SOU 2017:39

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 25 februari 2016 att tillkalla en särskild utredare med uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som den nya dataskyddsförordningen ger anledning till (dir. 2016:15).

Som särskild utredare förordnades samma dag justitierådet Inga-Lill Askersjö.

Som experter att biträda utredningen förordnades den 23 mars 2016 juristen Carolina Brånby, dataskyddschefen Caroline Olstedt Carlström, rättssakkunnige Manne Heimer, rättsliga utredaren Per Kjellsson, chefsjuristen Hans-Olof Lindblom, kammarrättsrådet Elisabet Reimers, doktoranden Daniel Westman samt förbundsjuristen Staffan Wikell. Elisabet Reimers entledigades från uppdraget den 15 december 2016.

Som sakkunnig i utredningen förordnades den 1 november 2016 chefsrådmannen Maria Eka, som även har haft ett särskilt uppdrag att bistå sekretariatet med vissa frågor.

Som sekreterare anställdes den 1 mars 2016 juristen Maria Jonsson och den 17 mars 2016 enhetschefen Ulrika Söderqvist. Den 15 oktober 2016 anställdes rättsliga specialisten Jenny Nyman för tiden till och med den 31 mars 2017.

Utredningen, som har tagit sig namnet Dataskyddsutredningen, överlämnar härmed betänkandet Ny dataskyddslag (SOU 2017:39). Experterna och den sakkunniga har deltagit i utredningsarbetet i sådan utsträckning att det har varit motiverat att formulera betänkandet i vi-form. Uppdraget är härmed slutfört.

Stockholm den 12 maj 2017

Inga-Lill Askersjö

/ Ulrika Söderqvist

Maria Jonsson Jenny Nyman

5

Förkortningar

Artikel 29-gruppen Artikel 29-arbetsgruppen för skydd av personuppgifter dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) dataskyddskonventionen Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter dataskyddsrambeslutet Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete

16

DIFS Datainspektionens författningssamling dir. direktiv dnr diarienummer Ds Departementsserien EU Europeiska unionen EU-domstolen Europeiska unionens domstol/ Europeiska gemenskapernas domstol Europadomstolen Europeiska domstolen för de mänskliga rättigheterna Europakonventionen Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna f. följande sida/sidor FN Förenta Nationerna förordning nr 45/2001 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter HFD Högsta förvaltningsdomstolens årsbok JK Justitiekanslern JO Riksdagens ombudsmän Ju Justitiedepartementet kommissionen Europeiska kommissionen

17

LOU lagen (2016:1145) om offentlig upphandling NJA Nytt juridiskt arkiv nya dataskyddsdirektivet Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF OECD Organisationen för ekonomiskt samarbete och utveckling OSL offentlighets- och sekretesslagen (2009:400) prop. regeringens proposition PUF personuppgiftsförordningen (1998:1191) PUL personuppgiftslagen (1998:204) rskr. riksdagsskrivelse RÅ Regeringsrättens årsbok SOU Statens offentliga utredningar

19

Sammanfattning

Inledning

EU:s nya dataskyddsförordning ska tillämpas från och med den 25 maj 2018. Dataskyddsförordningen är direkt tillämplig i Sverige men ger utrymme för kompletterande nationella bestämmelser av olika slag.

Vårt övergripande uppdrag har varit att föreslå en ny nationell reglering som på ett generellt plan kompletterar dataskyddsförordningen. I vårt uppdrag har däremot inte ingått att se över de s.k. registerförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter. Vi har inte heller haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär. Det är därmed bara ett fåtal av alla de frågor som regleras i dataskyddsförordningen som behandlas eller ens nämns i detta betänkande.

Vi har, inom ramen för vårt uppdrag, strävat efter att den personuppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.

Ett nytt svenskt regelverk om dataskydd

Vi föreslår att personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) ska upphävas och att de kompletterande bestämmelser som är av generell karaktär samlas i en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen, bör de benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning respektive förordningen med

20

kompletterande bestämmelser till EU:s dataskyddsförordning. Vi har valt att kalla den nya lagen dataskyddslagen i detta betänkande.

