta
personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella
rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig
med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte,
11. personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller
till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt
behandlats,
12. genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk
person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från
en analys av ett biologiskt prov från den fysiska personen i fråga,
13. biometriska uppgifter: personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons
fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av
denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter,
14. uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhanda
hållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus,
15. tillsynsmyndighet: en oberoende offentlig myndighet som är utsedd av en medlemsstat i enlighet med artikel 41,
16. internationell organisation: en organisation och dess underställda organ som lyder under folkrätten eller ett annat
organ som inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder,
KAPITEL II
Principer
Artikel 4
Principer för behandling av personuppgifter
1.
Medlemsstaterna ska föreskriva att personuppgifter ska
a) behandlas på ett lagligt och korrekt sätt,
b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid
med dessa ändamål,
c) vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,
d) vara korrekta och, om nödvändigt, uppdaterade; alla rimliga åtgärder måste vidtas för att säkerställa att
personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan
dröjsmål,
e) inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt
för de ändamål för vilka de behandlas,
f) behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller
otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga
tekniska eller organisatoriska åtgärder.
4.5.2016
L 119/107
Europeiska unionens officiella tidning
SV
814
SOU 2017:29
Bilaga 2
2.
Behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål som anges i
artikel 1.1 än det för vilket personuppgifterna samlas in ska tillåtas om
a) den personuppgiftsansvarige i enlighet med unionsrätten eller medlemsstaternas nationella rätt är bemyndigad att
behandla sådana personuppgifter för ett sådant ändamål, och
b) behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten eller
medlemsstaternas nationella rätt.
3.
Behandling som utförs av samma eller en annan personuppgiftsansvarig kan inbegripa arkivändamål av allmänt
intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i artikel 1.1 under förutsättning
att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.
4.
Den personuppgiftsansvarige ska ansvara för, och kunna visa efterlevnad av, punkterna 1, 2 och 3.
Artikel 5
Tidsgränser för lagring och översyn
Medlemsstaterna ska föreskriva att lämpliga tidsgränser fastställs för radering av personuppgifter eller för periodisk
översyn av behovet av att lagra personuppgifter. Procedurrelaterade åtgärder ska säkerställa att tidsgränserna efterlevs.
Artikel 6
Åtskillnad mellan olika kategorier av registrerade
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, i tillämpliga fall och så långt det är möjligt, ska göra en
klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom
a) personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott,
b) personer som dömts för brott,
c) brottsoffer eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan vara
brottsoffer, och
d) andra som berörs av ett brott, såsom personer som kan komma att kallas att vittna i samband med brottsutredningar
eller senare straffrättsliga förfaranden, personer som kan ge information om brott eller personer med kontakter med
eller band till någon av de personer som avses i a och b.
Artikel 7
Åtskillnad mellan personuppgifter och kontroll av kvaliteten på personuppgifterna
1.
Medlemsstaterna ska föreskriva att personuppgifter som grundar sig på fakta så långt det är möjligt ska åtskiljas
från personuppgifter som grundar sig på personliga bedömningar.
2.
Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att
personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Varje behörig
myndighet ska därför i den mån det är praktiskt möjligt kontrollera kvaliteten på personuppgifterna innan dessa
överförs eller görs tillgängliga. Vid all överföring av personuppgifter ska, så långt det är möjligt, sådan nödvändig
information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad
personuppgifterna är korrekta, fullständiga och tillförlitliga samt i vilken utsträckning de är aktuella.
3.
Om det visar sig att felaktiga personuppgifter har överförts eller att personuppgifter olagligen har överförts ska
mottagaren omedelbart underrättas om detta. I sådana fall ska personuppgifterna rättas eller raderas eller behandlingen
begränsas i enlighet med artikel 16.
4.5.2016
L 119/108
Europeiska unionens officiella tidning
SV
815
SOU 2017:29
Bilaga 2
Artikel 8
Laglig behandling av personuppgifter
1.
Medlemsstaterna ska föreskriva att behandling ska vara laglig endast om och i den mån behandlingen är nödvändig
för att utföra en uppgift som utförs av en behörig myndighet för de ändamål som anges i artikel 1.1 och som sker på
grundval av unionsrätt eller medlemsstaternas nationella rätt.
2.
Medlemsstaternas nationella rätt som reglerar behandling inom tillämpningsområdet för detta direktiv ska
åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål.
Artikel 9
Särskilda villkor för uppgiftsbehandling
1.
Personuppgifter som samlas in av behöriga myndigheter för de ändamål som anges i artikel 1.1. ska inte behandlas
för andra ändamål än de som anges i artikel 1.1 såvida inte sådan behandling är tillåten enligt unionsrätten eller
medlemsstaternas nationella rätt. När personuppgifter behandlas för andra ändamål ska förordning (EU) 2016/679
tillämpas, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.
2.
Om de behöriga myndigheterna enligt medlemsstaternas nationella rätt anförtros utförandet av andra uppgifter än
de som utförs för de ändamål som anges i artikel 1.1, ska förordning (EU) 2016/679 vara tillämplig på behandlingen för
dessa ändamål, inklusive för arkivändamål av allmänt intresse, för historiska eller vetenskapliga forskningsändamål eller
för statistiska ändamål, såvida inte behandlingen utförs som ett led i en verksamhet som inte omfattas av unionsrätten.
3.
Om den unionsrätt eller nationella rätt som är tillämplig på den överförande behöriga myndigheten fastställer
särskilda villkor för behandling, ska medlemsstaten föreskriva att den överförande behöriga myndigheten ska informera
mottagaren om dessa särskilda villkor och om kravet att respektera dem.
4.
Medlemsstaterna ska föreskriva att den överförande behöriga myndigheten inte ska tillämpa villkor enligt punkt 3
på mottagare i andra medlemsstater eller på byråer och organ som inrättats i enlighet med avdelning V kapitlen 4 och 5
i EUF-fördraget, med undantag för de villkor som är tillämpliga på motsvarande överföringar av uppgifter inom den
överförande behöriga myndighetens medlemsstat.
Artikel 10
Behandling av särskilda kategorier av personuppgifter
Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk
övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt
identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning
ska vara tillåten endast om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för
den registrerades rättigheter och friheter och endast
a) om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt,
b) för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller
c) om behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
Artikel 11
Automatiserat individuellt beslutsfattande
1.
Medlemsstaterna ska föreskriva att beslut som enbart grundas på automatiserad behandling, inbegripet profilering,
som har negativa rättsliga följder för den registrerade eller i betydande grad påverkar honom eller henne, ska förbjudas
om de inte är tillåtna enligt unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige lyder
under och som föreskriver lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, åtminstone rätten till
mänskligt ingripande från den personuppgiftsansvariges sida.
4.5.2016
L 119/109
Europeiska unionens officiella tidning
SV
816
SOU 2017:29
Bilaga 2
2.
Beslut som avses i punkt 1 i den här artikeln får inte grundas på de särskilda kategorier av personuppgifter som
avses i artikel 10, såvida inte lämpliga åtgärder för att skydda den registrerades rättigheter och friheter samt berättigade
intressen har vidtagits.
3.
Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter
enligt artikel 10 ska förbjudas i enlighet med unionsrätten.
KAPITEL III
Den registrerades rättigheter
Artikel 12
Information om och villkor för utövandet av den registrerades rättigheter
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska vidta rimliga åtgärder för att tillhandahålla den
registrerade all information som avses i artikel 13 och alla meddelanden enligt artiklarna 11, 14–18 och 31 som avser
behandling i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Informationen ska
tillhandahållas på lämpligt sätt, t.ex. elektroniskt. Som en allmän regel ska den personuppgiftsansvarige tillhandahålla
informationen i samma format som begäran.
2.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underlätta utövandet av den registrerades
rättigheter enligt artiklarna 11 och 14–18.
3.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige utan onödigt dröjsmål skriftligen ska informera
den registrerade om uppföljningen av hans eller hennes begäran.
4.
Medlemsstaterna ska föreskriva att den information som tillhandahålls enligt artikel 13 och alla meddelanden eller
åtgärder som vidtas enligt artiklarna 11, 14–18 och 31 ska tillhandahållas kostnadsfritt. Om en registrerads begäran är
uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, får den personuppgiftsansvarige antingen
a) ta ut en rimlig avgift med beaktande av de administrativa kostnaderna för tillhandahållandet av informationen eller
meddelandet eller vidtagandet av den åtgärd som begärs, eller
b) vägra att tillmötesgå begäran.
