Obs! Dokumenten i denna databas kan vara ofullständiga.
Större tabeller och bilder saknas.
Dokument: Prop. 1997/98:44
Rubrik: Personuppgiftslag Prop. 1997/98:44
Regeringens proposition
1997/98:44
Personuppgiftslag
Prop.
1997/98:44
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 8 december 1997
Laila Freivalds
Pierre Schori
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en personuppgiftslag. Lagen ersätter den
nuvarande datalagen (1973:289) och genomför Europaparlamentets och
rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter.
Lagen, som i huvudsak följer EG-direktivets text och disposition,
omfattar all automatiserad behandling av personuppgifter och manuell
behandling av personregister. Rent privat användning av personuppgifter
är undantagen. Det görs även undantag med hänsyn till offentlighets-
principen och tryck- och yttrandefriheten. Särregler i annan lagstiftning
tar över bestämmelserna i personuppgiftslagen.
Lagen innehåller bestämmelser om när behandling av personuppgifter
är tillåten och när sådana uppgifter får föras över till en stat utanför EES.
För behandling av känsliga personuppgifter gäller särskilt stränga regler.
Även vissa grundläggande krav på den som behandlar personuppgifter
regleras, t.ex. att personuppgifter som samlats in för ett ändamål inte får
behandlas för något annat oförenligt ändamål. Det finns i lagen vidare
bestämmelser om information till de registrerade, om korrigering av
personuppgifter och om säkerheten vid behandlingen. Den enskilde skall
i fråga om s.k. automatiserade beslut ha rätt att på begäran få manuell
omprövning av beslutet och information om den automatiserade
behandling som ligger bakom det. Automatiserad behandling av person-
uppgifter måste i princip anmälas till en tillsynsmyndighet, men
omfattande undantag från denna anmälningsskyldighet medges, t.ex. när
den ansvarige för behandlingen har tillsatt ett s.k. personuppgiftsombud
med uppgift att självständigt kontrollera den ansvariges behandling. Den
som bryter mot lagen kan drabbas av ingripanden från tillsynsmyn-
digheten, t.ex. ett vitesföreläggande, eller skadestånd och straff.
Personuppgiftslagen föreslås träda i kraft den 24 oktober 1998.
Vissa bestämmelser i den nuvarande datalagen föreslås bli flyttade till
annan lagstiftning, t.ex. bestämmelsen om straff för dataintrång som
flyttas till brottsbalken. Vissa konsekvensändringar görs vidare i sekre-
tesslagen (1980:100). Dessa ändringar föreslås träda i kraft samtidigt
med den nya lagen.
I dag är det möjligt för riksdagen att delegera rätten att meddela
föreskrifter om automatisk databehandling av personuppgifter. Det före-
slås även att regeringsformen justeras så att det blir möjligt för riksdagen
att delegera rätten att meddela föreskrifter om manuell behandling av
personuppgifter. Den ändringen föreslås träda i kraft den 1 januari 1999.
Innehållsförteckning
1 Förslag till riksdagsbeslut 5
2 Lagtext 6
2.1 Förslag till personuppgiftslag 6
2.2 Förslag till lag om ändring i sekretesslagen (1980:100) 21
2.3 Förslag till lag om ändring i brottsbalken 24
2.4 Förslag till lag om ändring i regeringsformen 25
2.5 Förslag till lag om ändring i personuppgiftslagen
(0000:000) 26
3 Ärendet och dess beredning 29
4 Bakgrund och utgångspunkter 30
4.1 Reformbehovet 30
4.2 Den nuvarande datalagen 31
4.3 EG-direktivet 34
5 Genomförandet av EG-direktivet 36
5.1 Lagens uppbyggnad – hanteringsmodell eller
missbruksmodell 36
5.2 Den nya lagen skall följa direktivets text och struktur 37
6 En teknikoberoende och generell lag 38
6.1 En teknikoberoende lag som omfattar automatiserad
behandling och manuell behandling av personuppgifter 38
6.2 En generellt tillämplig lag men särregler i andra
författningar gäller framför den nya lagen 40
7 Lagens namn m.m. 42
8 Undantag från den nya lagen 43
8.1 Förhållandet till offentlighetsprincipen 43
8.2 Förhållandet till tryck- och yttrandefriheten 49
8.3 Undantag för rent privat användning av personuppgifter 53
8.4 Ord- och textbehandling kan inte generellt undantas 54
9 Det territoriella tillämpningsområdet för den nya lagen 55
10 Normgivningsdelegation 56
11 Den materiella regleringen 62
11.1 Huvudprinciper 62
11.2 Grundläggande krav på behandlingen av personuppgifter 63
11.3 När behandling av personuppgifter är tillåten 65
11.4 Behandling av särskilda kategorier av uppgifter 67
11.4.1 Behandling av känsliga personuppgifter 67
11.4.2 Behandling utan samtycke av känsliga
personuppgifter för forskning och statistik 70
11.4.3 Behandling av uppgifter om lagöverträdelser 75
11.4.4 Behandling av personnummer 76
11.5 Information till den registrerade 78
11.5.1 Information som skall lämnas när uppgifterna
samlas in 78
11.5.2 Information som skall lämnas efter ansökan 81
11.6 Korrigering av personuppgifter 86
11.7 Automatiserade beslut 88
11.8 Säkerheten vid behandlingen 90
11.9 Överföring av personuppgifter utanför EES 93
12 Anmälningsskyldighet och upplysningar till allmänheten om
behandlingar 97
13 Tillsynsmyndighetens befogenheter 100
14 Skadestånd och straff 105
15 Ikraftträdande- och övergångsbestämmelser 109
16 Övriga frågor 112
16.1 Regler i den nuvarande datalagen som flyttas till andra
lagar 112
16.2 Följdändringar 113
17 Ekonomiska konsekvenser av förslaget 114
18 Författningskommentar 115
18.1 Förslaget till personuppgiftslag 115
18.2 Förslaget till lag om ändring i sekretesslagen (1980:100) 147
18.3 Förslaget till lag om ändring i brottsbalken 149
18.4 Förslaget till lag om ändring i regeringsformen 149
18.5 Förslaget till lag om ändring i personuppgiftslagen
(0000:000) 149
Bilaga 1 EG-direktivet om personuppgifter 151
Bilaga 2 Datalagskommitténs sammanfattning av sitt betänkande
Integritet – Offentlighet – Informationsteknik
(SOU 1997:39) såvitt avser frågan om en ny datalag 183
Bilaga 3 Datalagskommitténs förslag till lagtext 187
Bilaga 4 Sammanfattning av Statskontorets rapport Konsekvens-
analys av Datalagskommitténs betänkande SOU 1997:39
(Rapport 1997:11) 204
Bilaga 5 Förteckning över remissinstanser 206
Bilaga 6 Lagrådsremissens lagförslag 208
Bilaga 7 Lagrådets yttrande 231
Utdrag ur protokoll vid regeringssammanträde den 8 december 1997 246
Rättsdatablad 247
1 Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. personuppgiftslag,
2. lag om ändring i sekretesslagen (1980:100),
3. lag om ändring i brottsbalken,
4. lag om ändring i regeringsformen,
5. lag om ändring i personuppgiftslagen (0000:0000).
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till personuppgiftslag
Härigenom föreskrivs1 följande.
Allmänna bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot att deras
personliga integritet kränks genom behandling av personuppgifter.
Avvikande bestämmelser i annan författning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven bety-
delse.
Beteckning
Betydelse
Behandling (av person-
uppgifter)
Varje åtgärd eller serie av åtgärder som vidtas
i fråga om personuppgifter, vare sig det sker
på automatisk väg eller inte, t.ex. insamling,
registrering, organisering, lagring, bearbetning
eller ändring, återvinning, inhämtande, an-
vändning, utlämnande genom översändande,
spridning eller annat tillhandahållande av
uppgifter, sammanställning eller samkörning,
blockering, utplåning eller förstöring.
Blockering (av person-
uppgifter)
En åtgärd som vidtas för att personuppgifterna
skall vara förknippade med information om att
de är spärrade och om anledningen till spärren
och för att personuppgifterna inte skall lämnas
ut till tredje man annat än med stöd av 2 kap.
tryckfrihetsförordningen.
Mottagare
Den till vilken personuppgifter lämnas ut. När
personuppgifter lämnas ut för att en myndighet
skall kunna utföra sådan tillsyn, kontroll eller
revision som den är skyldig att sköta, anses
dock inte myndigheten som mottagare.
Personuppgifter
All slags information som direkt eller indirekt
kan hänföras till en fysisk person som är i li-
vet.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande av
den personuppgiftsansvarige, självständigt
skall se till att personuppgifter behandlas på ett
korrekt och lagligt sätt.
Den registrerade
Den som en personuppgift avser.
Samtycke
Varje slag av frivillig, särskild och otvetydig
viljeyttring genom vilken den registrerade,
efter att ha fått information, godtar behandling
av personuppgifter som rör honom eller henne.
Tillsynsmyndigheten
Den myndighet som regeringen utser för att
utöva tillsyn.
Tredje land
En stat som inte ingår i Europeiska unionen
eller är ansluten till Europeiska ekonomiska
samarbetsområdet.
Tredje man
Någon annan än den registrerade, den person-
uppgiftsansvarige, personuppgiftsombudet,
personuppgiftsbiträdet och sådana personer
som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar har
befogenhet att behandla personuppgifter.
Tillämpningsområde
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable-
rade i Sverige.
Lagen tillämpas också när den personuppgiftsansvarige är etablerad i
tredje land men för behandlingen av personuppgifter använder sig av
utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om
utrustningen bara används för att överföra uppgifter mellan ett tredje land
och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall den person-
uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige.
Vad som anges i denna lag om den personuppgiftsansvarige skall också
gälla för företrädaren.
Behandling av personuppgifter som omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt
eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om upp-
gifterna ingår i eller är avsedda att ingå i en strukturerad samling av
personuppgifter som är tillgängliga för sökning eller sammanställning
enligt särskilda kriterier.
Undantag för privat behandling av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur.
Förhållandet till tryck- och yttrandefriheten
7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck-
frihetsförordningen eller yttrandefrihetsgrundlagen.
Bestämmelserna i 9–29 och 33–44 §§ samt 45 § första stycket och
47 –49 §§ skall inte tillämpas på sådan behandling av personuppgifter
som sker uteslutande för journalistiska ändamål eller konstnärligt eller
litterärt skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-
ordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-
varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-
myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myn-
dighets användning av personuppgifter i allmänna handlingar.
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med
god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn
till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nöd-
vändigt, aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till
ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen.
I fråga om första stycket d gäller dock att en behandling av person-
uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall
anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter får bevaras för historiska, statistiska eller veten-
skapliga ändamål under längre tid än som sagts i första stycket i.
Personuppgifterna får dock i sådana fall inte bevaras under en längre tid
än vad som behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska eller veten-
skapliga ändamål får användas för att vidta åtgärder i fråga om den
registrerade bara om den registrerade har lämnat sitt samtycke eller det
finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
När behandling av personuppgifter är tillåten
10 § Personuppgifter får behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen eller om behandlingen är nödvändig för
att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som
den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl-
dighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgifts-
ansvarige eller hos en sådan tredje man till vilken personuppgifterna läm-
nas ut skall kunna tillgodoses, om detta intresse väger tyngre än den
registrerades intresse av skydd mot kränkning av den personliga
integriteten.
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-
nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli-
gen har anmält att han eller hon motsätter sig sådan behandling.
Samtycke återkallas
12 § I de fall då behandling av personuppgifter bara är tillåten när den
registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-
gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare
personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte
rätt att motsätta sig sådan behandling av personuppgifter som är tillåten
enligt denna lag.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör
hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena betecknas i
denna lag som känsliga personuppgifter.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person-
uppgifter i de fall som anges i 15–19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personupp-
gifter över huvud taget är tillåten.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har
lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt
offentliggjort uppgifterna.
Nödvändig behandling
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-
dig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter
eller utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna
skyddas och den registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a får lämnas ut till
tredje man bara om det inom arbetsrätten finns en skyldighet för den
personuppgiftsansvarige att göra det eller den registrerade uttryckligen
har samtyckt till utlämnandet.
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller
fackligt syfte får inom ramen för sin verksamhet behandla känsliga
personuppgifter om organisationens medlemmar och sådana andra
personer som på grund av organisationens syfte har regelbunden kontakt
med den. Känsliga personuppgifter får dock lämnas ut till tredje man
bara om den registrerade uttryckligen har samtyckt till det.
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas för hälso- och sjuk-
vårdsändamål, om behandlingen är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet
och har tystnadsplikt får även behandla känsliga personuppgifter som
omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en
liknande tystnadsplikt och som har fått känsliga personuppgifter från
verksamhet inom hälso- och sjukvårdsområdet.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-
ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om
samhällsintresset av det forsknings- eller statistikprojekt där behand-
lingen ingår klart väger över den risk för otillbörligt intrång i enskildas
personliga integritet som behandlingen kan innebära.
Har behandlingen godkänts av en forskningsetisk kommitté, skall
förutsättningarna enligt första stycket anses uppfyllda. Med
forskningsetisk kommitté avses ett sådant särskilt organ för prövning av
forskningsetiska frågor som har företrädare för såväl det allmänna som
forskningen och som är knutet till ett universitet eller en högskola eller
till någon annan instans som i mera betydande omfattning finansierar
forskning.
Personuppgifter får lämnas ut för att användas i sådana projekt som
avses i första stycket, om inte något annat följer av regler om sekretess
och tystnadsplikt.
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela före-
skrifter om ytterligare undantag från förbudet i 13 §, om det behövs med
hänsyn till ett viktigt allmänt intresse.
Uppgifter om lagöverträdelser m.m.
21 § Det är förbjudet för andra än myndigheter att behandla person-
uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,
straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Regeringen eller den myndighet som regeringen bestämmer får i fråga
om automatiserad behandling av personuppgifter meddela föreskrifter
om undantag från förbudet i första stycket.
Regeringen får i enskilda fall besluta om undantag från förbudet i
första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta
sådana beslut.
Behandling av personnummer
22 § Uppgifter om personnummer får utan samtycke behandlas bara när
det är klart motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant
23 § Om uppgifter om en person samlas in från personen själv, skall den
personuppgiftsansvarige i samband därmed självmant lämna den re-
gistrerade information om behandlingen av uppgifterna.
24 § Om personuppgifterna har samlats in från någon annan källa än den
registrerade, skall den personuppgiftsansvarige självmant lämna den
registrerade information om behandlingen av uppgifterna när de
registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver
informationen dock inte ges förrän uppgifterna lämnas ut för första
gången.
Information enligt första stycket behöver inte lämnas, om det finns be-
stämmelser om registrerandet eller utlämnandet av personuppgifterna i en
lag eller någon annan författning.
Information behöver inte heller lämnas enligt första stycket, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
betsinsats. Om uppgifterna används för att vidta åtgärder som rör den
registrerade, skall dock information lämnas senast i samband med att så
sker.
Den information som skall lämnas självmant
25 § Information enligt 23 eller 24 § skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den registrerade skall kunna
ta till vara sina rättigheter i samband med behandlingen, såsom
information om mottagarna av uppgifterna, skyldighet att lämna
uppgifter och rätten att ansöka om information och få rättelse.
Information behöver dock inte lämnas om sådant som den registrerade
redan känner till.
Information skall lämnas efter ansökan
26 § Den personuppgiftsansvarige är skyldig att till var och en som
ansöker om det en gång per kalenderår gratis lämna besked om person-
uppgifter som rör den sökande behandlas eller ej. Behandlas sådana upp-
gifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut.
En ansökan enligt första stycket skall göras skriftligen hos den person-
uppgiftsansvarige och vara undertecknad av den sökande själv. Infor-
mation enligt första stycket skall lämnas inom en månad från det att
ansökan gjordes. Om det finns särskilda skäl för det, får information
dock lämnas senast fyra månader efter det att ansökan gjordes.
Information enligt första stycket behöver inte lämnas om person-
uppgifter i löpande text som inte fått sin slutliga utformning när ansökan
gjordes eller som utgör minnesanteckning eller liknande. Vad som nu
sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller
om uppgifterna behandlas enbart för historiska, statistiska eller veten-
skapliga ändamål eller, när det gäller löpande text som inte fått sin
slutliga utformning, om uppgifterna har behandlats under längre tid än ett
år.
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-
ning eller i beslut som har meddelats med stöd av författning att
uppgifter inte får lämnas ut till den registrerade gäller inte
bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en
myndighet får därvid i motsvarande fall som avses i sekretesslagen
(1980:100) vägra att lämna ut uppgifter till den registrerade.
Rättelse
28 § Den personuppgiftsansvarige är skyldig att på begäran av den
registrerade snarast rätta, blockera eller utplåna sådana personuppgifter
som inte har behandlats i enlighet med denna lag eller föreskrifter som
har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också
underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,
om den registrerade begär det eller om mera betydande skada eller
olägenhet för den registrerade skulle kunna undvikas genom en under-
rättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor
arbetsinsats.
Automatiserade beslut
29 § Om ett beslut som har rättsliga följder för en fysisk person eller
annars har märkbara verkningar för den fysiska personen, grundas enbart
på automatiserad behandling av sådana personuppgifter som är avsedda
att bedöma egenskaper hos personen, skall den som berörs av beslutet ha
möjlighet att på begäran få beslutet omprövat av någon person.
Var och en som varit föremål för ett sådant beslut som avses i första
stycket har rätt att på ansökan få information från den personupp-
giftsansvarige om vad som har styrt den automatiserade behandling som
lett fram till beslutet. I fråga om ansökan och lämnandet av information
gäller i tillämpliga delar bestämmelserna i 26 §.
Säkerheten vid behandling
Personer som behandlar personuppgifter
30 § Ett personuppgiftsbiträde och den eller de personer som arbetar
under biträdets eller den personuppgiftsansvariges ledning får behandla
personuppgifter bara i enlighet med instruktioner från den person-
uppgiftsansvarige.
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-
ling av personuppgifter för den personuppgiftsansvariges räkning. I det
avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får
behandla personuppgifterna bara i enlighet med instruktioner från den
personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att
vidta de åtgärder som avses i 31 § första stycket.
Om det i lag eller annan författning finns särskilda bestämmelser om
behandlingen av personuppgifter i det allmännas verksamhet i frågor som
avses i första stycket, skall dessa gälla i stället för vad som sägs i första
stycket.
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som be-
handlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig
med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde,
skall den personuppgiftsansvarige förvissa sig om att personuppgifts-
biträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till
att personuppgiftsbiträdet verkligen vidtar åtgärderna.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka säker-
hetsåtgärder som den personuppgiftsansvarige skall vidta enligt 31 §.
I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att
förena beslutet med vite.
Överföring av personuppgifter till tredje land
Förbud mot överföring av personuppgifter till tredje land
33 § Det är förbjudet att till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring av personuppgifter
för behandling i tredje land.
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till
tredje land, om den registrerade otvetydigt har samtyckt till överföringen
eller när överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgöras eller åtgärder som den registrerade begärt skall
kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
d) vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över personuppgifter för användning
enbart i en stat som har anslutit sig till Europarådets konvention om
skydd för enskilda vid automatisk databehandling av personuppgifter.
35 § Regeringen får i fråga om automatiserad behandling av person-
uppgifter meddela föreskrifter om undantag från förbudet i 33 § för
överföring av personuppgifter till vissa stater. Regeringen får också i
fråga om automatiserad behandling av personuppgifter meddela före-
skrifter om att överföring av personuppgifter till tredje land är tillåten,
om överföringen regleras av ett avtal som ger tillräckliga garantier till
skydd för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare
i fråga om automatiserad behandling av personuppgifter meddela före-
skrifter om undantag från förbudet i 33 §, om det behövs med hänsyn till
ett viktigt allmänt intresse eller om det finns tillräckliga garantier till
skydd för de registrerades rättigheter.
Regeringen får under de förutsättningar som nämns i andra stycket i
enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis auto-
matiserad omfattas av anmälningsskyldighet. Den personuppgiftsansva-
rige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en
sådan behandling eller en serie av sådana behandlingar med samma eller
liknande ändamål genomförs.
Om den personuppgiftsansvarige utser ett personuppgiftsombud skall
detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett
personuppgiftsombud skall anmälas till tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer får med-
dela föreskrifter om undantag från anmälningsskyldigheten enligt första
stycket för sådana typer av behandlingar som sannolikt inte kommer att
leda till otillbörligt intrång i den personliga integriteten.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten
att ett personuppgiftsombud utsetts och vem det är, behöver anmälan
enligt 36 § första stycket inte göras.
Personuppgiftsombudets uppgifter
38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till
att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt
och korrekt sätt och i enlighet med god sed samt påpeka eventuella
brister för honom eller henne.
Har personuppgiftsombudet anledning att misstänka att den person-
uppgiftsansvarige bryter mot de bestämmelser som gäller för behand-
lingen av personuppgifter och vidtas inte rättelse så snart det kan ske
efter påpekande, skall personuppgiftsombudet anmäla förhållandet till
tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-
digheten vid tveksamhet om hur de bestämmelser som gäller för behand-
lingen av personuppgifter skall tillämpas.
39 § Personuppgiftsombudet skall föra en förteckning över de be-
handlingar som den personuppgiftsansvarige genomför och som skulle
ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.
Förteckningen skall omfatta åtminstone de uppgifter som en anmälan
enligt 36 § skulle ha innehållit.
40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när
det finns anledning att misstänka att behandlade personuppgifter är
felaktiga eller ofullständiga.
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
41 § Regeringen får meddela föreskrifter om att sådana automatiserade
behandlingar av personuppgifter som innebär särskilda risker för
otillbörligt intrång i den personliga integriteten skall för förhandskontroll
anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om
regeringen har meddelat sådana föreskrifter, gäller inte undantaget från
anmälningsskyldigheten enligt 37 §.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige skall till var och en som begär det
skyndsamt och på lämpligt sätt lämna upplysningar om sådana
automatiserade eller andra behandlingar av personuppgifter som inte har
anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som
en anmälan enligt 36 § första stycket skulle ha omfattat. Den person-
uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda
uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En
personuppgiftsansvarig som inte är myndighet får därvid i motsvarande
fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.
Tillsynsmyndighetens befogenheter
43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personupp-
gifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få
tillräckligt underlag för att konstatera att behandlingen av person-
uppgifter är laglig, får myndigheten vid vite förbjuda den person-
uppgiftsansvarige att behandla personuppgifter på något annat sätt än
genom att lagra dem.
45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas
eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-
nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.
Går det inte att få rättelse på något annat sätt eller är saken brådskande,
får myndigheten vid vite förbjuda den personuppgiftsansvarige att fort-
sätta att behandla personuppgifterna på något annat sätt än genom att
lagra dem.
Om den personuppgiftsansvarige inte frivilligt följer ett beslut om
säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsynsmyn-
digheten föreskriva vite.
46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §,
skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken
är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett
tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när
yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del-
givning enligt 12 § delgivningslagen (1970:428) får användas bara om
det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på
annat sätt håller sig undan.
47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Skadestånd
48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada
och kränkning av den personliga integriteten som en behandling av
personuppgifter i strid med denna lag har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,
om den personuppgiftsansvarige visar att felet inte berodde på honom
eller henne.
Straff
49 § Till böter eller fängelse i högst sex månader eller, om brottet är
grovt, till fängelse i högst två år döms den som uppsåtligen eller av
oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som före-
skrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller
till tillsynsmyndigheten när myndigheten begär information enligt
43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av vites-
föreläggandet.
Närmare föreskrifter
50 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling
av personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda
uppgifter har ändrats.
Överklagande
51 § Tillsynsmyndighetens beslut enligt denna lag om annat än före-
skrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om
det överklagas.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)
skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga
om överklagande av beslut som har meddelats före den 24 oktober
1998.
2. I fråga om behandling av personuppgifter som påbörjats före ikraft-
trädandet eller behandling som utförs för ett visst bestämt ändamål om
behandling för ändamålet påbörjats före ikraftträdandet skall till och
med den 30 september 2001 den äldre lagen tillämpas i stället för den
nya. Detta gäller även bestämmelserna i den äldre lagen om över-
klagande.
3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja
tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-
ling av personuppgifter som påbörjats före ikraftträdandet eller ma-
nuell behandling som utförs för ett visst bestämt ändamål om manuell
behandling för ändamålet påbörjats före ikraftträdandet.
4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk
forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen
börja tillämpas först när uppgifterna behandlas på något annat sätt.
Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas.
De angivna bestämmelserna i den nya lagen skall dock inte till följd av
vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.
5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har
trätt i kraft för den aktuella behandlingen.
6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för
den aktuella behandlingen skall gälla även efter ikraftträdandet om
samtycket uppfyller kraven i den nya lagen.
7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit
in innan den nya lagen trätt i kraft för den aktuella behandlingen men
har utdraget inte expedierats före ikraftträdandet skall framställningen
anses som en ansökan enligt 26 § i den nya lagen.
8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om
den omständighet som yrkandet hänför sig till har inträffat efter det att
den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall
tillämpas de äldre bestämmelserna.
2.2 Förslag till lag om ändring i sekretesslagen
(1980:100)
Härigenom föreskrivs i fråga om sekretesslagen (1980:100)
dels att 7 kap. 16 §, 9 kap. 6 och 7 §§, 14 kap. 3 § samt 15 kap. 11 §
skall ha följande lydelse,
dels att det i lagen skall införas en ny paragraf, 15 kap. 14 §, av
följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
7 kap.
16 §
Sekretess gäller för person-
uppgift i personregister som avses i
datalagen (1973:289), om det kan
antas att utlämnande skulle medföra
att uppgiften används för auto-
matisk databehandling i strid med
datalagen.
Sekretess gäller för person-
uppgift, om det kan antas att ett
utlämnande skulle medföra att
uppgiften behandlas i strid med
personuppgiftslagen (0000:000).
Sekretess för uppgift som anges i
första stycket gäller också, om det
kan antas att utlämnande skulle
medföra att uppgiften används för
automatisk databehandling i utlan-
det och att detta medför otillbörligt
intrång i personlig integritet. Vid
tillämpning av denna bestämmelse
ankommer det på Datainspektionen
att pröva fråga om utlämnande.
Sekretess enligt detta stycke gäller
dock ej, om uppgiften skall använ-
das för automatisk databehandling
enbart i en stat som har anslutit sig
till Europarådets konvention om
skydd för enskilda vid automatisk
databehandling av personuppgifter.
9 kap.
6 §
Sekretess gäller hos Datainspek-
tionen i ärende om tillstånd eller
tillsyn, som enligt lag ankommer på
inspektionen, och i ärende om så-
dant bistånd som avses i Europarå-
dets konvention om skydd för en-
skilda vid automatisk databehand-
ling av personuppgifter, för uppgift
om enskilds personliga eller eko-
nomiska förhållanden, om det kan
antas att den enskilde eller någon
honom närstående lider skada eller
men om uppgiften röjs. Har upp-
gift, för vilken gäller sekretess en-
ligt vad nu har sagts, lämnats till
regeringen eller Justitiekanslern,
gäller sekretessen också där.
Sekretess gäller hos Datainspek-
tionen i ärende om tillstånd eller
tillsyn, som enligt lag eller annan
författning ankommer på inspek-
tionen, och i ärende om sådant bi-
stånd som avses i Europarådets
konvention om skydd för enskilda
vid automatisk databehandling av
personuppgifter, för uppgift om
enskilds personliga eller ekono-
miska förhållanden, om det kan
antas att den enskilde eller någon
honom närstående lider skada eller
men om uppgiften röjs. Har upp-
gift, för vilken gäller sekretess en-
ligt vad nu har sagts, lämnats till
Justitiekanslern, gäller sekretessen
också där.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio
år.
7 §
Sekretess gäller i myndighets
verksamhet för enbart teknisk
bearbetning eller teknisk lagring för
annans räkning av personregister
som avses i datalagen (1973:289),
för uppgift om enskilds personliga
eller ekonomiska förhållanden.
Sekretess gäller i myndighets
verksamhet för enbart teknisk
bearbetning eller teknisk lagring för
annans räkning av personuppgifter
som avses i personuppgiftslagen
(0000:000), för uppgift om enskilds
personliga eller ekonomiska
förhållanden.
14 kap.
3 §1
Utöver vad som följer av 1 och 2 §§ får sekretessbelagd uppgift
lämnas till myndighet, om det är uppenbart att intresset av att uppgiften
lämnas har företräde framför det intresse som sekretessen skall skydda.
Första stycket gäller inte i fråga
om sekretess enligt 7 kap. 1–6, 33
och 34 §§, 8 kap. 8 § första stycket
och 9 och 15 §§ samt 9 kap. 4 och
7 §§, 8 § första och andra styckena
och 9 §. Inte heller gäller första
stycket, om utlämnandet strider mot
lag eller förordning eller, såvitt
angår uppgift i personregister
enligt datalagen (1973:289), före-
skrift som har meddelats med stöd
av datalagen.
Första stycket gäller inte i fråga
om sekretess enligt 7 kap. 1–6, 33
och 34 §§, 8 kap. 8 § första stycket
och 9 och 15 §§ samt 9 kap. 4 och
7 §§, 8 § första och andra styckena
och 9 §. Inte heller gäller första
stycket, om utlämnandet strider mot
lag eller förordning eller föreskrift
som har meddelats med stöd av
personuppgiftslagen (0000:000).
15 kap.
11 §
Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av
de register, förteckningar eller andra anteckningar hos myndigheten som
förs med hjälp av automatisk databehandling (ADB-register). Sådan
skyldighet föreligger dock inte i fråga om ADB-register som inte till
någon del anses som allmän handling hos myndigheten. Myndigheten är
inte heller skyldig att tillhandahålla beskrivning som uppenbarligen
skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna
handlingar hos myndigheten.
Beskrivning som avses i första stycket skall ge upplysning om
1. ADB-registrets benämning,
2. ADB-registrets ändamål,
3. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång
till och på vilket sätt dessa uppgifter normalt inhämtas,
4. hos vilka andra myndigheter ADB-registret är tillgängligt för
överföring till läsbar form,
5. vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan
få utnyttja hos myndigheten,
6. vilka bestämmelser om sekretess som myndigheten vanligen skall
tillämpa på uppgifter i ADB-registret,
7. vem som hos myndigheten kan lämna närmare upplysningar om ADB-
registret och dess användning i myndighetens verksamhet,
8. rätt till försäljning av person-
uppgifter i personregister som
avses i datalagen (1973:289).
8. rätt till försäljning av person-
uppgifter.
I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om
det behövs för att beskrivningen i övriga delar skall kunna företes för
allmänheten.
14 §
Om en myndighet för
handläggning av ett mål eller
ärende använder sig av en upptag-
ning för automatisk databehand-
ling, skall upptagningen tillföras
handlingarna i målet eller ärendet i
läsbar form, om inte särskilda skäl
föranleder annat.
1. Denna lag träder i kraft den 24 oktober 1998.
2. I fråga om behandling av personuppgifter för vilken datalagen
(1973:289) är tillämplig efter den 24 oktober 1998 gäller dock
fortfarande 7 kap. 16 §, 9 kap. 6 och 7 § samt 14 kap. 3 § i deras äldre
lydelse.
2.3 Förslag till lag om ändring i brottsbalken
Härigenom föreskrivs i fråga om brottsbalken
dels att 4 kap. 10 § skall ha följande lydelse,
dels att det i balken skall införas en ny bestämmelse, 4 kap. 9 c §, av
följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
4 kap.
9 c §
Den som i annat fall än som sägs
i 8 och 9 §§ olovligen bereder sig
tillgång till upptagning för auto-
matisk databehandling eller olov-
ligen ändrar eller utplånar eller i
register för in sådan upptagning
döms för d a t a i n t r å n g till
böter eller fängelse i högst två år.
Med upptagning avses härvid även
uppgifter som är under befordran
via elektroniskt eller annat liknande
hjälpmedel för att användas för
automatisk databehandling.
10 §
För försök, förberedelse eller
stämpling till människorov, olaga
frihetsberövande eller försättande i
nödläge, för underlåtenhet att av-
slöja sådant brott, så ock för försök
eller förberedelse till olaga tvång
som är grovt dömes till ansvar
enligt vad i 23 kap. stadgas.
För försök, förberedelse eller
stämpling till människorov, olaga
frihetsberövande eller försättande i
nödläge och för underlåtenhet att
avslöja sådant brott döms till ansvar
enligt vad som sägs i 23 kap.
Detsamma gäller för försök eller
förberedelse till olaga tvång som är
grovt eller till dataintrång som om
det fullbordats inte skulle ha varit
att anse som ringa.
Denna lag träder i kraft den 24 oktober 1998.
2.4 Förslag till lag om ändring i regeringsformen
Härigenom föreskrivs att 8 kap. 7 § regeringsformen skall ha följande ly-
delse.
Nuvarande lydelse
Föreslagen lydelse
8 kap.
7 §1
Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag
genom förordning meddela föreskrifter om annat än skatt, om
föreskrifterna avser något av följande ämnen:
1. skydd för liv, personlig säkerhet eller hälsa,
2. utlännings vistelse i riket,
3. in- eller utförsel av varor, av pengar eller av andra tillgångar,
tillverk-
ning, kommunikationer, kreditgivning, näringsverksamhet,
ransonering, återanvändning och återvinning av material, utformning
av byggnader, anläggningar och bebyggelsemiljö eller tillståndsplikt i
fråga om åtgärder med byggnader och anläggningar,
4. jakt, fiske, djurskydd eller natur- och miljövård,
5. trafik eller ordningen på allmän plats,
6. undervisning och utbildning,
7. förbud att röja sådant som någon har erfarit i allmän tjänst eller under
utövande av tjänsteplikt,
8. skydd för personlig integritet vid
registrering av uppgifter med
hjälp av automatisk databehand-
ling.
8. skydd för personlig integritet vid
behandling av personuppgifter.
Bemyndigande som avses i första stycket medför ej rätt att meddela
föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag,
som innehåller bemyndigande med stöd av första stycket, föreskriva även
annan rättsverkan än böter för överträdelse av föreskrift som regeringen
meddelar med stöd av bemyndigandet.
Denna lag träder i kraft den 1 januari 1999.
2.5 Förslag till lag om ändring i personuppgiftslagen
(0000:000)
Härigenom föreskrivs1 att 20, 21, 35, 41 och 50 §§ personuppgiftslagen
(0000:000) skall ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
20 §
Regeringen eller den myndighet
som regeringen bestämmer får i
fråga om automatiserad behandling
av personuppgifter meddela före-
skrifter om ytterligare undantag
från förbudet i 13 §, om det behövs
med hänsyn till ett viktigt allmänt
intresse.
Regeringen eller den myndighet
som regeringen bestämmer får
meddela föreskrifter om ytterligare
undantag från förbudet i 13 §, om
det behövs med hänsyn till ett
viktigt allmänt intresse.
21 §
Det är förbjudet för andra än myndigheter att behandla personuppgif-
ter om lagöverträdelser som innefattar brott, domar i brottmål, straff-
processuella tvångsmedel eller administrativa frihetsberövanden.
Regeringen eller den myndighet
som regeringen bestämmer får i
fråga om automatiserad behandling
av personuppgifter meddela före-
skrifter om undantag från förbudet i
första stycket.
Regeringen eller den myndighet
som regeringen bestämmer får
meddela föreskrifter om undantag
från förbudet i första stycket.
Regeringen får i enskilda fall besluta om undantag från förbudet i
första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta
sådana beslut.
35 §
Regeringen får i fråga om auto-
matiserad behandling av person-
uppgifter meddela föreskrifter om
undantag från förbudet i 33 § för
överföring av personuppgifter till
vissa stater. Regeringen får också i
fråga om automatiserad behandling
av personuppgifter meddela före-
skrifter om att överföring av
personuppgifter till tredje land är
tillåten, om överföringen regleras
av ett avtal som ger tillräckliga
garantier till skydd för de
registrerades rättigheter.
Regeringen får meddela före-
skrifter om undantag från förbudet i
33 § för överföring av person-
uppgifter till vissa stater.
Regeringen får också meddela före-
skrifter om att överföring av
personuppgifter till tredje land är
tillåten, om överföringen regleras
av ett avtal som ger tillräckliga
garantier till skydd för de
registrerades rättigheter.
Regeringen eller den myndighet
som regeringen bestämmer får
vidare i fråga om automatiserad
behandling av personuppgifter,
meddela föreskrifter om undantag
från förbudet i 33 §, om det behövs
med hänsyn till ett viktigt allmänt
intresse eller om det finns till-
räckliga garantier till skydd för de
registrerades rättigheter.
Regeringen eller den myndighet
som regeringen bestämmer får
vidare meddela föreskrifter om
undantag från förbudet i 33 §, om
det behövs med hänsyn till ett
viktigt allmänt intresse eller om det
finns tillräckliga garantier till skydd
för de registrerades rättigheter.
Regeringen får under de förutsättningar som nämns i andra stycket i
enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana beslut.
41 §
Regeringen får meddela före-
skrifter om att sådana automa-
tiserade behandlingar av person-
uppgifter som innebär särskilda
risker för otillbörligt intrång i den
personliga integriteten skall för
förhandskontroll anmälas till till-
synsmyndigheten enligt 36 § tre
veckor i förväg. Om regeringen har
meddelat sådana föreskrifter, gäller
inte undantaget från anmälnings-
skyldigheten enligt 37 §.
Regeringen får meddela före-
skrifter om att sådana behandlingar
av personuppgifter som innebär
särskilda risker för otillbörligt
intrång i den personliga integriteten
skall för förhandskontroll anmälas
till tillsynsmyndigheten enligt 36 §
tre veckor i förväg. Om regeringen
har meddelat sådana föreskrifter,
gäller inte undantaget från an-
mälningsskyldigheten enligt 37 §.
50 §
Regeringen eller den myndighet
som regeringen bestämmer får i
fråga om automatiserad behandling
av personuppgifter meddela
närmare föreskrifter om
Regeringen eller den myndighet
som regeringen bestämmer får
meddela närmare föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling
av personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter
har ändrats.
Denna lag träder i kraft den 1 januari 1999.
3
3 Ärendet och dess beredning
Datalagen (1973:289) syftar till att skydda den enskilde mot otillbörligt
intrång i den personliga integriteten till följd av att personuppgifter
registreras med hjälp av automatisk databehandling. Bland annat den
tekniska utvecklingen under de senaste årtiondena har gjort att den
nuvarande lagen från 1973 i dag är föråldrad såväl innehållsmässigt som
till sin lagtekniska utformning. Det behövs därför en ny, modern
lagstiftning om personuppgifter som tillförsäkrar den enskilde ett fullgott
integritetsskydd i IT-samhället och som inte hämmar samhällsut-
vecklingen eller försvårar förverkligandet av andra viktiga mål.
Samtidigt har Sverige att – i enlighet med skyldigheterna som medlem i
Europeiska unionen – i svensk lagstiftning genomföra
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober
1995 om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter, se bilaga 1.
Efter beslut av regeringen den 15 juni 1995 tillkallades en
parlamentariskt sammansatt kommitté med uppgift att dels göra en total
revision av datalagen och analysera på vilket sätt EG-direktivet om
personuppgifter skall genomföras i svensk lagstiftning, dels lämna
förslag till anpassning till den nya tekniken av grundlagsreglerna om
allmänna handlingars offentlighet. Kommittén antog namnet Datalags-
kommittén. Den 2 april 1997 avgav kommittén betänkandet Integritet –
Offentlighet – Informationsteknik (SOU 1997:39). Kommitténs samman-
fattning av betänkandet såvitt avser frågan om en ny datalag finns i
bilaga 2. Betänkandet innehåller förslag till en ny persondatalag,
tillsammans med vissa konsekvensändringar i sekretesslagen (1980:100),
och förslag till ändringar i 2 kap. tryckfrihetsförordningen (TF) samt viss
anknytande lagstiftning. Kommitténs förslag till persondatalag m.m.
finns i bilaga 3.
Regeringen beslutade den 17 april 1997 att uppdra åt Statskontoret att
analysera de ekonomiska konsekvenserna av Datalagskommitténs förslag
i betänkandet och att, i de fall förslagen leder till utgiftsökningar, lämna
förslag till finansiering. Uppdraget var främst föranlett av förslagen till
ändringar i 2 kap. TF. Den 17 juni 1997 avgav Statskontoret rapporten
Konsekvensanalys av Datalagskommitténs betänkande SOU 1997:39
(Rapport 1997:11). En sammanfattning av rapporten finns i bilaga 4.
Datalagskommitténs betänkande och Statskontorets rapport har
remissbehandlats. En förteckning över remissinstanserna finns i bilaga 5.
Sammanställningar av remissvaren finns tillgängliga i Justitiede-
partementet (dnr Ju97/1280).
Regeringen tar i detta ärende bara upp frågan om en ny datalag och
vissa därmed sammanhängande frågor. Frågan om en anpassning av
2 kap. TF till den nya tekniken kräver enligt regeringens mening
ytterligare överväganden. Regeringen kommer inom en snar framtid att ta
ställning till hur frågan lämpligen skall beredas vidare. Ett stort antal
författningar, t.ex. kreditupplysningslagen (1973:1173), måste anpassas
till direktivet och till den nya lagen. Detta arbete bereds vidare inom
Regeringskansliet.
Lagrådet
Regeringen beslutade den 30 oktober 1997 att inhämta Lagrådets
yttrande över de lagförslag som finns i bilaga 6. Lagrådets synpunkter på
förslaget behandlas i samband med att sakfrågorna diskuteras i
motiveringen eller i anslutning till att enskilda bestämmelser
kommenteras i författningskommentaren. Lagrådets yttrande finns i
bilaga 7. Vissa redaktionella och språkliga ändringar har gjorts efter det
att Lagrådet yttrat sig. Ett fåtal mindre justeringar i sak har också gjorts.
4 Bakgrund och utgångspunkter
4.1 Reformbehovet
Utvecklingen inom informationstekniken har gått rasande fort under de
senaste årtiondena, och inget talar för att den kommer att hejdas eller
mattas inom den närmaste framtiden. Tekniken blir bara kraftfullare,
enklare att hantera och billigare. Det gör att den blir tillgänglig för allt
fler. Samtidigt blir det allt enklare att ta del av och sprida datorlagrad
information oavsett var informationen finns. Sätten att lagra och söka
informationen blir allt mer flexibla.
Den nya informationsteknikens möjligheter har gjort att även
hanteringen av personanknuten information ökat, t.ex. sådan information
som genereras och registreras automatiskt vid användningen av datorer.
Medvetenheten har också ökat om att fler och fler uppgifter finns
tillgängliga på allt fler ställen. Samtidigt börjar dock alltmer raffinerade
metoder användas för att samla in och bearbeta personanknuten
information. Den som använder Internet eller moderna kort för t.ex.
inpassering, bussresor, betalning eller olika bonussystem kan lätt på ett
omedvetet sätt lämna s.k. elektroniska spår som kan användas för att
kartlägga olika egenskaper hos individen. Också utvecklingen av annan
teknik och kunskap än informationsteknik kan leda till en ökad
registrering av personanknuten information. Med DNA-teknik kan t.ex.
tidigare förborgad information om personliga förhållanden göras till-
gänglig.
Den nya teknikens möjligheter kan således lätt användas på ett så
inträngande, övervakande eller annars kränkande sätt som inte bör
tolereras i ett demokratiskt samhälle som värnar om individen. Individen
kan av samhället kräva ett skydd mot integritetskränkningar. Samtidigt
måste individens skydd hela tiden vägas mot andra grundläggande demo-
kratiska rättigheter och värden, t.ex. informationsfriheten och yttrande-
friheten. Man måste också beakta de helt legitima behov som finns av att
använda personanknuten information i ett samhälle av sådan storlek och
komplexitet som det vi lever i. I varje välfärdssamhälle med sociala
ambitioner är det t.ex. nödvändigt att i viss utsträckning använda person-
anknuten information för att identifiera behov och möjligheter hos
invånarna och styra samhällsutvecklingen mot de uppställda
demokratiska målen.
Det är således många svåra avvägningar som måste göras vid utform-
ningen av en lagstiftning till skydd för den personliga integriteten av-
seende personuppgifter. Härtill kommer att lagstiftningen inte i onödan
bör hindra användningen av ny teknik. Den nya tekniken för inte med sig
bara risker utan också många obestridliga fördelar, som vi måste ta till
vara om Sverige skall kunna behålla och förstärka sin framskjutna
position bland industrinationerna. Sådant som inte kunde göras förr är nu
möjligt tack vare tekniken. Den nya tekniken har redan inneburit en
höjning av livskvaliteten och en ökad frihet för många människor. Det
gryende informationssamhället kan innebära förbättrade möjligheter till
ökad jämställdhet och ett förverkligande av angelägna regionalpolitiska
mål.
Det är uppenbart att den nu föråldrade datalagen från 1973 inte
uppfyller de krav som bör ställas på en lagstiftning till skydd för den
personliga integriteten avseende personuppgifter i dagens och morgon-
dagens samhälle. Ingen har heller i detta lagstiftningsärende ställt sig upp
till försvar för den nuvarande datalagen. Det finns således starka skäl för
att nu införa en ny lagstiftning på området. Den nya lagstiftningen måste
emellertid utformas mot bakgrund av Sveriges skyldigheter gentemot
Europeiska unionen, särskilt EG-direktivet om personuppgifter.
4.2 Den nuvarande datalagen
Grundläggande regler om inrättandet och förandet av personregister med
hjälp av automatisk databehandling finns i dag i datalagen (1973:289).
Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan,
handläggningen hos Datainspektionen, verkställighetsföreskrifter och bi-
stånd till personer som är registrerade utomlands finns i dataförordningen
(1982:480).
Datalagen inleds med en definition av begreppen personuppgift, per-
sonregister, registrerad och registeransvarig (1 §).
Med personuppgift avses upplysningar som avser en enskild person.
Det kan vara upplysningar om namn, personnummer, födelsedatum,
nationalitet, utbildning, familj och anställningsförhållanden. Även andra
typer av upplysningar av mindre personlig karaktär räknas som person-
uppgifter. Enligt lagmotiven avses även uppgifter om en persons
bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav
och upplysningar i övrigt om en persons ekonomiska ställning.
Med personregister förstås register, förteckningar eller andra anteck-
ningar som förs med hjälp av automatisk databehandling (ADB) och som
innehåller personuppgifter som kan hänföras till den som avses med
uppgifterna. Bara register som förs med hjälp av ADB omfattas således
av datalagen. Register som förs med hjälp av annan teknik än ADB faller
i dag utanför lagens tillämpningsområde.
En personuppgift kan hänföras till en viss person antingen direkt ge-
nom själva uppgiften eller med hjälp av en identitetsuppgift som också
ingår i registret. Även register som innehåller identitetsuppgifter av
sådan art att bara den invigde kan utläsa vilka personer som finns
registrerade omfattas av datalagen. Likaså omfattas statistiska uppgifter
där beteckningar som också återfinns på dokument gör det möjligt att
knyta uppgifterna till en viss person.
Med begreppet registrerad avses en enskild person om vilken det
förekommer en personuppgift i ett personregister.
Registeransvarig är den för vars verksamhet ett personregister förs,
om han eller hon förfogar över registret. Såväl fysiska som juridiska
personer och myndigheter kan vara registeransvariga.
Bara den som har anmält sig till Datainspektionen och fått licens får
inrätta och föra personregister (2 §). Datainspektionen granskar inte an-
mälan i sak utan ger bara den registeransvarige ett bevis (licens) om att
anmälan har gjorts samt ett särskilt licensnummer (10 § dataförord-
ningen). En licens berättigar den registeransvarige att föra ett eller flera
personregister. Licens behövs inte för personregister som en enskild per-
son inrättar eller för uteslutande för personligt bruk (2 § 3 st.).
Den som fått licens skall betala en årlig avgift till Datainspektionen.
Inspektionen får, om det finns särskilda skäl, sätta ned eller efterskänka
avgiften. Avgifterna finansierar inspektionens verksamhet.
Med hjälp av ADB för Datainspektionen ett register över licensanmäl-
ningar, licensregistret (3 § dataförordningen). Licensregistret får Datain-
spektionen använda för sin tillsyns- och informationsverksamhet samt
som underlag för uppbörd av licensavgifter.
