SOU 2017:39

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning

Till statsrådet och chefen för Justitiedepartementet

Regeringen beslutade den 25 februari 2016 att tillkalla en särskild utredare med uppdrag att föreslå de anpassningar och kompletterande författningsbestämmelser på generell nivå som den nya dataskyddsförordningen ger anledning till (dir. 2016:15).

Som särskild utredare förordnades samma dag justitierådet Inga-Lill Askersjö.

Som experter att biträda utredningen förordnades den 23 mars 2016 juristen Carolina Brånby, dataskyddschefen Caroline Olstedt Carlström, rättssakkunnige Manne Heimer, rättsliga utredaren Per Kjellsson, chefsjuristen Hans-Olof Lindblom, kammarrättsrådet Elisabet Reimers, doktoranden Daniel Westman samt förbundsjuristen Staffan Wikell. Elisabet Reimers entledigades från uppdraget den 15 december 2016.

Som sakkunnig i utredningen förordnades den 1 november 2016 chefsrådmannen Maria Eka, som även har haft ett särskilt uppdrag att bistå sekretariatet med vissa frågor.

Som sekreterare anställdes den 1 mars 2016 juristen Maria Jonsson och den 17 mars 2016 enhetschefen Ulrika Söderqvist. Den 15 oktober 2016 anställdes rättsliga specialisten Jenny Nyman för tiden till och med den 31 mars 2017.

Utredningen, som har tagit sig namnet Dataskyddsutredningen, överlämnar härmed betänkandet Ny dataskyddslag (SOU 2017:39). Experterna och den sakkunniga har deltagit i utredningsarbetet i sådan utsträckning att det har varit motiverat att formulera betänkandet i vi-form. Uppdraget är härmed slutfört.

Stockholm den 12 maj 2017

Inga-Lill Askersjö

/ Ulrika Söderqvist

Maria Jonsson Jenny Nyman

5

Förkortningar

Artikel 29-gruppen Artikel 29-arbetsgruppen för skydd av personuppgifter dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) dataskyddskonventionen Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter dataskyddsrambeslutet Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete

16

DIFS Datainspektionens författningssamling dir. direktiv dnr diarienummer Ds Departementsserien EU Europeiska unionen EU-domstolen Europeiska unionens domstol/ Europeiska gemenskapernas domstol Europadomstolen Europeiska domstolen för de mänskliga rättigheterna Europakonventionen Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna f. följande sida/sidor FN Förenta Nationerna förordning nr 45/2001 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter HFD Högsta förvaltningsdomstolens årsbok JK Justitiekanslern JO Riksdagens ombudsmän Ju Justitiedepartementet kommissionen Europeiska kommissionen

17

LOU lagen (2016:1145) om offentlig upphandling NJA Nytt juridiskt arkiv nya dataskyddsdirektivet Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF OECD Organisationen för ekonomiskt samarbete och utveckling OSL offentlighets- och sekretesslagen (2009:400) prop. regeringens proposition PUF personuppgiftsförordningen (1998:1191) PUL personuppgiftslagen (1998:204) rskr. riksdagsskrivelse RÅ Regeringsrättens årsbok SOU Statens offentliga utredningar

19

Sammanfattning

Inledning

EU:s nya dataskyddsförordning ska tillämpas från och med den 25 maj 2018. Dataskyddsförordningen är direkt tillämplig i Sverige men ger utrymme för kompletterande nationella bestämmelser av olika slag.

Vårt övergripande uppdrag har varit att föreslå en ny nationell reglering som på ett generellt plan kompletterar dataskyddsförordningen. I vårt uppdrag har däremot inte ingått att se över de s.k. registerförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter. Vi har inte heller haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär. Det är därmed bara ett fåtal av alla de frågor som regleras i dataskyddsförordningen som behandlas eller ens nämns i detta betänkande.

Vi har, inom ramen för vårt uppdrag, strävat efter att den personuppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring.

Ett nytt svenskt regelverk om dataskydd

Vi föreslår att personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) ska upphävas och att de kompletterande bestämmelser som är av generell karaktär samlas i en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande, utan endast utgör komplement till dataskyddsförordningen, bör de benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning respektive förordningen med

20

kompletterande bestämmelser till EU:s dataskyddsförordning. Vi har valt att kalla den nya lagen dataskyddslagen i detta betänkande.

Dataskyddsförordningen ska gälla även i verksamhet som inte omfattas av unionsrätten

Behandling av personuppgifter som utförs som ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. i verksamhet som rör nationell säkerhet, omfattas inte av dataskyddsförordningen. Detsamma gäller behandling av personuppgifter i verksamhet som omfattas av EU:s gemensamma utrikes- och säkerhetspolitik. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd av personuppgifter anser vi dock att förordningens bestämmelser i tillämpliga delar bör gälla även i dessa fall. Vårt förslag om utsträckt tillämpningsområde hindrar dock inte att det för en viss sådan verksamhet införs en särskild reglering, om det skulle anses mer lämpligt.

Sektorsspecifika bestämmelser ska ha företräde framför dataskyddslagen

De bestämmelser som vi föreslår är av generell karaktär. På vissa områden kommer det att finnas behov av lag- eller förordningsbestämmelser kring behandling av personuppgifter som avviker från dataskyddslagens reglering. Det kan t.ex. röra sig om bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Vi föreslår att sådana avvikande bestämmelser ska ha företräde framför dataskyddslagen. Det innebär dock inte att de därigenom också får företräde framför dataskyddsförordningen inom det aktuella området. För att en avvikande bestämmelse i exempelvis en registerförfattning ska kunna tillämpas, måste den vara förenlig med dataskyddsförordningen och avse en fråga som får särregleras genom nationell rätt.

Annorlunda förhåller det sig när det gäller verksamhet som inte omfattas av unionsrätten, dvs. där dataskyddsförordningen inte är direkt tillämplig men där den har fått ett utsträckt tillämpningsområde genom dataskyddslagen. I det fallet kan det genom ett undantag i lag eller förordning föreskrivas att dataskyddsförord-

21

ningen inte ska gälla i verksamheten. Ett sådant undantag kan också ange att endast vissa delar av dataskyddsförordningen inte ska gälla.

Förhållandet till våra grundlagar förändras inte

Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jämförelse med hur motsvarande reglering ser ut i övriga Europa. Dataskyddsförordningen inskränker inte möjligheterna att behandla personuppgifter på det grundlagsreglerade området. Det får inte råda någon osäkerhet kring detta, eftersom det skulle kunna få påverkan på vitala och mycket känsliga delar av den opinionsskapande verksamheten, såsom meddelarfrihet och källskydd. Vi föreslår därför en upplysningsbestämmelse som tydliggör att bestämmelserna i dataskyddsförordningen och i dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet.

Utanför det grundlagsskyddade området föreslår vi att ett undantag från dataskyddsförordningen införs för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Vissa av dataskyddsförordningens bestämmelser, bland annat de som rör säkerhet för personuppgifter, ska dock tillämpas även i dessa fall.

Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen är tydligt i dataskyddsförordningen. Tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar kan alltså fortsätta att tillämpas, även när det gäller allmänna handlingar som innehåller personuppgifter.

Barn som har fyllt 13 år ska i vissa fall kunna samtycka till behandling av personuppgifter

Enligt förordningen ska ett barn ha fyllt 16 år för att självt kunna samtycka till behandling av personuppgifter vid erbjudandet av informationssamhällets tjänster, t.ex. sociala medier, söktjänster och s.k. appar för smarta enheter. Vi föreslår att denna åldersgräns ska sänkas till 13 år i Sverige. För barn yngre än så krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne.

22

Rättsliga förpliktelser, myndighetsutövning och uppgifter av allmänt intresse ska vara särskilt reglerade för att utgöra rättslig grund

Enligt dataskyddsförordningen måste en rättslig förpliktelse, myndighetsutövning eller uppgift av allmänt intresse vara fastställd i enlighet med nationell rätt eller unionsrätt för att kunna utgöra rättslig grund för behandling av personuppgifter. Vi föreslår bestämmelser i dataskyddslagen som förtydligar hur dessa företeelser fastställs i enlighet med svensk rätt. En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Med anledning av att vårt uppdrag har omfattat arkivfrågor har vi uppmärksammat att enskilda arkivinstitutioner kan sakna en fastställd rättslig grund för behandling av personuppgifter. I avvaktan på den breda översyn av arkivväsendet som regeringen har aviserat, föreslår vi att rättslig grund ska kunna fastställas av Riksarkivet, genom föreskrifter eller beslut i enskilda fall.

Känsliga personuppgifter får behandlas bara om det uttryckligen är tillåtet

Enligt dataskyddsförordningen gäller som huvudregel, liksom tidigare, ett förbud mot behandling av känsliga personuppgifter. Behandling av sådana personuppgifter får ske bara om det finns stöd i någon av förordningens undantagsbestämmelser. Vissa undantag från förbudet följer direkt av förordningen, medan andra förutsätter stöd även i nationell rätt. Vi föreslår att ett sådant stöd ska införas i dataskyddslagen när det gäller nödvändig behandling av personuppgifter på arbetsrättens område, inom hälso- och sjukvård, i social omsorg, i arkivverksamhet och i statistisk verksamhet. Stödet för behandlingen ska vara förenat med vissa restriktioner.

23

Myndigheter ska få behandla känsliga personuppgifter med stöd av ett nytt myndighetsundantag

Myndigheter har ofta berättigade skäl att behandla känsliga personuppgifter och i många fall sker detta i den registrerades eget intresse. För att säkerställa att nödvändig behandling kan ske även efter det att dataskyddsförordningen börjar gälla bedömer vi att det krävs ett nytt undantag för behandling av känsliga personuppgifter hos myndigheter. Vi föreslår att sådan behandling ska få ske – i löpande text om uppgifterna har lämnats i ett ärende eller är

nödvändiga för handläggningen av ett ärende, – om uppgifterna har lämnats till myndigheten och behandlingen

krävs enligt lag, eller – i enstaka fall, om det är absolut nödvändigt för ändamålet med

behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Vi föreslår också att det vid behandling som sker med stöd av det nya myndighetsundantaget ska vara förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter.

Personuppgifter som rör lagöverträdelser ska få behandlas av myndigheter och annars bara om det uttryckligen är tillåtet

Vi föreslår att behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel även fortsättningsvis ska få utföras av myndigheter.

För att andra än myndigheter ska få behandla sådana uppgifter föreslår vi att det måste finnas uttryckligt stöd i lag eller förordning eller i föreskrifter eller förvaltningsbeslut från Datainspektionen. Vi föreslår ett sådant stöd i lag när det gäller uppgifter som behandlas för arkivändamål av allmänt intresse, förutsatt att behandlingen sker som en följd av de skyldigheter att bevara och vårda handlingar som anges i arkivlagstiftningen och andra föreskrifter.

24

Personnummer får under vissa förutsättningar behandlas även i fortsättningen

Vi föreslår att uppgifter om personnummer eller samordningsnummer även fortsättningsvis ska få behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Det finns begränsningar för när arkiverade uppgifter och statistikuppgifter får användas för åtgärder mot den registrerade

Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål får enligt vårt förslag inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i fråga om arkiverade uppgifter ska inte gälla för myndigheter. Det ska däremot begränsningen rörande statistikuppgifter göra.

Rätten till registerutdrag och information m.m. ska i vissa fall vara begränsad

Den registrerades rättigheter stärks genom dataskyddsförordningen. Dessa rättigheter är dock inte ovillkorliga. Vissa viktiga undantag från rättigheterna regleras direkt i förordningen. Vi föreslår därutöver att rätten till information och s.k. registerutdrag inte ska gälla uppgifter som omfattas av sekretess. Rätten till registerutdrag ska som huvudregel inte heller gälla personuppgifter som finns i löpande text som utgör utkast eller minnesanteckning. Hos Riksarkivet och andra arkivmyndigheter ska rätten till registerutdrag, rättelse m.m. vara begränsad när det gäller personuppgifter som finns i arkivmaterial som tagits emot för förvaring av myndigheten.

25

Vissa beslut som fattas av en personuppgiftsansvarig myndighet får överklagas till domstol

I likhet med vad som gäller enligt personuppgiftslagen ska vissa beslut som en myndighet fattar i egenskap av personuppgiftsansvarig kunna överklagas till allmän förvaltningsdomstol. Det gäller sådana beslut som myndigheten fattar med anledning av att den registrerade utövar sina rättigheter enligt dataskyddsförordningen. Det kan t.ex. röra sig om avslagsbeslut på begäran om att den registrerade ska få tillgång till sina personuppgifter, att uppgifter ska rättas eller raderas eller att en behandling ska begränsas.

Den registrerade kan begära skadestånd

Den registrerade har enligt dataskyddsförordningen rätt till ersättning från den personuppgiftsansvarige eller ett personuppgiftsbiträde om skada har uppstått på grund av överträdelser av förordningen. Vi föreslår att det i dataskyddslagen förtydligas att denna rätt till skadestånd även gäller vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar förordningen.

Datainspektionen ska utöva tillsyn

Datainspektionen ska vara den myndighet som ska utöva tillsyn och övervaka att bestämmelserna i dataskyddsförordningen och dataskyddslagen efterlevs. Inspektionens tillsynsbefogenheter anges i dataskyddsförordningen. Dessa befogenheter ska enligt vårt förslag gälla även vid tillsynen över att dataskyddslagen och annan kompletterande lagstiftning följs.

Datainspektionens beslut enligt dataskyddsförordningen och dataskyddslagen får överklagas till allmän förvaltningsdomstol.

Datainspektionen ska behandla klagomål inom tre månader

Om en registrerad anser att personuppgifter behandlas på ett sätt som strider mot dataskyddsförordningen kan ett klagomål lämnas in till Datainspektionen. Klagomålet ska behandlas inom tre månader. Om det inte sker får den registrerade enligt vårt förslag begära ett

26

besked i frågan om Datainspektionen avser att utöva tillsyn eller inte. Om Datainspektionen behöver mer tid för att behandla klagomålet, får begäran avslås genom ett motiverat beslut. Den registrerade får överklaga detta beslut till allmän förvaltningsdomstol genom en s.k. dröjsmålstalan.

Sanktionsavgift kan tas ut även av myndigheter som gör fel

Genom dataskyddsförordningen införs en möjlighet för Datainspektionen att ta ut en administrativ sanktionsavgift av ett företag eller andra enskilda som bryter mot dataskyddsregleringen. En sådan sanktionsavgift ska enligt vårt förslag även kunna tas ut av en myndighet.

Vi föreslår inte någon straffbestämmelse motsvarande den som gäller enligt personuppgiftslagen.

Sekretessfrågor

Genom dataskyddsförordningen införs en skyldighet för myndigheter och vissa företag att utse ett dataskyddsombud. Ombudet ska vara bundet av sekretess enligt unionsrätten eller den nationella rätten.

För dataskyddsombud som deltar i det allmännas verksamhet gäller offentlighets- och sekretesslagens bestämmelser om sekretess. För den privata sektorn föreslår vi att tystnadsplikt ska gälla för dataskyddsombud i fråga om sådant som ombudet har fått veta om enskilds personliga eller ekonomiska förhållanden.

Konsekvenser

Dataskyddsförordningens direkt tillämpliga bestämmelser kommer att leda till konsekvenser, både för det allmänna och för enskilda. Vi har dock inte haft i uppgift att bedöma eller redovisa dessa konsekvenser. I vårt uppdrag ingår däremot att bedöma konsekvenserna av våra förslag, i den mån dessa medför förändringar jämfört med vad som gäller i dag.

Våra förslag innebär att Riksarkivet, Datainspektionen och de allmänna förvaltningsdomstolarna får något fler arbetsuppgifter. Vi

27

bedömer dock att kostnadsökningarna för berörda aktörer inte kommer att bli större än att de ryms inom de befintliga anslagen.

Våra förslag medför inga nya kostnader eller ökad administrativ börda för enskilda.

Vi anser att förslagen stärker skyddet för enskildas personliga integritet.

29

Summary

Introduction

The EU’s new General Data Protection Regulation begins to apply on 25 May 2018. The General Data Protection Regulation will be directly applicable in Sweden, but it provides scope for supplementary national provisions of various kinds.

Our overarching remit was to propose a new national regulation that supplements the General Data Protection Regulation at a general level. However, our remit did not include reviewing the ‘register statutes’ or other sector-specific regulations on the processing of personal data. Nor did our remit include analysing or describing any changes that the General Data Protection Regulation in itself entails. Therefore, only a few of all the issues regulated in the General Data Protection Regulation are dealt with or even mentioned in this report.

Within the framework of our remit, we have endeavoured to ensure that the personal data processing currently permitted is able to continue as far as possible. Our work was therefore not intended to broaden or restrict the possibilities of processing personal data, other than in cases where the General Data Protection Regulation requires such a change.

A new Swedish regulatory framework on data protection

We propose that the Personal Data Act (1998:204) and the Personal Data Ordinance (1998:1191) should be repealed and that the supplementary provisions of a general nature should be collected in a new overall act and ordinance on data protection. To emphasise the fact that the statutes are not comprehensive and that they are simply a supplement to the General Data Protection Regulation, they should

30

be named the Act containing supplementary provisions to the EU General Data Protection Regulation and the Ordinance containing supplementary provisions to the EU General Data Protection Regulation. In this report, we have chosen to refer to the new act as the

Data Protection Act.

The General Data Protection Regulation also to apply to activities not covered by EU law

The processing of personal data carried out as part of an activity not covered by EU law, e.g. activities concerning national security, is not covered by the General Data Protection Regulation. The same applies to the processing of personal data in activities covered by the EU Common Foreign and Security Policy. However, to ensure that there is sufficient protection of personal data in each activity, we consider that the relevant parts of the Regulation’s provisions should apply in these cases as well. Yet our proposal on expanding the field of application would not preclude the introduction of a separate regulation for a certain activity of this kind, if deemed more appropriate.

Sector-specific provisions to take precedence over the Data Protection Act

The provisions we propose are of a general nature. In certain areas, there will be a need for provisions in acts or ordinances concerning processing of personal data that deviate from the regulations in the Data Protection Act. That may include provisions specifying the legal basis for a public authority’s processing of personal data, restrictions on the right to process sensitive personal data in a certain activity or special procedural rules. We propose that such deviating provisions should take precedence over the Data Protection Act. However, this does not mean that they would thus also take precedence over the General Data Protection Regulation within the area in question. In order for a deviating provision in, for example, a register statute to be applied, it has to be compatible with the General Data Protection Regulation and refer to an issue that is allowed to be subject to special rules in national law.

31

The situation is different with regard to activities that are not covered by EU law, i.e. when the General Data Protection Regulation is not directly applicable but it has been given a broader field of application through the Data Protection Act. In such cases, it may be prescribed through an exemption in an act or ordinance that the General Data Protection Regulation does not apply to that specific activity. Such an exemption may also state that only certain parts of the General Data Protection Regulation do not apply.

No changes in relation to our constitution

Our detailed Fundamental Law on Freedom of Expression and Freedom of the Press Act are unique compared with corresponding regulations in the rest of Europe. The General Data Protection Act does not limit the possibilities of processing personal data in the area governed by the constitution. There must be no uncertainty about this, since such uncertainty could have an impact on vital and very sensitive parts of opinion-making activities, such as freedom of communication and protection of sources. We therefore propose an information provision to make clear that the provisions of the General Data Protection Regulation and the Data Protection Act must not be applied to the extent that they contravene the constitutional provisions on freedom of the press and freedom of expression.

Beyond the area protected by the constitution, we propose that an exemption from the General Data Protection Regulation be introduced for the processing of personal data that occurs for journalistic purposes or for academic, artistic or literary expression. However, some of the provisions in the General Data Protection Regulation, including those concerning the security of personal data, should be applied in these cases as well.

The scope for allowing the principle of public access to official documents to take priority over the personal data regulations is clear in the General Data Protection Regulation. This means that the rules contained in the Freedom of the Press Act on public access to documents can continue to be applied, also when it comes to official documents that contain personal data.

32

Children who are 13 and above in certain cases to be able to consent to the processing of their personal data

Under the General Data Protection Regulation, a child must be 16 to be able to give their own consent to the processing of personal data in relation to offers of information society services, such as social media, search engines and apps for smart devices. We propose that this age limit be lowered to 13 in Sweden. For younger children, consent must be given by a custodial parent or the child’s consent must be approved by the custodial parent.

Legal obligations, exercise of official authority and tasks carried out in the public interest to be subject to separate regulations to form a legal basis

Under the General Data Protection Regulation, a legal obligation, the exercise of official authority or tasks carried out in the public interest must be laid down by national law or EU law to be able to form a legal basis for the processing of personal data. We propose provisions in the Data Protection Act that clarify how these phenomena are established in line with Swedish law. Under Swedish law, a legal obligation is established if it applies under an act or other statute or follows from collective agreements or decisions issued pursuant to an act or other statute. Exercise of official authority is established under Swedish law through an act or other statute. Under Swedish law, a task carried out in the public interest is established if it follows from an act or other statute or from collective agreements or decisions issued pursuant to an act or other statute.

Because our remit covered archive issues, we have drawn attention to the fact that private archive institutions might lack an established legal basis for processing personal data. Pending the broad review of the archive system that the Government has announced, we propose that it should be possible for the National Archives to establish a legal basis through regulations or decisions in individual cases.

33

Sensitive personal data may be processed only if explicitly permitted

Under the General Data Protection Regulation, the general rule, as before, is that processing of sensitive personal data is prohibited. Processing of such personal data may only be carried out if there is support for this in one of the Regulation’s exemption clauses. Certain exemptions from the general rule follow directly from the Regulation, whereas others require support in national law as well. We propose that this kind of support be introduced in the Data Protection Act with regard to necessary processing of personal data in the area of employment law, health and medical care, social care, archive activities and statistics activities. Support for processing must be linked to certain restrictions.

Authorities to be able to process sensitive personal data under a new authority exception

Authorities often have legitimate reasons for processing sensitive personal data, and in many cases this is done in the data subject’s own interests. To ensure that the necessary processing can be carried out even after the General Data Protection Regulation begins to apply, we consider that there is a need for a new exception regarding the processing of sensitive personal data held by authorities. We propose that such processing may be carried out: – in running text if the data was provided in a matter or is

required to deal with a matter; – if the data was provided to the authority and processing is

required by law; or – in individual cases, if it is absolutely necessary for the purpose

of the processing and the processing does not entail an improper intrusion on the personal privacy of the data subject.

We further propose that when carrying out processing under the new authority exception, using search terms that reveal sensitive personal data it is to be prohibited.

34

Personal data that concerns criminal offences to be processed by authorities and otherwise only if explicitly permitted

We propose that authorities should continue to be able to process personal data that concerns criminal convictions and offences or coercive measures under criminal law.

For actors other than authorities to be able to process such data, we propose that there must be explicit support in an act or ordinance or in regulations or administrative orders issued by the Swedish Data Protection Authority. We propose that support of this kind be laid down in law with regard to data processed for archiving purposes in the public interest, provided that the processing is carried out as a result of the obligations to protect and preserve documents specified in archive legislation and other provisions.

Under certain circumstances, personal identity numbers to continue to be processed

We propose that data concerning personal identity numbers or coordination numbers may continue to be processed when clearly justified with respect to the purpose of the processing, the importance of positive identification or some other significant reason.

There are restrictions on when archived data and statistics may be used for measures against a data subject

Under our proposal, personal data processed exclusively for archiving purposes in the public interest or for statistical purposes may not be used to take action in matters concerning the data subject unless there are exceptional grounds for doing so with respect to the person’s vital interests.

Regarding archived data, this restriction will not apply to authorities. However, the restriction regarding statistical data will apply to authorities.

35

In some cases, the right to access to the personal data and information, etc. to be restricted

The rights of data subjects are strengthened under the General Data Protection Regulation. However, these rights are not unconditional. Certain important exceptions from the rights are regulated directly in the Regulation. In addition, we propose that the right to information and access to the personal data should not apply to data that is subject to secrecy regulations. As a general rule, the right to access to the personal data should not apply to personal data contained in running texts that constitute rough drafts or notes. Furthermore, the right to access to the personal data, rectification, etc. is to be restricted as regards personal data contained in archive material received for storage by the National Archives and other archiving authorities.

Certain decisions taken by an authority acting as controller of personal data may be appealed to a court of law

As is the case with the provisions of the Personal Data Act, it will be possible to appeal certain decisions taken by an authority in its capacity as controller of personal data to an administrative court. This applies to decisions taken by the authority in response to data subjects exercising their rights under the General Data Protection Regulation. For example, this may concern the rejection of a request by a data subject to obtain access to the personal data, that data be rectified or erased, or that the processing be restricted.

The data subject may seek compensation

Under the General Data Protection Regulation, the data subject is entitled to compensation from the controller or processor for damage suffered as a result of an infringement of the Regulation. We propose that the Data Protection Act should clarify that this right to compensation also applies to infringements of the Data Protection Act and other legislation that supplements the Regulation.

36

Swedish Data Protection Authority to exercise supervision

The Swedish Data Protection Authority will be the authority tasked with supervising and monitoring compliance with the provisions of the General Data Protection Regulation and the Data Protection Act. The Authority’s supervisory powers are specified in the General Data Protection Regulation. Under our proposal, these powers should also apply to supervising compliance with the Data Protection Act and other supplementary legislation.

A decision taken by the Swedish Data Protection Authority under the General Data Protection Regulation and the Data Protection Act may be appealed to an administrative court.

Swedish Data Protection Authority to consider complaints within three months

Should a data subject consider that personal data is processed in a manner that contravenes the General Data Protection Regulation, they may lodge a complaint with the Swedish Data Protection Authority. Complaints are to be considered within three months. If this does not happen, under our proposal the data subject may request an indication as to whether or not the Swedish Data Protection Authority intends to exercise supervision. If the Swedish Data Protection Authority needs more time to consider the complaint, the request may be rejected through a reasoned decision. The data subject may appeal this decision to an administrative court by submitting a claim of delay.

Administrative fines may also be imposed on authorities that make errors

The General Data Protection Regulation provides the Swedish Data Protection Authority with the option of imposing administrative fines on an enterprise or other private party that violates data protection regulations. Under our proposal, it will also be possible to impose administrative fines on an authority that violates the General Data Protection Regulation.

37

We do not propose a penalty provision similar to that under the Personal Data Act.

Confidentiality issues

The General Data Protection Regulation introduces an obligation on authorities and certain other bodies to designate a data protection officer. This officer is to be bound by secrecy or confidentiality under EU law or national law.

Data protection officers who participate in public authority activities must abide by the confidentiality provisions of the Public Access to Information and Secrecy Act. Regarding the private sector, we propose that confidentiality should apply to data protection officers where the officer has gained knowledge of a private party’s personal or financial circumstances.

Consequences

The directly applicable provisions of the General Data Protection Regulation will have consequences for both public institutions and private parties. However, it was not our task to assess or report on these consequences. Nonetheless, our remit does include assessing the consequences of our proposals insofar as they entail changes compared with what currently applies.

Our proposals entail a few more duties being assigned to the National Archives, the Swedish Data Protection Authority and the administrative courts. Our assessment, however, is that the increased costs to relevant actors will not exceed the scope of their existing appropriations.

Our proposals do not entail any new costs or increased administrative burden to private parties.

In our view, the proposals strengthen protection for the personal privacy of individuals.

39

1. Författningsförslag

1.1. Förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Termer och uttryck som används i denna lag har samma betydelse som i dataskyddsförordningen.

2 § Bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i denna lag ska i tillämpliga delar gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen.

Avvikande bestämmelser i annan författning

3 § Om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från denna lag tillämpas den bestämmelsen.

40

Förhållandet till tryck- och yttrandefriheten

4 § Bestämmelserna i dataskyddsförordningen och i denna lag ska inte tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Bestämmelserna i kapitel II och III, artiklarna 24–30 och 35–43 och kapitel V i dataskyddsförordningen samt i 2–5 kap. denna lag ska inte tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Organ som ska jämställas med myndigheter

5 § Vid tillämpningen av 3 kap. 3 § 2 och 4 § samt 4 kap. 1 § andra stycket ska andra organ än myndigheter jämställas med myndigheter, i den utsträckning bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) gäller i organets verksamhet.

Tystnadsplikt för dataskyddsombud

6 § Den som utsetts till dataskyddsombud enligt artikel 37 i dataskyddsförordningen får inte obehörigen röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga och ekonomiska förhållanden.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400) i stället för första stycket.

2 kap. Rättslig grund

1 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

2 § Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om

41

barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

Rättslig förpliktelse

3 § Personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som

1. gäller enligt lag eller annan författning,

2. följer av kollektivavtal, eller

3. följer av beslut som har meddelats med stöd av lag eller annan författning.

Uppgift av allmänt intresse och myndighetsutövning

4 § Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig

1. för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller

2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.

Enskilda arkiv

5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkivändamål av allmänt intresse.

42

3 kap. Vissa kategorier av personuppgifter

Känsliga personuppgifter

1 § Utöver vad som framgår av artikel 9.2 a, c, d, e eller f i dataskyddsförordningen får sådana särskilda kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) behandlas om förutsättningarna i någon av 2–8 §§ är uppfyllda.

Arbetsrätt

2 § Känsliga personuppgifter får med stöd av artikel 9.2 b i dataskyddsförordningen behandlas om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten.

Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten finns en skyldighet att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Myndigheters behandling i vissa fall

3 § Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet

1. i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ett ärende,

2. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, eller

3. i enstaka fall, om det är absolut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

4 § Vid behandling som sker enbart med stöd av 3 § får en myndighet inte använda sökbegrepp som avslöjar känsliga personuppgifter.

43

Hälso- och sjukvård och social omsorg

5 § Känsliga personuppgifter får med stöd av artikel 9.2 h i dataskyddsförordningen behandlas om behandlingen är nödvändig av skäl som hör samman med

1. förebyggande hälso- och sjukvård och yrkesmedicin,

2. bedömningen av en arbetstagares arbetskapacitet,

3. medicinska diagnoser,

4. tillhandahållande av hälso- och sjukvård eller behandling,

5. social omsorg, eller

6. förvaltning av social omsorg, hälso- och sjukvårdstjänster samt deras system.

Behandling enligt första stycket får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.

Arkiv

6 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse även i andra fall än de som avses i första stycket.

Den myndighet som regeringen bestämmer får även i enskilda fall besluta att andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) får behandla känsliga personuppgifter för arkivändamål av allmänt intresse.

Statistik

7 § Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där

44

behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Bemyndigande

8 § Regeringen får meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till ett viktigt allmänt intresse.

Personuppgifter som rör lagöverträdelser

Behandling under kontroll av myndighet

9 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får enligt artikel 10 i dataskyddsförordningen behandlas av myndigheter.

10 § Den myndighet som regeringen bestämmer får i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter som avses i 9 §.

Arkiv

11 § Behandling av sådana personuppgifter som avses i 9 § får ske om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Bemyndigande

12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i 9 §.

45

Personnummer och samordningsnummer

13 § Uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

14 § Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.

4 kap. Användningsbegränsningar

Arkiverade personuppgifter

1 § Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Begränsningen i första stycket hindrar dock inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.

Statistikuppgifter

2 § Personuppgifter som behandlas enbart för statistiska ändamål får inte användas för att vidta åtgärder i fråga om den registrerade, annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

5 kap. Begränsningar av vissa rättigheter och skyldigheter

Information och tillgång till personuppgifter

1 § Den registrerades rätt till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

Om den personuppgiftsansvarige inte är en myndighet gäller undantaget i första stycket även för uppgifter som hos en myndighet

46

skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

2 § Bestämmelsen om den registrerades rätt till tillgång till personuppgifter i artikel 15 i dataskyddsförordningen gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Undantaget i första stycket gäller inte om personuppgifterna

1. har lämnats ut till tredje part,

2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål eller,

3. har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utformning.

Bemyndigande

3 § Regeringen får meddela föreskrifter om ytterligare begränsningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen.

6 kap. Tillsynsmyndighetens handläggning och beslut

Befogenheter

1 § De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i dataskyddsförordningen gäller även vid tillsyn över efterlevnaden av bestämmelserna i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Ansökan hos allmän förvaltningsdomstol

2 § Om tillsynsmyndigheten vid handläggningen av ett ärende finner att det finns skäl att ifrågasätta giltigheten av en unionsrättsakt som påverkar tillämpningen av dataskyddsförordningen i ärendet, får tillsynsmyndigheten hos allmän förvaltningsdomstol ansöka om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas.

Ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av tillsynsmyndighetens beslut.

Prövningstillstånd krävs vid överklagande till kammarrätten.

47

Kommunikation

3 § Innan tillsynsmyndigheten fattar ett beslut som avses i artikel 58.2 i dataskyddsförordningen, ska den som beslutet gäller ges tillfälle att inom en bestämd tid yttra sig över allt material av betydelse för beslutet, om det inte är uppenbart obehövligt.

Om saken är brådskande får myndigheten, i avvaktan på yttrandet, besluta att behandlingen av personuppgifter tillfälligt ska begränsas eller förbjudas i enlighet med artikel 58.2 f i dataskyddsförordningen. Det tillfälliga beslutet ska omprövas, när tiden för yttrande har gått ut.

Delgivning

4 § Ett beslut som avses i 3 § första stycket ska delges, om det inte är uppenbart obehövligt. Delgivning enligt 3437 §§delgivningslagen (2010:1932) får användas endast om det finns särskild anledning att anta att mottagaren har avvikit eller på annat sätt håller sig undan.

Besked angående handläggningen av ett klagomål

5 § Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet, ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked.

Besked eller beslut enligt första stycket ska meddelas inom två veckor från den dag då begäran om besked kom in till myndigheten.

Om tillsynsmyndigheten har avslagit en begäran om besked enligt första stycket, har den registrerade inte rätt till ett nytt besked i ärendet förrän tidigast tre månader efter det att myndighetens beslut meddelades.

48

7 kap. Administrativa sanktionsavgifter

1 § Sanktionsavgift får tas ut av en myndighet vid överträdelser som avses i artikel 83.4, 83.5 och 83.6 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas.

Vid överträdelser som avses i artikel 83.4 i dataskyddsförordningen ska avgiften bestämmas till högst 10 000 000 kronor och annars till högst 20 000 000 kronor.

2 § Sanktionsavgift får tas ut vid överträdelser av artikel 10 i dataskyddsförordningen, varvid artikel 83.1, 83.2 och 83.3 i förordningen ska tillämpas. Avgiftens storlek ska bestämmas med tillämpning av artikel 83.5 i förordningen.

3 § Sanktionsavgift får inte beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § inom fem år från den dag då överträdelsen ägde rum.

4 § En sanktionsavgift som beslutats enligt dataskyddsförordningen eller denna lag tillfaller staten.

8 kap. Skadestånd och rättsmedel

Skadestånd

1 § Rätten till ersättning enligt artikel 82 i dataskyddsförordningen gäller även vid överträdelser av bestämmelser i denna lag och andra författningar som kompletterar dataskyddsförordningen.

Överklagande av beslut som fattats av en myndighet i egenskap av personuppgiftsansvarig

2 § Beslut enligt artiklarna 12.5, 15–19 eller 21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Första stycket gäller inte beslut av riksdagen, regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

49

Dröjsmålstalan

3 § Tillsynsmyndighetens beslut att avslå en begäran om besked enligt 6 kap. 5 § får överklagas till allmän förvaltningsdomstol.

Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna besked till den registrerade i frågan om tillsyn kommer att utövas.

Domstolens beslut får inte överklagas.

Överklagande av tillsynsmyndighetens beslut

4 § Tillsynsmyndighetens beslut enligt dataskyddsförordningen och enligt 7 kap. 1 och 2 §§ denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av beslut i enskilda fall

5 § Beslut enligt 2 kap. 5 § andra stycket, 3 kap. 6 § tredje stycket och 3 kap. 10 § denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

6 § Andra beslut enligt denna lag än de som avses i 2–5 §§ och 6 kap. 2 § får inte överklagas.

1. Denna lag träder i kraft den 25 maj 2018.

2. Genom lagen upphävs personuppgiftslagen (1998:204).

3. Den upphävda lagen gäller dock fortfarande i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen.

4. Äldre föreskrifter gäller fortfarande för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet.

5. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.

50

6. Äldre föreskrifter om skadestånd gäller fortfarande för skada som har orsakats före ikraftträdandet.

7. Äldre föreskrifter gäller fortfarande för överträdelser som har skett före ikraftträdandet.

51

1.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 10 kap. 27 §, 21 kap. 7 § och 40 kap. 5 § samt rubriken närmast före 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

10 kap.

27 §1

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift

som har meddelats med stöd av personuppgiftslagen (1998:204).

Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning.

21 kap.

Behandling i strid med person-

uppgiftslagen

Behandling i strid med data-

skyddsregleringen

7 §

Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att

uppgiften behandlas i strid med personuppgiftslagen (1998:204).

Sekretess gäller för personuppgift, om det kan antas att

uppgiften efter ett utlämnande kommer att behandlas i strid med Europaparlamentets och rådets förordning (EU) 2016/679 av den

1 Senaste lydelse 2013:795.

52

27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i den ursprungliga lydelsen, eller lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning.

40 kap.

5 §

Sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av personuppgifter som avses i personuppgifts-

lagen (1998:204) för uppgift om en enskilds personliga eller ekonomiska förhållanden.

Sekretess gäller för uppgift om

en enskilds personliga eller ekonomiska förhållanden i verksamhet

för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i artikel 4.1 i

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna lag träder i kraft den 25 maj 2018.

53

1.3. Förslag till förordning om ändring i arkivförordningen (1991:446)

Regeringen föreskriver i fråga om arkivförordningen (1991:446)

dels att 7 a och 20 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 7 b, 7 c och 7 d §§, av

följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 a §2

En arkivmyndighet behöver inte lämna besked och information enligt 26 § personuppgifts-

lagen (1998:204) när det gäller

personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

En arkivmyndighet behöver inte lämna bekräftelse, tillgång till

personuppgifter och information

enligt artikel 15 i Europaparla-

mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

7 b §

En arkivmyndighet behöver inte rätta eller komplettera personuppgifter enligt artikel 16 i förordning (EU) 2016/679, när det gäller personuppgifter i arkivmate-

2 Senaste lydelse 2001:556.

54

rial som tagits emot för förvaring av myndigheten.

7 c §

En arkivmyndighet behöver inte begränsa behandlingen av personuppgifter enligt artikel 18 i förordning (EU) 2016/679, när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.

7 d §

Rätten att göra invändningar enligt artikel 21 i förordning (EU) 2016/679 gäller inte vid en arkivmyndighets behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av arkivmyndigheten.

20 §3

I 22 a § förvaltningslagen (1986:223) finns bestämmelser om överklagande hos allmän förvaltningsdomstol. Andra beslut än beslut enligt 7 a § får dock inte överklagas.

I 22 a § förvaltningslagen (1986:223) finns bestämmelser om överklagande hos allmän förvaltningsdomstol. Andra beslut än beslut enligt 7 a, 7 b, 7 c och

7 d §§ får dock inte överklagas.

Denna förordning träder i kraft den 25 maj 2018.

3 Senaste lydelse 2001:556.

55

1.4. Förslag till förordning med kompletterande bestämmelser till EU:s dataskyddsförordning

Regeringen föreskriver följande.

Inledande bestämmelser

1 § I denna förordning finns bestämmelser som kompletterar

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

Kompletterande bestämmelser finns också i lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning, nedan kallad dataskyddslagen.

Termer och uttryck som används i denna förordning har samma betydelse som i dataskyddsförordningen och dataskyddslagen.

2 § Denna förordning är meddelad med stöd av

– 3 kap. 12 § dataskyddslagen i fråga om 4 § och 5 § första stycket,

– 3 kap. 10 § dataskyddslagen i fråga om 5 § andra stycket, – 2 kap. 5 § och 3 kap. 6 § dataskyddslagen i fråga om 6 §, och – 8 kap. 7 § regeringsformen i fråga om övriga bestämmelser.

Tillsynsmyndighet

3 § Datainspektionen är tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen.

Personuppgifter som rör lagöverträdelser

4 § Personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel får behandlas av andra än myndigheter om

56

1. behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall,

2. behandlingen avser enstaka uppgifter och är nödvändig för att till polisen anmäla misstanke om brott, eller

3. behandlingen avser enstaka uppgifter och är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

5 § Datainspektionen får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel.

Datainspektionen får även i enskilda fall besluta om att tillåta behandling av sådana personuppgifter som avses i första stycket.

Enskilda arkiv

6 § Riksarkivet får meddela föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse, när det gäller andra enskilda organ än de som omfattas av bestämmelserna om allmänna handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Sådana föreskrifter får även avse behandling av känsliga personuppgifter.

Riksarkivet får även i enskilda fall besluta att sådana enskilda organ som avses i första stycket får behandla personuppgifter för arkivändamål av allmänt intresse. Sådana beslut får även avse behandling av känsliga personuppgifter.

7 § Innan Riksarkivet meddelar föreskrifter eller fattar beslut enligt 6 § ska Datainspektionen ges tillfälle att yttra sig över Riksarkivets förslag.

Verkställighet av beslut om sanktionsavgift

8 § Sanktionsavgifter ska betalas till X-myndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning.

57

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

9 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom tio år från det att beslutet fick laga kraft.

10 § Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften återbetalas. För sanktionsavgift som återbetalas utgår ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den återbetalas.

Övriga verkställighetsföreskrifter

11 § Datainspektionen får meddela närmare föreskrifter om

1. klagomål till tillsynsmyndigheten, och

2. begäran om besked rörande handläggningen av klagomål.

1. Denna förordning träder i kraft den 25 maj 2018.

2. Genom förordningen upphävs personuppgiftsförordningen (1998:1191).

3. Den upphävda förordningen gäller dock fortfarande i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den förordningen.

4. Äldre föreskrifter gäller fortfarande för ärenden som har inletts hos Datainspektionen före ikraftträdandet men ännu inte har avgjorts.

5. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats med stöd av dessa föreskrifter.

59

2. Vårt uppdrag och arbete

2.1. Uppdraget

Vårt uppdrag har varit att föreslå de anpassningar och kompletterande författningsbestämmelser som den nya dataskyddsförordningen ger anledning till på generell nivå, samt att upphäva den nuvarande generella personuppgiftsregleringen.

I kommittédirektiven beskrivs vilken reglering som måste antas på nationell nivå, dvs. behövliga författningsförslag. Uppräkningen av dessa punkter är avsedd att vara uttömmande. Dessutom beskrivs i direktiven ett antal frågor där vi ska lämna lämpliga författningsförslag. I dessa fall finns det i dataskyddsförordningen inget krav på nationell reglering, men möjligheten finns. Utredningens direktiv finns i bilaga 1.

2.2. Avgränsningar

Vårt uppdrag har varit omfattande, samtidigt som de i direktiven givna tidsramarna måste hållas. Vi har mot den bakgrunden ansett det nödvändigt att tolka vårt uppdrag tämligen strikt och inte ta oss an uppgifter som inte klart framgår av de direktiv som lämnats till oss.

Utgångspunkten för vårt arbete har varit att endast utreda och lämna förslag till de anpassningar av nationell rätt som dataskyddsförordningen ger anledning till på ett generellt plan. I detta arbete har vi strävat efter att sådan personuppgiftsbehandling som är tillåten i dag i möjligaste mån ska kunna fortsätta. Vårt arbete har alltså inte syftat till att vare sig utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring. Vi har inte haft i uppdrag att analysera eller beskriva vilka förändringar som dataskyddsförordningen i sig innebär

60

för möjligheten att behandla, och skyldigheten att skydda, personuppgifter. Det har inte heller varit vår uppgift att bedöma konsekvenserna av förordningens direkt tillämpliga bestämmelser eller av de förändringar som dessa innebär.

I uppdraget har inte ingått att överväga eller lämna förslag till grundlagsändringar. Uppdraget har inte heller omfattat att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bland annat finns i de särskilda registerförfattningarna. Vi har således inte utrett frågor som endast rör vissa typer av verksamheter. Några av de frågor som beskrivs i kommittédirektiven och som behandlats i vår utredning är dock av relevans enbart för den offentliga sektorn, men då på ett generellt plan. Flertalet frågor rörande tillsynsmyndigheten har inte ingått i vår utredning, utan har i stället omhändertagits av Utredningen av tillsynen över den personliga integriteten (Ju 2015:02).

Efter det att våra direktiv beslutades har regeringen gett en särskild utredare i uppdrag att bland annat analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas, utöver den generella reglering som vi kommer att föreslå, och att analysera vilka anpassningar av lagen (2003:460) om etikprövning av forskning som avser människor som behöver göras. Utredningen har tagit namnet Forskningsdatautredningen (U 2016:04). Vi har i samråd med Forskningsdatautredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautredningen är bäst lämpad att göra den analys och de överväganden som krävs. Vi har därför avstått från att i vårt arbete behandla frågan om behandling av personuppgifter för forskningsändamål.

2.3. Utredningsarbetet

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna expertgruppsammanträden. Utredningen har sammanträtt med de förordnade experterna och den sakkunniga vid sammanlagt elva tillfällen. Utredningsarbetet har även i övrigt bedrivits i nära samarbete med experterna och den sakkunniga.

Utredaren och sekreterarna samrådde med Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06) den 15 april 2016 inför pla-

61

neringen av utredningsarbetet. Utredarna har därefter samrått vid flera tillfällen. Sekreterarna har haft fortlöpande kontakter med varandra i för utredningarna gemensamma frågor. Den mycket begränsade tiden för vårt utredningsarbete har dock inte lämnat utrymme för att i tillräcklig utsträckning ta del av Utredningens om 2016 års dataskyddsdirektiv förslag och texter. Det kan därför finnas oavsiktliga skillnader mellan utredningarnas syn på likartade frågor.

Parallellt med vår utredning har ett flertal andra utredningar också haft i uppdrag att anpassa svensk rätt till dataskyddsreformen. Vi har tillsammans med dessa andra utredningar ingått i en informell samordningsgrupp. Under utredningstiden har det hållits nio möten i denna samordningsgrupp. Vi har löpande under utredningstiden delat våra texter med samordningsgruppen, men har däremot inte haft tid att ta del av de andra utredningarnas texter. Det kan därför även i förhållande till dessa utredningar finnas oavsiktliga skillnader i synen på likartade frågor.

Vid sidan av samarbetet med Utredningen om 2016 års dataskyddsdirektiv och inom samordningsgruppen har vi dessutom löpande under utredningsarbetet samrått och haft kontakter med bland andra Utredningen om tillsynen över den personliga integriteten (Ju 2015:02) och Utredningen om kameraövervakningslagen – brottsbekämpning och integritetsskydd (Ju 2015:14).

Den 24 oktober 2016 närvarade vi vid konferensen Nordic Privacy Arena, som anordnades av organisationen Forum för dataskydd. Vi har även deltagit i ett seminarium i riksdagen den 8 december 2016 om ”Åldersgräns för sociala medier – skydd eller begränsning av barn och ungas rättigheter?”, som anordnades av organisationen Surfa lugnt. Vi har också deltagit i ett nordiskt samrådsmöte i Köpenhamn den 12 december 2016, anordnat av Nordiska ministerrådet. Vidare har vi under utredningstiden haft en dialog med Riksarkivet om frågor som rör behandling av personuppgifter för arkivändamål.

Slutligen har vi gett Statens medieråd och Barnombudsmannen tillfälle att lämna yttranden när det gäller frågan om barns samtycke till personuppgiftsbehandling vid erbjudandet av informationssamhällets tjänster direkt till barn. Svar har inkommit från båda dessa myndigheter.

62

63

3. Gällande rätt

3.1. Inledning

Begreppet personlig integritet används i vardagligt tal vanligen för att beteckna individens värde och värdighet. Begreppet finns både i grundlag och i vanlig lag. Någon allmängiltig definition av begreppet har dock inte slagits fast i lagstiftningen. I ett försök att ändå beskriva vad som kan anses vara kärnan i rätten till personlig integritet har regeringen uttalat att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.1

I dagens samhälle behandlas stora mängder personuppgifter elektroniskt av både privata och offentliga aktörer. Det är nödvändigt för att företag ska kunna bedriva en konkurrenskraftig affärsverksamhet och för att offentliga organ ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt. Denna hantering är dock förenad med påtagliga risker. Om de personuppgifter som samlats in utnyttjas för andra syften än avsett eller annars behandlas på ett otillbörligt sätt, eller om uppgifterna på grund av säkerhetsbrister hamnar i fel händer, kan det leda till allvarlig skada för enskildas personliga integritet. För att skydda enskildas integritet har det därför ansetts finnas ett behov av bestämmelser som bland annat begränsar hur, när och varför personuppgifter får behandlas och som reglerar hur otillåten behandling ska förhindras och beivras.

I detta kapitel beskrivs kortfattat den övergripande rättsliga regleringen till skydd för den personliga integriteten, i den mån denna reglering är av relevans med avseende på behandling av personuppgifter.

1Prop. 2009/10:80 s. 175, och prop. 2005/06:173 s. 15. För en genomgång av integritetsbegreppet i tidigare utredningsarbete, se SOU 2016:7 s. 69 f.

64

3.2. Internationella överenskommelser

3.2.1. Förenta Nationerna

Förenta Nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen må utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I artikel 29 anges att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av generalförsamlingen 1966 och trädde i kraft 1976. Sverige anslöt sig till konventionen 1971. I artikel 17 återupprepas vad som anges i artikel 12 i den allmänna förklaringen.

FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas i strid med FN:s stadga.

3.2.2. OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat riktlinjer i fråga om integritetsskyddet och personuppgiftsflödet över gränserna. Riktlinjerna antogs 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att betrakta riktlinjerna i nationell lagstiftning. Riktlinjerna reviderades år 2013. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna.

65

Riktlinjerna ska uppfattas som minimiregler och motsvarar i princip de bestämmelser som finns i Europarådets dataskyddskonvention, se nedan. De är tillämpliga på behandling av personuppgifter inom både den privata och den offentliga sektorn.

3.3. Europarätt

3.3.1. Europarådet

Europakonventionen

Sedan den 1 januari 1995 är den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) inkorporerad i svensk rätt och gäller som lag2. Av2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsområdet för artikel 8 i Europakonventionen i de fall behandlingen avser uppgifter om privatliv, familjeliv, hem eller korrespondens. EUdomstolen har slagit fast att bestämmelserna i artikel 8 i Europakonventionen har viss betydelse vid bedömningen av nationella regler som tillåter behandling av personuppgifter.3Vidare har Europadomstolen slagit fast att artikel 8 i Europakonventionen ålägger staten såväl en negativ förpliktelse att avstå från att göra intrång i rätten till respekt för privat- och familjelivet som en positiv för-

2 Lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, prop. 1993/94:117. 3 Dom Österreichischer Rundfunk m.fl., C-465/00, C-138/01 och C-139/01, EU:C:2003:294.

66

pliktelse att skydda enskilda mot att andra enskilda handlar på ett sätt som innebär integritetsintrång.4

Dataskyddskonventionen

Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen, antogs av Europarådets ministerkommitté 1981. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen.

Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Konventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgiftsbehandling i allmän och enskild verksamhet. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av personuppgifter får inte behandlas genom automatiserad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott. En översyn av konventionen pågår för närvarande inom Europarådet.

Det har inom Europarådet även utarbetats flera rekommendationer på dataskyddsområdet. Dessa är dock, till skillnad från dataskyddskonventionen, inte bindande.

3.3.2. Europeiska unionen

Stadgan

Vid Europeiska rådets möte i Nice år 2000 antog EU:s medlemsstater Europeiska unionens stadga om de grundläggande rättigheterna. Som en följd av Lissabonfördraget, som trädde i kraft år

4 Se t.ex. Airey mot Irland, nr 6289/73, dom den 9 oktober 1979, X och Y mot Nederländerna, nr 8978/80, dom den 26 mars 1985, K.U. mot Finland, nr 2872/02, dom den 2 december 2008 och Söderman mot Sverige, nr 5786/08, dom den 12 november 2013.

67

2009, är stadgan rättsligt bindande för EU-institutionerna och medlemsstaterna när dessa tillämpar unionsrätten.

I artikel 7 i stadgan anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Dataskyddsdirektivet och dataskyddsrambeslutet

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.

Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, till exempel allmän säkerhet och försvar samt statens verksamhet på straffrättens område. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) är, som namnet antyder, tillämpligt på informationsutbyte över gränserna. Dataskyddsrambeslutet gäller däremot inte för rent nationell personuppgiftsbehandling inom exempelvis polisens område. Från dataskyddsrambeslutets tillämpningsområde undantas också personuppgiftsbehandling inom området nationell säkerhet. På detta område finns det således inte någon EU-gemensam reglering avseende behandling av personuppgifter.

68

3.4. Svensk rätt

3.4.1. Regeringsformen

Svensk grundlag ger ett grundläggande skydd för den personliga integriteten, utöver det som följer av att lag eller annan föreskrift inte får meddelas i strid med Europakonventionen. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. I 2 kap.4 och 5 §§regeringsformen finns bestämmelser om absolut skydd mot allvarliga fysiska integritetsintrång, bland annat döds- och kroppsstraff. Enligt 2 kap. 6 § första stycket regeringsformen är var och en därutöver skyddad gentemot det allmänna mot bland annat påtvingade kroppsliga ingrepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § regeringsformen. I bestämmelsen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap.20 och 21 §§regeringsformen begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

3.4.2. Dataskyddsdirektivets genomförande

Dataskyddsdirektivet har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204), förkortad PUL. Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip dataskyddsdirektivets struktur och innehåller liksom direktivet bestämmelser

69

om bland annat personuppgiftsansvar, grundläggande krav för behandling av personuppgifter och information till den registrerade.

Personuppgiftslagen är tillämplig även utanför EU-rättens område och gäller både för myndigheter och enskilda som behandlar personuppgifter. Personuppgiftslagen är samtidigt subsidiär, vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i sektorsspecifika författningar som främst reglerar hur olika myndigheter får behandla personuppgifter.

Personuppgiftslagen kompletteras också av bestämmelser i personuppgiftsförordningen (1998:1191), förkortad PUF, som bland annat pekar ut Datainspektionen som tillsynsmyndighet. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter om bland annat i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige.

71

4. EU:s dataskyddsreform

4.1. Allmänt om reformen

I artikel 16 i fördraget om Europeiska unionens funktionssätt, som trädde i kraft år 2009 genom Lissabonfördraget, anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Vidare anges att Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter.

Bestämmelsen ger unionen befogenhet att anta rättsakter om skydd för personuppgifter inom hela tillämpningsområdet för unionsrätten, med vissa särbestämmelser för den gemensamma utrikes- och säkerhetspolitiken avseende behandling av personuppgifter i medlemsstaterna. EG:s befogenheter på området omfattade endast den första pelaren. Genom Lissabonfördraget har således befogenheterna att anta rättsakter till skydd för den personliga integriteten utvidgats.

Kommissionen lade fram sitt förslag till en reformerad dataskyddsreglering i EU år 2012. Förslaget avsåg dels en förordning med allmänna EU-regler om skydd av personuppgifter som skulle ersätta dataskyddsdirektivet, och dels ett direktiv med regler om skydd av personuppgifter som behandlas i samband med förebyggande, utredning, avslöjande eller lagföring av brott och därmed förbunden rättslig verksamhet som skulle ersätta dataskyddsrambeslutet.1 En politisk

1 Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM[2012] 11 final av den 25 januari 2012) och Förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (COM[2012] 10 final av den 25 januari 2012).

72

överenskommelse om regleringen kunde nås den 15 december 2015. Enligt kommissionens pressmeddelande efter den politiska överenskommelsen var syftet med reformen i huvudsak att stärka enskildas befintliga rättigheter och se till att enskilda får mer kontroll över sina personuppgifter, men också att harmonisera EU:s regler om skydd av personuppgifter och därmed skapa affärsmöjligheter och främja innovation.2

4.2. Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I dagligt tal används ofta den vedertagna engelska förkortningen, GDPR. Vi har dock valt att i detta betänkande benämna den nya rättsakten dataskyddsförordningen eller kort och gott förord-

ningen.

Dataskyddsförordningen kommer från och med den 25 maj 2018 att ersätta det nuvarande dataskyddsdirektivet och utgöra den generella regleringen av personuppgiftsbehandling inom EU. Enligt artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt ska en EU-förordning ha allmän giltighet och vara till alla delar bindande och direkt tillämplig i varje medlemsstat. Till skillnad från EU-direktiv ska alltså förordningar inte implementeras i nationell rätt. I stället ska förordningsbestämmelser tillämpas av enskilda, myndigheter och domstolar precis som om de vore nationella författningsbestämmelser. Detta innebär att dataskyddsförordningen är direkt tillämplig.

Även om dataskyddsförordningen är direkt tillämplig, till skillnad från dataskyddsdirektivet, innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. I skälen till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess

2 Europeiska kommissionens pressmeddelande den 15 december 2015 ”Överenskommelse om kommissionens reform av EU:s uppgiftsskydd stärker den digitala inre marknaden”.

73

bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.

4.2.1. Förordningens syfte

I skälen till förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skälen förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skälen till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt.

4.2.2. Tillämpningsområdet

Dataskyddsförordningen ska, precis som dataskyddsdirektivet, tilllämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

Från dataskyddsförordningens tillämpningsområde undantas behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Behandling av personuppgifter som utförs av

74

en fysisk person som ett led i verksamhet av privat natur eller som har samband med hans eller hennes hushåll omfattas inte heller förordningens bestämmelser. Vidare gäller förordningen inte för sådan behandling av personuppgifter som utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling regleras i stället genom det nya dataskyddsdirektivet, Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, som ersätter dataskyddsrambeslutet. Slutligen ska förordningens bestämmelser inte tillämpas av EU:s institutioner, organ och byråer. Den behandling av personuppgifter som sker där regleras i stället genom Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Ett förslag till reviderad förordning om skydd för personuppgifter som behandlas av unionens institutioner, organ, kontor och byråer har lagts fram av kommissionen.3

Dataskyddsförordningen ska tillämpas på all behandling av personuppgifter som sker inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte. En skillnad jämfört med dataskyddsdirektivets ordalydelse är att förordningen under vissa omständigheter ska tillämpas även på behandling av personuppgifter som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen. Detta gäller om behandlingen avser registrerade som befinner sig i unionen, under förutsättning att behandlingen har anknytning till antingen utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende, så länge beteendet sker inom unionen. Slutligen ska dataskyddsförordningen också tillämpas på behandling av personuppgifter som utförs av en

3 COM (2017) 8 final, 2017/0002 (COD).

75

personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.

4.2.3. Sakliga förändringar

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men innebär även en rad förändringar. Några av dessa förtjänar att nämnas särskilt.

Den registrerades rättigheter har förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats och det anges uttryckligen att den personuppgiftsansvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet. Vidare har en tydligare rätt till radering (”rätt att bli bortglömd”) införts.

