Prop. 2017/18:105
52
svensk lag, t.ex. i fråga om förpliktelser, myndighetsutövning och upp-gifter av allmänt intresse som följer av direkt tillämpliga EU-förord-ningar eller som meddelas med stöd av sådana förordEU-förord-ningar.
Den svenska arbetsmarknadsmodellen innebär att arbetsmarknadens parter i stor utsträckning reglerar arbets- och anställningsvillkor genom kollektivavtal. Kollektivavtalen innehåller en rad bestämmelser som arbetsmarknadens parter och medlemmarna i de avtalsslutande organisa-tionerna är skyldiga att följa, t.ex. om föräldratillägg, semesterlön, över-tidsersättning och ersättning för läkarbesök och läkemedel. Överträdelser av bestämmelserna kan föranleda skadeståndsansvar. Kollektivavtalen har även betydelse för tredje man eftersom de ska tillämpas på samma sätt i förhållande till alla arbetstagare och således även i förhållande till oorganiserade arbetstagare och arbetstagare som är medlemmar i en annan arbetstagarorganisation än den som avtalet slutits med.
Reglering i kollektivavtal har i Europadomstolens praxis ansetts i sig förenlig med kravet enligt Europakonventionen att åtgärder med rättig-hetsbegränsande effekter ska ha stöd i lag (jfr Europadomstolens dom i målet Evaldsson mot Sverige, nr 75252/01, dom den 13 februari 2007).
Denna praxis talar för att samma princip bör gälla vid tillämpningen av EU-lagstiftning som rör fri- och rättigheter, såsom dataskyddsförord-ningen. Eftersom kollektivavtal utgör en del av den svenska rätts-ordningen bör således grunden för behandlingen av personuppgifter kunna anses vara fastställd i enlighet med svensk rätt om den följer av kollektivavtal. Regeringen delar mot den bakgrunden, i likhet med bl.a.
Arbetsgivarverket och Landsorganisationen i Sverige, utredningens bedömning.
Med anledning av Srf konsulternas förbunds synpunkter vill regeringen betona att för att ett kollektivavtal ska kunna läggas till grund för behandling av personuppgifter så måste det vara tillgängligt för den registrerade. I annat fall är det grundläggande legalitetskravet i data-skyddsförordningen inte uppfyllt.
Sammanfattningsvis konstaterar regeringen att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser.
Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.
8.3 Behandling för att uppfylla en rättslig förpliktelse
Regeringens förslag: Personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Nästan alla remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Datainspektionen anser att det i
53 Prop. 2017/18:105 melsen ska anges att kraven i artikel 6.3 måste följas. Några
remiss-instanser, bl.a. Skatteverket och Collectum, efterfrågar ett tydliggörande kring hur förordningens bestämmelse om att syftet med behandlingen ska fastställas i den rättsliga grunden ska tolkas och tillämpas i praktiken.
Skälen för regeringens förslag Begreppet rättslig förpliktelse
Bestämmelsen i artikel 6.1 c i dataskyddsförordningen överensstämmer i sak med artikel 7 c i dataskyddsdirektivet. Enligt båda bestämmelserna får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Enligt regeringens bedömning bör utgångspunkten vara att begreppet rättslig förpliktelse i de båda rättsakterna ska tolkas och tillämpas på samma sätt. Vägledning bör därför kunna hämtas från praxis som utveck-lats i anslutning till dataskyddsdirektivet och personuppgiftslagen.
I första hand torde offentligrättsliga förpliktelser omfattas av begreppet rättslig förpliktelse. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, t.ex. inom arbetsrätten. Rent språkligt omfattar begreppet rättslig för-pliktelse även sådana skyldigheter som har lagts fast i ett avtal. För-pliktelser som följer av avtal där den registrerade själv är part utgör emellertid en separat rättslig grund för personuppgiftsbehandling enligt både dataskyddsdirektivet och dataskyddsförordningen, nämligen led b i respektive artikel. Detta talar för att de rättsliga förpliktelser som avses i led c är av ett annat slag, även om förpliktelser som följer av vissa lagreglerade avtal, t.ex. försäkringsavtal av betydelse för andra än parterna eller gynnande tredjemansavtal, skulle kunna omfattas av bestämmelsen.
Rättsliga förpliktelser har stöd i rättsordningen
Som nämns i avsnitt 8.2 följer det av grundlag att den offentliga makten utövas under lagarna. Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. För-pliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas inte av artikel 6.1 b, eftersom den registrerade inte själv är part.
Även domstolar och förvaltningsmyndigheter kan, vid sidan av sina uppgifter och uppdrag, sägas ha rättsliga förpliktelser. Domstolar och förvaltningsmyndigheter har t.ex. när det gäller personaladministration författningsreglerade förpliktelser som i sig kräver personuppgifts-behandling. Vidare kan en myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, t.ex. om myndigheten ges i uppdrag att föra ett visst register. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e
Prop. 2017/18:105
54
i dataskyddsförordningen, dvs. på grundval av att uppdraget avser en uppgift av allmänt intresse, se avsnitt 8.4.
Syftet med behandlingen ska framgå av förpliktelsen
Enligt artikel 6.3 andra stycket första meningen i dataskyddsförordningen ska syftet med behandlingen, då denna grundar sig på en rättslig förpliktelse, fastställas i den rättsliga grunden. Några remissinstanser, bl.a. Skatteverket och Collectum, efterfrågar ett tydliggörande av hur bestämmelsen ska tolkas och tillämpas i praktiken. Kravet torde innebära att en förpliktelse inte kan läggas till grund för behandling av person-uppgifter om syftet med behandlingen inte framgår. Det ska alltså vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska ske. Detta kan exempelvis ske genom en författning som anger att en näringsidkare i en viss situation är skyldig att lämna uppgifter till en myndighet eller en domstol.
Behov av förtydligande i nationell rätt
Regeringen gör bedömningen att det i och för sig inte behövs någon ytterligare nationell reglering på generell nivå för att sådan behandling av personuppgifter som är nödvändig för att uppfylla en rättslig förpliktelse ska kunna ske med stöd av den rättsliga grunden i artikel 6.1 c i data-skyddsförordningen. Detta gäller oavsett om den personuppgiftsansva-rige är en myndighet eller ett privaträttsligt organ. Regeringen anser dock, i likhet med utredningen, att det finns anledning att ta in en be-stämmelse i dataskyddslagen som tydliggör att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Detta är enligt skäl 8 till dataskyddsförordningen förenligt med unionsrätten, även om åtgärden kan sägas utgöra ett införlivande av en direkt tillämplig förord-ningsbestämmelse.
Datainspektionen anser att det i bestämmelsen ska anges att kraven i artikel 6.3 andra stycket i dataskyddsförordningen måste följas och anför att det måste vara tydligt för den enskilde tillämparen att behandlingen av personuppgifter i varje enskilt fall ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Som regeringen utvecklar i avsnitt 8.2 måste dock kravet i artikel 6.3 andra stycket sista meningen på att unionsrätten eller medlemsstatens nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas i första hand anses riktat till lagstiftaren och andra som har befogenhet att fastställa rättsliga förpliktelser och inte till personuppgiftsansvariga eller personuppgifts-biträden. Det finns därför inte skäl att föra in en hänvisning till dessa krav i dataskyddslagen.
55 Prop. 2017/18:105