För vissa typer av register med känsliga uppgifter krävs utöver licens
även ett särskilt tillstånd från Datainspektionen (2 § 2 st. datalagen).
Sådant tillstånd behövs i regel för att inrätta och föra register som inne-
håller
a) i sig känsliga personuppgifter,
b) omdömen om den registrerade,
c) uppgifter om personer som saknar sådan anknytning till den
registeransvarige som följer av medlemskap, anställning,
kundförhållande eller något därmed jämförligt förhållande samt
d) personuppgifter som hämtas in från något annat personregister (s.k.
samkörning), om inte registreringen av uppgifterna eller utlämnandet
av dessa sker med stöd av författning, Datainspektionens beslut eller
den registrerades medgivande.
Tillstånd behövs inte för personregister som någon inrättar eller för
uteslutande för personligt bruk (2 § 3 st.). Tillstånd behövs inte heller för
register vars inrättande beslutats av riksdagen eller regeringen (s.k.
statsmaktsregister) eller för register som har tagits emot för förvaring av
en arkivmyndighet (2 a § 1 st. 1 och 3). För sådana personregister som
ofta förekommer inom en viss verksamhet för ett visst ändamål kan det
meddelas särskilda föreskrifter (19 §). Följer den registeransvarige så-
dana föreskrifter, behövs inte något tillstånd (2 a § 1 st. 2).
Sammanslutningar får utan tillstånd inrätta och föra personregister
som innehåller sådana uppgifter om medlemmarnas politiska uppfattning,
religiösa tro eller övertygelse i övrigt som utgör grunden för
medlemskapet i sammanslutningen (2 a § 2 st. 1).
Myndigheter inom hälso- och sjukvården får utan tillstånd för vård-
eller behandlingsändamål inrätta och föra personregister som innehåller
uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a § 2 st. 2).
Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra
personregister som innehåller uppgifter om att någon fått ekonomisk
hjälp eller vård inom socialtjänsten (2 a § 2 st. 3).
Läkare och tandläkare får utan tillstånd inrätta och föra personregister
som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i
övrigt som de har fått reda på i sin yrkesverksamhet (2 a § 2 st. 4).
Arbetsgivare får utan tillstånd inrätta och föra personregister som
innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för
sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål
eller för att arbetsgivaren skall kunna avgöra om han eller hon skall
påbörja en rehabiliteringsutredning enligt 22 kap. 3 § andra stycket lagen
(1962:381) om allmän försäkring (2 a § 2 st. 5).
Vid sin tillståndsprövning skall Datainspektionen ta ställning till om
det finns anledning att anta att registreringen medför ett otillbörligt
intrång i den registrerades personliga integritet. Om så anses vara fallet,
skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt
beakta
arten och mängden av de personuppgifter som skall ingå i registret,
hur och från vem uppgifterna skall hämtas in,
vilken inställning de som kan komma att registreras har eller kan antas
ha till saken och
att inte andra uppgifter eller andra personer registreras än som står i
överensstämmelse med ändamålet med registret (3 §).
Särskilda skäl krävs för att tillstånd skall kunna meddelas för
inrättande och förande av personregister som omfattar andra än
medlemmar, anställda eller kunder hos den registeransvarige eller
personer som har annan därmed jämställd anknytning (3 a §).
Det krävs synnerliga skäl för att andra än myndigheter som enligt lag
eller annan författning har att föra förteckning över sådana uppgifter skall
kunna få tillstånd att inrätta och föra personregister som innehåller vissa
angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att nå-
gon misstänks eller har dömts för brott eller varit föremål för vissa
tvångsingripanden (4 § 1 st.).
Tillstånd att inrätta och föra personregister som i övrigt innehåller
uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift
om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller
varit föremål för åtgärd enligt utlänningslagen får bara om det finns
särskilda skäl meddelas någon annan än en myndighet som enligt lag
eller annan författning har att föra en förteckning över sådana uppgifter.
Särskilda skäl krävs även för registrering av uppgifter om någons ras
eller politiska uppfattning eller religiösa övertygelse (4 § 2 och 3 st.).
När Datainspektionen meddelar tillstånd att inrätta och föra personre-
gister, skall inspektionen samtidigt meddela beslut om ändamålet med re-
gistret (5 §). I den mån det behövs för att förebygga risk för otillbörligt
intrång i personlig integritet skall inspektionen i samband med tillstånds-
givningen även meddela särskilda villkor (6 §). Sådana villkor får
meddelas beträffande exempelvis inhämtande av uppgifter, vilka person-
uppgifter som får ingå i registret, utlämnande, bevaring och gallring.
Personregister skall inrättas och föras så att inte otillbörligt intrång i
de registrerades personliga integritet uppkommer. I 7 § anges närmare
vad som skall iakttas för att nå upp till vad som brukar kallas ”god
registersed”. Den registeransvarige är också skyldig att förteckna de
personregister som han eller hon är ansvarig för (7 a §). Förteckningen
skall vara aktuell och hållas tillgänglig för Datainspektionen.
I datalagen finns det också särskilda bestämmelser om ADB-
användningen som är avsedda att garantera att personuppgifter är riktiga
och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, be-
handlar bl.a. rättelse av oriktiga och missvisande uppgifter.
En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt
till insyn i personregister. Där stadgas att den registeransvarige på
skriftlig begäran av den enskilde skall underrätta denne om innehållet i
registret, såvitt gäller honom eller henne. Ett sådant registerutdrag, s.k.
§ 10-utdrag, har den enskilde rätt att kostnadsfritt få en gång per år.
I datalagen finns det allmänna bestämmelser om gallring av person-
uppgifter och om vad som skall iakttas då en registeransvarig upphör att
föra ett personregister för vilket Datainspektionen har meddelat tillstånd
(12 §). Vissa bestämmelser om tystnadsplikt finns i 13 §.
En särskild bestämmelse om dokumentationsskyldighet avser att göra
det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning
som har legat till grund för avgörandet av ett mål eller ärende hos en
myndighet. Sådana ADB-upptagningar skall tillföras handlingarna i
målet eller ärendet i för ögat läsbar form. Undantag gäller bara om det
finns särskilda skäl (14 §).
Datainspektionen utövar tillsyn över att automatisk databehandling
inte medför otillbörligt intrång i den registrerades personliga integritet
(15–18 §§).
Inspektionen har möjlighet att meddela villkor eller, om rättelse inte
kan åstadkommas på annat sätt, förbjuda förandet av personregister eller
återkalla meddelade tillstånd.
Datainspektionens beslut enligt datalagen kan överklagas till
länsrätten i Stockholm eller, när en statlig myndighet är registeransvarig,
regeringen. Justitiekanslern får föra talan för att ta till vara allmänna
intressen. (25 §.)
Bestämmelser om straff och skadestånd finns i 20, 21 och 23 §§. Ett
personregister kan förklaras förverkat, om det inrättas eller förs utan nöd-
vändig licens eller tillstånd (22 §).
I datalagen regleras även det statliga person- och adressregistret
(SPAR), 26–28 §§.
4.3 EG-direktivet
Syftet med Europaparlamentets och rådets direktiv 95/46/EG av den
24 oktober 1995 om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter
är att skapa en gemensam, hög nivå på integritetsskyddet för att
därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna
emellan. Medlemsstaterna får inom den ram som ges i direktivet närmare
precisera villkoren för när behandling av personuppgifter får förekomma.
Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter
inom unionen.
I arbetet med direktivet har Sverige agerat hårt för att få till stånd så-
dana lösningar att direktivet inte står i motsättning till den svenska
offentlighetsprincipen och annan grundlagsreglering. De svenska
ansträngningarna på detta område har varit framgångsrika. För att
undanröja alla eventuella oklarheter vid tolkningen av direktivets
förenlighet med offentlighetsprincipen har på svenskt initiativ tagits in en
klausul i direktivets ingress (punkt 72) som gör det möjligt att ta hänsyn
till offentlighetsprincipen när direktivets bestämmelser genomförs i
nationell rätt.
Direktivet finns i sin helhet i bilaga 1. Huvuddragen i direktivet är
följande.
Direktivet är tillämpligt på all behandling av personuppgifter och såle-
des också på manuella register, dock endast på sådana manuella register
som är sökbara utifrån särskilda kriterier. Direktivet är inte tillämpligt på
sådan behandling av personuppgifter som faller utanför gemenskaps-
rätten (t.ex. den som gäller allmän säkerhet, statens säkerhet eller statens
verksamhet på straffrättens område) och inte heller på register för
personligt bruk. Behandling av personuppgifter för journalistiska,
konstnärliga och litterära ändamål undantas från direktivets materiella
bestämmelser.
Personuppgifter får samlas in endast för särskilda, uttryckligt angivna
och berättigade ändamål och uppgifterna får inte senare användas på ett
sätt som är oförenligt med ursprungsändamålet.
Personuppgifter får behandlas endast när samtycke lämnats, när det är
nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när
det finns en i författning reglerad förpliktelse att behandling av
uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes
grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift
i det allmännas intresse eller slutligen, om det i övrigt skett en intresseav-
vägning som resulterat i att behandling av personuppgifter skall få ske.
Känsliga uppgifter (ras, religion, politisk åsikt, facklig tillhörighet,
hälsotillstånd etc.) får inte behandlas. Dock gäller vissa undantag, bl.a.
vid den enskildes uttryckliga samtycke, för ideella föreningars
medlemsregister, för hälso- och sjukvårdens administration och vid
författningsreglerade skyldigheter.
Medlemsstaterna skall bestämma på vilka villkor nationella identi-
fikationsnummer får behandlas.
När personuppgifter samlas in skall de registrerade informeras om
bl.a. vem som är registeransvarig och vad uppgifterna skall användas till.
All behandling av personuppgifter skall enligt huvudregeln anmälas
till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och
sektorsreglering eller motsvarande från anmälningsskyldigheten undanta
sådan behandling av personuppgifter som inte kränker enskildas fri- och
rättigheter.
Behandling av personuppgifter som innebär särskilda integritetsrisker
får inte förekomma utan att tillsynsmyndigheten först gett tillstånd till
detta.
Den registrerade skall ha rätt att få sina rättigheter enligt den
nationella lagen prövad av tillsynsmyndigheten och domstol.
Överföring av personuppgifter till ett tredje land får i princip endast
lagen prövade av tillsynsmyndigheten och domstol. ske om det mot-
tagande landet har en acceptabel skyddsnivå.
Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha un-
dersökningsbefogenheter och befogenheter att effektivt ingripa mot
otillåten behandling av personuppgifter.
Medlemsstaterna skall genomföra direktivet i nationell rätt inom tre år
efter antagandet den 24 oktober 1995. För de automatiserade
behandlingar som då redan påbörjats är föreskrivet en övergångsperiod
på ytterligare tre år. För redan existerande manuella register är
övergångsperioden utsträckt till, som längst, tolv år.
5 Genomförandet av EG-direktivet
5.1 Lagens uppbyggnad – hanteringsmodell eller
missbruksmodell
Regeringens bedömning: En lagstiftning som reglerar själva
hanteringen av personuppgifter bör införas, eftersom det inte synes
möjligt att genomföra EG-direktivet på annat sätt. Sverige bör dock på
lämpligt sätt verka för att det blir möjligt att i stället använda en
lagstiftning som mera koncentrerar sig på vad som kan karaktäriseras
som ett missbruk av personuppgifter.
Datalagskommitténs bedömning överensstämmer med regeringens.
Remissinstanserna: De allra flesta remissinstanser som uttalat sig i
saken föredrar en lagstiftning efter en missbruksmodell. Det är dock bara
en remissinstans – Juridiska fakultetsnämnden vid Stockholms universitet
– som anser det möjligt att utforma en missbruksmodell inom de ramar
EG-direktivet ställer upp. Många remissinstanser anser att en lagstiftning
efter den hanteringsmodell som följer av direktivet är otidsenlig och
förordar att Sverige så snart som möjligt tar initiativ inom EU för att
åstadkomma en annan ordning.
Skälen för regeringens bedömning: Bestämmelserna i EG-direktivet
innebär att själva hanteringen av personuppgifter regleras, oavsett om
hanteringen kan sägas utgöra ett missbruk. Direktivet bygger således på
en hanteringsmodell. Sverige har såsom medlem i Europeiska unionen att
i svensk lagstiftning genomföra de hanteringsregler som direktivet
föreskriver. Sverige skall därvid, såsom anges i artikel 5 i direktivet,
inom den ram direktivet ställer upp precisera på vilka villkor behandling
av personuppgifter är tillåten. I likhet med Datalagskommittén och de
allra flesta remissinstanserna anser regeringen att det nu inte är möjligt
att uppfylla skyldigheten att genomföra direktivet på annat sätt än genom
att införa en lagstiftning av hanteringsmodell. Ingen har för övrigt kunnat
konkret ange hur det skulle kunna vara möjligt med hänsyn till EG-
direktivet att använda en renodlad missbruksmodell.
En lagstiftning som reglerar i princip all hantering av personuppgifter
måste således införas på grund av EG-direktivet. En sådan lagstiftning
framstår emellertid i dag som inte särskilt modern. Mycket av den an-
vändning av personuppgifter som den alltmer genomgripande datori-
seringen har medfört måste betraktas som harmlös. Alltfler medborgare
har också tillgång till dator, elektronisk post och annan kommunikation i
världsomspännande nätverk.
Det finns därför starka skäl för att verka för att det blir möjligt att gå
ifrån en lagstiftning efter en vittomfattande hanteringsmodell. Vi avser
att på lämpligt sätt utnyttja Sveriges inflytande i Europeiska unionen för
att påverka i denna riktning.
Möjligheterna till påverkan är givetvis beroende av att det går att visa
på användbara alternativ till en hanteringsmodell. Det är därför viktigt att
diskussionen om och arbetet med möjliga utformningar av alternativa
modeller fortsätter. Datalagskommittén har diskussionsvis skisserat på en
alternativ modell. Även inom det rättsliga observatorium som har
inrättats inom ramen för IT-kommissionen pågår diskussion och analys
av alternativa modeller.
5.2 Den nya lagen skall följa direktivets text och struktur
Regeringens bedömning: Den nya lagen bör i huvudsak följa
direktivets text och struktur. Vissa omskrivningar och förkortningar bör
dock göras för att anpassa texten till svensk lagstil. Hanteringsregler
utöver de som EG-direktivet kräver bör föras in i den nya generella
lagen bara om det finns ett särskilt behov.
Datalagskommitténs bedömning överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Remissutfallet är blandat. En del förordar att
lagen utformas i närmare anslutning till direktivets text, medan andra
föredrar ytterligare omskrivningar och omstruktureringar som än mer
fjärmar den svenska lagtexten från direktivet. Ingen remissinstans har
framfört behov av ytterligare regler om hanteringen av personuppgifter.
Skälen för regeringens bedömning: Det måste, såsom konstaterades
i avsnitt 5.1, införas en lagstiftning som reglerar i princip all hantering av
personuppgifter. De hanteringsregler som läggs fast i EG-direktivet
måste införas i lagstiftningen. Det gäller t.ex. regler om när behandling
av personuppgifter skall vara tillåten, om vilka krav som ställs på
behandlingen och om information till den registrerade. De
hanteringsregler som EG-direktivet lägger fast är så pass omfattande att
det knappast kan komma i fråga att därutöver införa ytterligare
hanteringsregler i den nya generella lagen. De synpunkter som kommit
fram vid remissbehandlingen talar för att det snarare behövs färre regler
eller flera undantag än hanteringsregler på flera områden. Vi anser därför
att hanteringsregler utöver dem som EG-direktivet kräver bör föras in i
den nya generella lagen bara om det finns ett särskilt visat behov. Det
handlingsutrymme som EG-direktivet i vissa fall medger vid
genomförandet bör givetvis utnyttjas.
Detta innebär att den nya lagen i stort sett bara kommer att innehålla
de regler som direktivet kräver. Det verkar då vara bäst att, såsom Data-
lagskommittén föreslagit och de flesta remissinstanser godtagit, låta den
nya lagen i stort sett följa direktivets text och struktur. Det är ju ändå EG-
domstolen som sist och slutligen har att tolka de begrepp och uttryck som
direktivet innehåller. Eftersom det å andra sidan är viktigt att så långt
som möjligt hålla på svenska traditioner i fråga om lagstil, bör dock vissa
modifieringar göras i förhållande till direktivet.
Svenska domstolar har vid tillämpning av lagtext som införts till
genomförande av ett EG-direktiv att tolka lagen i överensstämmelse med
direktivet och att vid behov fråga EG-domstolen om den rätta
innebörden. Eftersom EG-direktiv saknar egentliga förarbeten, finns det
inga direkta hållpunkter för tolkningen av direktiv förutom själva texten i
direktivet, inklusive ingressen. Därför är det svårt att innan EG-
domstolen har sagt sitt veta hur direktivet egentligen skall tolkas och
tillämpas. Datalagskommittén har trots detta lämnat kommentarer om
tolkningen av direktivet och av föreslagen lagtext som mer eller mindre
ordagrant följer direktivet. De överväganden om tolkningen som
kommittén redovisat har i huvudsak godtagits eller lämnats utan erinran
av remissinstanserna. Den redovisningen kan därför utgöra en god grund
för dem som har att tillämpa den nya lagen.
Enligt EG:s rättsordning är det EG-domstolen som är exklusivt
behörig att göra auktoritativa uttalanden om innebörden av EG:s
rättsregler. Sverige har genom anslutningen till Europeiska unionen
också förbundit sig att verka för en enhetlig tolkning och tillämpning av
regler i EG-rätten. Genom det aktuella EG-direktivet har det dessutom
inrättats en särskild arbetsgrupp med uppgifter som syftar till att bidra till
en enhetlig tillämpning av de nationella bestämmelser som genomför
direktivet. Av dessa skäl anser vi att regeringen i sin proposition till
riksdagen i princip bör avstå från att uttala sig om hur direktivet i olika
delar bör tolkas.
6 En teknikoberoende och generell lag
6.1 En teknikoberoende lag som omfattar automatiserad
behandling och manuell behandling av personupp-
gifter
Regeringens förslag: Den nya lagen skall vara teknikoberoende och
tillämpas på automatiserad behandling av personuppgifter och manuell
behandling av personuppgifter.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser som uttalat sig tycker
att det är bra med en teknikoberoende lagstiftning. Kungliga biblioteket
anser dock att det vore en oacceptabel inskränkning i
informationsfriheten om manuella register skulle omfattas av lagen.
Skälen för regeringens förslag: Den nuvarande datalagen gäller bara
för automatisk databehandling av personuppgifter. EG-direktivet gäller
däremot för sådan behandling av personuppgifter som helt eller delvis
företas på automatisk väg och dessutom för annan behandling av person-
uppgifter under förutsättning att dessa ingår i eller kommer att ingå i ett
register (artikel 3). Med register avses enligt direktivet varje strukturerad
samling av personuppgifter som är tillgänglig enligt särskilda kriterier,
oavsett om samlingen är centraliserad, decentraliserad eller spridd på
grundval av funktionella eller geografiska förhållanden (artikel 2 c).
På grund av Sveriges skyldigheter gentemot Europeiska unionen
måste den nya lagen ha minst samma tillämpningsområde som EG-
direktivet. Det innebär att den nya lagen kommer att vara
teknikoberoende, dvs. gälla för såväl automatiserad som viss manuell
hantering av personuppgifter. Det är bra eftersom det är viktigt att den
nya lagen så lite som möjligt hämmar användningen av ny
informationsteknik. Genom att den nya lagen till skillnad från den
nuvarande datalagen omfattar också viss manuell hantering, finns det inte
längre skäl för användare av personuppgifter att välja en föråldrad,
manuell teknik för att undkomma hanteringsreglerna i lagen. Begreppet
”automatiserad” har valts på förslag av Lagrådet i stället för
”automatisk”, eftersom det förra språkligt sett bättre uttrycker vad som
avses. Som Lagrådet anfört för begreppet ”automatisk” tanken till en
behandling som sker automatiskt efter en viss händelse eller tidpunkt e.d.
oavsett hur behandlingen utförs.
Användningen i den nuvarande datalagen av begreppet register vid
automatisk databehandling har med fog kritiserats för att vara otidsenlig.
På grund av den tekniska utvecklingen har det i en sammansatt och
komplex datormiljö blivit allt svårare att fastställa vad som är ett register
i förhållande till ett annat. Det har också vuxit fram allt flexiblare och
kraftfullare metoder för att med hjälp av datorer söka och hantera
uppgifter som inte finns i någon registerstruktur. Det är därför en fördel
att den nya generella lagen omfattar all automatiserad behandling av
personuppgifter utan hänsyn till det föråldrade registerbegreppet.
Det nu sagda hindrar givetvis inte att det som faktiskt är ett regelrätt
datoriserat register också kallas för det. Flertalet särskilda registerförfatt-
ningar rör just upprättandet och förandet av traditionella datoriserade
register. Registerformen har därvid ofta valts medvetet för att skapa
förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med
hjälp av datorer; uppgifterna skall läggas in i ett på visst sätt strukturerat
register och får tas fram bara med hjälp av vissa angivna sökkriterier.
När det gäller manuell behandling av personuppgifter på papper
omfattas däremot bara sådana uppgifter som ingår i eller kommer att ingå
i ett register av EG-direktivet. Det innebär att det står Sverige fritt att
låta
den nya lagen omfatta även t.ex. behandling av personuppgifter på
papper som inte har strukturerats i ett register. Det vore emellertid enligt
vår mening att gå för långt. Det är först när en stor mängd person-
uppgifter på papper har strukturerats på något sätt som det går att hitta
bland uppgifterna på ett enkelt sätt. Det är då sådana egentliga inte-
gritetsrisker med behandlingen uppkommer som kan mötas med de
hanteringsregler som den nya lagen innehåller.
Den nya lagen bör således ha samma tillämpningsområde som EG-
direktivet och omfatta automatiserad behandling av personuppgifter och
manuell behandling av personregister. Enligt vår mening är det inte
nödvändigt att med anledning av detta justera grundlagsbestämmelsen i
2 kap. 3 § andra stycket regeringsformen om att varje medborgare skall i
den utsträckning som närmare anges i lag skyddas mot att hans eller
hennes personliga integritet kränks genom att uppgifter om honom eller
henne registreras med hjälp av automatisk databehandling. Regerings-
formen slår fast ett minimiskydd, och det gör inget att den nya lagen i sitt
skydd går längre än vad grundlagen kräver.
6.2 En generellt tillämplig lag men särregler i andra
författningar gäller framför den nya lagen
Regeringens förslag: Den nya lagen skall, liksom den nuvarande
datalagen, vara generellt tillämplig och omfatta även sådant som faller
utanför EG-rätten. Särregler i andra författningar skall dock gälla
framför den nya lagen.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser har godtagit förslaget
eller lämnat det utan erinran. Många remissinstanser pekar dock på
behovet av att de särskilda registerförfattningarna anpassas till den nya
lagen och att nödvändiga undantag och särregler införs i dessa för-
fattningar. Flera betonar också vikten av ett samordnat och överskådligt
system, t.ex. genom hänvisningar i den generella lagen till register-
författningarna. Riksåklagaren föreslår att statens verksamhet på det
straffrättsliga området undantas från lagen.
Skälen för regeringens förslag: Den nuvarande datalagen är i princip
generellt tillämplig på all automatisk databehandling av personregister,
men i den utsträckning ett personregister är reglerat i en annan
författning är det undantaget Datainspektionens tillståndsprövning och
föreskriftsrätt.
EG-direktivet gäller däremot inte för sådan behandling av person-
uppgifter som utgör ett led i en verksamhet som inte omfattas av EG-
rätten, t.ex. statens verksamhet på straffrättens område eller som rör all-
män säkerhet eller försvar.
Det innebär att det står Sverige fritt att begränsa den nya lagens
tillämpningsområde till sådana verksamheter som omfattas av EG-rätten.
Detta skulle emellertid strida mot vad som tillämpats under lång tid i
Sverige, nämligen ett system som utgår från en generell lag kompletterad
med särregler i s.k. registerförfattningar för viktigare eller känsligare
register.
Registerförfattningarna innehåller många preciserade och viktiga
regler som inte rimligen kan ersättas av de generella bestämmelser som
den nya lagen innehåller. Samtidigt står det klart att det är nödvändigt
med särregler i förhållande till den nya lagen på flera viktiga områden,
t.ex. beträffande polisens verksamhet. Frågan är därför om det redan i
den nya lagen skall göras undantag för vissa verksamheter eller om
nödvändiga särregler för dessa verksamheter liksom hittills skall ges i
särskilda författningar som får gälla framför den nya lagen. Frågan om
generella undantag med hänsyn till offentlighetsprincipen och tryck- och
yttrandefriheten samt för rent privat användning av personuppgifter och
för ord- och textbehandling tas upp i avsnitt 8.
Vi anser att det traditionella svenska systemet med särregler i
särskilda författningar är att föredra framför generella undantag från den
nya lagen. Det är i stort sett bara verksamhet inom den offentliga sektorn
som med hänsyn till EG-direktivet skulle kunna undantas från den nya
lagen. Inom den sektorn förekommer det t.ex. ofta stora mängder
känsliga uppgifter och uppgifter som har hämtats in med stöd av
straffsanktionerad uppgiftsplikt. Därför är det särskilt viktigt med ett
starkt integritetsskydd när det gäller uppgifter inom all offentlig
verksamhet. Om viss offentlig verksamhet skulle generellt undantas från
lagen, finns det risk för att viss behandling inom den sektorn inte
kommer att omfattas av någon lagstiftning med motsvarande syfte som
den nya lagen. Genom att det krävs en särskild författning för att avvika
från det integritetsskydd som den nya lagen ger, garanteras däremot att
behovet av särregler alltid övervägs noga i den ordning som gäller för
författningsgivning. Målet har också varit att myndighetsregister med ett
stort antal registrerade och ett särskilt känsligt innehåll skall regleras
särskilt i lag (prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11). Det finns
inte anledning att nu avvika från det målet.
Den nya lagen bör således vara generellt tillämplig och omfatta även
sådan verksamhet som faller utanför EG-rätten samtidigt som avvikande
bestämmelser i lag eller förordning skall gälla framför den nya lagen.
Detta innebär också att den nya lagen i princip bara bör innehålla
generella regler och att behovet av undantag och särregler för mer
speciella områden får tillgodoses genom andra författningar.
Såsom Datalagskommittén och flera remissinstanser har påpekat krävs
det en anpassning av befintliga registerförfattningar och en översyn av
vilka särregler som bör gälla i förhållande till den nya lagen. Vi avser att
snarast påbörja ett sådant anpassnings- och översynsarbete.
7 Lagens namn m.m.
Regeringens förslag: Den nya lagen skall heta personuppgiftslagen.
Den som är ansvarig för en behandling av personuppgifter kallas i
lagen personuppgiftsansvarig, och den som hjälper den ansvarige och
behandlar personuppgifter för den ansvariges räkning kallas person-
uppgiftsbiträde. Den person med uppgift att självständigt se till att
personuppgifter behandlas på ett korrekt och lagligt sätt som den
personuppgiftsansvarige tillsatt kallas i lagen personuppgiftsombud.
Datalagskommitténs förslag innebär att lagen skall heta person-
datalagen och att i lagen används beteckningarna persondataansvarig,
persondatabiträde och persondataombud.
Remissinstanserna: Flera remissinstanser har – främst mot bakgrund
av att uttrycket data för tankarna till datorer, medan den nya lagen
omfattar även viss manuell hantering – haft synpunkter på lagens namn
och andra terminologiska frågor, och många förslag har förts fram, bl.a.
lagen om behandling av personuppgifter och personuppgiftslagen.
Skälen för regeringens förslag: Den nya lagen reglerar något som
berör i princip samtliga människor i Sverige varje dag. Många har att
tillämpa lagen varje dag. En sådan lag bör ha ett kort namn. Därför är det
inte lämpligt att, såsom vissa föreslagit, kalla den nya lagen för lagen om
behandling av personuppgifter eller liknande.
Såsom korta alternativ till persondatalag har föreslagits person-
uppgiftslag, integritetsskyddslag och persondataskyddslag. Alternativet
integritetsskyddslag bör inte väljas, eftersom lagen inte skyddar den per-
sonliga integriteten i andra avseenden än när det är fråga om behandling
av personuppgifter. Namnet persondataskyddslag är längre än person-
datalag samtidigt som det inte kan anses mera upplysande. Det namnet
bör därför inte väljas. Enligt vår mening låter namnet personuppgiftslag
bättre än persondatalag. Det leder inte heller tanken på något missvisande
sätt till enbart datorlagrade personuppgifter. Den nya lagen omfattar ju
inte bara automatiserad behandling i datorer av personuppgifter utan
även viss manuell behandling av sådana uppgifter, t.ex. på papper (se
avsnitt 6.1). Vi anser därför att namnet personuppgiftslag bör väljas.
I enlighet med det ställningstagandet bör den som är ansvarig för en
behandling av personuppgifter kallas personuppgiftsansvarig och den
som hjälper den ansvarige och behandlar personuppgifter för dennes
räkning kallas personuppgiftsbiträde; beteckningen behandlingsassistent,
som annars varit naturlig för denna befattning, får anses upptagen och
därför olämplig. Den person med uppgift att självständigt se till att per-
sonuppgifter behandlas på ett korrekt och lagligt sätt som den
personuppgiftsansvarige tillsatt bör vidare kallas personuppgiftsombud.
Enligt vår mening finns det inte någon beaktansvärd risk för att ombudet
och biträdet förväxlas. Att, såsom Datainspektionen föreslagit, kalla om-
budet för personuppgiftskontrollant är inte lämpligt, eftersom ombudet
främst skall kontrollera inte själva uppgifterna utan den person-
uppgiftsansvariges behandling av dem.
Den som en personuppgift avser bör, liksom i dag, kallas den
registrerade. Att, såsom Datainspektionen föreslagit, i stället använda
uttrycket ”den som en personuppgift avser” förefaller otympligt.
8 Undantag från den nya lagen
8.1 Förhållandet till offentlighetsprincipen
Regeringens bedömning: EG-direktivet går att förena med
offentlighetsprincipen.
Regeringens förslag: I den nya lagen införs en uttrycklig bestämmelse
som klargör att lagen inte tillämpas, om det skulle inskränka myndig-
heternas skyldigheter att lämna ut personuppgifter enligt 2 kap. TF. Det
införs också en bestämmelse om att lagen inte hindrar att en myndighet
arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om
hand av en arkivmyndighet.
Datalagskommitténs bedömning och förslag överensstämmer med
regeringens.
Remissinstanserna: Flera remissinstanser ger uttryck för tveksamhet
i frågan om direktivet går att förena med offentlighetsprincipen. Några
instanser, t.ex. Justitiekanslern, Statskontoret och Juridiska fakultets-
nämnden vid Uppsala universitet, anger däremot uttryckligen att de delar
kommitténs uppfattning att direktivet går att förena med offentlig-
hetsprincipen eller att de inte har några invändningar mot den bedöm-
ningen.
Skälen för regeringens bedömning och förslag: Sverige har efter
inträdet i Europeiska unionen tagit aktiv del i förhandlingarna om EG-
direktivet och agerat hårt för att få till stånd sådana lösningar att
direktivet inte står i motsättning till den svenska offentlighetsprincipen.
De svenska ansträngningarna på detta område har varit framgångsrika. På
flera punkter avviker det antagna direktivet från tidigare förslag. Det
finns enligt regeringens uppfattning i det antagna direktivet inte någon
bestämmelse som inte går att förena med den svenska offentlig-
hetsprincipen.
Offentlighetsprincipen enligt 2 kap. TF innebär att myndigheterna är
skyldiga att – i den utsträckning sekretess inte hindrar det – lämna ut
allmänna handlingar till den som begär det. Av betydelse för den
grundlagsfästa offentlighetsprincipen är också myndigheternas skyldig-
heter enligt lag och andra författningar att bevara uppgifter och inte
korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas.
Utlämnande av personuppgifter
Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlig-
hetsprincipen är i och för sig att anse som en sådan behandling av
personuppgifter som omfattas av EG-direktivet.
Av artikel 6.1 b i direktivet framgår att personuppgifter skall samlas in
för särskilda, uttryckligt angivna ändamål och att senare behandling av
uppgifterna inte får ske på ett sätt som är oförenligt med de ändamål för
vilka uppgifterna ursprungligen samlades in; också enligt Europarådets
dataskyddskonvention (artikel 5 b) skall personuppgifter för automatisk
databehandling lagras för särskilda ändamål och inte användas på ett sätt
som är oförenligt med dessa ändamål. – Enligt vår uppfattning, vilken
delas av Datalagskommittén samt flera remissinstanser, kan en myndig-
hets utlämnande av personuppgifter med stöd av offentlighetsprincipen
inte anses vara oförenligt med de ändamål för vilka uppgifterna
ursprungligen samlades in. Offentlighetsprincipen framgår av grundlagen
och får anses utgöra en integrerad del av all förvaltningsverksamhet som
myndigheterna ägnar sig åt.
Av artikel 7 framgår vidare att personuppgifter får behandlas, t.ex.
lämnas ut, om det är nödvändigt för att fullgöra en rättslig förpliktelse
som åvilar den registeransvarige eller för att fullgöra en arbetsuppgift
som är ett led i myndighetsutövning som utförs av den registeransvarige.
– De registeransvariga myndigheterna är rättsligt förpliktade att följa
bl.a. grundlagsreglerna om utlämnande av allmänna handlingar, och
utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är
alltså tillåtet enligt artikel 7.
Behandling – utlämnande – av känsliga personuppgifter skall i princip
förbjudas enligt artikel 8. Det är emellertid tillåtet att av hänsyn till ett
viktigt allmänt intresse göra undantag från förbudet, om det finns
lämpliga skyddsåtgärder (artikel 8.4). – Att utlämnande kan ske enligt
den grundlagsfästa offentlighetsprincipen är ett viktigt svenskt allmänt
intresse. De svenska sekretessbestämmelserna medför att sådana känsliga
personuppgifter som avses i artikel 8 i praktiken inte kommer att lämnas
ut om den enskilde kan skadas eller drabbas negativt av utlämnandet.
Sekretessbestämmelserna får anses utgöra sådana lämpliga skydds-
åtgärder som avses i EG-direktivet. Det finns alltså inget hinder mot att
föreskriva ett undantag från det principiella förbudet mot behandling av
personuppgifter i artikel 8 för sådant utlämnande som sker med stöd av
offentlighetsprincipen.
När uppgifter om en viss person samlas in från den berörde själv, skall
– enligt artikel 10 – den information lämnas som är nödvändig för att till-
försäkra den registrerade en korrekt behandling, exempelvis information
om ”mottagarna eller de kategorier som mottar uppgifterna”. Information
behöver dock inte lämnas i den utsträckning den registrerade redan
känner till informationen. I artikel 11.1 finns det motsvarande bestäm-
melser för det fallet att personuppgifterna inte har samlats in från den
registrerade själv utan hämtats från något annat håll. – Eftersom offent-
lighetsprincipen innebär att var och en kan få ut icke-sekretessbelagda
personuppgifter och att den som får uppgifterna i princip har rätt att vara
anonym, kan den myndighet som samlar in personuppgifter inte lämna
information om till vilka personer uppgifterna kan komma att lämnas ut.
Däremot kan information givetvis lämnas om att uppgifterna kan komma
att lämnas ut enligt offentlighetsprincipen till den som begär det, i den
mån de inte är sekretessbelagda. Härigenom får de registrerade – på det
sätt direktivet kräver – information om till vilka kategorier av mottagare
som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt
offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk
grundlag, kan det vidare förutsättas att allmänheten redan känner till att
så kan ske. Därför torde det inte vara nödvändigt att lämna särskild
information i detta hänseende.
Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra nöd-
vändiga undantag från bl.a. bestämmelserna i artikel 6.1, 10 och 11.1
med hänsyn till skyddet av den registrerades eller andras fri- och
rättigheter. – Rätten för var och en att få ta del av allmänna handlingar
som inte är sekretessbelagda med stöd av den grundlagsfästa
offentlighetsprincipen är en sådan rättighet som kan göra det befogat med
undantag.
För att undanröja alla eventuella oklarheter vid tolkningen av
direktivet på denna punkt har det dessutom på svenskt initiativ tagits in
en klausul i direktivets ingress (punkt 72) som gör det möjligt att ta
hänsyn till offentlighetsprincipen när direktivets bestämmelser
genomförs i nationell rätt. I ingressen talas det i den svenska versionen
av direktivet om ”principen om allmänhetens rätt till tillgång till
allmänna handlingar”. Den svenska språkversionen har samma giltighet
som andra språkversioner. Eftersom klausulen kommit till på svenskt
initiativ, står det enligt regeringens mening klart att den svenska
offentlighetsprincipen omfattas av uttrycket. De invändningar som förts
fram av vissa remissinstanser beträffande det förhållandet att det i andra
språkversioner av direktivet används uttryck som måhända syftar på
annat än det svenska begreppet allmänna handlingar framstår därför inte
som bärkraftiga.
Lagrådet har, efter att ha redovisat bl.a. att Datalagsutredningen i sitt
betänkande En ny datalag, SOU 1993:10, ifrågasatte ett då föreliggande
direktivförslags förenlighet med offentlighetsprincipen, anfört att det inte
är övertygat om att direktivet går att förena med offentlighetsprincipen
och att de tolkningar regeringen gör framstår som pressade. Lagrådet
anför bl.a. att det mot bakgrund av syftet med direktivet (skapandet av en
gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde
av uppgifter mellan länderna) inte är sannolikt att EG-domstolen skulle
godta en tolkning av direktivet i den riktning som regeringen gjort och att
det finns en påtaglig risk för att domstolen skulle finna offent-
lighetsprincipen oförenlig med direktivet. För att man skall vara säker på
att den svenska lagstiftningen skall stå sig vid en prövning i EG-
domstolen måste enligt Lagrådet bestämmelserna i TF och sekretesslagen
(1980:100) ändras.
Vi kan inte dela de farhågor rörande EG-direktivets förenlighet med
offentlighetsprincipen som förts fram av Lagrådet och, tidigare, av en del
remissinstanser. Det rör sig här om en svensk grundlagsskyddad rättighet
med lång tradition som är en viktig del av det svenska statsskicket. Den
svenska offentlighetsprincipens starka ställning och grundläggande
betydelse för det svenska förvaltningssystemet är också väl känd i de
övriga medlemsstaterna. Under det förhandlingsarbete som ägde rum
efter att Sverige blivit medlem i Europeiska unionen förändrades
direktivet på flera punkter av särskilt stor betydelse för frågan om
förhållandet till offentlighetsprincipen. Det förslag till direktiv som
Datalagsutredningen hade att ta ställning till skiljer sig alltså på
avgörande punkter från direktivet i dess slutliga form. Flera förändringar
har således skett i direktivtexten. Ändamålsbestämmelsen i artikel 6.1 b
och gallringsbestämmelsen i artikel 6.1 e har fått ändrade lydelser.
Bestämmelsen om informationsskyldighet i artikel 11 har försetts med ett
undantag som innebär att information kan underlåtas om utlämnande
uttryckligen föreskrivs i författning. Dessutom har möjligheten att
behandla känsliga uppgifter utan samtycke utökats. Detta kan ske om det
är nödvändigt för ett viktigt allmänt intresse och det finns tillräckliga
skyddsregler (artikel 8.4). Förbudet att behandla känsliga uppgifter gäller
inte heller uppgifter som den registrerade offentliggjort (artikel 8.2 e).
Det är också av betydelse att förändringarna till stor del föranleddes av
den svenska inställningen och att förändringarna alltså syftade till att
göra det möjligt för medlemsstaterna att förena regler om skydd för
personuppgifter med en offentlighetsprincip. Detta har ju särskilt tydligt
manifesterats i punkt 72 i ingressen.
Sverige har också i samband med förhandlingarna som resulterade i
Amsterdamfördraget hårt drivit frågan om ökad öppenhet inom Euro-
peiska unionen. Detta arbete har varit framgångsrikt bl.a. eftersom
Sverige kunnat påvisa den positiva betydelse en väl utvecklad
offentlighetsprincip har haft för vårt land. Utvecklingen inom Europeiska
unionen går nu otvivelaktigt mot ökad öppenhet. Situationen är alltså helt
annorlunda i dag än den var när Datalagsutredningen analyserade det då
föreliggande förslaget. Det bör också framhållas att Lagrådet inte har
preciserat sin kritik mot vår tolkning samt att Lagrådet uttalat viss
förståelse för att vi inte vill göra ett ingrepp i offentlighetsprincipen. Den
bedömning som redovisats i det föregående rörande tolkningen av olika
artiklar i direktivet är enligt vår mening, särskilt mot bakgrund av för-
klaringen om offentlighetsprincipen i direktivets ingress, ytterst
välgrundad. Det finns inte anledning att anta att EG-domstolen vid en
eventuell prövning av frågan skulle se saken på annat sätt.
En bestämmelse i den nya lagen anger att lagen inte tillämpas, om det
skulle inskränka myndigheternas skyldigheter att lämna ut person-
uppgifter enligt 2 kap. TF. Lagrådet har anfört att denna bestämmelse
bör utgå, oavsett om direktivet anses förenligt med offentlighetsprincipen
eller ej, eftersom bestämmelsen är onödig eller oförenlig med direktivet.
Vi delar inte denna uppfattning. Som ovan framgår anser vi att
offentlighetsprincipen är förenlig med direktivet. Frågan är således om
bestämmelsen är onödig eftersom den nya lagen inte kan tillämpas i strid
med grundlagarna. Även om bestämmelser i grundlag alltid tar över
bestämmelser i vanlig lag, anser vi att det i klargörande syfte bör tas in
en bestämmelse som uttryckligen anger detta förhållande.
Korrigering av personuppgifter
Enligt artikel 6.1 c–d i EG-direktivet är det ett grundläggande krav att de
behandlade personuppgifterna är adekvata, relevanta, riktiga och, om
nödvändigt, aktuella. Den registrerade skall vidare enligt artikel 12 b ha
rätt att i förekommande fall få sådana uppgifter som inte har behandlats i
enlighet med bestämmelserna i direktivet rättade, utplånade eller
blockerade, särskilt om uppgifterna är ofullständiga eller felaktiga. Enligt
artikel 13.1 g är det dock tillåtet för medlemsstaterna att göra nödvändiga
undantag från bl.a. bestämmelserna i artikel 6.1 och 12 med hänsyn till
skyddet av den registrerades eller andras fri- och rättigheter.
Det är enligt direktivet tillåtet att låta en myndighet välja metod för
korrigering av uppgifter i allmänna handlingar. Myndigheter behöver
alltså inte på grund av direktivet och den nya lagen utplåna felaktiga
uppgifter till förfång för allmänhetens rättigheter enligt offentlighets-
principen.
Korrigeringsmetoden blockering får anses innebära bl.a. att de
blockerade uppgifterna inte skall lämnas ut till tredje man. Med stöd av
artikel 13.1 g är det emellertid möjligt att göra ett undantag för sådant
utlämnande som sker med stöd av offentlighetsprincipen enligt 2 kap.
TF. Lagrådet har mot bakgrund av sin inställning i fråga om offentlig-
hetsprincipen föreslagit att hänvisningen till TF ersätts med ”denna lag”.
Vi är som framgår ovan av en annan uppfattning och föreslår att ett
sådant undantag görs.
Bestämmelserna om korrigering behandlas vidare i avsnitt 11.6.
Bevarande av personuppgifter
Enligt artikel 6.1 b i EG-direktivet skall personuppgifter samlas in för
särskilda, uttryckligt angivna och berättigade ändamål. Behandling får
inte senare ske av uppgifterna på ett sätt som är oförenligt med de
ursprungligen angivna ändamålen. Senare behandling för historiska,
statistiska och vetenskapliga ändamål skall dock enligt vad som
uttryckligen anges inte anses oförenlig med de ursprungliga ändamålen.
Det förutsätts att medlemsstaterna i detta fall beslutar om lämpliga
skyddsåtgärder. Personuppgifterna får vidare, enligt artikel 6.1 e, lagras
bara så länge det är nödvändigt med hänsyn till de ursprungliga eller
senare ändamålen med behandlingen. För personuppgifter som lagras
under längre perioder för historiska, statistiska och vetenskapliga
ändamål skall medlemsstaterna vidta lämpliga skyddsåtgärder.
Behandlingen av personuppgifterna måste vidare alltid vara tillåten
enligt artikel 7 i direktivet, t.ex. därför att behandlingen är nödvändig för
att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller
för att utföra en arbetsuppgift av allmänt intresse. Gäller det känsliga
personuppgifter, måste också förutsättningarna i artikel 8 vara uppfyllda,
t.ex. att medlemsstaten av hänsyn till ett viktigt allmänt intresse har
föreskrivit att behandlingen är tillåten.
Myndigheternas arkiv är en del av det svenska nationella kulturarvet,
och arkiven skall tillgodose
rätten att ta del av allmänna handlingar,
behovet av information för rättskipningen och förvaltningen samt
forskningens behov (3 § tredje stycket arkivlagen).
De ändamål som bevarandet av myndighetsarkiven skall tillgodose
kan hänföras under vad som i EG-direktivet kallas ”historiska, statistiska
och vetenskapliga ändamål”. Det är således inte nödvändigt att
myndigheterna redan när personuppgifterna samlas in uttryckligen anger
arkivering och bevarande som ett ändamål för behandlingen. Är en myn-
dighets primära hantering av uppgifterna tillåten, kan det inte anses
oförenligt med den primära hanteringen att bevara uppgifterna. Det kan
inte heller anses oförenligt med de ursprungligen angivna ändamålen att
myndigheten efter en tid lämnar över sina handlingar till en arkiv-
myndighet för långtidsförvaring.
Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar,
och bevarandet är också en arbetsuppgift av allmänt intresse. Den
behandling av icke känsliga personuppgifter som bevarandet utgör är
således tillåten enligt artikel 7. För myndigheternas bevarande av
känsliga personuppgifter behövs det däremot ett undantag enligt artikel
8.4. De svenska myndigheternas bevarande även av känsliga person-
uppgifter utgör ett sådant viktigt allmänt intresse som berättigar en
medlemsstat att göra ett undantag. Detta undantag måste omfatta också
den insamling och det långtidsbevarande av personuppgifter som sker vid
de särskilda arkivmyndigheterna som tar emot arkivmaterial från
myndigheter och enskilda. Att arkivmyndigheten i sin tur lämnar ut icke
sekretessbelagda uppgifter med stöd av offentlighetsprincipen kan enligt
regeringens bedömning inte anses oförenligt med de ändamål för vilka
arkivmyndigheten samlade in uppgifterna.
De bestämmelser som finns om sekretess och skydd för arkiv får anses
utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet.
Lagrådet har uttalat att såvitt framgår av lagrådsremissen är undan-
tagen i fråga om bevarande och arkivering av allmänna handlingar moti-
verade endast med hänsyn till undantagens betydelse för offent-
lighetsprincipen och har dragit slutsatsen att undantagen strider mot det
övergripande syftet med direktivet samt föreslagit att undantagen utgår.
Vi anser däremot att offentlighetsprincipen är förenlig med direktivet och
att undantagen är av väsentlig betydelse för offentlighetsprincipen.
Dessutom är det ett viktigt allmänt intresse i sig att de syften som ligger
till grund för arkiven och som redovisats ovan kan tillgodoses.
Den nya lagen bör således innehålla en uttrycklig bestämmelse om att
lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att
arkivmaterial tas om hand av en arkivmyndighet.
8.2 Förhållandet till tryck- och yttrandefriheten
Regeringens förslag: Bestämmelserna i den nya lagen tillämpas inte i
den utsträckning det skulle strida mot bestämmelserna om tryck- och
yttrandefrihet i tryckfrihetsförordningen (TF) eller yttrandefrihets-
grundlagen (YGL).
I den nya lagen görs vidare ett undantag för sådan behandling av
personuppgifter som annars sker uteslutande för journalistiska ändamål
eller konstnärligt eller litterärt skapande. Den nya lagens bestämmelser
om säkerhetsåtgärder vid behandling av personuppgifter skall dock
tillämpas i dessa fall.