Det införs ett krav på att i vissa fall inhämta samtycke från vårdnadshavare eller godkännande av barnets samtycke när informationssamhällets tjänster erbjuds direkt till ett barn. Barns särställning och särskilda utsatthet poängteras på flera ställen i förordningen.

Genom förordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter.

Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter. Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort. Vidare blir det tydligare regler för kommunikation och ansvar hos de som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs.

Genom förordningen införs ett nytt gemensamt system med administrativa sanktionsavgifter som ska tas ut vid vissa typer av överträdelser av förordningen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, till exempel genom åtgärder som godkännande av

76

uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra. Det införs samtidigt en ny princip om en enda kontaktpunkt, som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det kommer även att införas ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall.

Förhållandet till offentlighetsprincipen

Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen har blivit tydligare i förordningen, genom en uttrycklig och direkt tillämplig bestämmelse i artikel 86. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.

77

5. Ett nytt svenskt regelverk om dataskydd

5.1. Vårt uppdrag

Dataskyddsförordningen kommer att utgöra den generella regleringen av personuppgiftsbehandling inom EU. Detta innebär att personuppgiftslagen och anslutande föreskrifter måste upphävas. Vårt övergripande uppdrag är att föreslå en ny nationell reglering som på ett generellt plan kompletterar förordningen. En lag som kompletteras av bestämmelser i en nationell förordning samt en viss föreskriftsrätt för tillsynsmyndigheten kan enligt kommittédirektiven vara en lämplig utgångspunkt.

I kommittédirektiven anges att det vid utförandet av uppdraget är viktigt att – i den mån utrymme finns på nationell nivå – hitta lämpliga avvägningar mellan skyddet för den personliga integriteten samt myndigheters, företags och enskildas behov av att kunna behandla personuppgifter. I vårt uppdrag ingår dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som bland annat finns i de särskilda registerförfattningarna. Frågan om förhållandet mellan sektorsspecifik reglering och den kompletterande reglering som vi föreslår kan däremot aktualiseras. I uppdraget ingår därför att analysera om det finns behov att reglera förhållandet mellan den kompletterande regleringen och sektorsspecifika föreskrifter.

78

5.2. Överväganden och förslag

Utredningens förslag:Personuppgiftslagen och personuppgifts-

förordningen ska upphävas. En ny lag och förordning med bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan ska införas. Termer och uttryck i dessa författningar ska ha samma betydelse som i dataskyddsförordningen. Sektorsspecifika författningsbestämmelser som rör behandling av personuppgifter ska ha företräde framför den nya lagen.

5.2.1. Personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter ska upphävas

Dataskyddsförordningen ersätter dataskyddsdirektivet, som på generell nivå har genomförts i svensk rätt genom personuppgiftslagen, personuppgiftsförordningen och Datainspektionens föreskrifter. Dataskyddsförordningen ska däremot inte implementeras i svensk rätt, utan i stället tillämpas av enskilda, myndigheter och domstolar precis som om dess bestämmelser hade funnits i en svensk författning. När dataskyddsförordningen börjar tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att finnas i dataskyddsförordningen. Det svenska generella regelverket om dataskydd kan då inte längre finnas kvar, eftersom det skulle leda till en otillåten dubbelreglering. Många av de bestämmelser som finns i personuppgiftslagen och i personuppgiftsförordningen motsvaras nämligen av direkt tillämpliga bestämmelser i dataskyddsförordningen.

Det ankommer på riksdagen att fatta beslut om upphävande av personuppgiftslagen, medan personuppgiftsförordningen bör upphävas genom regeringsbeslut. Datainspektionens föreskrifter som ansluter till personuppgiftslagen och personuppgiftsförordningen bör lämpligen upphävas av Datainspektionen, innan personuppgiftsförordningen upphör att gälla.

79

5.2.2. Ett regelverk som kompletterar dataskyddsförordningen på generell nivå ska införas

Den omständigheten att den nya generella unionsrättsakten om dataskydd är en förordning, och inte ett direktiv, innebär omfattande begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd. Dataskyddsförordningen har emellertid i vissa delar en direktivliknande karaktär, på så sätt att ett förhållandevis stort antal artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. I skäl 8 till förordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.

Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser bör samlas i en ny övergripande lag och förordning om dataskydd. För att betona att författningarna inte är heltäckande, utan endast utgör ett komplement till dataskyddsförordningen, bör de benämnas lagen med kompletterande bestämmelser till

EU:s dataskyddsförordning respektive förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. I det följande

kallar vi den nya lagen för dataskyddslagen.

Bestämmelser till skydd för den enskildes personliga integritet har vid normgivningen betraktats som offentligrättsliga föreskrifter av den svenska lagstiftaren. Bestämmelserna utgör ett medel för det allmänna att skydda enskilda mot kränkning av deras personliga integritet genom olämplig behandling av personuppgifter. Genom tillsynsmyndigheten övervakar det allmänna att såväl privaträttsliga som offentligrättsliga organ följer regelverket. Eventuella överträdelser kan beivras genom offentligrättsliga sanktioner, förbud och begränsningar. Den omständigheten att överträdelser även kan föranleda civilrättsliga sanktioner i form av skadestånd förtar inte regleringen dess offentligrättsliga karaktär.1Riksdagen kan därmed, enligt

1Prop. 1997/98:44 s. 58 f.

80

8 kap. 3 § regeringsformen, delegera sin normgivningskompetens på detta område till regeringen. Bestämmelser som meddelas med stöd av ett sådant bemyndigande kan dock aldrig läggas till grund för behandling som innebär sådan övervakning eller kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § regeringsformen. Sådana betydande intrång i den personliga integriteten omfattas nämligen av ett särskilt lagkrav, enligt 2 kap. 20 § regeringsformen. De förordningsbestämmelser som vi föreslår är dock inte av denna karaktär.

Termer och uttryck

Många av de termer och uttryck som används i dataskyddsförordningen definieras i artikel 4 i förordningen. Andra begrepp definieras visserligen inte, men är av unionsrättslig karaktär och kan inte ges en särskild betydelse i nationell rätt. Termer och uttryck som används i den dataskyddslag och kompletterande förordning som vi föreslår bör därför ha samma betydelse som i dataskyddsförordningen. I övrigt innehåller våra författningsförslag inte några termer eller uttryck som kräver en reglerad definition.

Hänvisningsteknik

Den nya lag och förordning med kompletterande bestämmelser till dataskyddsförordningen som föreslås i detta betänkande innehåller hänvisningar till bestämmelser i EU-förordningen. Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Dataskyddsförordningen är direkt tillämplig. Handlingsutrymmet för medlemsstaterna när det gäller att införa bestämmelser i nationell rätt på detta område är därmed begränsat. För att säkerställa att ändringar i dataskyddsförordningen får omedelbart genomslag är det lämpligt att hänvisningarna dit görs dynamiska. Detta hindrar emellertid inte att dataskyddslagen och den kompletterande förordningen kan komma att behöva ändras om dataskyddsförordningens innehåll ändras. De hänvisningar till dataskyddsförordningen som finns i den

81

dataskyddslag och kompletterande förordning som föreslås i detta betänkande är därför med ett enda undantag dynamiska, dvs. avser förordningen i dess vid varje tidpunkt gällande lydelse. Hänvisningarna kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen. Det är en hänvisningsteknik som regeringen ofta har använt i senare tids propositioner (se t.ex. prop. 2015/16:156 s. 20 f. och 33 f., prop. 2015/16:160 s. 36 f. och 45, prop. 2016/17:22 s. 96 f. och prop. 2016/17:125 s. 50).

Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs. Särskilt bör det enligt Lagrådet belysas hur det nationella regelsystemet faktiskt ändras genom hänvisningen och hur ändringar av rättsakten kan komma att påverka den nationella regleringen.2

Flera av hänvisningarna till dataskyddsförordningen i de bestämmelser som vi föreslår är av upplysande karaktär. Det gäller främst hänvisningarna i bestämmelserna om rättslig grund, känsliga personuppgifter och skadestånd. Dynamiska hänvisningar framstår som mest lämpligt i dessa fall. Detsamma gäller hänvisningarna till dataskyddsförordningen avseende betydelsen av de termer och uttryck som används i författningarna. Terminologin som används i den nationella reglering som kompletterar EU-förordningen måste följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.

Andra hänvisningar till dataskyddsförordningen finns i föreslagna lag- och förordningsbestämmelser som rör bland annat vilka myndigheter eller andra aktörer som är behöriga att pröva olika frågor eller som har att vidta åtgärder enligt dataskyddsförordningen samt vilka förfarandebestämmelser som ska gälla när förordningen saknar bestämmelser eller hänvisar till att nationell rätt ska tillämpas. Dataskyddsförordningen innebär även att det i svensk rätt måste införas bestämmelser om sanktioner vid överträdelser av förordningen. Förslaget till dataskyddslag innehåller också en bestämmelse om tystnadsplikt för den som utsetts till dataskyddsombud enligt dataskyddsförordningen.

Samtliga dessa ovan nämnda författningsförslag avser bestämmelser av ett slag som måste finnas i svensk rätt för att Sverige ska uppfylla sina unionsrättsliga förpliktelser. Statiska hänvisningar till data-

2Prop. 2015/16:156 s. 34.

82

skyddsförordningen i dessa bestämmelser skulle leda till oklarheter och brister, om dataskyddsförordningen skulle komma att ändras utan att den svenska lagstiftaren hinner vidta åtgärder. Den omständigheten att somliga förändringar i dataskyddsförordningen ändå skulle kunna föranleda behov av justeringar av svensk rätt, t.ex. rörande vilken myndighet eller domstol som ska hantera en viss fråga, utgör inte skäl för att välja någonting annat än dynamiska hänvisningar i dessa paragrafer.

Vidare förekommer det i våra författningsförslag bestämmelser som föreskriver undantag från dataskyddsförordningens bestämmelser. Undantagen avser de registrerades rättigheter å ena sidan och den personuppgiftsansvariges skyldigheter å den andra. Flera av de föreslagna undantag som innehåller hänvisningar till dataskyddsförordningen är nära förknippade med den svenska grundlagsregleringen om tryck- och yttrandefrihet och rätt till tillgång till allmänna handlingar. Det råder enligt vår mening inget tvivel om att dessa undantag ska gälla, även om dataskyddsförordningens lydelse skulle komma att ändras i någon detalj. Vi föreslår även undantag som motiveras av behovet av en balans mellan det skydd som dataskyddsförordningen ger den registrerade och det skydd som annan lagstiftning ger den personuppgiftsansvariges verksamhet eller tredje parts personliga integritet, t.ex. i form av sekretess. Även i dessa bestämmelser anser vi att dynamiska hänvisningar behövs för att säkerställa att balansen består även vid en eventuell ändring av dataskyddsförordningen.

I ett fall, rörande behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde, anser vi dock att det finns skäl att välja en statisk hänvisningsteknik, innebärande att hänvisningen ska avse den ursprungliga lydelsen av dataskyddsförordningen. Skälen för detta ställningstagande utvecklas i avsnitt 6.4.2.

Det kan noteras att detta betänkande även innehåller förslag till ändringar i offentlighets- och sekretesslagen (2009:400), innebärande att hänvisningar till dataskyddsförordningen ska införas i vissa bestämmelser. Frågan om hänvisningarnas karaktär i de fallen behandlas i avsnitt 17.

83

5.2.3. Avvikande bestämmelser i annan lag eller i förordning ska ha företräde

Reglering av behandling av personuppgifter har i Sverige sedan lång tid tillbaka skett i form av en generell lag, kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Vid införlivandet av dataskyddsdirektivet konstaterade Datalagskommittén att överväganden avseende de särskilda registerförfattningarna föll utanför deras uppdrag. Samtidigt bedömde kommittén att det även med den nya generella lagstiftningen föreföll nödvändigt att ha särregler i vissa fall. Kommittén ansåg därför att den nya lagen om behandling av personuppgifter borde innehålla en bestämmelse som innebär att särregleringen inte berörs.3 Regeringen instämde i denna bedömning.4Personuppgiftslagen gjordes därför subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § PUL).

I de fall kompletteringar till eller undantag från dataskyddsförordningen får och bör göras på generell nivå ingår det i vårt uppdrag att överväga frågan. I några fall ger emellertid förordningen utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet, se t.ex. artiklarna 9 och 23. I andra fall ges medlemsstaterna möjlighet att fastställa mer specifika villkor för att anpassa bestämmelserna i förordningen för att säkerställa en laglig och rättvis behandling, se t.ex. artikel 6.2 och 6.3 andra stycket. För att lämpliga avvägningar mellan skyddet för den personliga integriteten och behovet av att kunna behandla personuppgifter ska kunna göras i dessa situationer krävs överväganden som tar särskild hänsyn till de omständigheter som föreligger i en viss typ av verksamhet.

Det ligger inte inom ramen för vårt uppdrag att ta ställning till i vilken mån utrymmet för sektorsspecifik reglering om behandling av personuppgifter bör utnyttjas. Av kommittédirektiven framgår dock inte annat än att regeringen har för avsikt att i vart fall tills vidare hålla fast vid det traditionella systemet för reglering av behandling av personuppgifter i Sverige, dvs. i form av en generell reglering som kompletteras av sektorsspecifika författningar med bestämmelser om behandling av personuppgifter.

3SOU 1997:39 s. 205 f. 4Prop. 1997/98:44 s. 40 f.

84

I vissa fall kan lagform krävas enligt 2 kap.6 och 20 §§regeringsformen, men många gånger kan sektorsspecifika författningar som rör behandling av personuppgifter beslutas av regeringen, med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen eller med stöd av bemyndiganden i lag. Det kommer följaktligen även i fortsättningen sannolikt att finnas ett stort antal förordningar som innehåller särskilda bestämmelser om behandling av personuppgifter. Bestämmelser i såväl lagar som förordningar bör därför, på motsvarande sätt som gällt hittills, ha företräde framför bestämmelserna i den generella reglering som vi föreslår. Det bör dock tydliggöras i författningstexten att dataskyddslagen är subsidiär endast i förhållande till bestämmelser om sådant som regleras i dataskyddslagen, dvs. som rör behandling av personuppgifter. Det kan t.ex. vara bestämmelser som specificerar den rättsliga grunden för en myndighets behandling av personuppgifter, begränsningar av rätten att behandla känsliga personuppgifter i en viss verksamhet eller särskilda förfaranderegler. Att denna avgränsning gällt även enligt 2 § PUL framgår av förarbetena till den bestämmelsen .5 Eventuella konflikter i rättstillämpningen mellan dataskyddslagens bestämmelser och sådana bestämmelser i andra författningar som avser annat än behandling av personuppgifter ska alltså lösas med hjälp av de allmänna principerna om till exempel normhierarki, EU-rättens företräde och lex specialis. Om en annan lag eller en förordning innehåller någon bestämmelse om behandling av personuppgifter som avviker från dataskyddslagen, ska däremot den avvikande bestämmelsen tilllämpas.

Det bör betonas att den bestämmelse om subsidiaritet som vi föreslår kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § PUL, även om dess innebörd är densamma. Detta beror på att dataskyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförordningen och reglerar bara vissa frågor. Bestämmelsen om subsidiaritet kan bara aktualiseras i dessa fall och inte om en bestämmelse i en annan författning rörande behandling av personuppgifter avser en fråga som inte alls regleras i dataskyddslagen.

Bestämmelsen om att annan lag eller förordning ska ha företräde framför dataskyddslagen utvidgar inte heller utrymmet för att göra

5Prop. 1997/98:44 s. 114 f.

85

nationella undantag från de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Principen om unionsrättens företräde innebär att en bestämmelse i en sektorsspecifik författning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt.

87

6. Behandling av personuppgifter utanför dataskyddsförordningens tillämpningsområde

6.1. Vårt uppdrag

Dataskyddsförordningen och det nya dataskyddsdirektivet kommer sammantaget att täcka ett något större område än den nuvarande EUrättsliga regleringen (dataskyddsdirektivet och dataskyddsrambeslutet). Utvidgningen görs främst på området som rör brottsbekämpning. Det kommer dock fortfarande att finnas ett område som inte täcks av EU-regleringen, och som inte nödvändigtvis kommer att omfattas av någon sektorsspecifik reglering. I vårt uppdrag ingår att undersöka denna fråga närmare och överväga om det finns behov av en generell reglering för sådan personuppgiftsbehandling. Enligt kommittédirektiven skulle en sådan reglering exempelvis kunna innebära att förordningen i relevanta delar görs tillämplig även utanför unionsrättens tillämpningsområde.

6.2. Gällande rätt

I artikel 3.2 första strecksatsen i dataskyddsdirektivet anges att direktivet inte gäller för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område.

88

Personuppgiftslagen är däremot generellt tillämplig, vilket innebär att den också gäller för sådan behandling som faller utanför det nuvarande dataskyddsdirektivets tillämpningsområde. Anledningen till att denna lösning valdes var bland annat att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Vidare ansågs den lösningen garantera att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning.1

Vilka verksamheter som omfattas av gemenskapsrättens tillämpningsområde framgår inte av dataskyddsdirektivet, utan följer av fördragen och EU-domstolens praxis. Artikel 3.2 första strecksatsen i dataskyddsdirektivet rörande tillämpningsområdet har kunnat tolkas som att undantagets räckvidd begränsas till den kategori av områden som nämns som exempel i bestämmelsen, det vill säga till sådan verksamhet som väsentligen omfattas av vad man brukade kalla den andra och tredje pelaren. En annan tolkning har varit att bestämmelsen undantar all verksamhet som inte omfattas av gemenskapsrätten från tillämpningsområdet för dataskyddsdirektivet.

EU-domstolen har funnit att det är den först nämnda tolkningen av bestämmelsens innebörd som gäller. Domstolen har bland annat uttalat att de verksamheter som nämns som exempel i artikel 3.2 första strecksatsen i dataskyddsdirektivet är avsedda att definiera räckvidden av det där föreskrivna undantaget, varför detta undantag endast är tillämpligt på sådan verksamhet som uttryckligen nämns där eller som kan placeras i samma kategori.2

6.3. Dataskyddsförordningen

Enligt artikel 2.2 i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som

a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,

b) medlemsstaterna utför när de bedriver verksamhet som omfattas

av den gemensamma utrikes- och säkerhetspolitiken,

1Prop. 1997/98:44 s. 40 f. 2 Dom Lindqvist, C-101/01, EU:C:2003:596, punkterna 34–35 och 44. Se även EU-domstolens tolkning av undantaget som gjordes i dom Österreichischer Rundfunk m.fl., C-465/00, C-138/01 och C-139/01, EU:C:2003:294.

89

c) utförs av en fysisk person som ett led i verksamhet av privat natur

eller som har samband med dennes hushåll, eller

d) utförs av behöriga myndigheter för ändamålen att förebygga, ut-

reda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inkluderande skydd mot samt förebyggande av hot mot allmän säkerhet.

I skäl 16 till dataskyddsförordningen anges verksamhet som rör nationell säkerhet som ett exempel på en verksamhet som enligt led a inte omfattas av unionsrättens tillämpningsområde. Sådan behandling av personuppgifter som avses i led d omfattas av det nya dataskyddsdirektivets tillämpningsområde.

Förordningen gäller enligt artikel 2.3 inte heller för behandling av personuppgifter som utförs av EU:s institutioner, organ och byråer. Sådan behandling regleras i stället i förordning (EG) nr 45/2001.

6.4. Överväganden och förslag

Utredningens förslag: Dataskyddsförordningen och dataskydds-

lagen ska i tillämpliga delar gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Datainspektionen ska utöva tillsyn även över denna personuppgiftsbehandling.

Dataskyddsförordningen ska inte tillämpas på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (artikel 2.2 c i dataskyddsförordningen). Inte heller ska dataskyddsförordningen tillämpas på behandling av personuppgifter som omfattas av annan unionsrättslig dataskyddsreglering, dvs. det nya dataskyddsdirektivet eller förordning (EG) nr 45/2001. Det finns emellertid behandling av personuppgifter som inte omfattas av någon unionsrättslig dataskyddsreglering överhuvudtaget, nämligen behandling som utförs antingen som ett led i en verksamhet som inte omfattas av unionsrätten, såsom verksamhet rörande nationell säkerhet, eller i en verksamhet som omfattas av den gemensamma utrikes- och

90

säkerhetspolitiken (dvs. leden a och b i artikel 2.2 i dataskyddsförordningen).

6.4.1. Vad faller utanför unionsrättens tillämpningsområde?

EU-domstolens tolkning av undantaget i artikel 3.2 första strecksatsen i dataskyddsdirektivet synes innebära att direktivet i vissa fall ska tillämpas trots att behandlingen av personuppgifter utgör ett led i en verksamhet som i andra sammahang skulle anses falla utanför gemenskapsrättens tillämpningsområde. Det går inte att komma till en annan slutsats än att EU-domstolen ansett att dataskyddsdirektivet ska ha ett brett tillämpningsområde. Det finns dock fortfarande ett visst utrymme för olika tolkningar av exakt var gränserna går. Frågan är om artikel 2.2 a i dataskyddsförordningen ska tolkas på samma sätt som EU-domstolen tolkat artikel 3.2 första strecksatsen i dataskyddsdirektivet.

Syftet med dataskyddsförordningen är att säkra en enhetlig och hög skyddsnivå för fysiska personer och att undanröja hinder för flödena av personuppgifter inom unionen. Det finns ingenting i dataskyddsförordningen som antyder att unionslagstiftaren har avsett att inskränka det materiella tillämpningsområdet för dataskyddsförordningen jämfört med direktivet. Även det förhållandet att reformen syftar till att personuppgiftsbehandlingen inom unionen ska harmoniseras talar för att undantaget i artikel 2.2 a i dataskyddsförordningen inte bör ges en vidare innebörd än motsvarande bestämmelse i dataskyddsdirektivet.

Sedan dataskyddsdirektivet antogs har fördragen ändrats och innehåller numera en uttrycklig rättslig grund för antagandet av rättsakter till skydd för personuppgifter. Enligt artikel 16 i fördraget om Europeiska unionens funktionssätt har EU tilldelats befogenhet att fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Jämfört med vad som gällde enligt artikel 100a i fördraget om upprättandet av Europeiska gemenskapen har artikel 16 i fördraget om Europeiska unionens funk-

91

tionssätt utvidgat EU:s befogenheter att anta rättsakter för att skydda personuppgifter inom unionen.3

Det faktum att den nya rättsliga grunden för antagandet av unionsrättslig reglering om dataskydd uttryckligen undantar sådan verksamhet som faller utanför unionsrättens tillämpningsområde talar å andra sidan mot att tolka bestämmelsen i artikel 2.2 a i dataskyddsförordningen på samma sätt som artikel 3.2 i dataskyddsdirektivet. Därtill kommer att artikel 2.2 i förordningen har en annan utformning än artikel 3.2 i dataskyddsdirektivet. Den exemplifiering som EU-domstolen byggt sitt resonemang om vad som faller utanför gemenskapsrätten på, finns inte i förordningen. Även detta medför att det inte är självklart att bestämmelserna ska tolkas på samma sätt.

Exakt vilka verksamheter som faller utanför unionsrättens tillämpningsområde och därmed inte omfattas av förordningens bestämmelser om behandling av personuppgifter är således oklart, förutom när det gäller sådan verksamhet rörande nationell säkerhet som uttryckligen nämns i skälen. Det är dock enligt vår bedömning rimligt att anta att det inom den offentliga sektorn också finns annan verksamhet som på samma sätt som nationell säkerhet kan betraktas som en strikt nationell angelägenhet och därför faller utanför unionsrättens tillämpningsområde även vid en restriktiv tolkning av undantaget från förordningens tillämpningsområde.

6.4.2. Ska förordningens bestämmelser göras gällande utanför deras tillämpningsområde?

Frågan är då om dataskyddsförordningens bestämmelser borde gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och 2.2 b inte omfattas av förordningens tillämpningsområde.

Enligt vår bedömning är det sannolikt bara i den offentliga sektorn som det skulle kunna förekomma verksamhet som faller utanför unionsrättens tillämpningsområde i den mening som avses i artikel 2.2 a och där behandling av personuppgifter därmed inte skulle omfattas av dataskyddsförordningens direkt tillämpliga bestämmelser. Det är dessutom bara myndigheter och beslutande politiska för-

3Prop. 2007/08:168 s. 52.

92

samlingar som deltar i den gemensamma utrikes- och säkerhetspolitiken, som avses i artikel 2.2 b.

Någon unionsrättslig allmänt gällande princip som innebär att en medlemsstat inte, med stöd av sin nationella kompetens, kan utvidga tillämpningsområdet för en EU-förordning finns inte. Det finns alltså inga formella hinder mot att utvidga tillämpningsområdet för dataskyddsförordningens bestämmelser till att omfatta även sådan personuppgiftsbehandling som faller utanför unionsrättens tillämpningsområde.4

När personuppgiftslagen antogs gjordes den generellt tillämplig. Anledningen till att denna lösning valdes var som ovan angetts bland annat att det ansågs särskilt viktigt med ett starkt integritetsskydd för personuppgifter inom all offentlig verksamhet. Dessa motiv är alltjämt aktuella.

Sverige har vidare, i enlighet med vad som anges i avsnitt 3.2 och 3.3, genom att anta bland annat Europarådets dataskyddskonvention, gjort vissa internationella åtaganden att skydda enskilda individers personliga integritet. För att säkerställa att det inom varje verksamhet finns ett fullgott skydd anser vi att förordningens bestämmelser om behandling av personuppgifter bör utsträckas till att gälla generellt. Vi anser att detta är ett bättre alternativ än att införa en komplett nationell dataskyddsreglering för verksamhet som inte omfattas av förordningens tillämpningsområde. Det skulle leda till att vissa myndigheter för sin personuppgiftsbehandling skulle tvingas tillämpa två parallella regelverk, förutom eventuellt förekommande sektorsspecifika författningar. Dataskyddsförordningen bör därför, i tillämpliga delar, genom dataskyddslagen utsträckas till att gälla även vid sådan behandling av personuppgifter som enligt artikel 2.2 a och b inte omfattas av dataskyddsförordningens tillämpningsområde.

Det är inte möjligt att i nationell rätt ålägga tillsynsmyndigheter i andra länder att samarbeta med den svenska tillsynsmyndigheten. Det är därför inte möjligt att göra de bestämmelser som ålägger tillsynsmyndigheterna en skyldighet att samarbeta tillämpliga genom en bestämmelse i dataskyddslagen. Inte heller är det i nationell rätt möjligt att ge den europeiska dataskyddsstyrelsen behörighet att t.ex. utfärda riktlinjer och rekommendationer inom det område där EU inte har befogenheter i enlighet med fördragen. Det är inte heller möjligt

4 Jfr prop. 2010/11:80 s. 59 f.

93

att ge kommissionen rätt att anta delegerade akter. Kapitel VII och kapitel X i dataskyddsförordningen kan därför inte göras tillämpliga genom en reglering i dataskyddslagen. Det kan även i övrigt finnas bestämmelser i dataskyddsförordningen som inte kan tillämpas i rent nationell verksamhet. Det får därför i varje enskilt fall göras en bedömning av om förordningens bestämmelser går att tillämpa.

Sverige har inte överlåtit beslutskompetens till EU inom de områden där dataskyddsförordningens bestämmelser ska gälla enligt vårt förslag i denna del. Om förordningen ändras bör därför den svenska lagstiftaren ta ställning till om dessa ändringar ska få genomslag även på de områden som är undantagna från förordningens tillämpningsområde. Hänvisningen till förordningen i den nu aktuella bestämmelsen i dataskyddslagen bör därför vara statisk, dvs. avse den ursprungliga lydelsen av förordningen.

I avsnitt 5.2.3 har vi föreslagit att dataskyddslagen ska vara subsidiär till avvikande bestämmelser i annan lag eller i förordning. Det är således möjligt att genom sektorsspecifik författning göra undantag från den föreslagna bestämmelsen om utsträckt tillämpning av dataskyddsförordningens bestämmelser.5

6.4.3. Vem ska utöva tillsyn?

Utredningen om tillsynen över den personliga integriteten har föreslagit att Datainspektionen ska utses till svensk tillsynsmyndighet enligt dataskyddsförordningen och att detta ska regleras i inspektionens myndighetsinstruktion.6 Vi utgår i vårt betänkande från att regeringen kommer att besluta i enlighet med det förslaget. Enligt vår bedömning bör en sådan reglering, uttryckligen eller underförstått, medföra att Datainspektionen ska utöva tillsyn även i fråga om efterlevnaden av bestämmelser i nationella författningar som kompletterar dataskyddsförordningen.

Vi föreslår ovan att dataskyddsförordningens bestämmelser i tillämpliga delar ska gälla även i verksamhet utanför unionsrättens tillämpningsområde och vid Sveriges deltagande i den gemensamma utrikes- och säkerhetspolitiken. Det innebär i praktiken att data-

5 Jfr 1 kap. 1 § andra stycket lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. 6SOU 2016:65 s. 142 f.

94

skyddsförordningen i dessa delar ska gälla utanför dess egentliga tillämpningsområde. Det är mot denna bakgrund inte självklart att en reglering i myndighetsinstruktionen, som i enlighet med det nämnda förslaget anger att Datainspektionen är tillsynsmyndighet enligt dataskyddsförordningen, även skulle anses omfatta tillsyn över behandling av personuppgifter som sker inom det område där förordningen fått utsträckt tillämpningsområde genom dataskyddslagen.

Enligt vår mening bör behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde stå under samma tillsyn som sådan behandling som sker med direkt tillämpning av förordningens bestämmelser. Huvudregeln bör vara att det också är samma myndighet som utövar denna tillsyn. Vi föreslår därför att det i förordningen till dataskyddslagen anges att Datainspektionen är tillsynsmyndighet enligt dataskyddslagen. Av tydlighetsskäl bör denna bestämmelse även informera om att Datainspektionen är tillsynsmyndighet enligt dataskyddsförordningen. För det fall att regeringen, under beredningen av detta betänkande och av SOU 2016:65, skulle finna att regleringen av Datainspektionens tillsynsansvar i stället ska samlas i myndighetsinstruktionen, kan den bestämmelse som vi föreslår i denna del utgå.

95

7. Förhållandet till yttrande- och informationsfriheten

7.1. Vårt uppdrag

Regeringen bedömer i kommittédirektiven att det genom dataskyddsförordningens artiklar 85 och 86 blir tydligare än i det nuvarande dataskyddsdirektivet att den EU-rättsliga dataskyddsregleringen inte inkräktar på området för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det ingår därför inte i utredningens uppdrag att överväga eller lämna förslag till grundlagsändringar. I detta sammanhang bör det noteras att det inte heller ingår i utredningens uppdrag att lämna några förslag som rör handlingsoffentligheten eller att närmare analysera innebörden av artikel 86.

Regeringen menar att det – utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde – även fortsättningsvis bör finnas behov av bestämmelser som i likhet med 7 § andra stycket PUL balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten.

Vårt uppdrag är därför att analysera hur bestämmelser som balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten utanför tryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde bör utformas.

7.2. Gällande rätt

Enligt artikel 9 i dataskyddsdirektivet ska medlemsstaterna besluta om undantag och avvikelser från delar av direktivet med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, om det är

96

nödvändigt för att förena rätten till privatlivet med reglerna om yttrandefriheten.

I 7 § första stycket PUL finns en upplysningsbestämmelse om att bestämmelserna i lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det innebär bland annat att de grundlagsskyddade rättigheterna att framställa och sprida yttranden samt meddelar- och anskaffarfriheten undantas från tilllämpningsområdet.

I förarbetena gjordes den bedömningen att artikel 9 i direktivet tillåter ett hänsynstagande till bland annat konstitutionella traditioner och principer och att direktivet därför inte lägger hinder i vägen för ett generellt undantag från personuppgiftslagens bestämmelser. Regeringen uppmanade vidare till stor försiktighet vid alla ingripanden som riktar sig mot företeelser som typiskt sett åtnjuter skydd av grundlagarna. Det ansågs att även ingripanden som inte direkt strider mot någon bestämmelse, men som är oförenliga med grundlagarnas syfte, bör underlåtas.1

Lagrådet avstyrkte bestämmelsen i 7 § första stycket med motiveringen att det fick anses tveksamt om dåvarande EG-domstolen skulle acceptera att de bestämmelser i direktivet som införlivades genom personuppgiftslagen fick vika i vidare mån än vad som framgick av ordalydelsen i direktivets artikel 9.2

I 7 § andra stycket PUL görs undantag från flertalet av lagens bestämmelser vid personuppgiftsbehandling som inte omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen men som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Undantaget innebär i praktiken att bara de bestämmelser i lagen som rör tillsyn och säkerhet vid behandling ska tillämpas.

Frågan om tolkningen av begreppet journalistiska ändamål har prövats i praxis både nationellt och på EU-nivå. I den så kallade Ramsbro-domen (NJA 2001 s. 409) uttalade Högsta domstolen bland annat att undantaget för journalistiska ändamål utgör ett försök att i mer generella termer ge uttryck för en intresseavvägning mellan intresset av skydd för privatlivet och intresset av yttrandefrihet. Att

1Prop. 1997/98:44 s. 50 f. 2Prop. 1997/98:44 s. 236 f.

97

uttrycket journalistiska ändamål använts kan enligt domstolen under sådana förhållanden inte antas vara i avsikt att privilegiera etablerade massmedier eller personer som är yrkesverksamma inom sådana medier, utan får antas vara avsett att betona vikten av en fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och en fri debatt i samhällsfrågor. Ramsbro-domen har i doktrinen ansetts visa att en betydande del av det som sker på internet omfattas av undantaget i 7 § andra stycket PUL.3

I domen i det så kallade Satakunnan-måle t4 uttalade EU-domstolen att de begrepp som hör samman med yttrandefriheten, däribland journalistik, måste tolkas vitt. Domstolen fann därför att den verksamhet som företaget Satakunnan bedrev − dvs. att uppgifter om fysiska personers inkomster och förmögenheter samlades in från offentliga källor, sorterades, publicerades i tryck och distribuerades via en sms-tjänst − skulle anses ske uteslutande för journalistiska ändamål om verksamheten endast syftade till att sprida information, åsikter eller idéer till allmänheten. EU-domstolen uttalade vidare att sådan verksamhet inte bara skulle anses förbehållen medieföretag. EU-domstolen överlät dock till den nationella domstolen att avgöra om det i just Satakunnan-fallet var fråga om en verksamhet som endast syftade till att sprida information till allmänheten. Den finska Högsta förvaltningsdomstolen ansåg att så inte var fallet (23.9.2009/ 2303 HFD 2009:82).5

Undantaget för journalistiska ändamål är alltså inte begränsat till journalister eller traditionella massmedier. Även en privatperson kan anses behandla personuppgifter för sådana ändamål, t.ex. på en blogg, förutsatt att uppgifterna inte är av rent privat karaktär.

3 Öman och Lindblom, Personuppgiftslagen, (20 december 2016, Zeteo), kommentaren till 7 § PUL. Svahn Starrsjö, Personuppgiftslagen och yttrandefriheten, SvJT 100 år (jubileumsskrift) s. 447. 4 Dom Satakunnan Markkinapörssi Oy och Satamedia Oy, C-73/07, EU:C:2008:727. 5 Saken är dock fortfarande föremål för prövning, nu i Europadomstolen, Satakunnan Markinnapörsi OY och Satamedia OY v. Finland, nr 931/13, dom den 21 juli 2015, hänskjuten till Grand Chamber den 14 december 2015.

98

7.3. Dataskyddsförordningen

Enligt artikel 85.1 i dataskyddsförordningen ska medlemsstaternas nationella lagstiftning förena rätten till skydd av personuppgifter i enlighet med förordningen med rätten till yttrande- och informationsfrihet, inbegripet personuppgiftsbehandling för journalistiska ändamål samt för akademiskt, konstnärligt eller litterärt skapande. När det gäller behandling för sådana ändamål ska medlemsstaterna enligt artikel 85.2 föreskriva om undantag eller avvikelser från i artikeln angivna delar av förordningens bestämmelser om det behövs för att förena rätten till skydd för personuppgifter med yttrande- och informationsfriheten. Medlemsstaterna ska enligt artikel 85.3 underrätta kommissionen om de undantagsbestämmelser som de har antagit med stöd av artikel 85.2.

I skäl 153 anges att behandling av personuppgifter endast för journalistiska, akademiska, konstnärliga eller litterära ändamål bör undantas från viss tillämpning för att förena rätten till skydd för personuppgifter med rätten till yttrande- och informationsfrihet som följer av artikel 11 i EU:s stadga om de grundläggande rättigheterna. Av nämnda artikel i stadgan framgår att var och en har rätt till yttrandefrihet, att denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Artikeln slår också fast att mediernas frihet och mångfald ska respekteras.

I förordningens skäl 153 anges också att medlemsstaterna bör anta lagstiftningsåtgärder som fastställer de olika undantag som behövs för att balansera de två grundläggande rättigheterna, samt att det bör göras en bred tolkning av vad som innefattas i yttrandefriheten.

7.4. Våra överväganden och förslag

Utredningens förslag: En upplysningsbestämmelse som tydliggör

att bestämmelserna i dataskyddslagen och dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, ska tas in i dataskyddslagen.

99

Ett undantag för sådan behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska också införas. Dataskyddsförordningens bestämmelser om syfte, tillämpningsområde och definitioner samt bestämmelser om säkerhet för personuppgifter, tillsyn, rättsmedel, ansvar och sanktioner ska dock tillämpas även i dessa fall.

Något om vårt uppdrag

Våra detaljerade tryck- och yttrandefrihetsgrundlagar är unika i jämförelse med hur motsvarande reglering ser ut i övriga Europa. Relationen såväl mellan EU-rätten och de svenska tryck- och yttrandefrihetsgrundlagarna, som mellan tryck- och yttrandefrihetsgrundlagarna och den personliga integriteten, har varit föremål för debatt och en rad utredningar på senare år.6För en nyligen genomförd genomgång av EU-rättens förhållande till grundlagsregleringen om tryck- och yttrandefrihet hänvisas till Mediegrundlagskommitténs betänkande SOU 2016:58, avsnitt 5.4 och 14.1.

I vår utrednings uppdrag ingår inte att närmare analysera förhållandet mellan grundlagsskyddet för informations- och yttrandefriheten och rätten till skydd av personuppgifter enligt dataskyddsförordningen. Följaktligen är det inte heller vår uppgift att föreslå bestämmelser som påverkar balansen mellan dessa grundläggande fri- och rättigheter, exempelvis förändrade förutsättningar för journalister, bloggare och innehavare av utgivningsbevis att behandla personuppgifter.

Vårt uppdrag är i stället att analysera hur vi i svensk rätt ska genomföra skyldigheten i förordningens artikel 85 att förena rätten till integritet med yttrande- och informationsfriheten, utan att i sak förändra möjligheterna till behandling av personuppgifter. Uppdraget är begränsat till hur en reglering som balanserar personuppgiftsskyddet mot yttrande- och informationsfriheten utanförtryckfrihetsförordningens och yttrandefrihetsgrundlagens tillämpningsområde

6 Tryck- och yttrandefrihetsberedningen i SOU 2006:96, Yttrandefrihetskommittén i SOU 2012:55 och Mediegrundlagskommittén i SOU 2016:58. Se även Integritet och straffskydd, SOU 2016:7. Debatt har förts i SvJT på senare tid; se Olle Abrahamsson och Henrik Jermsten i SvJT 2014, s. 201 och 2015, s. 8, Göran Lambertz i SvJT 2014, s. 440 samt Magnus Schmauch i SvJT 2014, s. 520 och 2015, s. 199.

100

bör utformas, dvs. en reglering som motsvarar den i 7 § andra stycket PUL.

Utgångspunkter för utredningens överväganden

Som framgår ovan är en utgångspunkt att vi ska undvika att föreslå förändringar i sak när det gäller förutsättningar för personuppgiftsbehandling på det här aktuella området.

Regleringen i förordningen ligger i sak nära den som finns i dataskyddsdirektivet. Förordningens reglering av förhållandet till yttrande- och informationsfriheten innebär inte några inskränkningar utan ger till sin ordalydelse ett något större utrymme för undantag än direktivet, bland annat på det sättet att det inte längre föreskrivs att behandling ska ske ”uteslutande” för journalistiska ändamål för att undantag ska kunna göras. Undantaget i artikel 85.2 har också fått ett vidare tillämpningsområde genom att akademiskt skapande lagts till. Dessutom uttalas i skäl 153 att begreppet yttrandefrihet ska ges en bred tolkning. I doktrinen har artikel 85 ansetts ge ett relativt stort utrymme för medlemsstaterna att själva välja hur regleringen utformas.7

Mot denna bakgrund är vår bedömning att den reglering vi föreslår kan och bör utformas med den befintliga regleringen i 7 § PUL som förebild.

Behovet av en upplysningsbestämmelse

Som framgår av kommittédirektiven har vi inte i uppdrag att föreslå någon författningsreglering som rör förordningens förhållande till behandling som sker i verksamhet som omfattas av tillämpningsområdet för tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Vi anser dock att det är angeläget att dataskyddsförordningens och dataskyddslagens bestämmelser inte ger upphov till osäkerhet kring möjligheterna till personuppgiftsbehandling på det grundlagsreglerade området, eftersom det kan påverka vitala och mycket känsliga delar av opinionsskapande verksamhet, såsom meddelarfrihet och

7 Wagner och Benecke, National Legislation within the Framework of the GDPR, European Data Protection Law Review 3/2016, s. 356.

101

källskydd. Det faktum att vi nu har att göra med en direkt tillämplig förordning, där överträdelser kan leda till kännbara sanktionsavgifter, gör det än mer angeläget att regleringen av den grundlagsskyddade verksamheten är så tydlig som möjligt när det gäller förhållandet till tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Den befintliga upplysningsbestämmelsen i 7 § första stycket PUL bedömdes av riksdag och regering som förenlig med dataskyddsdirektivets likartade bestämmelser vid införandet av personuppgiftslagen.8 Den har inte varit föremål för domstolsprövning och heller inte ifrågasatts av kommissionen sedan införandet för snart tjugo år sedan. Eftersom förordningen, som nämnts ovan, tycks ge ett ökat utrymme för undantag med hänsyn till yttrande- och informationsfriheten bedömer vi att förordningen inte hindrar att en upplysningsbestämmelse motsvarande den i 7 § första stycket PUL införs i dataskyddslagen.

Undantag för journalistiska ändamål m.m.

Ordalydelsen i förordningens artikel 85.2 synes ålägga medlemsstaterna att göra vissa undantag från förordningen för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Undantag får dock bara göras om de är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. Samma krav på nödvändighet finns i direktivet, och den befintliga bestämmelsen i 7 § andra stycket PUL bedömdes vara nödvändig för att personuppgiftslagens bestämmelser skulle vara förenliga med yttrande- och informationsfriheten.

Begreppet akademiskt skapande är nytt och definieras inte närmare i skäl eller artikeltext. Vår bedömning är att det knappast torde vara att likställa med forskning, eftersom forskning är särreglerad på annat sätt i förordningen, exempelvis i artikel 9.2 j och artikel 89. Möjligen skulle behandling i samband med själva färdigställandet och spridningen av texter med vetenskapligt innehåll kunna avses. Innebörden av begreppet är dock oklar och dess närmare betydelse får utvecklas i praxis.

8 Prop. 1997/98 44 s. 48 f., bet. 1997/98:KU18, rskr.1997/98:180.

102

Undantagsbestämmelsen i 7 § andra stycket PUL har bland annat ansetts tillämplig på journalistisk verksamhet på internet som resulterar i yttranden som bara sprids där och för kommunikation som inte bedrivs av yrkesverksamma journalister.9 Betydelsen av opinionsbildande genom alternativa kanaler såsom sociala medier, bloggar och liknande har ökat dramatiskt under senare år, vilket innebär att skälen för ett sådant undantag i vart fall inte har minskat. Det ska noteras att viss användning av sociala medier omfattas av det så kallade privatundantaget, dvs. artikel 2.1 c i dataskyddsförordningen.10

Förordningens artikel 85.2 möjliggör undantag från förordningen i stort sett i samma utsträckning som dataskyddsdirektivet gör. De delar av förordningen som inte räknas upp i artikel 85.2, från vilka undantag alltså inte får göras, är kapitel I om tillämpningsområde och definitioner, kapitel VIII om rättsmedel, ansvar och sanktioner samt kapitel X och XI som innehåller genomförande- och slutbestämmelser. I linje med de utgångspunkter vi redogjort för ovan menar vi att det är lämpligt att utnyttja möjligheterna till undantag från förordningen i väsentligen samma utsträckning som personuppgiftslagen har undantagits i dag. Vi anser därför att undantag från bestämmelserna i dataskyddslagen och dataskyddsförordningen bör göras så långt förordningen medger, med undantag för de bestämmelser som rör säkerhet för personuppgifter och tillsyn.

Detta innebär enligt vår bedömning att bestämmelserna i förordningens kapitel II och III, artiklarna 24–30 och 35–43 och kapitel V i dataskyddsförordningen bör undantas från tillämpning, liksom de delar av dataskyddslagen som har stöd i de bestämmelserna. Kapitel IX (bestämmelser om särskilda behandlingssituationer) bedömer vi knappast blir tillämpligt för den behandling som avses här, varför det inte uttryckligen behöver undantas. Detsamma gäller kapitel X (delegerade akter och genomförandeakter) och kapitel XI (slutbestämmelser).

9Prop. 1997/98:44 s. 52 f. och NJA 2001 s. 409. 10 I skäl 18 i dataskyddsförordningen görs vissa uttalanden om privat verksamhet och sociala medier.

103

8. Rättslig grund för behandling av personuppgifter

8.1. Vårt uppdrag

Enligt artikel 6.3 första stycket i dataskyddsförordningen ska den grund för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den nationella rätten. Enligt kommittédirektiven innebär detta att det inte kommer att vara möjligt att endast stödja sig på den generella regleringen i förordningen vid sådan behandling. Vi har därför fått i uppdrag att analysera vad dataskyddsförordningens krav i denna del innebär i fråga om nationell författningsreglering och om det bör införas generella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personuppgifter. Informationshanteringsutredningens förslag till 8 § myndighetsdatal ag1, med beaktande av de synpunkter som framförts vid remissbehandlingen, är enligt kommittédirektiven en lämplig utgångspunkt.

8.2. Dataskyddsförordningen

8.2.1. Laglig behandling

Den europeiska dataskyddsregleringen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. Behandling av personuppgifter får därför bara ske under de omständigheter som särskilt anges i lagstiftningen. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

1SOU 2015:39.

104

a) Den registrerade har lämnat sitt samtycke till att dennes person-

uppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den

registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förplik-

telse som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av

grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt

intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den person-

uppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Artikel 6.1 i dataskyddsförordningen motsvarar i stora drag artikel 7 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 10 § PUL. Den största skillnaden är att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (jfr 10 § f PUL). Den möjligheten kvarstår däremot för privata aktörer som behandlar personuppgifter. I andra stycket av artikel 6.1 anges nämligen att led f i första stycket inte ska gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. De olika villkoren är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, dvs. att den är rättsligt grundad, innebär

105

inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de allmänna principerna i artikel 5. I artiklarna 7 och 8 anges närmare villkor för tillämpningen av artikel 6.1 a, dvs. den rättsliga grund som utgörs av den registrerades samtycke, se avsnitt 9 avseende barns samtycke. När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) eller personuppgifter som rör lagöverträdelser anges ytterligare villkor i artiklarna 9 och 10, utöver dem som anges i artikel 6.1, se närmare avsnitt 10 och 11.

Enligt artikel 6.2 i förordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling av personuppgifter för att efterleva artiklarna 6.1 c och 6.1 e. Denna typ av mer specifika nationella bestämmelser förekommer ofta i svenska registerförfattningar och kommer framför allt att utgöra en precisering av de allmänna principer för behandlingen som anges i artikel 5 i dataskyddsförordningen.

8.2.2. Begreppet nödvändig

För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den vara nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden. Enligt Svenska Akademiens Ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte riktigt denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas.2 Den slutsatsen får stöd av EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet.3EUdomstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmel-

2SOU 1997:39 s. 361 f. 3 Dom Huber mot Tyskland, C-524/06, EU:C:2008:724.

106

ser. Domen bör kunna utgöra stöd även vid tolkningen av den nya förordningen. Även om exempelvis en uppgift av allmänt intresse skulle kunna utföras utan att personuppgifter behandlas på visst sätt, kan behandlingen anses vara nödvändig och därmed tillåten enligt artikel 6, om behandlingen leder till effektivitetsvinster. Det bör noteras att rekvisitet nödvändig inte ska förväxlas med rekvisitet absolut nödvändig, som används i andra sammanhang än rörande rättslig grund, se avsnitt 10.6.2.

8.2.3. Förhållandet mellan artiklarna 5 och 6 i dataskyddsförordningen

Utöver det grundläggande kravet på att all behandling måste vara laglig, i betydelsen att någon av de rättsliga grunder som anges i artikel 6.1 i dataskyddsförordningen är uppfylld, omgärdas varje behandling av personuppgifter av mer specifika krav. Principerna för behandling av personuppgifter, dvs. vilka allmänna krav som gäller för all personuppgiftsbehandling, anges i artikel 5.1 i dataskyddsförordningen. Artikel 5.1 i dataskyddsförordningen motsvarar i stora drag artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL.

Den första principen som läggs fast i artikel 5.1 (led a) är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Principen om laglighet utgör en hänvisning till de rättsliga grunderna i artikel 6.1. Såvitt avser principen om korrekthet kan det vid en jämförelse med andra språkversioner ifrågasättas om den svenska termen korrekt motsvarar avsikten med bestämmelsen. I den danska språkversionen anges i stället att uppgifterna ska behandlas rimeligt. På motsvarande sätt används i den engelska språkversionen termen fairly, vilket betyder rättvist, skäligt eller rimligt. I den franska språkversionen används termen loyale, vilken har motsvarande betydelse som engelskans

fairly. I den tyska språkversionen används uttrycket Treu und Glauben, vilket brukar översättas med god tro eller tro och heder.

Alla dessa termer indikerar enligt vår mening, tydligare än den svenska termen korrekt, att en intresseavvägning ska göras. I det enskilda fallet kan det således till exempel vara oförenligt med principen om ”korrekthet” att vidta en viss behandlingsåtgärd, även om denna i och

107

för sig skulle kunna anses vara rättsligt grundad enligt artikel 6, nämligen om behandlingen är oskälig i förhållande till den registrerade.

I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Principen om att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Kravet på att ändamålen ska vara berättigade går dock längre än så och omfattar även ett krav på förenlighet med till exempel konstitutionella och andra rättsliga principer. Vidare kan även det allmänna sammanhanget och omständigheterna i det aktuella ärendet vara av betydelse för bedömningen av om ändamålen är berättigade.4Ett tydligt angivet ändamål är för övrigt som regel en förutsättning för att man ska kunna bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f.

Kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål förstärks genom dataskyddsförordningen, där det i artikel 6.3 andra stycket anges att syftet med behandlingen (the purpose of the processing) i fråga om behandling som grundar sig på en rättslig förpliktelse ska framgå av förpliktelsen. Vad gäller myndighetsutövning och uppgifter av allmänt intresse anges i stället att ändamålet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen.

Vidare ska uppgifterna enligt artikel 5.1 bland annat vara adekvata och korrekta (accurate

)

och får inte förvaras under en längre tid än

vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).

Förordningen ställer inte något krav på att de särskilda ändamålen ska vara fastställda i författning, men det finns heller ingenting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgifts-

4 Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 11–12 och 19–20.

108

ansvarige som ansvarar för, och ska kunna visa att, principerna i artikel 5 efterlevs (artikel 5.2).

Artiklarna 5 och 6 i dataskyddsförordningen är grundläggande och kumulativa. Dels måste någon av de rättsliga grunder som anges i artikel 6.1 vara tillämplig, dels måste samtliga principer i artikel 5.1 följas. Det är endast om någon av de rättsliga grunder som anges i artikel 6.1 är tillämplig som behandling av personuppgifter över huvud taget får ske. Om behandlingen är laglig enligt artikel 6 ska kraven i artikel 5 uppfyllas. I det följande behandlas enbart artikel 6.

8.3. Överväganden och förslag

8.3.1. Grunden för behandlingen ska i vissa fall vara fastställd

Utredningens bedömning: Artikel 6.1 c och e i dataskyddsför-

ordningen är direkt tillämpliga. Kravet i artikel 6.3 första stycket på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör ett ytterligare villkor för tillämpning som ska vara uppfyllt. Med grunden för behandlingen avses den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser och uppgifter av allmänt intresse vara fastställda genom kollektivavtal.

109

Vad är grunden för behandlingen?

I artikel 6.3 i dataskyddsförordningen första stycket anges att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med a) unionsrätten, eller b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.5

Det står klart att den grund för behandlingen som avses i artikel 6.1 a är samtycket och att avtalet är den grund för behandlingen som avses i led b. På motsvarande sätt måste uttrycket ”den grund för behandlingen som avses i punkt 1 c och e” avse den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet. Denna tolkning överensstämmer med Europeiska datatillsynsmannens förslag till förtydligande av bestämmelsen. Han har, bland annat i ett yttrande den 28 juli 2015, rekommenderat att uttrycket The basis for the processing referred to in point (c) and (e) of

paragraph 1 skulle ersättas med The legal obligation, task, or official authority referred to in points (c) and (e) of paragraph 1.6

Med grunden för behandlingen kan enligt vår mening inte avses behandlingen i sig. Om själva behandlingen ska fastställas skulle nämligen t.ex. myndighetsutövning inte kunna ske och uppgifter av allmänt intresse inte kunna utföras, om det inte utöver den lag som fastställer befogenheten också uttryckligen reglerades att behandling av personuppgifter får ske. En sådan tolkning av begreppet grunden för behandlingen skulle leda till ett närmast oöverskådligt regleringsbehov, inte minst i de många medlemsstater som inte har den tradition av sektorspecifika registerförfattningar som Sverige har. Detta kan rimligen inte ha varit avsikten, i synnerhet med tanke på dataskyddsreformens harmoniseringssyfte. Det bör också noteras att det i artikel 6.3 inte anges att ”behandlingen” ska fastställas, utan att grunden för behandlingen ska fastställas.

5 I den engelska versionen av artikel 6.3 första stycket i dataskyddsförordningen anges följande. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid

down by: (a) Union law; or (b) Member State law to which the controller is subject. I den

franska versionen anges följande. Le fondement du traitement visé au paragraphe 1, point c) et

e), est défini par: a) le droit de l'Union; ou b) le droit de l'État membre auquel le responsable du traitement est soumis. I kommissionens ursprungliga förslag angavs att grunden för behand-

lingen must be provided for, i stället för shall be laid down by. Europaparlamentet drev länge ståndpunkten att detta borde bytas ut mot must be established in accordance with. Under trepartsdialogen enades parterna om att använda uttrycket shall be laid down by (rådets dokument nr 13884/15, s. 2). Det anslutande skäl 45 kompletterades därefter på ordförandeskapets initiativ (rådets dokument 14318/15 s. 5). 6 Bilaga till Europeiska datatillsynsmannens yttrande 3/2015 s. 31.

110

EU-förordningar är direkt tillämpliga i medlemsstaterna och ska till skillnad från direktiv inte genomföras genom nationella författningsåtgärder. Att grunden för behandlingen ska fastställas kan därför inte heller innebära att de villkor som anges i artikel 6.1 c och e ska upprepas i nationell rätt.

Ett av syftena bakom kravet på fastställande i artikel 6.3 första stycket i dataskyddsförordningen har antagits vara att tydliggöra att den personuppgiftsansvarige inte får finna en rättslig grund för behandling av personuppgifter i tredje lands lagstiftnin g.7 Bestämmelsen innebär nämligen att en rättslig förpliktelse som följer av tredje lands lagstiftning inte utgör en rättslig grund för behandling av personuppgifter, även om behandlingen är nödvändig för att uppfylla förpliktelsen. På motsvarande sätt utgör det ingen rättslig grund för behandling av personuppgifter att en uppgift av allmänt intresse är fastställd i tredje lands lagstiftning.

Begränsningen till unionsrätten och medlemsstaternas nationella rätt torde främst vara av relevans för dels de personuppgiftsansvariga som har verksamhetsställen både inom och utom unionen, dels de som inte är etablerade i unionen men som har anledning att behandla personuppgifter avseende registrerade som befinner sig i unionen (artikel 3). Skälet till att det uttryckligen hänvisas till unionsrätten och medlemsstaternas nationella rätt kan förmodas vara att förordningens territoriella tillämpningsområde är vidare än det som gäller enligt dataskyddsdirektivets ordalydelse. Direktivet gäller nämligen inte för behandling av personuppgifter när den personuppgiftsansvarige inte är etablerad inom unionen, annat än om denne använder utrustning som befinner sig inom unionens territorium. Direktivet gäller inte heller om sådan utrustning används endast för att låta uppgifter passera genom gemenskapen (artikel 4.1 c). Några sådana begränsningar avseende tillämpningsområdet finns inte i dataskyddsförordningen, som i stället gäller all behandling som avser registrerade som befinner sig i unionen, om behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen eller övervakning av deras beteende så länge beteendet sker inom unionen (artikel 3.2).

7 D-post: BRYR/2016-05-01/1503.

111

Vad menas med att grunden ska vara fastställd?

Artikel 6.3 första stycket i dataskyddsförordningen innehåller ett uttryckligt krav på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten. Något motsvarande krav finns inte i dataskyddsdirektivet. Det är därför möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om uppgiften inte är fastställd i författning eller liknande. Viss ledning för förståelsen av artikel 6.3 kan möjligen hämtas från förordningens ingress. I skäl 45 anges bland annat att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

I skäl 47 anges bland annat följande, apropå att den rättsliga grund som bygger på en intresseavvägning (artikel 6.1 f) inte är tillämplig för myndigheter när de fullgör sina uppgifter.

Med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter, bör den rättsliga grunden inte gälla den behandling de utför som ett led i fullgörandet av sina uppgifter.

Enligt vår bedömning innebär kravet på att grunden för behandlingen ska fastställas inte att det krävs en särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Förekomsten av reglering avgör dock i vilken utsträckning personuppgiftsansvariga kan åberopa de rättsliga grunder som avses i leden c och e. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att bestämmelserna i artikel 6.1 c och e ska vara tillämpliga. Förpliktelser, uppgifter av allmänt intresse och myndighetsutövning som inte är rättsligt förankrade i enlighet med unionsrätten eller medlemsstatens nationella rätt kan därmed inte åberopas som rättsliga grunder för behandling av personuppgifter.

Innebörden av artikel 6.1 c är därmed att behandling av personuppgifter är laglig om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som är fastställd i enlighet med unionsrätten eller den nationella rätten och som åvilar den personuppgiftsansvarige. På

112

motsvarande sätt är innebörden av artikel 6.1 e att behandling av personuppgifter är laglig om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som är fastställd i enlighet med unionsrätten eller den nationella rätten eller om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning som är fastställd i enlighet med unionsrätten eller den nationella rätten.