Den personuppgiftsansvarige ska visa att begäran är uppenbart ogrundad eller orimlig.
5.
Om den personuppgiftsansvarige har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en
begäran enligt artiklarna 14 eller 16, får den personuppgiftsansvarige begära att ytterligare information som är
nödvändig för att bekräfta den registrerades identitet ska tillhandahållas.
Artikel 13
Information som ska göras tillgänglig för eller lämnas till den registrerade
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska göra åtminstone följande information
tillgänglig för den registrerade:
a) Den personuppgiftsansvariges identitet och kontaktuppgifter.
b) Dataskyddsombudets kontaktuppgifter, i tillämpliga fall.
c) Ändamålen med den behandling för vilken personuppgifterna är avsedda.
d) Rätten att lämna in klagomål till en tillsynsmyndighet samt tillsynsmyndighetens kontaktuppgifter.
e) Rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter och
begränsning av behandlingen av personuppgifter som rör den registrerade.
2.
Utöver den information som avses i punkt 1, ska medlemsstaterna i lag föreskriva att den personuppgiftsansvarige
i specifika fall ska lämna följande information till den registrerade, för att göra det möjligt för honom eller henne att
utöva sina rättigheter:
a) Behandlingens rättsliga grund.
b) Den period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de kriterier som används
för att fastställa denna period.
4.5.2016
L 119/110
Europeiska unionens officiella tidning
SV
817
SOU 2017:29
Bilaga 2
c) I tillämpliga fall, kategorierna av mottagare av personuppgifterna, inbegripet i tredjeländer eller internationella
organisationer.
d) Vid behov ytterligare information, i synnerhet om personuppgifterna samlas in utan den registrerades vetskap.
3.
Medlemsstaterna får anta lagstiftningsåtgärder som gör att informationen till den registrerade enligt punkt 2
senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som en sådan åtgärd är nödvändig och
proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter
och berättigade intressen, i syfte att
a) undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden,
b) undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller
verkställighet av straffrättsliga påföljder,
c) skydda den allmänna säkerheten,
d) skydda den nationella säkerheten,
e) skydda andra personers rättigheter och friheter.
4.
Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan
omfattas av något av leden i punkt 3.
Artikel 14
Den registrerades rätt till tillgång till personuppgifter
Med förbehåll för artikel 15 ska medlemsstaterna föreskriva att den registrerade ska ha rätt att av den personuppgift
sansvarige få bekräftelse av huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få
tillgång till personuppgifterna och följande information:
a) Ändamålen med behandlingen och dess rättsliga grund.
b) De kategorier av personuppgifter som behandlingen gäller.
c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut, särskilt mottagare i
tredjeländer eller internationella organisationer.
d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om det inte är möjligt, de
kriterier som används för att fastställa denna period.
e) Rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifter eller begränsning av
behandling av personuppgifter som rör den registrerade.
f) Rätten att lämna in klagomål till tillsynsmyndigheten samt tillsynsmyndighetens kontaktuppgifter.
g) Information om vilka personuppgifter som håller på att behandlas och all tillgänglig information om varifrån dessa
uppgifter härstammar.
Artikel 15
Begränsningar av rätten till tillgång
1.
Medlemsstaterna får anta lagstiftningsåtgärder som helt eller delvis begränsar den registrerades rätt till tillgång i
den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell
åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och
berättigade intressen, i syfte att
a) undvika att hindra officiella eller rättsliga utredningar, förundersökningar eller förfaranden,
b) undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller
verkställighet av straffrättsliga påföljder,
c) skydda den allmänna säkerheten,
4.5.2016
L 119/111
Europeiska unionens officiella tidning
SV
818
SOU 2017:29
Bilaga 2
d) skydda den nationella säkerheten,
e) skydda andra personers rättigheter och friheter.
2.
Medlemsstaterna får anta lagstiftningsåtgärder för att fastställa kategorier av behandling som helt eller delvis kan
omfattas av undantagen i punkt 1 a–e.
3.
I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den personuppgiftsansvarige utan
onödigt dröjsmål ska informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen
för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål
enligt punkt 1. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om
möjligheten att lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.
4.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga
grunderna för beslutet. Denna information ska göras tillgänglig för tillsynsmyndigheterna.
Artikel 16
Rätt till rättelse eller radering av personuppgifter och begränsning av behandling
1.
Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att utan onödigt dröjsmål av den personuppgift
sansvarige få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med
behandlingen ska medlemsstaterna föreskriva att den registrerade ska ha rätt att få ofullständiga personuppgifter
kompletterade, inbegripet genom att tillhandahålla en kompletterande inlaga.
2.
Medlemsstaterna ska kräva att den personuppgiftsansvarige utan onödigt dröjsmål ska radera personuppgifter och
ge den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få till stånd radering av
personuppgifter som rör honom eller henne om behandlingen står i strid med de bestämmelser som antas enligt
artiklarna 4, 8 och 10 eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den
personuppgiftsansvarige.
3.
I stället för radering ska den personuppgiftsansvarige begränsa behandling om
a) den registrerade bestrider personuppgifternas korrekthet och korrektheten inte kan fastställas, eller
b) personuppgifterna måste sparas som bevisning.
Om behandlingen begränsas enligt första stycket led a ska den personuppgiftsansvarige underrätta den registrerade innan
begränsningen av behandlingen upphävs.
4.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige underrättar den registrerade skriftligen om
eventuell vägran att rätta, radera eller begränsa behandlingen och om skälen till vägran. Medlemsstaterna får anta lagstift
ningsåtgärder som helt eller delvis begränsar skyldigheten att tillhandahålla sådan information i den utsträckning som en
sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den
berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att
a) undvika att hindra offentliga eller rättsliga utredningar, undersökningar eller förfaranden,
b) undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller
verkställighet av straffrättsliga påföljder,
c) skydda den allmänna säkerheten,
d) skydda den nationella säkerheten,
e) skydda andra personers rättigheter och friheter.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om möjligheterna att
lämna in ett klagomål till en tillsynsmyndighet eller begära rättslig prövning.
4.5.2016
L 119/112
Europeiska unionens officiella tidning
SV
819
SOU 2017:29
Bilaga 2
5.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska meddela varje rättelse av oriktiga
personuppgifter till den behöriga myndighet från vilken de oriktiga personuppgifterna kommer.
6.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, när personuppgifter har rättats, raderats eller
begränsats i enlighet med punkterna 1, 2 och 3, ska underrätta mottagarna och att mottagarna ska rätta eller radera
personuppgifterna eller begränsa den behandling som utförs under deras ansvar.
Artikel 17
Den registrerades utövande av rättigheter och kontroll genom tillsynsmyndigheten
1.
I de fall som avses i artiklarna 13.3, 15.3 och 16.4 ska medlemsstaterna anta bestämmelser om att den
registrerades rättigheter även kan utövas genom den behöriga tillsynsmyndigheten.
2.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska underrätta den registrerade om hans eller
hennes möjlighet att utöva sina rättigheter genom tillsynsmyndigheten enligt punkt 1.
3.
När den rättighet som avses i punkt 1 utövas ska tillsynsmyndigheten åtminstone underrätta den registrerade om
att alla nödvändiga kontroller eller en översyn genom tillsynsmyndigheten har ägt rum. Tillsynsmyndigheten ska också
informera den registrerade om hans eller hennes rätt att begära rättslig prövning.
Artikel 18
Den registrerades rättigheter i brottsutredningar och straffrättsliga förfaranden
Medlemsstaterna får föreskriva att de rättigheter som avses i artiklarna 13, 14 och 16 ska utövas i enlighet med
medlemsstaternas nationella rätt om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende
som behandlas i samband med brottsutredningar och straffrättsliga förfaranden.
KAPITEL IV
Personuppgiftsansvarig och personuppgiftsbiträde
Avsnitt 1
Allmänna skyldigheter
Artikel 19
Den personuppgiftsansvariges skyldigheter
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, med beaktande av behandlingens art, omfattning,
sammanhang och ändamål, samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter
och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa, och kunna visa, att behandlingen
utförs i enlighet med detta direktiv. Dessa åtgärder ska ses över och uppdateras vid behov.