Datalagskommitténs förslag överensstämmer delvis med
regeringens. Datalagskommittén föreslår dock i stället för den erinran
som föreslås av regeringen en bestämmelse om att förfaranden som
skyddas av tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen
(YGL) skall undantas från tillämpningen av de flesta bestämmelserna i
lagen. Kommittén föreslår också att ett undantag görs för spridningen av
sådana yttranden som är skyddade enligt TF eller YGL (dvs. ett skydd
för vidare spridning av ett en gång skyddat yttrande).
Remissinstanserna: Några remissinstanser – Hovrätten över Skåne
och Blekinge, Malmö tingsrätt, Kammarrätten i Stockholm, Kammar-
rätten i Göteborg och Länsrätten i Stockholms län – uttrycker
tveksamhet i frågan om det föreslagna undantaget är förenligt med
direktivet. Svea hovrätt, Justitiekanslern och Juridiska fakultetsnämnden
vid Uppsala universitet har däremot inga invändningar mot kommitténs
överväganden. Juridiska fakultetsnämnden vid Uppsala universitet anser
att sådant som faller utanför TF och YGL inte bör undantas. Liknande
synpunkter förs fram av Tjänstemännens centralorganisation, Svenska
journalistförbundet och Föreningen grävande journalister. Svenska
tidningsutgivareföreningen anser däremot att det är positivt att all
journalistisk och konstnärlig verksamhet undantas.
Skälen för regeringens förslag: Enligt artikel 9 i EG-direktivet skall
Sverige med avseende på sådan behandling av personuppgifter som sker
uteslutande för journalistiska ändamål eller konstnärligt eller litterärt
skapande besluta om undantag och avvikelser från de materiella
bestämmelserna i direktivet. Det gäller dock bara om undantagen och
avvikelserna är nödvändiga för att förena rätten till privatlivet med
reglerna om yttrandefriheten.
Genom artikel 13 i EG-direktivet ges en möjlighet för medlems-
staterna att genom lagstiftning begränsa omfattningen av de skyldigheter
och rättigheter som anges i artiklarna 5–21 i fall då en sådan begränsning
är en nödvändig åtgärd med hänsyn till bl.a. skyddet av den registrerades
eller andras fri- och rättigheter. Det är osäkert om dessa fri- och
rättigheter innefattar yttrandefriheten, eftersom ett särskilt undantag finns
i artikel 9.
I den nuvarande datalagen finns det inte någon uttrycklig bestämmelse
om lagens förhållande till tryck- och yttrandefriheten enligt TF och YGL.
Genom praxis har det emellertid klarlagts att bestämmelser i den
nuvarande datalagen inte skall tillämpas på inrättandet och förandet av
personregister som används som ett direkt tekniskt hjälpmedel i
grundlagsskyddad framställning och spridning av yttranden (se t.ex.
regeringsbeslut 1994-04-14, Ju93-3260, som gällde en journalist som
ville skriva en bok med hjälp av en dator, och 1994-09-15, Ju94-140, i
vilket spridningen av en databas med nyhetstelegram ansågs falla under
1 kap. 9 § YGL, jfr också Mediekommitténs betänkande SOU 1997:49 s.
272 ff.).
Den s.k. IT-utredningen har i sitt betänkande Elektronisk dokument-
hantering, SOU 1996:40, föreslagit att undantag skall göras från data-
skyddslagstiftningen för personregister som ingår i en elektronisk
förmedlingstjänst.
Bestämmelser i vanlig lag kan inte ta över bestämmelser i grundlag.
Skall bestämmelserna i den nya lagen inskränka den tryck- och yttrande-
frihet som är föremål för en detaljerad reglering i TF och YGL, måste
justeringar göras i dessa grundlagar. Tillämpningen av flera
bestämmelser i den nya lagen, som måste införas på grund av EG-
direktivet, kan komma i konflikt med bestämmelserna om tryck- och
yttrandefrihet i TF och YGL. Det gäller t.ex. bestämmelserna i den nya
lagen om tillsynsmyndighetens befogenheter och om när en behandling
är tillåten.
Såväl Datalagskommittén som Mediekommittén (se kommitténs
betänkande Grundlagsskydd för nya medier, SOU 1997:49) har övervägt
frågan om det antagna EG-direktivet går att förena med bestämmelserna
om tryck- och yttrandefrihet i TF och YGL. Båda kommittéerna anser att
det är möjligt att från de bestämmelser som måste införas på grund av
EG-direktivet undanta det som i Sverige är grundlagsskyddat. En del
remissinstanser lämnar den bedömningen utan erinran, medan andra
anser att frågan är mera tveksam. Vi anser i likhet med de båda
kommittéerna och en del remissinstanser, t.ex. Svea hovrätt och Ju-
stitiekanslern, att det är möjligt att låta TF och YGL gälla oförändrade
med stöd av artikel 9 i EG-direktivet. Den artikeln ger ett visst spelrum
till medlemsstaterna och gör det möjligt att vid utformningen av
nationella undantag bl.a. beakta konstitutionella traditioner och principer.
Det är också av betydelse att Europakonventionens fri- och rättigheter
skall respekteras som allmänna principer på EG-rättens område. Av
Europadomstolens tillämpning av den konventionen framgår att
integritetsskyddsintressena och yttrandefrihetsintressena skall vägas mot
varandra. Sambandet med Europakonventionen framgår också av att
punkt 37 i ingressen till EG-direktivet, som rör möjligheten till undantag
enligt artikel 9, uttryckligen refererar till Europakonventionen.
Lagrådet har uttalat att det, med en försiktig formulering, får anses
tveksamt om EG-domstolen skulle acceptera att de bestämmelser i
direktivet som införlivas med svensk rätt genom den nya lagen får vika
för de svenska grundlagarna i vidare mån än som medges enligt
ordalagen av artikel 9 i direktivet samt avstyrkt att ett så vittgående
undantag från integritetsskyddsintressena som följer av TF och YGL
tolkas in i artiklarna. Lagrådet har också uttalat att vill man vara säker på
att inte lagstifta i strid med direktivet, bör i stället reglerna i TF och YGL
ändras så att en konflikt undviks.
Enligt vår mening finns det, på grund av vad som ovan anförts, inte
anledning att nu av integritetsskyddsskäl föreslå inskränkningar i tryck-
och yttrandefriheten enligt TF och YGL. TF och YGL innehåller bestäm-
melser som är av väsentlig betydelse för det svenska statsskicket, och vår
inställning är att det finns ett handlingsutrymme vid genomförandet av
direktivet som bör kunna medföra att en tillämpning av den nya lagen
som kan komma att strida mot TF eller YGL inte kan godtas. Enligt vår
mening finns det inte heller någon beaktansvärd risk för att EG-
domstolen skulle göra en annan bedömning. Det är i detta sammanhang
viktigt att framhålla att Sverige i samband med att direktivet antogs i
ministerrådets protokoll fått intaget att Sverige anser att begreppet
konstnärliga och litterära uttryck mera syftar på uttrycksmedlen än
kommunikationens innehåll eller dess kvalitet. Detta ligger väl i linje
med hur TF och YGL är uppbyggda.
Datalagskommittén har föreslagit bl.a. att sådana förfaranden som är
skyddade enligt TF eller YGL och all spridning av innehållet i sådana
medier som omfattas av TF eller YGL skulle undantas från de allra flesta
bestämmelserna i den nya lagen. Avsikten med formuleringen var att
undanta förfaranden som avses i TF eller YGL även om en viss
tillämpning av en bestämmelse i den nya lagen i ett konkret fall inte
skulle komma i strid med TF eller YGL respektive att skydda vidare
spridning till icke-grundlagsskyddade medier av yttranden som kommit
till stånd i ett grundlagsskyddat medium.
Syftet med TF och YGL är att garantera tryck- och yttrandefriheten.
Stor försiktighet skall iakttas vid alla ingripanden som riktar sig mot
företeelser som typiskt sett åtnjuter skydd av grundlagarna. Om ett
ingripande är oförenligt med grundlagarnas syfte, men ändå inte direkt
strider mot någon bestämmelse, bör ingripandet alltså underlåtas. Denna
försiktighet måste givetvis iakttas även vid ingripanden som stödjer sig
på den nya lagen. Den av Datalagskommittén föreslagna lydelsen i fråga
om förfaranden som skyddas av TF eller YGL utgör ett försök att i den
nya lagen definiera detta område och slå fast att denna princip vid
tillämpningen skall gälla också här. Vi delar i grunden den inställning i
frågan som kommittén har, nämligen att respekten för grundlagarna skall
speglas i tillämpningen i förhållande till den nya lagen. Det vore dock
mindre lämpligt att i den nya lagen uttryckligen genom en definition slå
fast det område där respekten för det grundlagsskyddade området
normalt sett skulle leda till att ingripanden med stöd av den nya lagen
underläts. Det finns nämligen en risk för att definitionen i praktiken
skulle medföra att ingripanden skulle kunna ske i enskilda fall där
ingripanden underlåtits om någon definition inte intagits i lagen. Särskilt
gäller detta eftersom i kommitténs förslag inte alla av den föreslagna
lagens bestämmelser skulle undantas. Undantaget skulle i ett sådant fall
innebära en risk för en inskränkning av tryck- och yttrandefriheten
jämfört med vad som gäller i dag.
Bestämmelserna i den nya lagen kan, som tidigare nämnts, inte ta över
bestämmelserna i grundlag. Lagrådet har avstyrkt att detta uttryckligen
anges i lagtexten. Vår uppfattning är dock att lagtexten i syfte att
klargöra och underlätta tillämpningen bör innehålla en uttrycklig erinran
om att bestämmelserna i lagen inte skall tillämpas om en sådan
tillämpning skulle strida mot bestämmelserna om tryck- och
yttrandefrihet i TF eller YGL. En sådan erinran är viktig för att inskärpa
att tillämpningen vid fall av möjliga konflikter skall präglas av
försiktighet och respekt för det grundlagsskyddade området.
Vi anser vidare – i likhet med Datalagskommittén och de allra flesta
remissinstanserna – att man bör göra ytterligare undantag för att främja
tryck- och yttrandefriheten än att enbart konstatera att TF och YGL inte
kan inskränkas genom den nya lagen.
EG-direktivet tillåter att nödvändiga undantag görs för all behandling
av personuppgifter som sker uteslutande för journalistiska ändamål eller
konstnärligt eller litterärt skapande. Eftersom grundlagsskyddet för
tryck- och yttrandefriheten i TF och YGL inte avser alla former av
yttranden, har inte all journalistisk, konstnärlig och litterär verksamhet
sådant grundlagsskydd. Utanför detta grundlagsskydd kan falla t.ex.
författandet av en teaterpjäs för offentligt framförande och journalistisk
verksamhet på Internet som resulterar i yttranden som bara sprids där.
Datalagskommittén har föreslagit att undantaget från den nya lagen för
tryck- och yttrandefriheten får den vidare omfattning som medges av EG-
direktivet. Juridiska fakultetsnämnden vid Uppsala universitet anser
däremot att sådant som faller utanför TF och YGL inte bör undantas.
Tjänstemännens centralorganisation, Svenska journalistförbundet och
Föreningen grävande journalister vänder sig emot att vissa grupper –
journalister, konstnärer och litteratörer – skulle särbehandlas på detta
sätt, eftersom yttrandefriheten är en rättighet som bör tillkomma var och
en. Svenska tidningsutgivareföreningen anser att det är positivt att all
journalistisk och konstnärlig verksamhet undantas.
Det torde råda enighet om att seriös journalistisk, konstnärlig och
litterär verksamhet är skyddsvärd oavsett genom vilket medium resultatet
av verksamheten sprids. Journalistisk, konstnärlig och litterär verksamhet
har särskild betydelse för yttrandefriheten i vid mening även när
verksamheten inte har skydd av de preciserade bestämmelserna i TF och
YGL. Enligt vår mening har sådan verksamhet så stor betydelse att den
skall kunna bedrivas obehindrat. Det undantag från den nya lagens
hanteringsbestämmelser som EG-direktivet medger bör därför utnyttjas
fullt ut. Det är t.ex. inte rimligt att författaren till en lokal nyårsrevy på
grund av den nya lagen skulle behöva i förväg informera de personer
revyn handlar om och kanske också inhämta deras samtycke. Allvarligare
övergrepp genom nu avsedd journalistisk, konstnärlig och litterär verk-
samhet kan angripas enligt allmänna bestämmelser, t.ex. om straff och
skadestånd för förtal.
Tillsynsmyndighetens tillsyn över lagens tillämpning avser tillämp-
ningen av samtliga materiella bestämmelser i den nya lagen. Bland annat
därför kan det vara befogat att undantaget för behandling av person-
uppgifter för journalistiska ändamål m.m. får avse så gott som samtliga
bestämmelser i den nya lagen.
Det är vid all behandling av personuppgifter viktigt att ha en lämplig
säkerhetsnivå så att personuppgifter inte t.ex. läcker ut eller annars sprids
på ett icke avsett vis. Därför bör undantaget för behandling för journa-
listiska ändamål m.m. inte omfatta bestämmelserna om säkerhetsåtgärder
i den nya lagen. Det innebär att det även vid sådan behandling som avses
med undantagen måste vidtas lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas.
Enligt vår mening kan för övrigt en tillämpning av bestämmelserna i
den nya lagen om de säkerhetsåtgärder som skall vidtas vid behandling
av personuppgifter i de allra flesta fall inte heller komma i konflikt med
grundlagarna. Bestämmelserna om skyddsåtgärder får dock, som nämnts,
inte tillämpas om det i det enskilda fallet skulle strida mot TF eller YGL.
Datalagskommittén har som ovan nämnts föreslagit ett undantag från
tillämpningen av personuppgiftslagen för vidarespridning av yttranden
som kommit till stånd i ett grundlagsskyddat medium. Vi har sympati för
kommitténs uppfattning. Kommitténs förslag att yttranden skulle
undantas från tillämpningen av den nya lagen även i medier som inte
omfattas av bestämmelserna i TF eller YGL om yttrandet tidigare
omfattats av dessa grundlagar lades därför fram i lagrådsremissen.
Lagrådet har avstyrkt undantaget och anfört att bestämmelsen sannolikt
inte skulle stå sig vid en rättslig prövning i EG-domstolen eftersom det
inte rör sig om något grundlagsfäst yttrandefrihetsintresse som kan vägas
mot integritetsskyddsintresset. Den kritik som Lagrådet riktar mot
bestämmelsen kan vara riktig såtillvida att det kan finnas enskilda fall av
tillämpningar som faller under det föreslagna undantaget som inte har
grundlagsskydd eller stöd i den möjlighet direktivet ger att göra
undantag. Vi väljer därför att inte föreslå något uttryckligt undantag för
vidarespridningsfallet. Vi är ändock av uppfattningen att det undantag
som redovisats ovan och som följer direktivets ordalydelse i de allra
flesta fall omfattar de situationer som avsågs med undantaget för vidare-
spridning. Eftersom undantaget bör utformas efter direktivets lydelse bör
det inte i den nya lagen göras något generellt undantag för ett visst slag
av kommunikation, såsom föreslagits av IT-utredningen. Det är vår upp-
fattning att tolkningen av undantaget som följer direktivets lydelse skall
ske med hänsyn till den svenska förklaring som vi refererat ovan. Detta
kan få betydelse särskilt för kommunikation som inte bedrivs av yrkes-
verksamma journalister.
8.3 Undantag för rent privat användning av person-
uppgifter
Regeringens förslag: Sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur
undantas från den nya lagen.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Förslaget har godtagits eller lämnats utan
erinran.
Skälen för regeringens förslag: EG-direktivet gäller inte för sådan
behandling av personuppgifter som utförs av en fysisk person som ett led
i verksamhet av rent privat natur eller som har samband med hans eller
hennes hushåll (artikel 3.2). Det står alltså Sverige fritt att tillämpa den
nya lagen på sådan behandling eller låta bli.
Den nya lagen syftar till att skapa ett skydd för individens rent privata
sfär. Det vore därför ologiskt om den nya lagen i själva verket skulle
tillåtas tränga in i denna sfär genom införandet av myndighetskon-
trollerade hanteringsregler för sådant som måste betraktas som rent
privata angelägenheter. Vi anser således att möjligheten enligt direktivet
att undanta rent privat användning av personuppgifter bör utnyttjas fullt
ut. Den nya lagen bör alltså innehålla samma undantag som direktivet.
Detta innebär t.ex. att enskilda för rent privat bruk kan föra en
elektronisk dagbok eller registrera sina grannar eller släktingar.
8.4 Ord- och textbehandling kan inte generellt undantas
Regeringens bedömning: Ord- och textbehandling eller liknande av
personuppgifter i löpande text kan inte generellt undantas från den nya
lagen, eftersom det skulle strida mot EG-direktivet.
Datalagskommitténs bedömning överensstämmer med regeringens.
Remissinstanserna: Många remissinstanser berör svårigheterna med
att tillämpa den nya lagen vid ord- och textbehandling eller liknande.
Flera kommunala instanser och t.ex. Sveriges television AB och Svenska
bankföreningen föreslår att löpande text som används för ren ord- och
textbehandling undantas från lagen.
Skälen för regeringens bedömning: EG-direktivet gäller för sådan
behandling av personuppgifter som helt eller delvis företas på automatisk
väg. Med behandling av personuppgifter avses enligt direktivet varje
åtgärd som vidtas beträffande personuppgifter. Det finns inte något krav
på att de uppgifter som behandlas på automatisk väg skall vara
strukturerade i ett register eller liknande.
Datoriserad ord- och textbehandling eller liknande av löpande text
som innehåller personuppgifter omfattas därför otvivelaktigt av
direktivet. Någon möjlighet att generellt undanta sådan behandling finns
inte enligt direktivet. Den nya lagen kan alltså inte heller innehålla något
sådant generellt undantag. I avsnitt 11 berörs frågan om undantag för
personuppgifter i löpande text från informationsskyldighet. Där framgår
att ett visst undantag för sådana personuppgifter görs.
Däremot står det klart att direktivet inte i första hand tar sikte på sådan
behandling. Detta bör kunna beaktas vid tillämpningen av bestäm-
melserna i lagen. Ord- och textbehandling av löpande text bör t.ex. kunna
undantas från skyldigheten att anmäla automatiska behandlingar till
tillsynsmyndigheten. Privatpersoners ord- och textbehandling och kom-
munikation med e-post faller också som regel under undantaget från
lagen för rent privat användning av personuppgifter. Det torde vidare
regelmässigt vara så att framställningen av ett brev eller någon annan
löpande text kan hänföras under något av de fall där behandling av
personuppgifter är tillåten (se avsnitt 11.3) och att de säkerhetsåtgärder
som måste vidtas (se avsnitt 11.8) kan anpassas till att det är fråga om
ord- och textbehandling. De grundläggande kraven vid all behandling av
personuppgifter (se avsnitt 11.2) torde utan större olägenheter kunna
tillämpas också på personuppgifter i löpande text.
9 Det territoriella tillämpningsområdet för den
nya lagen
Regeringens förslag: Den nya lagen skall tillämpas på sådana person-
uppgiftsansvariga som är etablerade i Sverige. Även när en person-
uppgiftsansvarig från tredje land använder utrustning som finns i
Sverige för behandling av personuppgifter skall som huvudregel den
svenska lagen tillämpas. I sådant fall skall den ansvarige utse en
företrädare för sig som är etablerad i Sverige.
Datalagskommitténs förslag överensstämmer med regeringens, dock
att kommittén föreslår att en utsedd företrädare skall anmälas till
Datainspektionen.
Remissinstanserna: Bara ett fåtal remissinstanser har uttalat sig om
tillämpningsområdet. Kommunikationsforskningsberedningen efterlyser
en analys av reglerna om tillämpningsområdet, särskilt när det gäller
enskildas möjligheter att hävda sina rättigheter vid databehandling med
gränsöverskridande inslag. Datainspektionen anser att regeln om
anmälan av företrädare inte behövs eller i vart fall kan ändras så att
anmälan skall göras till Patent- och registreringsverket. Patent- och
registreringsverket anser däremot att det är lämpligare att anmälan görs
till Datainspektionen. Swedish Direct Marketing Association anser att
förslaget är alltför långtgående och föreslår att det ändras t.ex. så att
lagen bara gäller för behandling i Sverige.
Skälen för regeringens förslag: I artikel 4 i EG-direktivet finns det
en i sina detaljer svårtolkad bestämmelse om det territoriella tillämp-
ningsområdet för varje medlemsstats lagstiftning. Frågan om den
närmare innebörden av artikeln har redan väckts inom den kommitté som
inrättats enligt artikel 31 i direktivet. Det är – för att undvika luckor och
överlappningar – viktigt och nödvändigt att frågan löses i samförstånd
mellan samtliga medlemsstater. Det får förutsättas att så sker. Den
närmare analys av reglerna som Kommunikationsforskningsberedningen
efterlyser får göras inom ramen för det arbetet.
Som läget nu är förefaller det lämpligast att i den nya lagen bara ta in
de huvudregler som otvetydigt framgår av artikeln. När samförstånd om
tolkningen uppnåtts får det övervägas om lagtexten behöver kompletteras
eller om saken kan lösas genom s.k. fördragskonform tolkning i rätts-
tillämpningen.
När det gäller företrädare för en personuppgiftsansvarig som är
etablerad utanför EES, krävs enligt direktivet bara att den ansvarige utser
en företrädare som är etablerad i Sverige. Någon anmälan av företrädaren
till tillsynsmyndigheten krävs alltså inte enligt direktivet. Eftersom
Datainspektionen, som är den instans som skulle kunna ha haft nytta av
en anmälan för sin tillsyn, anser att någon anmälan inte behövs, finner
regeringen inte skäl att ta med bestämmelser om anmälningsskyldighet i
den nya lagen.
10 Normgivningsdelegation
Regeringens förslag: Regeringen bemyndigas att meddela
föreskrifter om att vissa behandlingar av personuppgifter skall
förhandskontrolleras och om undantag från förbudet mot överföring
av personuppgifter till tredje land. Regeringen eller den myndighet
som regeringen bestämmer bemyndigas att
a) föreskriva undantag från vissa bestämmelser i den nya lagen, och
b) precisera de generella regler och principer som den nya lagen
innehåller.
Bestämmelsen i 8 kap. 7 § första stycket 8 regeringsformen justeras
så att det blir möjligt för riksdagen att delegera föreskriftsrätt i fråga
om skydd för personlig integritet även vid manuell behandling av
personuppgifter.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Många remissinstanser, t.ex. på det kommunala
området, anser att delegationen av normgivningsmakt går alltför långt
och förordar att flera bestämmelser ges i lag. De flesta instanserna, t.ex.
Juridiska fakultetsnämnden vid Uppsala universitet och Länsrätten i
Stockholms län, godtar eller lämnar utan erinran kommitténs resonemang
om de lagliga möjligheterna till delegation. Hovrätten över Skåne och
Blekinge anser emellertid att det lagliga utrymmet för delegation är
snävare än vad kommittén förutsatt. Juridiska fakultetsnämnden vid
Stockholms universitet förordar ytterligare utredning av frågan.
Skälen för regeringens förslag: Det finns med hänsyn till skyldig-
heterna enligt EG-direktivet ett behov av att delegera normgivnings-
kompetens på området till regeringen eller den myndighet som
regeringen bestämmer. Enligt vår bedömning är de bestämmelser i den
nya lagen som innebär att föreskrifter får meddelas i författningar av
lägre valör än lag förenliga med regeringsformen.
Behovet av normgivningsdelegation
De regler som finns i EG-direktivet och som införs i den nya lagen är
generella och behöver preciseras, t.ex. när det gäller den intresse-
avvägning som behöver göras i en del fall för att avgöra om en viss
behandling av personuppgifter är tillåten och i fråga om vilka
säkerhetsåtgärder som behöver vidtas vid en behandling. Enligt artikel 5 i
direktivet åligger det för övrigt Sverige att inom den ram direktivet drar
upp precisera på vilka villkor behandling av personuppgifter är tillåten.
Vidare innehåller direktivet en hel del detaljregler, t.ex. i fråga om
vilka uppgifter en anmälan till tillsynsmyndigheten skall innehålla, som
det vore olämpligt att tynga lagtexten med.
EG-direktivet medger också att det under vissa förutsättningar görs
undantag från vissa regler. Det gäller t.ex. undantag från ett förbud mot
behandling av känsliga personuppgifter eller uppgifter om lagöver-
trädelser m.m., undantag från ett förbud mot att föra över personuppgifter
till tredje land, dvs. en stat utanför EES, och undantag från skyldighet att
till tillsynsmyndigheten anmäla automatiserad behandling av person-
uppgifter.
Direktivet kräver vidare att Sverige säkerställer att särskilt inte-
gritetskänsliga behandlingar av personuppgifter kontrolleras på förhand
och att det bestäms vilka behandlingar som skall förhandskontrolleras.
En generell lag som i princip avser att reglera all icke privat använd-
ning av personuppgifter i datorer och manuella register kan inte gärna
innehålla annat än generella principer och de allra viktigaste undantagen
från dessa. Lagen skulle i annat fall bli alldeles för otymplig. De
generella principer som lagen innehåller och som bygger på EG-
direktivet är vidare tämligen beständiga, medan behov av närmare
preciseringar och undantag av naturliga skäl kommer att växla över tiden
och kan uppkomma hastigt. Detta beror bl.a. på den snabba tekniska
utvecklingen, framväxten av nya, i dag oförutsägbara sätt att samla in
och utnyttja personuppgifter och värderingsförändringar. En ordning som
innebär att varje liten justering i det kompletterande regelverket kräver en
sedvanlig lagstiftningsprocess framstår därför som onödigt omständlig
och ohanterlig. Det finns alltså ett behov av att delegera normgivnings-
kompetens på området.
I den utsträckning som det är befogat med ett ställningstagande från
riksdagens sida, finns det alltid möjlighet att ge regleringen på något
visst område i lag. I sådant fall är normgivning på lägre nivå i strid med
den lagregleringen utesluten, om inte annat följer av den aktuella lagen. I
enlighet med vad som anges i avsnitt 6.2 finns det enligt vår mening inte
heller anledning att nu avvika från målsättningen att myndighetsregister
med ett stort antal registrerade och ett särskilt känsligt innehåll skall
regleras särskilt i lag.
Det kan också finnas anledning att notera att den nuvarande datalagen
i huvudsak bygger på att det i första hand är Datainspektionen som mer
eller mindre självständigt skall bestämma för vilka ändamål person-
registrering får ske och vilka villkor som skall gälla för registreringen.
Den nya lagen innehåller flera materiella regler än den nuvarande lagen
och ställer upp en ram inom vilken den kompletterande regleringen måste
hålla sig. Mera finns alltså reglerat i lag med den föreslagna ordningen än
vad som gäller i dag.
Närmare om förslaget om föreskriftsrätt i den nya lagen
Vårt förslag innebär att regeringen eller den myndighet som regeringen
bestämmer skall få meddela föreskrifter om
undantag från ett förbud mot behandling av känsliga personuppgifter,
om det behövs med hänsyn till ett viktigt allmänt intresse,
undantag från ett förbud för andra än myndigheter att behandla person-
uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,
straffprocessuella tvångsmedel eller administrativa frihetsberövanden,
undantag från ett förbud mot överföring av personuppgifter till tredje
land, dvs. en stat utanför EES, om det behövs med hänsyn till ett
viktigt allmänt intresse eller om det finns tillräckliga garantier till
skydd för de registrerades rättigheter,
undantag från skyldighet att anmäla automatiserade behandlingar till
tillsynsmyndigheten för sådana typer av behandlingar som sannolikt
inte kommer att leda till otillbörligt intrång i den personliga
integriteten, och
inom den ram som den nya lagen ställer upp meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling
av personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) innehållet i en anmälan eller ansökan till en personuppgiftsansvarig,
e) vilken information som skall lämnas till registrerade och hur
lämnandet av information skall gå till, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda
uppgifter har ändrats.
Regeringen skall vidare – utan möjlighet till vidare delegation – enligt
vårt förslag få meddela föreskrifter om
undantag från förbudet mot överföring av personuppgifter till tredje
land för överföring till vissa stater eller om överföringen regleras av ett
avtal som ger tillräckliga garantier till skydd för de registrerades
rättigheter, och
att vissa behandlingar av personuppgifter som kan innebära särskilda
risker för otillbörligt intrång i den personliga integriteten skall för
förhandskontroll anmälas till tillsynsmyndigheten tre veckor i förväg.
Av vad som anförs i avsnitt 15 framgår att det föreslås att
bemyndigandena under tiden den 24 oktober 1998 till den 1 januari 1999
bara skall avse automatiserad behandling av personuppgifter.
Vår bedömning av förhållandet till regeringsformen
I 8 kap. 1 § regeringsformen finns det en erinran om att det av
bestämmelserna i 2 kap. regeringsformen följer att föreskrifter av visst
slag får meddelas endast genom lag. I 2 kap. 3 § andra stycket
regeringsformen finns det en bestämmelse om att varje medborgare skall
i den utsträckning som närmare anges i lag skyddas mot att hans eller
hennes personliga integritet kränks genom att uppgifter om honom eller
henne registreras med hjälp av automatisk databehandling. Av
förarbetena framgår emellertid att lydelsen av grundlagsregeln har
utformats så att det skall stå klart att regeln inte hindrar regeringen, andra
myndigheter eller kommuner att meddela dataskyddsbestämmelser (prop.
1987/88:57 s. 11). Efter införandet av regeln i 2 kap. 3 § andra stycket
har i regeringsformen också införts en möjlighet för riksdagen att till
regeringen eller den myndighet som regeringen bestämmer delegera
rätten att meddela föreskrifter om skydd för personlig integritet vid
registrering av uppgifter med hjälp av automatisk databehandling, varvid
regeln i 2 kap. 3 § andra stycket inte ansetts hindra sådan delegation
(prop. 1993/94:116 s. 15). Däremot innebär regeln i 2 kap. 3 § andra
stycket enligt förarbetena att riksdagen måste vara aktiv genom att stifta
och vidmakthålla en dataskyddslagstiftning som utgör en verklig och
allvarligt menad skyddslagstiftning (prop. 1987/88:57 s. 11). Av det
sagda följer enligt vår uppfattning, vilken delas av Lagrådet, att reglerna
i 2 kap. 3 § andra stycket regeringsformen inte hindrar att regeringen och
den myndighet som regeringen bestämmer ges behörighet att närmare
precisera och konkretisera regleringen i den nya lagen, som skall uppta
de grundläggande huvudreglerna och principerna i fråga om
personuppgiftsskyddet.
Nästa fråga av betydelse för delegationsmöjligheterna blir hur den
föreslagna lagstiftningen förhåller sig till bestämmelserna i 8 kap. 2 och
3 §§ regeringsformen, dvs. om lagstiftningen skall anses vara av civil-
rättslig eller offentligrättslig karaktär.
Enligt 8 kap. 2 § regeringsformen skall föreskrifter om enskildas
personliga ställning samt om deras personliga och ekonomiska för-
hållanden inbördes meddelas genom lag. Sådana föreskrifter tillhör det
obligatoriska lagområdet, och riksdagen får inte delegera föreskriftsrätten
inom detta område.
Enligt 8 kap. 3 § regeringsformen skall föreskrifter om förhållandet
mellan enskilda och det allmänna som gäller åligganden för enskilda eller
i övrigt avser ingrepp i enskildas personliga eller ekonomiska för-
hållanden meddelas genom lag. Beträffande sådana offentligrättsliga
föreskrifter är det möjligt att delegera föreskriftsrätten i de fall som anges
i 8 kap. 7 § regeringsformen. Motsvarande gäller enligt 8 kap. 5 och 7 §§
beträffande föreskrifter om kommunernas befogenheter och åligganden.
Att klart slå fast var gränsen går mellan offentligrättsliga och privat-
rättsliga regler är närmast omöjligt. Håkan Strömberg konstaterar i
Normgivningsmakten enligt 1974 års regeringsform, Juristförlaget i
Lund, Lund 1989, s. 64 ff. i anledning av frågan om regeringen i lagen
(1980:2) om finansbolag och fondkommissionslagen (1979:748) kunde
bemyndigas att meddela föreskrifter om kapitaltäckningskrav: ”De
sistnämnda lagstiftningsärendena belyser det förhållande, som har
påpekats i första kapitlet av denna framställning, nämligen att
rättsreglerna hänger samman med varandra på många sätt och att en
uppdelning av rättsregler i olika ämnesområden ibland är möjlig endast
om man bortser från det inre sammanhanget i regelsystemet.
Grundlagsstiftarna har byggt på indelningen i offentlig rätt och privaträtt
utan att tänka på att offentligrättsliga och privaträttsliga regler kan vara
sammanflätade med varandra. Att genom grundlagstolkning entydigt
fastställa var gränsen mellan de båda rättsområdena skall dras i ett fall
som det ovan nämnda är därför strängt taget en hopplös uppgift.”
När det gäller frågan om föreskrifter till skydd för den enskildes
personliga integritet är att hänföra till privaträttsliga eller
offentligrättsliga föreskrifter är vår uppfattning och utgångspunkt att
bestämmelserna till följd av sin karaktär i grunden utgör offentligrättsliga
föreskrifter. Bestämmelserna utgör ett medel för det allmänna att bl.a. i
enlighet med vad som anges i 2 kap. 3 § regeringsformen skydda
enskilda mot kränkning av deras personliga integritet genom olämplig
behandling av personuppgifter.
Lagrådet har vid sin analys av frågan om reglernas privat- eller
offentligrättsliga karaktär haft en delvis annan utgångspunkt än vi. I vår
diskussion i lagrådsremissen om normernas karaktär har vid analysen om
förhållandet till 8 kap. 2 § regeringsformen inledningsvis konstaterats att
det inte kan vara fråga om sådana föreskrifter som behandlas i första
ledet av 8 kap. 2 § regeringsformen, dvs. att det kan inte röra enskildas
personliga ställning i den mening som avses i paragrafen. Lagrådet
ansluter sig till vår bedömning i denna del.
När det sedan gäller andra ledet av 8 kap. 2 § regeringsformen,
”enskildas personliga och ekonomiska förhållanden inbördes”, skulle det
kunna hävdas att de aktuella normerna bör hänföras till 8 kap 2 §,
eftersom en enskild kan förpliktas betala skadestånd till annan enskild
enligt den föreslagna lagen. Enligt vår uppfattning kan man dock inte
bara på grund av den omständigheten dra slutsatsen att i grunden offent-
ligrättsliga föreskrifter är av privaträttslig karaktär, särskilt inte då
bestämmelserna har kombinerats med straffbestämmelser eller annan
betydelsefull offentligrättslig sanktion i form av vitesföreläggande.
Enligt Lagrådets uppfattning är föreskrifter som en enskild person med
framgång kan direkt åberopa mot andra enskilda i domstol och som kan
leda till att enskilda förpliktas att betala skadestånd av privaträttslig
natur. Lagrådet konstaterar vidare att den omständigheten att
föreskrifterna dessutom kan ha påtagliga offentligrättsliga inslag inte
innebär att den privaträttsliga delen bortfaller. Lagrådet tar därför avstånd
från tanken i remissen att införandet av ett system för offentlig tillsyn av
tillämpningen av privaträttsliga föreskrifter eller en kriminalisering av
dessa får till konsekvens att föreskrifterna förlorar sin privaträttsliga
karaktär och förvandlas till offentligrättsliga.
Frågan om bestämmelser har offentligrättslig eller privaträttslig
karaktär är som framgår av Håkan Strömbergs uttalande ofta
svårbedömd. Det är därför naturligt att det förekommer olika
uppfattningar om till vilken grupp en bestämmelse skall hänföras. Vi
delar Lagrådets uppfattning att föreskrifter som är av privaträttslig
karaktär inte enbart till följd av ett straffbeläggande eller genom ett
införande av andra offentligrättsliga sanktioner kan förvandlas till
offentligrättsliga föreskrifter. Ett sådant förfaringssätt skulle onekligen
innebära ett kringgående av regeringsformen. I förevarande fall rör det
det sig dock enligt vår uppfattning inte om i grunden privaträttsliga
bestämmelser utan om bestämmelser som till sin natur har
offentligrättslig karaktär. De bestämmelser om skydd för personuppgifter
som redan finns, t.ex. i datalagen (1973:289) och i
kreditupplysningslagen (1973:1173), har också hittintills alltid i
praktiken behandlats som offentligrättsliga. Det tillägg till
delegationsgrunderna i 8 kap. 7 § regeringsformen som på den dåvarande
regeringens förslag infördes i anslutning till 1994 års val bygger också på
denna förutsättning. Det förhållande att bestämmelserna är förknippade
med skadeståndssanktion kan enligt vår mening inte förta
bestämmelserna deras offentligrättsliga karaktär (jfr t.ex. järnvägs-
trafiklagen [1985:192], särskilt 3 § och Lagrådets yttrande i prop.
1996/97:65 om ändringar i kreditupplysningslagen angående 7 § denna
lag). Vi anser inte heller att den större betydelse som skadestånds-
sanktionen får i den nya lagen jämfört med i dag är av så avgörande
betydelse att bestämmelserna i grunden förvandlas till privaträttsliga i
stället för offentligrättsliga. Lagstiftningen erbjuder flera exempel på att
offentligrättsliga bestämmelser kan ha privaträttsliga inslag utan att
reglernas karaktär bedöms vara annat än offentligrättslig. Av 8 kap. 7 §
andra stycket regeringsformen framgår att offentligrättsliga föreskrifter
som meddelats av regeringen med stöd av delegation enligt första stycket
kan förknippas med straffsanktioner, och huvudregeln är ju att
skadestånd skall betalas för skada som vållats genom brott, se t.ex. 1 kap.
3 § och 2 kap. 5 § skadeståndslagen (1972:207).
Från EG-direktivets synpunkt saknar distinktionen mellan civilrättslig
och offentligrättslig lagstiftning betydelse. Medlemsstaterna har skyl-
dighet att införliva dataskyddsreglerna i sin nationella lagstiftning men
har frihet att välja metod för hur det skall ske.
Vår slutsats är att de bemyndiganden som föreslås i den nya lagen
avser offentligrättsliga föreskrifter och inte sådana privaträttsliga före-
skrifter som hör till det obligatoriska lagområdet. Det är således möjligt
att i de ämnen som anges i 8 kap. 7 § 8 regeringsformen lämna bemyn-
digandena.
Enligt bestämmelsen i 8 kap. 7 § 8 regeringsformen kan delegation av
föreskriftsrätt ske i fråga om ”skydd för personlig integritet vid
registrering av personuppgifter med hjälp av automatisk databehandling”.
Lagrådet har som konsekvens av ställningstagandet att föreskrifterna är
av privaträttslig karaktär förordat att punkt 8 i det akuella lagrummet
skall upphävas. Vi har som framgår ovan kommit till en annan slutsats
vad gäller bestämmelsernas karaktär. Föreskrifter bör kunna ges av
regeringen eller den myndighet som regeringen bestämmer på hela det
område som omfattas av den nya lagen, dvs. även när det gäller sådan
manuell behandling av personuppgifter som omfattas av den nya lagen
(se avsnitt 6.1). Vi föreslår därför i likhet med Datalagskommittén att den
bestämmelsen ändras så att det blir möjligt att – i enlighet med tillämp-
ningsområdet för den nya lagen och EG-direktivet – delegera
föreskriftsrätt i fråga om ”skydd för personlig integritet vid behandling
av personuppgifter”.
I avsnitt 15 berörs frågan om när den nya lagen, inklusive föreslagna
bemyndiganden, och ändringen i regeringsformen skall träda i kraft.
11 Den materiella regleringen
11.1 Huvudprinciper
Regeringens förslag: Den nya lagen skall innehålla de generella
regler som följer av EG-direktivet i fråga om vilka krav som ställs vid
behandling av personuppgifter, när sådan behandling är tillåten,
information till den registrerade, korrigering av personuppgifter,
rättigheter vid automatiserade beslut, säkerheten vid behandlingen och
överföring av personuppgifter till s.k. tredje land.
Datalagskommitténs förslag överensstämmer i huvudsak med re-
geringens.
Remissinstanserna: De allra flesta remissinstanser accepterar att de
regler som följer av EG-direktivet införs i den nya lagen. Flera föreslår
dock förtydliganden, kompletteringar eller undantagsregler i olika
hänseenden.
Skälen för regeringens förslag: EG-direktivet innehåller en rad
materiella regler om hanteringen av personuppgifter. Det gäller generella
regler om vilka krav som ställs vid behandling av personuppgifter, när
sådan behandling är tillåten, information till den registrerade, korrigering
av personuppgifter, rättigheter vid automatiserade beslut, säkerheten vid
behandlingen och överföring av personuppgifter till s.k. tredje land, dvs.
till en stat utanför EES. En sammanfattning av reglerna i direktivet finns
i avsnitt 4.3.
De materiella reglerna i direktivet måste införas i den nya lagen. I
enlighet med vad som anges i avsnitt 5.2 bör den nya lagen därvid i
huvudsak följa direktivets text och struktur och i princip bara innehålla
de generella regler som följer av direktivet. Behovet av undantag och sär-
regler för mer speciella områden får tillgodoses genom andra författ-
ningar, se avsnitt 6.2.
Förslagen från remissinstanserna till utformning av lagtexten har följts
i flera fall. I författningskommentaren berörs vissa andra förslag i den
utsträckning de inte bedömts stå i strid med direktivet. I det följande
berörs närmare de materiella regler som den nya lagen innehåller.
11.2 Grundläggande krav på behandlingen av person-
uppgifter
Regeringens förslag: Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet
med god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hän-
syn till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nöd-
vändigt, aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna så-
dana personuppgifter som är felaktiga eller ofullständiga med
hänsyn till ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen.
För behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål gäller vissa särregler.
Datalagskommitténs förslag stämmer i huvudsak överens med
regeringens. Kommittén föreslår dock att skyldigheten att vidta åtgärder
för att rätta, blockera eller utplåna skall gälla inte bara felaktiga eller
ofullständiga personuppgifter utan också missvisande personuppgifter.
Remissinstanserna: Länsrätten i Stockholms län anser att ändamålen
med en behandling skall nedtecknas och avstyrker att korrigerings-
skyldigheten skall gälla även missvisande personuppgifter.
Skälen för regeringens förslag: De grundläggande kraven på be-
handling av personuppgifter i den nya lagen stämmer överens med de
krav som medlemsstaterna skall föreskriva enligt artikel 6 i EG-
direktivet, se bilaga 1.
EG-direktivet nämner inte missvisande personuppgifter i fråga om
skyldigheten att vidta åtgärder för att rätta, blockera eller utplåna person-
uppgifter. Därför har vi – till skillnad från Datalagskommittén men i
enlighet med vad Länsrätten i Stockholms län föreslagit – valt att i
bestämmelsen uttryckligen nämna bara felaktiga och ofullständiga
personuppgifter. Det är för övrigt svårt att se att det i praktiken skulle
kunna förekomma fall där en personuppgift med hänsyn till ändamålen
med behandlingen skulle vara objektivt sett missvisande men inte
felaktig eller ofullständig.
Däremot finns det enligt vår mening inte anledning att följa länsrättens
förslag om att införa en uttrycklig skyldighet att nedteckna ändamålet
med behandlingen. Någon sådan skyldighet föreskrivs inte enligt EG-
direktivet. Ändamålet måste dock vara uttryckligt angivet. De
bestämmelser som finns om information till den registrerade när person-
uppgifterna samlas in (se avsnitt 11.5.1) medför som regel att ändamålen
måste uppges redan när behandlingen påbörjas. Härtill kommer att den
personuppgiftsansvarige alltid är skyldig att uppge ändamålen antingen i
en anmälan till tillsynsmyndigheten eller till var och en som begär en
sådan upplysning (se avsnitt 12). Detta får anses tillräckligt.
Behandling för historiska, statistiska och vetenskapliga ändamål
Enligt EG-direktivet är lagring och annan behandling av personuppgifter
för historiska, statistiska och vetenskapliga ändamål särskilt gynnad. Se-
nare behandling för sådana ändamål skall inte anses oförenlig med de ur-
sprungliga ändamål för vilka uppgifterna samlades in. Det är också till-
låtet att för sådana ändamål spara personuppgifter under längre tid.
Personuppgifter får dock inte heller i dessa fall bevaras under längre tid
än vad som behövs för dessa ändamål. Motsvarande bestämmelser har
förts in i den nya lagen. EG-direktivet kräver dock att Sverige för dessa
fall beslutar om eller vidtar lämpliga skyddsåtgärder.
Datalagskommittén har i detta hänseende föreslagit en bestämmelse
om att personuppgifter som behandlas för historiska, statistiska eller
vetenskapliga ändamål får användas för att vidta åtgärder beträffande den
registrerade bara om den registrerade har lämnat sitt samtycke eller det
finns synnerliga skäl med hänsyn till den registrerades eller någon
annans vitala intressen. Remissinstanserna har lämnat förslaget i sak utan
erinran, dock anser Statistiska centralbyrån att det inte är acceptabelt
med en bestämmelse som innebär att uppgifter som behandlas för
aktuella ändamål kan användas för att vidta åtgärder mot den registrerade
med hänsyn till någon annans vitala intressen. Vi kan inte annat än hålla
med centralbyrån på den punkten. Det bör således inte vara möjligt att
utsätta den registrerade för åtgärder bara av hänsyn till någon annan. I
övrigt motsvarar bestämmelsen i den nya lagen i stort sett den som
kommittén föreslagit. Bestämmelsen skall – i enlighet med kommitténs
förslag – inte gälla för en myndighets användning av personuppgifter i
allmänna handlingar. För sådana personuppgifter finns det nämligen
redan lämpliga skyddsåtgärder i form av bestämmelser om sekretess och
skydd för arkiv.
11.3 När behandling av personuppgifter är tillåten
Regeringens förslag: Personuppgifter får behandlas bara om den
registrerade har lämnat sitt samtycke till behandlingen eller om
behandlingen är nödvändig för att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder
som den registrerade begärt skall kunna vidtas innan ett avtal
träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl-
dighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband
med myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgifts-
ansvarige eller hos en sådan tredje man till vilka personuppgifterna
lämnas ut skall kunna tillgodoses om detta intresse väger tyngre än
den registrerades intresse av skydd mot kränkning av den personliga
integriteten.
Personuppgifter får inte behandlas för ändamål som rör direkt
marknadsföring, om den registrerade hos den personuppgiftsansvarige
skriftligen har anmält att han eller hon motsätter sig sådan behandling.
När en behandling bara är tillåten med samtycke, får ytterligare
personuppgifter inte behandlas sedan den registrerade har återkallat
sitt samtycke.
I övrigt har den registrerade inte rätt att motsätta sig behandling av
personuppgifter som är tillåten enligt den nya lagen.
Datalagskommitténs förslag stämmer i stort sett överens med
regeringens.
Remissinstanserna: Kammarrätten i Göteborg anser att den
registrerade skall ha rätt att bli informerad innan personuppgifter för
första gången lämnas ut till tredje man eller används för tredje mans
räkning för ändamål som rör direkt marknadsföring och att uttryckligen
få ett erbjudande om att utan kostnader motsätta sig ett sådant
utlämnande eller en sådan användning. Datainspektionen anser å sin sida
att det i fråga om behandling för ändamål som rör direkt marknadsföring
bör införas ett krav på aktivt samtycke eller en ordning med ett nationellt
s.k. reservationsregister. Även Landsorganisationen i Sverige (LO) anser
att det för behandling för sådana ändamål bör krävas medgivande från
den registrerade.
Skälen för regeringens förslag: Uppräkningen i den nya lagen av i
vilka fall behandling av personuppgifter är tillåten stämmer överens med
den uppräkning som i detta hänseende finns i artikel 7 i EG-direktivet, se
bilaga 1. Uppräkningen är uttömmande. Om känsliga personuppgifter,
uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas,
måste behandling dessutom vara tillåten i enlighet med de bestämmelser
som gäller för behandling av sådana uppgifter (se avsnitt 11.4).
Att – såsom en del remissinstanser föreslagit – göra förtydliganden
och kompletteringar i förhållande till EG-direktivets text är enligt vår
mening inte lämpligt och i vissa fall otillåtet enligt direktivet. Lagtexten
bör i stället nära ansluta till direktivets text (se avsnitt 5.2). Närmare
preciseringar av när behandling är tillåten får – inom den ram EG-
direktivet och lagtexten ger – göras i rättstillämpningen och i kom-
pletterande föreskrifter som utfärdas i anslutning till lagen (se avsnitt 10
om normgivningsdelegation).