Vilket slags reglering avses?

Grunden för behandlingen ska enligt artikel 6.3 första stycket i dataskyddsförordningen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses inte att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Av skäl 41 till förordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Huruvida de rättsliga förpliktelser, de uppgifter av allmänt intresse och den myndighetsutövning som har fastställts i enlighet med svensk rätt är tillräckligt precisa måste bedömas från fall till fall i rättstillämpningen.

Kollektivavtal

Den svenska arbetsmarknadsmodellen innebär att arbetsmarknadens parter i stor utsträckning reglerar arbets- och anställningsvillkor genom kollektivavtal. Kollektivavtalen innehåller en rad bestämmelser som arbetsmarknadens parter och medlemmarna i de avtalsslutande organisationerna är skyldiga att följa, t.ex. om föräldratillägg, semesterlön, övertidsersättning och ersättning för läkarbesök och läkemedel. Överträdelser av bestämmelserna kan föranleda skadeståndsansvar. Avtalen har även betydelse för tredje man eftersom de ska tillämpas på samma sätt i förhållande till alla arbetstagare och således även i förhållande till oorganiserade arbetstagare och arbets-

113

tagare som är medlemmar i en annan arbetstagarorganisation än den som avtalet slutits med.

Reglering i kollektivavtal har i Europadomstolens praxis ansetts i sig förenlig med kravet enligt Europakonventionen att åtgärder med rättighetsbegränsande effekter ska ha stöd i lag. En bedömning får ske i det enskilda fallet med beaktande av de krav på bland annat proportionalitet som gäller vid lagstiftning eller andra åtgärder som inskränker enskildas rättigheter enligt Europakonventionen.8Denna praxis talar för att samma princip bör gälla vid tillämpningen av EUlagstiftning som rör fri- och rättigheter, såsom dataskyddsförordningen. Grunden för behandlingen av personuppgifter, även avseende oorganiserade arbetstagare, bör därför i princip kunna anses vara fastställd i enlighet med svensk rätt om den fastställts genom kollektivavtal.

8.3.2. Behandling för att uppfylla en rättslig förpliktelse

Utredningens förslag: Det ska tydliggöras att personuppgifter

får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som gäller enligt lag eller annan författning eller som följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Begreppet rättslig förpliktelse

Bestämmelsen i artikel 6.1 c i dataskyddsförordningen är i sak likalydande med artikel 7 c i dataskyddsdirektivet – personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Begreppet rättslig förpliktelse i de båda rättsakterna bör tolkas och tillämpas på samma sätt.

För att en skyldighet ska utgöra en ”rättslig” förpliktelse måste den ha en legal grund. Detta följer både av begreppet i sig och av kra-

8 Jfr Europadomstolens dom i målet Evaldsson mot Sverige, nr 75252/01, dom den 13 februari 2007.

114

vet i artikel 6.3 första stycket i dataskyddsförordningen om att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten. Detta innebär inte att förpliktelsen nödvändigtvis måste framgå av en författning eller liknande. Rättsliga förpliktelser kan också framgå av exempelvis förelägganden, myndighetsbeslut och domar som har meddelats med stöd av gällande rätt.

Rent språkligt omfattar begreppet rättslig förpliktelse även sådana skyldigheter som har lagts fast i någon annan av rättsordningen erkänd ordning, t.ex. i ett avtal. Som en följd av den svenska arbetsmarknadsmodellen kan således rättsliga förpliktelser följa av kollektivavtal, se avsnitt 8.3.1. Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund för personuppgiftsbehandling enligt både dataskyddsdirektivet och dataskyddsförordningen, nämligen led b i respektive artikel. De rättsliga förpliktelser som avses i led c bör därmed vara av ett annat slag. I första hand leds tanken till offentligrättsliga förpliktelser. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, t.ex. inom arbetsrätten.9

Syftet med behandlingen ska framgå av förpliktelsen

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen (the purpose of the processing) fastställas i (be determined in) den rättsliga grunden. Den rättsliga grunden i fråga om behandling enligt punkt 1 c är, som framgår ovan, en rättslig förpliktelse som är fastställd i enlighet med unionsrätten eller den nationella rätten. Vad gäller behandling som är nödvändig för att uppfylla en sådan rättslig förpliktelse ska alltså syftet med behandlingen vara bestämd av den författning som anger eller ger stöd för förpliktelsen. En rättslig förpliktelse utgör därmed inte en rättslig grund för behandling av personuppgifter om förpliktelsen är alltför svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas. Som exempel kan nämnas att ett företags skyldighet att lämna uppgift om företagets lönekostnader inte innehåller något angivet syfte för behandling av personuppgifter i form av utlämnande, medan en skyldighet att lämna

9SOU 1997:39 s. 363.

115

uppgifter om företagets löneutbetalning till en angiven arbetstagare innehåller ett sådant syfte. Den senare förpliktelsen kan i praktiken inte uppfyllas utan att personuppgifter rörande den angivna arbetstagaren behandlas.

Detta krav är i sig ingen nyhet, men framgår inte uttryckligen av dataskyddsdirektivet. Artikel 29-gruppen har i ett yttrande avseende begreppet rättslig förpliktelse i artikel 7 c i dataskyddsdirektivet anfört att den bestämmelse som förpliktelsen grundas på ska innehålla en uttrycklig hänvisning till arten av och syftet med behandlingen. Artikel 29-gruppen anför följande.10

Dessutom måste den rättsliga förpliktelsen i sig vara tillräckligt tydlig när det gäller den behandling av personuppgifter som krävs. Artikel 7 c kan således tillämpas på grundval av rättsliga bestämmelser som innehåller en uttrycklig hänvisning till arten av och syftet med behandlingen. De registeransvariga bör inte ges en alltför stor handlingsfrihet i fråga om hur de ska uppfylla den rättsliga förpliktelsen. I vissa fall anger lagstiftningen kanske bara ett allmänt mål, medan mer specifika förpliktelser införs på en annan nivå, till exempel antingen genom sekundärlagstiftning eller genom ett bindande beslut av en offentlig myndighet i ett konkret fall. Detta kan också leda till rättsliga förpliktelser enligt artikel 7 c, förutsatt att arten och syftet med behandlingen är väl definierade och omfattas av en lämplig rättslig grund.

Hur fastställs rättsliga förpliktelser i enlighet med gällande rätt?

I Sverige följer det av grundlag att den offentliga makten utövas under lagarna (1 kap. 1 § tredje stycket regeringsformen). Offentligrättsliga förelägganden och beslut som medför förpliktelser för mottagaren ska därför ha sin grund i en författning. Förpliktelser som har en generell räckvidd, och alltså inte riktas mot en specifik mottagare, ska också regleras i författning. Detta gäller både offentligrättsliga och civilrättsliga åligganden. Som tidigare har nämnts bör däremot civilrättsliga förpliktelser som följer av avtal där den registrerade själv är part i stället bedömas i enlighet med den särskilda rättsliga grunden i artikel 6.1 b i dataskyddsförordningen.

Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas

10 Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen enligt artikel 7 i direktiv 95/46/EG, s. 21.

116

inte av artikel 6.1 b, eftersom den registrerade inte själv är part. Förpliktelser som följer av kollektivavtal måste däremot enligt vår bedömning anses vara fastställda i enlighet med svensk rätt.

Enligt 8 kap. 2 § regeringsformen ska föreskrifter meddelas genom lag bland annat om de avser

1. enskildas personliga ställning och deras personliga och ekono-

miska förhållanden inbördes,

2. förhållandet mellan enskilda och det allmänna under förutsätt-

ning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden, eller

3. grunderna för kommunernas organisation och verksamhetsfor-

mer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden.

Enligt 8 kap. 3 § regeringsformen kan riksdagen, med vissa undantag, bemyndiga regeringen att meddela föreskrifter enligt 2 § första stycket 2 och 3. Om riksdagen bemyndigar regeringen att meddela föreskrifter i ett visst ämne, kan riksdagen också medge att regeringen bemyndigar en förvaltningsmyndighet eller en kommun att meddela föreskrifter i ämnet. Detta framgår av 8 kap. 10 § regeringsformen. Enligt 8 kap. 9 § regeringsformen kan riksdagen även bemyndiga en kommun att meddela föreskrifter enligt 2 § första stycket 2, om föreskrifterna avser t.ex. avgifter.

Det står således klart att rättsliga förpliktelser som åligger enskilda eller kommuner alltid ska ha sin grund i lag eller i kollektivavtal. Förpliktelser kan regleras direkt i lag eller i föreskrifter som meddelats med stöd av lag. Förpliktelser kan också anges i domar eller myndighetsbeslut som meddelats med stöd av lag eller med stöd av föreskrifter som i sin tur meddelats med stöd av lag.

På samma sätt har unionsrättsliga förpliktelser stöd i svensk lag, t.ex. förpliktelser som följer av direkt tillämpliga EU-förordningar eller som meddelas med stöd av sådana förordningar. Enligt lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen gäller nämligen EU-rättsakter här i landet med den verkan som följer av EU-fördragen.

Även domstolar och statliga myndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Det finns

117

ingenting i artikel 6.1 c i dataskyddsförordningen som begränsar tillämpningen till den privata sektorn. Datainspektionen har t.ex. ansett att den skyldighet för myndigheter som följer av offentlighetsprincipen är en sådan rättslig skyldighet som avses i motsvarande bestämmelse i personuppgiftslagen.11Domstolar och myndigheter har också andra författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling, exempelvis när det gäller personaladministration. Däremot har Datainspektionen ansett att innehållet i en myndighets arbetsordning normalt inte kan grunda en rättslig skyldighet att behandla personuppgifter.12

Enligt 1 kap. 6 § regeringsformen är det regeringen som styr riket. Under regeringen lyder Justitiekanslern och andra statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen (12 kap. 1 § regeringsformen). Regeringen styr dessa myndigheter genom regeringsbeslut och genom att med stöd av restkompetensen (8 kap. 7 § första stycket 2 regeringsformen) meddela föreskrifter. En myndighets uppdrag enligt myndighetsinstruktionen eller regleringsbrevet kan i vissa fall utgöra en i enlighet med nationell rätt (regeringsformen) fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst personuppgiftsregister. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse, se avsnitt 8.3.4.

Vår bedömning

Sammanfattningsvis bedömer vi att de rättsliga förpliktelser som kräver personuppgiftsbehandling, utan att någon annan rättslig grund är tillämplig, redan framgår av eller meddelas med stöd av gällande rätt. Det behövs därmed inte någon ytterligare nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig för att uppfylla en rättslig förpliktelse ska kunna ske med stöd

11 Datainspektionens rapport 2005:3, Övervakning i arbetslivet – Kontroll av de anställdas Internet- och e-postanvändning m.m., s. 15. 12 Öman och Lindblom, Personuppgiftslagen, (20 december 2016, Zeteo), kommentaren till 10 § b PUL.

118

av den rättsliga grunden i artikel 6.1 c i dataskyddsförordningen. Detta gäller oavsett om den personuppgiftsansvarige är en myndighet eller ett privaträttsligt organ.

Det kan dock finnas anledning att ta in en bestämmelse i dataskyddslagen som tydliggör att en förpliktelse utgör en rättslig grund för behandling av personuppgifter endast om förpliktelsen gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse.

För att en förpliktelse ska kunna läggas till grund för behandling av personuppgifter måste den givetvis vara rättsligt förankrad och giltig. Den måste alltså ha meddelats i laga ordning. Den föreslagna formuleringen ”gäller enligt lag” omfattar även förpliktelser som följer av direkt tillämpliga unionsrättsakter, eftersom lagen med anledning av Sveriges anslutning till Europeiska unionen anger att unionsrättsakter gäller här i landet med den verkan som följer av fördragen.

Det bör noteras att bestämmelsen i artikel 6.3 andra stycket första meningen i dataskyddsförordningen anger att syftet med behandlingen ska fastställas i den rättsliga grunden. Även denna bestämmelse är direkt tillämplig och kan möjligen begränsa tillämpningsområdet för artikel 6.1 c, jämfört med hur 10 § b PUL har tillämpats. Kravet torde enligt vår bedömning innebära att en förpliktelse inte kan läggas till grund för behandling av personuppgifter om syftet med behandlingen inte framgår av den författning som förpliktelsen grundas på och inte heller, i förekommande fall, kan utläsas av det beslut som anger förpliktelsen. Hur bestämmelsen ska tolkas och tillämpas i praktiken är dock i dagsläget oklart. Den närmare innebörden bör enligt vår uppfattning klargöras i rättspraxis.

119

8.3.3. Behandling som ett led i myndighetsutövning

Utredningens förslag: Det ska tydliggöras att personuppgifter

får behandlas om behandlingen är nödvändig som ett led i myndighetsutövning som den personuppgiftsansvarige utövar enligt lag eller annan författning.

Begreppet myndighetsutövning

Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas bland annat om behandlingen är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Enligt dataskyddsdirektivet ska även behandling som är nödvändig som ett led i myndighetsutövning som utförs av en tredje man till vilken uppgifterna har lämnats ut tillåtas, men denna rättsliga grund nämns inte i dataskyddsförordningen. Av skäl 45 till dataskyddsförordningen framgår att det på unionsnivå eller nationellt bör regleras om en personuppgiftsansvarig som utför myndighetsutövning ska vara en myndighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, t.ex. en yrkesorganisation.

Datalagskommittén bedömde att begreppet myndighetsutövning har en EG-gemensam innebörd, men att man till dess annat framkommer bör kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller under begreppet.13Vi instämmer i denna bedömning. Termen används flitigt i svenska författningar, även i grundlag, men saknar legaldefinition. Begreppet som sådant har kritiserats, bland annat av Förvaltningslagsutredningen.14I förarbetena till den äldre förvaltningslagen (1971:290) finns dock en beskrivning av begreppets innebörd som fortfarande ofta citeras.15

Myndighetsutövning mot enskilda karaktäriseras av beslut eller andra ensidiga åtgärder som ytterst är uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Befogenheten till myndighetsutövning måste alltså vara grundad på lag eller annan författning eller på annat sätt kunna härledas ur bemyndiganden från de

13SOU 1997:39 s. 365. 14SOU 2010:29 s. 99 f. 15Prop. 1971:30 s. 331 f.

120

högsta statsorganen. Myndighetsutövning kan både medföra förpliktelser för enskilda och mynna ut i gynnande beslut. Myndighetsutövning kan också ske i förhållandet mellan myndigheter, t.ex. när en myndighet har tillsyn över en annan myndighets verksamhet. Utanför begreppet myndighetsutövning faller däremot råd, upplysningar och andra inte bindande uttalanden samt sådan faktisk verksamhet som inte innebär tvång mot den enskilde (t.ex. undervisning). Gränsdragningen mellan offentligrättsliga och privaträttsliga regler är också av stor vikt när det gäller att bestämma begreppet myndighetsutövning .16

Av naturliga skäl är det i första hand statliga och kommunala myndigheter som ägnar sig åt myndighetsutövning. Även juridiska och fysiska personer kan dock med stöd av lag anförtros förvaltningsuppgifter som innefattar myndighetsutövning (12 kap. 4 § regeringsformen). Denna möjlighet har bland annat utnyttjats vad gäller betygssättning m.m. i fristående skolverksamhet och fordonsbesiktning som utförs av privaträttsliga besiktningsorgan.

Ändamålet med behandlingen måste vara nödvändigt

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen (the purpose of the processing), i fråga om behandling enligt punkt 1 e, vara nödvändigt som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet behöver således inte framgå av det sammanhang där den myndighetsutövande befogenheten fastställs. Ändamålet med behandlingen av personuppgifter måste dock vara nödvändigt för att utföra myndighetsutövningen. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och myndighetsutövningen. Detta samband framgår även av kravet i artikel 5.1 b på att de särskilda ändamålen ska vara berättigade.

16 Lundell/Strömberg, Allmän förvaltningsrätt, 26 uppl., s. 19 f.

121

Är all myndighetsutövning fastställd i enlighet med gällande rätt?

I svensk rätt har myndigheter inte någon generell befogenhet att utöva myndighet. Myndighetsutövning som medför skyldigheter för den enskilde eller i övrigt avser ingrepp i den enskildes personliga eller ekonomiska förhållanden måste härröra från lag (8 kap. 2 § 2 och 3 § regeringsformen). Att meddela föreskrifter om åtgärder som är gynnande för den enskilde ryms däremot inom regeringens restkompetens (8 kap. 7 § första stycket 2 regeringsformen). Regeringen kan därmed i förordning, utan bemyndigande av riksdagen, ge en myndighet befogenheter avseende gynnande myndighetsutövning. Myndighetsutövning kan däremot inte ske helt utan stöd av författning. Det bör vidare noteras att myndighetsutövning även kan utövas med stöd av direkt tillämpliga EU-förordningar. Myndighetsutövning kan således även vara fastställd i enlighet med unionsrätten.

Befogenhet att utföra myndighetsutövande förvaltningsuppgifter fastställs i svensk rätt ofta direkt i den författning som reglerar en viss rättighet, skyldighet, åtgärd eller verksamhet.17Befogenheten kan även framgå genom att en myndighet i lag eller förordning har pekats ut att fullgöra de uppgifter som ankommer på behörig myndighet enligt en viss unionsrättsakt.18I det sistnämnda fallet kan de myndighetsutövande uppgifterna vara uttryckta enbart i unionsrätten. Myndighetsutövning kan dock aldrig utövas utan stöd i gällande rätt.

Enligt skäl 45 till dataskyddsförordningen bör unionsrätten eller den nationella rätten också reglera frågan om en personuppgiftsansvarig som utför myndighetsutövning ska vara ett organ som omfattas av offentligrättslig eller av civilrättslig lagstiftning. I Sverige regleras myndighetsutövande uppgifter i offentligrättslig lagstiftning. Det innebär inte att det bara är myndigheter som har anförtrotts sådana uppgifter. Däremot krävs lagstöd för att förvaltningsuppgifter som innefattar myndighetsutövning ska kunna överlämnas åt andra juridiska personer och enskilda individer (12 kap. 4 § regeringsformen). Frågan om vilka organ som har myndighetsutövande uppgifter regleras således redan i svensk rätt.

17 Se t.ex. studiestödslagen (1999:1395), skatteförfarandelagen (2011:1244), plan- och bygglagen (2010:900) eller lagen (2009:366) om handel med läkemedel. 18 Se t.ex. förordningen (2009:93) med instruktion för Finansinspektionen eller förordningen (2007:860) med instruktion för Statens haverikommission.

122

Vår bedömning

I Sverige kan myndighetsutövning inte ske utan stöd i gällande rätt. Det krävs därför inte någon ny nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i förordningen. Det bör noteras att denna rättsliga grund för behandling av personuppgifter kan tillämpas av alla personuppgiftsansvariga som tilldelats myndighetsutövande befogenheter.

Det kan dock finnas anledning att ta in en bestämmelse i dataskyddslagen som tydliggör att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter endast om myndighetsutövningen sker enligt lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förordningsbestämmelse.

8.3.4. Behandling för att utföra uppgifter av allmänt intresse

Utredningens förslag: Det ska tydliggöras att personuppgifter får

behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Begreppet uppgift av allmänt intresse

Enligt artikel 6.1 e i dataskyddsförordningen får personuppgifter behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Av skäl 45 till dataskyddsförordningen framgår att det på unionsnivå eller nationellt bör regleras om en personuppgiftsansvarig som utför en uppgift av allmänt intresse ska vara en myndighet eller någon annan som omfattas av offentligrättslig lagstiftning eller om denne kan vara en fysisk eller juridisk person som lyder under civilrättslig lagstiftning, t.ex. en yrkesorganisation.

Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte med enkelhet låter sig avgränsas. Begreppet definieras varken i data-

123

skyddsdirektivet eller i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domstolen. Artikel 29-gruppen har dock inrättat en arbetsgrupp som har fått i uppgift att utarbeta och revidera vägledande yttranden rörande vissa nyckelbestämmelser och begrepp i förordningen.19 Förhoppningsvis kommer begreppet uppgift av allmänt intresse att belysas i detta arbete.

Som exempel på uppgifter som kan vara av allmänt intresse nämns i Datalagskommitténs betänkande arkivering, forskning och framställning av statistik, etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar, samt registrering av personer som har fått allmänt erkända utmärkelser såsom Nobelpris. Att någon själv kan tjäna pengar på att utföra uppgiften utesluter enligt Datalagskommittén inte att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte.20

Möjligen har den behandling av personuppgifter som är nödvändig i t.ex. myndigheternas verksamhet i vissa fall ansetts vara tillåten endast efter en intresseavvägning enligt 10 § f PUL. Den motsvarande bestämmelsen i dataskyddsförordningen, artikel 6.1 f, ska dock inte gälla för behandling som utförs av offentliga myndigheter när de utför sina uppgifter. Myndigheternas utrymme för att grunda behandling på samtycke från den registrerade kan också antas minska. I skäl 43 anges nämligen att samtycke inte bör utgöra giltig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anser vi mot denna bakgrund att mycket talar för att begreppet uppgift av allmänt intresse måste anses ha fått en vidare unionsrättslig betydelse genom dataskyddsförordningen än det hittills har haft.

19 Artikel 29-gruppens Work programme 2016–2018, dok. 417/16/EN. 20SOU 1997:39 s. 364.

124

Myndigheternas uppdrag och åligganden att utföra uppgifterav allmänt intresse

Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse. Av skäl 45 till förordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster.

I avsaknad av vägledande domar från EU-domstolen förefaller det med hänsyn till svensk förvaltningstradition rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. På motsvarande sätt bör man kunna utgå från att de obligatoriska uppgifter som utförs av kommuner och landsting, till följd av deras åligganden enligt lag eller förordning, är av allmänt intresse i dataskyddsförordningens mening.

Sådana uppgifter, som alltså utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, bör anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda, eller om de genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså entreprenören anses utföra en uppgift av allmänt intresse. Den omständigheten att entreprenören bedriver en rent kommersiell verksamhet kan under sådana omständigheter inte påverka bedömningen av den aktuella uppgiftens art.21

Andra uppgifter som utförs av myndigheter

Begreppet uppgifter av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryckligt åliggande eller uppdrag. Till skillnad från vad som gäller enligt artikel 6.1 c i dataskyddsförordningen behöver den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden i led e ska vara tillämplig. Däremot måste behandlingen vara nödvändig.

21 För ett liknande resonemang, se artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen enligt artikel 7 i direktiv 95/46/EG, s. 23, not 42.

125

Som en följd av det kommunala självstyret har kommuner och landsting en vidsträckt möjlighet att göra frivilliga åtaganden. Befogenheten är emellertid begränsad till angelägenheter av allmänt intresse (2 kap. 1 § kommunallagen [1991:900]). Kommuner och landsting får driva näringsverksamhet, men bara om den drivs utan vinstsyfte och går ut på att tillhandahålla allmännyttiga anläggningar eller tjänster åt medlemmarna i kommunen eller landstinget (2 kap. 7 § kommunallagen). Som exempel på sådana uppgifter av allmänt intresse som kommunerna utför på frivillig grund kan nämnas tillhandahållande av bostäder och fritids- och idrottsanläggningar, åtgärder för att främja ortens näringsliv och annan kulturell verksamhet än bibliotek (som i stället är en obligatorisk uppgift). Fullmäktige ska enligt 6 kap. 32 § första stycket kommunallagen utfärda reglementen med närmare föreskrifter om nämndernas verksamhet och arbetsformer. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska således framgå av den ansvariga nämndens reglemente.

Vissa myndigheter, t.ex. Lantmäteriet, har uttryckligen getts befogenhet att bedriva viss uppdragsverksamhet.22 Även denna typ av verksamhet kan vara motiverad av ett allmänt intresse.

Uppgifter av allmänt intresse som utförs av privaträttsliga organ

De senaste årens avmonopolisering och konkurrensutsättning av offentlig verksamhet har inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som måste anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende barnomsorg och skola, hälso- och sjukvård och stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas järnvägstransporter, elektronisk kommunikation, postbefordran och elproduktion. Ibland bedrivs verksamheten alltjämt under kommunal eller statlig styrning, i form av kommunala eller statliga bolag, men på andra områden förekommer också eller enbart privata subjekt som är associationsrättsligt helt fristående från den offentliga sektorn.

2210 och 12 §§ förordningen (2009:946) med instruktion för Lantmäteriet. Se även t.ex. 2 a § förordningen (2009:1394) med instruktion för Statens veterinärmedicinska anstalt eller 3 § förordningen (2007:1111) med instruktion för Patent- och registreringsverket.

126

Fysiska personer, ideella och ekonomiska föreningar, stiftelser och företag kan förstås också ägna sig åt annan verksamhet som i princip skulle kunna anses vara av allmänt intresse, t.ex. idrott och kultur, värme- och livsmedelsproduktion och tillhandahållande av finansiella tjänster, kreditupplysning eller transporter.

Genom regleringskravet avgränsas tillämpningsområdet

Vilka uppgifter som ska anses vara av allmänt intresse i dataskyddsförordningens mening är inte helt uppenbart. Den osäkerhet som råder avseende begreppets innebörd är dock ingen nyhet.

Däremot innebär dataskyddsförordningen en väsentlig förändring på så sätt att det inte längre är självklart att en personuppgiftsansvarig som utför en uppgift av allmänt intresse kan utföra nödvändig behandling av personuppgifter på den grunden. Genom kravet på att grunden för behandlingen ska fastställas i enlighet med unionsrätten eller den nationella rätten begränsas nämligen tillämpningsområdet för artikel 6.1 e. Det räcker inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

Regleringskravet i artikel 6.3 första stycket i dataskyddsförordningen innebär alltså att artikel 6.1 e inte kan åberopas i alla situationer då behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse. Kravet på att grunden för behandlingen ska fastställas medför att uppgiften måste vara reglerad i enlighet med unionsrätten eller den nationella rätten. I skäl 45 till dataskyddsförordningen anges att förordningen inte medför något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som krävs för att utföra en uppgift av allmänt intresse.

Ändamålet med behandlingen måste vara nödvändigt

Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen (the purpose of the processing), i fråga om behandling enligt punkt 1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse. Till skillnad mot vad som gäller avseende grunden rättslig förpliktelse behöver ändamålet således inte

127

framgå av den författning eller det beslut där själva uppgiften fastställs. Ändamålet med varje enskild behandling måste dock vara nödvändigt för att utföra den fastställda uppgiften. Bestämmelsen uttrycker det samband som måste finnas mellan behandlingen och den fastställda uppgiften och riktar sig till den som bestämmer de särskilda ändamålen för behandlingen, vilket i normalfallet är den personuppgiftsansvarige men i vissa fall även kan vara lagstiftaren. Detta krav på samband framgår även av artikel 5.1 b, där det anges att de särskilda ändamålen ska vara berättigade.

Som exempel kan nämnas att det enligt 3 § bibliotekslagen (2013:801) fastställs att kommunerna ansvarar för folkbibliotek. I 9 § bibliotekslagen anges att allmänheten avgiftsfritt ska få låna eller på annat sätt få tillgång till litteratur under en viss tid oavsett publiceringsform. Man skulle förstås kunna tänka sig att biblioteken skulle låna ut böcker, utan att veta vilka låntagarna är. Det förefaller dock föga lämpligt, eftersom det kan antas att böcker då inte skulle lämnas tillbaka. Det bör därför kunna anses nödvändigt, i unionsrättslig mening, för biblioteken att samla in personuppgifter från dem som lånar böcker, i syfte att föra ett register över låntagare och deras lån. Detta ändamål är därmed nödvändigt för att utföra uppgiften, att bedriva biblioteksverksamhet. Behandlingen av personuppgifter kan således ske enligt artikel 6.1 e, på den rättsliga grund som utgörs av bibliotekslagen.23

Alla myndigheter, såväl statliga som kommunala, utför en rad administrativa uppgifter som krävs för att myndigheten ska fungera, men som varken direkt eller indirekt kan sägas framgå av uppdraget. Som exempel kan nämnas myndigheternas säkerhetsarbete. I skäl 27 till den rättsakt som gäller för EU-institutionernas personuppgiftsbehandling, förordning 45/2001, anges att behandling av personuppgifter för utförandet av de uppgifter av allmänt intresse som gemenskapsinstitutionerna och gemenskapsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. Enligt artikel 29-

23 I praktiken måste den personuppgiftsansvarige givetvis även säkerställa att behandlingen uppfyller principerna i artikel 5, bland annat att ändamålet är berättigat enligt led b och att personuppgifterna behandlas fairly enligt led a.

128

gruppen möjliggör skäl 27 en vid tolkning av begreppet allmänt intresse i förordning 45/2001.24

Någon motsvarighet till skäl 27 i förordning 45/2001 finns inte i den nya dataskyddsförordningen. Under förhandlingarna av förordningen har dock Artikel 29-gruppen gett uttryck för att grunderna allmänt intresse och myndighetsutövning måste tolkas på samma sätt som i förordning 45/2001, nämligen på ett sådant sätt att de offentliga myndigheterna ges en viss grad av flexibilitet, åtminstone så att myndigheternas förvaltning och funktion säkerställs.25

Vår bedömning

Myndigheter

Statliga och kommunala myndigheters verksamhet är i allt väsentligt av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Viss behandling av personuppgifter är dock även nödvändig med anledning av avtal, t.ex. när det gäller rekryteringsärenden eller inköp, och kan därmed också ske med stöd av den rättsliga grunden avseende just avtal (artikel 6.1 b). Denna rättsliga grund kan i vissa fall även tillämpas av de myndigheter som uttryckligen har getts befogenhet att bedriva uppdragsverksamhet. En myndighet kan också behöva behandla personuppgifter för att uppfylla en rättslig förpliktelse, t.ex. att föra ett visst register eller gentemot Skatteverket i egenskap av arbetsgivare eller till följd av offentlighetsprincipen (artikel 6.1 c). Undantagsvis kan det även förekomma behov av behandling av personuppgifter för att skydda intressen av grundläggande betydelse för fysisk person (artikel 6.1 d). Myndigheter kan däremot inte åberopa den rättsliga grund som utgår från en intresseavvägning (artikel 6.1 f) när de fullgör sina uppgifter.

Myndigheternas uppdrag och åligganden framgår av författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser om normgivningskompetens och kommu-

24 Artikel 29-gruppens yttrande 6/2014 om begreppet den registeransvariges berättigade intressen enligt artikel 7 i direktiv 95/46/EG, s. 24. 25 Se föregående fotnot.

129

nalt självstyre. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Nödvändig behandling av personuppgifter kan därmed ske med stöd av artikel 6.1 e i dataskyddsförordningen. Någon ytterligare reglering av myndigheternas obligatoriska uppgifter krävs därmed inte på generell nivå för att myndigheter ska kunna vidta nödvändiga behandlingsåtgärder för att fullgöra sina uppgifter.

I artikel 6.3 andra stycket anges att syftet med behandlingen måste vara nödvändigt för att utföra uppgiften. Den specifika behandlingen måste alltså vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Även administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed rättsligt grundade i dataskyddsförordningens mening.

Det kan inte nog betonas att rättslig grund inte är en tillräcklig förutsättning för att behandling av personuppgifter ska vara tillåten. Behandlingen är laglig endast i den mån den faktiskt är nödvändig för att utföra uppgiften. Dessutom måste behandlingen följa de övriga krav som ställs i dataskyddsförordningen, till exempel de principer för behandlingen som anges i artikel 5. I sammanhanget vill vi särskilt peka på att behandlingen enligt artikel 5.1 a ska vara korrekt, i betydelsen skälig eller rimlig (fairly), i förhållande till den registrerade. Behovet av den konkreta behandlingen måste alltså alltid vägas emot den registrerades rätt till skydd för sina personuppgifter.

Privata aktörer

Uppdrag från en myndighet

Som tidigare har nämnts anser vi att de uppgifter av allmänt intresse som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande, måste anses vara av allmänt intresse oavsett om de faktiskt utförs i myndighetens egen regi, av egna anställda, eller om de genom utkontraktering utförs av någon annan. När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, bör alltså även den privata utföraren, entreprenören eller det

130

kommunala bolaget anses utföra en uppgift av allmänt intresse. Ett privaträttsligt organ som fullgör ett uppdrag från en myndighet avseende en sådan uppgift som är fastställd i författning, regeringsbeslut eller kommunalt beslut i fullmäktige kan därför vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i dataskyddsförordningen.

Det bör noteras att en uppdragstagare som utgör personuppgiftsbiträde åt myndigheten i stället behandlar personuppgifter med stöd av artikel 28 i dataskyddsförordningen, i enlighet med den personuppgiftsansvariges instruktioner.

Verksamhet som omfattas av handlingsoffentlighet

I artikel 86 i dataskyddsförordningen anges att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning. Bestämmelsen bör enligt vår mening tolkas så att den svenska offentlighetsprincipen har företräde framför dataskyddsförordningen avseende dels handlingar som förvaras hos myndigheter och andra offentliga organ, dels sådana handlingar som förvaras hos privata organ för utförande av en uppgift av allmänt intresse. Offentlighetsprincipen skulle däremot inte kunna ges företräde framför dataskyddsförordningen när det gäller handlingar som förvaras hos privata organ av något annat skäl än för utförande av en uppgift av allmänt intresse.

Enligt 2 kap.25 §§offentlighets- och sekretesslagen (2009:400, förkortad OSL,) ska vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också gälla hos bland annat kommunala bolag och de organ som anges i bilagan till offentlighets- och sekretesslagen, om handlingarna hör till den verksamhet som nämns där. Enligt vår mening måste dessa organ, vars handlingar omfattas av handlingsoffentlighet, i motsvarande utsträckning anses utföra uppgifter av allmänt intresse

131

i den mening som avses i dataskyddsförordningen. De uppgifter som dessa organ utför är fastställda i dataskyddsförordningens mening, i den mån uppgifterna anges i författningar, regeringsbeslut och kommunala beslut av fullmäktige (t.ex. ägardirektiv). Nödvändig behandling av personuppgifter som utförs av dessa organ för att utföra dessa uppgifter har därför en rättslig grund och är laglig enligt artikel 6.1 e i dataskyddsförordningen.

Övrig privaträttsligt bedriven verksamhet av allmänt intresse

Vid en direkt tillämpning av artikel 6.1 c och e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller en privat aktör. Om den uppgift som den personuppgiftsansvarige utför är av allmänt intresse och denna uppgift är fastställd i enlighet med unionsrätten eller den nationella rätten finns en rättslig grund för nödvändig behandling enligt artikel 6.1 e. Det spelar då heller ingen roll om verksamheten utförs på direkt uppdrag av en myndighet eller på eget initiativ.

Som tidigare har nämnts är uttrycket uppgift av allmänt intresse ett unionsrättsligt begrepp som hittills saknar definition. Det är därför mycket vanskligt att bedöma i vilken mån privaträttsligt bedriven verksamhet är av allmänt intresse i dataskyddsförordningens mening. De senaste årens avmonopolisering och konkurrensutsättning av offentlig verksamhet i Sverige har dock inneburit att privaträttsliga organ numera utför en inte obetydlig del av de uppgifter som sannolikt skulle anses vara av allmänt intresse, även i begreppets mest snäva bemärkelse. Detta gäller inom den kommunala sektorn exempelvis avseende barnomsorg och skola, hälso- och sjukvård samt stöd och service till funktionshindrade. Inom den traditionellt statliga sektorn kan nämnas järnvägstransporter, elektronisk kommunikation, postbefordran och eldistribution.

I flera av dessa nämnda fall är verksamheten av kommersiell karaktär och bygger på avtal med den registrerade (t.ex. järnvägstransporter eller eldistribution). I den mån behandling av personuppgifter är nödvändig kan den därmed ske med stöd av artikel 6.1 b i dataskyddsförordningen, även om uppgiften inte skulle vara fastställd i lagstiftningen. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, fastställs uppgiften i bland annat hälso- och

132

sjukvårdslagen (2017:30), medan patientdatalagen (2008:355) specificerar villkoren för laglig behandling av personuppgifter. På motsvarande sätt regleras uppgiften att tillhandahålla stöd och service till funktionshindrade av lagen (1993:387) om stöd och service till vissa funktionshindrade, som också innehåller ett par dataskyddsbestämmelser som gäller även för privata utförare. I övrigt återfinns sektorsspecifika bestämmelser om behandling av personuppgifter i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Skolväsendets uppgifter fastställs i skollagen (2010:800), som gäller för både offentliga och enskilda anordnare av utbildning. Någon särskild registerförfattning som specificerar villkoren för behandling av personuppgifter på skolområdet finns dock inte, vilket innebär att det endast är dataskyddsförordningen som ska tillämpas.

När det är tveksamt om den verksamhet som en privaträttslig aktör bedriver är av allmänt intresse i unionsrättslig mening är det i stället ofta möjligt att grunda nödvändig behandling av personuppgifter på en intresseavvägning i enlighet med artikel 6.1 f i dataskyddsförordningen eller att inhämta den registrerades samtycke. Detsamma gäller om verksamheten visserligen är av allmänt intresse, men uppgiften inte är fastställd i enlighet med vare sig unionsrätten eller den nationella rätten. Det är dock inte uteslutet att det finns sådana oreglerade områden som bör bli föremål för reglering just med anledning av dataskyddsförordningen.

Behov av förtydligande

För att behandling av personuppgifter ska vara laglig enligt artikel 6.1 e i dataskyddsförordningen måste den uppgift som den personuppgiftsansvarige utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Vidare måste behandlingen vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften. Detta framgår av direkt tillämpliga bestämmelser i dataskyddsförordningen. Det behövs därmed inte någon ytterligare nationell reglering, på generell nivå, för att sådan behandling av personuppgifter som är nödvändig för att utföra uppgifter av allmänt intresse ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 e i för-

133

ordningen. Detta gäller oavsett om den personuppgiftsansvarige är en offentlig eller en privat aktör.

Det kan dock finnas anledning att ta in en bestämmelse i dataskyddslagen som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som utförs med stöd av gällande rätt. Uppgiften måste alltså följa av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. En sådan upplysningsbestämmelse bidrar till förståelsen av dataskyddsregleringen och kan mot bakgrund av skäl 8 i förordningen inte anses vara en otillåten implementeringsåtgärd.

Det bör noteras att den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i dataskyddsförordningen). Det finns därmed en bortre gräns för vilka uppgifter som över huvud taget kan läggas till grund för behandling av personuppgifter. Som exempel skulle det inte betraktas som proportionellt att ge en myndighet i uppgift att övervaka befolkningens kommunikation på internet, i syfte att upptäcka trakasserier. Ett åliggande för kommunerna att t.ex. inrätta särskilda skolor för barn vars föräldrar tillhör en viss religiös grupp, i syfte att förbättra skolresultaten, skulle på motsvarande sätt inte kunna utgöra rättslig grund för behandling av personuppgifter, eftersom uppgiften inte skulle anses proportionell.

8.3.5. Särskilda bestämmelser som anpassar tillämpningen av dataskyddsförordningen

Utrymmet för nationell specificering

Artikel 6.3 andra stycket i dataskyddsförordningen ger, i likhet med artikel 6.2, ett visst utrymme för medlemsstaterna att specificera villkoren för när behandling av personuppgifter får ske och hur det ska gå till. I artikel 6.3 andra stycket i dataskyddsförordningen anges nämligen att den rättsliga grund som fastställer en rättslig förpliktelse, myndighetsutövning eller en uppgift av allmänt intresse kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Som exempel nämns de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ

134

av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Av skäl 10 framgår att förordningen inte utesluter att det i medlemsstaternas nationella rätt fastställs närmare omständigheter för specifika situationer där uppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

Bestämmelsen i artikel 6.3 andra stycket innebär ingen skyldighet för medlemsstaterna att införa sådana särskilda nationella bestämmelser. I svensk rätt finns det dock redan åtskilliga sådana särskilda dataskyddsbestämmelser i sektorspecifika registerförfattningar. Det är mycket vanligt att frågor om behandling av personuppgifter regleras i den offentligrättsliga författning som i första hand annars har till syfte att reglera vem som får utföra en viss uppgift eller hur en viss verksamhet ska bedrivas, t.ex. socialförsäkringsbalken, alkohollagen (2010:1622) eller konkurslagen (1987:682).26 Ibland återfinns dock alla dataskyddsbestämmelser avseende en viss verksamhet i särskilda informationshanteringsförfattningar, t.ex. patientdatalagen eller utlänningsdatalagen (2016:27). Det förekommer också renodlade registerförfattningar, t.ex. lagen (2001:558) om vägtrafikregister eller lagen (1996:1156) om receptregister. Samtliga dessa författningstekniker bör enligt vår bedömning kunna användas även fortsättningsvis för att vid behov specificera villkoren för behandling av personuppgifter, enligt både artikel 6.2 och artikel 6.3 andra stycket i dataskyddsförordningen.

Det bör noteras att bestämmelser som specificerar villkoren för laglig behandling, om medlemsstaten väljer att behålla eller införa sådana, måste uppfylla ett mål av allmänt intresse och vara proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i dataskyddsförordningen). Lagstiftaren måste alltså göra en avvägning mellan å ena sidan behovet av att uppgiften kan utföras på ett effektivt och rättssäkert sätt och, å andra sidan, den enskildes rätt till skydd för sina personuppgifter.

26 Enligt Informationshanteringsutredningen finns det mer än ett hundratal författningar som hör till denna kategori, SOU 2015:39 s. 103 f.

135

Sådana särskilda bestämmelser som avses i artikel 6.3 andra stycket kräver att lagstiftaren gör avvägningar från fall till fall och kan enligt vår bedömning inte föras in på generell nivå. Vi lämnar därför inget sådant förslag.

8.3.6. Inledande upplysningsbestämmelse

Utredningens förslag: Dataskyddslagen ska innehålla en bestäm-

melse som erinrar om att dataskyddsförordningen anger att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

För förståelsen av de ovan föreslagna bestämmelserna om tillämpningen av artikel 6.1 c och e i dataskyddsförordningen behövs det enligt vår bedömning en inledande upplysningsbestämmelse som erinrar läsaren om att personuppgifter får behandlas bara om det finns en rättslig grund, dvs. om minst ett av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllt.

8.4. Sammanfattning

Behandling av personuppgifter måste ske på rättslig grund. De rättsliga grunder som godtas enligt artikel 6.1 i dataskyddsförordningen är – samtycke (a) – avtal (b) – rättslig förpliktelse (c) – vitala intressen (d) – myndighetsutövning (e) – uppgift av allmänt intresse (e), och – berättigat intresse (f).

För tillämpning av leden b–f krävs att behandlingen är nödvändig för att fullgöra, skydda eller utföra den rättsliga grunden eller, i fråga om led f, för ändamål som rör den rättsliga grunden.

136

För led a finns särskilda villkor som måste vara uppfyllda, bland annat när det gäller barns samtycke (artikel 7 och 8).

För leden c och e krävs att den rättsliga grunden, dvs. den rättsliga förpliktelsen, myndighetsutövningen eller uppgiften av allmänt intresse, är fastställd i enlighet med nationell rätt eller unionsrätt (artikel 6.3 första stycket). En rättslig förpliktelse är enligt svensk rätt fastställd om den gäller enligt lag eller annan författning eller följer av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Myndighetsutövning fastställs i svensk rätt genom lag eller annan författning. Uppgifter av allmänt intresse är fastställda i enlighet med svensk rätt om de följer av lag eller annan författning eller av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

För led f krävs att den rättsliga grunden, dvs. det berättigade intresset, väger tyngre än den registrerades intressen och rättigheter. Led f gäller inte för behandling som utförs av myndigheter när de fullgör sina uppgifter.

Behandling av personuppgifter får bara ske om alla villkor för tillämpning av minst en av de rättsliga grunder som avses i leden a–f är uppfyllda. Dessutom måste den personuppgiftsansvarige bland annat också se till att principerna i artikel 5 följs.

Personuppgifterna ska enligt artikel 5.1 b samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Att ändamålen ska vara berättigade innebär bland annat, men inte enbart, att de ändamål som den personuppgiftsansvarige är skyldig att ange måste vara berättigade i förhållande till den rättsliga grunden.

Även artikel 6.3 andra stycket innehåller bestämmelser som, i likhet med artikel 5.1 b, kopplar samman de särskilda ändamålen med den rättsliga grunden. Avseende rättslig förpliktelse anges att ändamålen ska vara bestämda i den rättsliga grunden. Vad gäller myndighetsutövning och uppgifter av allmänt intresse anges i stället att ändamålen ska vara nödvändiga för myndighetsutövningen eller för att utföra den fastställda uppgiften av allmänt intresse.

137

9. Barns samtycke som rättslig grund

9.1. Vårt uppdrag

För att samtycke ska utgöra en rättslig grund för personuppgiftsbehandling vid erbjudande av vissa typer av tjänster direkt till barn under 16 år krävs enligt artikel 8.1 i dataskyddsförordningen vårdnadshavarens samtycke eller dennes godkännande av barnets samtycke. Förordningen tillåter att en lägre åldersgräns föreskrivs i medlemsstaternas nationella rätt. Enligt kommittédirektiven ska vi analysera för- och nackdelar med en lägre åldersgräns.

9.2. Gällande rätt

Det finns i dag ingen uttrycklig reglering vare sig i dataskyddsdirektivet eller i personuppgiftslagen rörande barns samtycke till personuppgiftsbehandling. En bedömning av om den underåriges samtycke ska anses utgöra rättslig grund för personuppgiftsbehandling har därför fått göras från fall till fall.

Datainspektionen har uttalat att det krävs att den som ger samtycket kan förstå innebörden av det. En person som inte själv kan tillgodogöra sig informationen om vad ett samtycke till personuppgiftsbehandling innebär kan inte ge ett rättsligt bindande samtycke.1

Datainspektionen har vidare ansett att barn under 15 år i allmänhet inte kan anses ha nått en sådan mognad att de kan förstå innebörden av att samtycka till personuppgiftsbehandling. Den bedömningen har

1 Datainspektionen, Samtycke enligt personuppgiftslagen, Vem kan samtycka? www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/samtycke (hämtad 2017-02-23).

138

dock rört behandling av barns personuppgifter generellt.2 I ett samrådsyttrande som rörde användande av personnummer som spärr för deltagande på en chattsajt har Datainspektionen funnit att föräldrarnas samtycke till barns registrering av sina personuppgifter måste inhämtas i vart fall när det gäller barn som inte fyllt 13 år.3

9.3. Dataskyddsförordningen

9.3.1. Samtycke som rättslig grund för behandling av personuppgifter

I artikel 5 i dataskyddsförordningen finns grundläggande principer som gäller vid all personuppgiftsbehandling. De krav som uppställs i denna artikel ska alltid följas. För att en personuppgiftsbehandling ska vara laglig krävs också att det finns en rättslig grund för behandlingen enligt artikel 6 i dataskyddsförordningen. Samtycke från den registrerade utgör en sådan rättslig grund för personuppgiftsbehandling enligt artikel 6.1 a.

I artikel 4.11 definieras samtycke av den registrerade som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Vad som avses med frivillig, särskild och informerad viljeyttring i artikel 7 a i dataskyddsdirektivet har artikel 29-gruppen uttalat sig om i yttrande 15/2011 om definitionen av begreppet samtycke.4 Artikel 29-gruppen arbetar även med att ta fram ett nytt yttrande om begreppet samtycke som förväntas vara klart under det första halvåret 2017.

Samtycke kan lämnas genom en skriftlig eller muntlig förklaring. Det kan inbegripa att en ruta kryssas i vid besök på en internetsida eller genom val av inställningsalternativ för tjänster på informationssamhällets område. Det kan också ske genom någon annan förklaring

2 Datainspektionen, frågor och svar, finns det någon åldersgräns för samtycke, www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/finns-det-nagonaldersgrans-for-samtycke1/ (hämtad 2017-02-09). 3 Datainspektionens samrådsyttrande i december 2002 med anledning av fråga från ett personuppgiftsombud, se vidare www.datainspektionen.se/personuppgiftsombud/samradsyttranden/registrering-avpersonuppgifter-fran-barn-/ (hämtad 2017-03-21). 4 Se även artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 13 f.

139

eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (se skäl 32 till förordningen).

I artikel 7 i dataskyddsförordningen uppställs vissa villkor för samtycke. Av artikel 7.1 framgår att det är den personuppgiftsansvarige som ska kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Enligt artikel 7.2 ska, om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. I artikel 7.3 anges att de registrerade ska ha rätt att när som helst återkalla sitt samtycke. Det ska vara lika lätt att återkalla som att ge sitt samtycke. Slutligen anges i artikel 7.4 att vid bedömningen av huruvida samtycket är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.5

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör enligt skäl 42 tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller om denne inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Om samtycket inte uppfyller de krav som uppställs i förordningen utgör det inte rättslig grund för behandling av personuppgifter. Om syftet med personuppgiftsbehandlingen t.ex. är orimligt eller oproportionerligt har tjänstetillhandahållaren trots användarens samtycke alltså ingen giltig rättslig grund för behandlingen.6

5 Se även skäl 43. 6 Jfr artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 15.

140

9.3.2. Personuppgifter som rör barn förtjänar ett särskilt skydd

Att personuppgifter som rör barn anses särskilt skyddsvärda framgår av flera av förordningens bestämmelser och betonas i skälen till förordningen. Det finns dock ingen artikel som anger en specifik ålder för när någon ska anses vara ett barn. Det finns inte heller någon annan enhetlig reglering inom EU som definierar när någon ska anses vara ett barn. Frågan får i stället avgöras genom en tolkning med beaktande av andra rättskällor. Samtliga medlemsstater har ratificerat FN:s konvention om barnets rättigheter, den s.k. barnkonventionen, där barn definieras som varje människa under 18 år, om inte barnet blir myndigt tidigare enligt den lag som gäller barnet (artikel 1).

Som exempel på en bestämmelse i dataskyddsförordningen som särskilt rör barn kan nämnas att barns rätt till integritetsskydd särskilt ska beaktas när personuppgifter behandlas med stöd av den rättsliga grunden i artikel 6.1 f, dvs. när behandlingen bygger på en intresseavvägning.

Vidare föreskrivs i artikel 12.1 att den information som den personuppgiftsansvarige ska lämna enligt artiklarna 13 och 14 ska ges i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet när det gäller information som är särskilt riktad till barn. I skäl 58 anges att det förhållandet att barn förtjänar särskilt skydd, medför att all information och kommunikation som riktar sig till barn bör utformas på ett tydligt och enkelt språk som barnet lätt kan förstå.

Enligt artikel 17.1 f har den registrerade rätt att få sina personuppgifter raderade om de har samlats in med samtycke som rättslig grund i samband med erbjudandet av informationssamhällets tjänster direkt till ett barn i de fall som avses i artikel 8.1 i förordningen. I skäl 65 anges att den registrerades rätt att bli bortglömd är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn.

Tillsynsmyndigheten ska också ägna särskild uppmärksamhet åt insatser som riktar sig till barn, när den enligt artikel 57.1 b utför sin uppgift att öka allmänhetens medvetenhet om och förståelse för

141

risker, regler, skyddsåtgärder och rättigheter i fråga om behandling av personuppgifter.

I skäl 38 uttalas att barns personuppgifter förtjänar ett särskilt skydd, eftersom barn kan vara mindre medvetna om risker, skyddsåtgärder och rättigheter. Det särskilda skyddet bör i synnerhet gälla användningen av barns personuppgifter i marknadsföringssyfte, för att skapa personlighets- eller användarprofiler samt för insamling av uppgifter när tjänster som erbjuds direkt till barn utnyttjas. Samtycke från den person som har föräldraansvar över ett barn bör enligt uttalandet inte krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

I skäl 71 till förordningen anges att barns personuppgifter inte bör användas för automatiserat beslutsfattande i form av bland annat profilering. Med profilering avses enligt samma skäl och artikel 4.4 i förordningen automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar.

9.3.3. Barns samtycke

I artikel 8.1 i dataskyddsförordningen anges att vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska behandling av personuppgifter som rör ett barn få ske med stöd av artikel 6.1 a om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycket ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får föreskriva en lägre ålder i sin nationella rätt, under förutsättning att denna ålder inte är lägre än 13 år. Bestämmelsen omfattar givetvis endast situationer när personuppgifter behandlas. Om en tjänst tillhandahålls utan att personuppgifter behandlas faller den utanför förordningens tillämpningsområde.

I artikel 8.2 anges att den personuppgiftsansvarige ska göra rimliga ansträngningar för att kontrollera att samtycket ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik. Slutligen anges i artikel 8.3 att punkt 1 i artikeln inte ska påverka tillämpningen av allmän avtalsrätt i medlemsstaterna,

142

såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Det bör noteras att artikel 8.1 endast hänvisar till artikel 6 och inte till artikel 9. Vid vilken ålder barn kan samtycka till behandling av känsliga personuppgifter framgår alltså inte av förordningen och omfattas inte heller av våra överväganden. Det bör också poängteras att bestämmelsen endast är tillämplig när den rättsliga grunden för personuppgiftsbehandlingen är samtycke och inte när det finns en annan rättslig grund för behandlingen, såsom exempelvis avtal enligt artikel 6.1 b.

9.4. Utgångspunkter för vår bedömning

9.4.1. Inledning

Det vi har att ta ställning till är vid vilken ålder ett barn bör kunna samtycka till viss behandling av barnets personuppgifter utan föräldrarnas medgivande. Det förtjänar emellertid redan här att noteras att även i det fall samtycke får inhämtas från ett barn, så kräver dataskyddsförordningen att tjänstetillhandahållaren beaktar barnets begränsade förståelse för behandlingen av personuppgifter. På grund av förordningens särskilda fokus på barns sårbarhet bör dessutom principerna om uppgiftsminimering och ändamålsbegränsning i artikel 5 tillämpas strikt.7 En personuppgiftsbehandling kan alltså på grund av de övriga bestämmelserna i förordningen vara otillåten, trots att samtycke har lämnats av ett barn som har uppnått den i svensk rätt satta åldersgränsen.

9.4.2. Barnets bästa och barnets rätt till integritet

Vid bedömningen av vid vilken ålder ett barn själv bör få samtycka till att dess personuppgifter behandlas måste bestämmelserna i FN:s barnkonvention beaktas. Som nämnts ovan avses med barn i konventionens mening varje människa under 18 år, om inte barnet blir myndigt tidigare enligt den lag som gäller barnet. I artikel 3 i konventionen fastslås att barnets bästa ska komma i främsta rummet vid alla

7 Jfr artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 25.

143

åtgärder som rör barn, vare sig de vidtas av offentliga eller privata sociala välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ.

Barnkonventionen syftar till att ge barn, oavsett bakgrund, rätt att behandlas med respekt och att få komma till tals. I artikel 12 anges bland annat att konventionsstaterna ska tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet, varvid barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Artikel 13 slår fast att barnet har rätt till yttrandefrihet. Denna rätt innefattar frihet att oberoende av territoriella gränser söka, motta och sprida information och tankar av alla slag, i tal, skrift eller tryck, i konstnärlig form eller genom annat uttrycksmedel som barnet väljer.

Samtidigt som barnet har rätt till yttrande- och informationsfrihet behöver det finnas ett skydd för barnet när dess personuppgifter behandlas. Det ska ske med beaktande bland annat av bestämmelsen om föräldrars ledning i artikel 5 i barnkonventionen. Bestämmelsen ger föräldrar och andra vårdnadshavare rättigheter och skyldigheter att ge barnet lämplig ledning och råd vid utövandet av barnets rättigheter. Vägledning ska ges på ett sätt som överensstämmer med barnets fortlöpande utveckling. Barnet ska alltså med stigande ålder få större möjlighet att själv styra över på vilket sätt det vill ta vara på sina rättigheter. Eftersom barnet är en person som håller på att utvecklas fysiskt och psykiskt, måste utövandet av barnets rättigheter anpassas till dess utvecklingsnivå.

Det måste alltså göras en avvägning mellan barnets behov av skydd och dess rätt till informationsfrihet. Ju äldre barnet blir, desto mindre blir dess behov av skydd och desto större tyngd ska tillmätas rätten till yttrande- och informationsfrihet.

Vid avvägningen måste också hänsyn tas till barnets rätt till integritet. Artikel 16 stadgar att inget barn får utsättas för godtyckliga eller olagliga ingripanden i sitt privat- eller familjeliv, sitt hem eller sin korrespondens och inte heller för olagliga angrepp på sin heder och sitt anseende. Detta måste respekteras av alla, även av barnets vårdnadshavare. Barnets rätt till integritet måste således balanseras mot föräldrarnas skyldighet och rättighet att genom insyn i barnets förehavanden tillvarata barnets intressen och se till barnets bästa.

144

9.4.3. När är artikel 8.1 i dataskyddsförordningen tillämplig?

För att kunna bedöma vid vilken ålder barn kan tänkas uppnå en tillräcklig mognad och insikt i fråga om personuppgiftsbehandling finns det anledning att närmare analysera innebörden av artikel 8.

Erbjudande av informationssamhällets tjänster

Det är enligt dataskyddsförordningen endast vid erbjudande av informationssamhällets tjänster till någon som är under 16 år som samtycket till behandlingen behöver ges eller godkännas av den som har föräldraansvaret för barnet. När det gäller personuppgiftsbehandling som inte sker i samband med att informationssamhällets tjänster erbjuds får en bedömning, liksom tidigare, göras i varje enskilt fall av den registrerades förmåga att förstå innebörden av ett lämnat samtycke.

Begreppet informationssamhällets tjänster definieras i artikel 4.25 i dataskyddsförordningen som alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/15358. I sistnämnda artikel anges att informationssamhällets tjänster är tjänster som vanligtvis utförs mot ersättning, på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. I denna definition avses med på distans att tjänsten tillhandahålls utan att parterna är närvarande samtidigt. Med på elektronisk väg avses att tjänsten sänds vid utgångspunkten och tas emot vid slutpunkten med hjälp av utrustning för elektronisk behandling och lagring av uppgifter och som i sin helhet sänds, befordras och tas emot genom tråd, radio, optiska medel eller andra elektromagnetiska medel. Med på individuell begäran av en tjänstemottagare avses att tjänsten tillhandahålls genom överföring av uppgifter på individuell begäran.

Informationssamhällets tjänster är ett EU-rättsligt begrepp som även används i bland annat e-handelsdirektivet9. I ingressen till detta

8 Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster. 9 Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”Direktiv om elektronisk handel”).

145

direktiv hänvisas till definitionen av begreppet i direktiv 98/34/EG10, som nu har kodifierats och ersatts av ovan nämnda direktiv (EU) 2015/1535. Ledning för tolkningen av begreppet informationssamhällets tjänster bör därför kunna hämtas från e-handelsdirektivet och den tolkning av detta som gjorts av EU-domstolen.