2.
Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsan
svariges genomförande av lämpliga strategier för dataskydd.
Artikel 20
Inbyggt dataskydd och dataskydd som standard
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, med beaktande av den senaste utvecklingen och
genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål, samt de risker, av varierande
sannolikhetsgrad och allvar för fysiska personers rättigheter och friheter som behandlingen utgör, både vid tidpunkten
för beslut om vilka medel behandlingen ska utföras med och vid tidpunkten för själva behandlingen, ska genomföra
lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för genomförande av
dataskyddsprinciper, såsom uppgiftsminimering, på ett effektivt sätt och för integrering av de nödvändiga skyddsåt
gärderna i behandlingen, för att uppfylla kraven i detta direktiv och skydda den registrerades rättigheter.
4.5.2016
L 119/113
Europeiska unionens officiella tidning
SV
820
SOU 2017:29
Bilaga 2
2.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige genomför lämpliga tekniska och organisatoriska
åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål
med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning,
tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i
standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
Artikel 21
Gemensamt personuppgiftsansvariga
1.
Medlemsstaterna ska föreskriva att två eller flera personuppgiftsansvariga har gemensamt ansvar för registret, om
de gemensamt fastställer behandlingens ändamål och medel. De ska under öppna former fastställa sitt respektive ansvar
för efterlevnaden av detta direktiv, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive
skyldigheter att tillhandahålla den information som avses i artikel 13, genom ett inbördes arrangemang, såvida inte och i
den mån som de personuppgiftsansvarigas respektive skyldigheter fastställs i unionsrätt eller medlemsstaternas nationella
rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget ska en kontaktpunkt för de
registrerade utses. Medlemsstaterna får fastslå vem av de gemensamt personuppgiftsansvariga som kan fungera som enda
kontaktpunkt för de registrerade i fråga om utövandet av deras rättigheter.
2.
Oavsett formerna för det arrangemang som avses i punkt 1 får medlemsstaterna föreskriva att den registrerade får
utöva sina rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv med avseende på var och en av de
personuppgiftsansvariga.
Artikel 22
Personuppgiftsbiträde
1.
Medlemsstaterna ska, om en behandling ska genomföras på en personuppgiftsansvarigs vägnar, föreskriva att den
personuppgiftsansvarige endast ska anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra
lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i detta direktiv och
säkerställer att den registrerades rättigheter skyddas.
2.
Medlemsstaterna ska föreskriva att personuppgiftsbiträdet inte får anlita ett annat personuppgiftsbiträde utan att ett
särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt
tillstånd har erhållits, ska personuppgiftsbiträdet alltid informera den personuppgiftsansvarige om eventuella planer på
att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har
möjlighet att göra invändningar mot sådana förändringar.
3.
Medlemsstaterna ska föreskriva att ett personuppgiftsbiträdes behandling ska regleras genom ett avtal eller annan
rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med
avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och
ändamål, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och
rättigheter anges. Avtalet eller den andra rättsakten ska särskilt föreskriva att personuppgiftsbiträdet
a) endast handlar enligt instruktioner från den personuppgiftsansvarige,
b) säkerställer att personer som har tillstånd att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet
eller omfattas av en lämplig lagstadgad tystnadsplikt,
c) på lämpligt sätt ska bistå den personuppgiftsansvarige att säkerställa efterlevnad av bestämmelserna om den
registrerades rättigheter,
d) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den
personuppgiftsansvarige efter det att tillhandahållandet av uppgiftsbehandlingstjänster har avslutats och raderar
befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella
rätt,
4.5.2016
L 119/114
Europeiska unionens officiella tidning
SV
821
SOU 2017:29
Bilaga 2
e) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att denna artikel efterlevs,
f) respekterar de villkor som avses i punkterna 2 och 3 för anlitande av ett annat personuppgiftsbiträde.
4.
Det avtal eller den andra rättsakt som avses i punkt 3 ska vara skriftligt, inbegripet i elektronisk form.
5.
Om ett personuppgiftsbiträde i strid med detta direktiv fastställer ändamålen och medlen för behandlingen ska
personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen.
Artikel 23
Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende
Medlemsstaterna ska föreskriva att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsan
svariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa
uppgifter enligt instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt
unionsrätten eller medlemsstaternas nationella rätt.
Artikel 24
Register över behandling
1.
Medlemsstaterna ska föreskriva att alla personuppgiftsansvariga ska föra ett register över alla kategorier av
verksamheter i samband med behandling som de ansvarar för. Detta register ska innehålla samtliga följande uppgifter:
a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgift
sansvariga och dataskyddsombudet.
b) Ändamålen med behandlingen.
c) De kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till, inbegripet mottagare i
tredjeländer eller internationella organisationer.
d) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
e) Användning av profilering, i tillämpliga fall.
f) I tillämpliga fall, kategorier av personuppgiftsöverföringar till ett tredjeland eller en internationell organisation.
g) En uppgift om den rättsliga grunden för den behandling, inbegripet överföringar, för vilken personuppgifterna är
avsedda.
h) Om möjligt, de planerade tidsfristerna för radering av de olika personuppgiftskategorierna.
i) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 29.1.
2.
Medlemsstaterna ska föreskriva att alla personuppgiftsbiträden ska upprätthålla ett register över alla kategorier av
behandling som utförts för den personuppgiftsansvariges räkning, vilket ska omfatta följande:
a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller registerförarna, för varje personuppgiftsansvarig för vars
räkning personuppgiftsbiträdet agerar samt, i tillämpliga fall, för dataskyddsombudet.
b) De kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning.
c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet
identifiering av tredjelandet eller den internationella organisationen, om den personuppgiftsansvarige uttryckligen
begär detta.
d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 29.1.
4.5.2016
L 119/115
Europeiska unionens officiella tidning
SV
822
SOU 2017:29
Bilaga 2
3.
De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska på begäran göra registren tillgängliga för tillsynsmyndighe
ten.
Artikel 25
Loggning
1.
Medlemsstaterna ska säkerställa att loggar förs över åtminstone följande typer av behandlingar i automatiserade
behandlingssystem: insamling, ändring, läsning, utlämning inbegripet överföringar, sammanförande och radering.
Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan
behandling och i möjligaste mån vem som har läst eller lämnat ut personuppgifter, samt vilka som har fått tillgång till
personuppgifterna.
2.
Loggarna bör endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa
personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden.
3.
Den personuppgiftsansvarige och personuppgiftsbiträdet ska på begäran göra loggarna tillgängliga för tillsynsmyn
digheten.
Artikel 26
Samarbete med tillsynsmyndigheten
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige och personuppgiftsbiträdet på begäran ska samarbeta
med tillsynsmyndigheten vid utförandet av dess uppgifter.
Artikel 27
Konsekvensbedömning avseende dataskydd
1.
Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning,
sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska
medlemsstaterna säkerställa att den personuppgiftsansvarige före behandlingen utför en bedömning av den planerade
behandlingens konsekvenser för skyddet av personuppgifter.
2.
Den bedömning som avses i punkt 1 ska åtminstone innehålla en allmän beskrivning av den planerade
behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter, de åtgärder som planeras för att
hantera dessa risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifter och för
att visa att detta direktiv efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och
berättigade intressen.
Artikel 28
Förhandssamråd med tillsynsmyndigheten
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige eller personuppgiftsbiträdet ska samråda med
tillsynsmyndigheten före behandling av personuppgifter som kommer att ingå i ett nytt register som ska inrättas, om
a) en konsekvensbedömning avseende dataskydd enligt artikel 27 visar att behandlingen skulle leda till en hög risk om
inte den registeransvarige vidtar åtgärder för att minska risken, eller om
b) typen av behandling, särskilt vid användning av ny teknik eller nya rutiner eller förfaranden, medför en hög risk för
de registrerades rättigheter och friheter.
2.
Medlemsstaterna ska föreskriva att tillsynsmyndigheten ska rådfrågas under utarbetandet av ett förslag till lagstift
ningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstift
ningsåtgärd som rör behandling.
3.
Medlemsstaterna ska föreskriva att tillsynsmyndigheten får upprätta en förteckning över de olika typer av uppgifts
behandling som omfattas av förhandssamråd enligt punkt 1.