Dataskyddsförordningen ska gälla även i verksamhet som inte omfattas av unionsrätten

Behandling av personuppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. i verksamhet som rör nationell säkerhet, omfattas inte av dataskyddsförordningen. Detsamma gäller behandling av personuppgifter i verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd av personuppgifter anser vi dock att förordningens bestämmelser i tillämpliga delar bör gälla även i dessa fall. Vårt förslag om utsträckt tillämpningsområde hindrar dock inte att det för en viss sådan verksamhet införs en särskild reglering, om det skulle anses mer lämpligt.

Sektorsspecifika bestämmelser ska ha företräde framför dataskyddslagen

De bestämmelser som vi föreslår är av generell karaktär. På vissa områden kommer det att finnas behov av lag- eller förordningsbestämmelser kring behandling av personuppgifter som avviker från dataskyddslagens reglering. Det kan t.ex. röra sig om bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Vi föreslår att sådana avvikande bestämmelser ska ha företräde framför dataskyddslagen. Det innebär dock inte att de därigenom också får företräde framför dataskyddsförordningen inom det aktuella området. För att en avvikande bestämmelse i exempelvis en registerförfattning ska kunna tillämpas, måste den vara förenlig med dataskyddsförordningen och avse en fråga som får särregleras genom nationell rätt.

Annorlunda förhåller det sig när det gäller verksamhet som inte omfattas av unionsrätten, dvs. där dataskyddsförordningen inte är direkt tillämplig men där den har fått ett utsträckt tillämpningsområde genom dataskyddslagen. I det fallet kan det genom ett undantag i lag eller förordning föreskrivas att dataskyddsförord-

21

ningen inte ska gälla i verksamheten. Ett sådant undantag kan också ange att endast vissa delar av dataskyddsförordningen inte ska gälla.

Förhållandet till våra grundlagar förändras inte

Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jämförelse med hur motsvarande reglering ser ut i övriga Europa. Dataskyddsförordningen inskränker inte möjligheterna att behandla personuppgifter på det grundlagsreglerade området. Det får inte råda någon osäkerhet kring detta, eftersom det skulle kunna få påverkan på vitala och mycket känsliga delar av den opinionsskapande verksamheten, såsom meddelarfrihet och källskydd. Vi föreslår därför en upplysningsbestämmelse som tydliggör att bestämmelserna i dataskyddsförordningen och i dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet.

Utanför det grundlagsskyddade området föreslår vi att ett undantag från dataskyddsförordningen införs för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Vissa av dataskyddsförordningens bestämmelser, bland annat de som rör säkerhet för personuppgifter, ska dock tillämpas även i dessa fall.

Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen är tydligt i dataskyddsförordningen. Tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar kan alltså fortsätta att tillämpas, även när det gäller allmänna handlingar som innehåller personuppgifter.

Barn som har fyllt 13 år ska i vissa fall kunna samtycka till behandling av personuppgifter

Enligt förordningen ska ett barn ha fyllt 16 år för att självt kunna samtycka till behandling av personuppgifter vid erbjudandet av informationssamhällets tjänster, t.ex. sociala medier, söktjänster och s.k. appar för smarta enheter. Vi föreslår att denna åldersgräns ska sänkas till 13 år i Sverige. För barn yngre än så krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne.

22

Rättsliga förpliktelser, myndighetsutövning och uppgifter av allmänt intresse ska vara särskilt reglerade för att utgöra rättslig grund

Enligt dataskyddsförordningen måste en rättslig förpliktelse, myndighetsutövning eller uppgift av allmänt intresse vara fastställd i enlighet med nationell rätt eller unionsrätt för att kunna utgöra rättslig grund för behandling av personuppgifter. Vi föreslår bestämmelser i dataskyddslagen som förtydligar hur dessa företeelser fastställs i enlighet med svensk rätt. En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Med anledning av att vårt uppdrag har omfattat arkivfrågor har vi uppmärksammat att enskilda arkivinstitutioner kan sakna en fastställd rättslig grund för behandling av personuppgifter. I avvaktan på den breda översyn av arkivväsendet som regeringen har aviserat, föreslår vi att rättslig grund ska kunna fastställas av Riksarkivet, genom föreskrifter eller beslut i enskilda fall.