I skäl 18 till e-handelsdirektivet anges följande. Informationssamhällets tjänster omfattar en mängd näringsverksamheter som bedrivs online. Dessa verksamheter kan särskilt bestå i försäljning av varor online. Själva leveransen av varor eller tillhandahållandet av offlinetjänster omfattas inte. Informationssamhällets tjänster begränsas inte till enbart tjänster som föranleder avtal online utan gäller även tjänster, i den mån de utgör näringsverksamhet, som inte betalas av de som mottar dem, exempelvis tillhandahållande av information eller kommersiella meddelanden online eller tillhandahållande av sökmöjligheter samt åtkomst till och hämtning av data.

Vid tolkningen av begreppet informationssamhällets tjänster i e-handelsdirektivet har EU-domstolen konstaterat att det inte krävs att tjänsten betalas av den som åtnjuter tjänsten för att den ska omfattas av definitionen. Tjänsten kan t.ex. finansieras genom inkomster via reklam som visas på en webbplats.11

När e-handelsdirektivet genomfördes i svensk rätt uttalade regeringen att med informationssamhällets tjänster avses – förenklat uttryckt – varje aktivitet som sker online, med någon ekonomisk innebörd. Regeringen menade att begreppet omfattar en mängd olika tjänster, däribland informationstjänster och söktjänster.12Artikel 29gruppen har uttalat att i rättsligt avseende ingår sociala nätverk, sökmotorer och appar i begreppet informationssamhällets tjänster.13

Mot bakgrund av ovanstående kan enligt vår bedömning begreppet informationssamhällets tjänster innefatta bland annat olika sociala medier, såsom till exempel bloggar, internetforum, webbplatser för videoklipp, chattprogram och sociala nätverk. Även onlinespel och

10 Europaparlamentets och rådets direktiv 98/34/EG av den 22 juni 1998 om ett informationsförfarande beträffande tekniska standarder och föreskrifter och beträffande föreskrifter för informationssamhällets tjänster. 11 Se dom Papasavvas, C‑291/13, EU:C:2014:2209, punkterna 28–30 och dom Bond van Adverteerders m.fl., 352/85, EU:C:1988:196, punkt 16. 12Prop. 2001/02:150 s. 1 och 19. 13 Se artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 4 f., artikel 29gruppens yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, s. 5 och not 6 och 7 på samma sida, samt artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 24 not 46.

146

olika applikationer (appar) med spel eller annat innehåll kan omfattas av definitionen.

Behandling av personuppgifter inom ramen för informationssamhällets tjänster

Det är inte nödvändigt att behandla personuppgifter i samband med erbjudande av informationssamhällets tjänster. I praktiken är det emellertid mycket vanligt att behandling av personuppgifter utgör ett villkor för tillhandahållande av sådana tjänster.

Vilka personuppgifter som samlas in, hur de används av tjänstetillhandahållaren själv och hur dessa uppgifter delas med andra varierar från tjänst till tjänst. Tjänstetillhandahållarna har ibland ett intresse av att samla in så många personuppgifter som möjligt, eftersom de kan ha ett stort ekonomiskt värde.

De uppgifter som samlas in kan vara uppgifter som den enskilde måste lämna ifrån sig för att få använda en tjänst, såsom ett namn, användarnamn, födelsedatum, kön, adress, e-postadress och mobiltelefonnummer. Det kan även vara uppgifter om kreditkorts- och betalningsinformation.

Ofta behandlas också uppgifter vid användningen av en tjänst. Det kan bland annat röra sig om geografiska lokaliseringsuppgifter eller vem användaren interagerar med. Även webbläsarhistorik kan tillskapas och kan bli föremål för senare behandling. Uppgifter kan också synkroniseras med andra användares uppgifter, exempelvis uppgifter från adressboken på en telefon.

Uppgifterna kan användas i olika syften av tillhandahållaren av tjänsten, t.ex. för direktmarknadsföring. Det kan ske på olika sätt. Med s.k. beteendebaserad marknadsföring menas förenklat att användare spåras när de surfar på internet och att det med tiden byggs upp profiler som sedan används för att förse användarna med reklam som passar deras intressen.14 Personuppgifterna tillhandahålls ofta även till andra än den som tillhandahåller tjänsten, t.ex. i marknadsföringssyfte.

14 Jfr artikel 29-gruppens yttrande 2/2010 om beteendebaserad reklam på internet, s. 3 och 5.

147

Direkt till barn

Det framgår inte av dataskyddsförordningen vad som avses med uttrycket att en tjänst ska erbjudas direkt till barn. Begreppet skulle kunna tolkas på flera olika sätt.

En möjlig tolkning av begreppet är att det endast omfattar tjänster som uttryckligen riktar sig till barn. Ett problem med denna tolkning är att det i dag inte finns något krav på att tjänstetillhandahållarna ska ange vilken ålder de anser är lämplig för användning av en tjänst. Inte heller finns det någon standard som anger vilka kriterier som ska vara uppfyllda för en viss åldersgräns. Ytterligare problem som skulle kunna uppstå med denna tolkning är att en tjänstetillhandahållare skulle kunna kringgå den aktuella bestämmelsen genom att ange att tjänsten endast riktar sig till personer som inte är barn.

En annan möjlig tolkning är att det är användarens faktiska ålder som avgör om tjänsten omfattas av begreppet. Det skulle innebära att den som tillhandahåller en tjänst och hanterar personuppgifter med stöd av samtycke i samtliga fall måste veta om den som använder tjänsten är ett barn eller inte. Alla tjänstetillhandahållare som hanterar personuppgifter skulle i sådant fall behöva kontrollera åldern på alla personer som använder tjänsten. Det kan starkt ifrågasättas om det skydd som kan uppnås motiverar att personuppgifter om ålder samlas in från samtliga användare.

En tredje möjlig tolkning är att artikel 8.1 i dataskyddsförordningen tar sikte på sådana tjänster som kan antas användas av barn. Bedömningen blir då inte beroende av hur tjänsteleverantören presenterar sin tjänst utåt. Både tjänster som direkt marknadsförs mot barn och tjänster som i och för sig inte marknadsförs som särskilt anpassade för barn, men som på grund av sin utformning eller sitt innehåll och funktion är av det slaget att de typiskt sett kan antas användas av barn, omfattas vid en sådan tolkning av bestämmelsen. Det finns enligt vår mening mycket som talar för denna tolkning.

Begreppet är emellertid EU-rättsligt och det är EU-domstolen som ytterst kan ge vägledning för tolkningen. Artikel 29-gruppen arbetar för närvarande med att ta fram ett yttrande om gruppens syn på innebörden av begreppet samtycke. Yttrandet, som planeras vara klart under det första halvåret 2017, förväntas innehålla klargörande uttalanden även rörande barns samtycke och de olika rekvisiten i

148

artikel 8. Viss vägledning för tolkningen av begreppet bör därför kunna finnas till hands när förordningen ska börja tillämpas.

Föräldraansvaret

Det är den som har föräldraansvaret för barnet som enligt artikel 8.1 i dataskyddsförordningen ska samtycka till personuppgiftsbehandlingen eller godkänna barnets samtycke. Vad som avses med föräldraansvar framgår dock inte av förordningen.

I artikel 1.2 i 1996 års Haagkonvention15 anges att begreppet föräldraansvar i konventionen omfattar vårdnad eller varje liknande förhållande som avgör föräldrars, förmyndares eller andra rättsliga företrädares rättigheter, befogenheter och ansvar i förhållande till barnets person eller egendom. I artikel 2.7 i Bryssel II-förordningen16definieras föräldraansvar som alla rättigheter och skyldigheter som en fysisk eller juridisk person har tillerkänts genom en dom, på grund av lag eller genom en överenskommelse med rättslig verkan, med avseende på ett barn eller dess egendom. Föräldraansvar omfattar bland annat vårdnad och umgänge.

I Sverige regleras föräldraansvaret främst i föräldrabalken. Vårdnadshavarna har enligt föräldrabalken rätt, och skyldighet, att bestämma i frågor som rör barnets personliga angelägenheter. Vårdnadshavaren ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § föräldrabalken). Barn står som regel under vårdnad av båda sina föräldrar eller en av dem om inte rätten har anförtrott vårdnaden åt en eller två särskilt förordnade vårdnadshavare. Den som har vårdnaden om ett barn har ett ansvar för barnets personliga förhållanden och ska se till att barnens behov av omvårdnad, trygghet och god fostran blir tillgodosedda. Barnets vårdnadshavare svarar även för att barnet får den tillsyn som behövs med hänsyn till dess ålder, utveckling och övriga

15 Den i Haag den 19 oktober 1996 dagtecknade konventionen om behörighet, tillämplig lag, erkännande, verkställighet och samarbete i frågor om föräldraansvar och åtgärder till skydd för barn. Artiklarna 1–53 i konventionen gäller i originaltexternas lydelse som lag här i landet, jfr 1 § lagen (2012:318) om 1996 års Haagkonvention. 16 Rådets förordning (EG) nr 2201/2003 av den 27 november 2003 om domstols behörighet och om erkännande och verkställighet av domar i äktenskapsmål och mål om föräldraansvar samt om upphävande av förordning (EG) nr 1347/2000.

149

omständigheter (6 kap.1 och 2 §§föräldrabalken). Vårdnaden om ett barn består till dess att barnet fyllt 18 år.

Artikel 29-gruppen har i ett yttrande påtalat att vårdnadshavarnas ställning inte har någon absolut eller ovillkorlig prioritet över barnets. Principen om att barnets bästa ska komma i främsta rummet kan ibland, enligt artikel 29-gruppen, ge barnet rättigheter som går före vårdnadshavarnas önskemål. Kravet på att barnet ska företrädas av personer som enligt lag har rätt att företräda det påverkar inte det förhållandet att barnet från och med en viss ålder ska ges möjlighet att höras i frågor som berör det.17

Vårdnadshavarna får emellertid inte heller lämna ifrån sig sitt ansvar för barnet genom att låta det själv bestämma i en omfattning som det inte är moget för. Vårdnadshavarna är skyldiga att ingripa om barnet kan komma till skada eller det visar sig inte vara moget för att själv fatta beslut.18

9.4.4. Något om olika åldersgränser i svensk lagstiftning

En person under 18 år är omyndig och får som huvudregel inte själv råda över sin egendom eller åta sig förbindelser (9 kap. 1 § föräldrabalken). Detta innebär dock inte att ett avtal som ett barn har ingått per automatik blir ogiltigt. Om ett barn företar en rättshandling som han eller hon inte får företa, är rättshandlingen ogiltig bara om den är ofördelaktig för barnet. Om vårdnadshavare eller förmyndare godkänner avtalet är det ändå giltigt. Godkännandet behöver inte vara uttryckligt, utan kan vara ett så kallat tyst godkännande.19

Det finns dock ett antal undantag från ovan nämnda huvudregel. I vissa sammanhang får barnet självt ingå rättshandlingar och föra sin talan. Dessutom ska ibland barnets samtycke ges avgörande betydelse. I flera författningar har även föreskrivits att barnets vilja ska tillmätas betydelse med ökad ålder och mognad.

Enligt 21 kap. 5 § föräldrabalken gäller att i det fall barnet har nått en sådan ålder och mognad att dess vilja bör beaktas, får verkställighet

17 Artikel 29-gruppens yttrande 2/2009 om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor), s. 4 f. 18 Jfr Walin och Vängby, Föräldrabalken (20 maj 2016, Zeteo), kommentaren till 6 kap. 11 § föräldrabalken, och prop. 1981/82:168. 19 Jfr Walin och Vängby, Föräldrabalken, (20 maj 2016, Zeteo), kommentaren till 9 kap. 1 § föräldrabalken.

150

av t.ex. en dom om vårdnad inte ske mot barnets vilja, utom då rätten finner det nödvändigt av hänsyn till barnets bästa.

Inom den frivilliga hälso- och sjukvården krävs enligt 4 kap. 2 § patientlagen (2014:821) som huvudregel patientens samtycke till vården. Det är vårdgivaren som har att avgöra om ett giltigt samtycke har getts.20 När patienten är ett barn ska barnets inställning till den aktuella vården eller behandlingen så långt som möjligt klarläggas. Barnets inställning ska tillmätas betydelse i förhållande till hans eller hennes ålder och mognad (4 kap. 3 §). Krav på ålder och mognadsgrad kan variera beroende på om frågan gäller t.ex. preventivmedelsrådgivning eller allvarlig sjukdom. Olika mognadsgrad kan krävas för olika former av beslut.21

I Sverige har ofta åldersgränsen för barns samtycke och möjlighet att själva agera i rättsliga och andra sammanhang satts vid 15 år. När det gäller forskning som avser människor ska forskningspersonen själv informeras om och samtycka till forskningen, om han eller hon har fyllt 15 år men inte 18 år och inser vad forskningen innebär för hans eller hennes del (18 § lagen om etikprövning av forskning som avser människor).

Barn som har fyllt 15 år har rätt att själv föra sin talan i mål och ärenden enligt socialtjänstlagen (2001:453), lagen (1990:52) med särskilda bestämmelser om vård av unga och lagen (1991:1128) om psykiatrisk tvångsvård. Enligt sistnämnda lag bör även en patient som är yngre än 15 år höras, om det kan vara till nytta för utredningen och det kan antas att patienten inte tar skada av att höras. En underårig kan inte dömas till påföljd för brott som han eller hon begått innan det att han eller hon har fyllt 15 år (1 kap. 6 § brottsbalken). Dessutom är sexuellt umgänge med barn kriminaliserat såvitt gäller barn under 15 år (6 kap. 4 § brottsbalken). 15 år är alltså en vedertagen åldersgräns som har ansetts vara väl avvägd i många sammanhang.22

När det gäller barnets möjligheter att ingå avtal och andra angelägenheter av ekonomisk natur har åldern i svensk rätt ofta satts vid 16 år. Barn får således från det att de fyllt 16 år själva råda över in-

20 Rynning, Samtycke till medicinsk vård och behandling, 1994 s. 286 f. och prop. 2002/03:50 s. 135. 21 Rynning, Samtycke till medicinsk vård och behandling, 1994 s. 286 f., prop. 2002/03:50 s. 135, och Socialstyrelsens meddelandeblad nr. 7/2010 om barn under 18 år som söker hälso- och sjukvård. 22 Se t.ex. prop. 2002/03:50 s. 136.

151

komster de tjänat (9 kap. 3 § föräldrabalken) och driva rörelse om föräldrarna godkänt detta (13 kap. 13 §). Barn får själva ingå avtal om anställning eller annat arbete, men endast om vårdnadshavaren samtycker till avtalet. Barnet får självt säga upp avtalet och, om barnet har fyllt 16 år, utan nytt samtycke avtala om annat arbete av liknande art (6 kap. 12 §).

I svensk lag är det ovanligt att det stipuleras en lägre åldersgräns än 15 år, men när det gäller adoption stadgas att den som har fyllt 12 år som huvudregel inte får adopteras utan eget samtycke (4 kap. 5 § föräldrabalken).

9.4.5. Direktreklam till barn

Personuppgifter kan som ovan angetts användas i syfte att rikta direktreklam till användaren när informationssamhällets tjänster utnyttjas. Direktmarknadsföring är ofta ett grundläggande inslag i affärsmodellen för bland annat sociala nätverkstjänster.23

Enligt 5 § marknadsföringslagen (2008:486) ska marknadsföring stämma överens med god marknadsföringssed. Marknadsföring som strider mot god marknadsföringssed är enligt 6 § marknadsföringslagen att anse som otillbörlig om den i märkbar mån påverkar eller sannolikt påverkar mottagarens förmåga att fatta ett välgrundat affärsbeslut.

Med god marknadsföringssed förstås god affärssed eller andra vedertagna normer som syftar till att skydda konsumenter och näringsidkare vid marknadsföring av produkter (3 §). Hit hör även det normsystem som har utvecklats inom näringslivet, främst Internationella handelskammarens (ICC) grundregler för reklam, men även andra uppförande- och branschkoder. Förutom god affärssed och god yrkessed innefattar begreppet god marknadsföringssed även andra vedertagna normer för marknadsföring. Därmed avses bland annat speciallagstiftning, Konsumentverkets föreskrifter och allmänna råd, de normer som Marknadsdomstolen har skapat genom sin praxis samt andra internationella vedertagna normer inom ramen för lagens syfte.24

23 Jfr artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 10. 24Prop. 2007/08:115 s. 69 f.

152

Marknadsdomstolen har bedömt att det som huvudregel inte är tillåtet att rikta direktreklam till barn under 16 år eftersom detta anses strida mot god marknadsföringssed. Undantag kan finnas med hänsyn till omständigheterna i det enskilda fallet, t.ex. när vårdnadshavarens samtycke finns. Domstolen har även bedömt att sådan reklam kan vara otillbörlig enligt 6 § marknadsföringslagen. Inte heller får köpuppmaningar, enligt Marknadsdomstolen, riktas direkt till barn, dvs. någon under 18 år, eftersom detta kan anses utgöra sådan aggressiv marknadsföring som enligt 7 § marknadsföringslagen inte får användas.25

Det finns en svensk branschöverenskommelse om direktmarknadsföring som har granskats av Datainspektionen .26 I branschöverenskommelsen anges bland annat att direktmarknadsföring normalt inte får riktas till barn, såvida det inte finns en anknytning mellan den minderårige och marknadsföraren där sådana kontakter kan sägas vara förutsatta av omständigheterna. Sådan anknytning kan vara kundförhållande, medlemskap eller liknande.

9.4.6. Yttranden till utredningen angående åldersgränsen

Barnombudsmannen har i ett yttrande till utredningen ansett att åldersgränsen bör vara 15 år och uttalat följande. Hänsyn måste tas till såväl barnets rätt till delaktighet och information som till barnets rätt till skydd. År 2014 hade FN:s kommitté för barnens rättigheter en diskussion om digitala medier och barns rättigheter. Där framhävdes hur digitala medier ger barn stora möjligheter att lära, delta, spela arbeta och umgås, men samtidigt ställs barn inför nya risker. Därför måste det finnas en balans mellan barnets självbestämmande och skydd av barn online/på nätet. Huvudfokus bör vara förebyggande arbete och att stärka barns kunskaper och förmåga. Först då kan barnet delta fullt ut i samhället och göra sin röst hörd på ett säkert sätt online/på nätet. Det är av stor vikt att barnet kan förutse de konsekvenser som en behandling av personuppgifter kan medföra. En 15-årsgräns – som är en vanligt förekommande åldersgräns i

25 Se MD 2012:14 och MD 1999:26. 26 SWEDMA:s regler för användningen av personuppgifter m.m. vid direktmarknadsföring för försäljnings-, insamlings- medlemsvärvningsändamål och liknande samt Datainspektionens yttrande den 16 juni 1999, dnr 1338-99.

153

Sverige – innebär att barn och unga fortfarande har möjlighet att delta i olika sociala medier med vårdnadshavarens samtycke.

Även Statens medieråd har lämnat ett yttrande till utredningen. Medierådet är kritiskt till bestämmelsen i artikel 8.1 i dataskyddsförordningen och anför följande. Det finns i nuläget inte några fungerande metoder för säker åldersverifiering. Den som vill kan enkelt kringgå bestämmelsen i artikel 8.1. Förslaget om vårdnadshavares samtycke blir mot denna bakgrund ett slag i luften. Om metoder för åldersverifiering kommer att skapas så kommer det per definition att leda till att tjänsteleverantören inte får tillgång till färre personuppgifter, utan fler. Föräldrar kommer vidare att tvingas välja mellan att helt neka barnet åtkomst till de digitala tjänsterna eller godkänna ett svårbegripligt avtal som dessutom kan vara skrivet på ett sätt så att det främjar företagets intresse av datainsamling. Mot denna bakgrund bör gränsen för krav på föräldrars samtycke sättas vid en så låg ålder som möjligt, dvs. 13 år.

9.5. Överväganden och förslag

Utredningens förslag: Barn som har fyllt 13 år ska själva kunna

samtycka till personuppgiftsbehandling i samband med att informationssamhällets tjänster erbjuds direkt till barn.

Inledning

Det finns inget givet svar på frågan vid vilken ålder ett barn själv bör kunna samtycka till att dess personuppgifter behandlas vid erbjudandet av informationssamhällets tjänster. Det är dessutom, som framgår av avsnitt 9.4.3, fortfarande oklart vilka situationer som kommer att träffas av bestämmelsen i artikel 8.1. Svårigheterna med att sätta en åldersgräns följer också av det faktum att tjänsternas utformning varierar och ständigt utvecklas, även avseende den behandling av personuppgifter som sker inom ramen för sådana tjänster. Dataskyddsförordningen ger dock inget utrymme för en differentierad åldersgräns eller en situations- eller individanpassad bedömning. Den fråga som vi har att ta ställning till är om åldersgränsen ska vara 16 år eller om den ska vara lägre än så, dock lägst 13 år.

154

Det finns inte någon sedan tidigare lagreglerad åldersgräns inom detta område att jämföra med, vare sig på EU-nivå eller i svensk rätt. Inte heller finns det något närliggande rättsområde som direkt skulle kunna användas som förebild. Det finns däremot andra länder där det har fastställts en åldersgräns för när ett giltigt samtycke till behandling av personuppgifter kan ges. Som exempel kan nämnas USA, där gränsen är 13 år.27

I kommissionens förslag till dataskyddsförordning den 25 januari 2012 var åldersgränsen satt till 13 år.28Även Europaparlamentets lagstiftningsresolution den 12 mars 2014 utgick från åldersgränsen 13 år.29 Europeiska datatillsynsmannen har också ansett att åldersgränsen borde vara 13 år.30 I Rådets generella ståndpunkt inför den så kallade trepartsdialogen med parlamentet och kommissionen angavs däremot ingen åldersgräns alls. Rådets ståndpunkt var i stället att det endast skulle vara tillåtet att behandla personuppgifter som rör ett barn om och i den mån sådant samtycke ges eller godkänns av den person som har föräldraansvar över barnet eller ges av barnet självt i situationer där det enligt unionslagstiftningen eller medlemsstaternas lagstiftning behandlas som giltigt.31

Först i ett sent skede av trepartsdialogen kom parterna överens om att höja åldersgränsen i artikel 8.1 till 16 år, med en möjlighet för medlemsstaterna att i nationell rätt sänka åldersgränsen till 13 år. Såvitt vi har kunna utröna föregicks denna ändring inte av någon egentlig diskussion i breda kretsar. Vi har därmed inte heller kunna finna någon dokumentation rörande vilka motiv som låg bakom höjningen till 16 år.

27 Jfr Children's Online Privacy Protection Act of 1998, 15 U.S.C. 6501–6505. 28 Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM[2012] 11 final av den 25 januari 2012). 29 Europaparlamentets lagstiftningsresolution av den 12 mars 2014 om kommissionens förslag enligt föregående fotnot. 30 Se bilaga till yttrande 3/2015, Europas stora möjlighet, Europeiska datatillsynsmannens rekommendationer om EU:s alternativ för reform av uppgiftsskyddet, s. 13. 31 Rådets dokument 9565/15.

155

Harmonisering som skäl

Dataskyddsförordningen syftar till att harmonisera regelverken rörande personuppgiftsbehandling inom EU. Det kan tyckas anmärkningsvärt att medlemsstaterna just när det gäller barns samtycke ges frihet att avvika i så stor utsträckning som förordningen öppnar för. Åldersgränsen kan sättas vid 16, 15, 14 eller 13 år. Vi är tveksamma till att en stor variation på detta område gynnar skyddet för barnens integritet. Dessutom blir regelverken svårare för tjänstetillhandahållarna att tillämpa om staternas lagstiftning föreskriver olika åldersgränser. Det finns emellertid, innan vi lämnar vårt betänkande, ingen möjlighet att förutse hur frekvent det kommer att bli att medlemsstaterna väljer att använda det utrymme att sänka åldersgränsen som ges i bestämmelsen i artikel 8.1 i förordningen. Även om vi i Sverige skulle välja att behålla den i förordningen satta åldersgränsen, för att så långt som möjligt försöka uppnå en harmonisering, är det alltså i nuläget långt ifrån säkert att detta skulle bli effekten. Detta är således inte i sig ett tungt vägande skäl för att behålla den i förordningen föreskrivna 16-årsgränsen.

Risker och skyddsmekanismer

Integritetskommittén har haft i uppdrag att utifrån ett individperspektiv kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan finnas i samband med användning av informationsteknik (dir. 2014:65). Kommittén bedömde att användningen av vissa sociala medier innebär en allvarlig risk för den personliga integriteten, bland annat eftersom det i praktiken är omöjligt för användare att avgöra för vilka ändamål uppgifterna som samlas in kommer att användas. Kommittén pekade bland annat på riskerna för att uppgifterna sprids vidare till andra företag men också på att omfattande uppgifter om användarna riskerar att komma underrättelsetjänster i tredje länder till del.32

Integritetsriskerna för barn som använder informationssamhällets tjänster är i första hand kopplade till att ett samtycke i de flesta fall innebär att en stor mängd uppgifter om barnet kan lagras och spridas i marknadsföringssyfte. Direktmarknadsföring är ofta ett grundläg-

32SOU 2016:41 s. 395 f.

156

gande inslag i affärsmodellen för sociala nätverkstjänster och andra typer av informationssamhällets tjänster.33 Användarnas personuppgifter samlas in och sparas, bland annat för att beteendebaserad reklam ska kunna riktas till var och en. Detta kan betraktas som en slags kartläggning av användarnas personliga förhållanden, i den mån de kommer till uttryck i deras aktiviteter online, t.ex. vid användning av en söktjänst eller ett socialt media. En sådan kartläggning kan, särskilt om den pågår under lång tid, i sig medföra stora risker för intrång i den personliga integriteten.

Att förstå i vilken utsträckning och för vilket syfte personuppgifter behandlas i samband med att en tjänst erbjuds och används kräver en hög grad av insikt och mognad. Vilka personuppgifter som behandlas och hur dessa sedermera kommer att användas av tjänsteleverantören och andra parter är svårt för tjänsteleverantören att beskriva på ett enkelt och begripligt sätt. Det är som regel komplex och svår information att ta till sig även för en vuxen. Det är också svårt att utifrån den information som ges förstå och värdera riskerna med personuppgiftsbehandlingen. Det finns dessutom en risk att yngre barn, för att inte bli utanför den sociala gemenskapen, samtycker till en mycket omfattande personuppgiftsbehandling utan att förstå innebörden av ett sådant beslut.

När det gäller riskerna kopplade till marknadsföring har artikel 29gruppen ansett att personuppgiftsansvariga särskilt bör avhålla sig från att behandla barns uppgifter för ändamål som direkt eller indirekt rör beteendebaserad marknadsföring, eftersom detta skulle ligga utanför ett barns begreppsram och därför överskrida gränsen för laglig uppgiftsbehandling.34I skäl 38 till dataskyddsförordningen anges vidare att skydd för barns personuppgifter i synnerhet bör gälla när uppgifterna används i marknadsföringssyfte, när personlighets- och användarprofiler skapas samt när personuppgifter om barn samlas in då tjänster som erbjuds direkt till barn utnyttjas. Det finns också olika branschöverenskommelser som syftar till att hindra att barns personuppgifter används i marknadsföringssyfte. Enligt svensk rätt strider det även som huvudregel mot god marknadsföringssed att rikta direktreklam till barn under 16 år.

33 Artikel 29-gruppens yttrande 5/2009 om sociala nätverk på Internet, s. 10, och artikel 29gruppens yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer. 34 Artikel 29-gruppens yttrande 2/2013 om appar på smarta enheter, s. 25.

157

När det gäller barns begränsade förmåga att förstå konsekvenserna av ett samtycke innehåller dataskyddsförordningen som nämnts tidigare ett antal bestämmelser och skäl som särskilt syftar till att värna barns intressen vid personuppgiftsbehandling. Artikel 12.1 och skäl 58 ger uttryck för att information och kommunikation som riktar sig till barn ska utformas på ett tydligt och enkelt språk som barnet lätt kan förstå. Av definitionen i artikel 4.11 av begreppet samtycke samt av skäl 32 till förordningen framgår vidare att ett samtycke ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida. Detta innebär att det ställs höga krav på tjänstetillhandahållarna att utforma informationen om vad ett samtycke innebär, särskilt i förhållande till barn, om samtycket ska ses som giltigt i förordningens mening.

Sammantaget bör den lagstiftning och branschpraxis som redan finns på marknadsföringsområdet, tillsammans med dataskyddsförordningens allmänna bestämmelser, utgöra relativt effektiva skyddsmekanismer för att förhindra omfattande insamling och annan behandling av barns personuppgifter i marknadsföringssyfte. Förordningen tillhandahåller också vissa skyddsmekanismer som balanserar riskerna med att barn lämnar samtycke till omfattande behandling utan att förstå vad det innebär, bland annat genom rätten till radering enligt artikel 17.1 f.

Sammanfattande bedömning

Det förhållandet att en åldersgräns införs innebär normalt inte att barn och unga med en ålder under gränsen kommer att utestängas från möjligheten att använda informationssamhällets tjänster. Åldersgränsen innebär dock att en förälder kommer att behöva antingen samtycka till att personuppgifter som avser barnet behandlas eller godkänna det av barnet lämnade samtycket. Eftersom ett barn som regel inte kan använda sociala medier och liknande tjänster om inte samtycke till behandling av personuppgifter ges, blir detta krav i praktiken en inskränkning i barnets rätt att fritt söka information och uttrycka sig i olika sammanhang. Det innebär också en begränsning av barnets självbestämmanderätt.

Barn i Sverige har i dag en hög medievana. Tillgången till information via söktjänster och deltagandet i olika onlineaktiviteter har

158

stor samhällelig och social betydelse för barn och unga. Det är ett sätt att skapa och behålla kontakt med kamrater, delta i politiska och andra diskussionsforum, söka information till skolarbeten, spela spel, se på film och lyssna på musik. En hög åldersgräns för när ett barn själv kan ge giltigt samtycke till personuppgiftsbehandling kan leda till att barn i mitten av sin tonårstid utestängs från möjligheten till social och kulturell samvaro inom ramen för det som avses med informationssamhällets tjänster, om dess vårdnadshavare inte samtycker till den personuppgiftsbehandling som krävs för att barnet ska kunna använda tjänsten. Denna oönskade effekt måste vägas emot de integritetsvinster som en hög åldersgräns skulle kunna ge.

Det har varit svårt att, inom den korta tid vi haft till vårt förfogande för uppdraget, klarlägga alla de omständigheter som bör påverka valet av åldersgräns. Rättsområdet är dessutom outforskat i Sverige eftersom någon liknande reglering, som skulle kunna tjäna som förebild, inte finns. Det saknas därför erfarenhet som skulle kunna ge indikationer på vilka konsekvenser de olika åldersgränserna skulle kunna ge.

En åldersgräns om 15 år är vanlig i svensk rätt när det gäller barns rätt till självbestämmande. Av harmoniseringsskäl framstår det dock inte ändamålsenligt att endast avvika från förordningens reglering med ett år och införa en åldersgräns som det kan befaras endast kommer att gälla i Sverige.

Med utgångspunkt i det som hittills har framkommit anser vi dessutom att övervägande skäl talar för att det i nuläget inte bör gälla en hög åldersgräns. Vi har då beaktat det skydd för barns personuppgifter som ges genom dataskyddsförordningens övriga bestämmelser och annan lagstiftning, t.ex. på marknadsföringsområdet. Vi har också vägt in att det i nuläget är oklart hur äktheten av föräldrarnas samtycke ska kunna verifieras vilket medför att effektiviteten kan ifrågasättas. Det skulle kunna leda till att integritetsskyddet uteblir, i fall då personuppgifterna borde skyddas men barnet utger sig för att vara föräldern som samtycker. En förslagenhet av barnet i det avseendet kan antas öka med stigande ålder. Detta ska vägas mot att en hög åldersgräns för när föräldrarna måste samtycka kan komma att hindra barn från att använda tjänsterna om barnet lyder föräldrarna trots att det uteblivna samtycket inte är motiverat av integritetsskäl. Vi känner därför tveksamhet i fråga om en hög åldersgräns leder till ett så ökat integritetsskydd att det motiverar den begräns-

159

ning av barns rätt till självbestämmande och yttrande- och informationsfrihet som en sådan åldersgräns skulle föranleda. Därtill kommer att det i dag inte finns någon åldersgräns alls i nu aktuellt avseende, vilket talar för att lagstiftning på området bör införas med försiktighet och inte omfatta mer än vad som kan anses absolut motiverat.

Vi anser därför att åldersgränsen för när barn ska kunna samtycka till personuppgiftsbehandling vid erbjudande av informationssamhällets tjänster bör vara så låg som förordningen medger. Vi föreslår således att åldersgränsen i Sverige i nuläget sätts till 13 år.

Om det under den fortsatta beredningen av detta betänkande, eller efter det att dataskyddsförordningen har börjat gälla, skulle visa sig att flertalet av de övriga medlemsstaterna har valt en 16-årsgräns eller en 15-årsgräns, kan det enligt vår mening finnas skäl att överväga frågan på nytt. Detsamma gäller om det skulle visa sig att det skydd som förordningens övriga bestämmelser, i kombination med övrig lagstiftning rörande bland annat marknadsföring, inte i tillräckligt hög grad skyddar barn från det integritetsintrång som kan uppstå på grund av en omfattande personuppgiftsbehandling i samband med erbjudandet av informationssamhällets tjänster direkt till barn.

160

161

10. Känsliga personuppgifter

10.1. Vårt uppdrag

Enligt kommittédirektiven ska vi överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 som bör finnas i den generella regleringen. För att vissa av undantagen som föreskrivs i artikel 9.2 i förordningen ska vara tillämpliga krävs enligt direktiven att grunden för sådana behandlingar kommer till uttryck i unionsrätten eller nationell rätt.

Utgångspunkten bör enligt direktiven vara att det även i fortsättningen kommer att behövas vissa bestämmelser om undantag från förbudet att behandla känsliga personuppgifter av det slag som i dag finns i personuppgiftslagen och personuppgiftsförordningen. Det ingår därför i uppdraget att analysera hur sådana bestämmelser kan utformas i den kompletterande regleringen.

10.2. Dataskyddsförordningen

I dataskyddsförordningens artikel 9.1 stadgas ett förbud mot att behandla särskilda kategorier av personuppgifter. Det gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Ett liknande förbud finns i artikel 6 i dataskyddskonventionen och i artikel 8.1 i dataskyddsdirektivet. Något färre kategorier omfattas där av förbudet; genetiska och biometriska uppgifter liksom uppgifter om sexuell läggning är nya kategorier som lagts till i dataskyddsförordningen.

162

I såväl direktivets som förordningens artikeltext omnämns de uppgifter som omfattas av förbudet som särskilda kategorier av personuppgifter. I förordningens skäl 10 och 51 omnämns de i stället som känsliga respektive särskilt känsliga uppgifter. I personuppgiftslagen har särskilda kategorier av personuppgifter kallats känsliga personuppgifter, utan att detta närmare har kommenterats i motiven. Det begreppet är enligt vår mening tydligare än särskilda kategorier av uppgifter, och får numera anses inarbetat även på EU-nivå.1Vi kommer därför fortsättningsvis att använda begreppet känsliga personuppgifter.

Förordningens förbud kompletteras liksom i direktivet av en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förbudet i sig är direkt tillämpligt genom förordningen och kräver alltså inga åtgärder av medlemsstaterna. Vissa av undantagen innehåller dock hänvisningar till nationell rätt som kan innebära att lagstiftningsåtgärder måste vidtas på nationell nivå för att undantagen ska vara tillämpliga.

10.3. Vad betyder kravet på stöd i nationell rätt?

Utredningens bedömning: Kravet på stöd i nationell rätt inne-

bär att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering.

Artikel 9 i förordningen lyder i sin helhet som följer. Hänvisningar till reglering på medlemsstatsnivå har kursiverats.

1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2. Punkt 1 ska inte tillämpas om något av följande gäller:

a) Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål,

1 Se bland annat artikel 29-gruppens Advice paper on special categories of data (”sensitive data”.

163

utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

b) Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt

unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal

som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c) Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d) Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.

e) Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f) Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.

g) Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse,

på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken

ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h) Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system,

grundval av unionsrätten eller medlemsstaternas nationella rätt eller

enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i) Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.

164

j) Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller

medlemsstaternas nationella rätt, vilken ska stå i proportion till det

eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3. Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller

medlemsstaternas nationella rätt eller bestämmelser som fastställs av

nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

4. Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.

Det är alltså i artikel 9.2 a (samtycke), b (arbetsrätt m.m.), g(viktigt allmänt intresse), h (hälso- och sjukvård), i (folkhälsa)och j (arkiv och statistik) samt i artikel 9.3 och 9.4 som hänvisningar finns till medlemsstaternas nationella rätt. Bestämmelserna innehåller också krav på någon form av skyddsåtgärder. Formuleringarna skiljer sig något åt. I vissa fall krävs lämpliga skyddsåtgärder (artikel 9.2 b), i andra lämpliga och särskilda åtgärder (artikel 9.2 g och 9.2 j) eller lämpliga och specifika åtgärder (artikel 9.2 i).

Det är inte helt klart vilken innebörd hänvisningarna till och kraven på nationell rätt har eller vilken betydelse det har att de utformats på olika sätt. Det finns några uttalanden i förordningens skäl som rör känsliga personuppgifter och kraven på stöd i nationell rätt. I skäl 10 sägs att förordningen är avsedd att ge medlemsstaterna handlingsutrymme att specificera bestämmelser för behandlingen av känsliga uppgifter samt att förordningen inte utesluter att det fastställs närmare omständigheter och mer exakta villkor för laglig behandling av personuppgifter. Skäl 51 och 52 rör också känsliga personuppgifter. Nämnda skäl är inte helt entydiga, men i skäl 52 nämns att vissa undantag från förbudet att behandla känsliga personuppgifter bör tillåtas om de föreskrivs (when provided for) i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder.

165

I rådets ståndpunkt inför antagandet av förordningen (dok 5419/1/16 REV 1 ADD 1) sägs angående undantag från förbudet att behandla känsliga personuppgifter att sådana undantag tillåts om behandlingen i fråga grundar sig på unionsrätten eller medlemsstaternas nationella rätt.

Inte heller ovan nämnda formuleringar ger något klart och entydigt svar på frågan vad hänvisningarna till nationell rätt innebär. Texten i skäl 52 skulle kunna tala för att undantagen i sig måste tas in i nationell rätt för att bli tillämpliga, medan en mer enhetlig tolkning av förordningens artikel 6 och artikel 9 möjligen talar för att det snarare är verksamheten i sig som ska vara reglerad (jämför avsnitt 8.3.1).

Oavsett hur hänvisningarna till nationell rätt i artikel 9 ska tolkas menar vi, mot bakgrund av uttalandena i skäl 10, att en reglering och specificering av undantagen på nationell nivå inte är oförenlig med förordningen. Här beaktar vi också skrivningarna i skäl 8, där det tydliggörs att förordningen medger att medlemsstaterna i viss utsträckning införlivar delar av förordningen i nationell rätt. I vissa fall, såsom när det gäller undantaget för viktiga allmänna intressen, talar också förordningens krav på särskilda skyddsåtgärder för att såväl undantaget som skyddsåtgärderna bör regleras och preciseras i nationell rätt för att få någon substans.

Det är inte självklart att de undantag som i så fall föreskrivs måste finnas i dataskyddslagen. Av formuleringarna i skäl 10 framgår att de närmare villkoren för sådan behandling får regleras på mer detaljerad nivå, vilket öppnar för en sektorsspecifik reglering. Det faktum att förordningens formuleringar angående stödet i nationell rätt och de skyddsåtgärder medlemsstaterna förväntas uppställa varierar i de olika undantagen, liksom undantagens skilda karaktär, gör att det för vart och ett av undantagen bör göras en bedömning av behovet och lämpligheten av en generell reglering i dataskyddslagen. För att tydliggöra förhållandet mellan de undantag från förbudet att behandla känsliga personuppgifter som bedöms lämpliga att föra in i dataskyddslagen och de direkt tillämpliga undantag som gäller enligt förordningens artikel 9.2 bör en upplysningsbestämmelse tas in i dataskyddslagen.

Överväganden och förslag när det gäller behandling av känsliga personuppgifter för arkiv- och statistikändamål finns i avsnitt 14.

166

10.4. Den registrerades samtycke

10.4.1. Gällande rätt

I dataskyddsdirektivets artikel 8.2 a stadgas en möjlighet för medlemsstaterna att lagstifta bort verkan av den registrerades samtycke när det gäller känsliga personuppgifter. Vid införandet av personuppgiftslagen ansåg Datalagskommittén att den enskilde, vars integritet ska skyddas, själv bör få avgöra om en behandling av hans eller hennes uppgifter får ske.2 Regeringen ansåg inte heller att det fanns något integritetsskyddsintresse som gjorde det befogat att förbjuda en behandling som den registrerade och den personuppgiftsansvarige var överens om. Det infördes därför varken någon sådan bestämmelse i lag eller någon möjlighet för regeringen eller Datainspektionen att föreskriva något förbud mot behandling trots den registrerades samtycke.3

10.4.2. Överväganden

Utredningens bedömning: Den registrerades uttryckliga sam-

tycke bör även fortsättningsvis medföra att känsliga personuppgifter får behandlas.

I förordningens artikel 9.2 a finns liksom i dataskyddsdirektivet en möjlighet för medlemsstaterna att föreskriva att den registrerade inte kan samtycka till behandling av känsliga personuppgifter. Något som talar för att det nu bör införas ett förbud mot behandling trots den registrerades samtycke har inte framkommit. Vi instämmer därför i de skäl som anförts i motiven till personuppgiftslagen. Att behandling av känsliga personuppgifter får ske då den registrerade har lämnat sitt samtycke framgår direkt av artikel 9.2 a och behöver inte föreskrivas. Det innebär att vi bedömer att någon nationell reglering inte bör införas på grund av artikel 9.2 a.

2SOU 1997:39 s. 373. 3Prop. 1997/98:44 s. 69.

167

10.5. Arbetsrätt, social trygghet och socialt skydd

10.5.1. Gällande rätt

Dataskyddsdirektivet föreskriver ett undantag från förbudet mot behandling av känsliga personuppgifter på arbetsrättens område i artikel 8.2 b. Artikeln har genomförts i svensk rätt genom punkt a i 16 § första stycket PUL. Där framgår det att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den registeransvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten.

Datalagskommittén ansåg att i stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande de anställda och deras organisationer borde kunna innefattas i uttrycket inom arbetsrätten, exempelvis behandling i samband med sjuklön och rehabilitering av arbetstagare. Även skyldigheter och rättigheter för fackliga organisationer i förhållande till arbetsgivare och deras organisationer borde enligt kommittén innefattas. De skyldigheter och rättigheter som avsågs var enligt kommittén sådana som åligger den personuppgiftsansvarige enligt lag, myndighetsbeslut, kollektivavtal eller andra avtal.4

Enligt artikel 8.2 b i direktivet måste den nationella lagstiftningen också föreskriva lämpliga skyddsåtgärder. Vid genomförandet av direktivet ansågs att en tillräcklig skyddsåtgärd var att föreskriva att de behandlade uppgifterna fick lämnas ut till tredje man bara om det finns en uttrycklig skyldighet för den persondataansvarige att göra det inom arbetsrätten eller den registrerade har samtyckt till utlämnandet.5 En sådan bestämmelse infördes i 16 § andra stycket PUL.

10.5.2. Överväganden och förslag

Utredningens förslag: Känsliga personuppgifter ska få behandlas

om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Uppgifter ska få lämnas ut till tredje part endast om det finns en skyldighet inom arbetsrätten

4SOU 1997:39 s. 372 f. 5SOU 1997:39 s. 375.

168

för den personuppgiftsansvarige att göra det, eller om den registrerade uttryckligen har samtyckt till utlämnandet.

Utredningens bedömning: Något undantag för behandling av

känsliga personuppgifter på områdena social trygghet och socialt skydd bör inte införas i dataskyddslagen.

I dataskyddsförordningen har direktivets bestämmelse om undantag för att den personuppgiftsansvarige ska kunna fullgöra rättigheter och skyldigheter inom arbetsrätten utvidgats, till att avse även den registrerades rättigheter och skyldigheter samt områdena social trygghet och socialt skydd (artikel 9.2 b). Förordningen förtydligar också att behandlingen kan vara tillåten enligt kollektivavtal. Förordningen förutsätter liksom direktivet att lämpliga skyddsåtgärder fastställs, med tillägget att skyddsåtgärderna ska säkerställa den registrerades grundläggande rättigheter och intressen. Undantaget gäller i den omfattning behandlingen är tillåten enligt nationell rätt och under förutsättning att lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

Arbetsrätt

Undantaget avseende arbetsrätt är tillämpligt generellt i alla sektorer av samhället. Det finns i dag inte någon sektorsspecifik reglering som kan utgöra grund för sådan behandling som avses i artikeln, och inte heller någon generellt tillämplig reglering om tystnadsplikt eller andra bestämmelser som tillgodoser förordningens krav på skyddsåtgärder.

För att möjliggöra sådan nödvändig behandling som avses i artikeln och samtidigt tillgodose kravet på skyddsåtgärder menar vi att det finns behov av en generell reglering även fortsättningsvis. En begränsning av möjligheten att lämna ut uppgifter till utomstående framstår som en i sammanhanget effektiv och lämplig skyddsåtgärd. Med de justeringar som föranleds av förordningstexten framstår därför en liknande bestämmelse som den som finns i punkten a i 16 § första stycket PUL samt andra stycket i samma paragraf som lämplig.

Termen arbetsrätt i detta sammanhang har en EU-rättslig innebörd, men bör enligt vår mening i avvaktan på närmare vägledning ges den tolkning som den har vid tillämpningen av personuppgiftslagen.

169

Den skyldighet att lämna ut personuppgifter som avses i 16 § andra stycket PUL måste enligt motiven framgå av lagstiftning, myndighetsbeslut eller av ett muntligt eller skriftligt avtal.6 Detsamma bör gälla även fortsättningsvis. Att undantaget i artikel 9.2 b gäller även behandling som sker enligt kollektivavtal framgår direkt av artikeltexten. Bestämmelsen i artikeln innebär också att lämpliga skyddsåtgärder måste framgå av avtalet.

Begreppet tredje part har i förordningen ersatt begreppet tredje man och bör alltså användas i den reglering vi föreslår. Tredje part definieras i förordningens artikel 4.10 som en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna. Detta innebär exempelvis att en arbetsgivares utlämnande till en facklig organisation omfattas av den föreslagna regleringen om utlämnande.

Social trygghet och socialt skydd

Det är inte helt klart vad som avses med tilläggen social trygghet och socialt skydd i artikel 9.2 b (på engelska social security and social

protection law, och på franska le droit de la sécurité sociale et de la protection sociale). Skäl 52 i förordningen indikerar att undantaget är

avsett att omfatta ”behandling av personuppgifter inom ramen för arbetsrätt och sociallagstiftning, däribland pensioner”.

Begreppet sociallagstiftning brukar i svensk rätt avse lagstiftning som socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare och lagen om stöd och service till vissa funktionshindrade. Begreppet social trygghet i artikeltexten och omnämnandet av pensioner i skäl 52 skulle också kunna tala för att behandling av personuppgifter på socialförsäkringsområdet, dvs. avseende sjukförsäkringar, pensioner och föräldraförsäkring, omfattas av undantaget. Personuppgiftsbehandling på dessa områden är i dag reglerad i sektorsspecifik lagstiftning.7

6Prop. 1997/98:44 s. 124. 7 Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och 114 kap. socialförsäkringsbalken.

170

Sociallagstiftning och den lagstiftning som återfinns på socialförsäkringsområdet tycks sakligt sett ligga långt ifrån arbetsrätten, vilket talar emot att det skulle vara behandling av uppgifter i sådan verksamhet som avses i detta sammanhang. Behandling av känsliga personuppgifter i sådan verksamhet bör kunna ske med stöd av den reglering vi föreslår för myndigheters behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse, i den mån den inte är sektorsspecifikt reglerad. Det kan exempelvis noteras att i direktivets skäl 34 tas sjukförsäkringar upp som ett sådant viktigt allmänt intresse som avses i direktivets motsvarande bestämmelse. Någon liknande skrivning finns dock inte i förordningen.

Vi bedömer det mot bakgrund av ovanstående som osannolikt att artikeln skulle vara avsedd att täcka personuppgiftsbehandling inom de områden som motsvarar den svenska sociallagstiftningen eller lagstiftningen på socialförsäkringsområdet.

Med tanke på det sammanhang där begreppen social trygghet och socialt skydd förekommer bedömer vi i stället att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare, fackförbund eller arbetsgivarorganisationer ska kunna erbjuda eller förmedla pensioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Den behandling av känsliga personuppgifter som är nödvändig hos en arbetsgivare för sådana syften torde i dag i många fall kunna ske med stöd av undantaget om arbetsrätt i punkten a i 16 § första stycket PUL.

Vår bedömning är att den behandling som tillåts i artikel 9.2 g inom områdena social trygghet och socialt skydd i många fall kommer att kunna ske med stöd av undantaget som rör arbetsrätt eller undantaget som rör viktiga allmänna intressen. Om inget av dessa undantag är tillämpliga torde behandlingen i vissa situationer i stället kunna ske med stöd av samtycke. Vi ser inget behov av att i dataskyddslagen, på generell nivå, införa denna del av det aktuella undantaget. Av förordningens artikel 9.2 b framgår som nämnts ovan att behandling enligt undantaget bara gäller i den omfattning detta är

tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller

enligt ett kollektivavtal. Vår bedömning är därför att förordningen inte hindrar att undantaget endast införs delvis i nationell rätt. Om begreppen social trygghet och socialt skydd skulle visa sig få en annan

171

EU-rättslig innebörd än vad som förutsatts här, får vår nationella reglering ses över för att säkerställa att förordningens krav efterlevs.

10.6. Viktigt allmänt intresse

10.6.1. Gällande rätt

Av artikel 8.4 i dataskyddsdirektivet framgår att undantag från förbudet mot behandling av känsliga personuppgifter får göras av hänsyn till ett viktigt allmänt intresse, förutsatt att sådana undantag förses med lämpliga skyddsåtgärder. Det finns ingen legaldefinition eller exemplifiering av vad som avses med skyddsåtgärder i direktivet. Med stöd av artikeln har olika typer av undantag införts i medlemsstaterna, bland annat för behandling av känsliga personuppgifter i myndigheters verksamhet, på bankområdet och för att främja jämställdhet och social trygghet.8

I personuppgiftslagen har undantaget som rör viktiga allmänna intressen genomförts dels genom regleringen av behandling för forsknings- och statistikändamål i 19 § PUL, dels genom ett bemyndigande i 20 § PUL för regeringen eller den myndighet som regeringen bestämmer att föreskriva ytterligare undantag om det behövs med hänsyn till ett viktigt allmänt intresse. När det gäller bemyndigandet i 20 § PUL resoneras inte närmare i motiven kring vilka skyddsåtgärder som krävs när regeringen eller Datainspektionen meddelar föreskrifter. Det konstateras bara att regeringen och inspektionen måste hålla sig inom den ram som direktivet ställer upp.9

Bemyndigandet i 20 § PUL har bland annat utnyttjats genom att det har införts en bestämmelse i 8 § PUF om att känsliga personuppgifter får behandlas av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen gäller utöver den behandling som är tillåten enligt den så kallade missbruksregeln i 5 a § PUL och undantagen i 15–19 §§ PUL. Bestämmelsen i 8 § PUF har inte ansetts omfatta så kallad faktisk verksamhet som en myndighet bedriver.10Med faktisk verksamhet kan avses t.ex. viss vård och behandling, rådgivning,

8 Artikel 29-gruppens Advice paper on special categories of data (”sensitive data”), s. 7. 9SOU 1997:39 s. 329. 10SOU 2015:39 s. 304.

172

uppföljning eller samverkan utan ärendeanknytning. Behandling av känsliga personuppgifter som förekommer i sådan verksamhet hämtar sannolikt sitt stöd i missbruksregeln i 5 a § PUL.

Det finns också andra exempel än 8 § PUF på när bemyndigandet har utnyttjats för att på förordningsnivå föreskriva att myndigheter får behandla känsliga personuppgifter, t.ex. i 9 § förordningen (2002:710) med instruktion för Folke Bernadotteakademin, samt 6 och 7 §§ förordningen (2006:275) om behandling av personuppgifter i utrikesförvaltningens konsulära verksamhet. Det har också förekommit att regeringen beslutat om bestämmelser om privata aktörers behandling av känsliga personuppgifter på grund av viktiga allmänna intressen med stöd av 20 § PUL, exempelvis 3 kap. 13 § läkemedelsförordningen (2015:458), där det stadgas att innehavare av ett godkännande eller en registrering för försäljning av läkemedel får utföra behandling av personuppgifter som rör hälsa om det är nödvändigt för att de ska kunna fullgöra vissa skyldigheter.

Även i övrigt har artikel 8.4 i direktivet utgjort grund för bestämmelser i en mängd sektorsspecifika författningar, vilka medger behandling av känsliga personuppgifter på olika områden. Bland annat har tillsynsverksamheten hos Inspektionen för socialförsäkringen ansetts utgöra ett viktigt allmänt intresse, liksom att socialtjänsten kan utföra sina arbetsuppgifter på ett tillfredsställande sätt.11I svensk rätt har alltså begreppet viktigt allmänt intresse ansetts omfatta även sådan verksamhet som innefattar myndighetsutövning.

10.6.2. Överväganden och förslag

Utredningens förslag: Särskilda undantag från förbudet mot

behandling av personuppgifter bör införas för myndigheter.

Myndigheter ska få behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Vidare ska myndigheter och andra organ som omfattas av offentlighetsprincipen få behandla känsliga personuppgifter om dessa har lämnats till myndigheten eller organet och behandlingen krävs enligt lag. Dessutom ska myndigheter i enstaka fall få behandla känsliga personuppgifter om det är abso-

11Prop. 2000/01:80 s.144 och SOU 2014:67 s. 112.

173

lut nödvändigt för ändamålet med behandlingen och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Ett förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter ska också införas, i fall då behandlingen sker enbart med stöd av de nämnda undantagen.

Regeringen ska få meddela föreskrifter om ytterligare undantag från förbudet mot behandling av känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse.

Begreppet viktigt allmänt intresse

Av artikel 9.2 g framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av nationell rätt. Samtidigt förekommer begreppet allmänt intresse i artikel 6.1 e. Båda begreppen är unionsrättsliga, och finns även i dataskyddsdirektivet (artiklarna 7 e och 8.4). Olika varianter på begreppen återfinns, förutom i de nämnda artiklarna, i artikel 23.1 e och artikel 49 d i dataskyddsförordningen. Vad som är ett allmänt intresse respektive ett viktigt allmänt intresse är dock inte definierat i vare sig dataskyddsdirektivet eller dataskyddsförordningen, och begreppens innebörd har inte heller utvecklats av EUdomstolen.

I avsnitt 8.3.4 bedömer vi att det med hänsyn till svensk förvaltningstradition är rimligt att anta att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse, och att de obligatoriska uppgifter som utförs av kommuner och landsting till följd av deras åligganden enligt lag eller förordning, är av allmänt intresse i dataskyddsförordningens mening.

Det kan noteras att i kommissionens ursprungliga förordningsförslag föreslogs att begreppet allmänt intresse skulle användas i artikel 9, i stället för viktigt allmänt intresse. Ordet ”viktigt” fördes dock tillbaka under förhandlingarna i rådet. Detta talar för att begreppet i artikel 9 är något snävare än begreppet i artikel 6.

Det är svårt att på ett generellt plan definiera vad som skiljer en uppgift av allmänt intresse enligt artikel 6.1 e från sådana viktiga allmänna intressen som kan motivera behandling av känsliga person-

174

uppgifter enligt artikel 9.2 g. Utgångspunkten för våra fortsatta överväganden när det gäller myndigheters behandling är att det måste anses utgöra ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt. Vilken behandling av känsliga personuppgifter som är nödvändig av hänsyn till detta intresse får bedömas när myndigheternas behandling av personuppgifter blir föremål för författningsreglering nationellt. Vi avser att återkomma till den frågan nedan, när det gäller hur ett generellt tilllämpligt undantag för myndigheter bör utformas i dataskyddslagen. Det kan dock finnas anledning att erinra om att även om viss behandling av känsliga personuppgifter är tillåten enligt dataskyddslagen eller sektorsspecifik reglering måste den i det enskilda fallet också leva upp till dataskyddsförordningens krav i övrigt, exempelvis principerna för behandling i artikel 5.

Förordningens krav på skyddsåtgärder förklaras inte närmare i förordningstext eller skäl. Artikel 29-gruppen har inför dataskyddsreformen efterfrågat en definition av begreppet och exemplifieringar av sådana åtgärder, men någon definition har inte införts i förordningen.

En särskild myndighetsreglering

Myndigheter har ofta berättigade skäl att behandla känsliga personuppgifter, och i många fall sker behandlingen i den registrerades eget intresse. Det finns därför ett behov av en tydlig reglering som tillåter viss behandling av känsliga personuppgifter hos myndigheterna. I många fall finns sådana regler i sektorsspecifika författningar. Det behov av att behandla känsliga personuppgifter som därutöver finns hos myndigheter är i dag tillgodosett genom att viss behandling är tillåten enligt 8 § PUF och genom missbruksregeln i 5 a § PUL. Vi bedömer att det även fortsättningsvis finns behov av generellt tillämpliga undantag, som ska gälla i de fall där sektorsspecifik reglering saknas.

Förordningens krav på att behandlingen ska vara nödvändig för ett viktigt allmänt intresse utgör en grundläggande begränsning av myndigheternas möjligheter till behandling. Det är inte helt klart i vilken mån kravet på nödvändighet innebär något ytterligare för myndig-

175

heternas del än det nödvändighetskrav som återfinns redan i villkoren för laglig behandling i artikel 6.1 c och e i dataskyddsförordningen. Sannolikt innebär kravet på nödvändighet i artikel 9 enbart en erinran om att behovet av att behandla just de känsliga personuppgifterna ska prövas mot det något striktare kravet på ”viktigt allmänt intresse”. I detta sammanhang förtjänar det att påpekas att unionsrättsligt har nödvändighetsrekvisitet inte ansetts utgöra ett krav på att det ska vara omöjligt att fullgöra förpliktelsen eller utföra uppgiften utan att behandlingsåtgärden vidtas.12

Informationshanteringsutredningen föreslog en bestämmelse om behandling av känsliga personuppgifter hos myndigheter av följande lydelse. 13

Utöver vad som följer av 15, 16, 18 och 19 §§personuppgiftslagen (1998:204) får känsliga personuppgifter behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det eller om uppgifterna behandlas endast i löpande text.

Utredningen menade bland annat att förslaget skulle tillgodose behovet av en reglering som möjliggör behandling av känsliga personuppgifter inom ramen för ett ärendehanteringssystem, oavsett om de förekommer i löpande text eller inte. Förslaget innebar också att missbruksregeln inte skulle tillämpas på myndigheters behandling av känsliga personuppgifter.