4.5.2016
L 119/116
Europeiska unionens officiella tidning
SV
823
SOU 2017:29
Bilaga 2
4.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige till tillsynsmyndigheten lämnar in den konsekvens
bedömning avseende dataskydd som avses i artikel 27 och, på begäran, eventuell övrig information som gör att tillsyns
myndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den
registrerades personuppgifter och av därmed sammanhängande skyddsåtgärder.
5.
Medlemsstaterna ska, om tillsynsmyndigheten anser att den planerade behandling som avses i punkt 1 i denna
artikel inte skulle vara förenlig med de bestämmelser som antas i enlighet med detta direktiv, särskilt om den personupp
giftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, föreskriva att tillsynsmyndigheten inom en period
på högst sex veckor från det att begäran om samråd mottagits ska ge den personuppgiftsansvarige och, i tillämpliga fall,
personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 47. Denna period får
förlängas med en månad beroende på hur komplicerad den planerade behandlingen är. Tillsynsmyndigheten ska
informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en
månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen.
Avsnitt 2
Säkerhet för personuppgif ter
Artikel 29
Säkerhet i samband med behandling
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige och personuppgiftsbiträdet, med beaktande av den
senaste utvecklingen och genomförandekostnader och med hänsyn till behandlingens art, omfattning, sammanhang och
ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta
lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken,
i synnerhet när det gäller de särskilda kategorier av personuppgifter som avses i artikel 10.
2.
När det gäller automatiserad behandling ska varje medlemsstat föreskriva att den personuppgiftsansvarige eller
personuppgiftsbiträdet, efter en bedömning av riskerna, ska vidta åtgärder i syfte att
a) vägra varje obehörig person åtkomst till utrustning för behandling som används för behandling (åtkomstskydd för
utrustning),
b) förhindra obehörig läsning, kopiering, ändring eller radering av datamedier (kontroll av datamedier),
c) förhindra obehörig registrering av personuppgifter och obehörig kännedom om, ändring eller radering av lagrade
personuppgifter (lagringskontroll),
d) förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring
(användarkontroll),
e) säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till
personuppgifter som omfattas av deras behörighet (åtkomstkontroll),
f) säkerställa att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och
för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för
dataöverföring (kommunikationskontroll),
g) säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett
automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes (indatakontroll),
h) förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana
uppgifter eller under transport av databärare (transportkontroll),
i) säkerställa att de system som används kan återställas vid störningar (återställande),
j) säkerställa att systemet fungerar, att funktionsfel rapporteras (driftsäkerhet) och att de lagrade personuppgifterna inte
kan förvanskas genom funktionsfel i systemet (dataintegritet).
4.5.2016
L 119/117
Europeiska unionens officiella tidning
SV
824
SOU 2017:29
Bilaga 2
Artikel 30
Anmälan av en personuppgiftsincident till tillsynsmyndigheten
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige vid en personuppgiftsincident utan onödigt
dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om incidenten, anmäler den till
tillsynsmyndigheten, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers
rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar, ska den åtföljas av en
motivering till förseningen.
2.
Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap
om en personuppgiftsincident.
3.
Den anmälan som avses i punkt 1 ska åtminstone
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antal
registrerade som berörs samt de kategorier av och det ungefärliga antal personuppgiftsposter som berörs,
b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller annan kontaktpunkt där mer information
kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten,
d) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsin
cidenten, inbegripet, i tillämpliga fall, åtgärder för att mildra dess potentiella negativa effekter.
4.
Om, och i den utsträckning, det inte är möjligt att tillhandahålla informationen samtidigt, får informationen
tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
5.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter
som avses i punkt 1, inbegripet omständigheterna rörande personuppgiftsincidenten, dess effekter och de korrigerande
åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av
denna artikel.
6.
Medlemsstaterna ska föreskriva att den information som avses i punkt 3, om personuppgiftsincidenten rör
personuppgifter som har överförts av eller till den personuppgiftsansvarige i en annan medlemsstat, utan onödigt
dröjsmål ska meddelas den personuppgiftsansvarige i den medlemsstaten.
Artikel 31
Information till den registrerade om en personuppgiftsincident
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige, om personuppgiftsincidenten sannolikt kommer
att leda till en hög risk för fysiska personers rättigheter och friheter, utan onödigt dröjsmål ska informera den
registrerade om personuppgiftsincidenten.
2.
Den information till den registrerade som avses i punkt 1 i den här artikeln ska innehålla en tydlig och klar
beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 30.3 b, c
och d.
3.
Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllda:
a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder
har tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som gör
personuppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till dem, såsom kryptering.
b) Om den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades
rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.
c) Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande
åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.
4.5.2016
L 119/118
Europeiska unionens officiella tidning
SV
825
SOU 2017:29
Bilaga 2
4.
Om personuppgiftsbiträdet inte redan har informerat den registrerade om personuppgiftsincidenten får tillsyns
myndigheten, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att
personuppgiftsbiträdet gör det, eller besluta att något av de villkor som avses i punkt 3 är uppfyllt.
5.
Den information till den registrerade som avses i punkt 1 i den här artikeln kan senareläggas, begränsas eller
utelämnas på de villkor och av de skäl som avses i artikel 13.3.
Avsnitt 3
Dataskyddsombud
Artikel 32
Utnämning av dataskyddsombudet
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska utnämna ett dataskyddsombud.
Medlemsstaterna får undanta domstolars och andra oberoende rättsliga myndigheters dömande verksamhet från denna
skyldighet.
2.
Dataskyddsombudet ska utnämnas på grundval av sina yrkesmässiga kvalifikationer och, i synnerhet, sin
sakkunskap om lagstiftning och praxis i fråga om dataskydd samt förmåga att fullgöra de uppgifter som avses i
artikel 34.
3.
Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter med hänsyn tagen till organisations
struktur och storlek.
4.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska offentliggöra dataskyddsombudets kontaktupp
gifter och meddela dessa till tillsynsmyndigheten.
Artikel 33
Dataskyddsombudets ställning
1.
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska säkerställa att dataskyddsombudet på ett
korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.
2.
Den personuppgiftsansvarige ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 34
genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och
behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.
Artikel 34
Dataskyddsombudets uppgifter
Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska anförtro dataskyddsombudet åtminstone följande
uppgifter:
a) Att informera och ge råd till den personuppgiftsansvarige och de anställda som utför behandling om deras
skyldigheter enligt detta direktiv och annan unionsrätt eller medlemsstaters bestämmelser om dataskydd.
b) Att övervaka efterlevnaden av detta direktiv, annan unionsrätt eller medlemsstaternas bestämmelser om dataskydd
och av den personuppgiftsansvariges strategier för skydd av personuppgifter, inbegripet ansvarstilldelning,
information till och utbildning av personal som deltar i behandlingen och tillhörande granskning.
c) Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den
enligt artikel 27.
d) Att samarbeta med tillsynsmyndigheten.
e) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd
som avses i artikel 28, och, om så är lämpligt, samråda i andra frågor.
4.5.2016
L 119/119
Europeiska unionens officiella tidning
SV
826
SOU 2017:29
Bilaga 2
KAPITEL V
Överföringar av personuppgifter till tredjeländer eller internationella organisationer
Artikel 35
Allmänna principer för överföringar av personuppgifter
1.
Medlemsstaterna ska föreskriva att de behöriga myndigheterna endast ska överföra personuppgifter som håller på
att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation,
inklusive för vidare överföring till ett annat tredjeland eller en annan internationell organisation, under förutsättning att
de nationella bestämmelser som antas i enlighet med andra bestämmelser i detta direktiv respekteras och endast om de
villkor som fastställs i detta kapitel uppfylls, nämligen:
a) Överföringen är nödvändig för de ändamål som anges i artikel 1.1.
b) Personuppgifterna överförs till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är
en behörig myndighet för de ändamål som avses i artikel 1.1.
c) Den aktuella medlemsstaten, om personuppgifter överförs eller görs tillgängliga från en annan medlemsstat, har gett
förhandstillstånd till överföringen i enlighet med medlemsstaternas nationella rätt.
d) Kommissionen har antagit ett beslut om adekvat skyddsnivå i enlighet med artikel 36 eller, om inget sådant beslut
föreligger, när lämpliga skyddsåtgärder har vidtagits eller föreligger enligt artikel 37 eller, om inget beslut om adekvat
skyddsnivå enligt artikel 36 föreligger och inga lämpliga skyddsåtgärder enligt artikel 37 har vidtagits, när undantag
för särskilda situationer gäller i enlighet med artikel 38.
e) Att den behöriga myndighet som gjorde den ursprungliga överföringen eller en annan behörig myndighet i samma
medlemsstat vid vidare överföring till ett annat tredjeland eller en internationell organisation godkänner vidareöver
föringen efter vederbörligt beaktande av alla relevanta faktorer, inbegripet brottets allvar, det ändamål för vilket
personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i tredjelandet till vilket eller den
internationella organisationen till vilken personuppgifterna förts vidare.