Behandling för ändamål som rör direkt marknadsföring
Behandling av personuppgifter för ändamål som rör direkt marknads-
föring kan vara tillåten t.ex. efter en sådan intresseavvägning som anvisas
i punkt g. Vi föreslår dock en uttrycklig bestämmelse i den nya lagen
enligt vilken personuppgifter inte får behandlas för sådana ändamål, om
den registrerade hos den personuppgiftsansvarige skriftligen har anmält
att han eller hon motsätter sig sådan behandling. Den bestämmelsen
uppfyller kravet i artikel 14 i EG-direktivet att medlemsstaterna skall
tillförsäkra den registrerade rätten att efter anmodan och utan kostnader
motsätta sig behandling av personuppgifter som rör den registrerade och
som den personuppgiftsansvarige bedömer kan komma att behandlas för
ändamål som rör direkt marknadsföring. Ett enligt EG-direktivet (artikel
14 första stycket b) tillåtet alternativ till en sådan bestämmelse som den
föreslagna är att ge den registrerade rätt att bli informerad innan person-
uppgifter för första gången lämnas ut till tredje man eller används för
tredje mans räkning för ändamål som rör direkt marknadsföring och att
uttryckligen få ett erbjudande om att utan kostnader motsätta sig ett
sådant utlämnande eller en sådan användning. Kammarrätten i Göteborg
anser att det alternativet är att föredra. Även Datainspektionen och
Landsorganisationen i Sverige (LO) har synpunkter på regleringen i
denna bestämmelse.
Vi anser för vår del att den reglering som den föreslagna
bestämmelsen innehåller är den enklaste och smidigaste. Regleringen ger
den som så önskar en möjlighet att undvika behandling för ändamål som
rör direkt marknadsföring och hindrar inte heller att det på privat initiativ
inrättas ett nationellt reservationsregister till vilket enskilda kan anmäla
att de inte önskar bli utsatta för direkt marknadsföring generellt eller bara
i vissa fall.
Rätt att motsätta sig behandling – Återkallelse av samtycke
Enligt den nuvarande datalagen finns det inte någon generell rätt för den
registrerade att motsätta sig en behandling som är laglig. Bestämmelserna
i artikel 14 i EG-direktivet innebär att det för behandling för ändamål
som rör direkt marknadsföring skall finnas en rätt för den registrerade att
motsätta sig behandlingen, men att medlemsstaterna i övrigt fritt kan
genom lagstiftning bestämma i vilken utsträckning en registrerad skall ha
rätt att motsätta sig en sådan behandling som är laglig och tillåten enligt
direktivet.
På grund av utformningen av EG-direktivet måste det således i
lagstiftningen slås fast i vilken utsträckning den registrerade generellt har
rätt att motsätta sig behandling av personuppgifter. Datalagskommittén
har föreslagit att den registrerade, i de fall där behandlingen bara är
tillåten när den registrerade har lämnat sitt samtycke, skall ha rätt att när
som helst återkalla ett lämnat samtycke med den verkan att ytterligare
uppgifter om den registrerade därefter inte får behandlas; återkallelsen
påverkar således inte behandlingen av de uppgifter som redan har hunnit
samlas in med stöd av samtycket. Därutöver skall den registrerade, enligt
kommitténs förslag, inte ha någon rätt att motsätta sig en behandling som
är tillåten enligt den nya lagen.
Förslaget har lämnats utan invändningar av remissinstanserna och bör
genomföras. Huvudregeln om att den registrerade inte har rätt att
motsätta sig en enligt lagen tillåten behandling motsvarar vad som gäller
i dag. Regleringen av det fallet att ett lämnat samtycke återkallas innebär
enligt vår mening en lämplig avvägning mellan den registrerades och den
personuppgiftsansvariges intressen. Regleringen innebär att den regi-
strerades självbestämmanderätt beträffande vilka uppgifter som får
samlas in respekteras samtidigt som den personuppgiftsansvariges
befogade anspråk på att få behandla färdigt de uppgifter som han eller
hon kommit över med stöd av ett frivilligt lämnat samtycke kan tillgodo-
ses.
11.4 Behandling av särskilda kategorier av uppgifter
11.4.1 Behandling av känsliga personuppgifter
Regeringens förslag: Det är förbjudet att behandla personuppgifter
som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller
filosofisk övertygelse, eller medlemskap i fackförening. Det är också
förbjudet att behandla sådana personuppgifter som rör hälsa eller
sexualliv.
Från förbudet gäller undantag vid uttryckligt samtycke eller när
uppgifter på ett tydligt sätt offentliggörs av den registrerade, vid
nödvändig behandling inom arbetsrätten, för att skydda vitala
intressen eller för att fastställa, göra gällande eller försvara rättsliga
anspråk och vid behandling inom ideella organisationer eller inom
hälso- och sjukvården.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Flera remissinstanser, t.ex. på det kommunala
området, påpekar att definitionen av känsliga personuppgifter inte
överensstämmer med den som tillämpas i dag. Arbetarskyddsstyrelsen
anser att regeringen eller Datainspektionen bör ha möjlighet att i
särskilda fall förbjuda behandling av känsliga personuppgifter även om
det finns samtycke.
Skälen för regeringens förslag: Definitionen av känsliga person-
uppgifter i det principiella förbudet mot behandling av sådana uppgifter i
den nya lagen överensstämmer med den definition som finns i artikel 8.1
i EG-direktivet, se bilaga 1.
Enligt den nuvarande datalagen gäller särskilda regler för
personregister som innehåller uppgifter om
andra än medlemmar, anställda eller kunder hos den person-
uppgiftsansvarige eller personer som har annan därmed jämställd
anknytning till denne,
att någon misstänks eller dömts för brott,
att någon avtjänat straff eller undergått annan påföljd för brott,
att någon varit föremål för tvångsingripande enligt viss lagstiftning,
att någon fått ekonomisk hjälp eller vård inom socialtjänsten,
att någon varit föremål för åtgärd enligt utlänningslagen,
någons sjukdom, hälsotillstånd eller sexualliv,
någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt
och
någon som utgör omdöme eller annan värderande upplysning.
En del av det som i dag omfattas av särskilda regler enligt den
nuvarande datalagen kommer alltså inte att omfattas av bestämmelserna
om känsliga personuppgifter i den nya lagen. Datalagskommittén har
ansett att det skulle vara oförenligt med EG-direktivet att utvidga
tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter
till att omfatta allt det som regleras av särskilda regler enligt den
nuvarande datalagen. Den bedömningen verkar inte ha ifrågasatts av
någon remissinstans. Även vi anser att det inte är tillåtet enligt EG-
direktivet att i nationell lagstiftning ha en annan definition, som t.ex.
omfattar uppgifter som är helt artskilda i förhållande till de som i
direktivet definieras som känsliga. Att göra så skulle hindra det fria
flödet av sådana uppgifter inom Europeiska unionen och därmed strida
mot direktivet.
Undantag från förbudet mot behandling av känsliga personuppgifter
Även undantagen från förbudet mot behandling av känsliga person-
uppgifter i den nya lagen överensstämmer med de undantag som skall
föreskrivas enligt artikel 8.2 och 8.3 i EG-direktivet.
Enligt artiklarna gäller inte det tidigare nämnda förbudet mot
behandling av känsliga personuppgifter om
den registrerade har lämnat sitt uttryckliga samtycke till en sådan be-
handling, utom när det enligt medlemsstatens lagstiftning anges att
förbudet mot behandling av känsliga personuppgifter inte kan upp-
hävas genom den registrerades samtycke, eller
behandlingen är nödvändig för att fullgöra de skyldigheter och sär-
skilda rättigheter som åligger den personuppgiftsansvarige inom
arbetsrätten, i den omfattning detta är tillåtet enligt en nationell
lagstiftning som föreskriver lämpliga skyddsåtgärder, eller
behandlingen är nödvändig för att skydda den registrerades eller någon
annan persons grundläggande intressen när den registrerade är fysiskt
eller rättsligt förhindrad att ge sitt samtycke, eller
behandlingen utförs inom ramen för berättigad verksamhet hos en
stiftelse, en förening eller ett annat icke vinstdrivande organ, som har
ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att be-
handlingen endast rör sådana organs medlemmar eller personer som på
grund av organets ändamål har regelbunden kontakt med detta och
uppgifterna inte lämnas ut till tredje man utan den registrerades sam-
tycke, eller
behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den
registrerade eller är nödvändiga för att kunna fastslå, göra gällande
eller försvara rättsliga anspråk, eller
behandlingen av uppgifterna är nödvändig med hänsyn till före-
byggande hälso- och sjukvård, medicinska diagnoser, vård eller
behandling eller administration av hälso- eller sjukvård eller om dessa
uppgifter behandlas av någon som är yrkesmässigt verksam på hälso-
och sjukvårdsområdet och som enligt nationell lagstiftning eller
bestämmelser som antagits av behöriga nationella organ är underkastad
tystnadsplikt eller av en annan person som är ålagd en liknande
tystnadsplikt.
Som framgått kan enligt EG-direktivet en medlemsstat i sin
lagstiftning bestämma att förbudet mot behandling av känsliga person-
uppgifter inte kan upphävas genom den registrerades samtycke.
Arbetarskyddsstyrelsen anser att lagen i enlighet härmed bör ge
regeringen eller Datainspektionen möjlighet att i särskilda fall förbjuda
behandling av känsliga personuppgifter även om det finns samtycke.
När någon har lämnat ett frivilligt samtycke till en viss behandling,
kan det enligt vår mening inte finnas något integritetsskyddsintresse som
gör det befogat att förbjuda den behandling som den registrerade och den
personuppgiftsansvarige är överens om. Någon sådan möjlighet som
Arbetarskyddsstyrelsen föreslagit bör därför inte införas.
Enligt den nya lagen gäller således undantag vid samtycke eller att
uppgiften tydligt offentliggörs av den registrerade, vid nödvändig
behandling inom arbetsrätten, för att skydda vitala intressen eller för att
fastställa, göra gällande eller försvara rättsliga anspråk och vid
behandling inom ideella organisationer eller inom hälso- och sjukvården.
Dessa undantag berörs vidare i författningskommentaren.
Enligt artikel 8.4 i EG-direktivet har medlemsstaterna möjlighet att
föreskriva ytterligare undantag från förbudet med hänsyn till viktiga
allmänna intressen. Detta förutsätter dock att det finns lämpliga skydds-
åtgärder. Såsom framgår av avsnitt 10 föreslår vi att regeringen eller den
myndighet som regeringen bestämmer skall bemyndigas att för viktiga
allmänna intressen föreskriva andra undantag från det principiella
förbudet mot behandling av känsliga personuppgifter än dem som
framgår direkt av EG-direktivet. Vi anser dock att forskning och statistik
är ett så viktigt område att det bör regleras redan i den nya lagen.
Undantaget för forskning och statistik berörs närmare i följande avsnitt.
11.4.2 Behandling utan samtycke av känsliga personuppgifter
för forskning och statistik
Regeringens förslag: Känsliga personuppgifter får behandlas utan
samtycke för forskning och statistik, om behandlingen är nödvändig
och om samhällsintresset av projektet klart väger över riskerna för
otillbörligt intrång i den personliga integriteten. Har behandlingen
godkänts av en forskningsetisk kommitté, skall förutsättningarna anses
uppfyllda.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Samtliga remissinstanser med anknytning till
forsknings- och statistikverksamhet godtar förslaget eller lämnar det utan
erinran. Svea hovrätt anser att förhandsgranskning alltid bör göras av
Datainspektionen i avvaktan på att den forskningsetiska verksamheten
ses över. Arbetarskyddsstyrelsen föreslår att prövningen bör göras inte av
en forskningsetisk kommitté utan av styrelsen för den institution som
forskaren tillhör. Styrelsen anser vidare, liksom Kammarrätten i
Göteborg och Länsrätten i Stockholms län, att kommitténs beslut i vart
fall bör kunna överprövas. Statistiska centralbyrån efterlyser bättre
möjligheter att göra s.k. bortfallsanalys beträffande personer som vägrat
lämna samtycke till en undersökning.
Skälen för regeringens förslag: Forskning och statistik är ett så
viktigt område att det bör regleras redan i den nya lagen. Beträffande den
officiella statistiken finns det redan en särskild författningsreglering
(lagen [1995:606] om vissa personregister för officiell statistik och
förordningen [1995:1060] om vissa personregister för officiell statistik)
som – i enlighet med vad som anges i avsnitt 6.2 – skall gälla framför
den nya lagen. För övrig statistik och för forskning i allmänhet saknas
däremot särskild författningsreglering, och det är sådant som inte redan
är reglerat särskilt i författning som övervägandena i det följande tar sikte
på.
Att samhällsintressant forskning och statistik kan genomföras utgör ett
sådant viktigt allmänt intresse som avses i artikel 8.4 i EG-direktivet.
Den nya lagen bör – såsom en sådan lämplig skyddsåtgärd som avses i
nämnda artikel i direktivet – innehålla en regel om att personuppgifter
som behandlas för bl.a. statistiska eller vetenskapliga ändamål får
användas för att vidta åtgärder beträffande den registrerade bara om den
registrerade har lämnat sitt samtycke eller om det finns synnerliga skäl
med hänsyn till den registrerades vitala intressen. Regeln bör dock inte
gälla för en myndighets användning av personuppgifter i allmänna
handlingar. Regeln har berörts i avsnitt 8.1. De stränga regler om
sekretess och tystnadsplikt som regelmässigt gäller vid behandling för
forskning och statistik får också anses utgöra lämpliga skyddsåtgärder.
En avvägningsnorm i lagtexten
Enligt den nya lagen får känsliga personuppgifter alltid behandlas om
den registrerade uttryckligen har lämnat sitt samtycke. Huvudprincipen
vid forskning och statistik har under lång tid varit att den enskilde skall
ha lämnat sitt samtycke. Vad frågan här gäller är alltså i vilka
undantagsfall känsliga personuppgifter skall få behandlas för forskning
och statistik utan samtycke från de registrerade.
Viss forskning och statistik är så viktig att den inte bör vara beroende
av att varje berörd enskild har informerats och lämnat sitt samtycke.
Ibland tar samhällsintresset över intresset av att skydda enskildas
personliga integritet. Att ett rättvisande cancerregister kan föras är t.ex.
ett så viktigt samhällsintresse att man inte kan ta hänsyn till att drygt
10 procent av befolkningen anser att patientuppgifter inte skall få föras
över dit.
Principen om en fri forskning gör att det finns många olikartade forsk-
nings- och statistikprojekt, och dessa pågår som regel bara under en
begränsad tid. Detta, liksom vikten av att värna om forskningens frihet,
gör att det förefaller lämpligare att göra en avvägning i varje särskilt fall
än att i den nya lagen införa generella regler om vilken forskning och
statistik som skall tillåtas. Vid en sådan individuell avvägning kan olika
faktorer kring forsknings- eller statistikprojektet vägas mot intrånget i
den enskildes personliga integritet. Det bör t.ex. göras en bedömning av
hur pass viktig den kunskap är som projektet kan ge och om den
kunskapen kan fås på något annat sätt än genom att behandla person-
uppgifter eller om intrånget i den personliga integriteten annars kan
begränsas genom en annan uppläggning av projektet. Det är t.ex. viktigt
att möjligheterna att bedriva forskningen eller framställa statistiken utan
att använda personanknutna uppgifter alltid undersöks.
Det sagda talar för att det bör finnas något slags avvägningsnorm i
lagtexten. Den avvägningsnorm som Datalagskommittén föreslagit har i
huvudsak godtagits av remissinstanserna. Hovrätten över Skåne och
Blekinge anser dock att avvägningsnormen bör preciseras och att lag-
texten bör utfyllas. Liknande synpunkter förs fram av Malmö tingsrätt.
Den föreslagna normen innebär att behandling utan samtycke av känsliga
personuppgifter får ske under förutsättning att behandlingen är nödvän-
dig och att samhällsintresset av det forsknings- eller statistikprojekt vari
behandlingen ingår klart väger över den risk för otillbörligt intrång i
enskildas personliga integritet som behandlingen kan innebära.
Den normen ger uttryck för en restriktiv tillämpning och betonar att
behandlingen måste vara nödvändig samtidigt som en intresseavvägning
skall göras. Enligt vår mening är det inte nödvändigt att i lagtexten
ytterligare precisera normen utan det kan överlåtas åt rättstillämpningen
att med användande av normen och allt efter rådande värderingar och
utvecklingen i samhället avgöra vilka behandlingar som kan tillåtas. Vid
den helhetsbedömning som skall göras enligt normen kan beaktas bl.a.
forsknings- eller statistikprojektets vikt, behovet av personuppgifter,
säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det
skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna
skadas om man begärde samtycke och om en kontakt med den enskilde
skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen
bör också beaktas om information i någon form lämnas till de berörda,
t.ex. via anslag eller annonser. I de allra flesta fall bör åtminstone sådan
information kunna lämnas. Även frågan i vilken utsträckning den som
begär det skall ha rätt att bli struken kan beaktas vid intresseavvägningen.
Godkännande av en forskningsetisk kommitté
Datalagskommittén har föreslagit att förutsättningarna enligt avvägnings-
normen skall anses uppfyllda om projektet godkänts av en
forskningsetisk kommitté. Vi delar denna uppfattning, dock att det i
personuppgiftslagen bör anges att det är behandlingen som skall
godkännas, inte projektet. Med en forskningsetisk kommitté avses ett
sådant särskilt organ för prövning av forskningsetiska frågor som har
företrädare för såväl det allmänna som forskningen och som är knutet till
ett universitet eller en högskola eller till någon annan instans som i mera
betydande omfattning finansierar forskning. Sådana kommittéer är i dag
knutna till de medicinska fakulteterna, Humanistisk-samhällsvetenskap-
liga forskningsrådet och Socialvetenskapliga forskningsrådet.
Datalagskommitténs förslag har i huvudsak godtagits av remiss-
instanserna. Svea hovrätt och Arbetarskyddsstyrelsen anser dock att
granskningen bör göras av någon annan instans, Datainspektionen
respektive styrelsen för den institution forskaren tillhör. Den avvägning
som måste ske är så känslig och så svår att göra att den som huvudregel
inte bör överlåtas åt varje enskild forskare eller statistiker vid varje
enskilt forsknings- eller statistikprojekt. Det krävs därför att avvägningen
i de enskilda fallen som regel görs av någon oberoende instans. Styrelsen
för den institution som en forskare tillhör är inte så oberoende som bör
krävas. Den oberoende instansen bör vidare ha kunskap och vana att göra
bedömningar av såväl risken för otillbörliga integritetsintrång som
forsknings- eller statistikprojektet som sådant. Tillräcklig kunskap och
vana för att göra sådana bedömningar av forsknings- och statistikprojekt
finns för närvarande inte hos Datainspektionen, och det förefaller inte
heller ändamålsenligt att nu tillföra inspektionen sådan kompetens. Vi
anser därför i likhet med de allra flesta remissinstanserna att avvägningen
bör göras av en forskningsetisk kommitté. Sammansättningen av
kommittén bör givetvis vara sådan att det finns kompetens för att göra
avvägningen med hänsyn till den personliga integriteten.
Överprövning av den forskningsetiska kommitténs beslut
Kammarrätten i Göteborg, Länsrätten i Stockholms län och Arbetar-
skyddsstyrelsen anser att den forskningsetiska kommitténs beslut bör
kunna överprövas. Den främsta anledningen till att de forskningsetiska
kommittéerna bör göra avvägningen är att dessa instanser har sådan
särskild kunskap och vana att göra bedömningar av såväl risken för
otillbörliga integritetsintrång som forsknings- och statistikprojekt som
inte finns hos någon annan instans, t.ex. hos Datainspektionen eller inom
domstolsväsendet eller regeringskansliet. Såvitt framkommit gör kom-
mittéerna bedömningarna på ett omdömesgillt och självständigt sätt.
Deras granskning utgör en garanti för att behandling av känsliga person-
uppgifter för forskning och statistik används utan samtycke bara i de
undantagsfall där det verkligen är befogat med hänsyn till samhälls-
intresset att forskningen kommer till stånd. Det får vidare förutsättas att
tillsynsmyndigheten och kommittéerna regelbundet samråder med
varandra och att myndigheten noga följer utvecklingen på detta område.
De forskningsetiska kommittéernas verksamhet är i dag inte för-
fattningsreglerad, och de åläggs inte heller genom den nya lagen någon
utövning av offentlig makt. Frågan om en forskningsetisk kommitté är en
myndighet vars beslut att godkänna eller inte godkänna ett projekt kan
överklagas enligt allmänna regler om överklagande av förvaltnings-
myndighets beslut påverkas inte av den nya lagen.
Regeringen har tillsatt en kommitté med uppdrag att bl.a. undersöka
hur systemet för forskningsetisk granskning fungerar i dag och föreslå de
förändringar som bedöms nödvändiga (dir. 1997:68). En av utgångs-
punkterna för kommittén skall vara att forskning som har människor som
forskningsobjekt skall utsättas för etisk granskning. Kommittén skall
överväga om det bör finnas möjlighet till överprövning av de forsk-
ningsetiska kommittéernas beslut och undersöka och föreslå
utformningen av forskningsetisk granskning av projekt som innefattar
användning av personnummer. Även sammansättningen av de
forskningsetiska kommittéerna skall utredas. Kommittén skall redovisa
sitt uppdrag senast den 1 februari 1999.
Den forskningsetiska verksamheten kommer således att få en allsidig
genomlysning, varvid även frågan om överprövning av de forsknings-
etiska kommittéernas beslut kommer att belysas. Resultatet av utred-
ningens översyn och förslag kan göra att det finns anledning att på nytt
överväga frågan. Vi har därför inte funnit anledning att nu av inte-
gritetsskäl införa en särskild överprövningsmöjlighet.
Förhandskontroll av behandlingar som inte granskats av forskningsetisk
kommitté
De allra flesta forsknings- och statistikprojekt där det kan vara aktuellt att
behandla känsliga personuppgifter utan samtycke bör kunna granskas av
en forskningsetisk kommitté eller omfattas av den särskilda författ-
ningsregleringen om den officiella statistiken. Datalagskommittén har för
de undantagsfall där en forskningsetisk granskning av någon anledningen
inte kommit till stånd föreslagit att det införs en skyldighet att anmäla
behandlingen för förhandskontroll till tillsynsmyndigheten. Det förslaget
har godtagits eller lämnats utan erinran av remissinstanserna.
En sådan anmälningsskyldighet kan införas med stöd av det
bemyndigande som berörs i avsnitt 10. Vi hade tänkt oss att senare
överväga den frågan och i förekommande fall ge nödvändiga regler i en
förordning.
Bortfallsanalyser
Om en viss behandling av personuppgifter för forsknings- eller
statistikändamål enligt den nya lagen bara är tillåten när den enskilde har
lämnat sitt samtycke, får vid uteblivet eller vägrat samtycke uppgifter om
den berörde inte behandlas. Detta innebär bl.a. att s.k. bortfallsanalyser
inte kan genomföras, när forsknings- eller statistikprojektet inte är av
sådan vikt att behandlingen av uppgifterna får ske utan samtycke.
Statistiska centralbyrån anser att det måste vara tillåtet att göra bort-
fallsanalyser, dvs. behandla uppgifter om dem som inte lämnat samtycke.
Av vad som anförts i det föregående framgår att känsliga person-
uppgifter bör få behandlas utan samtycke för forskning och statistik bara
när det finns ett starkt samhällsintresse av att det aktuella projektet
genomförs. Vi anser att det inte finns anledning att medge sådan
behandling för mindre viktiga projekt, ens när det gäller
bortfallsanalyser. Har den enskilde vägrat att lämna sitt samtycke till
behandling av känsliga personuppgifter när ett sådant krävs, bör hans
eller hennes vilja således respekteras. Inget hindrar dock att den
ansvarige för behandlingen alternativt efterfrågar samtycke till att under
en kortare tid behandla vissa känsliga personuppgifter för bortfallsanalys.
Om bortfallsanalysen bara skall avse sådana personuppgifter som inte
är känsliga, finns det däremot enligt EG-direktivet och den nya lagen
större möjligheter att behandla uppgifterna utan samtycke och utföra
bortfallsanalysen. Sådana uppgifter får nämligen behandlas t.ex. när
behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt
intresse, se avsnitt 11.3.
Utlämnande av personuppgifter för forskning och statistik
Enligt artikel 11.2 i EG-direktivet behöver information till de
registrerade inte lämnas när uppgifter hämtas in från annat håll än de
registrerade, om utlämnandet av uppgifterna uttryckligen föreskrivs i
författning. Det krävs dock att det finns lämpliga skyddsåtgärder.
Reglerna berörs närmare i avsnitt 11.5.1.
Datalagskommittén har – med hänsyn till EG-direktivet – föreslagit att
det i den nya lagen tas in en uttrycklig bestämmelse om att person-
uppgifter får lämnas ut för att användas i sådana forsknings- och
statistikprojekt som är så viktiga att behandling av känsliga person-
uppgifter är tillåten utan samtycke, om inte något annat följer av regler
om sekretess och tystnadsplikt. Bestämmelsen för med sig att den
forskare eller statistiker som i enlighet med bestämmelsen hämtar in
personuppgifter från något annat håll än de registrerade inte automatiskt
behöver informera de registrerade om sin behandling. Däremot kan den
forskningsetiska granskningen eller en tillämpning av avvägningsnormen
i lagtexten leda till att information måste lämnas. Datalagskommittén har
ansett att bl.a. de stränga sekretessbestämmelser som regelmässigt gäller
inom forsknings- och statistikverksamhet utgör sådana lämpliga
skyddsåtgärder som krävs enligt EG-direktivet.
Förslaget har godtagits eller lämnats utan erinran av
remissinstanserna. Också vi anser att det har goda skäl för sig och bör
genomföras. Det bör dock betonas att det inte är fråga om någon ny
uppgiftsskyldighet för enskilda eller det allmänna. Ett privat företag kan
således liksom hittills själv bestämma om personuppgifter skall lämnas ut
för forskning eller statistik eller inte.
11.4.3 Behandling av uppgifter om lagöverträdelser
Regeringens förslag: Det är förbjudet för andra än myndigheter att
behandla personuppgifter om lagöverträdelser som innefattar brott,
domar i brottmål, straffprocessuella tvångsmedel eller administrativa
frihetsberövanden. Regeringen eller den myndighet som regeringen
bestämmer får meddela föreskrifter om undantag från förbudet.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens, dock att administrativa frihetsberövanden inte omfattas av
förbudet i Datalagskommitténs förslag.
Remissinstanserna: Datainspektionen pekar på att enligt EG-
direktivet kan samma regler införas för uppgifter som rör ”administrativa
sanktioner” och föreslår att så sker beträffande ”administrativa fri-
hetsberövanden”.
Skälen för regeringens förslag: I artikel 8.5 i EG-direktivet (se
bilaga 1) finns det särskilda regler rörande behandling av uppgifter om
lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder. Behandling av
sådana uppgifter får utföras endast under kontroll av en myndighet eller –
om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de
avvikelser som medlemsstaterna kan tillåta med stöd av nationella
bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett
fullständigt register över brottmålsdomar får dock föras endast under
kontroll av en myndighet. Det är tillåtet för medlemsstaterna att
föreskriva att uppgifter som rör ”administrativa sanktioner” eller
avgöranden i tvistemål också skall behandlas under kontroll av en
myndighet.
Datalagskommitténs förslag om ett principiellt förbud för andra än
myndigheter att behandla uppgifter om lagöverträdelser, brottmålsdomar
och säkerhetsåtgärder har lämnats utan erinran av remissinstanserna och
bör genomföras. Sådana uppgifter är otvivelaktigt av så känslig natur att
vem som helst inte bör få hantera uppgifterna hur som helst. Å andra
sidan står det klart att myndigheter ofta behöver hantera just sådana
uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I
vilken utsträckning myndigheter får hantera sådana uppgifter framgår av
de föreskrifter som reglerar respektive myndighets verksamhet. Det är
därför ändamålsenligt att i den nya lagen ta in en grundläggande
bestämmelse om att det är förbjudet för andra än myndigheter att
behandla uppgifter om lagöverträdelser, domar i brottmål eller säker-
hetsåtgärder. Som Lagrådet påpekat talar det förhållandet att det är
fakultativt att låta administrativa sanktioner omfattas för att de lag-
överträdelser som avses är sådana som innefattar brott. Detta bör anges
uttryckligen. Med ”säkerhetsåtgärder” torde i första hand avses straff-
processuella tvångsmedel. Detta begrepp bör användas i lagtexten.
Eftersom det kan finnas fall där det är befogat att enskilda behandlar
sådana uppgifter, bör bestämmelsen kompletteras med ett bemyndigande
för regeringen eller den myndighet som regeringen bestämmer att
meddela föreskrifter om undantag från förbudet. Frågan om norm-
givningsdelegation har berörts i avsnitt 10. En möjlighet till dispens i
enskilda fall bör också finnas. Datalagskommittén har som exempel på
fall där det kan vara befogat med undantag nämnt den behandling av
uppgifter om t.ex. brottmålsdomar som privata vård- och
behandlingshem kan behöva utföra för att vårda och behandla den dömde
på ett effektivt sätt och viss registrering för försäkringsbolagens
kravhantering.
Datainspektionen anser med stöd av regeln i EG-direktivet om
”administrativa sanktioner” att samma bestämmelser skall göras tillämp-
liga beträffande ”administrativa frihetsberövanden”. Det kan inte anses
helt klart vad som avses i direktivet med ”administrativa sanktioner”,
men ett exempel kan vara skattetillägg.
I den nuvarande datalagen finns det särskilda regler om personregister
som innehåller uppgift om att någon varit föremål för tvångsingripande
enligt lagen (1990:52) med särskilda bestämmelser om vård av unga,
lagen (1988:870) om vårds av missbrukare i vissa fall, lagen (1991:1128)
om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård,
lagen (1967:940) angående omsorger om vissa psykiskt
utvecklingsstörda och utlänningslagen (1989:529). Enligt vår mening
torde de nu nämnda uppgifterna vara sådana som omfattas av direktivet
eftersom varken begreppet säkerhetsåtgärd eller begreppet administrativ
sanktion utesluter att sådana uppgifter inbegrips. Vi anser således att den
av Datainspektionens föreslagna lösningen bör genomföras. Det bör
därför uttryckligen anges att administrativa frihetsberövanden omfattas
av förbudet.
Möjligheten enligt direktivet att föra in uppgifter om avgöranden i
tvistemål under den föreslagna ordningen bör inte utnyttjas genom sär-
regler i den nya lagen. Den viktigaste och känsligaste formen för behand-
ling av sådana uppgifter – kreditupplysning – bör i stället liksom hittills
regleras i en särskild lag, kreditupplysningslagen (1973:1173).
11.4.4 Behandling av personnummer
Regeringens förslag: Reglerna om användning av personnummer i
den nuvarande datalagen förs i sak i princip oförändrade över till den
nya lagen. Detta innebär att uppgifter om personnummer får utan
samtycke behandlas bara när det är klart motiverat med hänsyn till
ändamålet med behandlingen, vikten av en säker identifiering eller
något annat beaktansvärt skäl.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Bara ett fåtal remissinstanser har haft
synpunkter. Datainspektionen, Härnösands kommun och Sveriges
advokatsamfund uttalar sig för en restriktiv användning av
personnummer. Hovrätten över Skåne och Blekinge anser att även den
uttryckliga bestämmelsen i den nuvarande datalagen om att person-
uppgifter får återges på datautskrifter endast när det finns särskilda skäl
bör föras över till den nya lagen och därvid göras tillämplig på varje
återgivande av personnummer både vid manuell och automatisk
behandling.
Skälen för regeringens förslag: Enligt artikel 8.7 i EG-direktivet (se
bilaga 1) skall medlemsstaterna bestämma på vilka villkor ett nationellt
identifikationsnummer eller något annat vedertaget sätt för identifiering
får behandlas. Det måste alltså i Sverige finnas en reglering av använd-
ningen av personnummer. En sådan reglering finns i dag i 7 § andra
stycket i den nuvarande datalagen. Registrering av personnummer får
enligt den bestämmelsen ske endast när det klart är motiverat med
hänsyn till registrets ändamål, vikten av en säker identifiering eller av
annat beaktansvärt skäl. Det finns också en uttrycklig regel om att
personnummer får återges på datautskrifter endast när det finns särskilda
skäl.
Frågan om användningen av personnummer har nyligen utretts. Den
av den förra borgerliga regeringen tillsatta Personnummerutredningen
överlämnade våren 1994 betänkandet Personnummer – Integritet och
effektivitet (SOU 1994:63) med förslag till lagstiftning om person-
nummer. På hösten 1994 anförde den då tillträdda socialdemokratiska
regeringen i budgetpropositionen för budgetåret 1995/96 att det inte var
aktuellt att införa någon förändrad lagstiftning om användningen av
personnummer (prop. 1994/95:100 bil. 3 s. 14). Vi finner inte anledning
att nu göra något annat ställningstagande.
De bestämmelser om användningen av personnummer som redan
finns i den nuvarande datalagen bör således i sak i pricip oförändrade
föras över till den nya lagen. Om någon ger sitt samtycke är det självklart
att personnummer skall få behandlas. Lagtexten har efter det att lagråds-
remissen behandlats i Lagrådet kompletterats i detta avseende.
Att den uttryckliga regeln i den nuvarande datalagen om återgivande
av personnummer på datautskrifter inte har förts över innebär inte någon
ändring i sak. Redan den överförda huvudregeln innebär nämligen att en
uppgift om personnummer får behandlas t.ex. genom att fästas på en
utskrift eller visas upp på en datorskärm bara när den behandlingen är
klart motiverad med hänsyn till något beaktansvärt skäl. Att ha en
särskild regel med annat rekvisit – särskilda skäl – om just den
behandling som själva återgivandet utgör, skulle enligt vår mening bara
grumla regleringen.
11.5 Information till den registrerade
11.5.1 Information som skall lämnas när uppgifterna samlas in
Regeringens förslag: Om uppgifter om en person samlas in från
personen själv, skall den personuppgiftsansvarige i samband därmed
självmant lämna den registrerade information om behandlingen.
Om personuppgifterna samlats in från någon annan källa än den
registrerade, gäller följande. Den personuppgiftsansvarige skall
självmant lämna den registrerade information om behandlingen, när
uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje
man, behöver informationen dock inte lämnas förrän uppgifterna
lämnas ut för första gången. Information behöver inte lämnas, om det
finns bestämmelser om registrerandet eller utlämnandet av person-
uppgifterna i en lag eller någon annan författning. Information
behöver inte heller lämnas, om det visar sig vara omöjligt eller skulle
innebära en oproportionerligt stor arbetsinsats. Om uppgifterna
används för att vidta åtgärder som rör den registrerade, skall dock
information i detta fall lämnas senast i samband med detta.
Information behöver aldrig lämnas om sådant som den registrerade
redan känner till. Regler om sekretess och tystnadsplikt går före
informationsskyldigheten.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Flera remissinstanser noterar att skyldigheterna
att informera kommer att öka med den nya lagen och poängterar vikten
av att skyldigheterna hålls på en rimlig nivå. En del instanser på lands-
tingsområdet efterlyser klarlägganden av förhållandet mellan informa-
tionsskyldigheten enligt den nya lagen och likartade skyldigheter att
informera enligt lagstiftning på hälso- och sjukvårdsområdet.
Skälen för regeringens förslag: I artikel 10–11 i EG-direktivet (se
bilaga 1) finns det bestämmelser om den information som en person-
uppgiftsansvarig skall lämna självmant till den registrerade i samband
med att han eller hon samlar in personuppgifter. Artikel 10 rör den
situationen att uppgifterna samlas in från den registrerade själv, medan
artikel 11 gäller när uppgifterna hämtas in från något annat håll. I båda
fallen skall den personuppgiftsansvarige lämna informationen självmant.
Det krävs alltså inte att den registrerade begär att få information.
Samlas personuppgifterna in från den registrerade själv, skall informa-
tionen alltid lämnas i samband därmed. Samlar den personupp-
giftsansvarige in uppgifter från de registrerade utan att då berätta vad
uppgifterna skall användas till, kan behandlingen av personuppgifterna
inte anses ha gått korrekt till.
När personuppgifterna hämtas in från något annat håll, skall informa-
tionen enligt direktivet lämnas ”vid registreringen”. Kan det vid detta till-
fälle förutses att uppgifterna kommer att lämnas ut till tredje man, är det
dock tillåtet att vänta med informationen ända till dess att uppgifterna
lämnas ut för första gången.
Av EG-direktivet följer att informationen skall avse den person-
uppgiftsansvariges och dennes eventuella företrädares identitet,
ändamålen med den behandling för vilka uppgifterna är avsedda, och all
ytterligare information i den utsträckning informationen – med hänsyn
till de särskilda omständigheter under vilka uppgifterna samlas in – är
nödvändig för att tillförsäkra den registrerade en korrekt behandling. Den
personuppgiftsansvarige är dock aldrig skyldig att lämna information om
sådant som den registrerade redan känner till.
För det fallet att personuppgifterna hämtas in från något annat håll än
den registrerade själv finns det i artikel 11.2 i EG-direktivet vissa
undantag från skyldigheten att informera. Undantagen gäller när det visar
sig vara omöjligt eller skulle innebära en oproportionerligt stor
ansträngning att lämna information och när registreringen eller utläm-
nandet uttryckligen föreskrivs i författning. För dessa undantagsfall skall
medlemsstaterna föreskriva lämpliga skyddsåtgärder. Enligt punkt 40 i
ingressen till EG-direktivet kan vid bedömningen av om informa-
tionslämnandet skulle innebära en oproportionerligt stor ansträngning
beaktas bl.a. ”antalet registrerade, uppgifternas ålder och de kompen-
satoriska åtgärder som kan vidtas”.
De nu redovisade bestämmelserna i EG-direktivet måste genomföras i
svensk lagstiftning. Vi föreslår att så sker genom att bestämmelserna förs
över till den nya lagen. Den nya lagen går alltså inte längre än vad som
krävs enligt EG-direktivet.
Den skyldighet att informera som föreskrivs i den nya lagen gäller i
princip utöver den informationsskyldighet som kan vara föreskriven
enligt annan lagstiftning, t.ex. på hälso- och sjukvårdsområdet.
Emellertid gäller enligt den nya lagen att information aldrig behöver
lämnas om sådant som den registrerade redan känner till, t.ex. på grund
av att han eller hon redan har fått informationen i enlighet med annan
lagstiftning. Bestämmelsen om att information aldrig behöver lämnas om
sådant som den registrerade redan känner till kan vidare ha särskild
betydelse när den personuppgiftsansvarige avser att fortlöpande samla in
uppgifter om den registrerade. Information behöver då inte lämnas varje
gång nya uppgifter samlas in, om den registrerade en gång har fått
fullständig information och således redan känner till informationen.
Lämpliga skyddsåtgärder när information inte behöver lämnas
Sverige måste enligt EG-direktivet föreskriva lämpliga skyddsåtgärder
för de fall där information inte behöver lämnas därför att registreringen
eller utlämnandet uttryckligen föreskrivs i författning eller därför att det
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor
ansträngning att lämna information.
När det finns bestämmelser om registreringen eller utlämnandet i en
författning, finns det som regel mekanismer eller föreskrifter i den
aktuella författningen som förhindrar missbruk och som får anses vara
tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder.
Eventuella tillkommande lämpliga skyddsåtgärder får tas in i den författ-
ning som föreskriver registreringen eller utlämnandet. Några generella
föreskrifter om lämpliga skyddsåtgärder för det fallet att registreringen
eller utlämnandet är författningsreglerat behöver således inte tas in i den
nya lagen. Frågan om författningsstöd för utlämnande av personuppgifter
för forskning och statistik har berörts i avsnitt 11.4.2.
När det sedan gäller det fallet att det visar sig vara omöjligt eller
skulle innebära en oproportionerligt stor arbetsinsats att lämna
information, är det nödvändigt att i den nya lagen ta in bestämmelser om
sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet. Enligt
vår mening är det i detta hänseende tillräckligt att i den nya lagen
föreskriva att information alltid skall lämnas senast i samband med att de
aktuella uppgifterna används för att vidta åtgärder beträffande de
registrerade. Därmed finns det en garanti för att den registrerade inte
utsätts för en åtgärd utan att få reda på vilken uppgiftsbehandling som
ligger bakom den. Om en personuppgiftsansvarig för utskick för direkt
marknadsföring hämtat in uppgifter om så många personer att det skulle
innebära en oproportionerligt stor arbetsinsats att informera dem alla
redan när uppgifterna registreras, måste således information lämnas
senast i de handlingar som sänds ut.
Undantag vid sekretess och tystnadsplikt
I den utsträckning det i en lag eller någon annan författning eller i ett
beslut som har meddelats med stöd av en författning är särskilt
föreskrivet att uppgifter inte får lämnas ut till den registrerade, behöver
information inte lämnas. Denna undantagsregel, som är gemensam för
den nu berörda skyldigheten att självmant lämna information när person-
uppgifterna samlas in och skyldigheten att efter ansökan av den
registrerade lämna information, berörs närmare i nästa avsnitt.
11.5.2 Information som skall lämnas efter ansökan
Regeringens förslag: Den personuppgiftsansvarige är skyldig att till
var och en som ansöker om det en gång per kalenderår gratis lämna
besked i frågan om personuppgifter som rör sökanden behandlas eller
ej. Behandlas sådana uppgifter skall skriftlig information lämnas
också om vilka uppgifter om sökanden som behandlas, varifrån dessa
uppgifter har hämtats, vilka ändamålen med behandlingen är och till
vilka mottagare eller kategorier av mottagare som uppgifterna lämnas
ut.
Ansökan om information skall göras skriftligen hos den person-
uppgiftsansvarige och vara undertecknad av den sökande själv.
Informationen skall lämnas inom en månad från det att ansökan
gjordes. Om det finns särskilda skäl för det, får informationen dock
lämnas senast fyra månader efter det att ansökan gjordes.
Information behöver emellertid inte lämnas om personuppgifter i
löpande text som inte fått sin slutliga utformning när ansökan gjordes
eller som utgör minnesanteckning eller liknande. Detta gäller dock
inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna
behandlas enbart för historiska, statistiska eller vetenskapliga ändamål
eller, när det gäller löpande text som inte fått sin slutliga utformning,
om uppgifterna har behandlats under längre tid än ett år.
Regler om sekretess och tystnadsplikt går också före informa-
tionsskyldigheten.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Flera remissinstanser noterar att skyldigheterna
att informera kommer att öka med den nya lagen och poängterar vikten
av att skyldigheterna hålls på en rimlig nivå, särskilt när det gäller
personuppgifter i löpande text.
Skälen för regeringens förslag: Enligt artikel 12 a i EG-direktivet (se
bilaga 1) skall medlemsstaterna säkerställa att varje registrerad har rätt
att från den personuppgiftsansvarige få viss information. Informationen
behöver – såsom direktivet måste tolkas – lämnas bara efter begäran från
den registrerade. Informationen skall då lämnas utan hinder, med rimliga
intervall, utan större tidsutdräkt och utan större kostnader.
Den registrerade har för det första rätt att få bekräftelse på om
uppgifter som rör honom eller henne behandlas eller inte. I övrigt –
naturligen bara för det fallet att uppgifter om den registrerade behandlas
– skall information lämnas om åtminstone ändamålen med behandlingen,
de berörda uppgiftskategorierna, mottagarna eller till vilka kategorier av
mottagare som uppgifterna lämnas ut, vilka uppgifter som behandlas och
varifrån uppgifterna kommer.
Informationen om vilka uppgifter som behandlas skall vara begriplig
för den registrerade. När det gäller information om varifrån uppgifterna
kommer, behöver den personuppgiftsansvarige bara lämna all den
information som finns tillgänglig för honom eller henne. Den person-
uppgiftsansvarige behöver således inte hålla reda på varifrån uppgifterna
har hämtats, men vet han eller hon det när den registrerade begär
information skall det uppges.
Bestämmelserna i EG-direktivet, som motsvarar reglerna i 10 § i den
nuvarande datalagen om registerutdrag, måste föras över till den nya
lagen. Vi föreslår att så sker. I enlighet med vad som gäller i dag
beträffande registerutdrag bör det därvid föreskrivas att en ansökan om
information skall göras skriftligen och vara undertecknad av den sökande
själv. Det är enligt vår mening rimligt att den enskilde har rätt att en gång
per kalenderår få skriftlig information gratis. Informationen bör – i
enlighet med vad som gäller i dag enligt Datainspektionens föreskrift
DIFS 1982:2 – som huvudregel lämnas inom en månad från det att
ansökan gjordes. Informationen bör dock få lämnas senast fyra månader
efter det att ansökan gjordes, om det finns särskilda skäl för det. Sådana
särskilda skäl kan vara att personuppgifterna är krypterade, att sök-
möjligheterna annars är begränsade eller att den personuppgiftsansvarige
har många personuppgifter uppdelade på olika register eller andra data-
samlingar.
Personuppgifter i löpande text
Den nya lagen omfattar till skillnad från den nuvarande datalagen även
behandling av personuppgifter som finns i löpande text, t.ex. i ett ord-
behandlingsdokument (se avsnitt 8.4). Beträffande sådana person-
uppgifter finns det särskilda svårigheter att söka fram alla uppgifter om
en och samma person som behandlas. I vissa fall har en personuppgifts-
ansvarig så många olika samlingar av personuppgifter och så dåliga
sökmöjligheter att det i praktiken är omöjligt att få fram alla uppgifter om
den registrerade som behandlas. Arkivmyndigheterna, som tar emot
samlingar av uppgifter med olikartad struktur från många håll, kan vara
ett exempel.
I EG-direktivet finns det ingen uttrycklig bestämmelse som gör det
möjligt att göra undantag från skyldigheten att efter ansökan lämna
begriplig information om vilka uppgifter som behandlas, när det är
omöjligt eller skulle innebära en oproportionerligt stor ansträngning att
söka fram alla uppgifter om en person som behandlas.
Datalagskommittén har berört problemet på följande sätt.
EG-direktivet kan inte anses kräva att en persondataansvarig ordnar
sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka
fram alla uppgifter om en registrerad som behandlas. Ett införande
eller tillåtande av sådana sök- och sammanställningsmöjligheter,
som inte behövs av något annat skäl, skulle i själva verket kunna
hota den personliga integriteten; det skulle då bli enkelt att kartlägga
en person.
Enligt vår mening är det inte rimligt att utforma informations-
skyldigheten på ett sådant sätt att den tvingar fram förfaranden som i
själva verket kan hota den personliga integriteten. Den person-
dataansvarige bör, som vi ser det, bara vara skyldig att utnyttja alla
de sök- och sammanställningsmöjligheter som han eller hon faktiskt
och rättsligt har tillgång till för att få fram information att lämna till
den registrerade. Därmed garanteras att den registrerade får tillgång
till all information som den persondataansvarige faktiskt kan få fram
om den registrerade, vilket måste anses tillräckligt; inte ens EG-
rätten kan tvinga någon att göra det som i praktiken är omöjligt.
Den som har en stor mängd ordbehandlingsdokument och som
bara har en funktion för att söka i öppnade dokument kan
exempelvis i praktiken inte få fram alla uppgifter om en person som
kan finnas i dokumenten. En persondataansvarig med hundratals
anställda med persondatorer vilka kan sökas igenom en och en kan
inte heller i praktiken söka fram de personuppgifter som kan finnas i
alla datorerna, om det inte finns några mera centraliserade sök-
möjligheter. Möjligheterna att söka bland datorlagrade uppgifter
utvecklas dock ständigt, och det finns redan i dag i standardprogram
funktioner för att snabbt söka igenom alla dokument på en hårddisk
eller via nät efter viss text, t.ex. ett namn eller personnummer. Med
den föreslagna ordningen kommer den registrerades rätt att få
information att utvidgas i precis samma takt som de per-
sondataansvarigas möjligheter att göra integritetskänsliga sökningar
och sammanställningar utvecklas. Det finns inte anledning att driva
på utvecklingen och användningen av möjligheterna att göra
känsliga sammanställningar.
En persondataansvarig som behandlar många personuppgifter i
olika konstellationer, exempelvis Statistiska centralbyrån, kan med
den föreslagna ordningen ändå behöva göra stora ansträngningar för
att pröva alla sök- och sammanställningsmöjligheter som faktiskt
finns. Men den som samlar på sig stora mängder personuppgifter får
som regel finna sig i att också behöva göra stora ansträngningar för
att kunna tillgodose de registrerades grundläggande rättigheter.