Förslaget kritiserades av flera remissinstanser, bland andra Datainspektionen och Advokatsamfundet. Datainspektionen ansåg att begränsningen till vad som är nödvändigt för handläggningen av ett ärende inte innebar en tillräckligt restriktiv utformning av bestämmelsen eftersom det potentiella integritetsintrånget skulle bero på hur myndigheterna väljer att avgränsa sina ärenden. Inspektionen kritiserade också att förslaget inte innehöll någon begränsning till uppgifter i löpande text. Advokatsamfundet menade att den nuvarande regleringen i 8 § PUF borde ha tagits in oförändrad i förslaget.

Mot bakgrund av den remisskritik som uttalats mot Informationshanteringsutredningens förslag är vår utgångspunkt att någon större utvidgning av myndigheternas möjligheter att behandla känsliga personuppgifter inte bör införas genom den dataskyddslag vi föreslår. En

12 Dom Huber mot Tyskland, C-524/06, EU:C:2008:724. 13SOU 2015:39 s. 39, 10 § i förslaget till myndighetsdatalag.

176

tydligt utvidgad möjlighet att behandla känsliga personuppgifter hos myndigheter måste föregås av en mer ingående analys av konsekvenserna ur ett integritetsperspektiv, som vi inte bedömer är möjlig att genomföra inom ramen för vårt uppdrag.

Behandling i löpande text

I dag har myndigheter enligt 8 § PUF möjlighet att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Detta möjliggör till exempel att känsliga personuppgifter får finnas i skälen till ett beslut, när det krävs för att beslutet ska uppfylla kraven enligt förvaltningslagen (1986:223). Med de avgränsningar bestämmelsen har till myndigheters ärendehandläggning bedömer vi att sådan behandling får anses nödvändig av hänsyn till ett viktigt allmänt intresse och att den bör möjliggöras genom en bestämmelse i dataskyddslagen.14Begränsningen till löpande text bör dock inte utesluta att handlingar med ostrukturerade känsliga personuppgifter lagras elektroniskt i ärendehanteringssystem eller liknande. Skyddet för uppgifterna bör i stället upprätthållas genom ett sökförbud, se nedan.

Behandling som krävs på grund av annan lag

Att myndigheterna ska kunna sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt måste som vi konstaterat tidigare anses vara ett viktigt allmänt intresse. Detta förutsätter att den grundlagsstadgade handlingsoffentligheten och andra lagstadgade skyldigheter upprätthålls. Viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av exempelvis tryckfrihetsförordningens, offentlighets- och sekretesslagens och förvaltningslagens krav när det gäller inkomna handlingar, såsom krav på diarieföring och skyldighet att ta emot e-post. Myndigheternas skyldigheter enligt nämnda lagar är inte begränsade till behandling som sker inom ramen för ärendehandläggning eller i löpande text. Samma skyldigheter gäller i viss utsträckning för vissa andra organ än myndigheter, som en följd av att dessa organ jämställs med myndigheter

14 En liknande bedömning gjordes i SOU 2004:6 s. 115 f.

177

enligt offentlighets- och sekretesslagen. Sådan behandling bör uttryckligen tillåtas i dataskyddslagen så att det inte råder någon tveksamhet kring lagligheten av behandlingen.

Absolut nödvändig behandling i andra fall

Behandling av känsliga personuppgifter kan vidare vara berättigad även i vissa situationer utöver behandling i löpande text med koppling till ett visst ärende, eller då behandlingen inte direkt krävs enligt annan lag. Så kan exempelvis vara fallet i faktisk verksamhet såsom i kommunikation mellan skola och föräldrar eller inom en myndighet i samband med utvärdering. Enligt nuvarande ordning ges möjlighet till sådan behandling med stöd av missbruksregeln i 5 a § PUL, vilken bland annat innebär att behandling får ske i ostrukturerat material om den inte innebär en kränkning av den registrerades personliga integritet. Denna formulering i 5 a § PUL innebär att bedömningen ska ta sin utgångspunkt i vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas och vilken spridning uppgifterna har fått.15Formuleringen har också ansetts medföra att en intresseavvägning måste ske i det enskilda fallet.16

Vår utgångspunkt är att dataskyddslagen bör ge utrymme för behandling i motsvarande situationer efter en prövning i det enskilda fallet. Behandlingen måste dock regleras på ett sätt som beaktar förordningens krav på proportionalitet och skyddsåtgärder. För att uppnå detta i en bestämmelse som avser samtliga myndigheter är det vår bedömning att regleringen bör innehålla vissa klart begränsande rekvisit. Det bör därför framgå av författningstexten att undantaget ska gälla för behandling i enstaka fall.

Ett rekvisit som använts såväl i unionsrätten som i svensk rätt för att markera restriktivitet är begreppet absolut nödvändigt. Begreppet ska inte förväxlas med det unionsrättsliga begreppet nödvändigt, vilket som nämnts tidigare har fått en något annorlunda betydelse än det har i svenskt språkbruk (jfr avsnitt 8.2.2).

Begreppet absolut nödvändigt återfinns bland annat i artikel 10 och artikel 39.1 a i det nya dataskyddsdirektivet (”strictly necessary” i

15Prop. 2005/06:173 s. 59. 16 Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till 5 a § PUL.

178

den engelska versionen). Av skäl 72 i nya dataskyddsdirektivet framgår att man med rekvisitet absolut nödvändigt i artikel 39.1 a – som rör överföring av uppgifter till mottagare som är etablerade i tredjeländer − avsett att regleringen ska tillämpas restriktivt och inte möjliggöra upprepade, omfattande, strukturella eller storskaliga överföringar. Det finns också ett flertal exempel på hur begreppet absolut nödvändigt har använts i svensk rätt i sektorsspecifika författningar som har antagits på senare tid, exempelvis i 2 kap. 8 § åklagardatalagen (2015:433) och 15 § utlänningsdatalagen, för att markera särskild restriktivitet och betona vikten av en prövning i det enskilda fallet.

Vår avsikt är att markera att behandling av känsliga personuppgifter i här aktuella fall bara ska ske efter en noggrann prövning i det enskilda fallet. Enligt vår bedömning ger rekvisitet absolut nödvändigt uttryck för den avsikten på ett rättvisande sätt.

Prövningen bör också ske med beaktande av vilket intrång behandlingen utgör i den registrerades integritet. Vi föreslår därför att en avvägning ska göras av om en i och för sig absolut nödvändig behandling av känsliga personuppgifter ändå innebär ett otillbörligt intrång i den registrerades identitet. Begreppet otillbörligt intrång används bland annat i 19 § andra stycket PUL, och förekom redan i 3 § datalagen (1973:289).

Av 3 § datalagen och motiven till den bestämmelsen framgår att det vid bedömningen av om en behandling utgjorde ett otillbörligt intrång skulle läggas vikt vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kunde antas ha till att uppgifter om dem behandlades, den spridning de skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.17 Sådana aspekter bör vara vägledande även vid tillämpningen av den bestämmelse vi föreslår. Den närmare betydelsen av begreppet otillbörligt intrång bör dock inte slås fast, utan ges utrymme att utvecklas i rättstillämpningen. Om en domstol skulle bedöma att en absolut nödvändig behandling ändå utgör ett otillbörligt intrång och därmed inte är tillåten, bör lagstiftaren överväga om ett sektorsspecifikt undantag med mer precisa avvägningar och begränsningar behövs för att myndigheten ska kunna bedriva sin verksamhet på det aktuella området.

17Prop. 1973:33 s. 94 f.

179

Sökförbud

Eftersom den reglering vi föreslår för myndigheters behandling av känsliga personuppgifter inte är avgränsad till visst område, viss verksamhet eller en viss typ av ärenden bedömer vi att ytterligare åtgärder bör införas för att leva upp till förordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

En vanligt förekommande skyddsåtgärd i befintliga sektorsspecifika författningar är sökbegränsningar. Vi menar att en sökning som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med ett sökförbud uppnås ett relativt effektivt skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.

Ett sådant sökförbud innebär i svensk rätt också att offentlighetsprincipen inskränks enligt den så kallade begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. En begäran att få tillgång till en sammanställning av uppgifter som är resultatet av en sådan förbjuden sökning ska alltså avslås på den grunden att sammanställningen inte anses förvarad hos myndigheten. Att sammanställningar av känsliga personuppgifter inte lämnas ut framstår som en inte obetydlig integritetsvinst för de registrerade. Det bör dock understrykas att begränsningsregeln inte hindrar att sökningar görs i färdiga elektroniska handlingar vid en begäran om tillgång till allmänna handlingar. Sökning får alltså på begäran ske i upptagningar där myndigheten eller den som lämnat in handlingen till myndigheten har gett upptagningen ett bestämt, fixerat, innehåll som går att återskapa gång på gång.

Med beaktande av vad som nämnts ovan om skyddseffekterna av ett sökförbud föreslår vi att myndigheters möjligheter att använda sökbegrepp som avslöjar känsliga personuppgifter ska begränsas. Ett alternativ vi har övervägt är att föreslå ett generellt sökförbud för myndigheter, oavsett på vilket undantag de stödjer sin behandling. Konsekvenserna av ett generellt tillämpligt sökförbud är dock svåra att överblicka, såväl vad gäller effekterna på handlingsoffentligheten som när det gäller myndigheternas praktiska verksamhet. Det är

180

vidare tveksamt om ett sökförbud som gäller även för behandling som sker med stöd av direkt tillämpliga undantag i artikel 9 skulle vara förenligt med förordningen.

Vi har mot denna bakgrund bedömt att sökförbudet bör begränsas till fall då behandlingen sker enbart med de generella myndighetsundantagen som grund. Det innebär exempelvis att sökförbudet inte kommer att gälla när behandling sker i myndigheters personaladministrativa verksamhet med stöd av det föreslagna undantaget på arbetsrättens område. I praktiken kan sökförbudets utformning därför komma att få effekter på hur myndigheterna organiserar sin personuppgiftsbehandling, genom att hanteringen av personaladministrativa uppgifter skiljs från behandling som huvudsakligen sker med stöd av de generella myndighetsundantagen. Detta torde dock vara fallet redan i dag, eftersom uppgifter i den personaladministrativa verksamheten omfattas av särskilda sekretessregler och som regel behandlas av en begränsad krets personer. Vår bedömning är att merparten av den behandling av känsliga personuppgifter som sker i myndigheternas verksamhet i övrigt kommer att behöva ske med stöd av de föreslagna myndighetsundantagen, när sektorsspecifik reglering inte finns.

Sökförbudet bör omfatta alla typer av tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas.

Sektorsspecifik reglering och normnivå

De här föreslagna undantagen är avsedda att vara generellt tillämpliga regler som ska gälla för myndigheter i verksamhet som inte har någon sektorsspecifik reglering av sin behandling av känsliga personuppgifter. Det kan finnas anledning att för vissa sektorer närmare precisera och avgränsa möjligheterna att behandla känsliga personuppgifter mer än i de här föreslagna undantagen. Ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dessa undantag medger, exempelvis ett behov av att använda sökbegrepp som avslöjar känsliga personuppgifter, kommer också att finnas i vissa verksamheter. Det finns då, precis som i dag, möjlighet att införa sektorsspecifik reglering som är mer tillåtande − exempelvis genom undantag från sökförbudet − så länge dessa undantag utfor-

181

mas så att de är förenliga med regeringsformens och dataskyddsförordningens bestämmelser. En viktig aspekt att beakta är då givetvis förordningens krav på proportionalitet, förenlighet med det väsentliga innehållet i rätten till dataskydd och kravet på skyddsåtgärder. I detta sammanhang förtjänar det återigen att påpekas att all behandling, även sådan behandling av känsliga personuppgifter som har stöd i sektorsspecifik författning, måste leva upp till förordningens krav i det enskilda fallet, exempelvis de grundläggande kraven på behandling i artikel 5.

Den enda generella reglering av myndigheternas behandling av känsliga personuppgifter som finns i dag är föreskriven på förordningsnivå (8 § PUF). Vi anser dock att de undantag vi föreslår för myndigheters behandling av känsliga personuppgifter bör regleras i lag. Vi bedömer i och för sig inte att de nu föreslagna undantagen är av sådant slag att de måste regleras i lag enligt 2 kap.6 och 20 §§regeringsformen. Bestämmelsen i 8 kap. 2 § 2 regeringsformen ger vidare möjlighet att meddela undantag från förbudet mot behandling av känsliga personuppgifter med stöd i ett bemyndigande, se avsnittet nedan. Med tanke på att de undantag vi föreslår för myndigheternas behandling av känsliga personuppgifter gäller generellt, utan begränsning till viss typ av verksamhet eller vissa typer av ärenden, är det ändå lämpligt att regleringen får lagform.

Bemyndigande som möjliggör ytterligare undantag

Bemyndigandet i 20 § PUL har som nämnts ovan utnyttjats i flera fall för att föreskriva i förordning att behandling för viktiga allmänna intressen får ske utöver undantaget för myndigheters behandling i 8 § PUF, bland annat för att reglera privata aktörers behandling av känsliga personuppgifter. Det kommer att finnas ett fortsatt behov av att i förordning kunna föreskriva undantag för viktiga allmänna intressen för vissa tydligt avgränsade ändamål eller för vissa särskilda verksamheter, utöver de generella undantag för myndigheter som vi föreslår. På grund av att den så kallade missbruksregeln i 5 a § PUL inte längre kommer att kunna utgöra stöd för behandling när förordningen börjar tillämpas, kommer sannolikt behovet av ytterligare undantag att öka.

182

Frågan är då om ett bemyndigande krävs för att åstadkomma en sådan möjlighet. I motiven till personuppgiftslagen har det ansetts att reglering som rör i vilka konkreta fall viktiga allmänna intressen gör det befogat att känsliga personuppgifter behandlas trots det generella förbudet mot behandling av sådana uppgifter, är sådana offentligrättsliga föreskrifter som tillhör det primära lagområdet men som kan meddelas efter delegation enligt nuvarande 8 kap. 2 § 2 och 3 § regeringsformen.18

Vi instämmer i den bedömning som har gjorts tidigare. Eftersom ett principiellt förbud mot behandling av känsliga personuppgifter gäller till skydd för enskilda, innebär en reglering som möjliggör behandling av just känsliga personuppgifter enligt vår mening ett sådant ingrepp i enskildas personliga förhållanden som enligt 8 kap. 2 § 2 regeringsformen ska ha stöd i ett bemyndigande. Några problem med det befintliga bemyndigandet till regeringen har inte framkommit. Vi föreslår därför att ett bemyndigande för regeringen att föreskriva om undantag förs in i dataskyddslagen. Eftersom regeringen hittills inte har sett anledning att utnyttja möjligheten i 20 § PUL att bemyndiga Datainspektionen att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslår vi ingen sådan möjlighet.

När nya undantag övervägs med stöd av bemyndigandet måste en noggrann bedömning göras av om lagform ändå krävs enligt 2 kap.6 och 20 §§regeringsformen. Det måste också säkerställas att förordningens krav i övrigt, bland annat när det gäller skyddsåtgärder, är uppfyllda.

10.7. Hälso- och sjukvård och social omsorg

10.7.1. Gällande rätt

Dataskyddsdirektivets undantag för behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet (artikel 8.3) har följande lydelse.

Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller

18Prop. 1997/98:44 s. 59 f och SOU 1997:39 s. 328.

183

när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

Bestämmelsen har genomförts i 18 § PUL. I första stycket stadgas att känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling, eller administration av hälso- och sjukvård. Bestämmelsen anses täcka nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvårdsområdet. Bland annat har internationellt folkhälsoarbete, kvalitetshöjande behandling av personuppgifter, debitering av avgifter och tillsyn över hälso- och sjukvård ansetts omfattas av bestämmelsen.

I andra stycket första meningen samma paragraf stadgas att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt även får behandla sådana känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller enligt andra meningen i samma stycke den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet. I bestämmelsen uppställs inget krav på att uppgifterna ska behandlas för hälso- och sjukvårdsändamål. Det krav som ställs i praktiken är alltså i stället att den person som behandlar uppgifterna omfattas av tystnadsplikt enligt 25 kap. 1 § OSL, eller enligt 12 § patientsäkerhetslagen (2010:659), antingen direkt eller genom att tystnadsplikten överförts i sådana fall som avses i 11 kap. OSL. Den svenska implementeringen av direktivet genom 18 § andra stycket PUL har fått kritik för att den innebär en väsentlig utvidgning i förhållande till direktivet. Detta kan bero på att den svenska versionen av direktivet är felöversatt. Enligt de engelsk- och franskspråkiga versionerna av direktivet gäller kravet på tystnadsplikt utöver kravet på att behandlingen ska ske för de särskilt angivna hälso- och sjukvårdsändamålen.19

Bestämmelsen i 18 § andra stycket andra meningen PUL om den som har fått uppgifter från en verksamhet inom hälso- och sjukvårdsområdet infördes efter remissynpunkter för att genomföra direktivets bestämmelse om behandling av en annan person som är ålagd en

19SOU 2006:82 s. 175 och Rynning, Förvaltningsrättslig tidskrift 2003 s. 112.

184

liknande tystnadsplikt som yrkesverksamma på hälso- och sjukvårdsområdet. Syftet var att reglera situationer när känsliga personuppgifter lämnas av en myndighet inom hälso- och sjukvården till forskningsverksamhet eller verksamhet för tillsyn eller revision hos annan myndighet .20

I dag regleras behandling av personuppgifter inom hälso- och sjukvården framför allt i patientdatalagen. Behandling av uppgifter om känsliga personuppgifter i den verksamheten anses ske med stöd av ändamålsbestämmelserna i 2 kap. 4 och 7 §§ nämnda lag.21 I 2 kap. 8 § patientdatalagen finns också en bestämmelse som reglerar möjligheterna att använda känsliga personuppgifter som sökbegrepp. Patientdatalagen reglerar inte behandling av känsliga personuppgifter som sker hos tillsynsmyndigheterna på hälso- och sjukvårdsområdet, dvs. exempelvis Datainspektionen, Socialstyrelsen och Inspektionen för vård och omsorg. Sådan behandling sker direkt med stöd av 18 § PUL.

10.7.2. Överväganden och förslag

Utredningens förslag: Känsliga personuppgifter ska få behandlas

för sådana ändamål relaterade till hälso- och sjukvård samt social omsorg som avses i dataskyddsförordningen, under förutsättning att förordningens krav på tystnadsplikt är uppfyllt.

I artikel 9.2 h i dataskyddsförordningen har några ytterligare verksamhetstyper lagts till den uppräkning av verksamheter som anges i direktivets motsvarande artikel i hälso- och sjukvårdsundantaget, nämligen yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet och social omsorg. Sannolikt omfattar tillägget avseende arbetskapacitet behandling av uppgifter relaterade till sjukskrivning och rehabilitering på arbetet och begreppet social omsorg snarast uppgifter som utförs av socialtjänsten.

Vissa justeringar i artikeltexten i övrigt har också gjorts. Begreppet vård har ersatts med tillhandahållande av hälso- och sjukvård och begreppet administration av hälso- och sjukvård har ersatts med för-

20Prop. 1997/98:44 s. 125. 21Prop. 2007/08:126 s. 63 och 230 f.

185

valtning av hälso- och sjukvårdstjänster och deras system. Av dataskyddsförordningens skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bland annat inbegripa behandling som utförs av centrala nationella hälsovårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Dessutom har direktivets formulering att behandlingen ska vara nödvändig med hänsyn till sådan verksamhet som omnämns i artikeln, bytts ut till att behandlingen ska vara nödvändig av skäl som hör samman med sådan verksamhet.

Av artikel 9.3, som är direkt tillämplig, framgår att behandling av känsliga personuppgifter som avses i artikel 9.2 h får utföras av, eller under ansvar av, personer som omfattas av tystnadsplikt enligt unionsrätten, medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. I artikeln tydliggörs också att sådan behandling ska ske för de ändamål som nämns i artikel 9.2 h. Förordningens reglering tycks alltså sammanfattningsvis innebära att all behandling enligt artikel 9.2 h förutsätter såväl tystnadsplikt som att behandlingen sker för de särskilt angivna hälso- och sjukvårdsrelaterade ändamålen.

Det är av stor vikt att förutsättningarna för att behandla känsliga personuppgifter för hälso- och sjukvårdsändamål är reglerade på ett så tydligt sätt som möjligt. Det finns sannolikt även fortsättningsvis ett behov av att detaljreglera de närmare förutsättningarna för behandling av personuppgifter på dessa områden, även känsliga personuppgifter, i sektorsspecifik författning. Det är dock inte självklart att sådana författningar kan och bör reglera även exempelvis tillsynsmyndigheternas behandling. Det har inte framkommit annat under utredningens arbete än att den nuvarande regleringen behövs. Vi menar därför att ett grundläggande undantag när det gäller behandling av känsliga personuppgifter i verksamhet på hälso- och sjukvårdsområdet och inom social omsorg även fortsättningsvis bör finnas i generell reglering, dvs. i dataskyddslagen.

Vi föreslår att den befintliga regleringen i 18 § första stycket PUL används som utgångspunkt, men att ordalydelsen anpassas till de tillägg och justeringar som har gjorts i förordningstexten i artikel 9.2 h jämfört med direktivstexten. Känsliga personuppgifter ska alltså få behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagno-

186

ser, tillhandahållande av hälso- och sjukvård eller behandling, social omsorg samt förvaltning av social omsorg, hälso- och sjukvårdstjänster och deras system.

Det framgår enligt vår mening tydligt av förordningstexten i artikel 9.2 h och artikel 9.3 att all behandling måste ske för de närmare specificerade hälso- och sjukvårdsrelaterade ändamål som nämns i artikel 9.2 h, och att sådan behandling bara får ske av eller under ansvar av en person som omfattas av tystnadsplikt enligt gällande rätt. Eftersom artikel 9.3 i förordningen är direkt tillämplig får den närmare innebörden av kravet på tystnadsplikt ytterst uttolkas av EUdomstolen. I Sverige regleras tystnadsplikt inom de områden som täcks av artikeln i bland annat 25 och 26 kap. OSL och 6 kap.1216 §§patientsäkerhetslagen.

Enligt förordningens skäl 53 omfattas behandling av känsliga personuppgifter inom tillsyn över hälso- och sjukvård av artikel 9.2 h. Därmed bör enligt vår bedömning den behandling som åsyftas i 18 § andra stycket PUL kunna omfattas av ordalydelsen i artikel 9.2 h och 9.3 i förordningen.

10.8. Folkhälsa

10.8.1. Gällande rätt

Något särskilt undantag från förbudet mot behandling av känsliga personuppgifter i fråga om behandling för folkhälsoändamål finns inte i dataskyddsdirektivet. I skäl 34 i direktivet nämns i stället folkhälsa som ett sådant område där ett undantag kan vara motiverat av hänsyn till viktiga allmänna intressen. Internationellt folkhälsoarbete har i svensk rätt ansetts falla in under formuleringen förebyggande hälsovård i 18 § PUL, dvs. det så kallade hälso- och sjukvårdsundantaget.22

22Prop. 2005/06:215 s. 47.

187

10.8.2. Överväganden

Utredningens bedömning: Något undantag för behandling av

känsliga personuppgifter på folkhälsoområdet bör inte införas i dataskyddslagen.

I förordningens artikel 9.2 i finns ett särskilt undantag från förbudet att behandla känsliga personuppgifter som tar sikte på behandling som är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter. Artikeln innehåller en hänvisning till nationell rätt och ett krav på att lämpliga och specifika åtgärder fastställs för att skydda den registrerades fri- och rättigheter. Tystnadsplikt framhålls särskilt som en sådan åtgärd som ska fastställas.

I förordningens skäl 54 anges att termen folkhälsa bör tolkas i enlighet med förordning 1338/2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet.23 Den definition som anges där är mycket vid och omfattar ”alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker”.

Folkhälsoarbete anses i Sverige vara tvärsektoriellt och involverar såväl Folkhälsomyndighetens arbete som arbete inom kommuner, landsting och länsstyrelser. Hos Folkhälsomyndigheten ligger en stor del av arbetet med att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan .24 Uppgiften att säkerställa kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter ligger i Sverige främst hos Läkemedelsverket och Socialstyrelsen.

Det är oklart om förordningens undantag på folkhälsoområdet egentligen innebär ökade möjligheter att behandla känsliga person-

23 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet. 242 § förordningen (2013:1021) med instruktion för Folkhälsomyndigheten.

188

uppgifter jämfört med direktivet. Undantaget infördes under förordningens behandling i rådet, och fanns alltså inte med i kommissionens ursprungliga förslag. Något liknande förslag har inte heller framförts av Europaparlamentet eller den europeiska datatillsynsmannen under arbetet med förordningen.

Behandling av känsliga personuppgifter på folkhälsoområdet sker i dag antingen med stöd av undantaget avseende behandling inom hälso- och sjukvården eller med stöd av undantaget som avser behandling av hänsyn till ett viktigt allmänt intresse. En stor del av den verksamhet som bedrivs på folkhälsoområdet i Sverige innebär till exempel behandling för statistikändamål, och har ansetts kunna ske med stöd av 19 § PUL, som i sin tur har införts med stöd av direktivets undantag av hänsyn till ett viktigt allmänt intresse. Det har inte framkommit att Folkhälsomyndigheten, Läkemedelsverket, Socialstyrelsen eller kommuner och landsting har upplevt att stöd saknas för den behandling av känsliga personuppgifter som måste ske inom nationellt eller internationellt folkhälsoarbete.

Med det krav som finns i artikel 9.2 i på att specifika skyddsåtgärder ska fastställas bedömer vi att undantaget måste genomföras i nationell rätt för att vara tillämpligt. Vår bedömning är emellertid att den behandling av känsliga personuppgifter som är nödvändig på folkhälsoområdet i många fall kan ske med stöd av de undantag vi föreslår avseende behandling för viktiga allmänna intressen, för statistiska ändamål samt på hälso- och sjukvårdsområdet. Vi bedömer därför att något behov inte finns av ett särskilt undantag i dataskyddslagen för behandling av känsliga personuppgifter på folkhälsoområdet. Om det finns behov för någon av de myndigheter som arbetar inom folkhälsoområdet att ha ytterligare möjligheter att behandla känsliga personuppgifter, bör detta enligt vår mening i första hand övervägas i sektorsspecifik reglering, där en bedömning av befintligt sekretesskydd och behov av andra specifika skyddsåtgärder kan bedömas för varje myndighet för sig.

11. Personuppgifter som rör lagöverträdelser

11.1. Vårt uppdrag

Enligt kommittédirektiven ska utredningen analysera i vilken utsträckning det bör införas regler i den kompletterande regleringen som tillåter behandling av uppgifter om lagöverträdelser som inte sker under kontroll av en myndighet. En lämplig utgångspunkt för en sådan analys är enligt direktiven den befintliga regleringen om behandling för forskningsändamål och den delegerade föreskriftsrätten i personuppgiftslagen.

Som framgår av avsnitt 2.2 har vi i samråd med Forskningsdatautredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautredningen är bäst lämpad att göra den analys och de överväganden som krävs. Vi behandlar därför inte frågan om behandling av uppgifter om lagöverträdelser för forskningsändamål.

Våra överväganden och förslag när det gäller behandling av personuppgifter som rör lagöverträdelser för arkivändamål av allmänt intresse finns i avsnitt 14.

11.2. Gällande rätt

Uppgifter om lagöverträdelser och liknande uppgifter tillhör inte de särskilda kategorier av personuppgifter som omfattas av förbudet i artikel 8.1 i dataskyddsdirektivet, men anses ändå vara en kategori personuppgifter som förtjänar särskilt skydd.1

1 Uppgifter om fällande domar jämställs med känsliga personuppgifter i artikel 6 i dataskyddskonventionen.

I direktivet regleras behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder i artikel 8.5. Där stadgas att sådan behandling endast får utföras under kontroll av en myndighet eller med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Det stadgas också att ett fullständigt register över brottmålsdomar bara får föras under kontroll av en myndighet. Enligt artikelns andra stycke får medlemsstaterna föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.

Bestämmelsen har genomförts i svensk rätt genom 21 § PUL. Enligt paragrafens första stycke gäller ett förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Som framgår av 21 § PUL har direktivets formulering ”under kontroll av en myndighet” tolkats som att ett förbud ska gälla för andra än myndigheter att behandla uppgifter om lagöverträdelser.2

I 21 § tredje och fjärde styckena PUL finns bemyndiganden för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter eller beslut i enskilda fall om undantag från förbudet för enskilda att behandla sådana uppgifter. Datainspektionen har med stöd av ett bemyndigande i 9 § PUF meddelat sådana föreskrifter bland annat för att möjliggöra behandling av enstaka uppgifter som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall, liksom behandling av enstaka uppgifter som är nödvändig för att anmälningsskyldighet enligt lag ska kunna fullgöras.3

Begreppet överträdelser i direktivet har bedömts innebära att det ska vara fråga om överträdelser som är straffsanktionerade, vilket uttryckts i lagtexten som lagöverträdelser som innefattar brott.4 Det är inte helt klart i vilken utsträckning uppgifter som rör misstankar om brott omfattas. Datalagskommittén menade att uppgifter om faktiska iakttagelser om en persons handlande inte rimligen kunde anses som uppgifter om lagöverträdelser i alla fall.5Högsta förvaltningsdomstolen har dock uttalat att behandling av uppgifter om fordon som förekommit i samband

2SOU 1997:39 s. 382 och prop. 1997/98:44 s. 74 f. 3 DIFS 2010:1, Datainspektionens föreskrifter om ändring av Datainspektionens föreskrifter (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. 4SOU 1997:39 s. 383. 5SOU 1997:39 s. 383.

med obetalda tankningar ska ses som en behandling av personuppgifter om lagöverträdelser .6

Uttrycken straffprocessuella tvångsmedel och administrativa frihetsberövanden i 21 § PUL är avsedda att motsvara uttrycken säkerhetsåtgärder och administrativa sanktioner i direktivet.7Med administrativa frihetsberövanden avses exempelvis frihetsberövanden enligt lagen om psykiatrisk tvångsvård, lagen om vård av missbrukare och lagen med särskilda bestämmelser om vård av unga, liksom uppgifter om frihetsberövande av utlänningar enligt 10 kap. utlänningslagen (2005:716). Möjligheten att reglera uppgifter om avgöranden i tvistemål har inte utnyttjats. Den reglering som fanns i kreditupplysningslagen ansågs tillräcklig.8

11.3. Dataskyddsförordningen

I förordningen används delvis andra formuleringar än i dataskyddsdirektivet. Artikel 10 lyder som följer.

Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.

Inledningsvis kan konstateras att tillämpningsområdet begränsats till enbart fällande brottmålsdomar. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får enligt artikeln utföras under kontroll av myndighet. Begreppet ”under kontroll av myndighet” definieras inte. Det används också i sista meningen i artikel 10, där det stadgas att fullständiga register över fällande domar i brottmål endast får föras under sådan kontroll. Utöver behandling under kontroll av en myndighet kan ytterligare behandling tillåtas i unionsrätten eller medlemsstaternas nationella rätt om lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

6HFD 2016 ref. 8. 7Prop. 1997/98:44 s. 74 f. 8Prop. 1997/98:44 s. 75.

Begreppet lagöverträdelser har ersatts med överträdelser i den svenska språkversionen. I den engelska versionen används begreppet criminal

convictions and offences och i den franska versionen condamnations pénales et aux infractions. Inga skäl finns i förordningen, som skulle

kunna klargöra om avsikten är någon saklig skillnad jämfört med direktivet. Såväl den engelska som den franska textversionen av förordningen talar för att det som avses med termen överträdelser är överträdelser som innefattar brott.

Innebörden av det tillägg i form av en hänvisning till artikel 6.1 som införts i artikeltexten är oklar, men kan möjligen tolkas som en erinran om att behandlingen i fråga måste uppfylla kraven i nämnda artikel i förordningen.

En betydande skillnad i förordningen jämfört med direktivet är att någon möjlighet för medlemsstaterna att på denna grund begränsa behandlingen av personuppgifter om avgöranden i tvistemål och administrativa sanktioner inte finns.

11.4. Överväganden och förslag

Utredningens förslag: Personuppgifter som rör fällande domar i

brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel ska få behandlas av myndigheter. Datainspektionen ska i enskilda fall få besluta om att tillåta sådan behandling för andra än myndigheter.

Vissa bestämmelser som tillåter andra än myndigheter att behandla motsvarande uppgifter ska föras in i förordningen till dataskyddslagen. Regeringen eller, efter bemyndigande från regeringen, Datainspektionen ska få meddela ytterligare sådana föreskrifter.

Utredningens bedömning: Det finns inte stöd i förordningen för att

föreskriva ett förbud mot behandling av personuppgifter om administrativa frihetsberövanden.

De delar av artikel 10 som rör behandling av uppgifter om fällande domar i brottmål, överträdelser och därmed sammanhängande säkerhetsåtgärder under kontroll av en myndighet är direkt tillämpliga. Det är emellertid av stor vikt att regleringen i artikel 10, även vad avser myndigheters behandling, tydliggörs så långt möjligt i nationell rätt. Behand-

ling av sådana uppgifter torde allmänt anses som integritetskänslig, och risken för missbruk, exempelvis genom otillbörlig spridning på internet, framstår som stor. Behandling i strid med artikel 10 kommer enligt vårt förslag vidare att kunna föranleda att sanktionsavgifter påförs (se avsnitt 18.6.4).

Förordningens skäl 8 ger uttryck för att medlemsstaterna får införliva delar av förordningen i nationell rätt, om det krävs för att göra de nationella bestämmelserna begripliga för de personer de tillämpas på. Vi menar att ett sådant införlivande skulle fylla en viktig funktion när det gäller myndigheters behandling av uppgifter om lagöverträdelser, bland annat för att tydliggöra att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla uppgifter om lagöverträdelser. Vår bedömning är därför att första ledet i förordningens artikel 10 bör införlivas i svensk rätt.

Begreppet överträdelser bedömer vi som nämnts ovan som likvärdigt med direktivets begrepp lagöverträdelser, vilket i personuppgiftslagen tolkades som lagöverträdelser som innefattar brott. Detta överensstämmer också med den engelska och franska versionen av förordningen. För att inte riskera en alltför vid tolkning av ordet överträdelser i svensk rätt bör därför begreppet lagöverträdelser som innefattar brott användas även fortsättningsvis. I vilken utsträckning misstankar om brott omfattas av begreppet överträdelser i förordningen framgår inte av artikeltext eller skäl. I avvaktan på klargörande EU-rättslig praxis bedömer vi att misstankar om brott bör omfattas i samma utsträckning som de gör enligt personuppgiftslagen.

Begreppet säkerhetsåtgärder bedömdes i nu aktuellt avseende som likvärdigt med straffprocessuella tvångsmedel vid genomförandet av direktivet.9Slutsatsen motiverades inte närmare, men ligger språkligt väl i linje med i vart fall den engelska språkversionen av förordningen. Eftersom säkerhetsåtgärder används i en annan betydelse på flera håll i förordningen − exempelvis i artiklarna 30.1 g och 35.7 d − anser vi att begreppet straffprocessuella tvångsmedel bör användas i författningstexten även fortsättningsvis.

Som nämnts ovan är innebörden av begreppet under kontroll av en myndighet inte helt klar. Vår bedömning är att det inte kan avse enbart ett krav på att den personuppgiftsansvarige allmänt står under tillsyn av en myndighet. All behandling av personuppgifter enligt förordningen är

9Prop. 1997/98:44 s. 74.

föremål för tillsyn såväl på nationell som på EU-nivå. Eftersom förande av regelrätta register över fällande domar i brottmål enligt förordningen får ske under kontroll av en myndighet kan begreppet rimligen inte tolkas alltför vitt.

Vi menar att det finns goda skäl att anta att uttrycket framför allt är avsett att begränsa rätten att behandla uppgifter till behandling av uppgifter som utförs av myndigheter och att detta tydligt bör framgå av den svenska regleringen. Liksom när det gäller behandling av känsliga personuppgifter förtjänar det att påpekas i detta sammanhang att all behandling av personuppgifter, även behandling av uppgifter om lagöverträdelser hos myndigheter, måste leva upp till förordningens krav i det enskilda fallet, exempelvis de grundläggande kraven på behandling i artikel 5. Att det tydliggörs i dataskyddslagen att myndigheter generellt tillåts behandla uppgifter om lagöverträdelser innebär alltså inte att sådan behandling alltid är tillåten i det enskilda fallet.

Uttrycket ”under kontroll av myndighet” utesluter inte enligt sin ordalydelse att behandling får ske utanför myndighetssfären. För sådan behandling kan den kontroll av myndighet som förutsätts enligt förordningen enligt vår mening upprätthållas genom att den får ske med stöd av särskilda beslut som fattas av tillsynsmyndigheten. Besluten bör lämpligen förenas med villkor såsom återkallelseförbehåll, tidsbegränsningar eller krav på återrapportering. Behandlingen blir därmed föremål för särskilda tillsynsinsatser, och kan således anses ske under kontroll av en myndighet. Ett beslut om att tillåta behandling av uppgifter om lagöverträdelser i enskilda fall bör, mot bakgrund av uppgifternas integritetskänsliga karaktär, bara meddelas om intresset av sådan behandling väger tyngre än de registrerades intresse av att behandling inte sker. Vidare innebär inte ett sådant beslut att den personuppgiftsansvarige fritas från sitt ansvar att se till att behandlingen i det enskilda fallet lever upp till förordningens krav, exempelvis de grundläggande kraven på behandling i artikel 5.

Dataskyddsförordningen ger ett alternativ till att behandlingen får ske under kontroll av myndighet, nämligen att behandlingen på annan grund är tillåten enligt nationell rätt förutsatt att lämpliga skyddsåtgärder fastställs. Enligt vår mening är det inte lämpligt eller ens möjligt att i den generella lagen föreskriva närmare vilken reglering som skulle behövas på detta område. I stället bör det övervägas i särskild ordning där behovet särskilt kan analyseras från fall till fall. En lämplig lösning är därför ett bemyndigande för regeringen och vidare till Datainspektionen att meddela föreskrifter om i vilka fall andra än myndigheter får behandla

uppgifter om lagöverträdelser. För att sådana ska vara förenliga med förordningen förutsätts att lämpliga skyddsåtgärder fastställs i föreskrifterna.

Sammanfattningsvis menar vi att bestämmelser som så långt dataskyddsförordningen medger motsvarar de som finns i 21 § första, tredje och fjärde stycket PUL bör föras in i dataskyddslagen. Som framgått ovan föreslår vi emellertid en reglering som inte längre uttrycks som ett generellt förbud med möjligheter till undantag, på det sätt som 21 § PUL har utformats. Denna skillnad mot personuppgiftslagen sammanhänger med den något ändrade tolkningen av begreppet ”under kontroll av myndighet”, som vi alltså menar bör ges en självständig betydelse när det gäller möjligheten att behandla uppgifter om lagöverträdelser utanför myndighetssfären. I ljuset av detta delvis förändrade synsätt framstår det enligt vår mening som naturligt att utrymmet för att tillåta andra än myndigheter att behandla uppgifter om lagöverträdelser blir något mindre begränsat än tidigare. I detta sammanhang bör nämnas att behoven av särskilda föreskrifter eller beslut torde öka som en följd av att den så kallade missbruksregeln i 5 a § PUL försvinner.

Vi bedömer till exempel att det kan finnas behov av tydligare stöd för behandling av uppgifter om lagöverträdelser i brottsanmälningar och i viss advokatverksamhet. Det har under utredningen också framkommit behov av en föreskrift som tillåter behandling av sådana uppgifter om lagöverträdelser som måste behandlas till följd av rättsliga förpliktelser. I det sammanhanget har det nämnts att sådana förpliktelser exempelvis skulle kunna förekomma i reglering som syftar till att bekämpa t.ex. korruption, terrorism, finansiering av grov brottslighet och olämplig spridning av vapenteknologi. Vi har visserligen inte haft möjlighet att närmare utreda i vilken utsträckning sådana rättsliga förpliktelser redan förekommer och om de i så fall står i strid med dataskyddsförordningens och de föreslagna bestämmelserna i dataskyddslagen om behandling av personuppgifter som rör lagöverträdelser. Vi kan dock konstatera att den typen av normkonflikt skulle vara problematisk. Mot denna bakgrund föreslår vi att bestämmelserna i 1 § d) och e) i Datainspektionens föreskrifter (DIFS 1998:3) om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m., i den lydelse som fastställts genom DIFS 2010:1, bör utvidgas något och föras in i förordningen till dataskyddslagen, tillsammans med en ny bestämmelse som tillåter nödvändig behandling av motsvarande uppgifter vid polisanmälningar om misstanke om brott.

Som framgått ovan finns det inte stöd i förordningens artikel 10 för något förbud motsvarande det som nu gäller för andra än myndigheter att behandla uppgifter om administrativa frihetsberövanden. Vissa sådana uppgifter skulle kunna omfattas av förbudet mot att behandla känsliga personuppgifter i artikel 9.1, exempelvis om de också avslöjar uppgifter om etniskt ursprung eller psykisk ohälsa. Regleringen i artiklarna 5 och 6 innebär vidare att privata subjekt i praktiken ändå torde ha begränsade möjligheter att behandla sådana uppgifter.

197

12. Personnummer och samordningsnummer

12.1. Vårt uppdrag

I 22 § PUL finns en särskild bestämmelse om när personnummer eller samordningsnummer får behandlas. Bestämmelsen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Enligt dataskyddsförordningen får medlemsstaterna fastställa särskilda villkor för sådan behandling. Vårt uppdrag i denna del innebär att vi ska överväga om det även fortsättningsvis bör finnas sådana särskilda villkor för behandling av personnummer eller samordningsnummer.

12.2. Gällande rätt

22 § PUL har genomförts med stöd av artikel 8.7 i dataskyddsdirektivet, där det föreskrivs att medlemsstaterna ska bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Bestämmelsen behöver inte tillämpas vid sådan behandling av personuppgifter i ostrukturerat material som avses i 5 a § PUL. En motsvarande bestämmelse om användningen av personnummer fanns i 7 § andra stycket datalagen. Den bestämmelsen fördes i princip oförändrad över till personuppgiftslagen.

De villkor som uppställs i paragrafen innebär att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

198

För en personuppgiftsansvarig som inte fått samtycke till behandling av personnummer eller samordningsnummer innebär bestämmelsen att denne själv måste göra den intresseavvägning som framgår av bestämmelsen. Den personuppgiftsansvarige torde också ha bevisbördan för att det finns sådana omständigheter som gör att uppgifter om personnummer eller samordningsnummer får behandlas.

Exempel på hur lagstiftaren har gjort motsvarande avvägningar finns i flera av de lagstiftningsärenden rörande sektorspecifika författningar där en hänvisning till 22 § PUL har tagits in. Med hänsyn framför allt till vikten av en säker identifiering har det exempelvis ansetts motiverat att behandla personnummer i polisens, Migrationsverkets och domstolarnas verksamhet, liksom i vårdregister, rättspsykiatriska forskningsregister och inom socialtjänsten.1

I 50 § c PUL finns ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen enligt 16 § PUF, att meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten. Några sådana föreskrifter har inte meddelats av Datainspektionen. Det är däremot relativt vanligt med sektorsspecifika förordningsbestämmelser om behandling av personnummer och samordningsnummer, såsom till exempel 3 § 1 förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. Det är dock inte helt klart om den bestämmelsen har ansetts stödja sig på bemyndigandet i 50 § c PUL, eller om den har föreskrivits med stöd av regeringens restkompetens enligt 8 kap. 7 § 2 regeringsformen.

12.3. Dataskyddsförordningen

Dataskyddsförordningen ger medlemsstaterna möjlighet att bestämma särskilda villkor för när ett nationellt identifikationsnummer eller annat vedertaget sätt för identifiering får behandlas (artikel 87). Enligt förordningen ska villkoren i sådana fall säkerställa att identifikationsuppgifterna bara får användas med iakttagande av lämpliga skyddsåtgärder för de registrerades fri- och rättigheter. Något uttryckligt sådant krav fanns inte enligt dataskyddsdirektivet.

1Prop. 1997/98:108 s. 73 f., prop. 1998/99:72 s. 44, prop. 2000/01:80 s. 144, prop. 2009/10:85 s. 84, prop. 2014/15:148 s. 51 och prop. 2015/16:65 s. 49 f.

199

12.4. Överväganden och förslag

Utredningens förslag: Uppgifter om personnummer eller sam-

ordningsnummer ska få behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen ska få meddela ytterligare föreskrifter om behandling av uppgifter om personnummer och samordningsnummer.

Den nuvarande regleringen i 22 § PUL ger uttryck för att behandlingen av personnummer och samordningsnummer bör vara restriktiv och föregås av en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär.

Dataskyddsförordningen uppställer inget krav på reglering i detta avseende, men om medlemsstaterna bestämmer särskilda villkor för sådan behandling måste lämpliga skyddsåtgärder för de registrerades fri- och rättigheter enligt förordningen säkerställas. Det finns inga uttalanden i skälen som konkretiserar vilken typ av skyddsåtgärder det bör vara frågan om. Sannolikt kan kraven på skyddsåtgärder inte ställas särskilt högt, eftersom det är upp till medlemsstaterna själva att bedöma om några särskilda villkor ska införas över huvud taget. I denna del ges alltså medlemsstaterna ett stort utrymme att själva bedöma vilka skyddsåtgärder som behövs.

Personnummer och samordningsnummer har inte bedömts som känsliga personuppgifter i förordningens mening, men har ändå getts en särställning genom att medlemsstaterna medgetts möjlighet att införa särskilda villkor för behandlingen.

Regeringen har i äldre förarbeten uttalat att själva personnumret inte i sig är en integritetskränkande uppgift, men att viss användning av det, såsom samköring av register och liknande, kan uppfattas som integritetskränkande. Regeringen har också uttalat att ”onödig” användning ska betraktas som ett integritetsintrång.2 Kammarrätten i Stockholm har nyligen bedömt att integritetsintresset väger tungt vid mer omfattande behandling av personnummer.3

2Prop. 1990/91:60 s. 69. 3 Kammarrättens i Stockholm dom av den 11 mars 2016 i mål nr 6352-15. Högsta förvaltningsdomstolen har beslutat att inte meddela prövningstillstånd, beslut den 12 oktober 2016 i mål nr 1684-16.

200

Vår bedömning mot bakgrund av ovanstående är att en särreglering av personnummer och samordningsnummer i dataskyddslagen är motiverad. Den nuvarande lydelsen i 22 § PUL, som innebär att en intresseavvägning ska ske, ligger väl i linje med förordningens intentioner. Det har inte framkommit att regleringen har mötts av kritik eller annars inte fungerat. Tvärtom har den i lagstiftningsärenden under de senaste åren bedömts vara flexibel och väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer.4 Vi bedömer därför att en bestämmelse motsvarande den i 22 § PUL bör införas i dataskyddslagen.

Den nationella reglering som åsyftas i artikel 87 i dataskyddsförordningen kan enligt förordningens skäl 41 även beslutas i förordnings- eller föreskriftsform. Som nämnts finns i dag bestämmelser på förordningsnivå som reglerar behandlingen av personnummer och samordningsnummer i sektorsspecifika författningar. Vi bedömer att det finns behov av en möjlighet för regeringen att meddela sådana föreskrifter även fortsättningsvis. Visserligen torde vissa typer av föreskrifter som preciserar i vilka situationer personnummer eller samordningsnummer får behandlas av statliga myndigheter kunna meddelas av regeringen med stöd av 8 kap. 7 § 2 regeringsformen. Det kan dock inte uteslutas att det finns behov av föreskrifter som går utöver regeringens kompetens enligt nämnda lagrum, varför vi bedömer att ett bemyndigande behövs. Eftersom Datainspektionen hittills inte har sett anledning att utnyttja möjligheten enligt 16 § PUF att meddela föreskrifter och något behov av sådan vidaredelegation inte har framkommit, föreslår vi ingen sådan möjlighet.

En reglering av behandling av personnummer och samordningsnummer kan, oavsett om den tas in direkt i sektorsspecifik lag eller i förordning med stöd av bemyndigandet, tillåta behandling i andra fall än de som tillåts enligt den föreslagna bestämmelsen i dataskyddslagen. Detta förutsätter att regleringen i så fall lever upp till förordningens krav på lämpliga skyddsåtgärder för de registrerades fri- och rättigheter.

4 Se exempelvis prop. 2014/15:148 s. 51.

201

13. Begränsningar av vissa rättigheter och skyldigheter i dataskyddsförordningen

13.1. Vårt uppdrag

Dataskyddsförordningen ger medlemsstaterna möjlighet att begränsa omfattningen av vissa av de skyldigheter och rättigheter som förordningen föreskriver. Motsvarande reglering om möjligheten att föreskriva undantag finns i artikel 13.1 i dataskyddsdirektivet. Undantag med stöd av den bestämmelsen tas ofta in i sektorsspecifik lagstiftning. Det finns emellertid även i personuppgiftslagen ett generellt bemyndigande för regeringen att meddela föreskrifter om undantag av detta slag. Personuppgiftslagen innehåller vidare ett särskilt undantag från informationsskyldigheten vid sekretess och tystnadsplikt. I vårt uppdrag ingår att överväga om det finns behov av bestämmelser av detta slag i den generella regleringen som ska komplettera förordningen.

13.2. Dataskyddsförordningen

I artikel 23.1 anges att såväl unionsrätten som en medlemsstats nationella rätt får begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål, nämligen

202

a) den nationella säkerheten,

b) försvaret,

c) den allmänna säkerheten,

d) förebyggande, förhindrande, utredning, avslöjande eller lagföring

av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

e) andra av unionens eller en medlemsstats viktiga mål av generellt

allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

f) skydd av rättsväsendets oberoende och rättsliga åtgärder,

g) förebyggande, förhindrande, utredning, avslöjande och lagföring

av överträdelser av etiska regler som gäller för lagreglerade yrken,

h) en tillsyns-, inspektions- eller regleringsfunktion som, även i

enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,

i) skydd av den registrerade eller andras rättigheter och friheter,

och

j) verkställighet av civilrättsliga krav.

I artikel 23.2 anges att sådana begränsningar ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende

a) ändamålen med behandlingen eller kategorierna av behandling,

b) kategorierna av personuppgifter,

c) omfattningen av de införda begränsningarna,

d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång

eller överföring,

e) specificeringen av den personuppgiftsansvarige eller kategorier-

na av personuppgiftsansvariga,

203

f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av

behandlingens art, omfattning och ändamål eller kategorierna av behandling,

g) riskerna för de registrerades rättigheter och friheter, och

h) de registrerades rätt att bli informerade om begränsningen, såvi-

da detta inte kan inverka menligt på begränsningen.

13.3. Gällande rätt

I dataskyddsdirektivet finns motsvarigheten till förordningens artikel 23 i artikel 13.1. Bestämmelser i registerförfattningar som utgör undantag från de rättigheter och skyldigheter som föreskrivs i personuppgiftslagen har ofta sin grund i denna artikel. Det finns dock även några bestämmelser i personuppgiftslagen som har införts med stöd av artikel 13 i direktivet.

I 8 a § PUL finns ett generellt bemyndigande som anger att regeringen får meddela föreskrifter om undantag från 9, 23–26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till de intressen som räknas upp i artikel 13.1 i dataskyddsdirektivet.

Enligt 26 § tredje stycket PUL behöver s.k. registerutdrag enligt första stycket samma paragraf inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Bestämmelsen har införts med stöd av artikel 13.1 i direktivet, med hänsyn till skyddet av fri- och rättigheter.1

I 27 § PUL anges att bestämmelserna i 23–26 §§ om den registrerades rätt till information inte gäller i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offent-

1Prop. 1997/98:44 s. 81 f.

204

lighets- och sekretesslagen vägra att lämna ut uppgifter till den registrerade. Även denna bestämmelse har införts med stöd av artikel 13.1 i direktivet, med hänsyn till skyddet av fri- och rättigheter.2

13.4. Överväganden och förslag

Utredningens förslag: Skyldigheten att ge den registrerade infor-

mation om och tillgång till de personuppgifter som behandlas ska inte gälla uppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade.

Den registrerades rätt att på begäran få information om pågående personuppgiftsbehandling ska inte omfatta uppgifter som behandlas i löpande text som utgör utkast eller minnesanteckning. Undantaget ska dock inte gälla om uppgifterna har lämnats ut till tredje part, om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller utkast, om uppgifterna har behandlats under mer än ett år.

Regeringen ska få meddela föreskrifter om ytterligare undantag från vissa av förordningens skyldigheter och rättigheter.

Utredningens bedömning: Rätten att göra invändningar bör inte

inskränkas genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter specificeras genom författning.

13.4.1. Sekretess och tystnadsplikt ska gå före informationsplikten

Den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter framgår av 23–25 §§ PUL. Motsvarande bestämmelser finns i artiklarna 13 och 14 i dataskyddsförordningen. Den registrerade har vidare enligt 26 § första stycket PUL rätt att på begäran få information om och tillgång till de personuppgifter som behandlas. Motsvarande rätt, bland annat till s.k. registerutdrag, finns i artikel 15 i dataskyddsför-

2Prop. 1997/98:44 s. 83 f.

205

ordningen. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.

Personuppgiftslagens informationsskyldighet, och motsvarande rättighet för den registrerade, gäller enligt 27 § PUL inte om sekretess eller tystnadsplikt innebär att informationen inte ska lämnas ut till den registrerade. Frågan är om motsvarande undantag bör tas in i den generella lag som ska komplettera dataskyddsförordningen.

I artikel 14.5 föreskrivs flera direkt tillämpliga undantag från rätten till information, bland annat om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätt eller nationell rätt, inbegripet lagstadgade sekretessförpliktelser (led d). I artikel 15.4 anges endast att rätten till registerutdrag inte ska påverka menligt på andras friheter och rättigheter.

Det befintliga undantaget i 27 § PUL är något vidare än de direkt tillämpliga undantagen i artiklarna 14 och 15. Bestämmelsen i artikel 23 möjliggör dock ytterligare undantag på samma sätt som dataskyddsdirektivet. Det bör därför inte finnas något formellt hinder mot att en bestämmelse som motsvarar 27 § PUL tas in i dataskyddslagen.

Av det direkt tillämpliga undantaget i artikel 14.5 d i dataskyddsförordningen följer att den personuppgiftsansvarige inte på eget initiativ behöver förse den registrerade med information, om uppgifterna omfattas av sekretess eller tystnadsplikt. Det finns dock skäl att klargöra i dataskyddslagen att sekretess eller tystnadsplikt också kan medföra att en begäran om bekräftelse och information enligt artikel 15 ska avslås. Vidare finns det situationer då även en privaträttslig aktör, som inte omfattas av författningsreglerad sekretess eller tystnadsplikt, har berättigad anledning att hemlighålla uppgifter i förhållande till den registrerade. Det kan t.ex. röra sig om information som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den personuppgiftsansvariges ställning som part i rättegången .3

Dataskyddslagen bör därför förses med ett undantag från informationsplikten som i sak motsvarar 27 § PUL i dess helhet. Bestämmelsen respekterar enligt vår mening andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Förarbetsuttalanden

3Prop. 1997/98:44 s. 83 f.

206

och praxis rörande 27 § PUL bör kunna vara vägledande även vid tillämpningen av den nya bestämmelsen.4

13.4.2. Löpande text som utgör utkast eller minnesanteckning ska inte omfattas av rätten till registerutdrag

Den registrerade har enligt 26 § första stycket PUL rätt att på begäran få information om och tillgång till de personuppgifter som behandlas. Bestämmelsen motsvarar artikel 12 a i dataskyddsdirektivet. Denna bestämmelse innebär dock enligt EU-domstolen inte en rätt att få del av den handling där personuppgifterna förekommer.5Motsvarande rätt, bland annat till s.k. registerutdrag, finns i artikel 15 i dataskyddsförordningen. Denna rätt ska enligt artikel 15.4 inte inverka menligt på andra rättigheter och friheter.

Som nämns ovan anges i 26 § tredje stycket PUL att registerutdrag inte behöver lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. I förarbetena till detta undantag angavs, bland annat med hänvisning till regleringen i 2 kap. tryckfrihetsförordningen, att det på såväl den offentliga som den privata sidan finns goda skäl för en ordning som innebär att ofärdiga alster, minnesanteckningar och liknande inte behöver lämnas ut. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred kunde enligt regeringens mening anses som en sådan fri- och rättighet som enligt artikel 13.1 i dataskyddsdirektivet berättigar till en begränsning av informationsskyldigheten. Men om uppgifterna behandlats under så lång tid som ett år utan att texten färdigställts, ansåg regeringen dock att den registrerades intresse av att få ta del av sina uppgifter skulle anses väga tyngre än den personuppgiftsansvariges intresse av att utan insyn få ytterligare fördröja färdigställandet av texten.6

Detta resonemang är enligt vår mening fortfarande relevant. Bestämmelsen respekterar enligt vår mening andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Mot den bak-

4 Se främst prop. 1997/98:44 s. 81 f. 5 Dom YS mot Minister voor Immigratie, C-141/12, EU:C:2014:2081, punkt 58. 6Prop. 1997/98:44 s. 81 f.

207

grunden anser vi att det i den generella lagen bör tas in en bestämmelse som på motsvarande sätt som 26 § tredje stycket PUL gör undantag från rätten till information enligt artikel 15 i dataskyddsförordningen avseende personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Undantaget bör i likhet med gällande rätt inte gälla om uppgifterna har lämnats ut till tredje part eller om uppgifterna behandlas enbart för arkivändamål av allmänt intresse eller för statistiska ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Frågan om huruvida undantaget ska gälla vid behandling för forskningsändamål bör däremot övervägas av Forskningsdatautredningen.

13.4.3. Något om rätten att göra invändningar

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade i vissa fall ska ha rätt att invända mot behandling av personuppgifter. Bestämmelsen är direkt tillämplig. En motsvarande rättighet föreskrivs även i dataskyddsdirektivet, men är genomförd i personuppgiftslagen endast såvitt avser direkt marknadsföring (11 § PUL). Dataskyddsförordningen innebär därmed att rätten att göra invändningar utvidgas jämfört med vad som följer av gällande svensk rätt.

Rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Rättigheten gäller alltså inte vid behandling av personuppgifter som exempelvis är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c), såsom när en myndighet genom författning ålagts att föra ett offentligt register. Följden av att en invändning görs enligt artikel 21.1 är att den personuppgiftsansvarige inte längre får behandla personuppgifterna, såvida inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

Enligt gällande svensk rätt har den registrerade inte någon generell rätt att göra invändningar mot den behandling av personuppgifter som sker hos myndigheter. Det finns mot den bakgrunden skäl att

208

särskilt överväga om dataskyddsförordningens rätt att göra invändningar bör inskränkas när det gäller sådan behandling som sker med stöd av artikel 6.1 e, dvs. med en fastställd uppgift av allmänt intresse som rättslig grund. Vi anser dock att denna rättighet fyller en viktig funktion ur rättssäkerhetssynpunkt, i synnerhet i de fall då de närmare villkoren för behandlingen inte har reglerats i en sektorsspecifik författning. Vi anser därför att rätten att göra invändningar mot myndigheters behandling av personuppgifter inte bör inskränkas på ett generellt plan genom ett undantag i dataskyddslagen. Sådana undantag bör i stället övervägas på sektorspecifik nivå, om villkoren för behandling av personuppgifter med stöd av artikel 6.1 e specificeras genom författning.

Jämfört med vad som gäller enligt personuppgiftslagen utgör det en nyhet också att den registrerade ges rätt att göra invändningar vid behandling som sker med stöd av artikel 6.1 f, dvs. med ett berättigat intresse som rättslig grund. Enligt vår mening skapar denna rättighet en bra balans mellan den personuppgiftsansvarige och den registrerade som inte bör rubbas genom ett generellt undantag. Vi lämnar därför inte något sådant förslag.

13.4.4. Regeringen ska få meddela föreskrifter om ytterligare undantag

Som redan har nämnts ger artikel 23 i dataskyddsförordningen, inom vissa angivna ramar, utrymme för att i sektorsspecifika författningar föreskriva undantag från förordningens bestämmelser. I den mån sådana undantag kan medföra ytterligare skyldigheter för enskilda eller kommuner eller innebära ingrepp i enskildas personliga förhållanden ska de enligt 8 kap. 2 § första stycket 2 och 3 regeringsformen föreskrivas genom lag. Den omständigheten att dataskyddslagen föreslås vara subsidiär till avvikande bestämmelser i lag eller förordning förändrar inte detta. Det krävs därför i vissa fall ett bemyndigande i lag för att sektorsspecifik särreglering i förordningsform även i fortsättningen ska kunna innehålla föreskrifter om undantag. Det bör därför införas ett bemyndigande i dataskyddslagen som i sak motsvarar det bemyndigande som finns i 8 a § PUL.

209

14. Arkiv och statistik

14.1. Vårt uppdrag

Enligt kommittédirektiven är det av central betydelse att myndigheternas bevarande av allmänna handlingar inte hindras av dataskyddsregleringen och att myndigheternas möjlighet att använda uppgifter i dessa handlingar säkerställs. Även behandling av personuppgifter för andra arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål måste garanteras. Samtidigt ska skyddet för den registrerades fri- och rättigheter beaktas. Utgångspunkten för vårt uppdrag är därför att vissa grundläggande bestämmelser, liknande de som i dag finns i personuppgiftslagen, behöver tas in i den generella reglering som ska komplettera dataskyddsförordningen.

Vi ska enligt direktiven analysera vilka bestämmelser om myndigheters bevarande av allmänna handlingar, användning av uppgifter i dessa och överlämnande av arkivmaterial till en arkivmyndighet som behövs i den generella regleringen. Vidare ska vi analysera vilka övriga bestämmelser om behandling av personuppgifter för arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål som bör finnas i den generella regleringen. Vi ska även lämna lämpliga författningsförslag.

Som framgår av avsnitt 2.2 har vi i samråd med Forskningsdatautredningen konstaterat att samtliga frågor rörande behandling av personuppgifter för forskningsändamål bör behandlas i ett samlat sammanhang och att Forskningsdatautredningen är bäst lämpad att göra den analys och de överväganden som krävs. Vi behandlar därför inte frågan om behandling av personuppgifter för forskningsändamål.

210

14.2. Gällande rätt

I personuppgiftslagen finns vissa centrala bestämmelser som rör lagens förhållande till myndigheters arkivering av allmänna handlingar och sådan personuppgiftsbehandling som sker för historiska, statistiska eller vetenskapliga ändamål.

Av 8 § andra stycket första meningen PUL framgår att lagens bestämmelser inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I förarbetena till personuppgiftslagen bedömdes att myndigheternas bevarande av allmänna handlingar är tillåtet enligt de grundläggande bestämmelserna i dataskyddsdirektivet, så länge de inte innehåller känsliga personuppgifter. Ett särskilt undantag ansågs dock nödvändigt för att myndigheterna skulle kunna bevara också känsliga personuppgifter. Det aktuella undantaget i 8 § andra stycket första meningen PUL omfattar även den insamling och det långtidsbevarande av personuppgifter som sker hos de särskilda arkivmyndigheterna.1

I 9 § PUL – där de grundläggande kraven på behandlingen av personuppgifter regleras – finns vissa bestämmelser som särskilt rör behandling för historiska, statistiska eller vetenskapliga ändamål. Här framgår exempelvis att en behandling av personuppgifter för sådana ändamål inte ska anses oförenlig med insamlingsändamålen (andra stycket). Det finns vidare regler om hur länge personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål (tredje stycket) och begränsningar av när personuppgifter som behandlas för sådana ändamål får användas för att vidta åtgärder i fråga om den registrerade (fjärde stycket). Sådana åtgärder får bara ske om den registrerade lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Begränsningen har bedömts vara en sådan lämplig skyddsåtgärd som krävs enligt artikel 6 i dataskyddsdirektivet. Enligt 8 § andra stycket PUL gäller dock inte denna begränsning för myndigheters användning av personuppgifter i allmänna handlingar. Detta undantag bygger på att det för sådana personuppgifter finns andra lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv.2

1Prop. 1997/98:44 s. 47 f. 2Prop. 1997/98:44 s. 63.

211

Som tidigare har nämnts utgör bestämmelsen i 8 § andra stycket första meningen PUL ett undantag från förbudet mot att behandla känsliga personuppgifter. Känsliga personuppgifter får enligt 19 § första stycket PUL även behandlas för forskningsändamål, om behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor. I andra stycket samma paragraf anges att känsliga personuppgifter får behandlas också för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen godkänts av en forskningsetisk kommitté, ska dessa förutsättningar enligt tredje stycket samma paragraf anses uppfyllda.

I 7 a § arkivförordningen (1991:446) föreskrivs undantag för arkivmyndigheten när det gäller den personuppgiftsansvariges skyldighet att lämna s.k. registerutdrag på begäran av den registrerade. I bestämmelsen anges att en arkivmyndighet inte behöver lämna besked och information enligt 26 § PUL när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Avgränsningen till arkivmaterial som tagits emot för förvaring innebär att undantaget inte är tillämpligt på arkivmaterial som kommer från arkivmyndighetens egen verksamhet.

14.3. Dataskyddsförordningen

14.3.1. Direkt tillämpliga bestämmelser

I dataskyddsförordningen finns ett antal bestämmelser som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse samt för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Enligt artikel 5.1 b gäller exempelvis att ytterligare behandling (i det följande används den mer vedertagna termen vidarebehandling, om inte förordningstexten citeras) av personuppgifter för sådana ändamål, i enlighet med artikel 89.1, inte ska anses oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e följer att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål i allmänhetens intresse eller för vetenskapliga eller historiska forsk-

212

ningsändamål eller för statistiska ändamål. Den förlängda bevarandetiden gäller i den mån som lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1 för att säkerställa de registrerades fri- och rättigheter. Bestämmelserna i artikel 5 är direkt tillämpliga och kräver därmed inga nationella författningsåtgärder.

Bestämmelserna i artikel 14.1–4 om den personuppgiftsansvariges informationsplikt när personuppgifter inte har erhållits från den registrerade ska enligt artikel 14.5 b inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt vid behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten. På motsvarande sätt anges i artikel 17.3 d att rätten till radering (”att bli bortglömd”) inte gäller i den utsträckning som behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som rätten att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen. Undantagen i artikel 14.5 b och 17.3 d är direkt tillämpliga.

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska enligt artikel 89.1 omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom vidarebehandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

213

14.3.2. Bestämmelser som ger utrymme för nationella undantag

I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar känsliga personuppgifter ska vara förbjuden, se avsnitt 10. Utrymmet för undantag från detta förbud, vid behandling som är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, regleras i artikel 9.2 j. Där anges att förbudet inte gäller om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå dessa ändamål. Möjligheten att föreskriva sådana undantag gäller enligt artikel 89.3 även avseende behandling av personuppgifter för arkivändamål av allmänt intresse. I detta fall får det dessutom föreskrivas undantag från de rättigheter som avses i artiklarna 19 och 20.

I artikel 15 regleras den registrerades rätt att få bekräftelse på om personuppgifter rörande honom eller henne behandlas och i så fall få viss information, bland annat ett s.k. registerutdrag (jfr 26 § PUL). Artikel 16 reglerar den registrerades rätt att få felaktiga personuppgifter rättade (jfr delar av 28 § PUL), medan artikel 18 ger den registrerade rätt att under vissa förutsättningar kräva att behandlingen begränsas. Om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling skett i enlighet med artiklarna 16, 17.1 och 18, ska den personuppgiftsansvarige enligt artikel 19 underrätta varje mottagare till vilken personuppgif-

214

terna har lämnats ut, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning (jfr delar av 28 § PUL). Den personuppgiftsansvarige ska dessutom, på den registrerades begäran, informera denne om vilka dessa mottagare är.

Artikel 20, som saknar motsvarighet i personuppgiftslagen, reglerar rätten till dataportabilitet, dvs. den registrerades rätt att under vissa förutsättningar få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och sedan överföra dessa till en annan personuppgiftsansvarig.

I artikel 21 i dataskyddsförordningen föreskrivs att den registrerade ska ha rätt att göra invändningar mot behandling av personuppgifter. Denna rätt gäller enligt artikel 21.1 bland annat vid behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Enligt artikel 21.6 får den registrerade motsätta sig behandling för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål av skäl som rör hans eller hennes personliga situation, om inte behandlingen är nödvändig för utförandet av en arbetsuppgift av allmänt intresse.

14.4. Överväganden och förslag – arkivändamål av allmänt intresse

14.4.1. Allmänt intresse

I dataskyddsförordningen används begreppet arkivändamål av allmänt intresse, i stället för det som i dataskyddsdirektivet benämns historiska ändamål. Begreppet allmänt intresse är ett unionsrättsligt begrepp som inte med enkelhet låter sig avgränsas. Begreppet definieras varken i dataskyddsdirektivet eller i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domstolen. Rent språkligt kan begreppet allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse. Den närmare innebörden av begreppet arkivändamål av allmänt intresse, särskilt i förhållande till begreppet historiska forskningsändamål, behöver dock klargöras i rättstillämpningen, inte minst genom EU-domstolens praxis.

Det står emellertid enligt vår mening klart att den behandling av personuppgifter som sker för att uppfylla krav på bevarande för andra syften, såsom exempelvis kravet på arkivering av räkenskaps-

215

information enligt bokföringslagen (1999:1078), inte utgör behandling för arkivändamål av allmänt intresse.

14.4.2. Rättslig grund och tillåten vidarebehandling

Utredningens förslag: Regeringen och Riksarkivet ska få meddela

föreskrifter om behandling av personuppgifter för arkivändamål av allmänt intresse utanför arkivlagstiftningens tillämpningsområde. Riksarkivet ska även i förvaltningsbeslut få fastställa rättslig grund för ett enskilt organs behandling av personuppgifter för arkivändamål av allmänt intresse.

Utredningens bedömning: Myndigheter och andra organ som

omfattas av arkivlagstiftningen har redan enligt gällande rätt rättslig grund för behandling av personuppgifter för arkivändamål av allmänt intresse.

Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt dataskyddsförordningen inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling.

Vad gäller för de organ som omfattas av arkivlagstiftningen?

Svenska myndigheter och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndigheternas arkiv är enligt 3 § arkivlagen en del av det nationella kulturarvet och ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. För tillsynen av att myndigheterna och andra organ fullgör sina skyldigheter enligt arkivlagen finns det arkivmyndigheter. Inom den statliga förvaltningen är Riksarkivet arkivmyndighet. En arkivmyndighet har enligt 9 § arkivlagen rätt att överta arkivmaterial från en myndighet som står under dess tillsyn, antingen efter överenskommelse eller på grund av ett ensidigt beslut från arkivmyndigheten.

Behandling av en viss personuppgift för andra ändamål än den ursprungligen samlades in är enligt artikel 5.1 b i dataskyddsförord-

216

ningen tillåten endast om vidarebehandlingen är förenlig med de ändamål som uppgiften ursprungligen samlades in för. I sådana fall, dvs. när vidarebehandlingen är förenlig med de ursprungliga ändamålen, krävs det enligt skäl 50 inte någon annan rättslig grund än den som gav legitimitet till att personuppgiften samlades in. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har i uppgift att utföra kan det enligt skäl 50 närmare föreskrivas för vilka uppgifter och syften ytterligare behandling bör anses som förenlig och laglig. Att ytterligare behandling för bland annat arkivändamål av allmänt intresse ska betraktas som förenlig och laglig behandling av uppgifter följer dock direkt av artikel 5.1 b.

Det står enligt vår mening klart att den behandling av personuppgifter som myndigheter och andra organ utför när de som en följd av arkivlagens bestämmelser arkiverar sina allmänna handlingar utgör en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50).

Vidarebehandling är det bara fråga om när ett och samma organ, eller dennes personuppgiftsbiträde, utför ytterligare behandlingar avseende en viss uppgift. När en arkivmyndighet, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet övergår hela ansvaret för det materialet till arkivmyndigheten (9 § tredje stycket arkivlagen). Den myndighet som har överlämnat materialet förfogar därefter inte längre över detta. Den myndigheten bestämmer inte heller längre över ändamålen och medlen för arkivmyndighetens behandling av de personuppgifter som förekommer i materialet. I dataskyddsförordningens mening kan arkivmyndigheten därför inte betraktas som ett personuppgiftsbiträde, som endast vidarebehandlar uppgifter för den andra myndighetens räkning. Arkivmyndigheten bär i stället personuppgiftsansvaret för de behandlingar som sker därefter (se definitionen av begreppet personuppgiftsansvarig i artikel 4.7 i dataskyddsförordningen). En arkivmyndighet är givetvis även, precis som alla andra myndigheter, personuppgiftsansvarig för all annan behandling av personuppgifter som utförs i den egna verksamheten.

Detta innebär att det behövs en rättslig grund för arkivmyndigheternas insamling och annan behandling av de personuppgifter som

217

finns i det material som övertas från andra myndigheter. Den behandlingen sker för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse (se avsnitt 8.3.4). Nödvändig behandling hos arkivmyndigheterna kan därmed ske med dessa bestämmelser som rättslig grund, enligt artikel 6.1 e i dataskyddsförordningen.

Vad gäller för enskilda arkiv?

Organ som inte omfattas av arkivlagstiftningen kan i vissa fall också ha anledning att behandla personuppgifter för arkivändamål av allmänt intresse. Om syftet med behandlingen är just detta, och inte t.ex. historiska forskningsändamål, måste dock bedömas från fall till fall. Av skäl 158 till dataskyddsförordningen framgår att ett sådant organ bör ha en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för allmänintresset. Medlemsstaterna bör enligt samma skäl också ha rätt att föreskriva att personuppgifter får vidarebehandlas för arkivering, exempelvis i syfte att tillhandahålla specifik information om politiskt beteende under tidigare totalitära regimer, folkmord, brott mot mänskligheten, särskilt Förintelsen, eller krigsförbrytelser.

Det bör noteras att dataskyddsförordningen inte gäller för behandling av personuppgifter som avser avlidna personer (skäl 27). Detta innebär i praktiken att många enskilda arkiv inte berörs av dataskyddsregleringen, såsom historiska släktarkiv eller liknande samlingar som inte innehåller några uppgifter om nu levande personer.

Insamling av arkivmaterial som innehåller personuppgifter

Det finns i Sverige ett antal enskilda arkivinstitutioner, såväl regionala som nationella, som samlar in personuppgifter enbart för arkivändamål av allmänt intresse. Den rättsliga grunden för denna behandling torde i normalfallet vara att verksamheten är av allmänt intresse. Det är dock oklart om denna uppgift alltid är fastställd i enlighet med svensk rätt. När dataskyddsförordningen börjar tillämpas kan därmed den rättsliga grunden för de enskilda arkivinstitutionernas behandling av personuppgifter komma att ifrågasättas. Det bör därför införas en bestämmelse i dataskyddslagen som gör det möjligt för regeringen

218

eller den myndighet som regeringen bestämmer att meddela föreskrifter som tillåter behandling av personuppgifter för arkivändamål av allmänt intresse också utanför arkivlagstiftningens tillämpningsområde. Föreskriftsrätten bör enligt vår mening delegeras till Riksarkivet.

Det är tänkbart att det kan uppstå enstaka situationer där föreskriftsformen inte är lämplig, men där det ändå finns skäl att tillåta behandling för arkivändamål av allmänt intresse. Det kan till exempel röra sig om behandling som ska ske av ett enskilt organ under en begränsad tid eller i ett mycket begränsat avseende. I likhet med den ordning som gäller avseende behandling av personuppgifter om lagöverträdelser enligt 21 § PUL, och som föreslås i avsnitt 11.4, bör därför Riksarkivet i enskilda fall kunna pröva om den behandling som sker hos en enskild aktör är arkivverksamhet av allmänt intresse i dataskyddsförordningens mening. De närmare kriterierna för denna prövning skulle vid behov kunna fastställas i föreskrifter på lägre normnivå. Om arkivverksamheten uppfyller dataskyddsförordningens krav kan det enskilda organet genom ett särskilt beslut medges rätt att behandla personuppgifter för arkivändamål av allmänt intresse. Den personuppgiftsbehandling som är nödvändig för detta ändamål kan då ske med beslutet som rättslig grund. Ett förvaltningsbeslut som går organet emot bör kunna överklagas, se avsnitt 19.8.

Det bör noteras att regeringen, i propositionen om kulturarvspolitik, har bedömt att det finns anledning att genomföra en bred översyn av arkivväsendet i landet och att denna översyn även ska tydliggöra de enskilda arkivens viktiga roll som en del av det gemensamma kulturarvet.3Vi välkomnar en sådan översyn och förutsätter att frågor kring de enskilda arkivens behandling av personuppgifter då kommer att utredas närmare.

3Prop. 2016/17:116, s. 174 f.

219

Vidarebehandling av personuppgifter

Det förekommer att enskilda organ har skäl att bevara uppgifter under en längre tid än vad som krävs för det ursprungliga ändamålet. En sådan vidarebehandling skulle bland annat kunna ske för arkivändamål av allmänt intresse eller för historiska forskningsändamål. Behandling av personuppgifter för forskningsändamål omfattas emellertid inte av våra överväganden, utan tas om hand av Forskningsdatautredningen.

Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs därmed i och för sig inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50). Det kan dock i det enskilda fallet vara svårt för den personuppgiftsansvarige, den registrerade och tillsynsmyndigheten att bedöma om arkivverksamheten är av allmänt intresse på det sätt som avses i dataskyddsförordningen. I de fall detta inte följer direkt av de föreskrifter som har meddelats bör den personuppgiftsansvarige ha samma möjlighet som enskilda arkivinstitutioner att få frågan prövad och fastställd genom förvaltningsbeslut.

Enskilda arkiv som överlämnas till Riksarkivet

Enskilda arkiv som överlämnas till Riksarkivet för förvaring utgör en kategori som bör beröras särskilt. Enligt 6 § andra stycket förordningen (2009:1593) med instruktion för Riksarkivet får Riksarkivet ta emot arkivhandlingar från enskilda om de är av särskild betydelse för forskning och kulturarv. Enligt vår bedömning innebär detta att sådana arkiv måste anses vara av allmänt intresse. Handlingar som har tagits emot för förvaring ska dessutom enligt 7 § samma förordning hållas tillgängliga. Som exempel på enskilda arkiv som överlämnats till Riksarkivet på denna grund kan nämnas de s.k. idrottsarkiven, som härrör från bland annat Riksidrottsförbundets verksamhet.

Den vidarebehandling som utförs för att bilda denna typ av enskilda arkiv ska enligt artikel 5.1 b i dataskyddsförordningen, på grund av att den sker för arkivändamål av allmänt intresse, anses vara förenlig med det ändamål för vilket uppgifterna ursprungligen samlades in. Den insamling av personuppgifter som Riksarkivet utför i samband med att en sådant enskilt arkiv lämnas in sker med stöd av myn-

220

dighetens instruktion och utgör därmed en fastställd uppgift av allmänt intresse. Riksarkivets behandling av de personuppgifter som finns i de enskilda arkiven kan därmed ske på denna rättsliga grund, enligt artikel 6.1 e i dataskyddsförordningen.

Det förekommer också att enskilda arkiv överlämnas till Riksarkivet som deposition, dvs. utan att äganderätten övergår. I sådana fall kan parterna avtala om att Riksarkivet ska ges ett privaträttsligt uppdrag att i egenskap av personuppgiftsbiträde förvara och vårda materialet för deponentens räkning.

14.4.3. Förhållandet till arkivlagstiftningen och behandling av känsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter och uppgifter

om lagöverträdelser ska få behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

Regeringen och Riksarkivet ska få meddela föreskrifter som också i andra fall tillåter behandling av känsliga personuppgifter för arkivändamål av allmänt intresse. Riksarkivet ska även i enskilda fall få besluta att ett enskilt organ får behandla sådana personuppgifter för arkivändamål av allmänt intresse.

Bestämmelsen i 8 § andra stycket första meningen PUL tydliggör att personuppgiftslagen inte hindrar att en myndighet, i enlighet med arkivbestämmelserna, arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I praktiken innebär detta att arkivlagstiftningen har företräde framför personuppgiftslagen. Detta är en nödvändig utgångspunkt för att den svenska offentlighetsprincipen fullt ut ska kunna fylla sin funktion. Det finns ingenting i dataskyddsförordningen som förhindrar att ett sådant synsätt bibehålls. Tvärtom säkerställs offentlighetsprincipens ställning genom artikel 86 i förordningen.

Lagring och annan behandling av personuppgifter för arkivändamål av allmänt intresse är dessutom särskilt gynnad i dataskyddsförordningen, precis som i dataskyddsdirektivet. Det är till exempel tillåtet att bevara personuppgifter under längre tid än vad som annars är nödvändigt, i den mån uppgifterna enbart behandlas för arkivända-

221

mål av allmänt intresse och under förutsättning att lämpliga tekniska och organisatoriska åtgärder genomförs (artiklarna 5.1 e och 89.1).

Vad gäller behandling av känsliga personuppgifter ger artikel 9.2 j i dataskyddsförordningen ett tydligare utrymme för undantag än dataskyddsdirektivet. I bestämmelsen anges att behandling får ske för arkivändamål av allmänt intresse, på grundval av unionsrätten eller nationell rätt som står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen.

Behandling för arkivändamål av allmänt intresse av personuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen. Vidare följer det direkt av förordningen att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse inte ska anses som oförenlig med de ursprungliga ändamålen. Det behövs därmed, enligt skäl 50, inte någon separat rättslig grund för en sådan behandling. Det faktum att behandling av känsliga personuppgifter för arkivändamål särbehandlas i artikel 9.2 j i dataskyddsförordningen talar dock för att all behandling av känsliga personuppgifter för arkivändamål, även vidarebehandling, måste omfattas av en särskild undantagsreglering för att vara tillåten. Denna bestämmelse förutsätter nämligen att gällande rätt innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades rättigheter och intressen. Den vidarebehandling av känsliga personuppgifter som myndigheter och andra organ utför som en följd av arkivlagens bestämmelser är därmed inte tillåten enbart på grundval av det undantag från förbudet som tillämpats vid behandlingen för det ursprungliga ändamålet.

Vi bedömer därför att det i dataskyddslagen behövs en bestämmelse som i likhet med 8 § andra stycket första meningen PUL tilllåter att en myndighet arkiverar och bevarar allmänna handlingar som innehåller känsliga personuppgifter samt att arkivmaterial som innehåller känsliga personuppgifter tas om hand av en arkivmyndighet. Den svenska lagstiftningen på detta område, med beaktande av de skyddsåtgärder som föreskrivs i form av sekretess och i registerförfattningar och genom gallringsföreskrifter, måste i sig anses vara proportionell till det eftersträvade syftet och förenlig med det väsentliga innehållet i rätten till dataskydd.

222

Eftersom behandling för arkivändamål av allmänt intresse av personuppgifter som inte utgör känsliga personuppgifter regleras av direkt tillämpliga bestämmelser i dataskyddsförordningen bör bestämmelsen i dataskyddslagen utformas som ett undantag från förbudet mot behandling av känsliga personuppgifter. Vi föreslår således att dataskyddslagen ska innehålla en bestämmelse som anger att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv. Bestämmelsen medför att dataskyddsförordningen och dataskyddslagen inte hindrar att allmänna handlingar arkiveras och bevaras eller att arkivmaterial tas om hand av en arkivmyndighet. Den författningstekniska skillnaden mellan 8 § andra stycket första meningen PUL och den bestämmelse som vi föreslår innebär således ingen saklig förändring i denna del.

Arkivlagstiftningen omfattar inte bara myndigheter utan även vissa utpekade enskilda organ. För dessa organ skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och begränsningen i artikel 10 i dataskyddsförordningen avseende enskildas behandling av personuppgifter om lagöverträdelser (se kapitel 11). Dataskyddslagen bör därför även innehålla en bestämmelse som, på motsvarande sätt som avseende känsliga personuppgifter, tillåter behandling av personuppgifter om lagöverträdelser, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om bevarande och vård av arkiv.

När det gäller enskilda arkiv som inte omfattas av arkivlagstiftningen finns det inga föreskrifter om bevarande och vård av arkiv som ska följas. Det kan dock även hos dessa organ finnas ett allmänt intresse av att känsliga personuppgifter bevaras. Sådant bevarande bör enligt vår bedömning också tillåtas under vissa förutsättningar. Risken är annars uppenbar att viktig information om vår samtid för alltid går förlorad. Det bör därför införas en bestämmelse i dataskyddslagen som anger att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter som tillåter att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse. Föreskriftsrätten bör delegeras till Riksarkivet. Riksarkivet bör även i enskilda fall få besluta att ett enskilt organ får behandla sådana personuppgifter för arkivändamål av allmänt intresse. Ett sådant förvaltningsbeslut bör lämpligen meddelas i samband med att den rättsliga grunden fastställs för organets behandling av personuppgifter för

223

arkivändamål av allmänt intresse. Beslutet kan även meddelas som komplement till en tidigare antagen föreskrift som ger organet rättslig grund för behandling av personuppgifter för detta ändamål.

För enskilda arkiv finns det inte några generella föreskrifter om särskilda skyddsåtgärder, utöver dem som följer direkt av dataskyddsförordningen och den som vi föreslår i följande avsnitt. Mot bakgrund av att de enskilda arkiven sinsemellan uppvisar stora olikheter är det heller inte lämpligt att i lag slå fast att en viss typ av ytterligare skyddsåtgärd alltid ska gälla vid behandling av känsliga personuppgifter. Det bör i stället ankomma på regeringen eller Riksarkivet att bedöma om beslut som tillåter ett enskilt organ att behandla känsliga personuppgifter och personuppgifter om lagöverträdelser ska villkoras av att den personuppgiftsansvarige vidtar särskilda åtgärder och i så fall vilka. Vidare följer det givetvis direkt av dataskyddsförordningen att ett beslut som tillåter behandling av känsliga personuppgifter bara kan tillämpas om behandlingen i sig vilar på rättslig grund eller utgör en tillåten vidarebehandling.

14.4.4. Lämpliga skyddsåtgärder

Utredningens förslag: Personuppgifter som behandlas enbart

för arkivändamål av allmänt intresse ska inte få användas för att vidta åtgärder i fråga om den registrerade annat än om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning ska inte hindra en myndighet från att använda personuppgifter som finns i allmänna handlingar.

Behandling av personuppgifter för arkivändamål av allmänt intresse ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Denna bestämmelse, som är direkt tillämplig, är den personuppgiftsansvarige skyldig att följa. För att behandling av känsliga personuppgifter ska vara tillåten för arkivändamål av allmänt intresse krävs dessutom, enligt artikel 9.2 j, att unionsrätten eller den nationella rätten innehåller bestämmelser om sådana åtgärder.

I 9 § fjärde stycket PUL anges, som en generell skyddsåtgärd, att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den

224

registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Enligt 8 § andra stycket PUL gäller dock denna begränsning inte för en myndighets användning av personuppgifter i allmänna handlingar.

När en personuppgift inte längre behöver behandlas för det ursprungliga ändamålet ska den, enligt huvudregeln i artikel 5.1 e i dataskyddsförordningen, gallras eller anonymiseras. Undantag gäller dock om det finns ett berättigat arkivändamål av allmänt intresse. Möjligheten till förlängd bevarandetid förutsätter att uppgiften ”enbart” behandlas för arkivändamål. Det kan emellertid inte uteslutas att en arkiverad uppgift åter kan komma att behövas även för andra ändamål, t.ex. i den personuppgiftsansvariges kärnverksamhet. Begränsningen i 9 § fjärde stycket PUL förhindrar sådan återanvändning i vissa situationer. Frågan är om en motsvarande skyddsåtgärd bör införas även i dataskyddslagen. För att kunna ta ställning till denna fråga är det nödvändigt att först analysera innebörden av den s.k. finalitetsprincipen.

Finalitetsprincipen

Dataskyddsförordningen bygger, precis som dataskyddsdirektivet och personuppgiftslagen, på förutsättningen att varje ny behandling ska prövas mot det ändamål för vilket uppgifterna ursprungligen samlades in av den personuppgiftsansvarige. I artikel 5.1 b i förordningen anges nämligen att uppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. Bestämmelsen ger uttryck för den s.k. finalitetsprincipen. Denna begränsning är relevant i förhållande till varje behandling som den personuppgiftsansvarige eller dennes biträde utför efter själva insamlingen. Varje efterföljande behandlingsåtgärd, inklusive den tekniska bearbetning och lagring som ofta är oundviklig när uppgifter har samlats in, utgör nämligen en ytterligare behandling (dvs. vidarebehandling) i förordningens mening. Detta gäller enligt artikel 29-gruppen oavsett om denna behandling sker för samma ändamål som det för vilka uppgifterna samlades in eller för något annat ändamål.4

4 Jfr Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 21.

225

En uppgift som bevaras hos en personuppgiftsansvarig endast för arkivändamål av allmänt intresse, t.ex. som en följd av arkivlagstiftningen, har normalt inte samlats in för just detta ändamål (utom hos Riksarkivet och andra arkivmyndigheter). Uppgiften har i stället samlats in för något helt annat ändamål, såsom för handläggning av ett ärende i den personuppgiftsansvariges kärnverksamhet. Arkiveringen utgör därför en vidarebehandling, som är tillåten eftersom den inte ska anses oförenlig med det ursprungliga ändamål för vilket uppgiften samlades in. Det är viktigt att notera att det är i förhållande till detta ursprungliga insamlingsändamål som varje vidarebehandling även av en arkiverad uppgift ska prövas. Finalitetsprincipen innebär nämligen inte att behandlingen ska prövas mot det ändamål för vilket den senaste vidarebehandlingen utfördes, i detta fall arkivändamålet. Dataskyddsförordningen, liksom dataskyddsdirektivet, förbjuder endast vidarebehandling som är oförenlig med det ursprungliga insamlingsändamålet. Detta innebär att vidarebehandling kan ske för nya ändamål som är oförenliga med varandra, så länge de nya ändamålen var för sig inte är oförenliga med det ursprungliga insamlingsändamålet.

Finalitetsprincipen utgör således inte i sig något hinder mot att en uppgift som har bevarats hos den personuppgiftsansvarige enbart för arkivändamål återförs till kärnverksamheten för vidarebehandling, förutsatt att den nya behandlingen är förenlig med det ursprungliga insamlingsändamålet. I en sådan situation behöver den personuppgiftsansvarige varken samla in uppgiften på nytt eller inhämta den registrerades samtycke till behandlingen. Den nya behandlingen kräver enligt dataskyddsförordningen inte heller någon annan rättslig grund än den med stöd av vilken den ursprungliga insamlingen medgavs (skäl 50). Det är alltså endast förenligheten med insamlingsändamålet som måste bedömas. Detta skiljer sig från det synsätt som har gällt hittills, nämligen att varje vidarebehandling måste kunna hänföras till något av de tillåtna fall av behandling som anges i 10 § PUL.

En arkiverad uppgift kan lika lite som någon annan uppgift behandlas för ett ändamål som är oförenligt med det ursprungliga insamlingsändamålet. Uppgiften måste i ett sådant fall samlas in på nytt, trots att den faktiskt redan finns hos den personuppgiftsansvarige. I vissa fall kan det dock vara tillräckligt att hämta in den registrerades samtycke till att den arkiverade uppgiften behandlas för nya

226

ändamål.5Ett sådant nytt samtycke utgör då rättslig grund för den nya behandlingen.

Bör dataskyddslagen innehålla en användningsbegränsning?

Enligt 9 § fjärde stycket PUL, läst tillsammans med 8 § andra stycket andra meningen PUL, får inga andra än myndigheter använda arkiverade personuppgifter för att vidta en åtgärd i fråga om den registrerade, om inte den registrerade själv har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Bestämmelsen utgör därmed en begränsning av möjligheten att behandla arkiverade uppgifter för andra ändamål än arkivändamålet. Denna begränsning gäller oavsett om den nya behandlingen skulle ske för det ursprungliga insamlingsändamålet eller för något annat därmed förenligt ändamål. Av förarbetena framgår dock att bestämmelsen inte aktualiseras om en arkiverad uppgift även behandlas för andra ändamål, dvs. inte enbart för arkivändamål.6En uppgift som fortfarande behövs i kärnverksamheten och därför behandlas där kan alltså användas för att vidta åtgärder i fråga om den registrerade, även om samma uppgift också förekommer i en arkiverad handling hos den personuppgiftsansvarige.

Förarbetena till 9 § fjärde stycket PUL ger ingen vägledning rörande vad som avses med uttrycket ”åtgärder i fråga om den registrerade”. I doktrinen har dock framförts att enbart ett utlämnande av personuppgifterna till tredje man inte torde innebära att en åtgärd vidtas i fråga om den registrerade, ens om tredje man avser att vidta en sådan åtgärd.7

Som exempel på när det skulle kunna finnas synnerliga skäl med hänsyn till den registrerades vitala intressen nämns i förarbetena att en forskare som har upptäckt ett samband mellan en medicin och en allvarlig sjukdom måste kunna använda arkiverade personuppgifter för att varna dem som tagit medicinen.8

5 Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 26. 6SOU 1997:39 s. 359 f. 7 Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till 9 § fjärde stycket PUL. 8Prop. 1997:98:44 s. 120.

227

Enligt vår bedömning utgör bestämmelsen i 9 § fjärde stycket PUL en väl avvägd skyddsåtgärd. En motsvarande begränsning bör därför införas även i dataskyddslagen och bör, precis som den nu gällande bestämmelsen, inte bara avse känsliga personuppgifter. Den nya bestämmelsen bör dock utformas så att det tydligare än i dag framgår att användningsbegränsningen bara gäller personuppgifter som enbart behandlas för arkivändamål av allmänt intresse. Det finns vidare inget skäl att ange i paragrafen att uppgifter får användas med den registrerades samtycke. Om samtycke inhämtas till att en arkiverad uppgift används för nya ändamål, kan behandlingen nämligen jämställas med personuppgiften samlas in på nytt med stöd av artikel 6.1 a i dataskyddsförordningen.9Någon saklig skillnad mellan vårt förslag och 9 § fjärde stycket PUL är inte avsedd.

Vad gäller myndigheternas arkiv utgör de nationella författningsbestämmelserna om sekretess en särskild skyddsåtgärd, eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn. Dessutom omfattas myndigheternas arkiv av allmänna bestämmelser om skydd av arkiv, bland annat Riksarkivets föreskrifter, och krav på avskiljande i registerförfattningar. Ytterligare skyddsåtgärder, t.ex. i form av användningsbegränsningar som förhindrar återanvändning av arkiverade uppgifter, bör vid behov införas i sektorsspecifika författningar och inte i den generella lagen. Den föreslagna bestämmelsen om begränsningar av möjligheten att vidta åtgärder i fråga om den registrerade ska därför inte hindra myndigheter från att använda personuppgifter som finns i allmänna handlingar. Förslaget medför därmed ingen förändring i förhållande till vad som gäller enligt personuppgiftslagen.

9 Jfr Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning, s. 27.

228

14.4.5. Undantag från vissa av den registrerades rättigheter

Utredningens förslag: Hänvisningen till personuppgiftslagen i

arkivförordningens bestämmelse om undantag från rätten till s.k. registerutdrag ska ersättas med en hänvisning till dataskyddsförordningen.

En arkivmyndighet ska inte behöva rätta, komplettera eller begränsa behandlingen av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.

Rätten att göra invändningar ska inte gälla vid arkivmyndigheters behandling av personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten.

Om personuppgifter behandlas för arkivändamål av allmänt intresse får det enligt artikel 89.3 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1 (se avsnitt 14.3.2). Detta får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå detta ändamål.

Såväl offentliga som enskilda arkiv fyller en viktig samhällsfunktion. I synnerhet är väl fungerande myndighetsarkiv av grundläggande betydelse för forskning och utveckling, insyn och delaktighet, ansvarsutkrävande och demokrati. Detta intresse kan i vissa situationer väga tyngre än den enskildes intresse av att kunna utöva sina rättigheter enligt dataskyddsförordningen. Det finns därför skäl att överväga om Sverige bör utnyttja det utrymme som förordningen ger för att föreskriva undantag från vissa av dessa rättigheter, om det annars skulle bli omöjligt eller mycket svårare att uppfylla arkivändamålet. Vår allmänna utgångspunkt är dock att de registrerades rättigheter inte bör inskränkas i större utsträckning än vad som gäller enligt gällande rätt.

229

Rätten till tillgång (s.k. registerutdrag)

Motsvarigheten till artikel 15 i dataskyddsförordningen, rörande den registrerades rätt att på begäran få besked om huruvida personuppgifter som rör honom eller henne behandlas (s.k. registerutdrag), finns i 26 § PUL. I tredje stycket i denna paragraf anges att sådan information inte behöver lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta undantag gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Undantaget i 26 § tredje stycket PUL är därmed inte tillämpligt vid sådan behandling som sker för arkivändamål av allmänt intresse. Den registrerades rätt till registerutdrag enligt personuppgiftslagen omfattar således alla typer av arkiverade uppgifter, även i form av minnesanteckningar eller liknande. Denna ordning bör enligt vår bedömning bestå. Vi ser således inte skäl att föreslå något generellt undantag från rätten till information enligt artikel 15 i dataskyddsförordningen vid behandling av personuppgifter för arkivändamål av allmänt intresse. Frågan om behovet i övrigt av undantag från rätten till registerutdrag behandlas i avsnitt 13.

I 7 a § arkivförordningen anges emellertid att en arkivmyndighet inte behöver lämna besked och information enligt 26 § PUL när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Vi anser att ett liknande undantag från artikel 15 i dataskyddsförordningen krävs för att arkivändamålet för behandling av personuppgifter i Riksarkivets och andra arkivmyndigheters verksamhet även i fortsättningen ska kunna uppnås. Vi föreslår därför att 7 a § arkivförordningen ändras på så sätt att hänvisningen till 26 § PUL byts ut mot artikel 15 i dataskyddsförordningen. Det bör noteras att undantaget kan tillämpas endast under förutsättning att de direkt tillämpliga villkoren i artikel 89.1 i dataskyddsförordningen om bland annat skyddsåtgärder och uppgiftsminimering efterlevs.

230

Rätten till rättelse av personuppgifter och begränsning av behandling

Enligt artikel 16 i dataskyddsförordningen har den registrerade rätt att få felaktiga personuppgifter rättade och ofullständiga personuppgifter kompletterade. Artikel 18 ger den registrerade rätt att under vissa omständigheter kräva att behandlingen av personuppgifter begränsas. Bestämmelsernas motsvarighet finns i 28 § PUL första meningen, som anger att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast bland annat rätta eller blockera sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Personuppgiftslagen innehåller inte något undantag från dessa rättigheter och det gör inte heller arkivlagstiftningen. Vi anser att det inte heller i förhållande till artiklarna 16 och 18 i dataskyddsförordningen bör införas något generellt undantag från den registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse.

Riksarkivet och andra arkivmyndigheter utför inte några rättelser i de handlingar som bevaras där, bland annat eftersom det skulle utgöra en otillåten förvanskning av allmänna handlingar. En rättelse kan i det enskilda fallet även riskera att försämra den enskildes rättigheter, om den medför att det inte längre är möjligt att i efterhand kontrollera myndigheternas verksamhet och ge upprättelse om ett fel har begåtts. Riksarkivet blockerar inte heller personuppgifter i arkiven. Enligt vår bedömning krävs det ett uttryckligt undantag från artiklarna 16 och 18 i dataskyddsförordningen för att denna etablerade hantering ska kunna fortgå, vilket i sin tur är en förutsättning för att offentlighetsprincipen ska kunna upprätthållas.

Det bör därför införas en bestämmelse i arkivförordningen som anger att en arkivmyndighet inte behöver rätta eller komplettera personuppgifter enligt artikel 16 i dataskyddsförordningen, när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten. På motsvarande sätt bör arkivmyndigheten inte vara skyldig att begränsa behandlingen av personuppgifterna enligt artikel 18 i dataskyddsförordningen. Avgränsningen till arkivmaterial som tagits emot för förvaring av myndigheten innebär, precis som i 7 a § arkivförordningen, att undantagen inte är tillämpliga avseende personuppgifter i arkivmaterial som härrör från arkivmyndighetens

231

egen verksamhet. Beslut med stöd av dessa nya bestämmelser bör kunna överklagas på samma sätt som beslut enligt 7 a § arkivförordningen.

Den omständigheten att arkivmyndigheten inte behöver komplettera personuppgifter innebär inte ett förbud mot att göra detta eller vidta någon liknande åtgärd, om arkivmyndigheten bedömer att det är lämpligt. Detta förutsätter dock att åtgärden inte medför en otillåten förvanskning av allmänna handlingar eller en otillåten inskränkning av var och ens rätt att ta del av sådana handlingar.

Det bör noteras att de föreslagna undantagen får tillämpas endast under förutsättning att de direkt tillämpliga villkoren i artikel 89.1 i dataskyddsförordningen om bland annat skyddsåtgärder och uppgiftsminimering efterlevs.

I sammanhanget bör nämnas att rätten till radering, som också framgår av 28 § PUL, regleras i artikel 17 i dataskyddsförordningen. Enligt den direkt tillämpliga bestämmelsen i artikel 17.3 d gäller dock inte denna rätt vid behandling för arkivändamål av allmänt intresse, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen.

Anmälningsskyldighet vid rättelse och radering av personuppgifter samt begränsning av behandling

Enligt artikel 19 i dataskyddsförordningen ska den personuppgiftsansvarige underrätta dem som personuppgifter har lämnats ut till, om rättelse, radering eller begränsning sker enligt artiklarna 16–18. Motsvarande underrättelseskyldighet regleras i 28 § andra meningen PUL. I denna bestämmelse anges att underrättelse inte behöver lämnas, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Ett näst intill likalydande undantag från underrättelseskyldigheten gäller även enligt artikel 19 i dataskyddsförordningen. Undantaget innebär till exempel att en myndighet inte behöver informera dem som har tagit del av en allmän handling om att behandlingen av uppgifter i handlingen har begränsats. Något ytterligare undantag, utöver den i förordningen direkt tillämpliga bestämmelsen, behöver enligt vår bedömning inte införas i svensk rätt. Vi lämnar därför inget sådant förslag.

232

Rätten till dataportabilitet

Artikel 20 i dataskyddsförordningen, som saknar motsvarighet i personuppgiftslagen, anger att den registrerade under vissa förutsättningar ska ha rätt att få ut de personuppgifter som rör honom eller henne i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Rätten till dataportabilitet gäller endast om den personuppgiftsansvariges behandling grundar sig på den registrerades samtycke eller är nödvändig för att fullgöra ett avtal med den registrerade. Rätten gäller alltså inte i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Rätten till dataportabilitet skulle därmed endast undantagsvis kunna åberopas avseende personuppgifter som bevarats med stöd av arkivlagstiftningen.

Därtill kommer att rätten till dataportabilitet inte innebär en rätt till radering, se skäl 68. Den personuppgiftsansvarige kan alltså tillgodose den registrerades rätt genom att tillhandahålla en kopia av materialet. I den mån rätten till dataportabilitet alls skulle kunna aktualiseras i arkivmyndigheternas verksamhet skulle utövandet av denna rätt därmed inte påverka myndighetens möjlighet att uppfylla arkivändamålet. Det finns mot denna bakgrund inget skäl att införa något undantag från rätten till dataportabilitet vid behandling av personuppgifter för arkivändamål av allmänt intresse. Vi lämnar därför inte något sådant förslag.

Rätten att göra invändningar

Dataskyddsdirektivets motsvarighet till artikel 21 i dataskyddsförordningen, rörande rätten att göra invändningar, är genomförd i personuppgiftslagen endast såvitt avser direkt marknadsföring, 11 § PUL. Något undantag från denna relativt begränsade rätt att göra invändningar har inte gjorts i personuppgiftslagen.

Rätten att göra invändningar enligt artikel 21.1 dataskyddsförordningen avser behandling av personuppgifter som grundar sig på artikel 6.1 e eller f. Om en invändning görs får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger

233

tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Enligt vår bedömning står det klart att arkivlagstiftningen i det enskilda fallet kommer att utgöra ett sådant tvingande och berättigat skäl som väger tyngre än den registrerades intressen, i synnerhet när det gäller behandling av personuppgifter som förekommer i arkivmaterial som har överlämnats till en arkivmyndighet. Mot denna bakgrund bör det i arkivförordningen föreskrivas ett generellt undantag från den registrerades principiella rätt att invända mot en arkivmyndighets behandling av personuppgifter för arkivändamål av allmänt intresse. Undantaget bör dock inte vara tillämpligt avseende personuppgifter i arkivmaterial som härrör från arkivmyndighetens egen verksamhet. Beslut med stöd av det nya undantaget bör kunna överklagas på samma sätt som beslut enligt 7 a § arkivförordningen.

Det bör noteras att det föreslagna undantaget får tillämpas endast under förutsättning att de direkt tillämpliga villkoren i artikel 89.1 i dataskyddsförordningen om bland annat lämpliga skyddsåtgärder och uppgiftsminimering efterlevs.

14.4.6. Organ som bör jämställas med myndigheter

Utredningens förslag: Bestämmelserna i dataskyddslagen om

behandling av personuppgifter för arkivändamål av allmänt intresse ska i tillämpliga delar också gälla andra organ än myndigheter, i den mån organets verksamhet omfattas av offentlighetsprincipen och sekretesslagstiftningen.

Enligt 2 kap. 2–5 §§ OSL ska vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också gälla hos bland annat kommunala bolag och de organ som anges i bilagan till offentlighets- och sekretesslagen, om handlingarna hör till den verksamhet som nämns där. Dessa organ ska enligt samma bestämmelser jämställas med myndigheter vid tillämpningen av offentlighets- och sekretesslagen. De omfattas även av viss arkivlagstiftning (12 a §§arkivlagen). De överväganden som har gjorts i detta kapitel avseende myndigheter är därmed relevanta också för dessa organ. Vid tillämpningen av dataskyddslagens bestämmelser om behandling av personuppgifter för arkivändamål av allmänt intres-

234

se ska därför andra organ än myndigheter jämställas med myndigheter, i den mån bestämmelserna i tryckfrihetsförordningen och offentlighets- och sekretesslagen om allmänna handlingar och sekretess gäller i organets verksamhet.

14.5. Överväganden och förslag – statistiska ändamål

14.5.1. Statistik

Ordet statistik avser metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Resultatet av ett sådant arbete, ofta redovisat i numerisk form, benämns också statistik. I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild privatperson.

Behandling av personuppgifter för statistiska ändamål förekommer inom såväl offentlig som privat sektor, både som en självständig verksamhet och som en uppföljande åtgärd till annan verksamhet. Statistiska undersökningar kan också utgöra en integrerad del av ett forskningsprojekt. I sådana projekt bör dock all behandling av personuppgifter bedömas enligt de bestämmelser som gäller vid behandling för forskningsändamål. Detta avsnitt omfattar därmed inte sådan behandling av personuppgifter för statistiska ändamål som sker inom ramen för forskning. Vad som ryms inom begreppet forskning kommer att behandlas av Forskningsdatautredningen.

Framställningen av den officiella statistiken, som ska finnas för allmän information, utredningsverksamhet och forskning, regleras av lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Dessa författningar reglerar bland annat under vilka förutsättningar känsliga personuppgifter får behandlas och vilken information som den statistikansvariga myndigheten ska lämna. Det står klart att hänvisningarna till personuppgiftslagen måste ändras i författningarna om den officiella statistiken. Det kan inte heller uteslutas att dataskyddsförordningen föranleder

235

materiella författningsändringar. Det ingår dock inte i vårt uppdrag att utreda behovet av eller föreslå sådana ändringar.

14.5.2. Rättslig grund och tillåten vidarebehandling

Den officiella statistiken och annan reglerad statistik framställs av särskilt utpekade myndigheter, som genom författning har tilldelats en uppgift av allmänt intresse. Personuppgifter kan således samlas in och i övrigt behandlas för detta ändamål, utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen.

Statistikprojekt som saknar författningsstöd torde däremot inte kunna anses som en uppgift av allmänt intresse som är fastställd i enlighet med svensk rätt. Framställning av statistik som inte sker som en följd av en uppgift som har fastställts i unionsrätten eller i svensk rätt saknar det rättsliga stöd som krävs för att nödvändig behandling av personuppgifter ska kunna ske på grundval av artikel 6.1 e i dataskyddsförordningen. Rättslig grund för behandlingen måste då i stället sökas någon annanstans. Vid sidan av den officiella statistiken och annan reglerad statistikverksamhet torde därför insamling av personuppgifter för statistiska ändamål kräva samtycke från de registrerade. Samtycke krävs således exempelvis för att ett privaträttsligt organ ska kunna samla in personuppgifter i syfte att genomföra en opinions- eller marknadsundersökning, även om undersökningen i och för sig skulle kunna sägas vara av allmänt intresse. Man kan dock också tänka sig att insamling av personuppgifter för viss privaträttsligt bedriven statistikverksamhet skulle kunna vara tillåten utan samtycke, med stöd av en intresseavvägning med stöd av artikel 6.1 f i dataskyddsförordningen.

Dataskyddsförordningen kan således medföra vissa inskränkningar av möjligheterna att, utanför den reglerade statistikverksamheten, samla in personuppgifter för rent statistiska ändamål, jämfört med vad som gäller enligt personuppgiftslagen. Det är inte längre tillräckligt att ett statistikprojekt är av allmänt intresse för att insamling av personuppgifter ska kunna ske utan samtycke från de registrerade – behandlingen måste också vara nödvändig för att utföra en uppgift som är fastställd i unionsrätten eller den nationella rätten. Dessutom kan en intresseavvägning inte längre åberopas som rättslig grund för myndigheter när de fullgör sina uppgifter.

236

Det är mycket vanligt att personuppgifter som ursprungligen har samlats in för helt andra ändamål vidarebehandlas för statistiska ändamål, t.ex. som ett led i den personuppgiftsansvariges uppföljning av sin egentliga verksamhet. Sådan vidarebehandling är särskilt gynnad i dataskyddsförordningen, precis som i personuppgiftslagen. Uppgifter som ursprungligen samlats in för något annat ändamål kan alltså även i fortsättningen användas för statistiska ändamål, utan att denna nya behandling ska anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b i dataskyddsförordningen). En nyhet jämfört med personuppgiftslagen är att det vid sådan vidarebehandling inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (skäl 50).

14.5.3. Känsliga personuppgifter

Utredningens förslag: Känsliga personuppgifter ska få behandlas

för statistiska ändamål om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Behandling av känsliga personuppgifter för statistiska ändamål får enligt artikel 9.2 j i dataskyddsförordningen ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Detta utrymme för undantag från förbudet mot behandling av känsliga personuppgifter aktualiseras både vid insamling av personuppgifter för statistiska ändamål och vid vidarebehandling av uppgifter för sådana ändamål.

Vidarebehandling av personuppgifter för statistiska ändamål ska enligt artikel 5.1 b i dataskyddsförordningen visserligen inte anses vara oförenlig med de ursprungliga ändamålen. Känsliga personuppgifter kan däremot inte vidarebehandlas för statistiska ändamål enbart på grundval av det undantag från förbudet som tillämpats vid behandling enligt det ursprungliga ändamålet. Detta följer av att artikel 9.2 j i förordningen förutsätter att gällande rätt innehåller

237

bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades rättigheter och intressen.

Enligt 19 § andra stycket PUL får känsliga personuppgifter behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. I 19 § tredje stycket PUL anges att förutsättningarna enligt andra stycket ska anses uppfyllda om behandlingen har godkänts av en forskningsetisk kommitté, dvs. ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.

I förarbetena till 19 § andra stycket PUL anges att viss statistik är så viktig att den inte bör vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke. Vidare framgår att det mot bakgrund av det finns många olikartade statistikprojekt, vilka som regel pågår bara under en begränsad tid, förefaller lämpligare att göra en avvägning i varje särskilt fall än att i lag införa generella regler om vilken statistik som ska tillåtas. Vid en sådan individuell avvägning kan olika faktorer kring projektet, t.ex. hur pass viktig den kunskap är som projektet kan ge, vägas mot intrånget i den enskildes personliga integritet.10

Även vi anser att det inte är lämpligt att genom lagstiftning på förhand avgöra exakt i vilka fall behandling av känsliga personuppgifter ska få ske för statistiska ändamål. Vi föreslår därför att det i dataskyddslagen införs en avvägningsnorm motsvarande den som finns i 19 § andra stycket PUL. Nödvändig behandling av känsliga personuppgifter för statistiska ändamål ska således få ske om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. För att denna bestämmelse ska aktualiseras förutsätts givetvis att insamlingen av personuppgifter är tillåten med stöd av någon av de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen eller att behandlingen utgör en tillåten vidarebehandling av för andra ändamål insamlade personuppgifter.

10Prop. 1997/98:44 s. 71.

238

Som tidigare har nämnts anser vi att sådana statistiska undersökningar som utgör en integrerad del av ett forskningsprojekt ska bedömas enligt de bestämmelser som gäller för behandling av personuppgifter för forskningsändamål. Den avvägningsnorm som föreslås i detta avsnitt kommer därmed endast att vara tillämplig vid behandling av personuppgifter inom ramen för andra slags statistikprojekt, t.ex. vid framställning av verksamhetsstatistik. Sådan statistik, som alltså saknar samband med ett forskningsprojekt, torde inte komma att prövas av en forskningsetisk kommitté. Det saknas därför skäl att i dataskyddslagen införa en motsvarighet till 19 § tredje stycket PUL.

14.5.4. Lämpliga skyddsåtgärder

Utredningens förslag: Personuppgifter som enbart behandlas för

statistiska ändamål ska få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Användningsbegränsningen ska gälla även för myndigheters användning av statistikuppgifter.

Behandling av personuppgifter för statistiska ändamål ska enligt artikel 89.1 i dataskyddsförordningen omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Denna bestämmelse, som är direkt tillämplig, måste den personuppgiftsansvarige följa. För att behandling av känsliga personuppgifter ska vara tillåten för statistiska ändamål krävs dessutom, enligt artikel 9.2 j i dataskyddsförordningen, att unionsrätten eller den nationella rätten innehåller bestämmelser som sådana åtgärder.

I avsnitt 14.5.3 har vi föreslagit att dataskyddslagen ska förses med en bestämmelse som tillåter behandling av känsliga personuppgifter för statistiska ändamål, under vissa förutsättningar. Förslaget, som har utformats enligt den modell som gäller enligt 19 § andra stycket PUL, innefattar ett krav på att samhällsintresset av det statistikprojekt där behandlingen ingår klart ska väga över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Det föreslagna villkoret kan i sig sägas utgöra en skyddsåtgärd i dataskyddsförordningens mening.

I avsnitt 14.4.4 angående behandling av personuppgifter för arkivändamål har vi redogjort för vårt förslag att dataskyddslagen ska inne-

239

hålla en begränsning som motsvarar 9 § fjärde stycket PUL, när det gäller möjligheterna att vidta åtgärder i fråga om den registrerade. En sådan användningsbegränsning bör även gälla i fråga om personuppgifter som endast behandlas för statistiska ändamål. Personuppgifter som enbart behandlas för statistiska ändamål ska därför få användas för att vidta åtgärder i fråga om den registrerade bara om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Det saknas även här skäl att ange att uppgifter får användas med den registrerades samtycke. Någon saklig skillnad mellan vårt förslag och 9 § fjärde stycket PUL är inte avsedd.

Begränsningen i 9 § fjärde stycket PUL gäller inte vid myndigheters användning av uppgifter i allmänna handlingar (8 § andra stycket PUL). Undantaget motiveras i förarbetena med att det för sådana personuppgifter redan finns lämpliga skyddsåtgärder i form av bestämmelser om sekretess och skydd för arkiv.11En allmän utgångspunkt för behandling av personuppgifter för statistiska ändamål är emellertid att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person (skäl 162). Enligt vår mening står det klart att det finns vissa undantagssituationer då uppgifter som annars bara behandlas för statistiska ändamål måste kunna användas även för att vidta sådana åtgärder, nämligen då den registrerades egna vitala intressen står på spel. I övrigt bör däremot inte heller myndigheter kunna använda uppgifterna för att vidta åtgärder i förhållande till den registrerade. Den omständigheten att uppgifterna finns i allmänna handlingar, eftersom dessa ännu inte hunnit anonymiseras eller gallras, föranleder ingen annan bedömning. Myndigheter bör därför inte undantas från den föreslagna användningsbegränsningen. Om det inom något verksamhetsområde eller för någon viss myndighet skulle finnas behov av ett sådant undantag bör det övervägas särskilt.

11Prop. 1997/98:44 s. 63.

240

14.5.5. Undantag från vissa av den registrerades rättigheter

Utredningens bedömning: Dataskyddslagen bör inte innehålla

något generellt undantag från de registrerades rättigheter vid behandling för statistiska ändamål.

I avsnitt 14.3.1 har vi redogjort för artikel 14.5 b och 17.3 d i dataskyddsförordningen, som utgör direkt tillämpliga undantag från vissa av förordningens bestämmelser om de registrerades rättigheter. Om personuppgifter behandlas för statistiska ändamål får det dessutom, enligt artikel 89.2, i nationell rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla det särskilda ändamålet och sådana undantag krävs för att uppnå detta ändamål.