2.
Medlemsstaterna ska föreskriva att överföringar utan förhandstillstånd av en annan medlemsstat i enlighet med
punkt 1 c tillåts endast om överföringen av personuppgifter är nödvändig för att avvärja ett omedelbart och allvarligt
hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland eller mot en medlemsstats väsentliga intressen och
förhandstillstånd inte kan erhållas i tid. Den myndighet som har ansvar för att ge förhandstillstånd ska underrättas utan
dröjsmål.
3.
Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den skyddsnivå för fysiska personer som
säkerställs genom detta direktiv inte undergrävs.
Artikel 36
Överföring på grundval av ett beslut om adekvat skyddsnivå
1.
Medlemsstaterna ska föreskriva att personuppgifter får överföras till ett tredjeland eller en internationell
organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i
tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska
inte kräva ett särskilt tillstånd.
2.
När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta
a) rättsstatsprincipen, respekten för de mänskliga rättigheterna och grundläggande friheterna, relevant lagstiftning, både
allmän lagstiftning och sektorslagstiftning, inklusive avseende allmän säkerhet, försvar, nationell säkerhet och
straffrätt samt offentliga myndigheters tillgång till personuppgifter liksom tillämpningen av denna lagstiftning,
dataskyddsregler, yrkesregler och säkerhetsbestämmelser och regler för vidare överföring av personuppgifter till ett
annat tredjeland eller en annan internationell organisation, som ska följas i det tredjeland eller inom den
internationella organisation som berörs, rättspraxis, och effektiva och verkställbara rättigheter för registrerade och
effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs,
b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet, eller som utövar
tillsyn över den internationella organisationen, med ansvar för att säkerställa och kontrollera att dataskyddsbestäm
melserna följs, inklusive lämpliga verkställighetsbefogenheter, ge registrerade råd och assistans när det gäller
utövandet av deras rättigheter och samarbeta med medlemsstaternas tillsynsmyndigheter, och
4.5.2016
L 119/120
Europeiska unionens officiella tidning
SV
827
SOU 2017:29
Bilaga 2
c) vilka internationella åtaganden det berörda tredjelandet eller den berörda internationella organisationen har gjort,
eller andra skyldigheter som följer av rättsligt bindande konventioner eller instrument samt av dess deltagande i
multilaterala eller regionala system, särskilt rörande skydd av personuppgifter.
3.
Kommissionen får, efter att ha bedömt om skyddsnivån är adekvat, genom en genomförandeakt, besluta att ett
tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell
organisation, säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här artikeln.
Genomförandeakten ska inrätta en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant
utveckling i det tredjelandet eller den internationella organisationen. Den territoriella och sektoriella tillämpningen ska
regleras i genomförandeakten, där det också i förekommande fall ska anges vilken eller vilka myndigheter som är
tillsynsmyndighet(er) enligt punkt 2 b i den här artikeln. Genomförandeakten ska antas i enlighet med det gransknings
förfarande som avses i artikel 58.2.
4.
Kommissionen ska fortlöpande övervaka utveckling i tredjeländer och internationella organisationer vilken kan
påverka hur beslut som antagits enligt punkt 3 fungerar.
5.
Kommissionen ska, när tillgänglig information visar, i synnerhet efter den översyn som avses i punkt 3 i den här
artikeln, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom tredjelandet i fråga eller en
internationell organisation inte längre säkerställer en adekvat skyddsnivå i den mening som avses i punkt 2 i den här
artikeln och, i den mån det behövs, genom genomförandeakter dra tillbaka, ändra eller upphäva det beslut som avses i
punkt 3 i den här artikeln utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det gransknings
förfarande som avses i artikel 58.2.
När det föreligger vederbörligen motiverade och tvingande skäl till skyndsamhet, ska kommissionen anta omedelbart
tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 58.3.
6.
Kommissionen ska samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den
situation som lett till beslutet enligt punkt 5.
7.
Medlemsstaterna ska föreskriva att ett beslut enligt punkt 5 inte ska påverka överföringar av personuppgifter till
tredjelandet, territoriet eller en eller flera specificerade sektorer inom tredjelandet, eller den internationella
organisationen i fråga, enligt artiklarna 37–38.
8.
Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över de
tredjeländer och de territorier och specificerade sektorer i ett tredjeland samt de internationella organisationer för vilka
den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs.
Artikel 37
Överföring som omfattas av lämpliga skyddsåtgärder
1.
Om det inte föreligger något beslut enligt artikel 36.3 ska medlemsstaterna föreskriva att en överföring av
personuppgifter till ett tredjeland eller en internationell organisation får ske om
a) lämpliga skyddsåtgärder för personuppgifter har fastställts i ett rättsligt bindande instrument, eller
b) den personuppgiftsansvarige har bedömt alla omständigheter kring en överföring av personuppgifter och dragit
slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.
2.
Den personuppgiftsansvarige ska informera tillsynsmyndigheten om kategorier av överföringar enligt punkt 1 b.
3.
När en överföring grundas på punkt 1 b, ska denna överföring dokumenteras, och dokumentationen ska på
begäran göras tillgänglig för tillsynsmyndigheten, inbegripet datum och tidpunkt för överföringen, information om den
mottagande behöriga myndigheten, skälet till överföringen och de personuppgifter som har överförts.
4.5.2016
L 119/121
Europeiska unionens officiella tidning
SV
828
SOU 2017:29
Bilaga 2
Artikel 38
Undantag i särskilda situationer
1.
Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 36 eller lämpliga skyddsåtgärder enligt
artikel 37, ska medlemsstaterna föreskriva att en överföring eller en kategori av överföringar av personuppgifter till ett
tredjeland eller en internationell organisation får ske endast om överföringen är nödvändig
a) för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person,
b) för att skydda den registrerades berättigade intressen, om lagstiftningen i den medlemsstat som överför personupp
gifterna föreskriver detta,
c) för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland,
d) i enskilda fall för de ändamål som anges i artikel 1.1. eller
e) i ett enskilt fall för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till de ändamål som anges i
artikel 1.1.
2.
Personuppgifter får inte överföras om den överförande behöriga myndigheten fastställer att den berörda
registrerades grundläggande rättigheter och friheter väger tyngre än det allmänna intresset av en sådan överföring som
avses i punkt 1 d och e.
3.
När en överföring grundas på punkt 1, ska denna överföring dokumenteras, och dokumentationen ska på begäran
göras tillgänglig för tillsynsmyndigheten, inbegripet datum och tidpunkt för överföringen, information om den
mottagande behöriga myndigheten, skälet till överföringen och de personuppgifter som har överförts.
Artikel 39
Överföringar av personuppgifter till mottagare som är etablerade i tredjeländer
1.
Genom undantag från artikel 35.1 b och utan att det påverkar tillämpningen av internationella avtal som avses i
punkt 2 i den här artikeln, får det i unionsrätten eller medlemsstaternas nationella rätt föreskrivas att de behöriga
myndigheter som avses i artikel 3.7 a, i enskilda och särskilda fall, får överföra personuppgifter direkt till mottagare som
är etablerade i tredjeländer endast om de övriga bestämmelserna i detta direktiv efterlevs och samtliga följande villkor är
uppfyllda:
a) Överföringen är absolut nödvändig för att utföra en uppgift som en överförande behörig myndighet ansvarar för i
enlighet med unionsrätten eller medlemsstaternas nationella rätt för de ändamål som anges i artikel 1.1.
b) Den överförande behöriga myndigheten har fastställt att ingen av den berörda registrerades grundläggande rättigheter
och friheter väger tyngre än det allmänna intresse som nödvändiggör överföringen i det aktuella fallet.
c) Den överförande behöriga myndigheten anser att överföring till en myndighet som är behörig för de ändamål som
avses i artikel 1.1 i tredjelandet är ineffektivt eller olämpligt, i synnerhet eftersom överföringen inte kan göras inom
rimlig tid.
d) Den myndighet i tredjelandet som är behörig för de ändamål som avses i artikel 1.1 har utan dröjsmål informerats,
såvida detta inte är ineffektivt eller olämpligt.
e) Den överförande behöriga myndigheten har informerat mottagaren om det eller de specifika ändamål för vilka och
personuppgifterna ska behandlas av den senare förutsatt att den behandlingen är nödvändig.