Enligt vår mening är det rimligt att utgå från att Datalagskommitténs
slutsats att EG-direktivet innebär att den personuppgiftsansvarige bara är
skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som
han eller hon har tillgång till för att få fram information att lämna till den
registrerade är riktig. När det gäller skyldigheten att efter ansökan lämna
information om bl.a. vilka uppgifter om sökanden som behandlas, skall
bestämmelserna i den nya lagen ha samma innebörd som enligt direktivet
och inte gå längre än vad direktivet kräver.
Även en annan aspekt på det förhållandet att den nya lagen omfattar
behandling av personuppgifter i löpande text bör tas upp. När det gäller
personuppgifter i löpande text som inte har fått sin slutliga utformning,
t.ex. i ett ordbehandlingsdokument under arbete, och personuppgifter i
löpande text som utgör minnesanteckning eller liknande, finns det
nämligen enligt vår mening anledning att ha särskilda regler i den nya
lagen. Regleringen i 2 kap. tryckfrihetsförordningen innebär att en
myndighet inte är skyldig att på grund av offentlighetsprincipen lämna ut
t.ex. utkast under arbete och minnesanteckningar eller liknande som inte
skall bevaras för framtiden. Det är tydligt att en ordning som innebär att
ofärdiga alster och minnesanteckningar eller liknande inte behöver
lämnas ut har goda skäl för sig på såväl den offentliga som den privata
sidan. Att under en rimlig tid få ha sina ofärdiga alster och
minnesanteckningar i fred kan enligt regeringens mening anses som en
sådan fri- och rättighet som enligt artikel 13.1 i EG-direktivet berättigar
till en begränsning av informationsskyldigheten.
Vi föreslår därför för det första att information inte skall behöva
lämnas beträffande personuppgifter i löpande text som när ansökan om
information gjordes inte har fått sin slutliga utformning. Har uppgifterna
i den löpande texten behandlats under så lång tid som ett år utan att
texten färdigställts, får dock den registrerades intresse av att få ta del av
sina uppgifter anses väga tyngre än den personuppgiftsansvariges
intresse av att utan insyn få ytterligare fördröja färdigställandet av texten.
Personuppgifter i löpande text som, när ansökan gjordes, har behandlats
under längre tid än ett år utan att texten har fått sin slutliga utformning
bör därför lämnas ut, om inte den personuppgiftsansvarige väljer att i
stället utplåna personuppgifterna i den ofärdiga texten. Den registrerade
bör också ha rätt att få reda på uppgifterna, om den person-
uppgiftsansvarige har spritt dem till utomstående. Information bör
således lämnas om uppgifterna i den ofärdiga löpande texten redan har
lämnats ut till tredje man när ansökan om information gjordes. Har den
personuppgiftsansvarige när ansökan görs inte längre kvar de utlämnade
uppgifterna, kan information givetvis inte lämnas.
Vi föreslår för det andra att information inte skall behöva lämnas be-
träffande personuppgifter i löpande text som utgör minnesanteckning
eller liknande, t.ex. en föredragningspromemoria, under förutsättning att
personuppgifterna, när ansökan gjordes, inte har lämnats ut till tredje
man. De minnesanteckningar eller liknande som det finns goda skäl för
att undanta från den registrerades insyn är sådana som används för att
förbereda ett ärende eller liknande för avgörande. Sparas sådana hand-
läggningshjälpmedel sedan ärendet har avgjorts eller annars slut-
behandlats, bör den registrerade få ta del av uppgifterna på motsvarande
sätt som allmänheten har rätt att ta del av uppgifter i myndigheters
minnesanteckningar eller liknande vilka tagits om hand för arkivering.
Information bör således lämnas beträffande personuppgifter i minnes-
anteckningar eller liknande som, när ansökan gjordes, bara behandlas för
historiska, statistiska eller vetenskapliga ändamål.
Det bör påpekas att informationsskyldigheten innebär att en
registrerad i vissa fall kan ha rätt att med stöd av den nya lagen få ta del
av uppgifter om sig själv som allmänheten inte har rätt att få ta del av
med stöd av offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen.
Den registrerade har i viss utsträckning rätt att få ta del av uppgifter i
handlingar som inte är allmänna. Det kan t.ex. gälla uppgifter i utkast
som har behandlats under längre tid än ett år. Men när handlingen med
informationen om uppgifterna har expedierats till den registrerade, blir
handlingen å andra sidan genast allmän och tillgänglig för var och en i
den utsträckning sekretess inte gäller. Det kan inte anses obefogat att den
som uppgifterna rör i vissa fall har rätt att få ta del av dessa tidigare än
allmänheten.
Förhållandet till bestämmelser om sekretess och tystnadsplikt
Enligt artikel 13 i EG-direktivet (se bilaga 1) får medlemsstaterna i sin
lagstiftning göra nödvändiga begränsningar i rätten för den registrerade
att få information med hänsyn till skyddet av den registrerades eller
andras fri- och rättigheter.
Skyldigheten enligt 10 § i den nuvarande datalagen att lämna register-
utdrag gäller i dag inte uppgifter som enligt lag eller annan författning
eller enligt myndighets beslut som har meddelats med stöd av författning
inte får lämnas ut till den registrerade.
De bestämmelser om sekretess och tystnadsplikt som finns i Sverige
får anses vara uppställda till skydd för sådana fri- och rättigheter som
avses i direktivet. Ibland hindrar sådana bestämmelser att den
registrerade får tillgång till vissa uppgifter om sig själv, se t.ex. 7 kap.
3 § sekretesslagen (1980:100). Enligt regeringens mening är det nödvän-
digt att dessa särskilda bestämmelser om att den registrerade i undantags-
fall inte har rätt till viss information får gälla framför den generella rätt
till information om behandlade uppgifter som annars skall gälla enligt
EG-direktivet och den nya lagen. Vi anser således att det i den nya lagen
bör införas en bestämmelse om att rätten att få information i samband
med insamling av uppgifter och efter ansökan inte gäller i den utsträck-
ning det finns en föreskrift om att uppgifterna inte får lämnas ut till den
registrerade. Sådana föreskrifter kan finnas i lag eller annan författning
eller i beslut som har meddelats med stöd av författning, t.ex. ett beslut
om förbehåll enligt 14 kap. 9 och 10 §§ sekretesslagen.
Med stöd av bestämmelserna i sekretesslagen kan det allmänna på
grund av bl.a. sina ekonomiska intressen under vissa förutsättningar
hemlighålla uppgifter bl.a. i samband med rättsliga tvister och fackliga
förhandlingar. På den privata sidan, där offentlighetsprincipen inte gäller,
finns det däremot i allmänhet inte några författningsbestämmelser om
sekretess och tystnadsplikt som motsvarar de bestämmelser som finns i
sekretesslagen, se dock t.ex. 7 kap. 20 § försäkringsrörelselagen
(1982:713) som innebär att förmånstagare till försäkring i vissa fall inte
har rätt att i förväg av försäkringsbolaget få veta att han eller hon
verkligen är förmånstagare. Reglerna om information i den nya lagen
innebär att ett slags ”offentlighetsprincip” gentemot den registrerade
kommer att gälla i vissa avseenden även på den privata sidan. Den nya
lagen omfattar vidare – till skillnad från datalagen – i princip alla
datorlagrade personuppgifter, t.ex. sådana som finns i löpande text (se
avsnitt 6.1 och 8.4).
Även på den privata sida finns det därför behov av bestämmelser som
gör det möjligt att i vissa fall vägra att lämna information till den
registrerade. Enskilda kan exempelvis i lika hög grad som myndigheter
ha ett befogat intresse av att kunna hemlighålla personanknuten infor-
mation som samlats in inför en domstolsprocess, om det kan antas att ett
utlämnande av informationen skulle försämra den enskildes ställning
som part i rättegången. I försäkringsverksamhet registreras inte sällan
uppgifter om att en person misstänks för försäkringsbedrägeri eller annan
brottslig verksamhet. Internationella organisationer kan ha samman-
ställningar av uppgifter om personer som misstänks ha gjort sig skyldiga
till brott mot de mänskliga rättigheterna. Uppgifterna bör inte behöva
lämnas ut medan utredning pågår. I avsnitt 11.4.3 berörs vidare behand-
ling av personuppgifter om lagöverträdelser som innefattar brott m.m.
Vi föreslår därför att den nya lagen skall innehålla en regel om att
även en personuppgiftsansvarig som inte är en myndighet får i
motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna
ut uppgifter till den registrerade.
Lagrådet har anfört att föreskriften innebär att enskilda blir skyldiga
att sätta sig in i en omfattande och komplicerad lagstiftning som är
utformad med tanke på myndigheters verksamhet och vid prövning av
informationsskyldigheten försöka dra paralleller till den egna
verksamheten. Lagrådet ifrågasätter om inte någon annan lösning som
tillgodoser behovet kan åstadkommas, och frågan bör enligt Lagrådet
beredas ytterligare. Vi kan hålla med Lagrådet om att det inte alltid blir
helt lätt att tillämpa bestämmelsen. Man måste dock märka att det bara är
i situationer då någon vill underlåta att lämna information som en
tillämpning kan ge stöd för en sådan vägran. Huvudprincipen är att
information skall ges, och den som lämnar ut information behöver aldrig
tillämpa undantagsbestämmelsen.
11.6 Korrigering av personuppgifter
Regeringens förslag: Den personuppgiftsansvarige är skyldig att på
begäran av den registrerade snarast rätta, blockera eller utplåna sådana
personuppgifter som inte har behandlats i enlighet med den nya lagen
eller föreskrifter som har utfärdats med stöd av lagen. Den person-
uppgiftsansvarige skall också underrätta tredje man som uppgifterna
har lämnats ut till om åtgärden, om den registrerade begär det eller om
mera betydande skada eller olägenhet för den registrerade skulle
kunna undvikas genom en underrättelse. Någon sådan underrättelse
behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle
innebära en oproportionerligt stor arbetsinsats.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Arbetarskyddsstyrelsen, Riksarkivet, Landsorga-
nisationen i Sverige (LO) och UpplysningsCentralen UC AB tar upp
frågor som rör bevisbördan och vad som skall gälla om det finns
oenighet i fråga om t.ex. en uppgifts riktighet. Datainspektionen anser att
det för korrigering inte skall krävas någon begäran av den registrerade.
Stockholms läns landsting och Svenska bankföreningen anser att det bör
anges i lagtexten att det är den personuppgiftsansvarige som väljer
korrigeringsmetod.
Skälen för regeringens förslag: I artikel 12 b och 12 c i EG-
direktivet (se bilaga 1) finns det bestämmelser om korrigering m.m.
Enligt dessa bestämmelser skall medlemsstaterna säkerställa att varje
registrerad har rätt att i förekommande fall få sådana uppgifter som inte
har behandlats i enlighet med bestämmelserna i direktivet rättade,
utplånade eller blockerade. Detta skall gälla särskilt när uppgifterna är
ofullständiga eller felaktiga. Varje registrerad skall vidare ha rätt att
kräva att den personuppgiftsansvarige underrättar sådana tredje män till
vilka berörda uppgifter har lämnats ut om genomförda rättelser,
utplånanden och blockeringar. Denna underrättelseskyldighet gäller dock
inte om det visar sig vara omöjligt eller skulle innebära en
oproportionerligt stor ansträngning att underrätta.
I avsnitt 8.1 berörs särskilt frågan om korrigering av uppgifter i
allmänna handlingar hos myndigheter, och i avsnitt 13 tas upp frågan om
tillsynsmyndighetens möjligheter att få personuppgifter utplånade.
Korrigeringsskyldigheten
Bestämmelserna om korrigering i artikel 12 b och 12 c i EG-direktivet
måste införas i den nya lagen. Vi föreslår därför för det första en
bestämmelse om att den personuppgiftsansvarige är skyldig att på
begäran av den registrerade snarast rätta, blockera eller utplåna sådana
personuppgifter som inte har behandlats i enlighet med den nya lagen
eller föreskrifter som har utfärdats med stöd av lagen. Datainspektionen
har vänt sig emot att det för korrigering enligt denna bestämmelse skall
krävas en begäran från den registrerade.
Enligt artikel 6.1 d i EG-direktivet är det ett grundläggande krav på den
personuppgiftsansvarige vid behandling av personuppgifter att alla
rimliga åtgärder vidtas för att utplåna eller rätta sådana personuppgifter
som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka
uppgifterna behandlas. Denna regel har införts i den nya lagen, liksom
regler om krav på den personuppgiftsansvarige att se till att de person-
uppgifter som behandlas är adekvata och relevanta i förhållande till ända-
målen med behandlingen och att de personuppgifter som behandlas är
riktiga och, om det är nödvändigt, aktuella, se avsnitt 11.2. Redan av de
grundläggande kraven framgår således tydligt att den personupp-
giftsansvarige på egen hand måste vara aktiv för att se till att de behand-
lade uppgifterna är korrekta. Den nu aktuella bestämmelsen kan sägas
innehålla regler om en rätt för den registrerade att påkalla den person-
uppgiftsansvariges aktivitet för att korrigera uppgifter, som gäller utöver
de grundläggande kraven på den personuppgiftsansvarige. Den ena
bestämmelsen innehåller således regler om skyldigheter för den person-
uppgiftsansvarige och den andra bestämmelsen regler om rättigheter för
den registrerade, och båda bestämmelserna måste genomföras enligt EG-
direktivet.
Uppkommer oenighet mellan den personuppgiftsansvarige och den
registrerade om uppgifterna skall korrigeras eller inte, kan den
registrerade anmäla förhållandet till tillsynsmyndigheten, som har möj-
lighet att förelägga vite om lagen inte följs och att ansöka om utplånande
av uppgifterna (se avsnitt 13), eller själv väcka talan om saken vid allmän
domstol. En personuppgiftsansvarig som efter utredning inte är över-
tygad om att det är nödvändigt att korrigera uppgifterna behöver således
inte självmant göra det.
Av det förhållandet att det inte anges vilken av de alternativa
metoderna rättelse, blockering och utplånande som skall väljas i olika
situationer följer att det i princip är den som skall göra korrigeringen,
dvs. den personuppgiftsansvarige, som får välja själv.
Underrättelseskyldigheten
Vi föreslår för det andra att den nya lagen, för att uppfylla kraven i
artikel 12 c i EG-direktivet, skall innehålla en bestämmelse om att den
personuppgiftsansvarige på begäran av den registrerade skall underrätta
de tredje män till vilka uppgifterna har lämnats ut om korri-
geringsåtgärden. Datalagskommittén har, såsom en rent inhemsk
reglering, föreslagit att den personuppgiftsansvarige därutöver skall vara
skyldig att – oavsett om den registrerade begärt underrättelse eller inte –
lämna sådan underrättelse om det skulle kunna undvika mera betydande
skada eller olägenhet för den registrerade. Kommitténs förslag har
lämnats utan erinran av remissinstanserna. Därför och eftersom det är
viktigt att på alla sätt förhindra användning av felaktiga eller ofullstän-
diga uppgifter, bör förslaget som inte kan anses oförenligt med EG-
direktivet genomföras. Underrättelse skall dock i enlighet med direktivet
inte i något fall behöva lämnas om detta visar sig vara omöjligt eller
skulle innebära en oproportionerligt stor arbetsinsats.
11.7 Automatiserade beslut
Regeringens förslag: Om ett beslut som har rättsliga följder för en
fysisk person eller annars har märkbara verkningar för personen,
grundas enbart på automatiserad behandling av personuppgifter som
är avsedda att bedöma egenskaper hos den berörda personen, skall den
som berörs av beslutet har möjlighet att på begäran få beslutet
omprövat av någon person.
Var och en som varit föremål för ett sådant beslut har också rätt att
på ansökan få information från den personuppgiftsansvarige om vad
som har styrt den automatiserade behandling som lett fram till beslu-
tet.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Bara ett fåtal remissinstanser har berört
förslaget. Riksrevisionsverket anser att det finns behov av ytterligare
utredning av de rättsliga frågorna kring automatiserade beslut.
Skälen för regeringens förslag: Artikel 15 i EG-direktivet (se bilaga
1) – med underrubriken Databehandlade beslut – innehåller
bestämmelser om skydd för den registrerade mot vissa automatiserade
beslut. Bestämmelserna i EG-direktivet innebär att medlemsstaterna i
princip skall ge var och en rätt att slippa bli föremål för vissa
automatiserade beslut. Medlemsstaterna är dock förpliktade att – om inte
något annat följer av övriga regler i direktivet – föreskriva att en person
faktiskt får bli föremål för automatiserade beslut i två fall.
De beslut som avses i artikel 15 är sådana som har rättsliga följder för
någon eller som annars märkbart påverkar någon. Beslutet måste vidare
grundas enbart på automatiserad behandling. Dessutom krävs att de
uppgifter på vilka den automatiserade behandlingen grundas är sådana
som är avsedda att bedöma vissa personliga egenskaper hos den som är
föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet
och uppträdande. Det är bara sådana beslut som uppfyller samtliga
rekvisit som här nämnts som omfattas av huvudregeln och som var och
en skall ges en principiell rätt att slippa.
Från den principiella huvudregeln skall medlemsstaterna i två fall
föreskriva undantag, dvs. medge att en person i dessa fall faktiskt får
utsättas för automatiserade beslut.
Det första fallet (artikel 15.2 a) gäller sådana automatiserade beslut
som fattas som ett led i ingåendet eller fullgörandet av ett avtal. Sådana
beslut skall tillåtas om de är positiva för den registrerade – dvs. när den
registrerades begäran om ingående eller fullgörande av ett avtal har bi-
fallits – eller om det vidtas lämpliga åtgärder för att skydda den
registrerades berättigade intressen. Som exempel på lämpliga åtgärder att
vidta nämns i direktivet att den registrerade har möjlighet att göra sin
uppfattning gällande.
Det andra fallet (artikel 15.2 b) där automatiserade beslut skall godtas
är när sådana beslut har tillåtits i lagstiftning som innehåller bestäm-
melser till skydd för den registrerades berättigade intressen.
I artikel 12 a tredje strecksatsen i EG-direktivet föreskrivs att med-
lemsstaterna skall säkerställa att varje registrerad har rätt att från den
personuppgiftsansvarige – utan hinder och med rimliga intervall samt
utan större tidsutdräkt eller kostnader – få kännedom om den logik som
används när uppgifter som rör den registrerade behandlas på automatisk
väg. Av bestämmelsen framgår vidare att den rätten får begränsas till att
avse bara sådana automatiserade beslut som berörs i artikel 15.1. I punkt
41 i ingressen till direktivet framhålls att den nu aktuella rätten inte får
inkräkta på några affärshemligheter eller på upphovsrätten till t.ex.
programvaran. Den registrerade bör dock inte nekas all information.
Bestämmelserna i EG-direktivet innebär att det i Sverige måste införas
en reglering av automatiserade beslut. Definitionen av automatiserade
beslut i EG-direktivet är generellt utformad, och det är svårt att ha någon
föreställning om alla de olika beslut som i dag och i framtiden kan
komma att omfattas. Enligt vår mening bör man därför inrikta sig på en
generell lösning som ställer upp ett minimiskydd för den som blir utsatt
för ett automatiserat beslut. Datalagskommittén har föreslagit att den en-
skilde skall ha rätt att på begäran dels få reda på vilka regler som har
styrt den automatiska behandling som har lett fram till beslutet, dels få
beslutet omprövat av en person. Det förslaget har i huvudsak lämnats
utan erinran av remissinstanserna och bör därför genomföras.
Bestämmelserna i den nya lagen är sådana bestämmelser i den svenska
lagstiftningen som i enlighet med vad som krävs enligt artikel 15.2 b dels
tillåter automatiserade beslut, dels föreskriver lämpliga åtgärder till
skydd för den registrerades berättigade intressen.
I fråga om den registrerades ansökan och den personuppgifts-
ansvariges lämnande av information bör i tillämpliga delar gälla samma
procedurregler som beträffande övrig information som skall lämnas på
begäran (se avsnitt 11.5.2). Detta innebär bl.a. att informationen som
huvudregel skall lämnas skriftligen inom en månad efter ansökan.
Enligt EG-direktivet är det tillåtet att införa en rätt för den registrerade
att på begäran få kännedom om den logik som ligger bakom även annan
automatiserad behandling än sådan som har lett fram till ett automatiserat
beslut. Vi anser emellertid i likhet med Datalagskommittén att det inte är
nödvändigt att införa en sådan generell rätt. Ingen remissinstans har
föreslagit att en sådan generell rätt skall införas, och den registrerade har
för övrigt enligt den nya lagen redan rätt att få veta vilka uppgifter som
behandlas och för vilka ändamål behandlingen äger rum (se avsnitt
11.5.2).
11.8 Säkerheten vid behandlingen
Regeringens förslag: Den som arbetar med personuppgifter får bara
behandla dessa i enlighet med instruktioner från den person-
uppgiftsansvarige. Om det i lag eller annan författning finns särskilda
bestämmelser om behandlingen av personuppgifter i det allmännas
verksamhet i sådana frågor, skall dessa gälla.
Den personuppgiftsansvarige är skyldig att vidta tekniska och
organisatoriska åtgärder för att skydda personuppgifterna. Åtgärderna
skall åstadkomma en lämplig säkerhetsnivå.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde
för att utföra behandling av personuppgifter, skall det finnas ett
skriftligt avtal som särskilt reglerar säkerhetsfrågorna. Den person-
uppgiftsansvarige skall också vara skyldig att se till att person-
uppgiftsbiträdet verkligen vidtar nödvändiga säkerhetsåtgärder.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens.
Remissinstanserna: Bara ett fåtal remissinstanser har berört
förslaget.
Skälen för regeringens förslag: I artikel 16 och 17 i EG-direktivet
(se bilaga 1) finns det bestämmelser om säkerhet och sekretess vid
behandling av personuppgifter.
Bestämmelserna i artikel 16 innebär att de personer som arbetar med
personuppgifter får behandla uppgifterna bara enligt instruktioner från
den personuppgiftsansvarige. Här gäller dock ett undantag som innebär
att om någon enligt lag är skyldig att behandla personuppgifter, får han
eller hon göra det även utan instruktioner från den personuppgiftsansva-
rige.
I artikel 17.1 finns det allmänt hållna regler om de säkerhetsåtgärder
som skall vidtas. Reglerna innebär i korthet följande. Den person-
uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas. Dessa åtgärder
skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
de tekniska möjligheter som finns,
vad det skulle kosta att genomföra åtgärderna,
de särskilda risker som finns med behandlingen av personuppgifterna
och
hur pass känsliga de behandlade personuppgifterna är.
I artikel 17.2–4 finns det bestämmelser i fråga om säkerhet för den
situationen att den personuppgiftsansvarige anlitar ett personuppgiftsbi-
träde. Bestämmelserna kan i korthet sägas innebära följande. När den
personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den
personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan
genomföra de säkerhetsåtgärder som måste vidtas och se till att person-
uppgiftsbiträdet verkligen vidtar åtgärderna. Det skall vidare finnas ett
skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter
för den personuppgiftsansvariges räkning. I det avtalet skall det särskilt
föreskrivas dels att personuppgiftsbiträdet får behandla person-
uppgifterna bara i enlighet med instruktioner från den person-
uppgiftsansvarige, dels att personuppgiftsbiträdet är skyldigt att vidta de
säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta.
Bestämmelserna i EG-direktivet måste införas i den nya lagen. Data-
lagskommitténs förslag till överförande av bestämmelserna har lämnats i
huvudsak utan erinran av remissinstanserna. Förslaget bör enligt vår
mening genomföras.
Behandling bara enligt instruktioner från den personuppgiftsansvarige
Vi föreslår således för det första att det införs en bestämmelse om att
personuppgiftsbiträdet eller den eller de personer som arbetar under
dennes eller den personuppgiftsansvariges ledning får behandla person-
uppgifter bara i enlighet med instruktioner från den personupp-
giftsansvarige. Om det finns avvikande regler i annan lagstiftning om att
någon är skyldig att utföra en behandling, får behandlingen dock utföras
utan särskilda instruktioner. Avvikande regler i annan lagstiftning skall
ju generellt sett ta över reglerna i den nya lagen (se avsnitt 6.2).
Eftersom utlämnande av personuppgifter till tredje man innefattas i
begreppet behandling, innebär bestämmelsen ett slags tystnadsplikt.
Särskilt med hänsyn till att det redan gäller särskilda regler om sekretess
och tystnadsplikt i det allmännas verksamhet, vilka bl.a. innebär att den
grundlagsfästa s.k. meddelarfriheten ibland tar över tystnadsplikten, bör
det föreskrivas att särskilda bestämmelser i lag eller annan författning
skall tillämpas i stället för bestämmelsen om hantering av
personuppgifter i enlighet med instruktioner.
Den personuppgiftsansvarige får lämna ut personuppgifter bara om
utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna
samlades in (se avsnitt 11.2). I vissa fall får känsliga personuppgifter
bara lämnas ut med stöd av den registrerades samtycke (se avsnitt
11.4.1). Skulle någon som arbetar för den personuppgiftsansvarige lämna
ut personuppgifter i strid med vad som sålunda gäller, är det den person-
uppgiftsansvarige som bär det rättsliga ansvaret gentemot den
registrerade (se avsnitt 14 om skadeståndsskyldighet). I vilken utsträck-
ning den personuppgiftsansvarige i sin tur kan vidta någon åtgärd mot
den som lämnade ut uppgiften i strid med givna instruktioner framgår av
de bestämmelser som reglerar förhållandet mellan den person-
uppgiftsansvarige och medhjälparen, t.ex. avtalet med ett person-
uppgiftsbiträde eller arbetsrättsliga bestämmelser (jfr AD 1996 nr 23 i
vilket rättsfall Arbetsdomstolen kom fram till att det inte fanns grund för
att avskeda en polisman som dömts för tjänstefel och dataintrång för det
att han upprepade gånger gjort obefogade registerslagningar). De allmänt
hållna bestämmelserna i den nya lagen innebär inte en sådan plikt att
hemlighålla uppgifter som medför att straffstadgandet om brott mot
tystnadsplikt i 20 kap. 3 § brottsbalken kan bli tillämpligt.
Bestämmelsen om behandling bara enligt den personuppgifts-
ansvariges instruktioner skulle kunna strida mot meddelarfriheten, dvs.
rätten för var och en att meddela uppgifter och underrättelser för offent-
liggörande i tryckt skrift till massmedierepresentanter. Av det undantag
för tryck- och yttrandefriheten som finns i 7 § första stycket och som
berörts i avsnitt 8.2 följer att bestämmelsen i ett sådant fall inte kan
tillämpas.
Åtgärder för att uppnå en lämplig säkerhetsnivå
Vi föreslår för det andra att regeln i EG-direktivet om att den person-
uppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas förs över till
den nya lagen, jämte uppräkningen i direktivet av de faktorer som därvid
skall beaktas. Dessa allmänt hållna regler beskriver enligt vår mening på
ett kortfattat och bra sätt de överväganden som måste göras i fråga om
säkerhetsåtgärder. Reglerna ger dock som regel inte tillräcklig
vägledning för den personuppgiftsansvarige för att avgöra vilka
säkerhetsåtgärder som bör vidtas i det enskilda fallet för att nå upp till en
lämplig säkerhetsnivå. Avsikten är att regeringen eller den myndighet
som regeringen bestämmer skall meddela de närmare föreskrifter om
säkerhetsåtgärder som behövs. Tillsynsmyndigheten bör också i rimlig
utsträckning lämna råd i säkerhetsfrågor.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
Säkerhetsbrister är i princip oacceptabla, och det är viktigt att
tillsynsmyndigheten har tydliga befogenheter just när det gäller säkerhe-
ten. Vi har därför valt att i enlighet med Datalagskommitténs förslag ta
med en uttrycklig bestämmelse i den nya lagen om att tillsyns-
myndigheten får meddela beslut om säkerhetsåtgärder i enskilda fall (se
avsnitt 13). Genom ett beslut i det enskilda fallet får den person-
uppgiftsansvarige preciserat exakt vilka åtgärder han eller hon måste
vidta för att uppfylla säkerhetskraven. Följs inte beslutet frivilligt i det
enskilda fallet, bör tillsynsmyndigheten ha möjlighet att förelägga vite
för att få den genomförd, se närmare avsnitt 13 om tillsynsmyndighetens
befogenheter. Tillsynsmyndighetens beslut om säkerhetsåtgärder i det
enskilda fallet skall riktas mot den personuppgiftsansvarige även när ett
personuppgiftsbiträde har anlitats.
Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstift-
ning, t.ex. i arkivlagen (1990:782) med anknytande författningar. Sådana
bestämmelser kommer att gälla vid sidan av de bestämmelser om
skyddsåtgärder som gäller enligt den nya lagen med anknytande författ-
ningar och beslut. Den personuppgiftsansvarige måste således uppfylla
alla de regler om säkerhetsåtgärder som kan ha meddelats för hans eller
hennes verksamhet.
Skriftligt avtal med personuppgiftsbiträden
För det tredje har regeln i EG-direktivet om att det skriftliga avtalet
mellan den personuppgiftsansvarige och personuppgiftsbiträdet skall
innehålla föreskrifter om att biträdet bara får behandla personuppgifterna
i enlighet med instruktioner från den ansvarige förts över till den nya
lagen. I den utsträckning det är otillåtet enligt grundlag med sådana
avtalsföreskrifter, vilka till viss del kan ses som en avtalad tystnadsplikt,
tar grundlagen över bestämmelserna i nya lagen, se avsnitt 8.2. Även
regeln i EG-direktivet om att det skriftliga avtalet skall innehålla en
föreskrift om att personuppgiftsbiträdet skall vidta säkerhetsåtgärder har
förts över till den nya lagen.
Den personuppgiftsansvarige skall kontrollera anlitade person-
uppgiftsbiträden
Vi föreslår för det fjärde ett överförande till den nya lagen av regeln i
EG-direktivet om att den personuppgiftsansvarige skall förvissa sig om
att ett anlitat personuppgiftsbiträde kan genomföra de säkerhetsåtgärder
som måste vidtas och se till att biträdet verkligen vidtar åtgärderna. Det
är dock den personuppgiftsansvarige som har ansvaret gentemot den
registrerade avseende behandlingen även när ett personuppgiftsbiträde
har anlitats. I vilken utsträckning den personuppgiftsansvarige i sin tur
kan utkräva ansvar av ett anlitat personuppgiftsbiträde följer av avtalet
med denne och allmänna bestämmelser.
11.9 Överföring av personuppgifter utanför EES
Regeringens förslag: Det är i princip förbjudet att till tredje land föra
över personuppgifter som är under behandling. Det är dock trots
förbudet tillåtet att föra över personuppgifter till tredje land, om den
registrerade har samtyckt till överföringen eller när överföringen är
nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgöras eller åtgärder som den registrerade begärt skall
kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller
försvaras, eller
d) vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över personuppgifter för användning
enbart i en stat som har anslutit sig till Europarådets konvention om
skydd för enskilda vid automatisk databehandling av personuppgifter.
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om ytterligare undantag från förbudet mot
överföring.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Några remissinstanser pekar på att det enligt
förslaget blir svårigheter med att sprida personuppgifter på Internet.
Datainspektionen anser att Sverige inte ensidigt bör införa ett generellt
undantag beträffande stater som har anslutit sig till Europarådets kon-
vention.
Skälen för regeringens förslag: Bestämmelser rörande utlämnande
av personuppgifter till utlandet finns i dag i 11 § i den nuvarande
datalagen för privat verksamhet och i 7 kap. 16 § andra stycket
sekretesslagen (1980:100) för verksamhet inom det allmänna.
Bestämmelserna innebär bl.a. att det för ett utlämnande alltid krävs ett
medgivande från Datainspektionen, om det kan antas att de utlämnade
uppgifterna kommer att användas för automatisk databehandling i en stat
som inte har anslutit sig till Europarådets konvention om skydd för en-
skilda vid automatisk databehandling av personuppgifter.
I artikel 25 och 26 i EG-direktivet (se bilaga 1) finns det bestämmelser
om överföring av personuppgifter till tredje land, dvs. en stat utanför
EES. Bestämmelserna innebär följande.
Medlemsstaterna skall föreskriva att överföring av personuppgifter,
som är under behandling eller som är avsedda att behandlas efter
överföring till tredje land, bara får ske om ifrågavarande tredje land
säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämp-
ningen av de nationella bestämmelser som har antagits till följd av andra
bestämmelser i direktivet
Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske
på grundval av alla de förhållanden som har samband med en överföring
eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas
uppgifternas art,
den eller de avsedda behandlingarnas ändamål,
den eller de avsedda behandlingarnas varaktighet,
ursprungslandet,
det slutliga bestämmelselandet,
de allmänna respektive särskilda rättsregler som gäller i ifrågavarande
tredje land och
de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande
tredje land.
Medlemsstaterna och kommissionen skall informera varandra när de
anser att ett tredje land inte erbjuder en sådan adekvat skyddsnivå. Om
kommissionen – i enlighet med den särskilda beslutsprocedur som före-
skrivs i direktivet – kommer fram till att ett tredje land inte erbjuder en
sådan adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de
åtgärder som är nödvändiga för att hindra överföring av uppgifter av
samma slag till detta land. Kommissionen skall i sådant fall vid lämpligt
tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har
uppkommit. Kommissionen kan vidare – i enlighet med den särskilda
beslutsprocedur som föreskrivs i direktivet – konstatera att ett tredje land,
genom sin interna lagstiftning eller på grund av de internationella förplik-
telser som åligger landet, har en sådan adekvat skyddsnivå. Medlemssta-
terna skall då vidta de åtgärder som är nödvändiga för att följa
kommissionens beslut. Som exempel på internationella förpliktelser som
åligger tredje land nämns särskilt sådana förpliktelser som är en följd av
de förhandlingar som kommissionen har inlett och som gäller skydd för
privatliv och enskilda personers grundläggande fri- och rättigheter.
Medlemsstaterna är dock skyldiga att – utom där något annat
föreskrivs för särskilda fall i den nationella lagstiftningen – föreskriva att
överföring av personuppgifter till ett tredje land, som inte har en sådan
adekvat skyddsnivå, är tillåten i följande fall.
Den registrerade otvetydigt har samtyckt till den planerade överföring-
en.
Överföringen är nödvändig för att fullgöra ett avtal mellan den regist-
rerade och den personuppgiftsansvarige eller för att på den
registrerades begäran genomföra åtgärder innan avtalet ingås.
Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan
den personuppgiftsansvarige och tredje man, där avtalet är i den
registrerades intresse.
Överföringen är nödvändig eller bindande enligt författning av skäl
som rör viktiga allmänna intressen eller för att fastslå, göra gällande
eller försvara rättsliga anspråk.
Överföringen är nödvändig för att skydda intressen som är av grund-
läggande betydelse för den registrerade.
Överföringen görs från ett register som 1) enligt lagar eller andra för-
fattningar är avsett att förse allmänheten med information och som 2)
är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen
angivna villkoren för att få tillgång är uppfyllda.
I punkt 58 i ingressen till EG-direktivet anges som exempel på viktiga
allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tull-
myndigheter eller socialförsäkringsmyndigheter.
Det är vidare tillåtet för medlemsstaterna att tillåta överföring av
personuppgifter till ett tredje land med en icke adekvat skyddsnivå om
den personuppgiftsansvarige ställer tillräckliga garantier för skyddet av
privatliv och enskilda personers grundläggande fri- och rättigheter och
för utövandet av sådana rättigheter. Sådana garantier kan framgå av
lämpliga avtalsklausuler. Medlemsstaterna skall informera
kommissionen om de överföringar som har tillåtits enligt denna
bestämmelse. Om kommissionen eller en medlemsstat gör en invändning
– på grunder som är berättigade med hänsyn till skyddet för privatliv och
enskilda personers grundläggande fri- och rättigheter – skall
kommissionen vidta lämpliga åtgärder i enlighet med den särskilda
beslutsprocedur som föreskrivs i direktivet. Medlemsstaterna skall vidta
de åtgärder som är nödvändiga för att följa kommissionens beslut. Om
kommissionen å andra sidan – i enlighet med den särskilda
beslutsprocedur som nyss nämnts – beslutar att vissa standardklausuler
erbjuder tillräckliga garantier, skall medlemsstaterna vidta nödvändiga
åtgärder för att följa kommissionens beslut.
Förbud mot överföring, konkreta undantag från förbudet och
bemyndiganden att meddela föreskrifter om ytterligare undantag
Bestämmelserna i EG-direktivet är, såsom Datalagskommittén och en del
remissinstanser noterat, detaljerade och komplicerade. Datalagskom-
mittén har gjort den bedömningen att man inte i lagstiftningen bör införa
mer komplicerade regler än vad som är nödvändigt med hänsyn till EG-
direktivet. Vi godtar den bedömningen, som har lämnats utan erinran av
remissinstanserna.
EG-direktivet kräver att det i den svenska lagstiftningen införs ett
förbud mot överföring av personuppgifter till tredje land och de konkreta
undantag från det förbudet som räknas upp i direktivet. I övrigt kan
detaljregler i den nya lagen undvikas genom att regeringen eller den
myndighet som regeringen bestämmer bemyndigas att meddela före-
skrifter om undantag från förbudet mot överföring, t.ex. när det gäller
överföring till stater som har en adekvat skyddsnivå. Beslut om undantag
från förbudet bör också kunna meddelas i enskilda fall. Den tekniken,
som bl.a. innebär att det i den nya lagen införs ett principiellt förbud mot
överföring av personuppgifter till tredje land, har använts i Datalags-
kommitténs förslag och lämnats utan erinran av remissinstanserna. Även
vi anser att tekniken bör användas. Frågan om normgivningsdelegation
har berörts i avsnitt 10.
Stater som anslutit sig till Europarådets konvention
Förutom de undantag från förbudet mot överföring av personuppgifter
som räknas upp i direktivet har Datalagskommittén föreslagit ett
generellt undantag för överföring av personuppgifter för användning
enbart i en stat som anslutit sig till Europarådets konvention om skydd
för enskilda vid automatisk databehandling av personuppgifter.
Datainspektionen vänder sig emot att detta generella undantag tas med i
den nya lagen. Enligt inspektionens uppfattning är det inte enbart en
nationell fråga att avgöra i vilken omfattning överföring får ske till stater
som inte är medlemmar i Europeiska unionen.
Sverige har skyldigheter inte bara gentemot Europeiska unionen utan
också enligt Europarådets konvention. Av artikel 12 i den konventionen
följer att Sverige – och andra konventionsstater – inte av integri-
tetsskyddsskäl får hindra att personuppgifter förs över till en
konventionsstat för att användas där. Det vore alltså oförenligt med
konventionen att införa en ordning som innebär att överföringen till en
konventionsstat kan hindras av det skälet att staten i någon mening inte
skulle anses ha en adekvat skyddsnivå för personuppgifter. Av punkt 11 i
ingressen till EG-direktivet framgår också att direktivet innehåller
preciseringar och förstärkningar av de principer som Europarådskonven-
tionen innehåller. Det är enligt regeringens mening inte antagligt att
medlemsstaterna inom Europeiska unionen, varav de allra flesta vid
antagandet av direktivet hade anslutit sig till konventionen, genom
direktivet skulle ha tillskapat en ordning som vore oförenlig med åta-
gandena enligt konventionen. De stater som anslutit sig till Europarådets
konvention får enligt regeringens mening anses ha en sådan adekvat
skyddsnivå som krävs enligt EG-direktivet.
Mot bakgrund av det sagda och Sveriges förpliktelser enligt Europa-
rådskonventionen förefaller det enklast och tydligast med en uttrycklig
bestämmelse om att personuppgifter utan vidare får föras över för
användning enbart i en stat som har anslutit sig till Europarådets
konvention. Vi föreslår således i likhet med Datalagskommittén att en
sådan bestämmelse tas med i den nya lagen.
12 Anmälningsskyldighet och upplysningar till
allmänheten om behandlingar
Regeringens bedömning: EG-direktivet kräver att det föreskrivs en
principiell skyldighet att anmäla alla automatiserade behandlingar till
tillsynsmyndigheten. De möjligheter till undantag som direktivet ger
bör dock utnyttjas så långt möjligt.
Regeringens förslag: I den nya lagen tas in en principiell skyldighet
att anmäla alla automatiserade behandlingar till tillsynsmyndigheten.
Den personuppgiftsansvarige ges möjlighet att sätta till ett särskilt
personuppgiftsombud. När en anmälan gjorts till tillsynsmyndigheten
om att ett sådant ombud tillsatts, behöver anmälningar om behand-
lingar inte längre göras.
Allmänheten skall ha rätt att på begäran få upplysningar om sådana
behandlingar som inte anmälts direkt från den personuppgifts-
ansvarige.
Regeringen får meddela föreskrifter om att särskilt integritets-
känsliga behandlingar skall anmälas till tillsynsmyndigheten för
förhandskontroll tre veckor i förväg.
Datalagskommitténs förslag överensstämmer med regeringens, dock
att kommittén inte föreslår någon skyldighet att till tillsynsmyndigheten
anmäla utsedda personuppgiftsombud.
Remissinstanserna: Remissinstanserna har i huvudsak godtagit för-
slaget om anmälningsskyldighet. Inte någon har förordat att det
nuvarande systemet med licens och tillstånd skall behållas. När det gäller
förslaget om personuppgiftsombud är remissutfallet blandat. En del
remissinstanser har tillstyrkt förslaget, medan andra har uttryckt
tveksamhet. De tveksamma instanserna har i allmänhet pekat på riskerna
för lojalitetskonflikter.
Skälen för regeringens förslag: Den nuvarande datalagen bygger på
att den som inrättar och för personregister skall anmäla sig till Data-
inspektionen för licens. I många fall krävs det dessutom att person-
registreringen förhandskontrolleras av inspektionen och att ett tillstånd
ges. Datainspektionens medgivande krävs vidare i vissa fall när uppgifter
från ett personregister skall lämnas ut för automatisk databehandling i
utlandet, t.ex. genom att göras tillgängliga på ett internationellt data-
nätverk såsom Internet.
Anmälningsskyldighet
Det har uppskattats att bara omkring tio procent av alla licenspliktiga
personregister anmäls till Datainspektionen. Datainspektionen får alltså
genom licens- och tillståndssystemet kännedom om bara en bråkdel av
den personregistrering som förekommer. Man kan vidare anta att det är
de som följer de formella reglerna och gör en anmälan som också bäst
följer de materiella reglerna om uppgiftsbehandlingen. Licenserna är
således inte något bra underlag för inspektionens tillsynsverksamhet, och
de ger inte heller enskilda någon upplysning om i vilka register de
förekommer. Integritetsskyddet stärks vidare inte i sig av att Datain-
spektionen hanterar anmälningar, licenser och tillstånd. Det som har
betydelse för integritetsskyddet är att de personuppgiftsansvariga följer
de materiella reglerna för uppgiftsbehandlingar, inte att de sänder in
papper till Datainspektionen.
Vi anser därför i likhet med Datalagskommittén och remissinstanserna
att det nuvarande licens- och tillståndssystemet bör avskaffas och att
tillsynsmyndighetens verksamhet bör koncentreras till att ge råd och
sprida kunskap om de materiella reglerna och att utöva tillsyn över att
reglerna följs. Sverige måste emellertid på grund av artikel 18.1 i EG-
direktivet (se bilaga 1) föreskriva att alla automatiserade behandlingar
skall anmälas på förhand till tillsynsmyndigheten. Det är därför viktigt att
fullt ut utnyttja de möjligheter till undantag från anmälningsskyldigheten
som direktivet medger. På det sättet bör anmälningsskyldigheten kunna
begränsas till ett minimum. Den möjlighet att föreskriva anmälnings-
skyldighet även för manuella behandlingar som EG-direktivet ger bör i
enlighet med vår principiella inställning inte utnyttjas.
I enlighet med vad som anges i avsnitt 10 bör regeringen eller den
myndighet som regeringen bestämmer bemyndigas att meddela före-
skrifter om sådana undantag från anmälningsskyldigheten som tillåts
enligt direktivet (artikel 18.2 första strecksatsen). Skulle tillsyns-
myndigheten få in en mera betydande mängd anmälningar om behand-
lingar av viss typ, finns det anledning att överväga ett undantag för den
behandlingstypen.
Personuppgiftsombud
Ett ytterligare alternativ för att undvika anmälan till tillsynsmyndigheten
som EG-direktivet medger är att införa ett system med personuppgifts-
ombud (artikel 18.2 andra strecksatsen). Personuppgiftsombudet utses av
den personuppgiftsansvarige och skall enligt direktivet särskilt ha till
uppgift att på ett oberoende sätt säkerställa den interna tillämpningen av
de nationella bestämmelser som antagits till följd av direktivet. Ombudet
skall också föra ett register över de behandlingar som utförs av den
personuppgiftsansvarige. Det framgår av direktivet att ombudet i
tveksamma fall skall rådfråga tillsynsmyndigheten (artikel 20.2). När ett
personuppgiftsombud utsetts, behöver den personuppgiftsansvarige inte
anmäla behandlingar till tillsynsmyndigheten.
Datalagskommittén har föreslagit att ett system med personuppgifts-
ombud införs enligt följande. Personuppgiftsombudet skall ha till uppgift
att självständigt se till att den personuppgiftsansvarige behandlar person-
uppgifter på ett lagligt och korrekt sätt och i enlighet med god sed och
påpeka eventuella brister för denne. Har personuppgiftsombudet anled-
ning att misstänka att den personuppgiftsansvarige bryter mot de
bestämmelser som gäller för behandlingen av personuppgifter och vidtas
inte rättelse så snart det kan ske efter påpekande, skall person-
uppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Person-
uppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten
vid tveksamhet om hur de bestämmelser som gäller för behandlingen av
personuppgifter skall tillämpas. Personuppgiftsombudet skall vidare
hjälpa registrerade att få rättelse när det finns anledning att misstänka att
behandlade personuppgifter är felaktiga eller ofullständiga. Dessutom
skall personuppgiftsombudet föra en förteckning över de behandlingar
som den personuppgiftsansvarige genomför och som skulle ha omfattats
av anmälningsskyldighet om ombudet inte hade funnits.
Flera remissinstanser är uttalat positiva till förslaget, t.ex. Länsrätten i
Stockholms län, Datainspektionen, Landsorganisationen i Sverige (LO)
och Sveriges industriförbund. Andra är däremot negativa eller tvek-
samma. De pekar framför allt på risken för att ombudet, som kan vara en
anställd på företaget eller myndigheten, kan hamna i svåra lojalitets-
konflikter i förhållande till den personuppgiftsansvarige arbetsgivaren,
särskilt när det gäller bedömningen av om en anmälan om ett eventuellt
missförhållande skall göras till tillsynsmyndigheten.
Enligt vår bedömningen förefaller det föreslagna systemet med
personuppgiftsombud ändamålsenligt för vissa personuppgiftsansvariga.
För andra kan systemet visserligen passa sämre, men det bör inte hindra
att systemet införs som en möjlighet för dem som anser att det är bra och
värdefullt. Om såsom förutsatt tillräckligt självständiga personer anlitas
som ombud, bör risken för lojalitetskonflikter inte överdrivas.
Vi anser således att det bör vara möjligt att utse ett självständigt per-
sonuppgiftsombud som skall ha de uppgifter som framgår av Datalags-
kommitténs förslag.
Datalagskommittén har inte föreslagit någon skyldighet att anmäla
personuppgiftsombudet till en myndighet. Socialvetenskapliga forsk-
ningsrådet anser att man kan överväga att införa en skyldighet att anmäla
utsedda personuppgiftsombud till tillsynsmyndigheten. Vi anser att det är
ett bra förslag. Ombudet skall ersätta anmälningar till
tillsynsmyndigheten om behandlingar, och därför är det naturligt att
förutsättningen för att låta bli att anmäla behandlingarna manifesteras
genom en anmälan om ombudet. Av samma skäl och på grund av att det
är tillsynsmyndigheten som närmast kan ha användning av information
om vilka som är personuppgiftsombud bör anmälan göras till
tillsynsmyndigheten och inte till någon annan myndighet. Det
förhållandet att ombudet är anmält till en myndighet kan också för
ombudet inskärpa vikten av att uppdraget tas på allvar. Vi anser således
att den personuppgiftsansvarige skall till tillsynsmyndigheten anmäla att
ett personuppgiftsombud utsetts och vem det är och att anmälan skall ha
den verkan att anmälan till tillsynsmyndigheten om behandlingar därefter
inte behöver göras. När ett ombud entledigas, skall detta också anmälas
till tillsynsmyndigheten eftersom förutsättningen för befrielse från
skyldigheten att anmäla behandlingar då inte längre finns.
