35
6.2 Dataskyddslagens tillämpning vid gränsöverskridande behandling
Regeringens förslag: Dataskyddslagen ska gälla för personuppgifts-ansvariga och personuppgiftsbiträden som är etablerade i Sverige, i fråga om behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid verksamhetsställen här i landet. Lagen ska även gälla för personuppgiftsansvariga som är etablerade på en annan plats där svensk rätt gäller enligt folkrätten. Lagen ska också gälla för personuppgiftsansvariga och personuppgiftsbiträden som endast är etablerade i tredje land, om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i Sverige eller över-vakning av registrerades beteende i Sverige.
Dataskyddslagens reglering om barns samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster ska gälla alla barn som bor i Sverige, oavsett var de personuppgifts-ansvariga eller personuppgiftsbiträdena är etablerade.
Utredningen föreslår inte någon sådan bestämmelse.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget i promemorian eller har inga synpunkter på det. Umeå universitet är inte övertygat om att etableringslandsprincipen leder till färre problem och anser att frågan bör utredas grundligt. Sveriges advokatsamfund avstyrker förslaget i den del som innebär att effektlandsprincipen ska gälla som utgångspunkt för dataskyddslagens territoriella tillämpningsområde. Förvaltningsrätten i Stockholm uppfattar förslaget som att vissa situationer hamnar utanför tillämpnings-området och efterlyser mer problematiserande överväganden kring det.
Lunds universitet invänder mot uttrycket barn som bor i Sverige och förordar i stället uttrycket varaktigt vistas. Även Uppsala universitet invänder mot uttrycket barn som bor i Sverige. Universitet har också synpunkter på formuleringen på en plats där svensk rätt gäller enligt folkrätten och förordar som enligt folkrätten lyder under svensk rätt eller som enligt folkrätten ska följa svensk rätt.
Skälen för regeringens förslag
Dataskyddslagens territoriella tillämpningsområde bör regleras
Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Det är t.ex. inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad genom ett verksamhetsställe i landet. På motsvarande sätt kan svenska företag och organisationer behandla personuppgifter om individer i andra länder utan att ha något verksamhetsställe där. I dessa situationer uppkommer fråga om vilket lands lag som ska tillämpas – den lag som gäller i den registrerades land (effektlandsprincipen) eller den lag som gäller i det land där den person-uppgiftsansvarige är etablerad (etableringslandsprincipen). Dataskydds-förordningen innehåller inte några regler om vilken nationell rätt som ska gälla vid gränsöverskridande personuppgiftsbehandling.
36
Det är ur ett tillämpningsperspektiv viktigt att det står klart i vilka fall dataskyddslagen gäller vid gränsöverskridande behandling av person-uppgifter. Utan reglering av det territoriella tillämpningsområdet kommer det att råda osäkerhet i denna fråga. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämp-ningsområdet i dataskyddslagen.
En reglering som följer förordningens principer
Etableringslandsprincipen kan sägas vara utgångspunkten i dataskydds-förordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3). Ett val av etableringslandsprincipen som huvudregel för dataskyddslagens tillämpningsområde skulle således harmoniera väl med regleringen i förordningen. Till skillnad från Umeå universitet bedömer regeringen inte att en sådan ordning skulle riskera att leda till otillbörlig konkurrenspåverkan. Det kan också konstateras att person-uppgiftslagens reglering om tillämpningsområdet utgår från etablerings-landsprincipen (4 § PUL). Ett val av denna princip skulle således även innebära en kontinuitet i förhållande till den nuvarande regleringen.
Mot denna bakgrund bör etableringslandsprincipen gälla som utgångs-punkt för dataskyddslagens territoriella tillämpningsområde. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt bör lagen, enligt huvudregeln, inte gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige.