Känsliga personuppgifter får behandlas bara om det uttryckligen är tillåtet

Enligt dataskyddsförordningen gäller som huvudregel, liksom tidigare, ett förbud mot behandling av känsliga personuppgifter. Behandling av sådana personuppgifter får ske bara om det finns stöd i någon av förordningens undantagsbestämmelser. Vissa undantag från förbudet följer direkt av förordningen, medan andra förutsätter stöd även i nationell rätt. Vi föreslår att ett sådant stöd ska införas i dataskyddslagen när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Stödet för behandlingen ska vara förenat med vissa restriktioner.

23

Myndigheter ska få behandla känsliga personuppgifter med stöd av ett nytt myndighetsundantag

Myndigheter har ofta berättigade skäl att behandla känsliga personuppgifter och i många fall sker detta i den registrerades eget intresse. För att säkerställa att nödvändig behandling kan ske även efter det att dataskyddsförordningen börjar gälla bedömer vi att det krävs ett nytt undantag för behandling av känsliga personuppgifter hos myndigheter. Vi föreslår att sådan behandling ska få ske – i löpande text om uppgifterna har lämnats i ett ärende eller är

nödvändiga för handläggningen av ett ärende, – om uppgifterna har lämnats till myndigheten och behandlingen

krävs enligt lag, eller – i enstaka fall, om det är absolut nödvändigt för ändamålet med

behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vi föreslår också att det vid behandling som sker med stöd av det nya myndighetsundantaget ska vara förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter.

Personuppgifter som rör lagöverträdelser ska få behandlas av myndigheter och annars bara om det uttryckligen är tillåtet

Vi föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel även fortsättningsvis ska få utföras av myndigheter.

För att andra än myndigheter ska få behandla sådana uppgifter föreslår vi att det måste finnas uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Vi föreslår ett sådant stöd i lag när det gäller uppgifter som behandlas för arkivändamål av allmänt intresse, förutsatt att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i arkivlagstiftningen och andra föreskrifter.

24

Personnummer får under vissa förutsättningar behandlas även i fortsättningen

Vi föreslår att uppgifter om personnummer eller samordningsnummer även fortsättningsvis ska få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Det finns begränsningar för när arkiverade uppgifter och statistikuppgifter får användas för åtgärder mot den registrerade

Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål får enligt vårt förslag inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i fråga om arkiverade uppgifter ska inte gälla för myndigheter. Det ska däremot begränsningen rörande statistikuppgifter göra.

Rätten till registerutdrag och information m.m. ska i vissa fall vara begränsad

Den registrerades rättigheter stärks genom dataskyddsförordningen. Dessa rättigheter är dock inte ovillkorliga. Vissa viktiga undantag från rättigheterna regleras direkt i förordningen. Vi föreslår därutöver att rätten till information och s.k. registerutdrag inte ska gälla uppgifter som omfattas av sekretess. Rätten till registerutdrag ska som huvudregel inte heller gälla personuppgifter som finns i löpande text som utgör utkast eller minnesanteckning. Hos Riksarkivet och andra arkivmyndigheter ska rätten till registerutdrag, rättelse m.m. vara begränsad när det gäller personuppgifter som finns i arkivmaterial som tagits emot för förvaring av myndigheten.

25

Vissa beslut som fattas av en personuppgiftsansvarig myndighet får överklagas till domstol

I likhet med vad som gäller enligt personuppgiftslagen ska vissa beslut som en myndighet fattar i egenskap av personuppgiftsansvarig kunna överklagas till allmän förvaltningsdomstol. Det gäller sådana beslut som myndigheten fattar med anledning av att den registrerade utövar sina rättigheter enligt dataskyddsförordningen. Det kan t.ex. röra sig om avslagsbeslut på begäran om att den registrerade ska få tillgång till sina personuppgifter, att uppgifter ska rättas eller raderas eller att en behandling ska begränsas.

Den registrerade kan begära skadestånd

Den registrerade har enligt dataskyddsförordningen rätt till ersättning från den personuppgiftsansvarige eller ett personuppgiftsbiträde om skada har uppstått på grund av överträdelser av förordningen. Vi föreslår att det i dataskyddslagen förtydligas att denna rätt till skadestånd även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar förordningen.