Vi kan konstatera att det är mycket svårt att överblicka behovet och konsekvenserna av ett generellt undantag från de registrerades rättigheter vid behandling av personuppgifter för statistiska ändamål. Vi anser därför att dataskyddslagen inte bör innehålla någon sådan bestämmelse. Vid behov, och om det bedöms vara lämpligt, bör sådana undantag i stället införas i sektorsspecifika författningar.

Enligt 19 § fjärde stycket PUL får personuppgifter lämnas ut för att användas i sådana statistikprojekt som avses i 19 § andra stycket PUL, om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen innebär ingen skyldighet, endast en möjlighet, att lämna ut uppgifter. Av förarbetena framgår att bestämmelsens syfte och konsekvens är att den statistiker som hämtar in uppgifter från någon annan än de registrerade inte behöver informera de registrerade om sin behandling. Bestämmelsen medför nämligen att det undantag från informationsplikten som föreskrivs i 24 § andra stycket PUL blir tillämpligt.12 Enligt detta undantag behöver information enligt första stycket samma paragraf inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.

12Prop. 1997/98:44 s. 127.

241

I artikel 14.5 c i dataskyddsförordningen föreskrivs, på ett likartat sätt som i artikel 11.2 i dataskyddsdirektivet, att informationsplikten enligt artikel 14.1–4 inte gäller om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt. Dessutom anges i artikel 14.5 b i förordningen att informationsplikten inte gäller vid behandling av personuppgifter för statistiska ändamål, om tillhandahållandet av information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning eller om skyldigheten sannolikt skulle göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med behandlingen. Enligt vår bedömning fyller den sistnämnda bestämmelsen behovet på generell nivå av undantag från informationsplikten. Vi föreslår därför ingen bestämmelse som motsvarar 19 § fjärde stycket PUL. Bestämmelser som uttryckligen föreskriver att uppgifter ska lämnas ut eller samlas in, och som medför att informationsplikten enligt dataskyddsförordningen inte gäller, bör i stället övervägas på sektorsspecifik nivå. Sådana bestämmelser finns redan bland annat i lagen och förordningen om den officiella statistiken.

242

243

15. Förhandstillstånd

15.1. Vårt uppdrag

I kommittédirektiven anges att vi ska överväga om regeringen också fortsättningsvis ska ha en generell möjlighet att meddela föreskrifter om krav på förhandstillstånd i vissa fall, eller om sådana föreskrifter endast bör tas in i sådan sektorsspecifik lagstiftning som ligger utanför utredningens uppdrag.

15.2. Gällande rätt

Enligt 41 § PUL har regeringen möjlighet att meddela föreskrifter om att behandlingar som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska anmälas för förhandskontroll till tillsynsmyndigheten. Bestämmelsen har införts för att genomföra artikel 20.1 i dataskyddsdirektivet. Enligt artikeln ska medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Det är tillsynsmyndigheten som ska utföra förhandskontrollen sedan en anmälan kommit in från den personuppgiftsansvarige eller personuppgiftsombudet. Det har tidigare funnits vissa sådana bestämmelser i personuppgiftsförordningen men dessa har upphävts. Viss behandling som regleras i särskild ordning, t.ex. Skatteverkets behandling av personuppgifter i samband med brottsutredningar, omfattas däremot av bestämmelser om förhandskontroll.1

12 § förordningen (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar.

244

15.3. Dataskyddsförordningen

Förhandssamråd regleras i artikel 36 i dataskyddsförordningen, och kommenteras i skäl 94. Av artikeln framgår att den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning visar att behandlingen skulle leda till en hög risk, om inte den personuppgiftsansvarige skulle vidta åtgärder för att minska risken.

Om tillsynsmyndigheten anser att den planerade behandlingen skulle strida mot förordningen, ska tillsynsmyndigheten ge personuppgiftsansvarig och personuppgiftsbiträde skriftliga råd och utnyttja sina befogenheter enligt artikel 58. Det gäller exempelvis att begära information, utfärda varningar om att planerade behandlingar sannolikt kommer att bryta mot förordningen och förelägga den personuppgiftsansvarige om rättelse eller radering.

Vid samråd med tillsynsmyndigheten ska den personuppgiftsansvarige lämna viss närmare specificerad information, t.ex. ändamålen med och medlen för den avsedda behandlingen, de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning och den genomförda konsekvensutredningen. Underlåtenhet att utföra en konsekvensutredning och att samråda med tillsynsmyndigheten kan föranleda att sanktionsavgift påförs enligt artikel 83.4.

I artikel 36.5 ges medlemsstaterna utrymme att i sin nationella rätt i stället kräva att personuppgiftsansvariga alltid ska samråda med och erhålla förhandstillstånd av tillsynsmyndigheten när det gäller en personuppgiftsansvarigs behandling för utförandet av en uppgift av allmänt intresse, inbegripet behandling avseende social trygghet och folkhälsa.

15.4. Överväganden

Utredningens bedömning: Ett bemyndigande för regeringen att

meddela föreskrifter om förhandstillstånd för vissa behandlingar bör inte tas in i dataskyddslagen, utan i de fall det bedöms nödvändigt tas in i sektorsspecifik reglering.

245

Den enda generella reglering som har antagits med stöd av bemyndigandet i 41 § PUL är den numera upphävda 10 § PUF. Bestämmelsen innebar att automatiserade behandlingar av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning, skulle anmälas för förhandskontroll till Datainspektionen senast tre veckor i förväg. Bestämmelsen upphörde att gälla den 1 mars 2013.

Som nämnts ovan finns föreskrifter om anmälan för förhandskontroll rörande behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar. Tidigare gällde även krav på förhandstillstånd för vissa behandlingar hos andra brottsbekämpande myndigheter, såsom polisen, Kustbevakningen och Tullverket.2När det gäller polisen och Kustbevakningen har kraven på tillstånd numera ersatts av ett samrådsförfarande .3 Det finns vidare en fortsatt möjlighet för regeringen att förordna att viss behandling hos Tullverket kräver förhandstillstånd, genom en hänvisning till 41 § PUL i 6 § första stycket 7 lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Möjligheten har dock inte utnyttjats.

Redan Datalagskommittén ansåg att skyldigheten att i förväg anmäla behandlingar till tillsynsmyndigheten för förhandskontroll borde begränsas till ett minimum och att Datainspektionens resurser i stället skulle användas för att ge råd, sprida kunskap och utöva tillsyn.4Datalagskommittén ansåg dock att det skulle vara oförenligt med direktivet att införa en bestämmelse om att inga behandlingar måste kontrolleras på förhand. Det bedömdes som mest lämpligt att regeringen fick meddela sådana föreskrifter på förordningsnivå, varför kommittén föreslog den delegationsbestämmelse som återfinns i 41 § PUL .5

Dataskyddsförordningen stadgar en relativt långtgående samrådsskyldighet i kombination med kraftfulla befogenheter och en möjlighet att påföra sanktionsavgift om skyldigheten inte efterlevs. Utvecklingen i svensk rätt har alltmer rört sig mot ett avskaffande av tillståndsförfaranden och en utökad användning av samrådsförfaran-

2 Se 2 § i numera upphävda polisdataförordningen (1999:81), 10 § tredje stycket numera upphävda förordningen (2003:188) om behandling av personuppgifter inom Kustbevakningen, och 2 § numera upphävda förordningen (2001:88) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. 3 Se 2 § polisdataförordningen (2010:1155) och 2 § kustbevakningsdataförordningen (2012:146). 4SOU 1997:39 s. 423 f. 5SOU 1997:39 s. 430.

246

den. Förordningen ställer, till skillnad från dataskyddsdirektivet, inga krav på att medlemsstaterna ska reglera frågan om förhandstillstånd. Tvärtom är det ett av syftena med att dataskyddsreformen att minska byråkratin genom att avskaffa kravet på anmälningar och tillstånd.6Den möjlighet som medlemsstaterna ges i artikel 36.5 att reglera tillståndsfrågan är rent fakultativ.

Mot denna bakgrund bör skälen för en sådan reglering övervägas noga i varje enskilt fall och anpassas till de speciella förhållanden som råder inom den sektor där behandlingen är tänkt att ske. Vi menar därför att det inte finns skäl att generellt bemyndiga regeringen att meddela föreskrifter om förhandstillstånd. Sådana bemyndiganden får i stället, i de fall det bedöms nödvändigt, tas in i sektorsspecifik lag.

6 Europeiska kommissionens pressmeddelande den 15 december 2015 ”Överenskommelse om kommissionens reform av EU:s uppgiftsskydd stärker den digitala inre marknaden”.

247

16. Godkännande av certifieringsorgan

16.1. Vårt uppdrag

Enligt dataskyddsförordningen ska medlemsstaterna, Europiska dataskyddsstyrelsen och kommissionen, framför allt på unionsnivå, uppmuntra till att det införs certifieringsmekanismer och märkningar i syfte att personuppgiftsansvariga och personuppgiftsbiträden ska kunna visa att de uppfyller kraven i förordningen. Sådan certifiering kan utföras av särskilda certifieringsorgan eller av tillsynsmyndigheten. I kommittédirektiven anges att dataskyddsförordningen kräver att medlemsstaterna inför bestämmelser för hur sådana särskilda certifieringsorgan ska godkännas. Det ingår därför i vårt uppdrag att bedöma hur certifieringsorgan ska godkännas och att lämna sådana författningsförslag som är behövliga och lämpliga.

16.2. Dataskyddsförordningen

Enligt artikel 24 i dataskyddsförordningen ska den personuppgiftsansvarige kunna visa att behandlingen utförs i enlighet med denna förordning. Detta kan bland annat ske genom användning av godkända certifieringsmekanismer. Sådana mekanismer kan även användas för att visa att den personuppgiftsansvarige följer kraven i artikel 25 på inbyggt dataskydd och dataskydd som standard, att ett personuppgiftsbiträde tillhandahåller tillräckliga garantier enligt artikel 28, och att lämpliga tekniska och organisatoriska åtgärder vidtas enligt artikel 32.

De godkända certifieringsmekanismer som avses i dessa bestämmelser regleras närmare i artikel 42. Där anges bland annat att medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska

248

uppmuntra, särskilt på unionsnivå, införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med förordningen (punkt 1). Certifieringsförfarandet ska vara frivilligt (punkt 3). Certifiering minskar inte den personuppgiftsansvariges eller personuppgiftsbiträdets ansvar för att förordningen efterlevs och påverkar inte tillsynsmyndigheternas uppgifter och befogenheter (punkt 4). Certifieringar ska utfärdas av särskilda certifieringsorgan, den behöriga tillsynsmyndigheten eller styrelsen (punkt 5).1

Särskilda certifieringsorgan ska enligt artikel 43 vara ackrediterade. Medlemsstaten ska säkerställa att certifieringsorganen är ackrediterade av både eller endera av tillsynsmyndigheten och det nationella ackrediteringsorgan som utsetts i enlighet med förordning (EG) nr 765/20082. Ackrediteringen ska ske i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av tillsynsmyndigheten. Certifieringsorgan får ackrediteras endast om vissa villkor som anges i artikeln är uppfyllda och på grundval av offentliggjorda kriterier som godkänts av tillsynsmyndigheten eller styrelsen.

Tillsynsmyndigheten tilldelas genom artikel 57.1 i dataskyddsförordningen en rad uppgifter som rör certifieringsmekanismen. Myndigheten ska bland annat

– godkänna certifieringskriterierna (led n), – genomföra en periodisk översyn av utfärdade certifieringar (led o),

– utarbeta och offentliggöra kriterier för ackreditering av certifieringsorgan (led p), och

– ackreditera certifieringsorgan (led q). I artikel 58.3 anges att tillsynsmyndigheten ska ha befogenhet att – ackreditera certifieringsorgan (led e), och – utfärda certifieringar och godkänna certifieringskriterier (led f).

1 Det kan dock noteras att uppgiften att utfärda certifiering inte nämns i de artiklar som anger styrelsens uppgifter. 2 Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93.

249

16.3. Överväganden

16.3.1. Certifiering, ackreditering och Swedac

Certifiering är ett förfarande som syftar till att bedöma om vissa specificerade krav avseende till exempel en process eller ett organ har uppfyllts. Kraven kan handla om olika aspekter, exempelvis säkerhet eller hälsa. Kraven kan framgå av författning, branschöverenskommelse eller standard.3

Med ackreditering avses ett formellt erkännande att ett organ är kompetent att utföra vissa specificerade tjänster. Ackrediteringen meddelas av ett särskilt ackrediteringsorgan efter genomförd utvärdering. Ackreditering syftar till att bedöma och säkerställa att tilllämpliga krav uppfylls. I svensk lagstiftning som inte härrör från unionslagstiftning, dvs. som ligger utanför det harmoniserade området, krävs ofta ackreditering för organ som utför kontroll, certifiering och liknande tjänster.4

Styrelsen för ackreditering och teknisk kontroll (Swedac) har utsetts att vara nationellt ackrediteringsorgan i Sverige och ansvarar för ackreditering enligt förordning (EG) nr 765/2008. Swedac ansvarar enligt lagen (2011:791) om ackreditering och teknisk kontroll även för ackreditering i övrigt av organ för bedömning av överensstämmelse. Även vid sådan ackreditering ska vissa bestämmelser i förordning (EG) nr 765/2008 tillämpas. Ett organ som vill bli ackrediterat måste lämna en ansökan till Swedac som prövar och bedömer om organet uppfyller de krav som ställs. Förfaranderegler finns i förordningen (2011:811) om ackreditering och teknisk kontroll.

16.3.2. Vår bedömning

Utredningens bedömning: Det bör för närvarande inte införas

några ytterligare bestämmelser om hur certifieringsorgan ska godkännas.

3Prop. 2010/11:80 s. 40. 4Prop. 2010/11:80 s. 42.

250

I kommittédirektiven anges att dataskyddsförordningen kräver att medlemsstaterna inför bestämmelser för hur särskilda certifieringsorgan ska godkännas. Av förordningens slutliga lydelse är det emellertid svårt att utläsa något sådant krav.

I artikel 43.1 anges att medlemsstaterna ska säkerställa att certifieringsorgan är ackrediterade av antingen tillsynsmyndigheten eller av det nationella ackrediteringsorganet eller av båda dessa. Frågan är vad som avses med uttrycket ”säkerställa” i detta sammanhang. I den engelska språkversionen används uttrycket ensure. En möjlig tolkning är att det ankommer på medlemsstaten att se till att de certifieringsorgan som verkar på marknaden är ackrediterade. Detta bör dock snarare vara en uppgift för tillsynsmyndigheten, än för staten som sådan. En rimligare tolkning, som dock ligger längre från bestämmelsens ordalydelse, är att staten är skyldig att se till att antingen tillsynsmyndigheten eller det nationella ackrediteringsorganet eller att dessa båda organ har de befogenheter och verktyg som behövs för att ackreditera certifieringsorgan.

Tillsynsmyndighetens uppgift och befogenhet att ackreditera certifieringsorgan anges uttryckligen i artiklarna 57.1 q och 58.3 e. Ett organ som vill bli ackrediterat måste därmed anses ha en direkt på förordningen grundad rätt att få sin överensstämmelse med kraven bedömda av tillsynsmyndigheten. Det kan mot denna bakgrund inte komma i fråga att genom nationell lagstiftning vare sig tilldela eller frånta tillsynsmyndigheten denna uppgift.

Swedac är i Sverige det nationella ackrediteringsorgan som utpekas i artikel 43.1 b. Swedac ansvarar enligt sin instruktion5även för annan ackrediteringsverksamhet än den som avses i förordning (EG) nr 765/2008. Det regelverk som på nationell nivå kompletterar förordning (EG) nr 765/2008, till exempel avseende förfarandet, är tillämpligt även på sådan annan ackrediteringsverksamhet. För det fall att ett organ som vill bli ackrediterat skulle anses ha en direkt på förordningen grundad rätt att få sin överensstämmelse med kraven bedömda av det nationella ackrediteringsorganet torde det således inte behövas några ytterligare författningsåtgärder.

Det kan noteras att det i artikel 70.1 o anges att även Europeiska dataskyddsstyrelsen, på eget initiativ eller på begäran av kommis-

5 Förordningen (2009:895) med instruktion för Styrelsen för ackreditering och teknisk kontroll.

251

sionen, ska ackreditera certifieringsorgan. Det får förutsättas att avsikten är att en ackreditering som beslutats av styrelsen ska fylla samma självständiga funktion som annan ackreditering enligt dataskyddsförordningen. Mot den bakgrunden framstår medlemsstaternas skyldighet enligt artikel 43.1 att ”säkerställa” att certifieringsorgan är ackrediterade av både eller endera av tillsynsmyndigheten och det nationella ackrediteringsorganet som än mer svårfångad. Det kan även av detta skäl ifrågasättas om det krävs några ytterligare bestämmelser i svensk rätt för hur certifieringsorgan ska godkännas.

Enligt artiklarna 43.8 och 43.9 får kommissionen anta delegerade akter och genomförandeakter rörande bland annat certifieringsmekanismen. Förhoppningsvis klarnar rättsläget genom dessa rättsakter. I avvaktan på att kommissionen antar sådana akter, och med tanke på att i vart fall tillsynsmyndigheten redan genom förordningens direkt tillämpliga bestämmelser har rätt och skyldighet att ackreditera certifieringsorgan, lämnar vi inte några författningsförslag om hur certifieringsorgan ska godkännas.

252

253

17. Sekretess

17.1. Vårt uppdrag

Dataskyddsförordningen innehåller bestämmelser om tystnadsplikt och konfidentialitet hos tillsynsmyndigheten och för dataskyddsombud. I båda fallen hänvisar förordningen till nationell rätt. Offentlighets- och sekretesslagen innehåller dels en bestämmelse om sekretess hos Datainspektionen som aktualiseras i detta sammanhang, dels flera bestämmelser som hänvisar till personuppgiftslagen. Dessa bestämmelser måste ses över med anledning av den nya regleringen i förordningen och personuppgiftslagens upphävande.

Vårt uppdrag när det gäller sekretessfrågor har tre delar. Vi ska för det första analysera om nuvarande sekretessbestämmelser behöver anpassas med anledning av förordningens reglering om tystnadsplikt hos tillsynsmyndigheten. För det andra ska vi analysera vilken reglering som behöver införas i svensk rätt med anledning av förordningens bestämmelser om sekretess och tystnadsplikt för dataskyddsombud. Slutligen ska vi överväga hur de bestämmelser i offentlighets- och sekretesslagen som innehåller hänvisningar till personuppgiftslagen bör anpassas till den nya regleringen.

17.2. Allmänt om grundlags- och sekretessregleringen

Offentlighetsprincipen innebär att allmänheten och massmedierna ska ha insyn i statens och kommunernas verksamhet. Offentlighetsprincipen kommer till uttryck på olika sätt, exempelvis genom yttrande- och meddelarfrihet för tjänstemän, genom domstolsoffentlighet och genom offentlighet vid beslutande församlingars sammanträden. När det mer allmänt talas om offentlighetsprincipen brukar man i första hand syfta på reglerna om allmänna handlingars offentlighet. Dessa regler finns i tryckfrihetsförordningens andra kapitel.

254

Enligt 2 kap. 2 § första stycket tryckfrihetsförordningen får rätten att ta del av allmänna handlingar begränsas endast om det är påkallat med hänsyn till vissa angivna intressen, däribland enskilds personliga eller ekonomiska förhållanden. En sådan begränsning ska enligt andra stycket anges noga i en bestämmelse i en särskild lag eller, om det i ett visst fall är lämpligare, i en annan lag vartill den särskilda lagen hänvisar. Efter bemyndigande i en sådan bestämmelse får regeringen genom förordning meddela närmare föreskrifter om bestämmelsens tillämplighet.

Med handling förstås enligt 2 kap. 3 § första stycket tryckfrihetsförordningen en framställning i skrift eller bild samt en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handlingsbegreppet i tryckfrihetsförordningen omfattar således även sådan automatiserad behandling som avses i personuppgiftslagen och dataskyddsförordningen.

En handling är allmän om den förvaras hos en myndighet och enligt 2 kap. 6 eller 7 § tryckfrihetsförordningen är att anse som inkommen till eller upprättad hos en myndighet. En upptagning ska enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen anses vara förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses enligt 2 kap. 10 § tryckfrihetsförordningen inte som allmän handling hos den myndigheten.

Offentlighets- och sekretesslagen utgör i dag den särskilda lag som avses i 2 kap. 2 § andra stycket tryckfrihetsförordningen. Regeringen har meddelat närmare tillämpningsföreskrifter i offentlighets- och sekretessförordningen (2009:641).

Sekretess innebär enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, oavsett om det sker genom utlämnande av en handling eller genom att röja uppgiften muntligen eller på något annat sätt. Sekretessen innebär således dels handlingssekretess, dels tystnadsplikt. Av 2 kap. 2–4 § OSL framgår att riksdagen, beslutande kommunala församlingar och sådana organ som avses i 2 kap. 3 och 4 §§ OSL ska jämställas med myndighet vid tillämpning av offentlighets- och sekretesslagen. Bestämmelser om tystnadsplikt finns också utanför offent-

255

lighets- och sekretesslagens tillämpningsområde, exempelvis för anställda inom den privata hälso- och sjukvården och för advokater.

17.3. Sekretess hos tillsynsmyndigheten

17.3.1. Gällande rätt

Enligt artikel 28.7 i dataskyddsdirektivet ska medlemsstaterna föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, ska ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.

Enligt 32 kap. 1 § OSL gäller sekretess hos Datainspektionen bland annat i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs.

Sekretessen gäller till skydd för uppgifter om en enskilds personliga eller ekonomiska förhållanden och omfattar alltså såväl uppgifter om fysiska personer, till exempel uppgifter om registrerade i ett kund- eller ärendehandläggningssystem, som uppgifter som hänför sig till näringsidkares affärs- eller driftförhållanden. Det har också ansetts att sekretess till skydd för enskilds personliga och ekonomiska förhållanden kan gälla det faktum att det är en viss person som har lämnat vissa uppgifter. Uppgifter som lämnas till en myndighet och som indirekt kan avslöja en uppgiftslämnares identitet på grund av att bara en viss person eller befattningshavare kan ha kännedom om dem kan också omfattas av sekretessen om de kan röja den enskildes identitet.1

Sekretessen i 32 kap. 1 § OSL gäller med ett så kallat rakt skaderekvisit. Det innebär att en presumtion för offentlighet gäller. Ett rakt skaderekvisit innebär normalt att det är uppgifternas karaktär som får avgöra om sekretess gäller eller inte. Avsikten är att skadebedömningen i dessa fall i huvudsak ska kunna göras med utgångspunkt i själva uppgiften. Frågan om sekretess gäller behöver därmed inte i första hand knytas till en skadebedömning i det enskilda

1 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 32 kap. 8a § OSL.

256

fallet. Avgörande bör i stället vara om uppgiften är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös ska den alltså normalt anses falla utanför sekretessen. Om uppgiften i stället typiskt sett måste betraktas som känslig omfattas den normalt av sekretess.2Det har förutsatts att skaderekvisitet i 32 kap. 1 § OSL får tolkas med beaktande av den sekretess som gäller för personuppgifterna i verksamheten hos den myndighet uppgifterna kommer ifrån3, och att paragrafen vid behov bör tolkas unionskonformt i förhållande till direktivets krav på tystnadsplikt.4Sekretessens räckvidd enligt bestämmelsen begränsas till ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av Datainspektionen. Sekretessen gäller i högst sjuttio år för uppgifter i allmänna handlingar.

Bestämmelsen i 11 kap. 1 § första stycket OSL om överföring av sekretess i tillsynsverksamhet är i praktiken inte tillämplig på Datainspektionens uppgifter när det gäller sekretess till skydd för enskildas förhållanden, eftersom det i 11 kap. 8 § samma lag föreskrivs att bestämmelserna om överföring av sekretess inte gäller om uppgiften hos den mottagande myndigheten redan omfattas av en annan bestämmelse till skydd för samma intresse.

Då det gäller sekretess till skydd för andra intressen tillämpas bestämmelserna i 15–19 kap. OSL. Exempelvis skulle bestämmelserna om utrikessekretess i 15 kap. 1 § och om sekretess i det internationella samarbetet i 15 kap. 1a § kunna bli tillämpliga i vissa situationer, liksom sekretessen till skydd för inspektionsförberedelser i 17 kap. 1 § och sekretessen till skydd för säkerhets- eller bevakningsåtgärd avseende system för automatiserad behandling av information i 18 kap. 8 § 3.

2 Prop. 1979/80:2 Del A s. 80 f. 3 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 32 kap. 1 § OSL. 4 Prop. 1997/98:44 s. 146.

257

17.3.2. Dataskyddsförordningen

Enligt artikel 54.2 i dataskyddsförordningen ska varje tillsynsmyndighets ledamöter och personal, i enlighet med unionsrätten eller medlemsstaternas nationella rätt, omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. Under mandatperioden ska tystnadsplikten i synnerhet gälla rapportering från fysiska personer om överträdelser av förordningen.

17.3.3. Överväganden

Utredningens bedömning: Någon förändring av den befintliga

sekretessbestämmelsen till skydd för enskildas personliga och ekonomiska förhållanden i Datainspektionens verksamhet krävs inte till följd av dataskyddsförordningens reglering om tystnadsplikt för ledamöter och personal hos tillsynsmyndigheten.

Utredningen om tillsynen över den personliga integriteten har i betänkandet SOU 2016:65 föreslagit att Datainspektionen ska vara tillsynsmyndighet enligt dataskyddsförordningen och att detta ska framgå av förordningen (2007:975) med instruktion för Datainspektionen. Våra direktiv är också skrivna med denna utgångspunkt. De fortsatta resonemangen kommer därför att utgå från detsamma.

Dataskyddsförordningen innehåller inga skäl som skulle kunna ge ledning för den närmare tolkningen av artikel 54.2. Artikelns ordalydelse antyder dock att det främst är sekretess till skydd för enskildas personliga och ekonomiska förhållanden som avses och inte sekretess till skydd för t.ex. tillsynsmyndighetens verksamhet. Hänvisningen till medlemsstaternas nationella rätt och begränsningen till konfidentiell information gör enligt vår bedömning att medlemsstaterna har relativt stort utrymme att utforma en lämplig reglering.

Det är framför allt bestämmelsen i 32 kap. 1 § OSL som reglerar skyddet för enskildas personliga och ekonomiska förhållanden hos Datainspektionen. I artikel 54.2 används termen tystnadsplikt och att denna ska gälla både under och efter ledamöters och personals mandattid. Som nämnts ovan innebär bestämmelser om sekretess i offent-

258

lighets- och sekretesslagen både handlingssekretess och tystnadsplikt. Sekretessen enligt 32 kap. 1 § OSL gäller i upp till sjuttio år. Av 2 kap. 1 § OSL framgår att en befattningshavare som är skyldig att iaktta sekretess också är det sedan han eller hon har lämnat sin befattning.5

Om uppgifter har lämnats till Datainspektionen från en tillsynsmyndighet i någon annan medlemsstat inom ramen för det samarbete som förutsätts i förordningen sker detta i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen och omfattas därmed av sekretessen i 32 kap. 1 § OSL. Det kan också noteras att sekretessen gäller även för företrädare för tillsynsmyndigheter i andra medlemsstater som enligt artikel 62.3 i förordningen förordnats att utföra vissa uppgifter eller att inom ramen för vissa angivna befogenheter annars agera för den svenska tillsynsmyndighetens räkning, så länge kraven i 2 kap. 1 § OSL är uppfyllda.

Med den tolkning bestämmelsen har fått i svensk rätt bedömer vi att den utgör ett tillräckligt sådant skydd för enskildas personliga och ekonomiska förhållanden som förutsätts i förordningen. Det har inte heller framkommit något under utredningen som talar för att bestämmelsen om sekretess i Datainspektionens verksamhet har förorsakat tillämpningssvårigheter eller att sekretessen skulle vara otillräcklig ur ett integritetsperspektiv.

Datainspektionens uppgift att handlägga tillsynsärenden enligt dataskyddsförordningen kommer att framgå av myndighetens instruktion. Därmed regleras inspektionens tillsynsverksamhet enligt dataskyddsförordningen i författning på det sätt som förutsätts i 32 kap. 1 § OSL. Några förändringar i bestämmelsens ordalydelse bedöms därför inte nödvändiga.

I detta sammanhang kan det förtjäna att påpekas att den incidentrapportering som förutsätts ske till tillsynsmyndigheten i enlighet med artikel 33 i förordningen, i praktiken kan innebära en upplysning om att ingivarens it-system är sårbart för attacker. Uppgiften om vem som har lämnat in en sådan rapport kan alltså innebära en säkerhetsrisk. Uppgifter om ingivare av incidentrapportering avseende säkerhetsbrister i it-system till Post- och telestyrelsen, liksom uppgifter om innehållet i rapporterna, har i ett tidigare lagstiftningsärende ansetts omfattas av sekretessen till skydd för säkerhets- och bevak-

5 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 2 kap. 1 § OSL.

259

ningsåtgärder avseende system för automatiserad behandling av information i 18 kap. 8 § OSL.6 Vår bedömning är att motsvarande skydd kommer att gälla för uppgifter som rör incidentrapportering enligt förordningens artikel 33. I vilken mån den uppgiften kan hemlighållas i diariet får bedömas enligt 5 kap. 2 § och 18 kap. 8 § OSL .7

17.4. Tystnadsplikt för dataskyddsombud

17.4.1. Gällande rätt

I dataskyddsdirektivet finns bestämmelserna om motsvarigheten till förordningens dataskyddsombud i artikel 18 andra och tredje strecksatserna. Där framgår att en anmälan om behandling till tillsynsmyndigheten kan underlåtas om den registeransvarige i enlighet med nationell lagstiftning utser ett uppgiftsskyddsombud. Ombudet ska bland annat ha till uppgift att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av direktivet. I direktivet finns inga bestämmelser om tystnadsplikt eller sekretess för uppgiftsskyddsombud.

Direktivets bestämmelser har implementerats i svensk rätt genom bestämmelserna om personuppgiftsombud i 38–40 §§ PUL. Inte heller i svensk rätt finns någon särskild reglering om tystnadsplikt för personuppgiftsombud.

17.4.2. Dataskyddsförordningen

Ett dataskyddsombud ska enligt förordningen ha till uppgift att informera de personuppgiftsansvariga, biträden och anställda om skyldigheterna enligt förordningen och andra unions- eller medlemsstatsreglerade dataskyddsbestämmelser. Ombudet ska också bland annat övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten (artikel 39).

6 Prop. 2003/04:93 s. 82. 7 Utredningen om genomförande av NIS-direktivet, Ju 2016:11, har i uppdrag att överväga om det nuvarande sekretesskyddet för rapportering av it-incidenter i 18 kap. 8 § OSL är tillräckligt och att annars föreslå ändringar i offentlighets- och sekretesslagen för att känslig information i incidentrapporter ska kunna skyddas (dir. 2016:29).

260

Myndigheter som behandlar personuppgifter måste utnämna dataskyddsombud. Detsamma gäller personuppgiftsansvariga eller biträden som utför behandling där omfattningen, ändamålen eller uppgifternas karaktär motiverar att ett ombud utses (artikel 37). I artiklarna 37.5 och 38 finns bestämmelser om dataskyddsombudets kvalifikationer och ställning. I artikel 37.6 stadgas att dataskyddsombudet får ingå i den personuppgiftsansvariges eller biträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal. Av sammanhanget framgår alltså tydligt att ombudet ska vara en fysisk person. Flera myndigheter eller flera bolag i en koncern kan ha ett gemensamt dataskyddsombud under vissa förutsättningar (artikel 37.2–3).

Enligt artikel 38.5 ska dataskyddsombudet, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

17.4.3. Överväganden och förslag

Utredningens förslag: Den som utsetts till dataskyddsombud

enligt dataskyddsförordningen ska inte obehörigen få röja det som han eller hon vid fullgörandet av sin uppgift har fått veta om enskilds personliga eller ekonomiska förhållanden.

Utredningens bedömning: I det allmännas verksamhet är regle-

ringen i offentlighets- och sekretesslagen tillräcklig för att uppfylla kraven på tystnadsplikt för dataskyddsombud enligt förordningen.

Bakgrund

Regleringen i offentlighets- och sekretesslagen är detaljerad och differentierad, och har anpassats med hänsyn till uppgifternas känslighet, intresset av insyn och intresset av skydd i vissa specifika verksamheter. Det är förbjudet för myndigheter att röja en sekretessbelagd uppgift. Förbudet gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund (2 kap. 1 § OSL).

261

I den privata sektorn gäller i stället som huvudregel att den som disponerar över information i princip själv bestämmer om utlämnande av den till andra, med de begränsningar som dataskyddsregleringen ställer upp. Inom flera olika verksamhetsområden i den privata sektorn gäller emellertid tystnadsplikt enligt lag, ofta reglerad som ett förbud mot att röja vissa uppgifter obehörigen. Det gäller bland annat verksamheter i välfärdssektorn såsom skola och hälso- och sjukvård. Men det finns också exempel på tystnadsplikt i privat verksamhet som inte har någon motsvarighet i det allmännas verksamhet, utan som skyddar information som lämnas till personer i olika slag av förtroendeställning, såsom exempelvis tystnadsplikt för revisorer och skyddsombud, eller den tystnadsplikt som följer av den så kallade banksekretessen.8

I dessa fall har obehörighetsrekvisitet sammanfattningsvis tolkats som att ett utlämnande av uppgifter får ske om den uppgiften rör har lämnat sitt samtycke, om uppgifter lämnas vidare till personer inom den berörda verksamheten som behöver dem för verksamheten eller om uppgifterna enligt lag eller annan författning ska lämnas ut, exempelvis till en tillsynsmyndighet.9

Författningsreglerad tystnadsplikt, oavsett om den följer av offentlighets- och sekretesslagen eller av särskilda bestämmelser om tystnadsplikt för den privata sektorn, är som regel förenad med straffansvar. I 20 kap. 3 § brottsbalken regleras det generella straffansvaret för brott mot tystnadsplikt. Straffansvaret gäller var och en som har skyldighet att hemlighålla en uppgift enligt lag eller annan författning, förutsatt att straffansvaret inte har reglerats särskilt. Konsekvensen av att en tystnadsplikt införs i författning blir alltså, om inget annat stadgas, att med regleringen följer ett straffansvar.

Vår bedömning

Det finns inget uttalande i skälen som ger ledning vid tolkning av kravet på sekretess för dataskyddsombud i förordningens artikel 38.5. Sannolikt syftar bestämmelsen till att skydda framför allt sådan information om den personuppgiftsansvariges eller biträdets affärs- och

8 9 kap. 41 § aktiebolagslagen (2005:551) och 26 § revisorslagen (2001:883), 7 kap. 13 § arbetsmiljölagen (1977:1160) samt 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse. 9 Se exempelvis prop. 2002/03:139 s. 479.

262

driftsförhållanden som dataskyddsombudet kan komma att få tillgång till vid utövandet av sitt uppdrag. Det kan dock inte uteslutas att avsikten också har varit att skydda anmälares namn eller andra uppgifter om enskildas personliga förhållanden.

Det faktum att bestämmelsen hänvisar till nationell rätt innebär att medlemsstaterna har stor frihet att utforma en lämplig reglering. Eftersom bestämmelsen enligt sin ordalydelse är tvingande finns det däremot enligt vår bedömning ingen möjlighet att helt lämna denna fråga oreglerad.

För det allmännas räkning kan det enligt vår mening inte komma ifråga att särskilt reglera sekretessen för dataskyddsombud, utöver den sekretess som redan gäller i alla de vitt skilda verksamhetstyper som omfattas av dataskyddsförordningens tillämpningsområde. Det får förutsättas att det i verksamheter där känsliga uppgifter förekommer redan gäller sekretess enligt offentlighets- och sekretesslagen i den utsträckning som är motiverad i just den verksamheten. Så länge dataskyddsombudet innehar en sådan anställning eller uppdrag som avses i 2 kap. 1 § andra stycket OSL omfattas han eller hon av sekretessen. Vår bedömning är att ett dataskyddsombud i allmänhet får anses delta i verksamheten på ett sådant sätt som förutsätts i nämnda bestämmelse.

Vi bedömer inte heller att ett dataskyddsombud som innehar en sådan anställning eller ett sådant uppdrag i allmänhet kan anses uppträda självständigt i förhållande till den övriga verksamheten inom myndigheten i den mening som avses i 2 kap. 8 § tryckfrihetsförordningen. På många sätt påminner dataskyddsombudets ställning enligt förordningens artikel 38 om den som en internrevisor intar när det gäller självständighet och förhållande till ledningen.10Högsta förvaltningsdomstolen har i HFD 2013 ref. 40 bedömt att en internrevisor vid Jordbruksverket inte intog en sådan självständig ställning att en rapport som överlämnats till den granskade verksamheten skulle anses expedierad.

Om det skulle visa sig att tystnadsplikten för dataskyddsombud i det allmännas verksamhet är otillräcklig, får frågan om en särskild sekretessreglering övervägas på nytt.

10 En internrevisor vid en myndighet ska enligt internrevisionsförordningen (2006:1228) och Ekonomistyrningsverkets tillhörande föreskrifter, ESV Cirkulär 2007:1, senast ändrade genom ESV Cirkulär 2015:4, inrättas direkt under myndighetens ledning och vara självständig i förhållande till den granskade verksamheten.

263

Utanför den krets som anges i 2 kap. 2–4 §§ OSL − dvs. myndigheter, sådana juridiska personer där kommuner och landsting har ett rättsligt bestämmande inflytande och de organ som finns upptagna i bilagan till offentlighets- och sekretesslagen − finns det däremot ingen reglering som skyddar uppgifter som dataskyddsombudet får tillgång till vid utförandet av sitt uppdrag. För att Sverige ska uppfylla dataskyddsförordningens krav måste bestämmelser om tystnadsplikt för dataskyddsombud i den privata sektorn införas.

Som framgår ovan finns det en rad tystnadsplikter som är ägnade att skydda uppgifter som lämnas till personer som i egenskap av sin ställning och för att kunna utföra sitt uppdrag måste åtnjuta förtroende, såsom exempelvis revisorer och skyddsombud. Dataskyddsombudets ställning kan i vissa avseenden likställas med revisorns eller skyddsombudets, och tystnadsplikten för dataskyddsombud bör därför utformas på ett liknande sätt. Tystnadsplikten ska således avgränsas med ett obehörighetsrekvisit vilket bland annat innebär att uppgifter kan lämnas ut med samtycke, till tillsynsmyndighet eller annars som en följd av en skyldighet i lag eller författning.

17.5. Sekretess för uppgifter som behandlas i strid mot personuppgiftsregleringen

17.5.1. Gällande rätt

Sekretessbestämmelsen i 21 kap. 7 § OSL innebär att sekretess gäller för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Även om paragrafens formulering är något oklar, får det numera anses fastslaget i praxis att den enbart tar sikte på mottagarens behandling av personuppgifter.11 Det som ska bedömas enligt bestämmelsen är alltså endast huruvida mottagarens avsedda behandling av de personuppgifter som begärs ut uppfyller kraven enligt personuppgiftslagen.

Sekretessen enligt 21 kap. 7 § OSL gäller med ett rakt skaderekvisit, dvs. det ska presumeras att sekretess inte hindrar att personuppgifterna lämnas ut. I förarbetena till den motsvarande sekretessbestämmelse som gällde under datalagens tid anfördes att en begäran

11HFD 2014 ref. 66.

264

om massuttag eller selekterade uppgifter alltid borde utgöra anledning för myndigheten att närmare utreda hur det är avsett att uppgifterna ska användas och att det är först om sökanden kan ange en godtagbar förklaring som uppgifterna bör lämnas ut.12

Bestämmelsen i 21 kap. 7 § OSL har utretts flera gånger under 2000-talet. Inledningsvis sågs den över av Offentlighets- och sekretesskommittén (SOU 2003:99) och därefter av Personuppgiftslagsutredningen (SOU 2004:6). Personuppgiftslagsutredningen föreslog bland annat att det skulle förtydligas att prövningen enligt sekretessbestämmelsen ska avse om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med personuppgiftslagen. Riksdagens ombudsmän (JO) har i remissyttranden över dessa betänkanden anfört att sekretessbestämmelsen bör upphävas. Som skäl har JO bland annat anfört att en sekretessbestämmelse som förutsätter att en myndighet måste skaffa sig en uppfattning om syftet med en begäran om utlämnande av handlingar eller uppgifter stämmer dåligt med det s.k. efterfrågeförbudet i 2 kap. 14 § tredje stycket tryckfrihetsförordningen.13Varken Offentlighets- och sekretesskommitténs eller Personuppgiftslagutredningens förslag till ändring av sekretessbestämmelsen har genomförts.

Frågan om tillämpningen av 21 kap. 7 § OSL har också utförligt behandlats av E-offentlighetskommittén, som bland annat hade till uppgift att överväga om bestämmelsen borde upphävas. Kommittén fann att bestämmelsen fyller i vart fall en viss begränsad funktion och därför inte borde upphävas. Vidare föreslog kommittén bland annat att bestämmelsen skulle förtydligas så att det inte råder någon tvekan om att det bara är sökandens efterföljande behandling som är relevant för den sekretessprövning som ska göras och inget annat. 14Förslaget har ännu inte lett till lagstiftning. Bestämmelsens innebörd och historik behandlas också utförligt i Informationshanteringsutredningens betänkande.15

JO har uttalat följande till klargörande av hur bestämmelsen ska tillämpas mot bakgrund av efterfrågeförbudet i 2 kap. 14 § tredje stycket tryckfrihetsförordningen (dnr 1102-2004).

12Prop. 1973:33 s. 140. 13 JO dnr 1102-2004 och 1849-2004. 14SOU 2010:4 s. 317 f. 15SOU 2015:39 s. 436 f.

265

Det står klart att myndigheten inte får börja ställa frågor om sökandens tilltänkta användning bara för att en personuppgift begärs utlämnad. Det krävs för det första att det finns någon konkret omständighet som gör att det kan antas att personuppgiften efter utlämnandet kommer att behandlas på ett sätt som omfattas av personuppgiftslagen. Sådana omständigheter kan – förutom de upplysningar som sökanden på eget initiativ kan ha lämnat om sin tilltänkta användning av uppgifterna – vara att sökanden begär att få ut uppgifter om väldigt många personer från ett register (ett s.k. massuttag) eller uppgifter om ett urval av personer med vissa karakteristika, t.ex. inkomst, språktillhörighet, politisk tillhörighet osv. (s.k. selekterade uppgifter). Först om det på grund av någon konkret omständighet finns skäl att anta att sökanden kommer att behandla uppgifterna på ett sätt som omfattas av personuppgiftslagen, t.ex. därför att begäran omfattar uppgifter om många personer, finns det anledning att genom frågor till sökanden försöka ta reda på hur och till vad sökanden ska använda uppgifterna för att kunna bedöma om den tilltänkta behandlingen strider mot personuppgiftslagen. Myndigheten får dock enligt 2 kap. 14 § tredje stycket tryckfrihetsförordningen inte ställa mer inträngande eller fler frågor än som behövs för att göra en sekretessbedömning.

Det är vidare värt att notera att det i praxis har tydliggjorts att sekretessen inte gäller om de utlämnade uppgifterna ska behandlas av personuppgiftsansvariga som är etablerade utomlands, där personuppgiftslagen inte är tillämplig (HFD 2014 ref. 66).

17.5.2. Överväganden och förslag

Utredningens förslag: Sekretess ska gälla för personuppgift,

om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

Bestämmelsen i 21 kap. 7 § OSL har som framgått ovan varit föremål för överväganden under lång tid. Den senaste utvärderingen, som skedde av den parlamentariskt sammansatta E-offentlighetskommittén, kom fram till att bestämmelsen fortsatt fyller en viss begränsad funktion och inte bör upphävas. Våra direktiv lämnar inte utrymme för överväganden som rör ett eventuellt upphävande av bestämmelsen, utan handlar enbart om anpassning av bestämmelsen till den nya regleringen. Det kan dock i detta sammanhang konstateras att

266

det följer av förordningens artikel 86 att nationella bestämmelser om tillgång till allmänna handlingar ges företräde framför förordningens bestämmelser om skydd för personuppgifter. I artikeln nämns att detta görs för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd av personuppgifter enligt förordningen. Bestämmelsen i 21 kap. 7 § OSL innebär ett uttryckligt stöd i svensk rätt för en sådan sammanjämkning mellan de nämnda rättigheterna, vilket möjligen ytterligare talar för att bestämmelsen fyller en funktion även fortsättningsvis.

Eftersom vi föreslår att personuppgiftslagen ska upphävas och materiellt ersättas av dataskyddsförordningen och vårt förslag till dataskyddslag, måste bestämmelsen ändras.

Den lösning som ligger närmast till hands är enligt vår mening då att ersätta hänvisningen till personuppgiftslagen med en hänvisning till dataskyddsförordningen och den dataskyddslag vi föreslår. Detta kan innebära en risk för att den prövning som ska utföras kompliceras något. Förordningens bestämmelser är betydligt mer omfattande och i vissa avseenden mer detaljerade än personuppgiftslagens. Det bör dock betonas att det som en utlämnande myndighet ska pröva är om det kan antas att en uppgift efter ett utlämnande kommer att behandlas i strid med förordningen eller dataskyddslagen. Som framgår av äldre förarbeten och JO:s uttalanden får vidare undersökningar vidtas endast om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. massuttag eller selekterade uttag. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras. Rekvisitet ”kan antas” torde också innebära att någon fullständig bedömning av om behandlingen kommer att strida mot förordningen inte krävs.

En materiell skillnad som den föreslagna förändringen kommer att medföra är att utlämnanden till utländska mottagare som omfattas av dataskyddsförordningens tillämpningsområde också kommer att omfattas av sekretessbestämmelsen.

Vår bedömning är att den ordning som tydliggjorts genom Högsta förvaltningsdomstolens avgörande (HFD 2014 ref. 66) innebär en omotiverad åtskillnad i skydd för personuppgifter som lämnas ut till personuppgiftsansvariga som inte är etablerade i Sverige. Det medför att svenska personuppgiftsansvariga missgynnas jämfört med personuppgiftsansvariga i andra medlemsstater på ett sätt som kan

267

ifrågasättas utifrån dataskyddsförordningens syfte. En ordning där bestämmelsen inte är tillämplig gentemot personuppgiftsansvariga som är etablerade i andra medlemsstater innebär också att bestämmelsen lätt kan kringgås genom att uppgifter begärs utlämnade av en sådan personuppgiftsansvarig för en svensk personuppgiftsansvarigs räkning. Mot bakgrund av ovanstående anser vi att denna materiella utvidgning av bestämmelsens tillämpningsområde är rimlig och ligger väl i linje med de grundläggande principerna i dataskyddsförordningen.

Det är numera klarlagt att prövningen av 21 kap. 7 § OSL gäller den behandling som kommer att ske efter ett eventuellt utlämnande. E-offentlighetskommitténs förslag för att förtydliga detta i lagtext har inte mött någon kritik från remissinstanserna. Vi föreslår därför att lagtexten ska justeras så att det tydligt framgår att det är behandling efter ett utlämnande som avses.

Eftersom den här föreslagna hänvisningen avser dataskyddsförordningen i dess helhet och innebär en tydlig inskränkning i den grundlagsstadgade handlingsoffentligheten, bör hänvisningen vara statisk, dvs. avse den ursprungliga lydelsen av förordningen. Det medför att lagstiftaren aktivt måste bedöma om eventuella ändringar och tillägg till förordningen ska omfattas av 21 kap. 7 § OSL.

17.6. Generalklausulen

17.6.1. Gällande rätt

Den så kallade generalklausulen i 10 kap. 27 § OSL möjliggör utlämnande av uppgifter som omfattas av sekretess mellan myndigheter även i fall då det saknas uttryckliga sekretessbrytande regler. Utlämnandet ska då prövas enligt den intresseavvägning och med beaktande av det uppenbarhetsrekvisit som framgår av bestämmelsen. Av paragrafens andra stycke framgår att viss sekretess, som hälso- och sjukvårdssekretessen och socialtjänstsekretessen, undantas från tillämpningsområdet.

I tredje stycket samma paragraf undantas också utlämnanden som strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen från tillämpningsområdet. Första ledet har ansetts innebära att en förutsättning för att generalklausulen ska vara tillämplig är att utlämnandet inte strider mot en sådan

268

specialreglering av uppgiftslämnandet i fråga som finns i lag eller förordning. Om det t.ex. i lag har föreskrivits att en viss myndighet för sin verksamhet på angivna villkor kan få ta del av även hemliga uppgifter hos en annan myndighet, kommer det inte i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället.16

Innebörden av tredje styckets andra led är numera oklar. Tidigare avsåg den en möjlighet för Datainspektionen att meddela vissa villkor om utlämnande för vissa register i samband med tillståndsgivning. I kommentaren till den numera upphävda sekretesslagen (1980:100) har det ansetts att det efter datalagens upphörande och införandet av personuppgiftslagen är reglerna i själva personuppgiftslagen och inte föreskrifter i enskilda beslut av Datainspektionen som får betydelse för behandlingen av generalklausulen .17

17.6.2. Överväganden och förslag

Utredningens förslag: Hänvisningen till personuppgiftslagen i

generalklausulen ska strykas. Generalklausulen ska enligt den nya lydelsen inte tillämpas om utlämnandet strider mot lag eller förordning.

Det finns ingen praxis som tydliggör innebörden av hänvisningen till personuppgiftslagen i 10 kap. 27 § tredje stycket andra ledet OSL och innebörden har som redogjorts för ovan ansetts oklar och bestämmelsen tycks inte längre fylla någon praktisk funktion.

Det första ledet i generalklausulens tredje stycke innebär enligt sin ordalydelse att ett utlämnande till annan myndighet med stöd av generalklausulen inte får ske om det skulle strida mot lag eller förordning, exempelvis mot personuppgiftslagen. En hänvisning till lag i offentlighets- och sekretesslagen innefattar också EU-förordningar.18Redan det första ledet torde alltså innebära att ett utlämnande till annan myndighet som strider mot dataskyddsförordningen eller data-

16 Prop. 1979/80:2, del A s. 328. 17 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 10 kap. 27 § OSL, och Regner m.fl., Sekretesslagen (1 april 2009, Zeteo), kommentaren till 14 kap. 3 § sekretesslagen. 18 Prop. 1998/99:18 s. 41 och 75 samt prop. 1999/2000:126 s. 160 och 283.

269

skyddslagen inte kan ske med stöd av generalklausulen. Någon motsvarighet till andra ledet i tredje stycket behövs enligt vår bedömning inte som en följd av den nya regleringen. Vi föreslår därför att det andra ledet stryks.

17.7. Sekretess för uppgifter i verksamhet för teknisk bearbetning och lagring

17.7.1. Gällande rätt

Sekretessen enligt 40 kap. 5 § OSL gäller i en myndighets verksamhet som består av enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i personuppgiftslagen. Sekretessen gäller hos en myndighet som behandlar personuppgifter såväl då det är fråga om bearbetning eller lagring för enskildas räkning som då det gäller bearbetning eller lagring av en annan myndighets personuppgifter. Med teknisk bearbetning avses t.ex. att myndigheten scannar in text på papper för att lagra elektroniskt. Teknisk lagring avser alla former av lagring som kräver särskilda tekniska anordningar, t.ex. lagring av information på hårddisk eller i molntjänster. Personuppgifter som förvaras hos en arkivmyndighet anses normalt inte tekniskt lagrade för någon annans räkning.19

Sekretessens räckvidd är avgränsad till verksamhet avseende personuppgifter som avses i personuppgiftslagen, dvs. enligt den definition som finns i 3 § PUL. Sekretessens föremål, dvs. de uppgifter som skyddas av bestämmelsen, är uppgifter om enskildas personliga och ekonomiska förhållanden. Detta omfattar inte bara personuppgifter utan även exempelvis uppgifter om juridiska personer. Sekretessen är som nämnts absolut.

Tryckfrihetsförordningens reglering i 2 kap. 10 § första stycket innebär att handlingar som förvaras hos en myndighet endast som ett led i teknisk bearbetning eller lagring inte är att anse som allmänna handlingar där. Det innebär i sin tur att bestämmelsen i 40 kap. 5 § OSL inte har någon praktisk betydelse för utlämnande av uppgifter i allmänna handlingar, utan endast fyller funktionen av en tyst-

19 Lenberg m.fl., Offentlighets- och sekretesslagen (8 november 2016, Zeteo), kommentaren till 40 kap. 5 § OSL.

270

nadspliktsbestämmelse som hindrar utlämnande på myndighetens eller befattningshavarens eget initiativ.

17.7.2. Överväganden och förslag

Utredningens förslag: Sekretess ska gälla för uppgift om en en-

skilds personliga eller ekonomiska förhållanden i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning av sådana personuppgifter som avses i dataskyddsförordningen.

Tillämpningsområdet för sekretessbestämmelsen i 40 kap. 5 § OSL är begränsat till teknisk bearbetning eller lagring av personuppgifter enligt personuppgiftslagens definition. Personuppgifter definieras i 3 § PUL som ”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet”. Eftersom personuppgiftslagen ska upphävas enligt vårt förslag måste bestämmelsen anpassas.

För att anpassa bestämmelsen till den nya regleringen ligger det nära till hands att ersätta hänvisningen till personuppgiftslagen med en hänvisning till dataskyddsförordningens definition av personuppgifter. Den överensstämmer i stora drag med personuppgiftslagen, även om den är mer detaljerad. Definitionen i artikel 4.1 lyder som följer.

Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Av förordningens skäl 27 framgår att förordningen inte gäller behandling av personuppgifter rörande avlidna personer. Sammantaget bedömer vi att förordningens definition inte är tydligt vidare än den som finns i dag i personuppgiftslagen. Kopplingen mellan sekretessbestämmelsen och den definition av personuppgifter som återfinns i dataskyddsregleringen har funnits sedan paragrafen infördes i

271

dåvarande sekretesslagen och vi ser ingen anledning att ändra på den ordningen. Hänvisningen till personuppgiftslagens definition av personuppgifter bör därför ersättas med en hänvisning till personuppgiftsbegreppet i den betydelse det har i dataskyddsförordningens artikel 4.1. Eftersom hänvisningen i praktiken inte begränsar handlingsoffentligheten och bara avser själva definitionen av personuppgifter bör den vara dynamisk, dvs. avse den vid varje tidpunkt gällande definitionen i förordningen.

272

273

18. Sanktioner

18.1. Vårt uppdrag

Vårt uppdrag när det gäller sanktioner består av flera delar. Vi ska analysera om, och i så fall i vilken utsträckning, det bör vara möjligt att besluta om administrativa sanktionsavgifter inom den offentliga sektorn. En jämförelse ska göras med vad som gäller för t.ex. viten i allmänhet, miljösanktionsavgifter och sanktionsavgifter på arbetsmiljöområdet.

Vi ska analysera och ta ställning till i vilken utsträckning överträdelser av förordningen bör bli föremål för ytterligare sanktioner, vid sidan om de sanktionsavgifter som föreskrivs i förordningen. Vi ska också analysera om, och i så fall i vilken utsträckning, dessa sanktioner bör vara tillämpliga inom den offentliga sektorn.

Slutligen ska vi analysera hur en reglering med både administrativa sanktionsavgifter och andra sanktioner förhåller sig till det s.k. dubbelprövningsförbudet i artikel 4.1 i Europakonventionens sjunde tilläggsprotokoll och artikel 50 i EU:s stadga om de grundläggande rättigheterna.

18.2. Vad är en sanktion?

Det finns ingen legaldefinition av begreppet sanktion. Klart är att en sanktion alltid har ett handlingsdirigerande eller bestraffande syfte. En vid definition skulle kunna omfatta alla former av påföljder som kan följa på ett rättsstridigt handlande.

Det är enligt vår mening av vikt att presentera en samlad bild av de konsekvenser överträdelser av personuppgiftsregleringen kan få enligt gällande rätt och enligt dataskyddsförordningen, för att mot den bakgrunden kunna göra de bedömningar som ingår i vårt upp-

274

drag. I detta avsnitt behandlas därför sanktioner i vid mening, inbegripet regleringen om straff, sanktionsavgifter, vite och skadestånd.

18.3. Gällande rätt

18.3.1. Skadestånd

Enligt dataskyddsdirektivets artikel 23 ska medlemsstaterna föreskriva att den som har lidit skada genom otillåten behandling eller någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet har rätt till ersättning av den personuppgiftsansvarige för skadan.

Artikeln har genomförts i svensk rätt genom 48 § PUL, där det stadgas att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling i strid med lagen har orsakat. Ersättningsskyldigheten kan enligt paragrafens andra stycke jämkas om den personuppgiftsansvarige visar att felet inte beror på honom eller henne. Ersättning kan utgå såväl för ekonomisk som ideell skada (kränkning). Ansvaret är strikt och det krävs alltså inte att den personuppgiftsansvarige eller någon annan har haft uppsåt att handla i strid med lagen eller varit oaktsam. Skadeståndsregleringen i personuppgiftslagen får anses strängare än vad som krävs enligt dataskyddsdirektivet och har bedömts innebära en effektiv sanktion mot överträdelser av regleringen.1 Det bör noteras att bestämmelsen endast gäller behandling i strid med personuppgiftslagen, och alltså inte direkt gäller behandling i strid med sektorslagstiftning. Många sektorsspecifika författningar innehåller emellertid en hänvisning till skadeståndsbestämmelsen i personuppgiftslagen.

Justitiekanslern har möjlighet att på frivillig väg reglera vissa skadeståndsanspråk som riktas mot staten, bland annat enligt skadeståndsregleringen i personuppgiftslagen. Tanken med det är att avlasta domstolarna uppgiften att pröva mål där det egentligen inte finns någon tvist, utan där det är klart att ett skadeståndsgrundande fel har begåtts och att den enskilde har rätt till viss ersättning (2 a § förordningen [1975:1345] med instruktion för Justitiekanslern, samt

1 Öman och Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till rubriken Skadestånd i personuppgiftslagen.

275

förordningen [1995:1301] om handläggning av skadeståndsanspråk mot staten).