2.
Med ett internationellt avtal som avses i punkt 1 avses varje gällande bilateralt eller multilateralt internationellt
avtal mellan medlemsstater och tredjeländer inom området för straffrättsligt samarbete och polissamarbete.
3.
Den överförande behöriga myndigheten ska informera tillsynsmyndigheten om överföringar enligt denna artikel.
4.
Överföringar som grundar sig på punkt 1 ska dokumenteras.
4.5.2016
L 119/122
Europeiska unionens officiella tidning
SV
829
SOU 2017:29
Bilaga 2
Artikel 40
Internationellt samarbete för skydd av personuppgifter
När det gäller tredjeländer och internationella organisationer ska kommissionen och medlemsstaterna vidta lämpliga
åtgärder för att
a) utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om
skydd av personuppgifter,
b) på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av
personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt
informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra
grundläggande rättigheter och friheter,
c) involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det
gäller tillämpningen av lagstiftningen om skydd av personuppgifter,
d) främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende
behörighetskonflikter med tredjeländer.
KAPITEL VI
Oberoende tillsynsmyndigheter
Avsnitt 1
Oberoende ställning
Artikel 41
Tillsynsmyndighet
1.
Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka
tillämpningen av detta direktiv, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med
behandlingen samt att underlätta det fria flödet av sådana uppgifter inom unionen (tillsynsmyndighet).
2.
Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av detta direktiv i hela unionen. För det ändamålet ska
tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen i enlighet med kapitel VII.
3.
Medlemsstaterna får föreskriva att en tillsynsmyndighet som har inrättats enligt förordning (EU) 2016/679 ska vara
den tillsynsmyndighet som avses i detta direktiv och ta på sig ansvaret för de uppgifter som ska utföras av den
tillsynsmyndighet som inrättas enligt punkt 1 i denna artikel.
4.
Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska
företräda myndigheterna i fråga i den styrelse som avses i artikel 51.
Artikel 42
Oberoende
1.
Varje medlemsstat ska föreskriva att varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina
uppgifter och utövandet av sina befogenheter i enlighet med detta direktiv.
2.
Medlemsstaterna ska föreskriva att dess tillsynsmyndigheters ledamot eller ledamöter i utförandet av sina uppgifter
och i utövandet av sina befogenheter enligt detta direktiv ska stå fria från utomstående påverkan, direkt såväl som
indirekt, och varken begära eller ta emot instruktioner av någon.
3.
Medlemsstaternas tillsynsmyndigheters ledamot eller ledamöter ska avhålla sig från alla handlingar som står i strid
med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som
står i strid med deras tjänsteutövning.
4.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella
resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och
utöva sina befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och deltagandet i styrelsens
verksamhet.
4.5.2016
L 119/123
Europeiska unionens officiella tidning
SV
830
SOU 2017:29
Bilaga 2
5.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet väljer och förfogar över egen personal, som ska ta
instruktioner uteslutande från den berörda tillsynsmyndighetens ledamot eller ledamöter.
6.
Varje medlemsstat ska säkerställa att varje tillsynsmyndighet är föremål för finansiell kontroll, utan att detta
påverkar tillsynsmyndighetens oberoende och att de förfogar över en separat, offentlig årsbudget som kan ingå i den
övergripande statsbudgeten eller nationella budgeten.
Artikel 43
Allmänna villkor för tillsynsmyndighetens ledamöter
1.
Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utses genom ett öppet förfarande
av
— deras parlament
— deras regering
— deras statschef, eller
— ett oberoende organ som enligt medlemsstaternas nationella rätt anförtrotts utnämningen.
2.
Varje ledamot ska ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området skydd av
personuppgifter, som krävs för att de ska kunna utföra sitt uppdrag och utöva sina befogenheter.
3.
En ledamots uppdrag ska upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i
enlighet med den nationella rätten i den berörda medlemsstaten.
4.
En ledamot ska avsättas endast på grund av allvarlig försummelse eller när ledamoten inte längre uppfyller de krav
som ställs för att kunna utföra sina uppgifter.
Artikel 44
Regler för inrättandet av en tillsynsmyndighet
1.
Varje medlemsstat ska i lag fastställa samtliga följande:
a) Varje tillsynsmyndighets inrättande.
b) De kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en
tillsynsmyndighet.
c) Regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter.
d) Mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år, utom vid
tillsättandet av de första ledamöterna efter den 6 maj 2016, då ett stegvis tillsättningsförfarande med kortare perioder
för några av ledamöterna får tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.
e) Huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många
perioder,
f) Vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har,
förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och
vilka bestämmelser som gäller för anställningens upphörande.
2.
Varje tillsynsmyndighets ledamot eller ledamöter och personal ska i enlighet med unionsrätten eller
medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell
information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under
mandatperioden ska denna tystnadsplikt i synnerhet gälla rapporter från fysiska personer om överträdelser av detta
direktiv.
4.5.2016
L 119/124
Europeiska unionens officiella tidning
SV
831
SOU 2017:29
Bilaga 2
Avsnitt 2
Behörighet, uppgif ter och befogenheter
Artikel 45
Behörighet
1.
Varje medlemsstat ska föreskriva att varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de
befogenheter som tilldelas den i enlighet med detta direktiv inom sin egen medlemsstats territorium.
2.
Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inte ska vara behörig att utöva tillsyn över domstolar
som behandlar personuppgifter inom ramen för sin dömande verksamhet. Medlemsstaterna får föreskriva att deras
tillsynsmyndighet inte ska vara behörig att utöva tillsyn över andra oberoende rättsliga myndigheter som behandlar
personuppgifter inom ramen för sin rättsliga verksamhet.
Artikel 46
Uppgifter
1.
Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom sitt territorium ska
a) övervaka och verkställa tillämpningen av de bestämmelser som antas i enlighet med detta direktiv och dess
genomförandeåtgärder,
b) öka allmänhetens medvetenhet och kunskaper om risker, regler, skyddsåtgärder och rättigheter i samband med
behandlingen,
c) i enlighet med medlemsstaternas nationella rätt ge rådgivning åt det nationella parlamentet, regeringen och andra
institutioner och organ om lagstiftningsmässiga och administrativa åtgärder rörande skyddet av fysiska personers
rättigheter och friheter när det gäller behandling,
d) öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt detta direktiv,
e) på begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt detta direktiv, och
om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål,
f) behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning enligt artikel 55,
och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om
hur undersökningen fortskrider och om resultatet, i synnerhet om det krävs ytterligare undersökningar eller
samordning med en annan tillsynsmyndighet,
g) kontrollera att behandling enligt artikel 17 är laglig och inom en rimlig period informera den registrerade om
resultatet av kontrollen enligt artikel 17.3 eller om skälen till att kontrollen inte har genomförts,
h) samarbeta, inbegripet genom att utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för
att se till att detta direktiv tillämpas och verkställs på ett enhetligt sätt,
i) utföra undersökningar om tillämpningen av detta direktiv, inbegripet på grundval av information som erhålls från en
annan tillsynsmyndighet eller annan offentlig myndighet,
j) följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunika
tionsteknik,
k) ge råd om sådan behandling av personuppgifter som avses i artikel 28, och
l) bidra till styrelsens verksamhet.
2.
Varje tillsynsmyndighet ska underlätta inlämningen av klagomål enligt punkt 1 f genom åtgärder, såsom att
tillhandahålla ett särskilt formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunika
tionsformer utesluts.
4.5.2016
L 119/125
Europeiska unionens officiella tidning
SV
832
SOU 2017:29
Bilaga 2
3.
Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och för dataskydd
sombudet.
4.
Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, får tillsynsmyndighe
ten ta ut en rimlig avgift grundad på de administrativa kostnaderna eller vägra att tillmötesgå begäran. Det åligger
tillsynsmyndigheten att visa att begäran är uppenbart ogrundad eller orimlig.
Artikel 47
Befogenheter
1.
Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa
befogenheter ska minst inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till
alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina
uppgifter.
2.
Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva korrigerande befogenheter, till
exempel för att:
a) Utfärda varningar till den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar
sannolikt kommer att stå i strid med de bestämmelser som antas i enlighet med detta direktiv.
b) Beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att uppgiftsbehandlingen är förenlig med
de bestämmelser som antas enligt detta direktiv, om lämpligt på ett visst sätt och inom en viss tid, bland annat
genom att beordra rättelse, eller radering av personuppgifter eller begränsning av behandling enligt artikel 16.
c) Införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, uppgiftsbehandlingen.
3.
Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har effektiva befogenheter att ge den personupp
giftsansvarige råd i enlighet med det förfarande för förhandssamråd som avses i artikel 28 och att på eget initiativ eller
på begäran avge yttranden till det nationella parlamentet, medlemsstatens regering eller, i enlighet med dess nationella
rätt, till andra institutioner och organ samt till allmänheten, i frågor som rör skydd av personuppgifter.
4.
Utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt denna artikel ska omfattas av lämpliga
skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställts i unionsrätten och medlemsstaternas
nationella rätt i enlighet med stadgan.
5.
Varje medlemsstat ska i lag säkerställa att varje tillsynsmyndighet har befogenhet att göra rättsliga myndigheter
uppmärksamma på överträdelser av de bestämmelser som antas i enlighet med detta direktiv och att, när så är lämpligt,
inleda eller på annat sätt delta i rättsliga förfaranden, i syfte att säkerställa efterlevnaden av bestämmelser som antas i
enlighet med detta direktiv.
Artikel 48
Rapportering av överträdelser
Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska inrätta effektiva mekanismer för att uppmuntra till
konfidentiell rapportering av överträdelser av detta direktiv.
Artikel 49
Verksamhetsrapport
Varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer
av anmälda överträdelser och typer av ålagda sanktioner. Rapporterna ska översändas till det nationella parlamentet,
regeringen och andra myndigheter som utsetts genom medlemsstaternas nationella rätt. Den ska göras tillgänglig för
allmänheten, kommissionen och styrelsen.
4.5.2016
L 119/126
Europeiska unionens officiella tidning
SV
833
SOU 2017:29
Bilaga 2
KAPITEL VII
Samarbete
Artikel 50
Ömsesidigt bistånd
1.
Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt
bistånd i arbetet för att genomföra och tillämpa detta direktiv på ett enhetligt sätt, och ska införa åtgärder som bidrar till
ett verkningsfullt samarbete. Det ömsesidiga biståndet ska särskilt omfatta begäranden om information och
tillsynsåtgärder, till exempel begäranden om att genomföra samråd, inspektioner och utredningar.
2.
Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vidta alla lämpliga åtgärder för att kunna besvara en
begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot
begäran. Till sådana åtgärder hör bland annat att översända relevant information om genomförandet av en pågående
utredning.
3.
En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med och skälen till denna.
Information som utbytts får endast användas för det syfte för vilket den har begärts.
4.
En tillsynsmyndighet som tar emot begäran får bara vägra att tillmötesgå begäran om
a) den inte är behörig att behandla den sakfråga som begäran avser eller de åtgärder som det begärs att den ska utföra,
eller
b) det skulle stå i strid med detta direktiv eller med den unionsrätt eller medlemsstatens nationella rätt som den
tillsynsmyndighet som mottar begäran omfattas av att tillmötesgå begäran.
5.
Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om
resultatet eller, allt efter omständigheterna, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider. Den
tillsynsmyndighet som tagit emot begäran ska redogöra för sina skäl för att vägra tillmötesgå begäran i enlighet med
punkt 4.
6.
Varje tillsynsmyndighet som tar emot begäran ska som regel tillhandahålla den information som begärts av andra
tillsynsmyndigheter på elektronisk väg med användning av ett standardiserat format.
7.
Tillsynsmyndigheter som tar emot begäran får inte ta ut någon avgift för åtgärder som de vidtagit efter en begäran
om ömsesidigt bistånd. Tillsynsmyndigheter får i undantagsfall komma överens med andra tillsynsmyndigheter om regler
för ersättning från varandra för vissa utgifter i samband med tillhandahållande av ömsesidigt bistånd.
8.
Kommissionen får genom genomförandeakter närmare ange format och förfaranden för sådant ömsesidigt bistånd
som avses i denna artikel samt formerna för elektronisk överföring av information tillsynsmyndigheter emellan, samt
mellan tillsynsmyndigheter och styrelsen. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande
som avses i artikel 58.2.
Artikel 51
Styrelsens uppgifter
1.
Styrelsen som inrättats genom förordning (EU) 2016/679 ska i samband med uppgiftsbehandling som omfattas av
detta direktivs tillämpningsområde ha följande uppgifter:
a) Ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, till exempel om eventuella
förslag till ändring av detta direktiv.
b) På eget initiativ, på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen av
detta direktiv och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig tillämpning av
detta direktiv.
c) Utforma riktlinjer för tillsynsmyndigheterna i fråga om tillämpningen av de åtgärder som avses i artikel 47.1
och 47.3.
d) Utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led b i detta stycke för att konstatera personupp
giftsincidenter och fastställa det otillbörliga dröjsmål som avses i artikel 30.1 och 30.2 och för de särskilda
omständigheter under vilka ett personuppgiftsbiträde eller en personuppgiftsansvarig är skyldig att anmäla
personuppgiftsincidenten.
4.5.2016
L 119/127
Europeiska unionens officiella tidning
SV
834
SOU 2017:29
Bilaga 2
e) Utfärda riktlinjer, rekommendationer och bästa praxis i enlighet med led b i detta stycke angående de omständigheter
under vilka en personuppgiftsincident sannolikt kommer att orsaka en hög risk för rättigheterna och friheterna för
de fysiska personer som avses i artikel 31.1.
f) Se över den praktiska tillämpningen av de riktlinjer och rekommendationer samt den bästa praxis som avses i leden b
och c.
g) Avge ett yttrande till kommissionen för bedömningen av huruvida skyddsnivån i ett tredjeland, ett territorium eller
en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation är adekvat, inbegripet för
en bedömning av huruvida det tredjelandet, det territoriet, den specificerade sektorn eller den internationella
organisationen inte längre säkerställer en adekvat skyddsnivå.
h) Främja samarbete och effektivt bilateralt och multilateralt utbyte av bästa praxis och information mellan tillsynsmyn
digheterna.
i) Främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, och där så är
lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer.
j) Främja utbyte av kunskap och dokumentation om lagstiftning och bästa praxis på området för dataskydd med
tillsynsmyndigheter med ansvar för dataskydd i hela världen.
Vad gäller första stycket led g ska kommissionen lämna all nödvändig dokumentation till styrelsen, inklusive
korrespondens med regeringen i tredjelandet, med territoriet eller den specificerade sektorn i det tredjelandet eller med
den internationella organisationen.
2.
När kommissionen begär rådgivning från styrelsen får den ange en tidsfrist med hänsyn till hur brådskande ärendet
är.
3.
Styrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på bästa praxis till
kommissionen och till den kommitté som avses i artikel 58.1, samt offentliggöra dem.
4.
Kommissionen ska hålla styrelsen underrättad om de åtgärder den vidtagit som en följd av styrelsens yttranden,
riktlinjer, rekommendationer och bästa praxis.
KAPITEL VIII
Rättsmedel, ansvar och sanktioner
Artikel 52
Rätt att lämna in ett klagomål till en tillsynsmyndighet
1.
Utan att det påverkar andra administrativa prövningsförfaranden eller rättsmedel ska medlemsstaterna föreskriva
att alla registrerade personer som anser att behandling som avser dem står i strid med de bestämmelser som antas i
enlighet med detta direktiv har rätt att lämna in ett klagomål till en enda tillsynsmyndighet.
2.
Medlemsstaterna ska föreskriva att den tillsynsmyndighet som mottagit klagomålet ska överlämna det till den
behöriga tillsynsmyndigheten utan onödigt dröjsmål, om klagomålet inte inlämnats till den myndighet som är behörig
enligt artikel 45.1. Den registrerade ska informeras om överlämnandet.