Datainspektionen ska utöva tillsyn

Datainspektionen ska vara den myndighet som ska utöva tillsyn och övervaka att bestämmelserna i dataskyddsförordningen och dataskyddslagen efterlevs. Inspektionens tillsynsbefogenheter anges i dataskyddsförordningen. Dessa befogenheter ska enligt vårt förslag gälla även vid tillsynen över att dataskyddslagen och annan kompletterande lagstiftning följs.

Datainspektionens beslut enligt dataskyddsförordningen och dataskyddslagen får överklagas till allmän förvaltningsdomstol.

Datainspektionen ska behandla klagomål inom tre månader

Om en registrerad anser att personuppgifter behandlas på ett sätt som strider mot dataskyddsförordningen kan ett klagomål lämnas in till Datainspektionen. Klagomålet ska behandlas inom tre månader. Om det inte sker får den registrerade enligt vårt förslag begära ett

26

besked i frågan om Datainspektionen avser att utöva tillsyn eller inte. Om Datainspektionen behöver mer tid för att behandla klagomålet, får begäran avslås genom ett motiverat beslut. Den registrerade får överklaga detta beslut till allmän förvaltningsdomstol genom en s.k. dröjsmålstalan.

Sanktionsavgift kan tas ut även av myndigheter som gör fel

Genom dataskyddsförordningen införs en möjlighet för Datainspektionen att ta ut en administrativ sanktionsavgift av ett företag eller andra enskilda som bryter mot dataskyddsregleringen. En sådan sanktionsavgift ska enligt vårt förslag även kunna tas ut av en myndighet.

Vi föreslår inte någon straffbestämmelse motsvarande den som gäller enligt personuppgiftslagen.

Sekretessfrågor

Genom dataskyddsförordningen införs en skyldighet för myndigheter och vissa företag att utse ett dataskyddsombud. Ombudet ska vara bundet av sekretess enligt unionsrätten eller den nationella rätten.

För dataskyddsombud som deltar i det allmännas verksamhet gäller offentlighets- och sekretesslagens bestämmelser om sekretess. För den privata sektorn föreslår vi att tystnadsplikt ska gälla för dataskyddsombud i fråga om sådant som ombudet har fått veta om enskilds personliga eller ekonomiska förhållanden.

Konsekvenser

Dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till konsekvenser, både för det allmänna och för enskilda. Vi har dock inte haft i uppgift att bedöma eller redovisa dessa konsekvenser. I vårt uppdrag ingår däremot att bedöma konsekvenserna av våra förslag, i den mån dessa medför förändringar jämfört med vad som gäller i dag.

Våra förslag innebär att Riksarkivet, Datainspektionen och de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Vi

27

bedömer dock att kostnadsökningarna för berörda aktörer inte kommer att bli större än att de ryms inom de befintliga anslagen.

Våra förslag medför inga nya kostnader eller ökad administrativ börda för enskilda.

Vi anser att förslagen stärker skyddet för enskildas personliga integritet.

29

Summary

Introduction

The EU’s new General Data Protection Regulation begins to apply on 25 May 2018. The General Data Protection Regulation will be directly applicable in Sweden, but it provides scope for supplementary national provisions of various kinds.

Our overarching remit was to propose a new national regulation that supplements the General Data Protection Regulation at a general level. However, our remit did not include reviewing the ‘register statutes’ or other sector-specific regulations on the processing of personal data. Nor did our remit include analysing or describing any changes that the General Data Protection Regulation in itself entails. Therefore, only a few of all the issues regulated in the General Data Protection Regulation are dealt with or even mentioned in this report.

Within the framework of our remit, we have endeavoured to ensure that the personal data processing currently permitted is able to continue as far as possible. Our work was therefore not intended to broaden or restrict the possibilities of processing personal data, other than in cases where the General Data Protection Regulation requires such a change.