I den svenska språkversionen av dataskyddsförordningen anges i artikel 3.1 att förordningen ska tillämpas på behandling av person-uppgifter inom ramen för verksamhet som bedrivs av personuppgifts-ansvariga och personuppgiftsbiträden som är etablerade i unionen eller på en plats där en medlemsstats nationella rätt gäller enligt folkrätten, oavsett om behandlingen utförs i unionen eller inte. Vid en jämförelse med andra språkversioner framgår dock att avsikten är att förordningen endast ska tillämpas vid behandling som sker inom ramen för den verksamhet som bedrivs på verksamhetsställen i unionen. Om en personuppgiftsansvarig är etablerad såväl inom som utanför unionen, ska förordningen således inte tillämpas på den behandling som sker endast inom ramen för den verksamhet som bedrivs vid verksamhetsstället i tredjeland. Justitiedepartementet har mot denna bakgrund gett in en begäran om korrigering av den svenska lydelsen av artikel 3.1 (Ju2016/00482/L6).
På motsvarande sätt bör lagen vara tillämplig endast i fråga om behandling som utförs inom ramen för den verksamhet som bedrivs vid ett verksamhetsställe i Sverige. Den bör således inte gälla för behandling som utförs endast inom ramen för verksamhet som den personuppgifts-ansvarige bedriver vid ett verksamhetsställe i ett annat EU-land, även om den personuppgiftsansvarige också har ett verksamhetsställe i Sverige.
Förvaltningsrätten i Stockholm förstår förslaget på så sätt att både den behandling av personuppgifter som utförs av personuppgiftsansvariga med etablering i Sverige och verksamhetsställe i en annan medlemsstat och den behandling som utförs av de som har etablering i en annan medlemsstat och verksamhetsställe i Sverige faller utanför lagens
37 tillämpningsområde. Förvaltningsrättens synpunkter tycks bygga på
upp-fattningen att en personuppgiftsansvarig endast kan vara etablerad i ett land samt att en personuppgiftsansvarig kan ha ett verksamhetsställe i ett land utan att vara etablerad där. Regeringen finner mot den bakgrunden anledning att understryka att en personuppgiftsansvarig kan ha verksam-hetsställen, och därmed vara etablerad, i flera stater. En person-uppgiftsansvarig som har ett verksamhetsställe i Sverige anses således etablerad här. På motsvarande sätt kan en personuppgiftsansvarig inte anses etablerad i Sverige utan att ha ett verksamhetsställe här. Förslagets innebörd är att etablering i Sverige inte är en tillräcklig förutsättning för att lagen ska gälla. Lagen är nämligen tillämplig bara i fråga om behand-ling som utförs inom ramen för den verksamhet som bedrivs vid verk-samhetsstället i Sverige.
Dataskyddsförordningen är enligt artikel 3.3 tillämplig på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten. Som exempel nämns i skäl 25 en medlemsstats diplomatiska beskickning eller konsulat. På motsvarande sätt bör data-skyddslagen vara tillämplig vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men som är etablerade på en plats där svensk rätt gäller enligt folkrätten, t.ex.
vid svenska utlandsmyndigheter. Uppsala universitet invänder mot den föreslagna formuleringen och anser att ordet plats är alltför likt ordet ort, som avser en geografisk plats. Regeringen anser dock att den ordalydelse som används i förordningen också bör användas i lagen, för att det ska vara tydligt att innebörden är densamma.