En genomgång av Justitiekanslerns praxis angående skadeståndsanspråk mot staten med anledning av 48 § PUL finns i Informationshanteringsutredningens betänkande, SOU 2015:39 s. 643 f. Som exempel på skador på grund av överträdelse av personuppgiftslagen som enligt Justitiekanslerns beslut medfört ersättningsskyldighet kan nämnas bristande gallringsrutiner och felaktiga personuppgifter i olika register, exempelvis i folkbokföringsdatabasen och i socialförsökringsdatabasen. Värt att nämna särskilt i detta sammanhang är Justitiekanslerns beslut den 7 maj 2014 (dnr 1441-14-47) där skadeståndsanspråket rörde registrering av personuppgifter i det s.k. Kringresanderegistret i strid med polisdatalagen (2010:361). Polisdatalagen hänvisar till skadeståndsbestämmelsen i personuppgiftslagen. Omkring 3 000 personer ansökte om skadestånd hos Justitiekanslern för registreringen. Justitiekanslern ansåg att de registrerade var berättigade till en ersättning om 5 000 kronor per registrerad person.2

18.3.2. Straff

Dataskyddsdirektivet överlåter enligt artikel 24 till medlemsstaterna att besluta om de sanktioner som ska användas vid överträdelse av bestämmelserna om behandling av personuppgifter. Med stöd av artikeln infördes 49 § PUL. Paragrafen innehåller en straffbestämmelse avseende brott mot vissa bestämmelser i lagen, bland annat om man lämnar osann uppgift i information till registrerade eller till tillsynsmyndigheten, behandlar känsliga personuppgifter i strid med personuppgiftslagen eller för över personuppgifter till tredje land utan att beakta kravet på adekvat skyddsnivå. För straffbarhet krävs det uppsåt eller grov oaktsamhet. Det är den fysiska person som har gjort sig skyldig till förfarandet eller underlåtenheten som döms till straff oavsett om han eller hon själv är personuppgiftsansvarig. För ringa fall döms inte till ansvar. Den som överträtt ett vitesföreläg-

2 Stockholms tingsrätt har efter att elva av de registrerade ansökt om stämning mot staten, tillerkänt dem ytterligare ersättning om 30 000 kr var, se Stockholms tingsrätts dom den 10 juni 2016 i mål nr T 2978-15, T 2986-15, T 2993-15, T 2996-15, T 2998-15, T 3002-15, T 3006-15, T 3010-15, T 3011-15, T 3012-15 och T 3013-15. Svea hovrätt har fastställt tingsrättens dom, se hovrättens dom den 28 april 2017 i mål nr T 6161-16.

276

gande döms inte heller till ansvar för samma gärning som vitesföreläggandet avser.

De mål som har prövats enligt straffbestämmelsen har framför allt handlat om publiceringar på internet och de flesta är av äldre datum – innan EU-domstolen klargjorde att publiceringar på internet inte innebär en överföring av personuppgifter till tredje land.3Straffbestämmelsen har sällan använts på senare år, bland annat eftersom det har funnits svårigheter med att lagföra kränkningar på internet med stöd av bestämmelsen. Lagstiftningen uppfattas som komplicerad och det grundlagsskyddade området begränsar det straffbara området väsentligt.4

Vid sidan av straffbestämmelsen i personuppgiftslagen finns andra straffbestämmelser som också kan innebära att vissa gärningar som innefattar personuppgiftsbehandling omfattas av straffansvar – såsom bestämmelserna om dataintrång (4 kap. 9c § brottsbalken), kränkande fotografering (4 kap. 6a § brottsbalken), förtal (5 kap. 1 § brottsbalken) och tjänstefel (20 kap. 1 § brottsbalken). För en utförlig genomgång av det straffrättsliga integritetsskyddet i brottsbalken, se SOU 2016:7 s. 208 f.

18.3.3. Vite

Enligt 44 och 45 §§ PUL får Datainspektionen vid vite förbjuda en personuppgiftsansvarig att fortsätta att behandla uppgifter på annat sätt än att lagra dem, om inspektionen inte på begäran får tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig eller om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Detsamma gäller om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder. Bestämmelserna om vite gäller även för statliga och kommunala myndigheter som är personuppgiftsansvariga. I praktiken har dock Datainspektionen aldrig utnyttjat möjligheten att vitesförelägga.

Några uttryckliga bestämmelser om vite finns inte i dataskyddsdirektivet. Det kan noteras att Datalagskommittén ansåg att vites-

3 Dom Lindqvist, C-101/01, EU:C:2003:596, punkt 70. 4SOU 2016:7 s. 273 f., Svahn Starrsjö, Personuppgiftslagen och yttrandefriheten, SvJT 100 år (jubileumsskrift) s. 447.

277

förelägganden – och utdömandet av förelagda viten – utgör sådana särskilda sanktioner som medlemsstaterna ska besluta om enligt dataskyddsdirektivets artikel 24.5

I sektorsspecifika författningar finns bestämmelser som innebär en inskränkning i Datainspektionens möjligheter att förelägga vite.6Skälen för dessa inskränkningar i Datainspektionens befogenheter varierar. I vissa fall är argumentet att vite som sanktionsmedel enligt allmänna rättsgrundsatser inte bör användas mellan statliga myndigheter.7

18.4. Dataskyddsförordningen

18.4.1. Skadestånd

Enligt förordningens artikel 82.1 ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ha rätt till ersättning från den personuppgiftsansvarige för den uppkomna skadan. En nyhet i förordningen är att även personuppgiftsbiträden kan bli skadeståndsskyldiga under vissa förutsättningar. I skäl 146 och artikel 82.2–5 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador. Bland annat anges där att varje personuppgiftsansvarig eller personuppgiftsbiträde som medverkat vid behandlingen ska ansvara för uppkommen skada. Det stadgas också att den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar om de visar att de inte på något sätt är ansvariga för den händelse som orsakade skadan. Sammantaget leder detta tanken till att ett i princip strikt skadeståndsansvar gäller enligt förordningen för såväl ekonomisk som ideell skada, dvs. en liknande reglering som den som gäller enligt personuppgiftslagen. Den närmare innebörden av bestämmelserna får dock utvecklas i rättspraxis.

Förordningen innebär också ett förtydligande jämfört med direktivet på så sätt att varje personuppgiftsansvarig eller personuppgifts-

5SOU 1997:39 s. 437 f. 6 Så är fallet i exempelvis 1 kap. 3 § lagen (2001:181) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet, i 1 kap. 3 § lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar och i 1 kap. 3 § lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet. 7Prop. 2000/01:33 s. 96, prop. 2004/05:164 s. 54 och prop. 2009/10:85 s. 90.

278

biträde som har medverkat vid en behandling kan hållas ansvarig för hela skadan, dvs. att ett solidariskt ansvar gäller när det finns flera personuppgiftsansvariga eller personuppgiftsbiträden som är ansvariga för samma behandling.

18.4.2. Administrativa sanktionsavgifter

Administrativa sanktionsavgifter är en nyhet i dataskyddsförordningen som inte finns med i dataskyddsdirektivet eller den nuvarande svenska personuppgiftsregleringen. Sanktionsavgifterna införs enligt skäl 148 för att stärka verkställigheten av förordningen.

Bestämmelserna om administrativa sanktionsavgifter återfinns i förordningens i artikel 83 och förtydligas i skäl 148–150. Av artikel 83.1 framgår att det är den nationella tillsynsmyndigheten som ska besluta om sanktionsavgifter vid överträdelser av förordningens bestämmelser. I artikel 83.2 finns en detaljerad reglering av vilka faktorer som ska beaktas vid beslut om sanktionsavgifter och bestämmande av avgiftens storlek. Bland annat ska tillsynsmyndigheten vid beslutet beakta överträdelsens karaktär, svårighetsgrad och varaktighet, samt om överträdelsen skett med uppsåt eller genom oaktsamhet. Det är alltså inte ett uttryckligt krav i förordningstexten att överträdelsen ska ha skett med uppsåt eller oaktsamhet för att sanktionsavgift ska bli aktuellt, men subjektiva omständigheter hos den personuppgiftsansvarige är en faktor som ska beaktas.

Andra faktorer som tillsynsmyndigheten ska beakta är antalet berörda registrerade, vilken skada de har lidit, om den personuppgiftsansvarige har försökt förebygga eller i efterhand komma till rätta med överträdelsen och eventuell ekonomisk vinst som görs, eller ekonomisk förlust som undviks, genom överträdelsen. Av skälen framgår vidare att avsikten har varit en viss flexibilitet när en sanktionsavgift beslutas mot en fysisk person. I skäl 148 anges till exempel att om en sanktionsavgift som ”sannolikt skulle utdömas” skulle innebära en oproportionell börda för en fysisk person får en reprimand utfärdas i stället. I skäl 150 anges också att den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation bör beaktas när sanktionsavgiften fastställs mot en fysisk person. Förordningens bestämmelser tycks alltså ge utrymme för att beakta uppsåt, proportionalitet och betalningsförmåga vid beslut om sank-

279

tionsavgifterna, vilket inte alltid är fallet när det gäller sanktionsavgifter på andra områden.8

I artikel 83.3 stadgas att om flera överträdelser görs får avgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. I artikel 83.4 och 83.5 fastställs övre beloppsgränser för de två olika kategorier av överträdelser som kan föranleda sanktionsavgifter enligt förordningen. För de något mindre allvarligare överträdelserna, såsom överträdelser av regler om inbyggt dataskydd, förteckningar och konsekvensbeskrivningar, fastslås ett maxbelopp på 10 000 000 EUR eller 2 procent av den globala årsomsättningen om det gäller ett företag, beroende på vilket belopp som är högst. För allvarligare överträdelser, såsom överträdelser av regler om de grundläggande principerna för behandling och behandling av känsliga personuppgifter, registrerades rätt till information, rättelse och radering, överföring av uppgifter till tredje land och underlåtenhet att rätta sig efter tillsynsmyndighetens förelägganden, fastslås ett maxbelopp om 20 000 000 EUR eller 4 procent av den globala årsomsättningen.

Det stora flertalet bestämmelser i förordningen som innehåller rättigheter eller skyldigheter för personuppgiftsansvariga, personuppgiftsbiträden samt eventuella certifieringsorgan och övervakningsorgan omfattas av regleringen om sanktionsavgifter, vilket framgår av hänvisningar i artikel 83.4–6. För samtliga de artiklar som artikel 83 hänvisar till ska alltså en överträdelse föranleda att sanktionsavgift påförs, om förutsättningarna i övrigt är uppfyllda enligt artikel 83.2.

I allmänhet är de bestämmelser i förordningen som inte nämns i artikel 83 sådana som inte innehåller några rättigheter och skyldigheter för enskilda, myndigheter eller andra organ vid sidan av tillsynsmyndigheten och kommissionen. Artikel 10, om behandling av personuppgifter som rör fällande domar i brottmål och andra lagöverträdelser, tillhör emellertid inte denna kategori. Artikel 10 nämns inte i artikel 83.4–6 och omfattas alltså inte av regleringen om sanktionsavgifter. Inga särskilda skrivningar om anledningen till detta finns i skälen eller annars i förordningstexten. Värt att notera är att i kommissionens ursprungliga förslag fanns bestämmelsen om domar i brottmål och andra lagöverträdelser i artikel 9 tillsammans med regle-

8 Waring-Nerep Sanktionsavgifter, särskilt i näringsverksamhet s. 209 f., och SOU 2013:38 s. 544 f.

280

ringen om känsliga personuppgifter, och omfattades därmed av regleringen om sanktionsavgifter. Det kan inte uteslutas att det faktum att artikel 83 inte nämner artikel 10 helt enkelt är en oavsiktlig konsekvens av att bestämmelsen om domar i brottmål och andra överträdelser kom att placeras i en egen artikel i den slutliga versionen av förordningstexten.

Artikel 83.4–6 innehåller inte enbart en uppräkning av vilka överträdelser som i sig kan föranleda att sanktionsavgift påförs, utan också bestämmelser om att sanktionsavgifter kan påföras vid olika slag av underlåtelse att rätta sig efter tillsynsmyndighetens instruktioner, förelägganden eller beslut (artikel 83.5 e och 83.6).

Enligt artikel 83.5 e kan en personuppgiftsansvarig eller ett personuppgiftsbiträde påföras sanktionsavgift vid – underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyn-

digheten, – underlåtenhet att rätta sig efter ett beslut om en tillfällig eller per-

manent begränsning av behandling av uppgifter, – underlåtenhet att rätta sig efter ett beslut om att avbryta uppgifts-

flöden, eller – underlåtenhet att ge tillsynsmyndigheten tillgång till uppgifter.

Sanktionsavgiften fyller därmed en vitesliknande funktion.

Vid överträdelser av tillsynsmyndighetens instruktioner, förelägganden och beslut enligt ovan gäller att sanktionsavgift får påföras med det högre maxbeloppet, dvs. 20 000 000 EUR eller 4 procent av den globala årsomsättningen. När det gäller förelägganden från tillsynsmyndigheten upprepas bestämmelsen i artikel 83.6.

Enligt artikel 83.7 får varje medlemsstat reglera om och i vilken utsträckning det ska vara möjligt att besluta om sanktionsavgifter mot offentliga myndigheter och organ i den medlemsstaten.

Artikel 83.8 uppställer krav på effektiva rättsmedel och rättssäkerhet vid beslut om sanktionsavgifter och artikel 83.9 slår fast att om det inte finns några regler om administrativa sanktionsavgifter i en medlemsstats rättssystem får förfarandet inledas av tillsynsmyndigheten och avgiften utdömas av nationell domstol.

Avslutningsvis kan noteras att förordningen inte säger något uttryckligen om vem sanktionsavgifterna ska tillfalla, dvs. om de ska

281

tillfalla den medlemsstat där den beslutats eller något organ på EUnivå.

18.4.3. Andra sanktioner

Enligt artikel 84 i förordningen ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för sådana som inte är föremål för administrativa sanktionsavgifter. Sanktionerna ska enligt artikeln vara effektiva, proportionella och avskräckande. I skäl 152 anges att medlemsstaterna bör genomföra ett system med effektiva, proportionella och avskräckande sanktioner om förordningen inte harmoniserar administrativa sanktioner eller om det är nödvändigt i andra fall. Det anges också i nämnda skäl att det ska fastställas om sanktionerna ska vara av straffrättslig eller administrativ art.

I skäl 149 anges att medlemsstaterna bör kunna fastställa bestämmelser om straffrättsliga påföljder och möjligheter att förverka den vinning som gjorts vid överträdelser av förordningen. Där erinras också om att utdömandet av sådana påföljder och administrativa sanktioner inte bör medföra ett åsidosättande av dubbelprövningsförbudet enligt EU-domstolens tolkning.

18.5. Sanktionsavgifter inom offentlig sektor

18.5.1. Vad är en sanktionsavgift?

En sanktionsavgift har definierats som en som avgift benämnd penningpålaga som i realiteten utgör en sanktion. Tre kriterier ska enligt doktrinen vara uppfyllda för att något ska kvalificera som en sanktionsavgift. Avgiften ska

1. vara en ekonomisk sanktion som inte är böter eller annan rätts-

verkan av brott,

2. stipuleras i författning och alltså utgöra ett generellt hot, och

3. tillfalla det allmänna.9

9 Wiveka Warnling-Nerep, Sanktionsavgifter – särskilt i näringsverksamhet, s. 15.

282

Det rör sig alltså om en straffliknande ekonomisk sanktion med ett avskräckande och bestraffande syfte. Sanktionsavgifter intar en mellanställning mellan egentliga avgifter och brottspåföljder, vilket kan få betydelse för tillämpningen av såväl regeringsformen som Europakonventionen. Den nu rådande inställningen i doktrinen är att påförande av sanktionsavgifter normalt ska presumeras utgöra brottsanklagelser i konventionens mening och jämställas med böter i normgivningshänseende. Detta medför att de rättssäkerhetsgarantier som uppställs i artikel 6 i Europakonventionen måste vara uppfyllda och att bestämmelser om sanktionsavgifter omfattas av lagkrav med möjlighet till delegation enligt 8 kap. 3 § regeringsformen.10

18.5.2. Viten och sanktionsavgifter mot det allmänna

Enligt direktiven ska vi i denna del göra en jämförelse med vad som gäller för det allmännas skyldigheter att betala viten i allmänhet, miljösanktionsavgifter och sanktionsavgifter på arbetsmiljöområdet. Vi har valt att även redogöra för regleringen kring en annan sanktionsavgift, nämligen upphandlingsskadeavgiften.

Vite

Ett vite har alltid anknytning till ett visst föreläggande eller förbud och riktas mot den i beslutet namngivna adressaten. Syftet med ett vite är att verka preventivt och på förhand få en fysisk eller juridisk person att följa ett visst föreläggande eller förbud, inte att som sanktionsavgifterna verka repressivt som en påföljd mot överträdelser mot generella normer.11Föreläggande och utdömande av vite regleras i lagen (1985:206) om viten, fortsättningsvis benämnd viteslagen.

Viteslagen ställer inte upp några begränsningar när det gäller utdömande av vite mot det allmänna. I lagens andra paragraf anges bara att ett vitesföreläggande ska vara riktat till en eller flera namngivna fysiska eller juridiska personer. Det anses dock vara en vedertagen princip att staten inte föreläggs vite utan särskild reglering.12Huvudargu-

10 Warling-Nerep s.119 och 153 f. samt SOU 2013:38 s. 455. 11 Lavin, Viteslagstiftningen (12 november 2015, Zeteo), kommentaren till 1 § lagen om viten. 12Prop. 2012/13:143 s. 66 f.

283

menten mot att staten ska kunna åläggas vite har varit dels att en statlig myndighet ändå kan beräknas följa ett föreläggande, dels att ett effektivt vite mot staten är nästan omöjligt att åstadkomma eftersom ett utdömt vite i slutänden ändå tillfaller staten.13I vissa författningar framgår det uttryckligen att vite inte kan föreläggas staten, se t.ex. 9 kap. 8 § andra stycket rättegångsbalken och 2 kap. 27 § utsökningsbalken.

Om det finns särskilt författningsstöd kan vite dock riktas mot staten. I 4 kap. 5 § diskrimineringslagen (2008:567) och 7 kap. 7 § arbetsmiljölagen (1977:1160) finns uttryckliga föreskrifter om att ett vitesföreläggande kan riktas även mot staten som arbetsgivare eller som huvudman för utbildningsverksamhet. I förarbetena till diskrimineringslagen hänvisades till motsvarande fråga i förarbetena till den numera upphävda jämställdhetslagen (1991:433), där regeringen ansåg att frågorna om jämställdhet och mångfald i arbetslivet är av sådan vikt att den restriktiva inställningen till vite mot staten borde frångås. Regeringen menade att en ordning där statliga arbetsgivare hålls utanför området där viten kan föreläggas skulle innebära att mer förmånliga regler gällde för dessa än för kommunala eller privata arbetsgivare. En sådan skillnad ansågs inte motiverad. Intresset av ett väl fungerande aktivt arbete för jämställdhet och mångfald även i förhållande till statliga arbetsgivare ansågs vara så starkt att det fanns skäl att markera att även staten skulle kunna föreläggas vite.14 Liknande argument framfördes i förarbetena till nämnda bestämmelse i arbetsmiljölagen.15

Ett annat exempel på när vitesföreläggande kan ådömas myndigheter är möjligheten för JO att enligt 21 § andra stycket lagen (1986:765) med instruktion för Riksdagens ombudsmän förelägga vite om högst 10 000 kronor när ombudsmännen inom ramen för sin tillsyn begär upplysningar och yttranden som domstolar, förvaltningsmyndigheter samt anställda hos staten eller kommun eller annan som står under en ombudsmans tillsyn är skyldiga att lämna enligt 13 kap. 6 § andra stycket regeringsformen. Utöver dessa exempel finns sådana där staten kan och ska åläggas vite i fall då staten uppträder som privat subjekt, t.ex. i egenskap av fastighetsägare, nytt-

13 Strömberg – Lundell, Allmän förvaltningsrätt, 26 upplagan s. 148. 14Prop. 2007/08:95 s. 349 f. 15Prop. 2012/13:143 s. 67.

284

janderättshavare eller ansvarig för rörelse.16 Det finns också bestämmelser som uttryckligen anger att en kommun kan vara adressat för ett vitesföreläggande, t.ex. 51 § lagen 2006:412 om allmänna vattentjänster.

Informationshanteringsutredningen bedömde i sitt betänkande att tillsynsmyndigheten inte skulle ha befogenhet att rikta vitesförelägganden mot vare sig statliga eller kommunala myndigheter enligt den föreslagna myndighetsdatalagen. Utredningen uttalade i det sammanhanget bland annat att eftersom statliga myndigheters behandling av personuppgifter sker i en verksamhet som i allmänhet inte förekommer utanför det allmänna och som omgärdas av helt andra krav och regler än vad som annars är fallet, fanns inga bärande skäl för att i alla delar ha samma sanktionsmöjligheter mot både myndigheter och enskilda. Utredningen ansåg därför inte att myndigheters behandling av personuppgifter utgjorde ett sådant undantagsfall att man borde avvika från den allmänna rättsgrundsatsen att staten inte kan rikta viten mot sig själv.17

Enligt 3 § viteslagen ska ett vite fastställas till ett belopp som med hänsyn till vad som är känt om adressatens ekonomiska förhållanden och till omständigheterna i övrigt kan antas förmå honom att följa det föreläggande som är förenat med vitet. Beloppet ska vara tillräckligt stort för att bryta den enskildes motstånd, att jämföra med storleken av ett bötesbelopp som snarare blir beroende av bland annat omfattningen av den enskildes skuld.18 Vitesbeloppen kan variera kraftigt beroende på sammanhang. Det finns exempel på att viten har satts till allt från tusen kronor till miljonbelopp .19

Frågor om utdömande av viten prövas enligt 6 § viteslagen av förvaltningsrätt på ansökan av den myndighet som har utfärdat vitesföreläggandet eller, om detta har skett efter överklagande i frågan om vitesföreläggande, av den myndighet som har prövat denna fråga i första instans. I vissa undantagssituationer kan vitesfrågan enligt 7 § viteslagen prövas av allmän domstol.

16 Lavin, Viteslagstiftningen, Viteslagstiftningen (12 november 2015, Zeteo), kommentaren till 2 § lagen om viten. 17SOU 2015:39 s. 631 f. 18 Lavin, Viteslagstiftningen (12 november 2015, Zeteo), kommentaren till 3 § lagen om viten. 19 Se exempelvis Högsta domstolens bedömning angående vitets storlek i NJA 1991 s. 200.

285

Miljösanktionsavgifter

Miljösanktionsavgifter regleras främst i 30 kap. miljöbalken och förordningen (2012:259) om miljösanktionsavgifter. Syftet med avgifterna är att verka repressivt och avskräckande och därmed bidra till att upprätthålla en hög standard i miljöpåverkande verksamhet.20Miljösanktionsavgifter kan beslutas mot både näringsidkare, myndigheter och enskilda som bedriver verksamhet som faller inom ramen för miljöbalken. Myndigheternas verksamhet faller alltså inte utanför tillämpningsområdet.

Enligt 30 kap. 1 § miljöbalken får regeringen meddela föreskrifter om att miljösanktionsavgift ska betalas bland annat av den som påbörjar en verksamhet som är tillståndspliktig utan att tillstånd har getts eller av den som åsidosätter villkor eller andra bestämmelser i ett tillstånd. Genom förordningen om miljösanktionsavgifter har regeringen meddelat sådana föreskrifter, exempelvis när det gäller miljöfarlig verksamhet och hälsoskydd.

Det har förtydligats i praxis att miljösanktionsavgifter inte kan beslutas mot en myndighet för åsidosättande som har skett vid myndighetsutövning.21När en verksamhet har inslag av både myndighetsutövning och näringsverksamhet har domstolen gjort en bedömning av vilket inslag som är det dominerande för att avgöra om en miljösanktionsavgift kan beslutas.22

Enligt 30 kap. 1 § miljöbalken ska avgiftens storlek framgå av regeringens föreskrifter, och uppgå till minst 1 000 kronor och högst 1 000 000 kronor. När avgiftens storlek bestäms, ska hänsyn tas till överträdelsens allvar och betydelsen av den bestämmelse som överträdelsen avser. De avgifter som bestäms i förordningen om miljösanktionsavgifter varierar mellan 1 000 och 50 000 kronor. Det är tillsynsmyndigheten som enligt 30 kap. 3 § miljöbalken beslutar om miljösanktionsavgift. Beslutet kan enligt 30 kap. 7 § överklagas till mark- och miljödomstol.

20Prop. 1997/98:45 del I s. 535. 21 MÖD 2001:23. 22 MÖD 2001:21.

286

Sanktionsavgifter på arbetsmiljöområdet

Enligt 8 kap. 5 § arbetsmiljölagen finns en möjlighet för regeringen eller den myndighet regeringen bestämmer att föreskriva om sanktionsavgifter för vissa typer av överträdelser mot lagen. Avgiften ska vara lägst 1 000 och högst 1 000 000 kronor. Av 18 § 4 arbetsmiljöförordningen (1977:1166) framgår att Arbetsmiljöverket bemyndigats att meddela sådana föreskrifter. De avgifter som bestäms i föreskrifterna varierar mellan 2 000 kronor och 1 000 000 kronor.

De sanktionsavgifter som har föreskrivits på arbetsmiljöområdet riktar sig mot arbetsgivare utan att statliga eller kommunala myndigheter undantas. Bakgrunden till att sanktionsavgifter infördes som huvudsaklig sanktion i stället för de straffbestämmelser som tidigare gällde, var att överträdelser av arbetsmiljöbestämmelser ofta görs inom ramen för verksamhet där många människor medverkar och att det ansågs svårt att utreda en utpekad gärningsmans personliga skuld. Det anfördes i motiven att det t.ex. kan vara osäkert vilket reellt inflytande över händelseförloppet någon som varit formellt ansvarig haft samt att det ofta är uppenbart att bristen i arbetsmiljön är resultatet av att någon inom företaget har gjort sig skyldig till en vårdslöshet utan att man kan peka på vem som gjort det.23

Avgiften, som enligt 8 kap. 6 § arbetsmiljölagen tillfaller staten, ska enligt 8 kap. 7 § prövas av Arbetsmiljöverket, som sedan kan ansöka hos den förvaltningsrätt inom vars domkrets avgiftsföreläggandet har utfärdats om att sanktionsavgift ska tas ut, om avgiftsföreläggandet inte har godkänts inom utsatt tid.

Upphandlingsskadeavgifter

Ett exempel på sanktionsavgifter som särskilt riktar sig mot myndigheter är reglerna om upphandlingsskadeavgift i lagen (2016:1145) om offentlig upphandling (LOU). Allmän förvaltningsdomstol får efter ansökan från tillsynsmyndigheten enligt 21 kap. 1 och 2 §§ LOU besluta att en upphandlande myndighet ska betala en upphandlingsskadeavgift. Avgiften kan tas ut oberoende av om överträdelsen har skett uppsåtligen eller av oaktsamhet.

23Prop. 1993/94:186 s. 49.

287

En upphandlingsskadeavgift ska enligt 21 kap. 4 § LOU uppgå till lägst 10 000 kronor och högst 10 000 000 kronor. Avgiften får emellertid inte överstiga tio procent av upphandlingens värde. Enligt 21 kap. 5 § LOU ska vid fastställande av upphandlingsskadeavgiftens storlek särskild hänsyn tas till hur allvarlig överträdelsen är. Upphandlingsavgiften ska enligt 21 kap. 8 § LOU tillfalla staten.

När det gäller frågan om möjligheten att ålägga statliga och kommunala myndigheter skyldighet att erlägga avgiften till staten konstaterades i förarbetena till den numera upphävda lagen (2007:1091) om offentlig upphandling att andra liknande avgifter såsom konkurrensskadeavgift och marknadsstörningsavgift kan tas ut av offentligrättsliga subjekt om de är att betrakta som näringsidkare. Vidare betonades vikten av att sanktionsbestämmelserna är desamma för alla slag av upphandlande myndigheter och enheter och att något undantag för statliga myndigheter därför inte borde göras. Lagrådet angav vidare i sitt yttrande över förslaget att för att den eftersträvade preventiva effekten ska uppnås beträffande statliga myndigheter är det viktigt att det upprätthålls en strikt budgetdisciplin, så att avgiften blir kännbar också för en felande statlig myndighet. När det gäller kommunala myndigheter påpekades bland annat att möjligheter att påföra kommuner sanktionsavgifter som tillfaller staten redan förekommer i andra författningar, såsom exempelvis socialtjänstlagen.24

18.5.3. Överväganden och förslag

Utredningens förslag: Sanktionsavgifter ska få tas ut även av stat-

liga och kommunala myndigheter.

För mindre allvarliga överträdelser ska avgiften uppgå till högst 10 000 000 kronor och för allvarligare överträdelser till högst 20 000 000 kronor. Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tilllämpas.

Utgångspunkten för våra överväganden i denna del är att det följer direkt av förordningen att sanktionsavgifter kommer att kunna

24Prop. 2009/10:180 s. 200.

288

påföras aktörer i den privata sektorn. Det finns enligt vår mening starka skäl som talar för att sanktionsmöjligheterna bör vara desamma mot privata subjekt som mot myndigheter när det gäller överträdelser mot dataskyddsförordningen.

Inledningsvis kan det konstateras att regleringen syftar till att skydda enskildas integritet, och att enskildas intresse av skydd för sin personliga integritet väger lika tungt om uppgifter behandlas i det allmännas verksamhet som i den privata sektorn. Såväl statliga som kommunala myndigheter hanterar mycket stora mängder personuppgifter, ofta mycket känsliga sådana, som dessutom i allt ökande grad utbyts över myndighets- och nationsgränser utan enskildas samtycke.

Trots att det allmännas verksamhet i och för sig är reglerad i högre grad genom annan lagstiftning än personuppgiftsrelaterad sådan, exempelvis i tryckfrihetsförordningen, offentlighets- och sekretesslagen och arkivlagstiftningen, sker själva behandlingen av personuppgifter på i stort sett samma villkor och enligt samma regelverk som för personuppgiftsansvariga i privat sektor. Det framgår vidare av tillsynsmyndigheternas granskningar under senare år att några av de grövre överträdelserna mot dataskyddslagstiftningens grundläggande principer har gjorts av myndigheter.25 Det är alltså högst tveksamt om myndigheter i allmänhet kan förväntas att i högre grad än enskilda följa regleringen om dataskydd. Inte heller borde behovet av avskräckande sanktioner vara mindre när det gäller myndigheternas personuppgiftsbehandling.

Argumenten mot att sanktionsavgifter enligt förordningen ska kunna tas ut av myndigheter är främst sanktionens bristande effektivitet när det är statliga myndigheter som gör sig skyldiga till överträdelser, samt att − i motsats till den privata sektorn – tjänstefelsansvaret utgör ett visst skydd mot att enskilda tjänstemän i offentlig verksamhet gör sig skyldiga till grövre överträdelser. Som framgår av redogörelsen i föregående avsnitt är det trots detta inte helt ovanligt med viten och sanktionsavgifter som riktar sig till statliga och kommunala myndigheter.

25 Se exempelvis Säkerhets- och integritetsskyddsnämndens uttalande om det s.k. kringresanderegistret (dnr 173-2013) och Datainspektionens beslut om det s.k. kvinnoregistret (dnr 2790-2014).

289

Den EU-rättsliga regleringen av personuppgiftsbehandling utgår från det förhållandet att individens rätt till skydd vid behandling av personuppgifter är en grundläggande rättighet enligt artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna. Frågan om vilka sanktioner som bör kunna riktas mot myndigheter bör därför i likhet med andra områden där regleringen framför allt syftar till skydd för individers grundläggande rättigheter, såsom exempelvis inom diskrimineringslagstiftningen, besvaras utifrån ett individperspektiv. Behovet av skydd kan enligt vår mening inte anses vara mindre vid personuppgiftsbehandling som utförs av myndigheter än av enskilda. Tjänstefelsansvar eller disciplinansvar är inte tillräckligt effektiva sanktioner mot systematiska överträdelser på myndighetsnivå för att motivera en annan bedömning. I detta sammanhang förtjänar det att noteras att kommissionen har föreslagit att sanktionsavgifter ska kunna tas ut av EU-institutionerna och andra gemenskapsorgan vid överträdelser mot den förordning som reglerar institutionernas och gemenskapsorganens egen behandling av personuppgifter, parallellt med disciplinära påföljder.26

Inte heller effektivitetsargument leder till ett annat ställningstagande eftersom liknande avgifter har ansetts utgöra en effektiv sanktion på flera andra områden trots att vitet eller avgiften betalas av statliga myndigheter till staten. Här får, såsom anfördes i förarbetena till regleringen om upphandlingsskadeavgifter, förutsättas att budgetdisciplinen upprätthålls så att avgiften får den avskräckande funktion förordningen förutsätter.

Sammanfattningsvis menar vi att övervägande skäl talar för att administrativa sanktionsavgifter ska kunna tas ut av statliga och kommunala myndigheter. I förordningens artikel 83.1–3 anges vilka omständigheter som ska beaktas vid beslut om att ta ut sanktionsavgifter och vid bestämmande av beloppets storlek. Dessa bestämmelser bör enligt vår mening tillämpas även då sanktionsavgifter tas ut av myndigheter.

Bestämmelsen i artikel 83.7 om medlemsstaternas möjligheter att bestämma i vilken utsträckning myndigheter ska kunna påföras avgifter, innebär enligt vår mening att medlemsstaterna har utrymme att bestämma ett tak för de belopp som kan påföras myndig-

26 Artiklarna 66 och 69 i kommissionens förslag av den 10 januari 2017, COM(2017) 8 final, 2017/0002 (COD).

290

heter, på samma sätt som föreslås i betänkandet Brottsdatalag, SOU 2017:29.

När det gäller frågan om sådana beloppstak bör införas för myndigheternas del bör följande beaktas. Som vi har anfört ovan anser vi att ur ett integritetsperspektiv bör samma typ av överträdelse leda till samma typ av sanktion oavsett om överträdelsen begåtts av en myndighet eller ett privat subjekt. Vi anser dock att sanktionsavgifter som påförs myndigheter beloppsmässigt bör ligga i paritet med andra sanktionsavgifter i svensk rätt. Varken på miljöområdet eller på arbetsmiljöområdet är de avgifter som kan tas ut tillnärmelsevis så höga som de som anges i dataskyddsförordningen. Det högsta belopp som kan beslutas vid en överträdelse inom dessa områden är 1 000 000 kronor. Inte heller företagsbot eller upphandlingsskadeavgift kan uppgå till lika höga belopp som enligt förordningen. För företagsbot är minimibeloppet i dag 5 000 kronor och maximibeloppet 10 000 000 kronor. För upphandlingsskadeavgift enligt lagen om offentlig upphandling är lägsta beloppet 10 000 kronor och det högsta 10 000 000 kronor. Avgiften får dock aldrig överstiga en viss procentsats av upphandlingens värde.

Skillnader mellan sanktionsavgifternas storlek utanför respektive innanför myndighetssfären kan också motiveras av att personuppgiftsansvariga i den privata sektorn kan vara multinationella företag där det krävs synnerligen höga sanktionsbelopp för att avgiften ska vara kännbar. För myndigheter kan även en något lägre avgift förväntas påverka agerandet i önskad riktning. Till det kommer att ett felaktigt agerande från en myndighet sällan föranleds av en önskan att maximera vinst eller att göra en större besparing, även om det inte kan uteslutas att det finns ekonomiska motiv. Lägre men tillräckligt kännbara belopp torde därför påverka myndigheterna så länge budgetdisciplinen upprätthålls och de inte får ekonomiska tillskott för att kunna betala sina sanktionsavgifter. Här kan också noteras att i kommissionens förslag till den förordning som reglerar institutionernas och gemenskapsorganens egen behandling av personuppgifter sätts beloppsgränsen för sanktionsavgifterna betydligt lägre än enligt dataskyddsförordningen.27

27 Artikel 66.2 och 66.3 i kommissionens förslag av den 10 januari 2017, COM(2017) 8 final, 2017/0002 (COD).

291

Ett av huvudsyftena med sanktionsavgifter är att de ska vara effektiva och avskräckande. För att regleringen ska få en tillräckligt avskräckande effekt krävs, trots det som sagts ovan om myndigheters relativt sett högre känslighet även för låga sanktionsavgifter, enligt vår bedömning att maximibeloppet sätts relativt högt. Sammanfattningsvis anser vi att maxbeloppet för sanktionsavgifter mot myndigheter bör ligga i linje med de sanktionsavgifter som i dag finns på andra områden och med storleken på företagsbot, och därmed bestämmas till ett lägre belopp än enligt dataskyddsförordningen.

Sanktionsavgift ska enligt förordningen tas ut på två olika nivåer – en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser och underlåtenhet att följa förelägganden eller beslut av tillsyns-myndigheten eller att på annat sätt bistå den. Vi anser att det även för myndigheter finns skäl att ha två olika avgiftsnivåer. Ett maximibelopp om 10 000 000 kronor för mindre allvarliga överträdelser, vilket motsvarar vad som i dag gäller för företagsbot, får anses tillräckligt betydande för att utgöra en kännbar sanktion.

Det finns, utifrån förordningens modell, skäl att bestämma beloppen för allvarligare överträdelser till det dubbla. Det innebär att maximibeloppet för sådana överträdelser bör vara 20 000 000 kronor. Vid bestämmandet av vad som utgör en mindre allvarlig respektive en allvarlig överträdelse bör förordningens artikel 83.4 respektive 83.5 gälla.

Frågan om det närmare förfarandet vid beslut om sanktionsavgifter och effektiva rättsmedel för de som påförs avgifterna behandlas i avsnitt 19.5.3 och 19.7.3.

18.6. Övriga sanktioner och förbudet mot dubbelbestraffning

18.6.1. Medlemsstaternas åligganden

Som nämnts ovan anges i artikel 84 att medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter. Medlemsstaterna har enligt samma artikel att se till att sanktionerna är effektiva, proportionella och avskräckande. Frågan är då vad detta innebär för våra skyldigheter när det gäller genom-

292

förande. I skäl 152 anges att om förordningen inte harmoniserar administrativa sanktioner eller om nödvändigt i andra fall bör medlemsstaterna genomföra ett system med effektiva, proportionella och avskräckande sanktioner, som kan vara av administrativ eller straffrättslig art. Artikel 84 får alltså tolkas så att om sanktioner saknas enligt förordningen åligger det i princip medlemsstaterna att täppa till sådana luckor, men att det finns relativt stor frihet för medlemsstaterna att avgöra på vilket sätt detta ska ske.

Som framgår av genomgången ovan av förordningens reglering om sanktionsavgifter täcker den det stora flertalet rättigheter och skyldigheter enligt förordningen, med det viktiga undantaget att överträdelser mot artikel 10 inte omfattas.

18.6.2. Allmänt om kriminalisering

Det finns en uttalad politisk vilja att använda straffrätten återhållsamt. Detta eftersom kriminalisering innebär påtagliga inskränkningar i medborgarnas valfrihet och ingripande tvångsåtgärder mot dem som begår brott. Straffrättsliga sanktioner ses vidare som ineffektiva i många fall, i synnerhet när det i första hand är juridiska personer som kan antas göra sig skyldiga till överträdelser av olika slag genom beslut som fattas på viss nivå i organisationen .28

Åklagarutredningen manade i sitt betänkande, SOU 1992:61, till försiktighet vid användandet av kriminalisering som metod för att styra medborgarnas beteende. Utredningen fastslog vissa kriterier för att en kriminalisering ska framstå som befogad, bland annat att alternativa sanktioner inte står till buds, inte skulle vara rationella eller skulle kräva oproportionerligt höga kostnader och att straffsanktionen utgör ett effektivt medel för att motverka det icke önskvärda beteendet. Den restriktiva syn på kriminalisering som kom till uttryck i utredningen och den efterföljande propositionen fick i huvudsak stöd vid riksdagsbehandlingen.29

Straffrättsanvändningsutredningen fick i uppdrag av regeringen att på nytt analysera och ta ställning till vilka kriterier som bör gälla för att kriminalisering ska anses vara befogad, se dir. 2011:31. Som

28SOU 2013:38 s. 536. 29Prop. 1994/95:23 s. 52 f., bet. 1994/95:JuU2 och rskr. 1994/95:40.

293

utgångspunkt angavs att kriminalisering bör ske med återhållsamhet och endast användas när den metoden som framstår som den mest effektiva för att motverka det oönskade beteendet. Utredningen tog fram fem kriterier som den ansåg ska vara uppfyllda för att kriminalisering ska komma i fråga. Dessa kan sammanfattas enligt följande.

1. Det tänkta straffbudet måste avse ett identifierat och konkretiserat intresse som är skyddsvärt (godtagbart skyddsintresse).

2. Det beteende som avses bli kriminaliserat måste kunna orsaka skada eller fara för skada på skyddsintresset.

3. Endast den som har visat skuld – varit klandervärd – bör träffas av straffansvar, vilket innebär att kriminaliseringen inte får äventyra tillämpningen av skuldprincipen.

4. Det får inte finnas något tillräckligt värdefullt motstående intresse.

5. Det får inte finnas någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet. I första hand bör vite, sanktionsavgift eller återkallelse av tillstånd övervägas. Straff bör väljas i sista hand.30

Utredningen ansåg att för att inte riskera att komma i konflikt med det så kallade dubbelbestraffningsförbudet (se vidare nedan) bör sådana beteenden som sanktioneras med avgift inte samtidigt vara straffbelagda. Visserligen kan man med åtalsbegränsningsregler, jämkningsregler, inskränkning av anmälningsplikt osv. försöka se till att dubbelbestraffningsförbudet inte överträds i praktiken, men en sådan uppbyggnad av regelverket gör enligt utredningen att detta blir svårt att överblicka och besvärligt att tillämpa. Utredningen ansåg vidare att det bör vara möjligt för den enskilde att kunna förutse om ett visst beteende leder till straff eller avgift, och förordade därför att när sanktionsavgift införs för beteenden som redan är straffbelagda, dessa beteenden avkriminaliseras i motsvarande mån.31Straffrättsanvändningsutredningens betänkande har remissbehandlats och bereds nu inom Regeringskansliet.

30SOU 2013:38 s. 498. 31SOU 2013:38 s. 546 f.

294

18.6.3. Dubbelprövningsförbudet

Europakonventionen gäller som lag i Sverige. I konventionen regleras mänskliga rättigheter såsom rätten till en rättvis rättegång i artikel 6. I artikel 4.1 i det sjunde tilläggsprotokollet till konventionen regleras rättigheten att inte bli lagförd eller straffad två gånger, ibland kallat dubbelbestraffningsförbudet. Fortsättningsvis kommer här att användas den något mer korrekta termen dubbelprövningsförbudet.

Det svenska systemet med samtidig tillämpning av en administrativ sanktion i form av skattetillägg och en straffrättslig sanktion i form av skattebrott har prövats i domen Lucky Dev mot Sverige (no. 7356/10, den 27 november 2014), där Europadomstolen fann att en kränkning av dubbelprövningsförbudet hade skett.

Dubbelprövningsförbudet finns även reglerat i EU-rätten, närmare bestämt i artikel 50 i Europeiska unionens stadga om de grundläggande rättigheterna. EU-domstolen har i ett avgörande år 2013 ansett sig behörig att pröva de svenska skattetilläggs- och skattebrottsreglerna såvitt de gäller mervärdesskatt, men lämnade i domen över till den frågande tingsrätten att bedöma om förfarandet stred mot dubbelprövningsförbudet.32Högsta domstolen och Högsta förvaltningsdomstolen har under 2013 ändrat sin tidigare praxis och nu kommit fram till att det svenska systemet med två förfaranden och dubbla sanktioner vid oriktiga uppgifter i skatteförfarandet är oförenligt med dubbelprövningsförbudet.33

18.6.4. Överväganden och förslag

Utredningens förslag: Sanktionsavgifter enligt artikel 83 i data-

skyddsförordningen ska kunna tas ut även vid överträdelser av artikel 10 i förordningen. Avgiftens storlek ska bestämmas inom ramen för den högre beloppsgräns som gäller för överträdelser mot bland annat bestämmelserna om känsliga personuppgifter.

32 Dom Åkerberg Fransson, C-617/10, EU:C:2013:280. 33NJA 2013 s. 502, NJA 2013 s. 746 och HFD 2013 ref. 71. Jfr Europadomstolens dom i A och B mot Norge, (no 24130/11 och 29758/11, den 15 november 2016).

295

Utredningens bedömning: Något straff ska inte ådömas den som

bryter mot förordningen.

Någon möjlighet för tillsynsmyndigheten att förena sina förelägganden med vite bör inte införas.

Sanktionsavgift vid överträdelser mot artikel 10

Dataskyddsförordningens artikel 10 begränsar möjligheterna att behandla uppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder, och innebär alltså skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden att se till att behandling bara sker i tillåtna fall. Intresset av att upprätthålla efterlevnaden av de begränsningar som anges i artikel 10, dvs. möjligheterna att behandla personuppgifter om fällande domar och överträdelser som rör brott, väger enligt vår mening lika tungt ur integritetssynpunkt som att säkerställa efterlevnaden av förbudet mot behandling av vissa typer av känsliga personuppgifter. Behandling av uppgifter om misstänkta eller lagförda brott uppfattas många gånger som mycket integritetskänsligt och stigmatiserande av den registrerade. Som nämnts ovan framstår det inte heller som osannolikt att avsikten varit att även artikel 10 skulle omfattats av regleringen om sanktionsavgifter.

Av förordningens skäl 152 och artikel 84 kan utläsas att det står medlemsstaterna fritt att införa administrativa sanktioner på områden som inte harmoniseras i förordningen. Vår bedömning är att samma system för sanktionsavgifter bör gälla vid överträdelser av artikel 10 som för överträdelser av regleringen om känsliga personuppgifter i artikel 9. Tillsynsmyndigheten bör därför kunna påföra administrativa sanktionsavgifter upp till det högre maxbeloppet även vid överträdelser mot förordningens artikel 10.

Straff

Den befintliga bestämmelsen i 49 § PUL har som nämnts ovan tilllämpats sparsamt under senare tid. I många fall är det svårt att peka ut en fysisk person som uppfyller de objektiva och subjektiva rekvisiten för brott och därför är det svårt att fälla någon till ansvar.

296

Eftersom ansvaret för överträdelser enligt förordningen i huvudsak läggs på personuppgiftsansvariga och personuppgiftsbiträden, vilka i flertalet fall är juridiska personer, bör de mycket kännbara avgifter som kan påföras enligt förordningen vara väsentligt mer effektiva i den meningen att de har en mer avhållande effekt än straffrättsliga sanktioner.

Överträdelser mot förordningen kommer sannolikt i stor utsträckning att upptäckas och utredas av tillsynsmyndigheten. Även ur resurssynpunkt är det därför mer effektivt att låta tillsynsmyndigheten sanktionera överträdelserna. Med det kraftfulla och relativt heltäckande system med sanktionsavgifter som införs genom förordningen finns det därför enligt vår bedömning en alternativ metod som är tillräckligt effektiv och avskräckande för att komma till rätta med överträdelser mot förordningen.

Införandet av straff kan också aktualisera dubbelprövningsförbudet och göra det svårt för personuppgiftsansvariga att förutse vilken sanktion som kan komma ifråga för vilken överträdelse. Med den restriktiva syn på kriminalisering som förutsätts i dag, bedömer vi att någon straffsanktion inte bör införas för överträdelser mot förordningen.

Det bör i detta sammanhang återigen erinras om att visst integritetskränkande beteende som innefattar personuppgiftsbehandling kan vara straffsanktionerat enligt andra bestämmelser, såsom exempelvis dataintrång och förtal. Tjänstefelsansvaret kan också komma ifråga vid gärningar som begås av offentliganställda och som innebär överträdelser av dataskyddsregleringen. För närvarande bereds också förslaget om införande av brottet olaga integritetsintrång i Regeringskansliet (SOU 2016:7). En avkriminalisering av brott mot regleringen om dataskydd innebär alltså inte att integritetskränkningar som begås vid personuppgiftsbehandling kommer att sakna straffrättsliga sanktioner.

Andra sanktioner

Dataskyddsförordningen innehåller inte någon indikation på vilka andra sanktioner som avses i artikel 84. Straffanvändningsutredningen har bedömt att de repressiva metoder som står till buds för staten, vid sidan av straff och sanktionsavgifter, främst är vite och

297

återkallelse av tillstånd.34Förordningen föreskriver inte något sådant tillståndsförfarande som gör att återkallelse kan användas som sanktion. Frågan om det finns skäl att behålla möjligheten för tillsynsmyndigheten att vitesförelägga i vissa situationer måste dock övervägas i detta sammanhang.

Inledningsvis kan konstateras att Datainspektionen hittills aldrig använt sig av den möjlighet att vitesförelägga som finns enligt personuppgiftslagen. Som nämnts ovan kan sanktionsavgifterna enligt förordningen användas framåtsyftande, dvs. för att säkerställa ett agerande i enlighet med tillsynsmyndighetens pålagor, genom att det erinras om att sanktionsavgifter kan utgå enligt artikel 83.5 e och artikel 83.6 om föreläggandet eller beslutet inte följs. Vi bedömer att denna möjlighet bör fylla tillsynsmyndighetens behov av handlingsdirigerande sanktion, och att det därför inte finns något behov för tillsynsmyndigheten att också kunna förena sina förelägganden med vite på förordningens tillämpningsområde. Det faktum att även vite kan aktualisera dubbelprövningsförbudet om det utdöms för gärningar som också aktualiserar påförande av sanktionsavgifter, talar ytterligare emot att införa en sådan möjlighet.

Vid sidan av systemet med sanktionsavgifter finns också det i det närmaste strikta skadeståndsansvar som gäller enligt förordningens artikel 82. De höga belopp som kan komma att dömas ut vid mer omfattande behandling får också antas ha en avskräckande effekt.

Sammanfattningsvis menar vi att förordningens system med skadestånd och sanktionsavgifter, tillsammans med den reglering som föreslagits ovan avseende artikel 10, uppfyller kraven på effektiva och avskräckande sanktioner för överträdelser av förordningen och att det därför inte finns behov av att införa några andra sanktioner i svensk rätt.

34SOU 2013:38 s. 537.

298

18.7. Betalning och verkställighet

18.7.1. Överväganden och förslag

Utredningens förslag: Sanktionsavgifterna ska tillfalla staten och

betalas inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft. Om en sanktionsavgift inte betalas ska den lämnas för indrivning.

Som nämnts ovan framgår det inte uttryckligen av dataskyddsförordningen om de sanktionsavgifter som kan komma att tas ut ska betalas till EU eller till medlemsstaterna. Inte heller regleras det i förordningen hur betalningen eller den närmare verkställigheten av avgifterna ska ske.

I avsaknad av reglering i förordningen om vem sanktionsavgifterna tillfaller, måste utgångspunkten vara att avgifterna ska tillfalla staten. Detta bör framgå av dataskyddslagen. Det bör däremot lämnas till regeringen att bestämma till vilken myndighet betalning ska ske.

Föreskrifter om verkställighet av sanktionsavgifter kan meddelas av regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen. Någon upplysningsbestämmelse om detta behöver enligt vår bedömning inte tas in i dataskyddslagen. Med stöd av nämnda bestämmelse i regeringsformen bör regeringen meddela föreskrifter om till vilken myndighet betalning ska ske, liksom sedvanliga föreskrifter om betalningen i övrigt, om indrivning och om preskription, i likhet med vad som föreslagits i betänkandet Brottsdatalag, SOU 2017:29.

299

19. Processuella frågor

19.1. Vårt uppdrag

Enligt kommittédirektiven ska vi analysera i vilken utsträckning det behövs kompletterande bestämmelser om de rättsmedel för enskilda som regleras i dataskyddsförordningen. Vi ska vidare analysera om det behövs kompletterande bestämmelser om sådana integritetsskyddsorganisationer som regleras i förordningen eller om vilandeförklaring eller skadestånd, samt lämna sådana författningsförslag som är behövliga och lämpliga.

Enligt direktiven ska vi även analysera i vilken utsträckning det behövs kompletterande bestämmelser om utövandet av tillsynsmyndighetens befogenheter. Det kan dock konstateras att själva utövandet av befogenheterna har behandlats av Utredningen om tillsynen över den personliga integriteten i betänkandet SOU 2016:65. Den fråga som ankommer på oss att utreda rörande utövandet av tillsynsmyndighetens befogenheter är därmed främst att analysera i vilken utsträckning det behövs kompletterande processuella bestämmelser till skydd för bland andra den personuppgiftsansvarige och de registrerade, i samband med att tillsynsmyndigheten utövar sina befogenheter.

Dataskyddsförordningen innehåller utförliga bestämmelser som förpliktar de nationella tillsynsmyndigheterna att samarbeta med och assistera andra medlemsstaters tillsynsmyndigheter. Detta innefattar bland annat skyldigheter att samråda och utbyta information. Tillsynsmyndigheterna ges också möjlighet och skyldighet att genomföra gemensamma insatser och utredningar, där personal från olika medlemsstaters tillsynsmyndigheter deltar.

Vid gemensamma insatser får en tillsynsmyndighet, i enlighet med nationell rätt, medge företrädare för deltagande tillsynsmyndigheter i andra medlemsstater att utöva tillsynsbefogenheter. I kommittédirek-

300

tiven anges därför att vi ska bedöma om det bör införas bestämmelser som möjliggör en överföring av den svenska tillsynsmyndighetens befogenheter till en annan medlemsstats tillsynsmyndighet. Vi ska även lämna lämpliga författningsförslag.

19.2. Kapitlets disposition

De processuella frågor som aktualiseras när en behandling av personuppgifter ifrågasätts behandlas i detta kapitel i den kronologiska ordning de normalt uppkommer. Först behandlas således vilka rättsmedel som står till buds för den registrerade i direkt förhållande till den personuppgiftsansvarige eller biträdet, dvs. utan inblandning av tillsynsmyndigheten (avsnitt 19.3). Därefter behandlas den registrerades möjlighet att lämna in klagomål till tillsynsmyndigheten och få ett besked om myndigheten avser att vidta några åtgärder eller inte (avsnitt 19.4). I de påföljande avsnitten behandlas dels frågor som rör tillsynsmyndighetens handläggning av ärenden (avsnitt 19.5) och gemensamma insatser med utländska tillsynsmyndigheter (avsnitt 19.6), dels rätten att överklaga tillsynsmyndighetens beslut (avsnitt 19.7) och andra beslut enligt dataskyddslagen (avsnitt 19.8). Den registrerades möjligheter att få stöd av en ideell organisation behandlas därefter (avsnitt 19.9) och till sist vissa frågor som rör domstolsförfarandet (avsnitt 19.10).

19.3. Rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet

19.3.1. Gällande rätt

Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen.

I 48 § PUL anges att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat. Med stöd av denna bestämmelse kan den registrerade ansöka om stämning mot den personuppgiftsansvarige och yrka

301

att den personuppgiftsansvarige ska åläggas att betala ersättning. Om den personuppgiftsansvarige är en statlig myndighet får begäran om ersättning ges in till Justitiekanslern. Enligt förordningen om handläggning av skadeståndsanspråk mot staten ska Justitiekanslern handlägga sådana anspråk som görs med stöd av personuppgiftslagens skadeståndsbestämmelse.

Om den personuppgiftsansvarige är en myndighet har den registrerade också i vissa fall möjlighet att initiera en process i förvaltningsdomstol. Enligt 52 § PUL får nämligen några av de beslut som myndigheten fattar enligt personuppgiftslagen överklagas till allmän förvaltningsdomstol. Denna rätt gäller endast myndighetens beslut om information enligt 26 § PUL, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Rätten att överklaga gäller inte beslut som fattats av riksdagen, regeringen eller riksdagens ombudsmän.

19.3.2. Dataskyddsförordningen

Varje registrerad som anser att hans eller hennes rättigheter har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ska ha rätt till ett effektivt rättsmedel, utöver rätten att lämna in ett klagomål till en tillsynsmyndighet (artikel 79.1). Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. Talan får även väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet som agerar inom ramen för sin myndighetsutövning (artikel 79.2).

Artikel 82 innehåller bestämmelser om skadestånd. Enligt artikel 82.6 ska domstolsförfaranden för utövande av rätten till ersättning tas upp vid de domstolar som är behöriga enligt artikel 79.2.

302

19.3.3. Överväganden och förslag

Utredningens förslag: Om den personuppgiftsansvarige är en

myndighet, ska myndighetens beslut avseende behandlingen av personuppgifter i vissa fall få överklagas av den registrerade till allmän förvaltningsdomstol.

Det ska förtydligas i dataskyddslagen att rätten till ersättning enligt dataskyddsförordningen även gäller vid överträdelser av bestämmelser som kompletterar dataskyddsförordningen.

Utredningens bedömning: Den registrerades rätt till ett effektivt

rättsmedel mot den personuppgiftsansvarige eller biträdet tillgodoses genom möjligheten att föra talan om skadestånd i allmän domstol.

En registrerad ska enligt dataskyddsförordningen ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Av kontexten framgår att rättsmedlet ska innefatta en rätt att föra talan i domstol. Vilken slags talan som den registrerade ska kunna väcka framgår däremot inte, vare sig av artikeltexten eller av skälen till förordningen.

Även enligt dataskyddsdirektivet ska den registrerade ha rätt till ett rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. I artikel 22 i direktivet anges att medlemsstaterna ska föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på behandlingen. Vid genomförandet av dataskyddsdirektivet bedömdes att denna bestämmelse var genomförd i svensk rätt genom möjligheten för enskilda att vid allmän domstol föra talan om skadestånd för kränkningar av alla rättigheter som direktivet och den svenska lagstiftningen ger enskilda.1

1Prop. 1997/98:44 s. 106.

303

En myndighets beslut om personuppgiftsbehandling ska i vissa fall få överklagas till allmän förvaltningsdomstol

Om den personuppgiftsansvarige är en myndighet får enligt gällande rätt vissa av de beslut som myndigheten fattar i denna egenskap överklagas till allmän förvaltningsdomstol (52 § PUL). Denna bestämmelse har inte sin grund i dataskyddsdirektivet, utan motiveras av allmänna förvaltningsrättsliga principer om att förvaltningsbeslut som direkt berör en enskild person ska kunna överprövas av domstol.2

Dessa allmänna förvaltningsrättsliga principer gör sig gällande även avseende vissa av de beslut som personuppgiftsansvariga myndigheter kommer att fatta enligt dataskyddsförordningen, till följd av en begäran av en registrerad. När den personuppgiftsansvarige är en myndighet kan nämligen vissa beslut rörande behandlingen av personuppgifter sägas vara ett utflöde av myndighetens myndighetsutövning. Dataskyddslagen bör därför, i likhet med personuppgiftslagen, förses med en uttrycklig bestämmelse om att vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas för överklagande till kammarrätten.

Rätten att överklaga bör omfatta beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt kapitel III i dataskyddsförordningen. De rättigheter som kan föranleda överklagbara beslut rör information (artikel 12.5), registerutdrag m.m. (artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invändningar (artikel 21). Det bör noteras att överklaganderätten bara kan gälla beslut som är av den karaktären att de är överklagbara enligt allmänna förvaltningsrättsliga principer, jfr t.ex. RÅ 2010 ref. 72 och RÅ 2007 ref. 7. En myndighets faktiska handlande eller underlåtenhet att handla kan exempelvis inte överklagas. En annan förutsättning för överklagande är att beslutet har någon inte alltför obetydlig verkan för parter eller andra. Normalt saknas också möjlighet att klaga över motiveringen till ett beslut.

2Prop. 2005/06:173 s. 51 f.