A new Swedish regulatory framework on data protection

We propose that the Personal Data Act (1998:204) and the Personal Data Ordinance (1998:1191) should be repealed and that the supplementary provisions of a general nature should be collected in a new overall act and ordinance on data protection. To emphasise the fact that the statutes are not comprehensive and that they are simply a supplement to the General Data Protection Regulation, they should

30

be named the Act containing supplementary provisions to the EU General Data Protection Regulation and the Ordinance containing supplementary provisions to the EU General Data Protection Regulation. In this report, we have chosen to refer to the new act as the

Data Protection Act.

The General Data Protection Regulation also to apply to activities not covered by EU law

The processing of personal data carried out as part of an activity not covered by EU law, e.g. activities concerning national security, is not covered by the General Data Protection Regulation. The same applies to the processing of personal data in activities covered by the EU Common Foreign and Security Policy. However, to ensure that there is sufficient protection of personal data in each activity, we consider that the relevant parts of the Regulation’s provisions should apply in these cases as well. Yet our proposal on expanding the field of application would not preclude the introduction of a separate regulation for a certain activity of this kind, if deemed more appropriate.

Sector-specific provisions to take precedence over the Data Protection Act

The provisions we propose are of a general nature. In certain areas, there will be a need for provisions in acts or ordinances concerning processing of personal data that deviate from the regulations in the Data Protection Act. That may include provisions specifying the legal basis for a public authority’s processing of personal data, restrictions on the right to process sensitive personal data in a certain activity or special procedural rules. We propose that such deviating provisions should take precedence over the Data Protection Act. However, this does not mean that they would thus also take precedence over the General Data Protection Regulation within the area in question. In order for a deviating provision in, for example, a register statute to be applied, it has to be compatible with the General Data Protection Regulation and refer to an issue that is allowed to be subject to special rules in national law.

31

The situation is different with regard to activities that are not covered by EU law, i.e. when the General Data Protection Regulation is not directly applicable but it has been given a broader field of application through the Data Protection Act. In such cases, it may be prescribed through an exemption in an act or ordinance that the General Data Protection Regulation does not apply to that specific activity. Such an exemption may also state that only certain parts of the General Data Protection Regulation do not apply.

No changes in relation to our constitution

Our detailed Fundamental Law on Freedom of Expression and Freedom of the Press Act are unique compared with corresponding regulations in the rest of Europe. The General Data Protection Act does not limit the possibilities of processing personal data in the area governed by the constitution. There must be no uncertainty about this, since such uncertainty could have an impact on vital and very sensitive parts of opinion-making activities, such as freedom of communication and protection of sources. We therefore propose an information provision to make clear that the provisions of the General Data Protection Regulation and the Data Protection Act must not be applied to the extent that they contravene the constitutional provisions on freedom of the press and freedom of expression.

Beyond the area protected by the constitution, we propose that an exemption from the General Data Protection Regulation be introduced for the processing of personal data that occurs for journalistic purposes or for academic, artistic or literary expression. However, some of the provisions in the General Data Protection Regulation, including those concerning the security of personal data, should be applied in these cases as well.

The scope for allowing the principle of public access to official documents to take priority over the personal data regulations is clear in the General Data Protection Regulation. This means that the rules contained in the Freedom of the Press Act on public access to documents can continue to be applied, also when it comes to official documents that contain personal data.

32

Children who are 13 and above in certain cases to be able to consent to the processing of their personal data

Under the General Data Protection Regulation, a child must be 16 to be able to give their own consent to the processing of personal data in relation to offers of information society services, such as social media, search engines and apps for smart devices. We propose that this age limit be lowered to 13 in Sweden. For younger children, consent must be given by a custodial parent or the child’s consent must be approved by the custodial parent.

Legal obligations, exercise of official authority and tasks carried out in the public interest to be subject to separate regulations to form a legal basis

Under the General Data Protection Regulation, a legal obligation, the exercise of official authority or tasks carried out in the public interest must be laid down by national law or EU law to be able to form a legal basis for the processing of personal data. We propose provisions in the Data Protection Act that clarify how these phenomena are established in line with Swedish law. Under Swedish law, a legal obligation is established if it applies under an act or other statute or follows from collective agreements or decisions issued pursuant to an act or other statute. Exercise of official authority is established under Swedish law through an act or other statute. Under Swedish law, a task carried out in the public interest is established if it follows from an act or other statute or from collective agreements or decisions issued pursuant to an act or other statute.