Förhandskontroll
I enlighet med vad som anges i avsnitt 10 föreslås att regeringen
bemyndigas att meddela föreskrifter om att vissa behandlingar som kan
innebära särskilda risker för otillbörligt intrång i den personliga integri-
teten skall för förhandskontroll anmälas till tillsynsmyndigheten tre
veckor i förväg. Om regeringen har meddelat sådana föreskrifter, måste
behandlingen anmälas även om ett personuppgiftsombud utsetts.
Upplysningar till allmänheten om behandlingar
Enligt artikel 21 i EG-direktivet skall Sverige vidta åtgärder för att se till
att behandlingar av personuppgifter görs offentligt tillgängliga. Sverige
skall för sådan behandling som inte omfattas av anmälningsplikt före-
skriva att de personuppgiftsansvariga, eller något annat organ som
Sverige utser, på lämpligt sätt skall tillhandahålla var och en som begär
det vissa upplysningar om behandlingen.
För att uppfylla EG-direktivet måste det således, såsom Datalags-
kommittén föreslagit och de allra flesta remissinstanser godtagit, införas
en skyldighet för den personuppgiftsansvarige att till var och en som
begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana
automatiska och andra behandlingar av personuppgifter som inte har
anmälts till tillsynsmyndigheten. Den skyldigheten kommer förmodligen
att leda till att de personuppgiftsansvariga upprättar och håller aktuell
någon form av förteckning över de aktuella behandlingarna.
13 Tillsynsmyndighetens befogenheter
Regeringens förslag: Tillsynsmyndigheten har rätt att för sin tillsyn
på begäran få tillgång till de personuppgifter som behandlas, upplys-
ningar om och dokumentation av behandlingen och säkerheten vid
denna samt tillträde till sådana lokaler som har anknytning till
behandlingen.
Om myndigheten därvid inte kan få tillräckligt underlag för att
konstatera att behandlingen är laglig, får myndigheten vid vite
förbjuda den personuppgiftsansvarige att behandla personuppgifter på
annat sätt än genom att lagra dem. Detsamma gäller om det efter att en
olaglig behandling konstaterats inte går att få rättelse på något annat
sätt eller om saken är brådskande. Om saken är brådskande, får myn-
digheten också meddela ett tillfälligt beslut om vite innan den person-
uppgiftsansvarige fått tillfälle att yttra sig. Det tillfälliga beslutet skall
då prövas om, när yttrandetiden har gått ut.
Tillsynsmyndigheten får hos länsrätt ansöka om att sådana person-
uppgifter som har behandlats på ett olagligt sätt skall utplånas.
Tillsynsmyndighetens beslut enligt den nya lagen om annat än före-
skrifter får överklagas hos allmän förvaltningsdomstol, men myndig-
heten får bestämma att beslutet skall gälla även om det överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna: Förslaget lämnas utan erinran av de allra flesta
remissinstanserna. Hovrätten över Skåne och Blekinge anser att tillsyns-
myndighetens befogenheter är delvis otillräckliga. Kammarrätten i Göte-
borg anser att ett beslut om förbud bör kunna föregås av ett med vite
förenat föreläggande för att uppnå det resultat som önskas. Kammarrätten
anser vidare att det bör övervägas om inte kravet på prövningstillstånd
bör gälla först efter en viss tid. Liknande synpunkter förs fram av
Länsrätten i Stockholms län och av UpplysningsCentralen UC AB, som
dessutom avstyrker att tillsynsmyndigheten skall få meddela ett tillfälligt
beslut om vite.
Skälen för regeringens förslag: Enligt artikel 28 i EG-direktivet (se
bilaga 1) skall det utses en eller flera myndigheter med uppgift att
fullständigt oberoende övervaka tillämpningen av de bestämmelser som
Sverige antagit till följd av direktivet. Sverige är också skyldig att
särskilt besluta om de sanktioner som skall användas vid överträdelse av
dessa bestämmelser (artikel 24). Varje tillsynsmyndighet skall ha vissa i
direktivet angivna befogenheter, och de beslut av myndigheten som går
en part emot skall kunna överklagas till domstol (artikel 28).
Vad som bör regleras i den nya lagen
Föreskrifter om flera av de uppgifter och befogenheter som tillsyns-
myndigheten skall ha enligt direktivet kan ges i förordning, och vi avser
att senare meddela nödvändiga föreskrifter. Förslaget omfattar de be-
fogenheter som tillsynsmyndigheten bör ha och som måste eller enligt
vår mening bör regleras i lag.
Kammarrätten i Göteborg anser att den nya lagen bör innehålla en
bestämmelse om att det skall finnas en tillsynsmyndighet som skall ha till
uppgift att övervaka tillämpningen. Bestämmelserna i den nya lagen
förutsätter att det finns en tillsynsmyndighet, och EG-direktivet kräver
också att en sådan myndighet utses. Tillsynsmyndigheten definieras i
lagens inledning. Enligt vår mening är det däremot inte nödvändigt att i
lag ha ytterligare en bestämmelse om detta. Inte heller är det, såsom bl.a.
Datainspektionen föreslagit, nödvändigt att i lag ha bestämmelser om att
tillsynsmyndigheten kan granska branschregler om behandling av
personuppgifter.
Enligt EG-direktivet skall Sverige se till att tillsynsmyndigheten hörs
när sådana lagar eller andra författningar utarbetas som rör skyddet av
enskilda personers fri- och rättigheter med avseende på behandlingen av
personuppgifter (artikel 28). Datainspektionen anser mot den bakgrunden
att den nya lagen bör innehålla en bestämmelse om detta. En uttrycklig
motsvarande bestämmelse i den nuvarande datalagen avskaffades per den
1 januari 1995. Avsikten var att avskaffandet på intet sätt skulle innebära
någon lättnad i kravet på remissbehandling, även om syftet med av-
skaffandet i och för sig var att minska tillsynsmyndighetens arbetsbörda.
I 7 kap. 2 § regeringsformen finns det en grundläggande bestämmelse
om att behövliga upplysningar och yttranden skall hämtas in vid
beredningen av regeringsärenden. Vi avser för vår del att tolka den
bestämmelsen i belysning av vad som krävs enligt EG-direktivet. När vi i
nu aktuella fall beslutar en förordning eller tar initiativ till en lag, finns
det således tillräckliga garantier för att tillsynsmyndigheten hörs på det
sätt som krävs enligt direktivet.
Någon motsvarande s.k. remisskyldighet finns inte när det inom riks-
dagen i nu aktuella fall tas initiativ till en lag, t.ex. om reglering av egna
register. I 4 kap. 10 § riksdagsordningen finns det dock riksdagens be-
stämmelser om att statlig myndighet – t.ex. den aktuella tillsynsmyndig-
heten – är skyldig att lämna upplysningar och yttra sig när ett riksdags-
utskott begär det och om att sådana upplysningar och yttranden som
huvudregel skall hämtas in om minst fem utskottsledamöter begär det.
Det får förutsättas att riksdagen utan en särskild bestämmelse om detta
ser till att tillsynsmyndigheten har hörts på det sätt som EG-direktivet
kräver när en lag i nu aktuella fall beslutas efter ett initiativ inom
riksdagen.
Vi anser därför att det inte är vare sig nödvändigt med hänsyn till EG-
direktivet eller annars behövligt att åter införa den bestämmelse om
obligatoriskt yttrande som nyss avskaffats.
Befogenheterna
För att tillsynsmyndigheten på ett så effektivt sätt som möjligt skall
kunna utöva tillsyn över den behandling av personuppgifter som
förekommer bör myndigheten för sin tillsyn ha rätt att på begäran få
tillgång till de personuppgifter som behandlas,
upplysningar om och dokumentation av behandlingen av personupp-
gifter och säkerheten vid denna och
tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
För den händelse den personuppgiftsansvarige skulle obstruera och
inte ge tillsynsmyndigheten det den behöver för tillsynen, måste myn-
digheten ha maktmedel att ta till. Hovrätten över Skåne och Blekinge
anser att tillsynsmyndighetens befogenheter framstår som delvis otill-
räckliga och pekar därvid särskilt på att myndigheten enligt förslaget
saknar maktmedel för att t.ex. få tillträde till lokaler.
Eftersom sådan behandling av personuppgifter som omfattas av den
föreslagna lagen kan förekomma t.ex. i någons hem eller i en dator som
någon bär på sig och då det i en och samma dator kan förekomma såväl
behandling som omfattas av lagen som rent privat behandling av högst
personliga uppgifter som inte omfattas av lagen, har vi funnit att det är
olämpligt med regler som innebär att myndigheten skulle få genomdriva
sina rättigheter med t.ex. polishjälp. Det skulle kunna leda till ett större
intrång i den personliga integriteten än det intrång som myndighetens
tillsynsverksamhet syftar till att förebygga. Enligt vår mening bör man gå
en annan väg i stället som innebär att tillsynsmyndigheten kan vid vite
förbjuda behandling av personuppgifter.
Möjlighet att förelägga vite
Syftet med tillsynsmyndighetens tillsyn och myndighetens rättigheter i
samband med den är ytterst att myndigheten skall kunna konstatera om
den behandling av personuppgifter som utförs är laglig, dvs. att samtliga
bestämmelser i den nya lagen och i andra författningar som rör behand-
ling av personuppgifter följs. Kan myndigheten inte på begäran få till-
gång till ett tillräckligt underlag för att konstatera att behandlingen är lag-
lig, bör myndigheten kunna vid vite förbjuda den personuppgifts-
ansvarige att fortsätta att behandla personuppgifter på annat sätt än
genom att lagra dem. Den som obstruerar riskerar således att bli
förbjuden att i fortsättningen behandla personuppgifter. Den risken kan
med fog antas medföra att de personuppgiftsansvariga blir tillräckligt
benägna att ge myndigheten det underlag den behöver.
Tillsynsmyndigheten kan på olika sätt få reda på att personuppgifter
behandlas eller kan komma att behandlas på ett olagligt sätt. Sådan in-
formation kan komma fram i samband med ett tillsynsbesök, framgå av
kontakter med ett personuppgiftsombud eller av en insänd anmälan om
behandlingen eller av ett klagomål från t.ex. någon registrerad eller
konkurrent. I sådana fall bör myndigheten i första hand försöka att åstad-
komma rättelse genom påpekanden eller liknande förfaranden. Men går
det inte att få rättelse på annat sätt, bör myndigheten kunna vid vite
förbjuda den personuppgiftsansvarige att fortsätta att behandla person-
uppgifter på annat sätt än genom att lagra dem. Om saken är brådskande,
bör tillsynsmyndigheten genast kunna gripa in på detta sätt.
Kammarrätten i Göteborg anser att ett beslut om förbud bör kunna
föregås av ett med vite förenat föreläggande för att uppnå det resultat
som önskas. Enligt vår mening är det viktigt att tillsynsmyndigheten i
första hand kan fungera som ett stöd vid de personuppgiftsansvarigas
behandling av personuppgifter och ge råd om hur behandlingen bör gå
till för att vara laglig. Möjligheten till vitessanktionerat förbud får anses
tillräcklig för att förmå de personuppgiftsansvariga att följa
myndighetens råd i fråga om hur en behandling skall utföras på ett lagligt
sätt. Datainspektionen har för övrigt inte fört fram några synpunkter på
de föreslagna vitesmöjligheterna.
Tillsynsmyndigheten bör kunna fatta beslut om vilka
säkerhetsåtgärder som en personuppgiftsansvarig skall vidta. Det beslutet
bör kunna överklagas hos allmän förvaltningsdomstol. Om den person-
uppgiftsansvarige inte följer ett beslut om säkerhetsåtgärder, som har
vunnit laga kraft, bör tillsynsmyndigheten kunna föreskriva vite för att
beslutet skall genomföras.
I fråga om tillsynsmyndighetens möjligheter att föreskriva vite bör
generellt gälla att den personuppgiftsansvarige skall få tillfälle att yttra
sig innan myndigheten föreskriver vite. Om det är riskfyllt att vänta med
beslutet om vite till dess den personuppgiftsansvarige fått möjlighet att
yttra sig, bör myndigheten dock få fatta ett tillfälligt beslut om vite. Det
tillfälliga beslutet bör i sådana fall prövas om när yttrandetiden har gått ut
och det finns ett mera fullständigt underlag.
Kammarrätten i Göteborg anser att det inte har visats att det finns
behov av en bestämmelse om tillfälligt vite. UpplysningsCentralen UC
AB avstyrker en sådan bestämmelse. Enligt vår mening är det i vissa
undantagsfall nödvändigt att tillsynsmyndigheten kan agera snabbt och
kraftfullt för att skydda de registrerades personliga integritet. Av en
personuppgiftsansvarigs anmälan kan t.ex. framgå att en viss behandling
avseende känsliga personuppgifter som inte alls får utföras enligt den nya
lagen skall starta om någon dag. En möjlighet att innan den person-
uppgiftsansvarige fått komma till tals meddela ett tillfälligt beslut bör
dock givetvis utnyttjas bara när saken är klar och så brådskande att
yttrandet inte kan avvaktas.
Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Av
2 § fjärde stycket i den lagen framgår att ett vitesföreläggande skall
delges adressaten. Enligt vår mening bör i fråga om delgivningen gälla
samma regler som för delgivning av en stämning i ett tvistemål, se
33 kap. 6 § andra stycket rättegångsbalken. Delgivning enligt 12 §
delgivningslagen (1970:428), som innebär att delgivningshandlingen
lämnas till någon annan fysisk person än den som söks för delgivning,
bör således få användas bara under förutsättning att den person-
uppgiftsansvarige har avvikit eller håller sig undan på något annat sätt.
Av lagen om viten framgår att frågan om utdömande av ett förelagt
vite prövas av länsrätten på ansökan av tillsynsmyndigheten, som får
anlita biträde av polismyndighet om det är nödvändigt med hänsyn till
utredningen. Av lagen om viten framgår vidare att vite inte skall dömas
ut, om ändamålet med vitet har förlorat sin betydelse. Av allmänna
principer torde dessutom följa att tillsynsmyndigheten skall återkalla ett
meddelat vitesföreläggande så snart den personuppgiftsansvarige har
gjort vad som krävs av honom eller henne. Ett förbud vid vite att
behandla personuppgifter på annat sätt än genom att lagra dem kommer
alltså att gälla bara till dess den personuppgiftsansvarige har botat den
försummelse som föranledde förbudet.
Ansökan om utplånande av personuppgifter
Vi föreslår att tillsynsmyndigheten skall kunna ansöka hos länsrätt om att
sådana personuppgifter som har behandlats på ett olagligt sätt skall
utplånas. Den möjligheten kan användas t.ex. när känsliga person-
uppgifter har behandlats trots att den personuppgiftsansvarige inte alls
har haft rätt att behandla sådana uppgifter. Det ligger i sakens natur att
möjligheten att ansöka om utplånande av personuppgifter bör användas
bara i sådana fall där det inte genom andra åtgärder är möjligt att förena
behandlingen av uppgifterna med de regler som gäller. Vi föreslår också
en uttrycklig regel om att domstolen inte får besluta om utplånande, om
det skulle vara oskäligt. Förslagen i denna del har lämnats utan erinran av
remissinstanserna.
Överklagande
Enligt den nuvarande datalagen gäller att Datainspektionens beslut
överklagas hos länsrätten. När en annan statlig myndighet är register-
ansvarig, skall dock beslutet i stället överklagas till regeringen. I dag har
vidare Justitiekanslern rätt att överklaga Datainspektionens beslut för att
ta till vara allmänna intressen.
Enligt vår mening bör, såsom godtagits av remissinstanserna, tillsyns-
myndighetens beslut enligt den nya lagen i fråga om annat än generella
föreskrifter utan undantag kunna överklagas hos allmän förvaltnings-
domstol, dvs. länsrätt.
Justitiekanslern anser att det inte är nödvändigt att Justitiekanslerns
överklaganderätt förs över till den nya lagen, medan Länsrätten i
Stockholms län anser att det kan finnas anledning att ha kvar över-
klaganderätten. Justitiekanslern har med den nuvarande ordningen sällan
funnit anledning att överklaga Datainspektionens beslut.
Bland annat eftersom den nya lagen till skillnad från den nuvarande
inte innebär att en tillsynsmyndighet genom sin tillståndsgivning i
praktiken skall bestämma vilken personregistrering som skall tillåtas, har
vi i likhet med Justitiekanslern själv inte funnit anledning att ta med
någon bestämmelse om överklaganderätt för Justitiekanslern i den nya
lagen.
För överklagande av länsrättens domar och beslut till kammarrätten
bör det – i linje med strävandena på senare år, jfr prop. 1993/94:133 –
krävas prövningstillstånd. Det bör gälla även vid överklagande av
länsrättens beslut i fråga om utplånande av personuppgifter.
Kammarrätten i Göteborg anser att det bör övervägas om inte kravet
på prövningstillstånd bör gälla först efter viss tid. Liknande synpunkter
förs fram av Länsrätten i Stockholms län och UpplysningsCentralen UC
AB. Enligt vår mening finns det inte anledning att fördröja införandet av
kravet på prövningstillstånd för att få fram vägledande domstolspraxis
eller eljest. Kammarrätten skall ju meddela prövningstillstånd bl.a. om
det är av vikt för ledning av rättstillämpningen att överklagandet prövas
av högre rätt. Kammarrätten i Stockholm har för övrigt inte haft några
synpunkter på kravet på prövningstillstånd.
14 Skadestånd och straff
Regeringens förslag: Den personuppgiftsansvarige skall ersätta den
registrerade för skada och kränkning av den personliga integriteten
som en behandling av personuppgifter i strid med lagen har orsakat.
Om den personuppgiftsansvarige visar att felet inte berodde på honom
eller henne, kan ersättningsskyldigheten dock i den utsträckning det är
skäligt sättas ned eller helt falla bort.
Den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i
information eller anmälan enligt den nya lagen, i strid med bestäm-
melserna i den nya lagen behandlar känsliga personuppgifter eller
uppgifter om lagöverträdelser m.m. eller för över personuppgifter till
tredje land eller låter bli att göra en anmälan om behandling till till-
synsmyndigheten straffas med böter eller fängelse i högst sex
månader. Om brottet är grovt, är straffet fängelse i högst två år.
Datalagskommitténs förslag överensstämmer i huvudsak med
regeringens. Kommittén föreslår dock att skadestånd skall kunna utgå vid
behandling i strid med lagen eller föreskrift som meddelats med stöd av
lagen. Kommittén föreslår inte straffbestämmelser om annat än lämnande
av osann uppgift.
Remissinstanserna: De flesta remissinstanser har lämnat förslaget i
huvudsak utan erinran. Hovrätten över Skåne och Blekinge, Malmö tings-
rätt, Svenska kyrkans församlings- och pastoratsförbund och Landsorga-
nisationen i Sverige (LO) anser dock att flera förfaranden bör vara krimi-
naliserade.
Skälen för regeringens förslag: Enligt artikel 22–24 i EG-direktivet
(se bilaga 1) gäller följande. Var och en skall för det första ha rätt att föra
talan inför domstol om kränkningar av sina rättigheter. Den som har lidit
skada till följd av en otillåten behandling eller någon annan åtgärd som är
oförenlig med bestämmelserna om behandlingen skall vidare ha rätt till
ersättning av den personuppgiftsansvarige för den lidna skadan. Den
personuppgiftsansvarige kan dock helt eller delvis befrias från sin
ersättningsskyldighet, om han eller hon bevisar att han eller hon inte var
ansvarig för den händelse som orsakade skadan. Det finns dessutom en
skyldighet för medlemsstaterna att anta lämpliga bestämmelser för att
säkerställa att direktivet genomförs fullständigt. Medlemsstaterna skall
därvid särskilt besluta om de sanktioner som skall användas vid över-
trädelse av bestämmelserna om behandling.
Skadestånd
Enligt den nuvarande datalagen är den registeransvarige ersättningsskyl-
dig inte bara för ekonomisk skada utan också för ideell skada, dvs.
hänsyn skall tas även till lidande och andra omständigheter av annan än
rent ekonomisk betydelse.
Den nya lagen – liksom den nuvarande datalagen – syftar till att
skydda människor mot kränkning av personlig integritet genom
behandling av personuppgifter. Rätten till personlig integritet är en
immateriell rättighet. När den rättigheten kränks, behöver det inte
uppkomma någon ekonomisk skada. Därför bör den enskilde, som
drabbas av en olaglig behandling, liksom hittills ha rätt till ekonomisk
kompensation för själva kränkningen förutom rätt till ersättning för
personskada, sakskada och ren förmögenhetsskada. Ersättningen för
kränkningen bör uppskattas efter skälighet mot bakgrund av samtliga
omständigheter i det aktuella fallet. Den bedömningen har godtagits av
de allra flesta remissinstanser. Det kan inte anses oförenligt med EG-
direktivet att införa en skyldighet att betala ersättning även för
kränkningen.
Den nuvarande datalagen innebär vidare att ersättning skall betalas för
oriktiga eller missvisande uppgifter samt för vissa brott enligt datalagen.
EG-direktivet kräver emellertid att det i Sverige föreskrivs att alla
åtgärder som är oförenliga med de svenska bestämmelser som genomför
direktivet kan leda till skadeståndsskyldighet. Ersättningsskyldigheten är
alltså mer vidsträckt enligt direktivet. Å andra sidan är den nuvarande
datalagens skadeståndsansvar strikt medan EG-direktivet ger den person-
uppgiftsansvarige en möjlighet att helt eller delvis undgå skadestånds-
ansvar om han eller hon bevisar att han eller hon inte är ansvarig för den
händelse som orsakade skadan.
EG-direktivet kräver således att det i Sverige föreskrivs att alla
åtgärder som är oförenliga med de svenska bestämmelser som genomför
direktivet kan leda till skadeståndsskyldighet. Vi föreslår därför att den
personuppgiftsansvarige skall ersätta den registrerade för skada som en
behandling av personuppgifter i strid med den nya lagen har fört med sig.
En av skyldigheterna enligt lagen är att behandla personuppgifter i
enlighet med god sed. Den som bryter mot god sed kan alltså bli
skadeståndsskyldig Som nyss nämnts skall ersättning också betalas för
den kränkning av den personliga integriteten som behandlingen har
inneburit. Skadeståndsansvaret bör liksom i dag omfatta person-
uppgiftsansvariga inom såväl den privata som offentliga sektorn. Vad
som är god sed vid behandling av personuppgifter får avgöras i
rättstillämpningen mot bakgrund av bl.a. de mer preciserade föreskrifter
som kan utfärdas med stöd av lagen, de branschregler på området som
kan ha utarbetats av etablerade branschorganisationer eller andra
representativa sammanslutningar och hur ansvarsfulla personuppgifts-
ansvariga som regel beter sig. Härigenom får, enligt regeringens mening,
enskilda på det sätt EG-direktivet förutsätter möjlighet att vid allmän
domstol föra talan om kränkningar av alla de rättigheter som direktivet
och den svenska lagstiftning som genomför direktivet ger enskilda.
Å andra sidan och eftersom den nya lagen således innebär en viss
utvidgning av rätten till skadestånd i förhållande till den nuvarande
datalagen, anser vi att en jämkningsmöjlighet är viktig. Eftersom dessa
möjligheter inte har mycket att göra med jämkningsreglerna i skade-
ståndslagen, krävs särskilda bestämmelser härom i den nya lagen.
Dessa bedömningar har i huvudsak godtagits av de allra flesta remiss-
instanser.
Lagrådet har anmärkt att det inte är helt säkert att jämknings-
bestämmelsen står i överensstämmelse med artikel 23.2 i direktivet, som
innehåller bestämmelser om att den registeransvarige kan helt eller delvis
undgå skadeståndsansvar om han bevisar att han inte är ansvarig för den
händelse som orsakade skadan. Lagrådet anser att innebörden av denna
artikel synes oklar och föreslår att direktivets text tas in i skadestånds-
bestämmelsen utan motivuttalanden om tolkningen.
Vi anser att den ifrågavarande artikeln ger utrymme för att föreskriva
att jämkning under vissa förutsättningar kan göras, men att det inte före-
ligger någon skyldighet att jämka. Även om den personuppgiftsansvarige
i ett enskilt fall skulle visa att han eller hon är helt utan skuld till den
händelse som orsakat en skada kan han eller hon åläggas skadestånds-
ansvar, till och med fullt ut. Jämkning kan dock ske, vilket torde innebära
att man i tillämpningen normalt använder sig av jämkningsmöjligheten i
ett fall som det nämnda. Det bör dock betonas att det är en fråga som
måste avgöras i varje enskilt fall.
En möjlighet införs således att helt eller delvis jämka skadeståndet,
om den personuppgiftsansvarige kan visa att den felaktiga behandlingen
inte berodde på honom eller henne. Jämkning skall emellertid enligt vår
mening ske bara i den utsträckning det är skäligt. Ersättningsskyldighet
skall sålunda, liksom enligt den nuvarande datalagen, kunna finnas trots
att den personuppgiftsansvarige bevisligen är oskyldig till felet.
Genom den föreslagna jämkningsregeln kan, till skillnad från vad som
är fallet enligt den nuvarande datalagen, en nyanserad bedömning göras i
sådana fall där den personuppgiftsansvarige bevisligen har gjort så gott
han eller hon kunnat. I vissa fall – t.ex. om den registrerade drabbas av
en stor ekonomisk skada till följd av att hans eller hennes person-
uppgifter har behandlats felaktigt – kan det vara skäligt att den som är
ansvarig för behandlingen får ersätta åtminstone en viss del av skadan,
trots att den felaktiga behandlingen egentligen inte berodde på honom
eller henne.
Straff
Enligt den nuvarande datalagen är en lång rad förfaranden och under-
låtenheter straffbelagda.
Såsom framgått av vad som sagts tidigare och i avsnitt 10 är de
huvudsakliga sanktionerna mot de personuppgiftsansvariga som inte
följer den nya lagen skadestånd och vite. All behandling av personupp-
gifter i strid med den nya lagen kan föra med sig skyldighet att till de
drabbade betala skadestånd, inklusive ersättning för kränkning, och kan
dessutom ytterst föranleda ett vitesföreläggande av tillsynsmyndigheten.
Dessa sanktioner för brott mot den nya lagen får anses effektiva och i
stort sett tillräckliga.
Datalagskommittén har i sitt förslag bara tagit med en bestämmelse
om straff för den som uppsåtligen eller av oaktsamhet lämnar osanna
uppgifter i information eller anmälan enligt den nya lagen.
Det får också anses ligga i linje med utvecklingen på senare år i
Sverige att avkriminalisera, särskilt när det gäller att få befolkningen att
följa lagstiftning som i likhet med den nya lagen skall tillämpas i var-
dagslag på många olika håll och kanske också hemma i folks
vardagsrum.
Datalagskommitténs förslag har godtagits av de flesta remissin-
stanserna. Riksåklagaren anser t.ex. att förslaget är bra.
Hovrätten över Skåne och Blekinge anser dock att inte bara lämnandet
av osanna uppgifter bör kriminaliseras utan även underlåtenhet att upp-
fylla skyldighet att lämna uppgifter. Underlåtenhet att uppfylla anmäl-
ningsskyldighet bör t.ex., enligt hovrätten, förknippas med sanktion.
Underlåtenhet att på begäran lämna ett s.k. registerutdrag till en
registrerad eller att på begäran lämna Datainspektionen uppgifter om
behandlingen är inte i dag generellt kriminaliserad, och vi kan inte se att
det finns anledning att nu införa ett straffansvar för just detta. Däremot
finns det enligt vår mening skäl att kriminalisera underlåtenhet att göra
anmälan till tillsynsmyndigheten, eftersom det är svårt att stävja sådan
underlåtenhet med andra medel än ett straffhot.
Landsorganisationen i Sverige (LO) anser att det bör finnas straff-
ansvar för den som avsiktligt låter registrera osanna eller felaktiga
personuppgifter eller som utövar påtryckningar mot den person-
uppgiftsansvarige eller personuppgiftsombudet i syfte att på något sätt
manipulera personuppgifter. Enligt vår mening är det inte nödvändigt att
i den nya lagen straffbelägga detta. Bestämmelserna om skadestånd och
vite i kombination med tillsynsmyndighetens tillsyn får anses tillräckliga
för att stävja och komma till rätta med sådana förfaranden. Otillbörlig
påverkan kan i kvalificerade fall bestraffas enligt de allmänna reglerna i
brottsbalken.
Malmö tingsrätt anser att åtminstone behandling av känsliga person-
uppgifter i strid med bestämmelserna i den nya lagen bör straff-
sanktioneras. Vi håller med om detta och föreslår att behandling i strid
med den nya lagen av känsliga personuppgifter och uppgifter om
lagöverträdelser m.m. skall kriminaliseras. Även överföring i strid med
den nya lagen av personuppgifter till tredje land, dvs. en stat utanför
EES, bör enligt vår mening kriminaliseras, bl.a. eftersom förfarandet
innebär att personuppgifterna i praktiken försvinner utom räckhåll för
svenska skyddsåtgärder.
Svenska bankföreningen föreslår att bara sådan oaktsamhet som är
grov bestraffas. Genom att det för straffansvar räcker med oaktsamhet in-
skärps på ett ändamålsenligt sätt vikten av att vara noggrann med de
uppgifter som lämnas och med att följa bl.a. reglerna om när känsliga
personuppgifter får behandlas. Föreningens förslag bör således inte
följas.
Datainspektionen föreslår att straffskalan skall innefatta fängelse i
högst två år utan uppdelning i normalbrott och grovt brott, eftersom
preskriptionstiden först då blir tillräckligt lång. Liknande synpunkter förs
fram av Svenska kyrkans församlings- och pastoratsförbund. Även om
det givetvis är oacceptabelt med brott mot de straffsanktionerade
bestämmelserna, bör det enligt vår mening vara fullt tillräckligt med en
straffskala upp till fängelse i sex månader för brott som inte kan betraktas
som grovt. Att höja straffmaximum för lindrigare brott bara för att brottet
skall hinna utredas innan det preskriberas, är inte lämpligt. Saktfärdiga
utredningar får i stället mötas med andra åtgärder.
15 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Den nya lagen träder i kraft den 24 oktober
1998. För behandlingar som påbörjats då börjar den nya lagen dock att
tillämpas först den 1 oktober 2001. Detsamma gäller en behandling
som utförs för ett visst bestämt ändamål där behandling för ändamålet
påbörjats vid ikraftträdandet. Vissa bestämmelser i den nya lagen
tillämpas emellertid inte på påbörjad manuell behandling av person-
uppgifter förrän den 1 oktober 2007. Dessa bestämmelser tillämpas
inte heller på pågående lagring av personuppgifter för historisk
forskning förrän uppgifterna börjar behandlas på något annat sätt.
Ändringen i regeringsformen, som innebär att det blir möjligt för
riksdagen att delegera rätten att meddela föreskrifter om manuell
behandling av personuppgifter, träder i kraft den 1 januari 1999.
Samtidigt ändras delegationsbestämmelserna i den nya lagen i enlighet
med detta.
Datalagskommitténs förslag innebär att den nya lagen träder i kraft
den 1 januari 1999 samtidigt med ändringen i regeringsformen.
Remissinstanserna: Bara några remissinstanser har uttalat sig om
förslaget. Malmö tingsrätt, Länsrätten i Stockholms län, Justitiekanslern,
Domstolsverket och Riksförsäkringsverket uttrycker tveksamhet i frågan
om ikraftträdandet kan och bör senareläggas i förhållande till vad som
gäller enligt direktivet. Riksåklagaren, Datainspektionen och Riksförsäk-
ringsverket föreslår att det införs en möjlighet att i förtid börja tillämpa
den nya lagen på pågående behandlingar.
Skälen för regeringens förslag: Av artikel 32 i EG-direktivet (se
bilaga 1) följer att de författningar som genomför direktivet måste träda i
kraft senast den 24 oktober 1998. De behandlingar som påbörjas efter
ikraftträdandet måste genast uppfylla alla bestämmelser i genomförande-
lagstiftningen. Genomförandelagstiftningen behöver inte tillämpas på
sådana behandlingar som påbörjats när lagstiftningen träder i kraft förrän
inom tre år efter ikraftträdandet. Bestämmelserna i artikel 6–8 i EG-
direktivet – dvs. bestämmelser om grundläggande krav på behandling av
personuppgifter och om när sådan behandling är tillåten – behöver inte
tillämpas förrän senast den 24 oktober 2007 på sådana uppgifter som
redan finns i manuella register när genomförandelagstiftningen träder i
kraft. Sverige måste emellertid i sådant fall ge den registrerade rätt att på
begäran – särskilt när han eller hon utövar rätten att få tillgång till
uppgifterna – få rättelse, utplånande eller blockering av uppgifter som är
ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med
de legitima ändamål som den personuppgiftsansvarige vill uppnå.
Sverige får vidare föreskriva att de nyss nämnda bestämmelserna i artikel
6–8 i EG-direktivet inte behöver tillämpas på uppgifter som bara bevaras
för historisk forskning. I sådant fall måste det i Sverige dock också finnas
lämpliga skyddsåtgärder.
Den nya lagen
De bestämmelser i svensk lagstiftning som genomför EG-direktivet
måste finnas senast den 24 oktober 1998. Någon möjlighet att
senarelägga genomförandet i av bestämmelserna finns inte enligt
direktivet; däremot är det möjligt att för vissa behandlingar fördröja
tillämpningen av alla eller vissa av dessa bestämmelser. Den nya lagen
måste således träda i kraft senast den 24 oktober 1998. Vi föreslår att
lagen träder i kraft det datumet.
De möjligheter att för vissa behandlingar fördröja ikraftträdandet av
den nya lagen som EG-direktivet medger bör utnyttjas genom övergångs-
bestämmelser. Detta har godtagits av de allra flesta remissinstanserna.
I lagrådsremissen, liksom i kommitténs förslag, angavs att för behand-
ling som pågick vid ikraftträdandet skulle äldre regler tillämpas. Enligt
den tolkning som gjordes av bestämmelsen i motiven avsågs även t.ex.
andra typer av behandling av en personuppgift som behandlades vid
ikraftträdandet och insamling av nya uppgifter till ett personregister där
behandling pågick vid ikraftträdandet. Lagrådet har i denna fråga hållit
med regeringen om att en strikt tolkning av övergångsbestämmelserna i
direktivet inte bör göras men befarat att den valda ordalydelsen kan
tolkas som att den nya lagen skall tillämpas på behandlingar under
förlängningsperioden trots att dessa ingår som ett led i hanteringen av ett
automatiserat personregister som fanns redan vid ikraftträdandet. Lag-
rådet har uttalat att ordalydelsen av bestämmelserna bör ses över. Vi
delar Lagrådets synpunkt. Enligt vår mening bör även behandling av nya
personuppgifter kunna omfattas av den nu gällande datalagen om
behandling för ändamålet påbörjats vid ikraftträdandet. I anledning av
Lagrådets synpunkt har lagtexten förtydligats i enlighet därmed.
Riksåklagaren, Datainspektionen och Riksförsäkringsverket anser att
det bör finnas en möjlighet att i förtid börja tillämpa den nya lagen på
sådana behandlingar som redan påbörjats. Det förefaller i och för sig
ändamålsenligt med en sådan frivillig möjlighet för de person-
uppgiftsansvariga att i förtid gå över till att tillämpa den nya lagen för att
bl.a. undvika att behöva tillämpa två lagstiftningar parallellt. En sådan
ordning är emellertid förknippad med svårigheter av såväl praktisk som
principiell art.
Såväl den nya lagen som den nuvarande datalagen innehåller bestäm-
melser om straff och skadestånd, se avsnitt 14. Dessa bestämmelser är
olika i de två lagarna. Det är när det gäller sådana bestämmelser ett
oavvisligt rättssäkerhetskrav att det vid var tid skall gå att objektivt
fastställa vilka sanktionsbestämmelser som är tillämpliga. För att den
föreslagna ordningen med frivillig övergång till den nya lagen skall
kunna genomföras, krävs således att övergången och tidpunkten för
denna på något sätt offentliggörs och dokumenteras. En ambition med
den nya ordningen är emellertid att så långt möjligt begränsa byråkratin
med anmälningar och ansökningar till tillsynsmyndigheten. Därför är det
olämpligt att införa en ordning som innebär att övergångar skall anmälas
till eller beslutas av tillsynsmyndigheten. Någon annan godtagbar
ordning för offentliggörande och dokumentation av övergångar har inte
vi – eller remissinstanserna – lyckats komma på. Förslaget från
Datainspektionen m.fl. kan därför tyvärr inte genomföras.
Vi föreslår i övrigt vissa övergångsbestämmelser av detaljkaraktär
som i huvudsak syftar till att en åtgärd som har vidtagits före
ikraftträdandet inte i onödan skall behöva göras om därefter.
Ändringen i regeringsformen och ändringar i den nya lagen
Vi föreslår att den nya lagen skall innehålla vissa bemyndiganden för
regeringen eller den myndighet som regeringen bestämmer att meddela
föreskrifter, se avsnitt 10. Sådana bemyndiganden kan, såsom närmare
utvecklats i avsnitt 10, i dag ges med stöd av 8 kap. 7 § första stycket 8
regeringsformen bara såvitt avser ”skydd för personlig integritet vid
registrering av uppgifter med hjälp av automatisk databehandling”, dvs.
såvitt avser automatiserad behandling av personuppgifter. Bemyndigan-
dena i den nya lagen har utformats i enlighet härmed, trots att lagen
omfattar också viss manuell behandling av personuppgifter (se avsnitt
6.1).
Lagrådet har i enlighet med den uppfattning Lagrådet redovisat vad
gäller möjligheten att delegera föreskriftsrätt föreslagit att
bemyndigandet i 8 kap. 7 § 8 upphävs. Till följd av vår uppfattning i
denna fråga som redovisats ovan bör bemyndigandet stå kvar.
Såsom också framgår av avsnitt 10 föreslår vi vidare att den nämnda
bestämmelsen i regeringsformen skall justeras så att det blir möjligt att
lämna bemyndiganden även såvitt avser manuell behandling av person-
uppgifter. Ändringen i regeringsformen kan av praktiska och konsti-
tutionella skäl i praktiken inte träda i kraft förrän den 1 januari 1999, dvs.
ett par månader efter det att den nya lagen trätt i kraft. Vi föreslår att
ändringen träder i kraft den dagen och att riksdagen sedan grundlags-
ändringen beslutats fattar beslut om att per den 1 januari 1999 ändra
bemyndigandena i den nya lagen till att avse även sådan manuell
behandling av personuppgifter som omfattas av lagen. På det sättet visas
största möjliga respekt mot såväl den svenska grundlagen som kraven
enligt EG-direktivet.
16 Övriga frågor
16.1 Regler i den nuvarande datalagen som flyttas till
andra lagar
Regeringens förslag: Regeln om viss dokumentationsskyldighet för
myndigheter (14 §) flyttas till 15 kap. sekretesslagen och regeln om
straff för dataintrång (21 §) till brottsbalken.
Datalagskommitténs förslag överensstämmer med regeringens.
Remissinstanserna har i huvudsak lämnat förslaget utan erinran,
dock att Arbetsmarknadsstyrelsen anser att 14 § i den nuvarande
datalagen bör upphävas eller i vart fall flyttas till förvaltningslagen.
Skälen för regeringens förslag: I 14 § i den nuvarande datalagen
finns det en bestämmelse om viss dokumentationsskyldighet för myndig-
heter. Om en myndighet för handläggningen av mål eller ärende
använder sig av upptagning för automatisk databehandling, skall upptag-
ningen tillföras handlingarna i målet eller ärendet i läsbar form, om inte
särskilda skäl föranleder annat.
I 21 § i den nuvarande datalagen finns det en bestämmelse om straff
för dataintrång. Den som olovligen bereder sig tillgång till upptagning
för automatisk databehandling eller olovligen ändrar eller utplånar eller i
register för in sådan upptagning kan dömas för dataintrång till böter eller
fängelse i högst två år. Detta gäller dock inte om gärningen kan
bestraffas enligt brottsbalken eller lagen (1990:409) om
företagshemligheter. Även försök och förberedelse till dataintrång kan
bestraffas. Med upptagning avses i detta sammanhang även uppgifter
som är under befordran via elektroniskt eller annat liknande hjälpmedel
för att användas för automatisk databehandling.
I 26–28 §§ i den nuvarande datalagen ges de grundläggande reglerna
för det statliga person- och adressregistret (SPAR). Frågor som berör
SPAR har också varit föremål för överväganden av den s.k. Grunddata-
basutredningen som den 27 oktober 1997 redovisade sitt betänkande
Grunddata – i samhällets tjänst, SOU 1997:146. Frågorna kring SPAR
bör behandlas i ett sammanhang. Regeringen lägger därför nu inte fram
något förslag till ny reglering av SPAR. Frågorna kring SPAR kommer
att behandlas efter det att Grunddatabasutredningens förslag remissbe-
handlats.
De nu aktuella bestämmelserna i 14 och 21 §§ i den nuvarande
datalagen hör inte hemma i den nya generella lagen. De bestämmelserna
bör därför flyttas till annan lagstiftning. Ändringarna bör träda i kraft
samtidigt som den nya lagen.
Frågan om bestämmelsen i 14 § om viss dokumentationsskyldighet för
myndigheter bör upphävas eller flyttas och vart den i så fall skall flyttas
har varit föremål för delade meningar, se betänkandena En ny datalag
(SOU 1993:10) s. 468, Elektronisk dokumenthantering (SOU 1996:40) s.
264 och SOU 1997:39 s. 460. Vi anser för egen del att den bestämmelsen
utgör en så värdefull upplysning om den grundläggande skyldigheten för
myndigheter att i mål och ärenden dokumentera de databaserade
uppgifter som används som beslutsunderlag att den inte bör upphävas.
Enligt vår mening kan bestämmelsen – i likhet med vad såväl
Datalagskommittén som Datalagsutredningen föreslagit – med fördel tas
in i 15 kap. sekretesslagen, som redan innehåller vissa bestämmelser som
rör myndigheters skyldighet att registrera handlingar.
Datalagskommittén har inte lämnat något utarbetat förslag till nya
bestämmelser i brottsbalken om straff för dataintrång. Inom Justitie-
departementet har ett sådant förslag gjorts upp som endast innebär att de
nuvarande bestämmelserna i sak oförändrade förs över till brottsbalken.
Eftersom Datalagskommitténs principförslag har remissbehandlats utan
att möta invändningar och då det lagtekniska genomförandet av förslaget
är av enkel beskaffenhet, har vi ansett oss kunna – utan remissbehandling
av de konkreta lagförslagen – lämna förslag till en lag om ändring i
brottsbalken. Ett konkret förslag till överföring av bestämmelsen om
straff för dataintrång till brottsbalken har för övrigt lämnats i Datastraff-
rättsutredningens betänkande Information och den nya informations-
teknologin – straff och processrättsliga frågor m.m. (SOU 1992:110),
som har remissbehandlats. Förslagen i det betänkandet, som syftar till en
mer genomgripande reform, bereds för närvarande inom
Justitiedepartementet. Datalagsutredningen har också i fråga om
överföringen av bestämmelserna om straff för dataintrång i
remissbehandlade betänkanden lämnat samma principförslag som
Datalagskommittén.
I författningskommentaren berörs vissa konkurrensfrågor med anled-
ning av att bestämmelsen om straff för dataintrång flyttas till
brottsbalken.
16.2 Följdändringar
Regeringens förslag: Med anledning av att den nuvarande datalagen
ersätts av den nya lagen görs det vissa följdändringar i sekretesslagen.
Datalagskommitténs förslag överensstämmer delvis med
regeringens.
Remissinstanserna: Förslagen till följdändringar har i huvudsak
lämnats utan erinran av remissinstanserna.
Skälen för regeringens förslag: Eftersom den nuvarande datalagen
ersätts av den nya lagen, måste det göras följdändringar i annan lagstift-
ning som hänvisar till datalagen. Följdändringarna, som i huvudsak är
formella, berörs i författningskommentaren. Följdändringarna bör träda i
kraft samtidigt som den nya lagen.
17 Ekonomiska konsekvenser av förslaget
Regeringens förslag i detta ärende innebär ett genomförande av EG:s
dataskyddsdirektiv. I kostnadshänseende kan förslaget delas upp i två
delar. För det första stadgar nämnda direktiv att en registrerad har rätt till
viss information samt att beslut, vilka är avsedda att bedöma egenskaper
hos den berörda personen, får grundas endast på automatiserad behand-
ling av personuppgifter, bara om den som berörs av beslutet har
möjlighet att på begäran få beslutet omprövat av någon person. För det
andra påverkas Datainspektionens finansiering. Datainspektionen
kommer enligt förslaget inte längre att uppbära de licensavgifter som i
dag står för ca 90 procent av inspektionens intäkter.
När det först gäller de personuppgiftsansvarigas kostnader för infor-
mation m.m. är det flera faktorer som påverkar dessa. En faktor är om det
rör behandling av uppgifter enligt den gamla datalagen eller om behand-
lingen regleras av den nya personuppgiftslagen. Den nya person-
uppgiftslagen föreslås - mot bakgrund av kravet i EG-direktivet - träda i
kraft den 24 oktober 1998. För all den behandling som pågår för
närvarande hos myndigheter, kommuner, landsting, företag etc, behöver
den nya lagen inte tillämpas förrän efter utgången av september månad år
2001. Det innebär att den eventuella ökning av informationskostnaderna
m.m. som den nya personuppgiftslagen i förhållande till den nuvarande
datalagen kan medföra, kommer att för sådana register som nu finns slå
igenom först efter september 2001.
Regeringen kommer att i arbetet med att komplettera den nya person-
uppgiftslagen med aviserade förordningar, försöka utarbeta så enkla och
klara regler som möjligt att eventuella kostnader hålls på en så låg nivå
som möjligt. Ett exempel skulle kunna vara att vid utskick från myn-
digheter som görs i annat syfte, t.ex. skattemyndighetens utskick av
deklarationsuppgifter komplettera den blanketten med en
informationsruta som uppfyller den nya lagens krav.
När det gäller register som inrättas efter den 24 oktober 1998 kommer
dessa register att från den tidpunkten omfattas av de nya informa-
tionsreglerna m.m. Vilka register det kan bli frågan om är omöjligt för
regeringen att nu förutse. Härtill kommer att det är regeringens bestämda
uppfattning när det gäller nya behandlingar, att den rationaliseringseffekt
som motiverar användandet av automatiserad behandling i sig leder till
en mer kostnadseffektiv hantering.
Vad gäller finansieringen av Datainspektionens verksamhet är re-
geringens uppfattning att kostader för statlig tillsyn i princip bör belasta
de som orsakar att tillsynsverksamheten behövs. Regeringen har därför
gett Datainspektionen i uppdrag att föreslå ett avgiftsfinansieringssystem.
Regeringen avser att ta ställning till finansieringsfrågan i 1998 år ekono-
miska vårproposition. Övriga frågor som rör Datainspektionens framtida
verksamhet med anledning av Personuppgiftslagen kommer att behandlas
i Budgetpropositionen för 1999.
Enligt regeringens mening finns det inte nu grund för att anta att de
föreslagna ändringarna kommer att leda till ökade utgifter av sådan
omfattning att de inte kan finansieras inom ramen för befintliga medel.
Regeringen har för avsikt att följa tillämpningen och effekterna av lag-
stiftningen för att få underlag för att bedöma eventuella kostnads-
konsekvenser för kommuner och landsting som faller under finan-
sieringsprincipen.
18 Författningskommentar
18.1 Förslaget till personuppgiftslag
Frågan om lagens namn har behandlats i avsnitt 7 i den allmänna
motiveringen.
Allmänna bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot att deras
personliga integritet kränks genom behandling av personuppgifter.
Paragrafen innehåller en upplysning om syftet med lagen och överens-
stämmer i huvudsak med Datalagskommitténs förslag.