Dataskyddsförordningen är i vissa fall tillämplig även för person-uppgiftsansvariga och personuppgiftsbiträden som inte alls är etablerade inom EU. Enligt artikel 3.2 är förordningen tillämplig, trots att etablering inom unionen saknas, om behandlingen avser registrerade i unionen och har anknytning till antingen utbjudande av varor eller tjänster till registrerade i unionen eller övervakning av registrerades beteende i unionen. Enligt dataskyddsförordningen gäller således i dessa fall effekt-landsprincipen. Eftersom dataskyddsförordningen måste kompletteras av nationell rätt, t.ex. i fråga om rättsmedel, kommer frågan att uppstå om vilken nationell lag som ska gälla. Det framstår i en sådan situation som lämpligast att den nationella regleringen utgår från samma princip som förordningen när det gäller personuppgiftsansvariga och personuppgifts-biträden som inte är etablerade inom EU. Detta innebär att dataskydds-lagen i sådana fall bör gälla vid behandling av personuppgifter som avser registrerade som befinner sig i Sverige, om behandlingen har anknytning till antingen utbjudande av varor eller tjänster till registrerade i Sverige eller övervakning av registrerades beteende i Sverige. Detta innebär i praktiken att dataskyddslagen kommer att gälla i de situationer då dataskyddsförordningen är tillämplig i fråga om behandling som avser registrerade i Sverige och som utförs av personuppgiftsansvariga som endast är etablerade i tredjeland.
Sveriges advokatsamfund förordar att etableringsprincipen ska gälla även i fråga om behandling som utförs av en personuppgiftsansvarig som inte är etablerad i unionen och som omfattas av dataskyddsförordningen enligt artikel 3.2. Advokatsamfundet påpekar att frågan om den
38
riella räckvidden hos dataskyddsdirektivet inom den närmaste tiden kommer att prövas av EU-domstolen och att prövningen kan resultera i att EU-domstolen konstaterar att en utsträckning av tillämpningsområdet utanför unionen kommer i konflikt med folkrätten (mål nr C-136/17).
Regeringen kan i det sammanhanget konstatera att dataskyddslagen kompletterar dataskyddsförordningen och kan alltså inte tillämpas själv-ständigt. Om dataskyddsförordningen inte skulle vara tillämplig i de situationer som avses i artikel 3.2 kommer inte heller en tillämpning av dataskyddslagen att kunna aktualiseras.
Samma åldersgräns för samtycke bör gälla för alla barn som bor i Sverige
Regeringen föreslår i avsnitt 9 att barn som har fyllt 13 år själva ska kunna lämna samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster. Bestämmelsen utgör ett undantag från den 16-årsgräns som regleras i artikel 8 i dataskyddsförordningen. Denna bestämmelses tillämpningsområde bör inte följa etableringslandsprin-cipen, eftersom det skulle kunna leda till olika åldersgränser för barn i Sverige beroende på vilken åldersgräns som valts i tjänsteleverantörens etableringsland. Det skulle också kunna leda till otillbörliga lättnader för företag och organisationer som är etablerade i Sverige och som riktar sig till barn i andra länder. Dessutom vore det olämpligt av Sverige att införa en sänkt åldersgräns som skulle kunna åberopas vid personuppgifts-behandling avseende barn i andra medlemsstater, där lagstiftaren gjort en annan bedömning av vilken åldersgräns som bör gälla.
Mot denna bakgrund bör bestämmelsen om barns samtycke gälla vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller deras biträden är etablerade. Detta hindrar inte det fria flödet av personuppgifter, eftersom den sänkta åldersgränsen utgör en lättnad för de personuppgiftsansvariga i för-hållande till deras skyldigheter enligt förordningen.
Lunds universitet och Uppsala universitet anser att uttrycket bor i Sverige är alltför vagt. Regeringen anser dock att det i detta sammanhang är angeläget att använda ett uttryck som var och en förstår innebörden av, inte minst de barn som berörs av bestämmelsen. Begreppet bor är av det skälet att föredra framför varaktigt vistas eller hemvist. Som framgår av promemorian ska ett barn inte anses bo i Sverige om det endast är på genomresa eller besök i landet. Detta torde också överensstämma med hur begreppet bor används i vanligt språkbruk. Det ska däremot inte krävas att barnet är folkbokfört i landet, att det redan har vistats i Sverige under en viss tidsperiod eller att det har beviljats uppehållstillstånd här.
Även asylsökande barn i Sverige omfattas således av bestämmelsen.
39