Because our remit covered archive issues, we have drawn attention to the fact that private archive institutions might lack an established legal basis for processing personal data. Pending the broad review of the archive system that the Government has announced, we propose that it should be possible for the National Archives to establish a legal basis through regulations or decisions in individual cases.

33

Sensitive personal data may be processed only if explicitly permitted

Under the General Data Protection Regulation, the general rule, as before, is that processing of sensitive personal data is prohibited. Processing of such personal data may only be carried out if there is support for this in one of the Regulation’s exemption clauses. Certain exemptions from the general rule follow directly from the Regulation, whereas others require support in national law as well. We propose that this kind of support be introduced in the Data Protection Act with regard to necessary processing of personal data in the area of employment law, health and medical care, social care, archive activities and statistics activities. Support for processing must be linked to certain restrictions.

Authorities to be able to process sensitive personal data under a new authority exception

Authorities often have legitimate reasons for processing sensitive personal data, and in many cases this is done in the data subject’s own interests. To ensure that the necessary processing can be carried out even after the General Data Protection Regulation begins to apply, we consider that there is a need for a new exception regarding the processing of sensitive personal data held by authorities. We propose that such processing may be carried out: – in running text if the data was provided in a matter or is

required to deal with a matter; – if the data was provided to the authority and processing is

required by law; or – in individual cases, if it is absolutely necessary for the purpose

of the processing and the processing does not entail an improper intrusion on the personal privacy of the data subject.

We further propose that when carrying out processing under the new authority exception, using search terms that reveal sensitive personal data it is to be prohibited.

34

Personal data that concerns criminal offences to be processed by authorities and otherwise only if explicitly permitted

We propose that authorities should continue to be able to process personal data that concerns criminal convictions and offences or coercive measures under criminal law.

For actors other than authorities to be able to process such data, we propose that there must be explicit support in an act or ordinance or in regulations or administrative orders issued by the Swedish Data Protection Authority. We propose that support of this kind be laid down in law with regard to data processed for archiving purposes in the public interest, provided that the processing is carried out as a result of the obligations to protect and preserve documents specified in archive legislation and other provisions.

Under certain circumstances, personal identity numbers to continue to be processed

We propose that data concerning personal identity numbers or coordination numbers may continue to be processed when clearly justified with respect to the purpose of the processing, the importance of positive identification or some other significant reason.

There are restrictions on when archived data and statistics may be used for measures against a data subject

Under our proposal, personal data processed exclusively for archiving purposes in the public interest or for statistical purposes may not be used to take action in matters concerning the data subject unless there are exceptional grounds for doing so with respect to the person’s vital interests.

Regarding archived data, this restriction will not apply to authorities. However, the restriction regarding statistical data will apply to authorities.

35

In some cases, the right to access to the personal data and information, etc. to be restricted

The rights of data subjects are strengthened under the General Data Protection Regulation. However, these rights are not unconditional. Certain important exceptions from the rights are regulated directly in the Regulation. In addition, we propose that the right to information and access to the personal data should not apply to data that is subject to secrecy regulations. As a general rule, the right to access to the personal data should not apply to personal data contained in running texts that constitute rough drafts or notes. Furthermore, the right to access to the personal data, rectification, etc. is to be restricted as regards personal data contained in archive material received for storage by the National Archives and other archiving authorities.

Certain decisions taken by an authority acting as controller of personal data may be appealed to a court of law

As is the case with the provisions of the Personal Data Act, it will be possible to appeal certain decisions taken by an authority in its capacity as controller of personal data to an administrative court. This applies to decisions taken by the authority in response to data subjects exercising their rights under the General Data Protection Regulation. For example, this may concern the rejection of a request by a data subject to obtain access to the personal data, that data be rectified or erased, or that the processing be restricted.

The data subject may seek compensation

Under the General Data Protection Regulation, the data subject is entitled to compensation from the controller or processor for damage suffered as a result of an infringement of the Regulation. We propose that the Data Protection Act should clarify that this right to compensation also applies to infringements of the Data Protection Act and other legislation that supplements the Regulation.