Rikspolisstyrelsen har föreslagit att syftet enligt EG-direktivet att
åstadkomma ett fritt flöde av personuppgifter mellan medlemsstaterna i
Europeiska unionen också bör komma till uttryck i lagtexten. Detta syfte
uppfylls emellertid just genom att medlemsstaterna genomför en
åtminstone delvis harmoniserad lagstiftning till skydd mot kränkning av
personlig integritet genom behandling av personuppgifter. Bestämmelsen
har därför inte kompletterats i enlighet med vad Rikspolisstyrelsen
föreslagit.
Avvikande bestämmelser i annan författning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla.
Av paragrafen framgår att personuppgiftslagen är subsidiär i förhållande
till andra författningar. Paragrafen har behandlats i avsnitt 6.2.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 8.2.2 i kommitténs betänkande.
Finns det bestämmelser i en annan lag eller i en förordning som
avviker från personuppgiftslagen, skall de bestämmelserna tillämpas i
stället. Beslut som riksdagen eller regeringen fattat i annan form än lag
eller förordning och föreskrifter som myndigheter har utfärdat tar
däremot inte över bestämmelserna i personuppgiftslagen.
I den utsträckning en lag eller förordning med avvikande
bestämmelser inte innehåller bestämmelser om sådant som regleras i
personuppgiftslagen, skall personuppgiftslagens bestämmelser tillämpas.
Frågan om en viss bestämmelse innefattar en avvikelse från vad som
skall gälla enligt personuppgiftslagen får avgöras med tillämpning av
sedvanliga metoder för tolkning av författningar.
Sådana avvikande bestämmelser som avses i paragrafen finns ofta i
s.k. registerförfattningar som reglerar inrättandet och förandet av
viktigare register på det offentliga området. Även bestämmelser som
föreskriver att myndigheter eller enskilda får eller skall lämna ut
uppgifter avses i paragrafen. Sådana bestämmelser om s.k.
uppgiftsskyldighet går således före bestämmelserna i person-
uppgiftslagen. I 8 § första stycket finns det en uttrycklig erinran om att
bestämmelserna i 2 kap. tryckfrihetsförordningen tar över bestämmelser i
personuppgiftslagen, och i 7 § första stycket finns det en motsvarande
erinran beträffande bestämmelserna om tryck- och yttrandefrihet i
tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven bety-
delse.
Beteckning
Betydelse
Behandling (av person-
uppgifter)
Varje åtgärd eller serie av åtgärder som vidtas
i fråga om personuppgifter, vare sig det sker
på automatisk väg eller inte, t.ex. insamling,
registrering, organisering, lagring, bearbetning
eller ändring, återvinning, inhämtande, an-
vändning, utlämnande genom översändande,
spridning eller annat tillhandahållande av upp-
gifter, sammanställning eller samkörning,
blockering, utplåning eller förstöring.
Blockering (av person-
uppgifter)
En åtgärd som vidtas för att personuppgifterna
skall vara förknippade med information om att
de är spärrade och om anledningen till spärren
och för att personuppgifterna inte skall lämnas
ut till tredje man annat än med stöd av 2 kap.
tryckfrihetsförordningen.
Mottagare
Den till vilken personuppgifter lämnas ut. När
personuppgifter lämnas ut för att en myn-
dighet skall kunna utföra sådan tillsyn,
kontroll eller revision som den är skyldig att
sköta, anses dock inte myndigheten som
mottagare.
Personuppgifter
All slags information som direkt eller indirekt
kan hänföras till en fysisk person som är i
livet.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande av
den personuppgiftsansvarige, självständigt
skall se till att personuppgifter behandlas på
ett korrekt och lagligt sätt.
Den registrerade
Den som en personuppgift avser.
Samtycke
Varje slag av frivillig, särskild och otvetydig
viljeyttring genom vilken den registrerade,
efter att ha fått information, godtar behandling
av personuppgifter som rör honom eller
henne.
Tillsynsmyndigheten
Den myndighet som regeringen utser för att
utöva tillsyn.
Tredje land
En stat som inte ingår i Europeiska unionen
eller är ansluten till Europeiska ekonomiska
samarbetsområdet.
Tredje man
Någon annan än den registrerade, den person-
uppgiftsansvarige, personuppgiftsombudet,
personuppgiftsbiträdet och sådana personer
som under den personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar har
befogenhet att behandla personuppgifter.
Paragrafen innehåller definitioner av viktigare uttryck och begrepp som
används i lagen. Den har jämkats något i förhållande till Datalags-
kommitténs förslag. Definitionerna har berörts i avsnitt 12.2 i
kommitténs betänkande.
Definitionerna av behandling (av personuppgifter), mottagare,
personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, den
registrerade och tredje man är avsedda att ha samma innebörd som mot-
svarande uttryck har enligt artikel 2 i EG-direktivet, se bilaga 1. Defi-
nitionen av den registrerade innebär att behandling av uppgifter om
avlidna eller ännu inte födda personer inte omfattas av lagen.
Definitionen av samtycke skall ha samma innebörd som definitionen i
artikel 2 i direktivet, med tillägget att det direkt i definitionen tas in ett
krav på att samtycket skall vara otvetydigt, vilket framgår av andra
artiklar i direktivet. I de fall där samtycket dessutom enligt direktivet
skall vara uttryckligt anges detta direkt i lagtexten. Begreppen
”otvetydig” och ”uttrycklig” har en EG-gemensam innebörd. Vissa av
beteckningarna har behandlats i avsnitt 7.
I 38–40 §§ finns det närmare bestämmelser om de uppgifter som ett
personuppgiftsombud skall ha.
Av definitionen av blockering (av personuppgifter) framgår att
blockerade personuppgifter får användas internt hos den personupp-
giftsansvarige och hos ett anlitat personuppgiftsbiträde under förut-
sättning att det där uppgifterna förekommer framgår att de är spärrade
och anledningen till spärren. Däremot får uppgifterna inte lämnas ut till
tredje man, varvid ett uttrycklig undantag gjorts för sådant utlämnande
som sker med stöd av 2 kap. tryckfrihetsförordningen. Det undantaget
har berörts i avsnitt 8.1. Av det förhållandet att den registrerade själv inte
omfattas av definitionen av tredje man följer att även blockerade
uppgifter jämte information om blockeringen skall tas med i sådan
information som efter ansökan skall lämnas till den registrerade enligt
26 §. Det är upp till den personuppgiftsansvarige att bestämma hur det
tekniskt skall ses till att de blockerade uppgifterna är förknippade med
information om blockeringen.
Beträffande definitionen av tredje land kan noteras att EES-
kommittén ännu inte fattat beslut om att direktivet skall omfattas av EES-
avtalet. Vi förutsätter dock att ett sådant beslut fattas. I praktiken innebär
det ingen större skillnad att inbegripa EES-länderna då definitionen
främst har betydelse när det gäller överföring av personuppgifter till
andra länder och då Norge och Island har anslutit sig till Europarådets
dataskyddskonvention. Enligt vårt förslag skall nämligen personuppgifter
alltid få överföras till sådana länder trots det allmänna förbudet i 33 §.
Tillämpningsområde
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana personuppgiftsansvariga som är etable-
rade i Sverige.
Lagen tillämpas också när den personuppgiftsansvarige är etablerad i
tredje land men för behandlingen av personuppgifter använder sig av
utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om
utrustningen bara används för att överföra uppgifter mellan ett tredje land
och ett annat sådant land.
I det fall som avses i andra stycket första meningen skall den person-
uppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige.
Vad som anges i denna lag om den personuppgiftsansvarige skall också
gälla för företrädaren.
Paragrafen har behandlats i avsnitt 9. Den överensstämmer med
Datalagskommitténs förslag, dock att en av kommittén föreslagen
bestämmelse om skyldighet att till tillsynsmyndigheten lämna in en
anmälan om en utsedd företrädare inte tagits med. Paragrafen har berörts
i avsnitt 12.3 i kommitténs betänkande.
Avsikten är att paragrafen skall ha samma innebörd som artikel 4 i
EG-direktivet, se bilaga 1.
Behandling av personuppgifter som omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt
eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om upp-
gifterna ingår i eller är avsedda att ingå i en strukturerad samling av
personuppgifter som är tillgängliga för sökning eller sammanställning
enligt särskilda kriterier.
Frågan om en teknikoberoende lag har behandlats i avsnitt 6.1.
Paragrafen överensstämmer i sak med Datalagskommitténs förslag och
har berörts i avsnitt 7.2.1, 12.2.8 och 12.2.12 i kommitténs betänkande.
Begreppet ”automatiserad” som har valts på förslag av Lagrådet
kommenteras i avsnitt 6.1.
Paragrafen är avsedd att ha samma innebörd som artikel 3.1 och
definitionen av register i artikel 2 c i EG-direktivet, se bilaga 1.
Undantag för privat behandling av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en
fysisk person utför som ett led i en verksamhet av rent privat natur.
Paragrafen har behandlats i avsnitt 8.3. Den överensstämmer med Data-
lagskommitténs förslag och har berörts i avsnitt 7.2.4 i kommitténs
betänkande.
Avsikten är att paragrafen skall ha samma innebörd som artikel 3.2
andra strecksatsen i EG-direktivet, se bilaga 1. Paragrafen för med sig
t.ex. att enskilda för rent privat bruk kan föra en elektronisk dagbok eller
registrera sina grannar eller släktingar.
Förhållandet till tryck- och yttrandefriheten
7 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryck-
frihetsförordningen eller yttrandefrihetsgrundlagen.
Bestämmelserna i 9–29 och 33–44 §§ samt 45 § första stycket och
47 –49 §§ skall inte tillämpas på sådan behandling av personuppgifter
som sker uteslutande för journalistiska ändamål eller konstnärligt eller
litterärt skapande.
Frågan om undantag med hänsyn till tryck- och yttrandefriheten har be-
handlats i avsnitt 8.2. Paragrafen överensstämmer delvis med Datalags-
kommitténs förslag. Paragrafen har berörts i avsnitt 10 i kommitténs
betänkande.
Första stycket innehåller, i syfte att förtydliga, en upplysning om att
bestämmelserna i lagen inte får tillämpas i den utsträckning det skulle
strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets-
förordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Tillämpningen
av av bestämmelserna i TF och YGL skall ske i enlighet med de
principer som gäller i dag.
Genom andra stycket undantas vissa behandlingar helt från de flesta
bestämmelserna i lagen. Bestämmelserna om säkerhetsåtgärder skall
dock tillämpas också på dessa behandlingar.
Andra stycket skall ha samma innebörd som artikel 9 i EG-direktivet,
se bilaga 1. Här kan nämnas att Sverige i samband med att direktivet an-
togs i ministerrådets protokoll fått intaget att Sverige anser att begreppet
konstnärliga och litterära uttryck mera syftar på uttrycksmedlen än kom-
munikationens innehåll eller dess kvalitet.
En invändning om att en behandling av personuppgifter avser sådant
som är undantaget enligt denna paragraf får godtas, om det inte av
omständigheterna framgår att invändningen är så osannolik att den kan
lämnas utan avseende.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det
skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsför-
ordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och be-
varar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv-
myndighet. Bestämmelsen i 9 § fjärde stycket gäller inte för en myndig-
hets användning av personuppgifter i allmänna handlingar.
Frågan om hur EG-direktivet förhåller sig till offentlighetsprincipen har
behandlats i avsnitt 8.1. Paragrafen överensstämmer i huvudsak med
Datalagskommitténs förslag och har berörts i avsnitt 9.2, 9.4 och 12.4.6.3
i kommitténs betänkande.
Första stycket innehåller i syfte att förtydliga en upplysning om att
lagen inte tillämpas om det skulle strida mot en myndighets skyldigheter
enligt 2 kap. tryckfrihetsförordningen (TF).
Andra stycket rör det bevarande av allmänna handlingar som utgör en
förutsättning för att offentlighetsprincipen i 2 kap. TF skall kunna upp-
fylla sina syften. För tillämpningen av stycket förutsätts inte i och för sig
att bevarandet är föreskrivet i författning. Det räcker att det är fråga om
allmänna handlingar. Även bevarande av sådana handlingar som enligt
2 kap. 9 § TF blir allmänna först sedan de tagits om hand för arkivering
omfattas.
Sista meningen i andra stycket innebär att myndigheter trots bestäm-
melserna i 9 § fjärde stycket får använda information i allmänna hand-
lingar för att vidta åtgärder beträffande enskilda. Övriga bestämmelser i
lagen skall däremot följas när en myndighet på detta sätt återanvänder
personuppgifter, t.ex. bestämmelsen i 9 § första stycket d om att person-
uppgifter inte får behandlas för något ändamål som är oförenligt med det
för vilket uppgifterna samlades in. Enligt Datalagskommitténs förslag
skulle det genom ändring i arkivlagen (1990:782) införas en ordning som
innebar att handlingar och databaser som innehåller allmänna uppgifter
omedelbart skulle anses tillhöra myndighetens arkiv (kommitténs
betänkande s. 662), och i enlighet härmed föreslogs att det nu aktuella
undantaget skulle omfatta ”personuppgifter i en myndighets arkiv”.
Eftersom förslaget till ändringar i arkivlagen inte nu genomförs, har
undantaget omformulerats till att avse en myndighets användning av
personuppgifter i allmänna handlingar.
Grundläggande krav på behandlingen av personuppgifter
9 § Den personuppgiftsansvarige skall se till att
a) personuppgifter behandlas bara om det är lagligt,
b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med
god sed,
c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och
berättigade ändamål,
d) personuppgifter inte behandlas för något ändamål som är oförenligt
med det för vilket uppgifterna samlades in,
e) de personuppgifter som behandlas är adekvata och relevanta i för-
hållande till ändamålen med behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn
till ändamålen med behandlingen,
g) de personuppgifter som behandlas är riktiga och, om det är nöd-
vändigt, aktuella,
h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana
personuppgifter som är felaktiga eller ofullständiga med hänsyn till
ändamålen med behandlingen, och
i) personuppgifter inte bevaras under en längre tid än vad som är nöd-
vändigt med hänsyn till ändamålen med behandlingen.
I fråga om första stycket d gäller dock att en behandling av person-
uppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall
anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
Personuppgifter får bevaras för historiska, statistiska eller ve-
tenskapliga ändamål under längre tid än som sagts i första stycket i.
Personuppgifterna får dock i sådana fall inte bevaras under en längre tid
än vad som behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska eller
vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den
registrerade bara om den registrerade har lämnat sitt samtycke eller det
finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
I paragrafen läggs det fast vissa grundläggande krav på den person-
uppgiftsansvariges behandling av personuppgifter. De grundläggande
kraven på behandlingen av personuppgifter har behandlats i avsnitt 11.2.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 11.6.5 och 12.4 i kommitténs betänkande.
Första, andra och tredje styckena har samma innebörd som artikel 6 i
EG-direktivet, se bilaga 1. På förslag av Lagrådet har i första stycket b
lagts till vad som i lagrådsremissen framgick av
skadeståndsbestämmelsen i 48 §, nämligen att personuppgifter skall
behandlas i enlighet med god sed.
Fjärde stycket innehåller bestämmelser om sådana lämpliga skydds-
åtgärder vid behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål som avses i den nyss nämnda artikeln och i artikel
8.4. Bestämmelsen gäller inte för en myndighets användning av person-
uppgifter i allmänna handlingar, se 8 § andra stycket. En och samma
personuppgift kan samtidigt behandlas för flera olika ändamål, varav
något kan vara sådant som avses i tredje och fjärde styckena. I sådant fall
får personuppgifter som behandlas för administrativa ändamål som har
med en viss verksamhet att göra, trots bestämmelsen i fjärde stycket,
behandlas för att i enlighet med dessa ändamål vidta åtgärder beträffande
de registrerade, även om samma uppgifter samtidigt behandlas för att
framställa statistik. Behandling av personuppgifter för statistiska och
vetenskapliga ändamål kan ge värdefull kunskap om generella
sammanhang. Användandet av sådan kunskap för att vidta åtgärder mot
individer omfattas inte av bestämmelsen.
Det är vid tvist den personuppgiftsansvarige som har bevisbördan för
att den registrerade lämnat sitt samtycke till att uppgifterna används för
att vidta åtgärder. Har den registrerade muntligen eller skriftligen
återkallat ett lämnat samtycke, får uppgifterna därefter inte användas för
att vidta åtgärder. Om det finns synnerliga skäl med hänsyn till den
registrerades vitala intressen, får dock uppgifterna alltid användas för att
vidta åtgärder. Ett exempel är det fallet att en forskare som undersöker ett
misstänkt samband mellan intag av en medicin och någon allvarlig sjuk-
dom upptäcker att det faktiskt finns ett sådant samband och därför använ-
der registeruppgifter för att varna de registrerade som har fått sådan
medicin så att de kan låta undersöka sig och få behandling. Ett annat
exempel är när ett statistikregister används för att varna de som har köpt
en apparat som visar sig ha ett allvarligt fel. Det är vid tvist den person-
uppgiftsansvarige som har att visa att det finns sådana omständigheter
som utgör synnerliga skäl.
Enligt 50 § b får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilka krav som ställs på den
personuppgiftsansvarige vid behandling av personuppgifter.
När behandling av personuppgifter är tillåten
Frågan om när behandling av personuppgifter är tillåten har behandlats i
avsnitt 11.3.
Enligt 50 § a får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten.
10 § Personuppgifter får behandlas bara om den registrerade har lämnat
sitt samtycke till behandlingen eller om behandlingen är nödvändig för
att
a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som
den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyl-
dighet,
c) vitala intressen för den registrerade skall kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna utföras,
e) den personuppgiftsansvarige eller en tredje man till vilken person-
uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med
myndighetsutövning, eller
f) ett ändamål som rör ett berättigat intresse hos den personuppgifts-
ansvarige eller hos en sådan tredje man till vilken personuppgifterna läm-
nas ut skall kunna tillgodoses, om detta intresse väger tyngre än den
registrerades intresse av skydd mot kränkning av den personliga
integriteten.
I paragrafen finns det en uttömmande uppräkning av i vilka fall person-
uppgifter får behandlas. Om känsliga personuppgifter, uppgifter om
lagöverträdelser m.m. eller personnummer skall behandlas, måste
behandlingen dessutom vara tillåten i enlighet med 13–22 §§. I 12 §
andra stycket regleras den situationen att den registrerade återkallar ett
redan lämnat samtycke.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs för-
slag och har berörts i avsnitt 12.5.1 och 11.6.4 i kommitténs betänkande.
Paragrafen är avsedd att ha samma innebörd som artikel 7 i EG-
direktivet, se bilaga 1.
Punkten a har utformats mot bakgrund av den engelska, franska och
tyska versionen av EG-direktivet; i den svenska versionen talas däremot
om ”ett sådant avtal” (i vilket den registrerade är part).
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt mark-
nadsföring, om den registrerade hos den personuppgiftsansvarige skriftli-
gen har anmält att han eller hon motsätter sig sådan behandling.
Paragrafen reglerar den registrerades rätt att motsätta sig behandling för
direkt marknadsföring. Paragrafen överensstämmer med Datalagskom-
mitténs förslag och har berörts i avsnitt 12.5.2.3 i kommitténs
betänkande.
Uttrycket ”behandlas för ändamål som rör direkt marknadsföring” är
avsett att ha samma innebörd som enligt artikel 14 första stycket b i EG-
direktivet, se bilaga 1.
Paragrafen medger inte att den personuppgiftsansvarige eller någon
annan tar ut någon avgift eller liknande av den registrerade. Den
registrerade kan således utan kostnad utöva sin rätt att motsätta sig att
hans eller hennes personuppgifter behandlas för ändamål som rör direkt
marknadsföring. Däremot finns det inte heller någon reglering som med-
för att den registrerade kan få ersättning för utlägg för t.ex. portokost-
naden för att sända in anmälan.
Skriftlighetskravet innebär att anmälan måste vara uttryckt i text, men
texten kan finnas på papper lika väl som i elektronisk form. Anmälan kan
således göras via elektronisk post. Frågan om en insänd text är en sådan
anmälan som avses i paragrafen får avgöras enligt sedvanliga regler om
tolkning av ensidiga rättshandlingar.
Enligt 50 § d får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om innehållet i en anmälan till
en personuppgiftsansvarig.
Anmälan skall riktas till den personuppgiftsansvarige. Sedan anmälan
kommit in till den personuppgiftsansvarige, får denne inte längre be-
handla personuppgifter om anmälaren för ändamål som rör direkt
marknadsföring. Det gäller även om anmälaren tidigare gett sitt samtycke
till sådan behandling. Skulle den som gjort en anmälan senare lämna sitt
samtycke till behandling för ändamål som rör direkt marknadsföring, får
anmälan i motsvarande utsträckning anses återkallad och utan verkan.
Bestämmelserna i 10 § förvaltningslagen (1986:228), 44 § förvaltnings-
processlagen (1971:291) och 33 kap. 3 § rättegångsbalken kan vara till
ledning vid avgörande av frågan om när en anmälan skall anses ha gjorts.
Det är vid tvist den registrerade som har bevisbördan för att en
anmälan gjorts och tidpunkten för denna.
För att behandling av personuppgifter för ändamål som rör direkt
marknadsföring skall få ske krävs, förutom att den registrerade inte har
motsatt sig det i enlighet med denna paragraf, att behandlingen är tillåten
i enlighet med 10 §, företrädesvis punkten g, och, i förekommande fall,
13–22 §§.
Samtycke återkallas
12 § I de fall då behandling av personuppgifter bara är tillåten när den
registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den re-
gistrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare
personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte
rätt att motsätta sig sådan behandling av personuppgifter som är tillåten
enligt denna lag.
Paragrafen reglerar vad som gäller när den registrerade återkallar ett
redan lämnat samtycke till behandling av personuppgifter och i vilka fall
den registrerade i övrigt skall ha rätt att motsätta sig sådan behandling.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.5.2.2 och 11.6.6 i kommitténs betänkande.
Sådan återkallelse som avses i första stycket kan avges muntligen eller
skriftligen till den personuppgiftsansvarige eller någon som på laglig
grund företräder denne, t.ex. det personuppgiftsbiträde som för den per-
sonuppgiftsansvariges räkning tagit emot samtycket. Det är vid tvist den
registrerade som har bevisbördan för att en återkallelse gjorts och
tidpunkten för denna. Frågan om ett meddelande från den registrerade är
en sådan återkallelse som avses i paragrafen får avgöras enligt sedvanliga
regler om tolkning av ensidiga rättshandlingar.
Sedan den personuppgiftsansvarige mottagit den registrerades åter-
kallelse, får några ytterligare uppgifter om den registrerade inte samlas in
eller annars behandlas. Behandlingen av redan insamlade uppgifter får
trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade
samtycket, men uppgifterna får således inte t.ex. uppdateras eller
kompletteras.
I andra stycket slås det – mot bakgrund av artikel 14 första stycket a i
EG-direktivet, se bilaga 1 – fast att den registrerade i andra fall än som
avses i första stycket i denna paragraf och 11 § får lov att stå ut med
sådan behandling som är tillåten enligt lagen, t.ex. sådan behandling som
är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Den
registrerade kan alltså inte med rättslig verkan motsätta sig behandlingen,
men lagen hindrar givetvis inte att den personuppgiftsansvarige ändå
respekterar den registrerades vilja och frivilligt slutar med att behandla
dennes personuppgifter.
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a) ras eller etniskt ursprung,
b) politiska åsikter,
c) religiös eller filosofisk övertygelse, eller
d) medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör
hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena betecknas i
denna lag som känsliga personuppgifter.
Paragrafen innehåller ett principiellt förbud mot att behandla vad som
enligt paragrafen är att beteckna som känsliga personuppgifter. I 14–
20 §§ finns det bestämmelser som för med sig att sådana personuppgifter
i vissa fall ändå får behandlas.
Behandling av känsliga personuppgifter har behandlats i avsnitt
11.4.1. Paragrafen överensstämmer med Datalagskommitténs förslag och
har berörts i avsnitt 12.5.3.2 i kommitténs betänkande.
Första och andra styckena skall ha samma innebörd som artikel 8.1 i
EG-direktivet, se bilaga 1.
Undantag från förbudet mot behandling av känsliga personuppgifter
14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga person-
uppgifter i de fall som anges i 15–19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personupp-
gifter över huvud taget är tillåten.
Paragrafen innehåller i första stycket en upplysning om att det trots det
principiella förbudet i 13 § är tillåtet att behandla personuppgifter i de
fall som anges i 15–19 §§.
I andra stycket finns det en erinran om att även i de fall som anges i
15–19 §§ måste behandlingen vara tillåten enligt 10 §. Behandling av
känsliga personuppgifter har behandlats i avsnitt 11.4. Paragrafen
överensstämmer i huvudsak med Datalagskommitténs förslag.
Enligt 50 § a får regeringen eller den myndighet som regeringen be-
stämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten enligt 15–19 §§.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har
lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt
offentliggjort uppgifterna.
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.5.3.3 i kommitténs betänkande.
I 12 § andra stycket regleras den situationen att den registrerade
återkallar ett redan lämnat samtycke.
Paragrafen skall ha samma innebörd som EG-direktivets artikel 8.2
punkt a och första ledet i punkt e, se bilaga 1.
Nödvändig behandling
16 § Känsliga personuppgifter får behandlas om behandlingen är nödvän-
dig för att
a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter
eller utöva sina rättigheter inom arbetsrätten,
b) den registrerades eller någon annans vitala intressen skall kunna
skyddas och den registrerade inte kan lämna sitt samtycke, eller
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a får lämnas ut till
tredje man bara om det inom arbetsrätten finns en skyldighet för den
personuppgiftsansvarige att göra det eller den registrerade uttryckligen
har samtyckt till utlämnandet.
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.5.3.3 i kommitténs betänkande.
Första stycket skall ha samma innebörd som EG-direktivets artikel 8.2
punkt b och c samt andra ledet i punkt e, se bilaga 1. Punkten a i första
stycket i paragrafen är vidare en sådan bestämmelse som – i enlighet med
artikel 8.2 punkt b i direktivet – tillåter behandling. Datalagskommittén
har som ett exempel på när det är nödvändigt att behandla känsliga
uppgifter för att rättsliga anspråk skall kunna fastställas, göras gällande
eller försvaras nämnt behandling av personuppgifter om medlemskap i
fackförening som behövs till följd av att fackliga organisationer avtalar
om individuella eller kollektiva förmåner eller tjänster för sina med-
lemmar, t.ex. gruppförsäkring.
Andra stycket innehåller bestämmelser om sådana lämpliga skydds-
åtgärder som avses i artikel 8.2 punkt b i direktivet. Uttrycket ”inom
arbetsrätten” i andra stycket skall ha samma innebörd som enligt den
nyss nämnda punkten. Skyldigheten att lämna ut personuppgifter måste
framgå av lagstiftning, myndighetsbeslut eller av ett muntligt eller
skriftligt avtal, t.ex. ett kollektivavtal. Det skall vara fråga om en rättslig
skyldighet. Det är vid tvist den personuppgiftsansvarige som har
bevisbördan för att den registrerade lämnat sitt samtycke till ett
utlämnande. Har den registrerade muntligen eller skriftligen återkallat ett
nödvändigt samtycke, får uppgifterna därefter inte lämnas ut till tredje
man.
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller
fackligt syfte får inom ramen för sin verksamhet behandla känsliga
personuppgifter om organisationens medlemmar och sådana andra
personer som på grund av organisationens syfte har regelbunden kontakt
med den. Känsliga personuppgifter får dock lämnas ut till tredje man
bara om den registrerade uttryckligen har samtyckt till det.
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.5.3.3 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 8.2 punkt d i EG-
direktivet, se bilaga 1.
Det är vid tvist den personuppgiftsansvarige som har bevisbördan för
att den registrerade lämnat sitt samtycke till ett utlämnande. Har den
registrerade muntligen eller skriftligen återkallat ett nödvändigt
samtycke, får uppgifterna därefter inte lämnas ut till tredje man.
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas för hälso- och
sjukvårdsändamål, om behandlingen är nödvändig för
a) förebyggande hälso- och sjukvård,
b) medicinska diagnoser,
c) vård eller behandling, eller
d) administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet
och har tystnadsplikt får även behandla känsliga personuppgifter som
omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en
liknande tystnadsplikt och som har fått känsliga personuppgifter från
verksamhet inom hälso- och sjukvårdsområdet.
Behandling av känsliga personuppgifter har behandlats i avsnitt 11.4.
Paragrafen skall ha samma innebörd som artikel 8.3 i EG-direktivet,
se bilaga 1.
Paragrafen har – i enlighet med vad som föreslagits av Stockholms
läns landsting – i förhållande till Datalagskommitténs förslag
kompletterats såvitt avser regeln i nyss nämnda artikel om att den som
inte är verksam på hälso- och sjukvårdsområdet men som ändå är
underkastad en liknande tystnadsplikt får behandla känsliga person-
uppgifter. Den regeln kan nämligen ha betydelse t.ex. när känsliga
personuppgifter från en myndighet inom hälso- och sjukvården lämnas
till forskningsverksamhet eller verksamhet för tillsyn eller revision hos
annan myndighet.
Bestämmelser om tystnadsplikt i nu berört hänseende finns i
sekretesslagen (1980:100), företrädesvis 7 kap. 1–3 §§, lagen (1994:953)
om åligganden för personal inom hälso- och sjukvården och lagen
(1996:786) om tillsyn över hälso- och sjukvården.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och statistik-
ändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om
samhällsintresset av det forsknings- eller statistikprojekt där behand-
lingen ingår klart väger över den risk för otillbörligt intrång i enskildas
personliga integritet som behandlingen kan innebära.
Har behandlingen godkänts av en forskningsetisk kommitté, skall
förutsättningarna enligt första stycket anses uppfyllda. Med
forskningsetisk kommitté avses ett sådant särskilt organ för prövning av
forskningsetiska frågor som har företrädare för såväl det allmänna som
forskningen och som är knutet till ett universitet eller en högskola eller
till någon annan instans som i mera betydande omfattning finansierar
forskning.
Personuppgifter får lämnas ut för att användas i sådana projekt som
avses i första stycket, om inte något annat följer av regler om sekretess
och tystnadsplikt.
Paragrafen reglerar när känsliga personuppgifter får behandlas för forsk-
nings- och statistikändamål utan samtycke. Den frågan har behandlats i
avsnitt 11.4.2. Paragrafen överensstämmer i huvudsak med Datalagskom-
mitténs förslag och har berörts i avsnitt 11.6.3 i kommitténs betänkande.
Med forskning avses i paragrafen i första hand den verksamhet som
bedrivs vid etablerade institutioner, såsom universitet och högskolor eller
privata, väletablerade forskningsinstitut. Även sådana epidemiologiska
undersökningar som utförs vetenskapligt omfattas. Släktforskning faller
utanför, liksom annan forskning eller utredningsverksamhet av mera
privat natur. Det måste finnas ett samhällsintresse av att forskningen
bedrivs, och den måste vara vetenskaplig i någon mening.
Med statistik avses i paragrafen numeriska sammanställningar av
elementära observationer som kan hänföras till händelser, flöden eller
tillstånd och verksamhet för att göra sådana sammanställningar.
Första stycket i paragrafen innehåller en avvägningsnorm. Det krävs
för det första att behandlingen av personuppgifter för det aktuella forsk-
nings- eller statistikändamålet är nödvändig enligt 10 §. Nödvändig-
hetskravet är avsett att ha samma innebörd som enligt artikel 7 i EG-
direktivet, se bilaga 1. Är behandlingen på detta sätt nödvändig, krävs
vidare att samhällsintresset av det forsknings- eller statistikprojekt vari
behandlingen ingår klart väger över den risk för otillbörligt intrång i
enskildas personliga integritet som behandlingen kan innebära. Med
statistikprojekt avses även sådan statistikframställning som sker åter-
kommande, t.ex. årligen, dvs. vad som brukar kallas en statistikprodukt.
För att göra avvägningen enligt normen måste det ske en helhets-
bedömning av samtliga omständigheter. Vid helhetsbedömningen bör
således beaktas bl.a. forsknings- eller statistikprojektets vikt, behovet av
personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller
tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde
skulle kunna skadas om man begärde samtycke och om en kontakt med
den enskilde skulle kunna förrycka undersökningsresultatet. Vid
intresseavvägningen bör också beaktas om information i någon form
lämnas till de berörda, t.ex. via anslag eller annonser. I de allra flesta fall
bör åtminstone sådan information kunna lämnas. Även frågan i vilken
utsträckning den som begär det skall ha rätt att bli struken bör beaktas
vid intresseavvägningen. I viss mån bör också kunna beaktas hur pass
svårt det är att på grund av de behandlade uppgifterna identifiera enskilda
personer.
Det är i första hand den personuppgiftsansvarige som har att på eget
ansvar tillämpa avvägningsnormen.
Om behandlingen inom ett aktuellt projektet godkänts av en forsk-
ningsetisk kommitté, behöver den personuppgiftsansvarige inte göra
någon egen avvägning enligt första stycket. Då skall nämligen enligt
andra stycket förutsättningarna enligt avvägningsnormen i första stycket
anses uppfyllda.
Med en forskningsetisk kommitté avses en sådan kommitté eller
liknande som motsvarar de kommittéer som i dag finns knutna till de
medicinska fakulteterna, Humanistisk-samhällsvetenskapliga forsknings-
rådet och Socialvetenskapliga forskningsrådet. I andra stycket finns det
en generell definition av forskningsetisk kommitté. Det måste vara fråga
om ett särskilt organ. Den instans som gör den forskningsetiska
prövningen måste således vara särskilt inrättat för att göra prövningen.
Det är därför inte tillräckligt att styrelsen för en institution eller en
forskningsstiftelse eller något annat befintligt organ med andra uppgifter
än forskningsetiska bedömningar ges i uppdrag att göra prövningen. I
organet skall det vidare finnas företrädare för såväl det allmänna som
forskningen. Det finns inget krav på hur företrädarna skall utses, men de
måste i någon mening kunna anses representera allmänna
samhällsintressen respektive forskningsintressen. Organet skall dessutom
vara knutet till ett universitet eller en högskola eller till någon annan
betydande forskningsfinansiär, t.ex. ett forskningsråd eller en
forskningsstiftelse. Det finns dock inget som hindrar att organet prövar
även forskning som finansieras eller bedrivs av någon annan instans än
den som organet är knutet till.
I Datalagskommitténs förslag och i lagrådsremissen angavs att
projektet skulle godkännas av den forskningsetiska kommittén. Vi har
här i stället valt att knyta bestämmelsen till om behandlingen godkänts,
vilket är den avgörande frågan vad avser skydd av personuppgifter. Om
behandlingen i forsknings- eller statistikprojektet har godkänts av en
forskningsetisk kommitté, är behandlingen således tillåten enligt lagen.
Om den forskningsetiska kommittén har villkorat sitt godkännande,
måste villkoren, t.ex. om information till de registrerade och rätt att på
begäran få bli struken, följas för att behandlingen skall vara tillåten.
I tredje stycket finns det en bestämmelse om utlämnande av person-
uppgifter för användning i forsknings- och statistikprojekt.
Bestämmelsen är en sådan bestämmelse om utlämnande av person-
uppgifter som avses i 24 § andra stycket och som för med sig att den
forskare eller statistiker som i enlighet med bestämmelsen hämtar in
personuppgifter från något annat håll än de registrerade inte automatiskt
behöver informera de registrerade om sin behandling (se också artikel
11.2 i EG-direktivet). Däremot kan den forskningsetiska granskningen
enligt andra stycket eller en tillämpning av avvägningsnormen i första
stycket leda till att information ändå skall lämnas.
Bestämmelsen avser utlämnande av både känsliga och icke känsliga
personuppgifter.
Bestämmelsen träffar bara utlämnande av personuppgifter för använd-
ning i sådana projekt som avses i första stycket. Har en behandling god-
känts av en forskningsetisk kommitté enligt andra stycket, skall förutsätt-
ningarna enligt första stycket anses uppfyllda, varför utlämnande får ske
för en godkänd behandling i ett projekt.
Bestämmelsen innebär inte någon skyldighet att lämna ut person-
uppgifter. Den tillåter bara att den som innehar uppgifterna lämnar ut
dem om han eller hon vill det. Om något annat följer av regler om
sekretess och tystnadsplikt, får uppgifterna dock inte lämnas ut. Regler
om sekretess eller tystnadsplikt finns t.ex. i sekretesslagen (1980:100),
lagen (1994:953) om åligganden för personal inom hälso- och sjukvården
och lagen (1996:786) om tillsyn över hälso- och sjukvården.
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela
föreskrifter om ytterligare undantag från förbudet i 13 §, om det behövs
med hänsyn till ett viktigt allmänt intresse.
Paragrafen innehåller ett bemyndigande för regeringen eller den myndig-
het som regeringen bestämmer att meddela föreskrifter. Frågan om norm-
givningsdelegation har behandlats i avsnitt 10. Paragrafen överensstäm-
mer med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.3 i
kommitténs betänkande.
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir
möjligt att meddela föreskrifter även såvitt avser sådan manuell
behandling som omfattas av personuppgiftslagen.
Uttrycket viktigt allmänt intresse skall ha samma innebörd som enligt
artikel 8.4 i EG-direktivet, se bilaga 1.
Uppgifter om lagöverträdelser m.m.
21 § Det är förbjudet för andra än myndigheter att behandla person-
uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,
straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Regeringen eller den myndighet som regeringen bestämmer får i fråga
om automatiserad behandling av personuppgifter meddela föreskrifter
om undantag från förbudet i första stycket.
Regeringen får i enskilda fall besluta om undantag från förbudet i
första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta
sådana beslut.
Frågan om behandling av uppgifter om lagöverträdelser har behandlats i
avsnitt 11.4.3. Paragrafens två första stycken överensstämmer i huvudsak
med Datalagskommitténs förslag och har berörts i avsnitt 12.5.3.4 i
kommitténs betänkande.
Uttrycken ”myndighet”, ”lagöverträdelser” och ”domar i brottmål”
skall ha samma innebörd som motsvarande uttryck i artikel 8.5 första
stycket i EG-direktivet, se bilaga 1. Efter påpekande av Lagrådet har det
preciserats att med ”lagöverträdelser” avses sådana lagöverträdelser som
innefattar brott. I stället för direktivets begrepp ”säkerhetsåtgärder” som
föreslagits av Datalagskommittén används begreppet ”straffprocessuella
tvångsmedel” eftersom det tidigare begreppets innehåll är oklart. Som
framgår av avsnitt 11.4.3 torde administrativa frihetsberövanden omfattas
av regleringen, varför detta uttryckligen lagts till.
Andra stycket innehåller ett bemyndigande för regeringen eller den
myndighet som regeringen bestämmer att meddela föreskrifter om un-
dantag. Frågan om normgivningsdelegation har berörts i avsnitt 10.
Genom tredje stycket har förtydligats att regeringen eller, om rege-
ringen så bestämmer, tillsynsmyndigheten i enskilda fall kan besluta om
undantag från förbudet i första stycket.
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir
möjligt att meddela föreskrifter även såvitt avser sådan manuell
behandling som omfattas av personuppgiftslagen.
Enligt 50 § a får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten enligt första stycket.
Behandling av personnummer
22 § Uppgifter om personnummer får utan samtycke behandlas bara när
det är klart motiverat med hänsyn till
a) ändamålet med behandlingen,
b) vikten av en säker identifiering, eller
c) något annat beaktansvärt skäl.
Frågan om behandling av personnummer har behandlats i avsnitt 11.4.4.
Paragrafen överensstämmer i stort med Datalagskommitténs förslag och
har berörts i avsnitt 12.6 i kommitténs betänkande.
Till paragrafen har utan någon betydande ändring i sak förts över de
bestämmelser som finns i 7 § andra stycket i den nuvarande datalagen.
Om någon lämnat sitt samtycke är det självklart att en uppgift om person-
nummer skall få behandlas. Den uttryckliga bestämmelsen i den nu-
varande datalagen om att personuppgifter får återges på datautskrifter
endast när det finns särskilda skäl har inte förts över. Det innebär dock
inte någon ändring i sak, eftersom redan den överförda huvudregeln
innebär att en uppgift om personnummer får behandlas t.ex. genom att
fästas på en utskrift eller visas upp på en datorskärm bara när den
behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl.
Enligt 50 § a får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om i vilka fall användning av
personnummer är tillåten.
Information till den registrerade
Frågan om information till den registrerade har behandlats i avsnitt 11.5.
Enligt 50 § e får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilken information som
skall lämnas till registrerade och hur informationen skall lämnas.
Information skall lämnas självmant
23 § Om uppgifter om en person samlas in från personen själv, skall den
personuppgiftsansvarige i samband därmed självmant lämna den
registrerade information om behandlingen av uppgifterna.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.7.2 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 10 i EG-direktivet, se
bilaga 1.
I 25 § finns det bestämmelser om vilken information som skall
lämnas, och i 27 § finns det bestämmelser om vissa undantag från
informationsskyldigheten.
24 § Om personuppgifterna har samlats in från någon annan källa än den
registrerade, skall den personuppgiftsansvarige självmant lämna den
registrerade information om behandlingen av uppgifterna när de
registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver
informationen dock inte ges förrän uppgifterna lämnas ut för första
gången.
Information enligt första stycket behöver inte lämnas, om det finns be-
stämmelser om registrerandet eller utlämnandet av personuppgifterna i en
lag eller någon annan författning.
Information behöver inte heller lämnas enligt första stycket, om detta
visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
betsinsats. Om uppgifterna används för att vidta åtgärder som rör den
registrerade, skall dock information lämnas senast i samband med att så
sker.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.7.2 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 11 i EG-direktivet, se
bilaga 1.
I 25 § finns det bestämmelser om vilken information som skall
lämnas, och i 27 § finns det bestämmelser om vissa undantag från
informationsskyldigheten.
Bestämmelsen i sista meningen i tredje stycket utgör en sådan lämplig
skyddsåtgärd som avses i artikel 11.2 sista meningen i EG-direktivet.
Bestämmelsen utgör en garanti för att den registrerade inte utsätts för en
åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom
den. Om exempelvis en personuppgiftsansvarig för utskick för direkt
marknadsföring hämtat in uppgifter om så många personer att det skulle
innebära en oproportionerligt stor arbetsinsats att informera dem alla
redan när uppgifterna registreras, måste således information lämnas
senast i de handlingar som sänds ut.
Den information som skall lämnas självmant
25 § Information enligt 23 eller 24 § skall omfatta
a) uppgift om den personuppgiftsansvariges identitet,
b) uppgift om ändamålen med behandlingen, och
c) all övrig information som behövs för att den registrerade skall kunna ta
till vara sina rättigheter i samband med behandlingen, såsom
information om mottagarna av uppgifterna, skyldighet att lämna
uppgifter och rätten att ansöka om information och få rättelse.
Information behöver dock inte lämnas om sådant som den registrerade
redan känner till.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.7.2.3 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 10 och 11.1 i EG-
direktivet, se bilaga 1.
I 27 § finns det bestämmelser om vissa undantag från informations-
skyldigheten.
Information skall lämnas efter ansökan
26 § Den personuppgiftsansvarige är skyldig att till var och en som an-
söker om det en gång per kalenderår gratis lämna besked om person-
uppgifter som rör den sökande behandlas eller ej. Behandlas sådana
uppgifter skall skriftlig information lämnas också om
a) vilka uppgifter om den sökande som behandlas,
b) varifrån dessa uppgifter har hämtats,
c) ändamålen med behandlingen, och
d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-
nas ut.
En ansökan enligt första stycket skall göras skriftligen hos den person-
uppgiftsansvarige och vara undertecknad av den sökande själv.
Information enligt första stycket skall lämnas inom en månad från det att
ansökan gjordes. Om det finns särskilda skäl för det, får information
dock lämnas senast fyra månader efter det att ansökan gjordes.
Information enligt första stycket behöver inte lämnas om person-
uppgifter i löpande text som inte fått sin slutliga utformning när ansökan
gjordes eller som utgör minnesanteckning eller liknande. Vad som nu
sagts gäller dock inte om uppgifterna har lämnats ut till tredje man eller
om uppgifterna behandlas enbart för historiska, statistiska eller
vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin
slutliga utformning, om uppgifterna har behandlats under längre tid än ett
år.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.7.3 och 11.6.7 i kommitténs betänkande.
I 27 § finns det bestämmelser om vissa undantag från informations-
skyldigheten.
Första stycket i paragrafen skall i tillämpliga delar ha samma innebörd
som artikel 12 a i EG-direktivet, se bilaga 1. En och samma person har
rätt att högst en gång per kalenderår få sådan information som avses i
paragrafen. Personen måste varje kalenderår göra en särskild ansökan om
information. Informationen skall vara gratis för den som ansöker om det.
Skriftlighetskravet innebär att informationen måste vara uttryckt i text,
men texten kan finnas på papper lika väl som i elektronisk form.
Enligt andra stycket skall ansökan göras skriftligen och vara under-
tecknad av den sökande själv. Det innebär att ansökan måste göras på
papper. Enligt 50 § d får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om innehållet i en ansökan till
en personuppgiftsansvarig.
Huvudregeln är att information skall lämnas inom en månad från det
att ansökan gjordes. Informationen får dock lämnas senast fyra månader
efter det att ansökan gjordes, under förutsättning att det finns särskilda
skäl för det. Sådana särskilda skäl kan vara att personuppgifterna är kryp-
terade, att sökmöjligheterna annars är begränsade eller att den person-
uppgiftsansvarige har många personuppgifter uppdelade på olika register
eller andra datasamlingar. Bestämmelserna i 10 § förvaltningslagen
(1986:223), 44 § förvaltningsprocesslagen (1971:291) och 33 kap. 3 §
rättegångsbalken kan vara till ledning vid avgörande av frågan när en
ansökan skall anses ha gjorts. Det är bara de behandlade uppgifter som
den personuppgiftsansvarige har i behåll när han eller hon lämnar
informationen som måste lämnas ut. Det finns alltså inget som hindrar att
den personuppgiftsansvarige under tiden från ansökan till utlämnandet
utplånar uppgifter eller slutar med att behandla dem på ett sätt som
omfattas av lagen.
Det är vid tvist den sökande som har bevisbördan för att en ansökan
gjorts och tidpunkten för denna och den personuppgiftsansvarige som har
bevisbördan för att informationen lämnats i rätt tid och i förekommande
fall att det funnits sådana omständigheter som utgjort särskilda skäl.
I tredje stycket finns det vissa undantagsbestämmelser beträffande
personuppgifter i löpande text. Med löpande text avses information som
inte har strukturerats så att sökning av personuppgifter underlättas. Med
text som inte har fått sin slutliga utformning avses koncept och utkast
och liknande. Text som är avsedd att tid efter annan ändras eller
kompletteras och således aldrig kommer att få någon slutlig utformning
omfattas inte. Med text som utgör minnesanteckning avses promemorior
och liknande som har kommit till bara för att förbereda något slags
ärende. Med behandling för historiska, statistiska och vetenskapliga
ändamål avses detsamma som enligt artikel 6 i EG-direktivet, se bilaga 1.
Huvudfallet är här att ett utkast eller en minnesanteckning i ett avslutat
ärende har tagits om hand för arkivering.
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författ-
ning eller i beslut som har meddelats med stöd av författning att
uppgifter inte får lämnas ut till den registrerade gäller inte
bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en
myndighet får därvid i motsvarande fall som avses i sekretesslagen
(1980:100) vägra att lämna ut uppgifter till den registrerade.
Paragrafen har behandlats i avsnitt 11.5.2. Datalagskommittén har berört
frågan i avsnitt 12.7.4 i sitt betänkande.
Första meningen motsvarar delvis 10 § tredje stycket i den nuvarande
datalagen. Meningen överensstämmer med Datalagskommitténs förslag.
Andra meningen innebär att även en personuppgiftsansvarig som inte
är en myndighet får använda bestämmelserna i sekretesslagen för att
vägra att lämna ut information till den registrerade. Meningen ersätter
Datalagskommitténs förslag till en bestämmelse med ett bemyndigande
för regeringen eller den myndighet som regeringen bestämmer att
föreskriva undantag från informationsskyldigheten, om det behövs för att
skydda grundläggande intressen för enskilda eller för att förebygga,
undersöka eller avslöja brott.