3.
Medlemsstaterna ska föreskriva att den tillsynsmyndighet som mottagit klagomålet ska tillhandahålla ytterligare
hjälp på den registrerades begäran.
4.
Den registrerade ska underrättas av den behöriga tillsynsmyndigheten om klagomålets handläggning och dess
resultat, inbegripet rätten till rättsmedel enligt artikel 53.
Artikel 53
Rätt till ett effektivt rättsmedel mot en tillsynsmyndighets beslut
1.
Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol
ska medlemsstater föreskriva att en fysisk eller juridisk person har rätt till ett effektivt rättsmedel mot ett rättsligt
bindande beslut som avser dem och som meddelats av en tillsynsmyndighet.
4.5.2016
L 119/128
Europeiska unionens officiella tidning
SV
835
SOU 2017:29
Bilaga 2
2.
Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol
ska varje registrerad person ha rätt till ett effektivt rättsmedel om den enligt artikel 45.1 behöriga tillsynsmyndigheten
inte inom tre månader behandlar ett klagomål eller om tillsynsmyndigheten inte informerar den registrerade om
handläggningen eller resultatet av det klagomål som inlämnats enligt artikel 52.
3.
Medlemsstaterna ska föreskriva att talan mot en tillsynsmyndighet ska väckas vid domstol i den medlemsstat där
tillsynsmyndigheten har sitt säte.
Artikel 54
Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde
Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol,
inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet enligt artikel 52, ska medlemsstaterna föreskriva en
rätt till effektiva rättsmedel för registrerade om han eller hon anser att deras rättigheter enligt de bestämmelser som
antas enligt detta direktiv har kränkts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt
som inte är förenligt med dessa bestämmelser.
Artikel 55
Företrädande av registrerade personer
Medlemsstaterna ska i enlighet med medlemsstaternas nationella processrätt se till att den registrerade har rätt att ge ett
organ, en organisation eller en sammanslutning utan vinstsyfte som har inrättats på lämpligt sätt i enlighet med lagen i
en medlemsstat, och vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av
registrerades rättigheter och friheter vad gäller skyddet av deras personuppgifter, i uppdrag att lämna in klagomålet för
hans eller hennes räkning och att utöva de rättigheter som avses i artiklarna 52, 53 och 54 för hans eller hennes
räkning.
Artikel 56
Rätt till ersättning
Medlemsstaterna ska föreskriva att var och en som lidit materiell eller immateriell skada till följd av en olaglig
behandling av personuppgifter eller av någon annan åtgärd som står i strid med de nationella bestämmelser som antas i
enlighet med detta direktiv ska ha rätt till ersättning för denna skada från den personuppgiftsansvarige eller varje annan
myndighet som är behörig enligt medlemsstaternas nationella rätt.
Artikel 57
Sanktioner
Medlemsstaterna ska föreskriva sanktioner för överträdelser av bestämmelser som antas enligt detta direktiv och ska
vidta de åtgärder som krävs för att säkerställa att dessa sanktioner genomförs. Sanktionerna ska vara effektiva,
proportionella och avskräckande.
KAPITEL IX
Genomförandeakter
Artikel 58
Kommittéförfarande
1.
Kommissionen ska biträdas av den kommitté som inrättats enligt artikel 93 i förordning (EU) 2016/679. Denna
kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.
2.
När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.
3.
När det hänvisas till denna punkt, ska artikel 8 i förordning (EU) nr 182/2011 jämförd med artikel 5 i den
förordningen tillämpas.
4.5.2016
L 119/129
Europeiska unionens officiella tidning
SV
836
SOU 2017:29
Bilaga 2
KAPITEL X
Slutbestämmelser
Artikel 59
Upphävande av rambeslut 2008/977/RIF
1.
Rambeslut 2008/977/RIF ska upphöra att gälla från och med den 6 maj 2018.
2.
Hänvisningar till det upphävda beslut som avses i punkt 1 ska anses som hänvisningar till detta direktiv.
Artikel 60
Gällande unionsrättsakter
Detta direktiv ska inte påverka särskilda bestämmelser om skydd av personuppgifter i unionsrättsakter på området för
straffrättsligt samarbete och polissamarbete som trädde i kraft den 6 maj 2016 eller tidigare, vilka reglerar behandling
medlemsstaterna emellan och medlemsstaternas utsedda myndigheters tillgång till informationssystem som inrättats på
grundval av fördragen och som är relevanta för detta direktivs tillämpningsområde.
Artikel 61
Förhållande till tidigare ingångna internationella avtal på området för straffrättsligt samarbete och
polissamarbete
Internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer som
ingicks av medlemsstaterna före den 6 maj 2016 och som är förenliga med unionsrätten så som den tillämpades före
den dagen ska fortsätta att gälla tills de ändras, ersätts eller återkallas.
Artikel 62
Kommissionens rapporter
1.
Kommissionen ska senast den 6 maj 2022 och därefter vart fjärde år överlämna en rapport om utvärderingen och
översynen av detta direktiv till Europaparlamentet och rådet. Rapporten ska offentliggöras.
2.
Inom ramen för de utvärderingar och översyner som avses i punkt 1 ska kommissionen i synnerhet granska
tillämpningen av kapitel V om överföring av personuppgifter till tredjeländer och internationella organisationer samt hur
bestämmelserna fungerar, och därvid särskilt beakta beslut som antagits i enlighet med artiklarna 36.3 och 39.
3.
För de ändamål som avses i punkterna 1 och 2 får kommissionen begära information från medlemsstaterna och
tillsynsmyndigheterna.
4.
Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 och 2 ta hänsyn till
ståndpunkter och slutsatser från Europaparlamentet, rådet och andra relevanta organ och källor.
5.
Dessa rapporter får vid behov överlämnas tillsammans med lagstiftningsförslag om ändring, i syfte att ändra detta
direktiv med särskild hänsyn till informationsteknikens utveckling och informationssamhällets framsteg.
6.
Kommissionen ska senast den 6 maj 2019 se över andra rättsakter som antagits av unionen och som reglerar de
behöriga myndigheternas behandling för att uppnå de mål som anges i artikel 1.1, inklusive de som avses i artikel 60, i
syfte att bedöma om de behöver anpassas till detta direktiv och att, i förekommande fall, lägga fram förslag till ändring
av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter inom detta direktivs
tillämpningsområde.
4.5.2016
L 119/130
Europeiska unionens officiella tidning
SV
837
SOU 2017:29
Bilaga 2
Artikel 63
Införlivande
1.
Medlemsstaterna ska senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är
nödvändiga för att följa detta direktiv. De ska genast överlämna texten till dessa bestämmelser till kommissionen. De ska
tillämpa dessa bestämmelser från och med den 6 maj 2018.
När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan
hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.
2.
Genom undantag från punkt 1 får medlemsstaterna föreskriva att de automatiserade behandlingssystem som
inrättades före den 6 maj 2016 undantagsvis, när det innebär oproportionella ansträngningar, ska bringas i
överensstämmelse med artikel 25.1 senast den 6 maj 2023.
3.
Genom undantag från punkterna 1 och 2 i denna artikel får en medlemsstat under exceptionella omständigheter
bringa ett automatiserat behandlingssystem som avses i punkt 2 i denna artikel i överensstämmelse med artikel 25.1
inom en specifik tidsperiod efter den period som avses i punkt 2 i den här artikeln om det annars skulle uppstå
allvarliga problem för driften av detta specifika automatiserade behandlingssystem. Den berörda medlemsstaten ska
underrätta kommissionen om skälen till dessa allvarliga problem och skälen till den angivna tidsperioden inom vilken
den ska bringa detta specifika automatiserade databehandlingssystem i överensstämmelse med artikel 25.1. Den angivna
perioden ska under inga omständigheter inte vara senare än 6 maj 2026.
4.
Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i medlemsstaternas
nationella rätt som de antar inom det område som omfattas av detta direktiv.
Artikel 64
Ikraftträdande
Detta direktiv träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Artikel 65
Adressater
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Bryssel den 27 april 2016.
På Europaparlamentets vägnar
M. SCHULZ
Ordförande
På rådets vägnar
J.A. HENNIS-PLASSCHAERT
Ordförande
4.5.2016
L 119/131
Europeiska unionens officiella tidning
SV