36

Swedish Data Protection Authority to exercise supervision

The Swedish Data Protection Authority will be the authority tasked with supervising and monitoring compliance with the provisions of the General Data Protection Regulation and the Data Protection Act. The Authority’s supervisory powers are specified in the General Data Protection Regulation. Under our proposal, these powers should also apply to supervising compliance with the Data Protection Act and other supplementary legislation.

A decision taken by the Swedish Data Protection Authority under the General Data Protection Regulation and the Data Protection Act may be appealed to an administrative court.

Swedish Data Protection Authority to consider complaints within three months

Should a data subject consider that personal data is processed in a manner that contravenes the General Data Protection Regulation, they may lodge a complaint with the Swedish Data Protection Authority. Complaints are to be considered within three months. If this does not happen, under our proposal the data subject may request an indication as to whether or not the Swedish Data Protection Authority intends to exercise supervision. If the Swedish Data Protection Authority needs more time to consider the complaint, the request may be rejected through a reasoned decision. The data subject may appeal this decision to an administrative court by submitting a claim of delay.

Administrative fines may also be imposed on authorities that make errors

The General Data Protection Regulation provides the Swedish Data Protection Authority with the option of imposing administrative fines on an enterprise or other private party that violates data protection regulations. Under our proposal, it will also be possible to impose administrative fines on an authority that violates the General Data Protection Regulation.

37

We do not propose a penalty provision similar to that under the Personal Data Act.

Confidentiality issues

The General Data Protection Regulation introduces an obligation on authorities and certain other bodies to designate a data protection officer. This officer is to be bound by secrecy or confidentiality under EU law or national law.

Data protection officers who participate in public authority activities must abide by the confidentiality provisions of the Public Access to Information and Secrecy Act. Regarding the private sector, we propose that confidentiality should apply to data protection officers where the officer has gained knowledge of a private party’s personal or financial circumstances.

Consequences

The directly applicable provisions of the General Data Protection Regulation will have consequences for both public institutions and private parties. However, it was not our task to assess or report on these consequences. Nonetheless, our remit does include assessing the consequences of our proposals insofar as they entail changes compared with what currently applies.

Our proposals entail a few more duties being assigned to the National Archives, the Swedish Data Protection Authority and the administrative courts. Our assessment, however, is that the increased costs to relevant actors will not exceed the scope of their existing appropriations.

Our proposals do not entail any new costs or increased administrative burden to private parties.

In our view, the proposals strengthen protection for the personal privacy of individuals.

39

1. Författningsförslag

1.1. Förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Termer och uttryck som används i denna lag har samma betydelse som i dataskyddsförordningen.

2 § Bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i denna lag ska i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen.

Avvikande bestämmelser i annan författning

3 § Om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.

40

Förhållandet till tryck- och yttrandefriheten

4 § Bestämmelserna i dataskyddsförordningen och i denna lag ska inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Bestämmelserna i kapitel II och III, artiklarna 24–30 och 35–43 och kapitel V i dataskyddsförordningen samt i 2–5 kap. denna lag ska inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Organ som ska jämställas med myndigheter

5 § Vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket ska andra organ än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.

Tystnadsplikt för dataskyddsombud

6 § Den som utsetts till dataskyddsombud enligt artikel 37 i dataskyddsförordningen får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och ekonomiska förhållanden.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.

2 kap. Rättslig grund

1 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

2 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om

41

barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Rättslig förpliktelse

3 § Personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som

1. gäller enligt lag eller annan författning,

2. följer av kollektivavtal, eller

3. följer av beslut som har meddelats med stöd av lag eller annan författning.

Uppgift av allmänt intresse och myndighetsutövning

4 § Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig

1. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller

2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

Enskilda arkiv

5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkivändamål av allmänt intresse.

42

3 kap. Vissa kategorier av personuppgifter

Känsliga personuppgifter

1 § Utöver vad som framgår av artikel 9.2 a, c, d, e eller f i dataskyddsförordningen får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) behandlas om förutsättningarna i någon av 2–8 §§ är uppfyllda.

Arbetsrätt

2 § Känsliga personuppgifter får med stöd av artikel 9.2 b i dataskyddsförordningen behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten.

Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten finns en skyldighet att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Myndigheters behandling i vissa fall

3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet

1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

2. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller

3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

4 § Vid behandling som sker enbart med stöd av 3 § får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter.