Rättelse
28 § Den personuppgiftsansvarige är skyldig att på begäran av den
registrerade snarast rätta, blockera eller utplåna sådana personuppgifter
som inte har behandlats i enlighet med denna lag eller föreskrifter som
har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också
underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden,
om den registrerade begär det eller om mera betydande skada eller
olägenhet för den registrerade skulle kunna undvikas genom en
underrättelse. Någon sådan underrättelse behöver dock inte lämnas om
detta visar sig vara omöjligt eller skulle innebära en oproportionerligt
stor arbetsinsats.
Frågan om korrigering av personuppgifter har behandlats i avsnitt 11.6.
Korrigering av personuppgifter hos myndigheter har berörts i avsnitt 8.1.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.8 och 11.6.7 i kommitténs betänkande.
Paragrafen är avsedd att ha samma innebörd som artikel 12 b och c i
EG-direktivet, se bilaga 1.
Den registrerades begäran om korrigering eller underrättelse till tredje
man kan framställas formlöst till den personuppgiftsansvarige eller
någon som företräder denne. Det räcker att det av begäran framgår att
den registrerade är missnöjd med behandlingen i något visst avseende
och vill att korrigering skall vidtas. Framställs en sådan begäran bör den
personuppgiftsansvarige skyndsamt utreda om de framförda
anmärkningarna är befogade och, om så skulle vara fallet, snarast vidta
korrigering. Omfattningen av utredningen får bero av de anmärkningar
den registrerade framställt. Uppkommer oenighet mellan den person-
uppgiftsansvarige och den registrerade om uppgifterna skall korrigeras
eller inte, kan den registrerade anmäla förhållandet till
tillsynsmyndigheten, som har möjlighet att förelägga vite om lagen inte
följs och att ansöka om utplånande av uppgifterna, eller själv väcka talan
om saken vid allmän domstol.
Det är i princip den personuppgiftsansvarige som själv väljer korri-
geringsmetod, dvs. om de aktuella personuppgifterna skall rättas,
blockeras eller utplånas. Av annan lagstiftning eller av sakens natur kan
dock följa att vissa korrigeringsmetoder inte kan användas i vissa fall,
t.ex. när det gäller korrigering av personuppgifter i bokföring.
Den personuppgiftsansvarige är såsom framgår av paragrafen under
alla förhållanden skyldig att underrätta tredje man om en korrigering, om
det kan antas att en underrättelse skulle kunna undvika mera betydande
skada eller olägenhet för den registrerade. En felaktig, känslig person-
uppgift, t.ex. om att den registrerade är sjuk eller har en extrem politisk
eller religiös övertygelse, kan regelmässigt antas föranleda sådan skada
eller olägenhet som avses, om de tredje män som fått den felaktiga
uppgiften inte underrättas. Gäller det däremot en mera harmlös uppgift,
t.ex. om den registrerades adress, bör det som regel krävas någon särskild
omständighet för att man skall kunna anta att en underrättelse skulle
kunna undvika sådan skada eller olägenhet som avses. Det måste vidare
kunna antas att underrättelsen medför att skadan eller olägenheten kan
undvikas. Detta är inte fallet när det är känt att aktuella tredje män redan
har korrigerat uppgiften.
Det finns inte något formkrav beträffande den personuppgiftsansva-
riges underrättelse till dem som mottagit personuppgifterna. I under-
rättelsen skall anges den åtgärd som den personuppgiftsansvarige har
vidtagit beträffande personuppgifterna. I detta krav på att åtgärden skall
anges innefattas att information skall lämnas om anledningen till åt-
gärden, t.ex. att de tidigare uppgifterna var felaktiga eller ofullständiga.
Har en felaktig uppgift rättats måste vidare, om det är nödvändigt, under-
rättelse lämnas om såväl den tidigare, felaktiga uppgiften som den nya,
riktiga uppgiften. Avsikten med underrättelseskyldigheten är att de som
har tagit emot en uppgift som har korrigerats i sin tur skall kunna på
lämpligt sätt korrigera den mottagna uppgiften och eventuella åtgärder
som har vidtagits med ledning av uppgiften. Underrättelsen bör därför
innehålla sådan information som gör detta möjligt. Rör felaktigheten
exempelvis en uppgift som mottagaren kan antas använda som enda sök-
begrepp, t.ex. namn eller personnummer, är det nödvändigt att den
felaktiga uppgiften anges för att mottagaren i praktiken skall kunna göra
en rättelse i sin tur.
Det finns inte någon formell skyldighet att självmant underrätta i flera
led. En tredje man som fått en underrättelse och som själv är person-
uppgiftsansvarig, är således inte rättsligt förpliktad att underrätta de
tredje män till vilka han eller hon i sin tur kan ha lämnat ut uppgiften
bara på grund av att han eller hon till följd av en underrättelse självmant
har rättat uppgiften. Det får dock förutsättas att de person-
uppgiftsansvariga frivilligt på lämpligt sätt ser till att mildra
skadeverkningarna av felaktiga eller ofullständiga uppgifter som
självmant rättats.
Automatiserade beslut
29 § Om ett beslut som har rättsliga följder för en fysisk person eller
annars har märkbara verkningar för den fysiska personen, grundas enbart
på automatiserad behandling av sådana personuppgifter som är avsedda
att bedöma egenskaper hos personen, skall den som berörs av beslutet ha
möjlighet att på begäran få beslutet omprövat av någon person.
Var och en som varit föremål för ett sådant beslut som avses i första
stycket har rätt att på ansökan få information från den person-
uppgiftsansvarige om vad som har styrt den automatiserade behandling
som lett fram till beslutet. I fråga om ansökan och lämnandet av
information gäller i tillämpliga delar bestämmelserna i 26 §.
Frågan om automatiserade beslut har behandlats i avsnitt 11.7.
Paragrafen överensstämmer i huvudsak med Datalagskommitténs förslag
och har berörts i avsnitt 12.9 i kommitténs betänkande.
Definitionen av de beslut som avses i paragrafen skall ha samma
innebörd som enligt artikel 15.1 i EG-direktivet, se bilaga 1.
Första stycket innebär att det skall finnas en rätt att på begäran få ett
automatiserat beslut omprövat. Det finns inget formkrav för den registre-
rades begäran om omprövning. Att den registrerade skall ha rätt att på
begäran få det automatiserade beslutet omprövat innebär en rätt att få
beslutet granskat av en människa som har makt att ersätta det auto-
matiserade beslutet med ett annat. Rätten till omprövning innebär
däremot inte att det automatiserade beslutet måste ersättas av ett nytt
beslut.
För den offentliga förvaltningen finns det ofta redan föreskrifter om en
rätt till omprövning av beslut, se t.ex. 27 § förvaltningslagen. I den
utsträckning det i lag eller förordning finns särskilda regler om t.ex. för-
farandet vid omprövning, gäller dessa föreskrifter framför person-
uppgiftslagen, se 2 §.
Rätten att få information enligt andra stycket skall ha samma innebörd
som artikel 12 a tredje strecksatsen i EG-direktivet, se bilaga 1.
Begreppet logik har dock inte använts. Informationsskyldigheten avser
bara vad som har styrt behandlingen, dvs. den tekniska processen, och
inte t.ex. närmare information om bankers regler eller gränsvärden för
kreditgivning. I punkt 41 i ingressen till direktivet framhålls att den
aktuella rätten inte får inkräkta på några affärshemligheter eller på
upphovsrätten till t.ex. programvaran.
Enligt 50 § e får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilken information som
skall lämnas till registrerade och hur informationen skall lämnas.
Säkerheten vid behandling
Frågan om säkerheten vid behandlingen har berörts i avsnitt 11.8.
Enligt 50 § b får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om vilka krav som ställs på den
personuppgiftsansvarige vid behandling av personuppgifter.
Personer som behandlar personuppgifter
30 § Ett personuppgiftsbiträde och den eller de personer som arbetar
under biträdets eller den personuppgiftsansvariges ledning får behandla
personuppgifter bara i enlighet med instruktioner från den person-
uppgiftsansvarige.
Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behand-
ling av personuppgifter för den personuppgiftsansvariges räkning. I det
avtalet skall det särskilt föreskrivas att personuppgiftsbiträdet får
behandla personuppgifterna bara i enlighet med instruktioner från den
personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att
vidta de åtgärder som avses i 31 § första stycket.
Om det i lag eller annan författning finns särskilda bestämmelser om
behandlingen av personuppgifter i det allmännas verksamhet i frågor som
avses i första stycket skall dessa gälla i stället för vad som sägs i första
stycket.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.10.2 i kommitténs betänkande.
Första stycket skall ha samma innebörd som artikel 16 i EG-
direktivet, se bilaga 1.
Andra stycket skall ha samma innebörd som artikel 17.3 och 17.4 i
direktivet. Skriftlighetskravet innebär att avtalet måste vara uttryckt i
text, men texten kan finnas på papper lika väl som i elektronisk form.
Något krav på att avtalshandlingen skall vara undertecknad finns inte.
Tredje stycket innebär att särskilda bestämmelser i andra författningar
i de avseenden som berörs i första stycket tillämpas i stället för första
stycket. Förhållandet följer i och för sig av lagens 2 § men det är av
särskild betydelse att detta framgår direkt av bestämmelsen. Särskilt
avses bestämmelser om tystnadsplikt och sekretess.
Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som be-
handlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig
med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna,
och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde,
skall den personuppgiftsansvarige förvissa sig om att person-
uppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas
och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.10.2–4 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 17.1 och 17.2 i EG-
direktivet, se bilaga 1.
Tillsynsmyndigheten får besluta om säkerhetsåtgärder
32 § Tillsynsmyndigheten får i enskilda fall besluta om vilka
säkerhetsåtgärder som den personuppgiftsansvarige skall vidta enligt
31 §.
I 45 § finns det bestämmelser om tillsynsmyndighetens möjligheter att
förena beslutet med vite.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.10.3 i kommitténs betänkande. Paragrafen fastslår att
tillsynsmyndigheten i enskilda fall kan bestämma vilka säkerhetsåtgärder
som skall vidtas.
Överföring av personuppgifter till tredje land
Frågan om överföring av personuppgifter till tredje land har behandlats i
avsnitt 11.9.
Enligt 50 § a får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om i vilka fall behandling av
personuppgifter är tillåten.
Förbud mot överföring av personuppgifter till tredje land
33 § Det är förbjudet att till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring av personuppgifter
för behandling i tredje land.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.11.2 i kommitténs betänkande.
De överföringar som avses i paragrafen är desamma som avses i
artikel 25.1 i EG-direktivet, se bilaga 1.
Undantag från förbudet mot överföring av personuppgifter till tredje land
34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till
tredje land, om den registrerade otvetydigt har samtyckt till överföringen
eller när överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgöras eller åtgärder som den registrerade begärt skall
kunna vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man
som är i den registrerades intresse skall kunna ingås eller fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
eller
d) vitala intressen för den registrerade skall kunna skyddas.
Det är också tillåtet att föra över personuppgifter för användning
enbart i en stat som har anslutit sig till Europarådets konvention om
skydd för enskilda vid automatisk databehandling av personuppgifter.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.11.3 i kommitténs betänkande.
Paragrafen innehåller en uppräkning av i vilka fall det är tillåtet att
föra över personuppgifter till tredje land. För att personuppgifter skall få
föras över till tredje land krävs dock inte bara att överföringen faller
under något av fallen i uppräkningen. Den behandling som överföringen
av personuppgifter till tredje land utgör måste också vara tillåten enligt
10 § och, om känsliga personuppgifter, uppgifter om lagöverträdelser
m.m. eller personnummer skall föras över, även vara tillåten i enlighet
med 13–22 §§.
Första stycket skall ha samma innebörd som artikel 26.1 i EG-
direktivet, se bilaga 1.
I 12 § andra stycket regleras den situationen att den registrerade
återkallar ett redan lämnat samtycke.
Punkten a har utformats mot bakgrund av den engelska, franska och
tyska versionen av EG-direktivet; i den svenska versionen står det ”innan
avtalet träffas”, dvs. det avtal i vilket den registrerade är part.
Andra stycket innebär att personuppgifter fritt får föras över till stater
som har anslutit sig till Europarådets konvention om skydd för enskilda
vid automatisk databehandling av personuppgifter.
35 § Regeringen får i fråga om automatiserad behandling av person-
uppgifter meddela föreskrifter om undantag från förbudet i 33 § för
överföring av personuppgifter till vissa stater. Regeringen får också i
fråga om automatiserad behandling av personuppgifter meddela före-
skrifter om att överföring av personuppgifter till tredje land är tillåten,
om överföringen regleras av ett avtal som ger tillräckliga garantier till
skydd för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare
i fråga om automatiserad behandling av personuppgifter meddela
föreskrifter om undantag från förbudet i 33 §, om det behövs med hänsyn
till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till
skydd för de registrerades rättigheter.
Regeringen får under de förutsättningar som nämns i andra stycket i
enskilda fall besluta om undantag från förbudet i 33 §. Regeringen får
överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Frågan om normgivningsdelegation har behandlats i avsnitt 10. Para-
grafens två första stycken överensstämmer i huvudsak med Data-
lagskommitténs förslag och har berörts i avsnitt 12.11.4 i kommitténs be-
tänkande. I tredje stycket har förtydligats att regeringen, eller om rege-
ringen så bestämmer, tillsynsmyndigheten, i enskilda fall kan besluta om
undantag från förbudet i 33§ .
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir
möjligt att meddela föreskrifter även såvitt avser sådan manuell
behandling som omfattas av personuppgiftslagen.
Anmälan till tillsynsmyndigheten
De bestämmelser som finns under denna rubrik har behandlats i av-
snitt 12.
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis auto-
matiserad omfattas av anmälningsskyldighet. Den personuppgiftsansva-
rige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en
sådan behandling eller en serie av sådana behandlingar med samma eller
liknande ändamål genomförs.
Om den personuppgiftsansvarige utser ett personuppgiftsombud skall
detta anmälas till tillsynsmyndigheten. Även ett entledigande av ett per-
sonuppgiftsombud skall anmälas till tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om undantag från anmälningsskyldigheten enligt
första stycket för sådana typer av behandlingar som sannolikt inte
kommer att leda till otillbörligt intrång i den personliga integriteten.
Paragrafen överensstämmer i stort med Datalagskommitténs förslag och
har berörts i avsnitt 12.12 i kommitténs betänkande.
Första stycket skall ha samma innebörd som artikel 18.1 i EG-
direktivet, se bilaga 1. Enligt 50 § f får regeringen eller den myndighet
som regeringen bestämmer meddela närmare föreskrifter om anmälan till
tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats.
Andra stycket anger att ett utseende och ett entledigande av ett person-
uppgiftsombud skall anmälas till tillsynsmyndigheten.
Tredje stycket innehåller ett bemyndigande för regeringen eller den
myndighet som regeringen bestämmer att meddela föreskrifter om
undantag från anmälningsskyldigheten. Bemyndigandet gäller sådana
behandlingar som avses i artikel 18.2 första strecksatsen, 18.3 och 18.4 i
EG-direktivet, se bilaga 1. Frågan om normgivningsdelegation har
behandlats i avsnitt 10.
Anmälan behöver inte göras om det finns ett personuppgiftsombud
37 § Om den personuppgiftsansvarige har anmält till tillsynsmyndigheten
har anmält att ett personuppgiftsombud utsetts och vem det är, behöver
anmälan enligt 36 § första stycket inte göras.
Beteckningen personuppgiftsombud har behandlats i avsnitt 12. Para-
grafen har berörts i avsnitt 12.12 i Datalagskommitténs betänkande.
Det är bara behandlingar som påbörjas efter det att personupp-
giftsombudet har anmälts till tillsynsmyndigheten som är undantagna
från anmälningsskyldigheten.
Personuppgiftsombudet skall vara en fysisk person. Det finns inget
som hindrar att den personuppgiftsansvarige utser flera personupp-
giftsombud eller att flera personuppgiftsansvariga, t.ex. inom en viss
bransch, utser en och samma person till personuppgiftsombud, t.ex. en
advokat, en revisor eller någon som är anställd på en
branschorganisation.
Det är den personuppgiftsansvarige som entledigar ett utsett person-
uppgiftsombud. Om det på grund av entledigande inte längre finns något
anmält personuppgiftsombud, måste den personuppgiftsansvarige enligt
36 § anmäla behandlingar som påbörjas därefter.
Enligt 50 § f får regeringen eller den myndighet som regeringen
bestämmer meddela närmare föreskrifter om anmälan till tillsynsmyndig-
heten och förfarandet när anmälda uppgifter har ändrats.
Personuppgiftsombudets uppgifter
38 § Personuppgiftsombudet skall ha till uppgift att självständigt se till
att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt
och korrekt sätt och i enlighet med god sed samt påpeka eventuella
brister för honom eller henne.
Har personuppgiftsombudet anledning att misstänka att den person-
uppgiftsansvarige bryter mot de bestämmelser som gäller för
behandlingen av personuppgifter och vidtas inte rättelse så snart det kan
ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet
till tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyn-
digheten vid tveksamhet om hur de bestämmelser som gäller för
behandlingen av personuppgifter skall tillämpas.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
behandlats i avsnitt 12.12.2.4 i kommitténs betänkande.
Första stycket motsvarar artikel 18.2 första strecksatsen i den andra
strecksatsen i EG-direktivet, se bilaga 1. Personuppgiftsombudet skall se
till att den personuppgiftsansvarige behandlar personuppgifter på ett
lagligt och korrekt sätt och i enlighet med god sed. Detta innebär att
ombudet måste förvissa sig om att den personuppgiftsansvarige följer be-
stämmelserna i personuppgiftslagen och anknytande lagstiftning. Hur
pass omfattande kontrollen skall vara får avgöras efter omständigheterna
i det enskilda fallet. Ombudet bör i vart fall granska rutinerna för be-
handling av personuppgifter och de krav på kvalifikationer, lämplighet
och kunskap som den personuppgiftsansvarige ställer på den personal
som tillåts behandla sådana uppgifter.
Enligt EG-direktivet skall personuppgiftsombudet ”på ett oberoende
sätt” kunna säkra den interna tillämpningen. Det är detta som avses med
personuppgiftsombudets självständiga ställning. Den personuppgifts-
ansvarige bör alltså inte utse ett ombud som har en alltför underordnad
ställning. Ombudet kan vara en anställd hos den personuppgiftsansvarige,
men måste då ges en sådan ställning att befogenheterna som person-
uppgiftsombud kan utövas på ett självständigt sätt i förhållande till
arbetsgivaren. Ett anlitat personuppgiftsbiträde eller någon anställd hos
biträdet kan utses till personuppgiftsombud under förutsättning att den
utsedde ges förutsättningar att utöva sitt uppdrag självständigt. Däremot
kan en personuppgiftsansvarig inte utse sig själv till personuppgifts-
ombud. I personuppgiftsombudets självständiga ställning ligger vidare att
personuppgiftsombudet skall ha tillräckliga kvalifikationer och kun-
skaper för att kunna utföra sina uppgifter.
Andra stycket rör det fallet att det finns anledning att misstänka att den
personuppgiftsansvarige i något avseende inte följer bestämmelserna om
behandlingen. Om personuppgiftsombudet upptäcker brister i uppgifts-
behandlingen, bör ombudet i första hand påpeka detta för den person-
uppgiftsansvarige. Om den personuppgiftsansvarige inte därefter vidtar
rättelse så snart det kan ske, är personuppgiftsombudet skyldigt att
anmäla bristerna till tillsynsmyndigheten. Hur snart rättelse bör ske efter
ett påpekande får bero av omständigheterna i det särskilda fallet. Att det
kan ta någon tid att rätta till upptäckta brister bör i allmänhet accepteras,
särskilt om det upprättas en konkret plan för hur bristerna skall kunna
åtgärdas inom rimlig tid. Men dröjer det alltför länge innan något görs,
bör ombudet göra en anmälan till tillsynsmyndigheten.
Att ett anställt personuppgiftsombud i enlighet med paragrafen gör en
anmälan kan som regel inte få några konsekvenser för ombudet i arbets-
rättsligt hänseende. Enligt artikel 5 i ILO:s konvention (nr 158) om
uppsägning av anställningsavtal på arbetsgivarens initiativ utgör det inte
ett giltigt skäl för uppsägning ”att någon gett in klagomål eller deltagit i
ett rättsligt förfarande mot en arbetsgivare, vilket innebär påstående om
överträdelse av lag eller annan författning, eller vänt sig till behörig
myndighet”. Sverige har ratificerat den konventionen, och det har ansetts
att den artikeln är uppfylld genom 7 § lagen (1982:80) om anställ-
ningsskydd jämte rättspraxis (prop. 1982/83:124 s. 5). Arbetsdomstolen
har t.ex. uttalat att de förpliktelser som följer av anställningsavtalet inte
innebär något avgörande hinder för en arbetstagare att hos behörig
myndighet påtala missförhållanden som råder i arbetsgivarens
verksamhet (AD 1986 nr 95).
Tredje stycket rör personuppgiftsombudets övriga kontakter med till-
synsmyndigheten och motsvarar artikel 20.2 i EG-direktivet, se bilaga 1.
39 § Personuppgiftsombudet skall föra en förteckning över de be-
handlingar som den personuppgiftsansvarige genomför och som skulle
ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.
Förteckningen skall omfatta åtminstone de uppgifter som en anmälan
enligt 36 § skulle ha innehållit.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.12.2.4 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 18.2 andra streck-
satsen i andra strecksatsen i EG-direktivet, se bilaga 1.
40 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när
det finns anledning att misstänka att behandlade personuppgifter är
felaktiga eller ofullständiga.
Paragrafen överensstämmer med Datalagskommitténs förslag och har
berörts i avsnitt 12.12.2.4 i kommitténs betänkande.
Paragrafen motsvarar 8 § fjärde stycket i den nuvarande datalagen.
Obligatorisk anmälan av särskilt integritetskänsliga behandlingar
41 § Regeringen får meddela föreskrifter om att sådana automatiserade
behandlingar av personuppgifter som innebär särskilda risker för
otillbörligt intrång i den personliga integriteten skall för förhandskontroll
anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om
regeringen har meddelat sådana föreskrifter, gäller inte undantaget från
anmälningsskyldigheten enligt 37 §.
Frågan om normgivningsdelegation har berörts i avsnitt 10. Paragrafen
överensstämmer med Datalagskommitténs förslag och har berörts i
avsnitt 12.12.2.5 i kommitténs betänkande.
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir
möjligt att meddela föreskrifter även såvitt avser sådan manuell
behandling som omfattas av personuppgiftslagen.
Paragrafen har införts mot bakgrund av artikel 20.1 i EG-direktivet, se
bilaga 1.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den personuppgiftsansvarige skall till var och en som begär det
skyndsamt och på lämpligt sätt lämna upplysningar om sådana
automatiska eller andra behandlingar av personuppgifter som inte har
anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som
en anmälan enligt 36 § första stycket skulle ha omfattat. Den person-
uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda
uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En
personuppgiftsansvarig som inte är myndighet får därvid i motsvarande
fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter.
Frågan om upplysningar till allmänheten om behandlingar har behandlats
i avsnitt 12. Paragrafen överensstämmer delvis med Datalagskommitténs
förslag och har berörts i avsnitt 12.12.2.6 i kommitténs betänkande.
Paragrafen skall ha samma innebörd som artikel 21.3 första stycket i
EG-direktivet, se bilaga 1.
Frågor om sekretess har behandlats i avsnitt 11.5.2.
Tillsynsmyndighetens befogenheter
43 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av behandlingen av personupp-
gifter och säkerheten vid denna, och
c) tillträde till sådana lokaler som har anknytning till behandlingen av
personuppgifter.
44 § Om tillsynsmyndigheten inte efter begäran enligt 43 § kan få
tillräckligt underlag för att konstatera att behandlingen av person-
uppgifter är laglig, får myndigheten vid vite förbjuda den person-
uppgiftsansvarige att behandla personuppgifter på något annat sätt än
genom att lagra dem.
45 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas
eller kan komma att behandlas på ett olagligt sätt, skall myndigheten ge-
nom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.
Går det inte att få rättelse på något annat sätt eller är saken brådskande,
får myndigheten vid vite förbjuda den personuppgiftsansvarige att
fortsätta att behandla personuppgifterna på något annat sätt än genom att
lagra dem.
Om den personuppgiftsansvarige inte frivilligt följer ett beslut om
säkerhetsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyn-
digheten föreskriva vite.
46 § Innan tillsynsmyndigheten beslutar om vite enligt 44 eller 45 §,
skall den personuppgiftsansvarige ha fått tillfälle att yttra sig. Om saken
är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett
tillfälligt beslut om vite. Det tillfälliga beslutet skall omprövas, när
yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den personuppgiftsansvarige. Del-
givning enligt 12 § delgivningslagen (1970:428) får användas bara om
det finns skäl att anta att den personuppgiftsansvarige har avvikit eller på
annat sätt håller sig undan.
47 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är
belägen ansöka om att sådana personuppgifter som har behandlats på ett
olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Frågan om tillsynsmyndighetens befogenheter har behandlats i avsnitt
13. Bestämmelserna i 43–47 §§ överensstämmer i huvudsak med Data-
lagskommitténs förslag och har berörts i avsnitt 12.14.1 i kommitténs
betänkande.
Det bör betonas att möjligheten enligt 46 § att meddela ett tillfälligt
beslut om vite är avsedd att utnyttjas bara i undantagsfall när saken är
klar och så brådskande att ett yttrande från den personuppgiftsansvarige
inte kan avvaktas.
Möjligheten enligt 47 § att ansöka om utplånande av personuppgifter
bör bara användas i sådana fall där det inte genom andra åtgärder är
möjligt att förena behandlingen av uppgifterna med de regler som gäller.
Frågan om ett beslut om utplånande är oskäligt får avgöras mot bakgrund
av samtliga omständigheter i det aktuella fallet. Vid bedömningen kan
beaktas sådana faktorer som att ett utplånande för den personuppgifts-
ansvarige skulle innebära stora praktiska svårigheter eller ett svårt
ekonomiskt avbräck. Enligt 51 § andra stycket krävs det prövnings-
tillstånd vid överklagande till kammarrätten.
Skadestånd
48 § Den personuppgiftsansvarige skall ersätta den registrerade för skada
och kränkning av den personliga integriteten som en behandling av
personuppgifter i strid med denna lag vid behandling av personuppgifter
har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas,
om den personuppgiftsansvarige visar att felet inte berodde på honom
eller henne.
Frågan om skadestånd har behandlats i avsnitt 14. Paragrafen överens-
stämmer i huvudsak med Datalagskommitténs förslag, dock att kom-
mittén föreslog att skadestånd även kunde utgå vid behandling i strid
med föreskrifter som meddelats med stöd av lagen, och har även berörts i
avsnitt 12.13.2.1–3 i kommitténs betänkande.
Bestämmelserna i paragrafen är sådana specialbestämmelser om
skadestånd som tar över de allmänna skadeståndsreglerna i
skadeståndslagen (1972:207), se 1 kap. 1 § i den lagen. I den
utsträckning en ersättningsfråga inte berörs i paragrafen – t.ex. frågan om
hur ersättningen för en personskada eller sakskada skall beräknas (5 kap.
skadeståndslagen) eller frågan om ansvaret när det finns flera
skadeståndsskyldiga (6 kap. 3 § skadeståndslagen) – tillämpas de all-
männa reglerna i skadeståndslagen. I den utsträckning ett förfarande i
strid med lagen eller god sed vid behandling av personuppgifter ingår
som ett led i ett sådant brott som avses i 1 kap. 3 § skadeståndslagen, kan
däremot ideellt skadestånd för lidande respektive ersättning för
kränkning utgå enligt såväl den nyss nämnda bestämmelsen som denna
paragraf. Som Lagrådet påpekat innebär detta inte att kränkningen ersätts
med ett högre belopp enbart därför att flera bestämmelser kan vara
tillämpliga.
Av första stycket framgår att den personuppgiftsansvarige är
ersättningsskyldig gentemot den registrerade så snart behandling har
skett i strid med någon bestämmelse i lagen vid behandling av person-
uppgifter. Häri inbegrips även god sed, vilken den registeransvarige är
skyldig att följa enligt 9 § första stycket b.Vad som är god sed vid
behandling av personuppgifter får avgöras i rättstillämpningen mot
bakgrund av bl.a. de mer preciserade föreskrifter som kan utfärdas med
stöd av lagen, de branschregler på området som kan ha utarbetats av
etablerade branschorganisationer eller andra representativa
sammanslutningar och hur ansvarsfulla personuppgiftsansvariga som
regel beter sig. Skyldigheten avser ersättning för personskada, sakskada
och ren förmögenhetsskada samt kränkning av den personliga
integriteten. Det är bara skada eller kränkning som den olagliga
behandlingen har fört med sig som ersätts. Detta framgår uttryckligen av
att det sägs att behandlingen av uppgifter skall ha orsakat skada
respektive kränkning. Orsakssambandet skall vara adekvat.
Ersättningen för kränkningen får uppskattas efter skälighet mot bak-
grund av samtliga omständigheter i det aktuella fallet. Därvid kan
beaktas bl.a. sådana faktorer som om det funnits risk för otillbörlig
spridning av känsliga eller felaktiga uppgifter och om den registrerade på
grund av den felaktiga behandlingen blivit utsatt för något beslut eller
några åtgärder som kunnat innebära något negativt för honom eller
henne. Har den registrerade själv lämnat en oriktig eller ofullständig
uppgift till den personuppgiftsansvarige, kan den person-
uppgiftsansvariges behandling av denna uppgift inte anses innebära
någon sådan kränkning av den personliga integriteten som bör föranleda
ersättning. Ersättningen för kränkning bör i princip fastställas för varje
kränkt registrerad för sig.
I andra stycket finns det bestämmelser om jämkning av ersättnings-
skyldigheten. Jämkningsbestämmelsen innebär att
ersättningsskyldigheten kan helt falla bort eller sättas ned delvis. För att
ersättningsskyldighet skall finnas enligt första stycket behöver den
registrerade bara bevisa att det från den personuppgiftsansvariges sida
har förekommit en olaglig behandling av den registrerades person-
uppgifter och att denna behandling har skadat eller kränkt honom eller
henne. Därefter är det upp till den personuppgiftsansvarige att bevisa att
den olagliga behandlingen inte berodde på honom eller henne. Lyckas
den personuppgiftsansvarige med detta, får i sista hand en domstol
bedöma huruvida och i vilken utsträckning det kan vara skäligt att
ersättningsskyldigheten jämkas.
Den personuppgiftsansvarige är gentemot den registrerade i och för
sig ansvarig för all den behandling som han eller hon har ansvaret för,
även när ett personuppgiftsbiträde eller annan hjälp anlitas. Ett fel av
t.ex. ett anlitat personuppgiftsbiträde får således anses bero på den
personuppgiftsansvarige. En annan sak är att den personuppgiftsan-
svarige i allmänhet kan få ersättning av ett försumligt personupp-
giftsbiträde för ersättning som måste betalas till registrerade. Däremot
kan den personuppgiftsansvarige som regel inte med framgång kräva för-
sumliga arbetstagare på någon ersättning (4 kap. 1 § skadeståndslagen).
När det är den registrerade som har t.ex. lämnat felaktiga eller
ofullständiga uppgifter vilket lett till en olaglig behandling, kan den
olagliga behandlingen i allmänhet inte anses bero på den person-
uppgiftsansvarige. Om det är den registrerade som, t.ex. genom att lämna
felaktiga eller ofullständiga uppgifter, har föranlett en olaglig behandling,
kan det också vara skäligt att helt befria den personuppgiftsansvarige från
ersättningsskyldighet för skada och kränkning som dennes användning av
uppgifterna kan ha förorsakat den registrerade.
Som Lagrådet påpekat kan bestämmelsen i 6 kap. 1 § skadestånds-
lagen komma att tillämpas vid fall av medvållande.
En olaglig behandling som beror på felaktigheter i den utrustning som
den personuppgiftsansvarige ansvarar för får som regel anses bero på den
personuppgiftsansvarige. Bara i särpräglade fall kan den personuppgifts-
ansvarige anses oskyldig till den olagliga behandlingen, t.ex. om
uppgifter på ett helt oförutsett vis förvanskas till följd av ett blixtnedslag
eller avbrott eller felaktigheter i ett publikt datanätverk. I sådana fall av
helt oförutsedda händelser kan det vara skäligt att mildra ansvaret.
En olaglig behandling av den personuppgiftsansvarige som beror på
att han eller hon har hämtat in felaktiga eller ofullständiga uppgifter från
någon annan personuppgiftsansvarig kan inte anses bero på den person-
uppgiftsansvarige, om han eller hon inte hade någon anledning att miss-
tänka att uppgifterna var felaktiga eller ofullständiga. I vilken
utsträckning ansvaret för den personuppgiftsansvarige skall mildras i
sådana fall är således en skälighetsfråga. Har den personuppgiftsansva-
rige t.ex. hämtat in tusentals adressuppgifter från någon vanligtvis tillför-
litlig källa, exempelvis ett allmänt register såsom statens person- och
adressregister, kan det vara skäligt att mildra ansvaret. Det kan då inte
rimligen krävas att den personuppgiftsansvarige skulle ha kontrollerat
alla adresser. Om den personuppgiftsansvarige däremot har hämtat
uppgifter från en källa som framstår som otillförlitlig, kan bedömningen
bli en annan. Har en myndighet fått in uppgifter på grund av
uppgiftsskyldighet för enskilda som är föreskriven i författning, får
myndigheten emellertid som regel anses ha haft anledning att lita på
uppgifterna.
En olaglig behandling på grund av att personuppgifterna utan den
personuppgiftsansvariges instruktioner har kommit ut till utomstående,
t.ex. genom ett brottsligt intrång i ett datasystem, kan inte anses bero på
den personuppgiftsansvarige, om denne i enlighet med tillämpliga
bestämmelser har en lämplig säkerhetsnivå och intrånget har kunnat
komma till stånd genom att angriparen varit beredd att lägga ned mycket
stora resurser för att komma åt informationen. Då kan det vara skäligt att
mildra ansvaret. Har den personuppgiftsansvarige å andra sidan
försummat säkerheten, får den olagliga behandlingen anses bero på
honom eller henne.
Vid den skälighetsbedömning som skall göras i de fall där den
olagliga behandlingen bevisligen inte beror på den person-
uppgiftsansvarige bör beaktas också den registrerades behov av
skadestånd och den personuppgiftsansvariges förmåga att betala
skadestånd.
I det fallet att en viss felaktig behandling har omfattat uppgifter om
många människor, bör man dock vid skälighetsbedömningen såvitt avser
ersättningen för kränkning kunna ta hänsyn till att den samlade ersätt-
ningsskyldigheten för den personuppgiftsansvarige inte blir orimligt stor.
Straff
49 § Till böter eller fängelse i högst sex månader eller, om brottet är
grovt, till fängelse i högst två år döms den som uppsåtligen eller av
oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som
föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 §,
eller till tillsynsmyndigheten när myndigheten begär information enligt
43 §,
b) behandlar personuppgifter i strid med 13–21 §§,
c) för över personuppgifter till tredje land i strid med 33–35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt
föreskrifter meddelade med stöd av 41 §.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första
stycket döms inte till ansvar för en gärning som omfattas av vites-
föreläggandet.
Frågan om straff har behandlats i avsnitt 14. Paragrafen har i förhållande
till Datalagskommitténs förslag kompletterats med bestämmelserna i
punkt b–d. Datalagskommitténs förslag har berörts i avsnitt 12.13.2.4 i
kommitténs betänkande.
Vid bedömandet av om brottet är grovt kan beaktas sådana omstän-
digheter som att de olagligt behandlade uppgifterna avsett förhållanden
av avsevärd betydelse för den registrerade och att gärningsmannen insett
detta eller att gärningsmannen lämnat osanna uppgifter för att undkomma
påföljd eller vinna någon annan fördel eller att det brottsliga utnyttjandet
av uppgifterna annars framstår som hänsynslöst. Bara i undantagsfall
torde en gärning som begåtts av oaktsamhet kunna betraktas som ett
grovt brott.
I andra stycket, som lagts till på förslag från Lagrådet, föreskrivs att
den som överträtt ett vitesföreläggande enligt 44 eller 45 § första stycket
inte döms till ansvar för en gärning som omfattas av vitesföreläggandet.
Närmare föreskrifter
50 § Regeringen eller den myndighet som regeringen bestämmer får i
fråga om automatiserad behandling av personuppgifter meddela närmare
föreskrifter om
a) i vilka fall behandling av personuppgifter är tillåten,
b) vilka krav som ställs på den personuppgiftsansvarige vid behandling
av personuppgifter,
c) i vilka fall användning av personnummer är tillåten,
d) vad en anmälan eller ansökan till en personuppgiftsansvarig skall
innehålla,
e) vilken information som skall lämnas till registrerade och hur
informationen skall lämnas, och
f) anmälan till tillsynsmyndigheten och förfarandet när anmälda
uppgifter har ändrats.
Frågan om normgivningsdelegation har behandlats i avsnitt 10. Para-
grafen överensstämmer med Datalagskommitténs förslag och har berörts
i avsnitt 12.1.2 i kommitténs betänkande.
Av förslaget till lag om ändring i personuppgiftslagen (avsnitt 15)
framgår att paragrafen per den 1 januari 1999 ändras så att det blir
möjligt att meddela föreskrifter även såvitt avser sådan manuell
behandling som omfattas av personuppgiftslagen. Av 8 kap. 13 §
regeringsformen framgår att regeringen utan särskilt bemyndigande från
riksdagen kan meddela föreskrifter om verkställighet av lag och delegera
denna föreskriftsrätt till myndighet. I vart fall punkterna d, andra ledet av
e och f i paragrafen utgör sådana verkställighetsföreskrifter. Av
tydlighetsskäl omfattar bemyndigandet även dessa situationer, trots att
regeringen utan bemyndigande ändå hade kunnat meddela sådana
föreskrifter. Regeringen kan naturligtvis meddela
verkställighetsföreskrifter som inte tagits upp i paragrafen. Det är således
möjligt att före den 1 januari 1999 meddela verkställighetsföreskrifter
även avseende manuell behandling av personuppgifter.
Överklagande
51 § Tillsynsmyndighetens beslut enligt denna lag om annat än
föreskrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om
det överklagas.
Frågan om överklagande har behandlats i avsnitt 13. Paragrafen överens-
stämmer med Datalagskommitténs förslag och har berörts i avsnitt
12.14.2 i kommitténs betänkande.
Kravet på prövningstillstånd i andra stycket avser överklagande av
länsrättens beslut enligt såväl första stycket som 47 §.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 24 oktober 1998, då datalagen (1973:289)
skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga
om överklagande av beslut som har meddelats före den 24 oktober
1998.
2. I fråga om behandling av personuppgifter som påbörjats före ikraft-
trädandet eller behandling som utförs för ett visst bestämt ändamål om
behandling för ändamålet påbörjats före ikraftträdandet skall t. o. m.
den 30 september 2001 den äldre lagen tillämpas i stället för den nya.
Detta gäller även bestämmelserna i den äldre lagen om överklagande.
3. Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja
tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behand-
ling av personuppgifter som påbörjats före ikraftträdandet eller
manuell behandling som utförs för ett visst bestämt ändamål om
manuell behandling för ändamålet påbörjats före ikraftträdandet.
4. I fråga om personuppgifter som vid ikraftträdandet lagras för historisk
forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen
börja tillämpas först när uppgifterna behandlas på något annat sätt.
Innan dess skall motsvarande bestämmelser i den äldre lagen tillämpas.
De angivna bestämmelserna i den nya lagen skall dock inte till följd av
vad som nu sagts börja tillämpas tidigare än vad som följer av 2 eller 3.
5. Anmälan enligt 36 § i den nya lagen får göras innan den nya lagen har
trätt i kraft för den aktuella behandlingen.
6. Ett samtycke som har lämnats innan den nya lagen har trätt i kraft för
den aktuella behandlingen skall gälla även efter ikraftträdandet om
samtycket uppfyller kraven i den nya lagen.
7. Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit
in innan den nya lagen trätt i kraft för den aktuella behandlingen men
har utdraget inte expedierats före ikraftträdandet skall framställningen
anses som en ansökan enligt 26 § i den nya lagen.
8. Den nya lagens bestämmelser om skadestånd skall bara tillämpas om
den omständighet som yrkandet hänför sig till har inträffat efter det att
den nya lagen har trätt i kraft för den aktuella behandlingen. I annat fall
tillämpas de äldre bestämmelserna.
Frågan om ikraftträdande och övergångsbestämmelser har behandlats i
avsnitt 15. Övergångsbestämmelserna överensstämmer i huvudsak med
Datalagskommitténs förslag, dock att kommittén föreslog att lagen skulle
träda i kraft den 1 januari 1999. Kommittén har berört förslagen i avsnitt
12.15 i sitt betänkande.
Kravet enligt punkt 2 och 3 på att behandlingen påbörjats vid ikraft-
trädandet har behandlats i avsnitt 15 och motsvarar artikel 32.2 i EG-
direktivet, se bilaga 1.
Punkt 4 skall ha samma innebörd som artikel 32.3 i direktivet.
18.2 Förslaget till lag om ändring i sekretesslagen
(1980:100)
7 kap. 16 §
Ändringen i första stycket innebär att sekretessbestämmelsen samordnas
med bestämmelserna i personuppgiftslagen.
Andra stycket upphävs. I personuppgiftslagen finns det i 33–35 §§
bestämmelser om förutsättningarna för överföring av personuppgifter till
tredje land som gäller även för myndigheter. Redan första stycket i denna
paragraf medför att sekretess gäller om ett utlämnande av personupp-
gifter till tredje land skulle stå i strid med de nämnda bestämmelserna i
personuppgiftslagen. Andra stycket i paragrafen behövs således inte
längre.
Ändringarna överensstämmer helt med Datalagskommitténs förslag.
9 kap. 6 §
I första stycket finns det två ändringar i sak. Ändringarna
överensstämmer helt med Datalagskommitténs förslag.
Den första ändringen – varigenom ordet lag byts ut mot orden lag eller
annan författning – innebär att det även i förordning kan anges vilken
tillsyn som ankommer på Datainspektionen.
Den andra ändringen innebär att bestämmelsen om överföring av nu
aktuell sekretess till regeringen har tagits bort. Anledningen till detta är
att ärenden som avses i denna paragraf enligt personuppgiftslagen inte i
något fall skall överklagas till regeringen, se avsnitt 13. Då behövs inte
längre någon bestämmelse om överföring av sekretess till regeringen. För
uppgifter i ärenden som avgjorts av Datainspektionen genom beslut före
ikraftträdandet och som överklagats till regeringen enligt den gamla ord-
ningen föreslås en särskild övergångsbestämmelse om att de äldre
reglerna fortfarande skall tillämpas. Bestämmelsen om överföring av
sekretess till Justitiekanslern har däremot behållits trots att Justitie-
kanslern inte får överklaga Datainspektionens beslut enligt person-
uppgiftslagen, eftersom Justitiekanslern enligt annan lagstiftning kan
överklaga Datainspektionens beslut i ärenden som avses i denna paragraf,
se t.ex. 23 § kreditupplysningslagen (1973:1173).
Det bör nämnas att bestämmelser som motsvarar de bestämmelser
som finns i denna paragraf, såvitt avser personuppgiftsskyddet, skall
finnas enligt artikel 28.7 i EG-direktivet, se bilaga 1. Paragrafen bör
således i fortsättningen vid behov tolkas EG-konformt.
9 kap. 7 §
Paragrafen har justerats med anledning av att personuppgiftslagen
ersätter den nuvarande datalagen.
14 kap. 3 §
Andra stycket har justerats med anledning av att personuppgiftslagen
ersätter den nuvarande datalagen.
15 kap. 11 §
Punkt 8 i andra stycket har justerats med anledning av att person-
uppgiftslagen ersätter den nuvarande datalagen.
15 kap. 14 §
Bestämmelsen har utan ändring i sak flyttats över från 14 § i den
nuvarande datalagen.
Ikraftträdande- och övergångsbestämmelser
Lagen träder i kraft samtidigt som personuppgiftslagen. Enligt andra
punkten, som lagts till efter det att lagrådsremissen behandlats i
Lagrådet, skall den äldre lydelsen av vissa paragrafer gälla i fråga om
behandling för vilken datalagen (1973:289) är tillämplig fram till den 30
september 2001
18.3 Förslaget till lag om ändring i brottsbalken
4 kap. 9 c och 10 §§
Bestämmelserna om straff för dataintrång i nuvarande 21 § i den
nuvarande datalagen har utan ändring i sak förts över till 4 kap. 9 c § och
10 § brottsbalken.
Straffbestämmelserna i 21 § i den nuvarande datalagen är i dag
subsidiära i förhållande till straffbestämmelserna i lagen (1990:409) om
skydd för företagshemligheter. Enligt den lagen straffas företagsspioneri
och olovlig befattning med företagshemlighet med böter eller fängelse i
högst två år eller, om brottet är grovt, fängelse i högst sex respektive fyra
år. Är gärningen belagd med strängare straff enligt brottsbalken, döms
dock inte till ansvar för dessa brott. För dataintrång och för normalgraden
av företagsspioneri och olovlig befattning med företagshemlighet gäller
samma straffskala. I och med att bestämmelsen om straff för dataintrång
förs över till brottsbalken finns det inte anledning att ha någon annan
reglering om konkurrensen än den som gäller förhållandet mellan övriga
brottsbalksbrott och straffbestämmelserna om företagsspioneri och
olovlig befattning med företagshemlighet.
Förhållandet mellan bestämmelsen om straff för dataintrång i 4 kap.
och bestämmelserna i samma kapitel om straff för brytande av post- eller
telehemlighet och intrång i förvar klargörs uttryckligen. Förhållandet
mellan brottet dataintrång och övriga brottsbalksbrott får avgöras enligt
sedvanliga principer för bedömningen av konkurrens mellan över-
lappande straffstadganden i brottsbalken.
18.4 Förslaget till lag om ändring i regeringsformen
8 kap. 7 §
Ändringen i första stycket punkt 8 innebär att regeringen och i före-
kommande fall, efter s.k. subdelegation, den myndighet som regeringen
bestämmer kan ges behörighet att meddela föreskrifter på hela det
område som omfattas av personuppgiftslagen, dvs. avseende även skydd
för personlig integritet vid viss icke automatiserad behandling av person-
uppgifter. Ändringen, som överensstämmer med Datalagskommitténs
förslag, har behandlats i avsnitt 10. Frågan om dagen för ikraftträdandet
av ändringen – den 1 januari 1999 – har behandlats i avsnitt 15.
18.5 Förslaget till lag om ändring i personuppgiftslagen
(0000:000)
Ändringarna i 20, 21, 35, 41 och 50 §§ innebär att regeringen eller den
myndighet som regeringen bestämmer från och med ikraftträdandet den 1
januari 1999 av den ändring i regeringsformen som berörts i närmast
föregående avsnitt bemyndigas att meddela föreskrifter även såvitt avser
sådan manuell behandling av personuppgifter som omfattas av person-
uppgiftslagen. Frågan om normgivningsdelegation har behandlats i
avsnitt 10 och frågan om ikraftträdande har behandlats i avsnitt 15.
EG-direktivet om personuppgifter
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG
av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD
HAR ANTAGIT DETTA DIREKTIV
med beaktande av Fördraget om upprättandet av Europeiska gemen-
skapen, särskilt artikel 100a i detta,
med beaktande av kommissionens förslag(1),
med beaktande av Ekonomiska och sociala kommitténs yttrande(2),
i enlighet med det förfarande som anges i fördragets artikel 189b(3), och
med beaktande av följande:
1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta
ändrats genom Fördraget om Europeiska unionen, består i att för-
verkliga en allt fastare sammanslutning av de europeiska folken, i
att upprätta allt närmare relationer mellan de stater som förenas i
gemenskapen, i att säkerställa ekonomiska och sociala framsteg i
sina länder genom gemensamma åtgärder för att undanröja de
barriärer som delar Europa, i att fortgående förbättra levnadsvill-
koren för dess folk, i att bevara och stärka fred och frihet och i att
främja demokratin på grundval av de grundläggande rättigheter
som erkänns i medlemsstaternas grundlagar och lagar liksom i den
europeiska konventionen om skydd för de mä
Hem
Sök i Rixlex
Sökresultat
Nästa