43

Hälso- och sjukvård och social omsorg

5 § Känsliga personuppgifter får med stöd av artikel 9.2 h i dataskyddsförordningen behandlas om behandlingen är nödvändig av skäl som hör samman med

1. förebyggande hälso- och sjukvård och yrkesmedicin,

2. bedömningen av en arbetstagares arbetskapacitet,

3. medicinska diagnoser,

4. tillhandahållande av hälso- och sjukvård eller behandling,

5. social omsorg, eller

6. förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.

Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.

Arkiv

6 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse även i andra fall än de som avses i första stycket.

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.

Statistik

7 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där

44

behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Bemyndigande

8 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till ett viktigt allmänt intresse.

Personuppgifter som rör lagöverträdelser

Behandling under kontroll av myndighet

9 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.

10 § Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

Arkiv

11 § Behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Bemyndigande

12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i 9 §.

45

Personnummer och samordningsnummer

13 § Uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

14 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.

4 kap. Användningsbegränsningar

Arkiverade personuppgifter

1 § Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i första stycket hindrar dock inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.

Statistikuppgifter

2 § Personuppgifter som behandlas enbart för statistiska ändamål får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

5 kap. Begränsningar av vissa rättigheter och skyldigheter

Information och tillgång till personuppgifter

1 § Den registrerades rätt till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

Om den personuppgiftsansvarige inte är en myndighet gäller undantaget i första stycket även för uppgifter som hos en myndighet

46

skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

2 § Bestämmelsen om den registrerades rätt till tillgång till personuppgifter i artikel 15 i dataskyddsförordningen gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Undantaget i första stycket gäller inte om personuppgifterna

1. har lämnats ut till tredje part,

2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller,

3. har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning.

Bemyndigande

3 § Regeringen får meddela föreskrifter om ytterligare begränsningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen.

6 kap. Tillsynsmyndighetens handläggning och beslut

Befogenheter

1 § De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Ansökan hos allmän förvaltningsdomstol

2 § Om tillsynsmyndigheten vid handläggningen av ett ärende finner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet, får tillsynsmyndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas.

Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.

Prövningstillstånd krävs vid överklagande till kammarrätten.

47

Kommunikation

3 § Innan tillsynsmyndigheten fattar ett beslut som avses i artikel 58.2 i dataskyddsförordningen, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.

Om saken är brådskande får myndigheten, i avvaktan på yttrandet, besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskyddsförordningen. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.

Delgivning

4 § Ett beslut som avses i 3 § första stycket ska delges, om det inte är uppenbart obehövligt. Delgivning enligt 3437 §§delgivningslagen (2010:1932) får användas endast om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan.

Besked angående handläggningen av ett klagomål

5 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet, ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked.

Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran om besked kom in till myndigheten.

Om tillsynsmyndigheten har avslagit en begäran om besked enligt första stycket, har den registrerade inte rätt till ett nytt besked i ärendet förrän tidigast tre månader efter det att myndighetens beslut meddelades.

48

7 kap. Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas.

Vid överträdelser som avses i artikel 83.4 i dataskyddsförordningen ska avgiften bestämmas till högst 10 000 000 kronor och annars till högst 20 000 000 kronor.

2 § Sanktionsavgift får tas ut vid överträdelser av artikel 10 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.

3 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § inom fem år från den dag då överträdelsen ägde rum.

4 § En sanktionsavgift som beslutats enligt dataskyddsförordningen eller denna lag tillfaller staten.

8 kap. Skadestånd och rättsmedel

Skadestånd

1 § Rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

2 § Beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Första stycket gäller inte beslut av riksdagen, regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

49

Dröjsmålstalan

3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 6 kap. 5 § får överklagas till allmän förvaltningsdomstol.

Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna besked till den registrerade i frågan om tillsyn kommer att utövas.

Domstolens beslut får inte överklagas.

Överklagande av tillsynsmyndighetens beslut

4 § Tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt 7 kap. 1 och 2 §§ denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av beslut i enskilda fall

5 § Beslut enligt 2 kap. 5 § andra stycket, 3 kap. 6 § tre