Prop. 2017/18:105
36
dock, som Säkerhetspolisen anför, en risk för att det skulle innebära tillämpningssvårigheter, eftersom andra begrepp används i svensk rätt rörande samma sak. Som exempel kan nämnas att begreppet rikets säkerhet används i säkerhetsskyddslagen (1996:627). Det begreppet har dock i svensk rätt successivt ersatts av uttrycket Sveriges säkerhet, bl.a. i 19 kap. brottsbalken. I regeringens lagrådsremiss, Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, föreslås att uttrycket Sveriges säkerhet ska ersätta rikets säkerhet även i säkerhets-skyddslagen.
Säkerhetspolisen och Försvarets radioanstalt föreslår i sina remissvar över betänkandet att det av dataskyddslagen bör framgå att artiklarna 33 och 34 i dataskyddsförordningen inte ska gälla personuppgiftsincidenter som ska rapporteras enligt 10 a § säkerhetsskyddsförordningen.
Regeringen anser dock inte att det är lämpligt att i lag hänvisa till en förordning. Undantaget bör i stället ange att artiklarna 33 och 34 inte ska tillämpas i fråga om incidenter som ska rapporteras enligt säkerhets-skyddslagen eller föreskrifter som har meddelats i anslutning till den lagen.
6.2 Dataskyddslagens tillämpning vid gränsöverskridande behandling
Regeringens förslag: Dataskyddslagen ska gälla vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas och personuppgiftsbiträdens verksam-hetsställen i Sverige. Lagen ska även gälla för personuppgifts-ansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten. Lagen ska också gälla för personuppgifts-ansvariga och personuppgiftsbiträden som endast är etablerade i tredje land, om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i Sverige eller övervakning av registrerades beteende i Sverige.
Dataskyddslagens reglering om barns samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster ska gälla alla barn som bor i Sverige, oavsett var de personuppgifts-ansvariga eller personuppgiftsbiträdena är etablerade.
Utredningen föreslår inte någon sådan bestämmelse.
Promemorians förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker förslaget i promemorian eller har inga synpunkter på det. Umeå universitet är inte övertygat om att etableringslandsprincipen leder till färre problem och anser att frågan bör utredas grundligt. Sveriges advokatsamfund avstyrker förslaget i den del som innebär att effektlandsprincipen ska gälla som utgångspunkt för dataskyddslagens territoriella tillämpningsområde. Förvaltningsrätten i Stockholm uppfattar förslaget som att vissa situationer hamnar utanför tillämpnings-området och efterlyser mer problematiserande överväganden kring det.
Lunds universitet invänder mot uttrycket barn som bor i Sverige och
37 Prop. 2017/18:105 förordar i stället uttrycket varaktigt vistas. Även Uppsala universitet
invänder mot uttrycket barn som bor i Sverige. Universitet har också synpunkter på formuleringen på en plats där svensk rätt gäller enligt folkrätten och förordar som enligt folkrätten lyder under svensk rätt eller som enligt folkrätten ska följa svensk rätt.
Skälen för regeringens förslag
Dataskyddslagens territoriella tillämpningsområde bör regleras
Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Det är t.ex. inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad genom ett verksamhetsställe i landet. På motsvarande sätt kan svenska företag och organisationer behandla personuppgifter om individer i andra länder utan att ha något verksamhetsställe där. I dessa situationer uppkommer fråga om vilket lands lag som ska tillämpas – den lag som gäller i den registrerades land (effektlandsprincipen) eller den lag som gäller i det land där den person-uppgiftsansvarige är etablerad (etableringslandsprincipen). Dataskydds-förordningen innehåller inte några regler om vilken nationell rätt som ska gälla vid gränsöverskridande personuppgiftsbehandling.
Det är ur ett tillämpningsperspektiv viktigt att det står klart i vilka fall dataskyddslagen gäller vid gränsöverskridande behandling av person-uppgifter. Utan reglering av det territoriella tillämpningsområdet kommer det att råda osäkerhet i denna fråga. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämp-ningsområdet i dataskyddslagen.
En reglering som följer förordningens principer
Etableringslandsprincipen kan sägas vara utgångspunkten i dataskydds-förordningens reglering om det territoriella tillämpningsområdet (arti-kel 3.1 och 3.3). Ett val av etableringslandsprincipen som huvudregel för dataskyddslagens tillämpningsområde skulle således harmoniera väl med regleringen i förordningen. Till skillnad från Umeå universitet bedömer regeringen inte att en sådan ordning skulle riskera att leda till otillbörlig konkurrenspåverkan. Det kan också konstateras att personuppgiftslagens reglering om tillämpningsområdet utgår från etableringslandsprincipen (4 § PUL). Ett val av denna princip skulle således även innebära en kontinuitet i förhållande till den nuvarande regleringen. Det kan också noteras att det vid möten i kommissionens expertgrupp har framkommit att kommissionen förordar etableringslandsprincipen samt att flertalet medlemsstater avser att välja denna princip som utgångspunkt för sin nationella kompletteringslagstiftning, se Kompletterande promemoria till betänkandet Ny dataskyddslag (SOU 2017:39), Ju2017/04264/L6.
Mot denna bakgrund bör etableringslandsprincipen gälla som utgångs-punkt för dataskyddslagens territoriella tillämpningsområde. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt bör lagen, enligt huvudregeln, inte gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige.
Prop. 2017/18:105
38
I den svenska språkversionen av dataskyddsförordningen anges i artikel 3.1 att förordningen ska tillämpas på behandling av person-uppgifter inom ramen för verksamhet som bedrivs av personuppgifts-ansvariga och personuppgiftsbiträden som är etablerade i unionen eller på en plats där en medlemsstats nationella rätt gäller enligt folkrätten, oavsett om behandlingen utförs i unionen eller inte. Vid en jämförelse med andra språkversioner framgår dock att avsikten är att förordningen endast ska tillämpas vid behandling som sker inom ramen för den verksamhet som bedrivs på verksamhetsställen i unionen. Om en personuppgiftsansvarig är etablerad såväl inom som utanför unionen, ska förordningen således inte tillämpas på den behandling som sker endast inom ramen för den verksamhet som bedrivs vid verksamhetsstället i tredjeland. Justitiedepartementet har mot denna bakgrund gett in en begäran om korrigering av den svenska lydelsen av artikel 3.1 (Ju2016/00482/L6).
På motsvarande sätt bör lagen vara tillämplig endast i fråga om behandling som utförs inom ramen för den verksamhet som bedrivs vid ett verksamhetsställe i Sverige. Den bör således inte gälla för behandling som utförs endast inom ramen för verksamhet som den personuppgifts-ansvarige bedriver vid ett verksamhetsställe i ett annat EU-land, även om den personuppgiftsansvarige också har ett verksamhetsställe i Sverige.
Förvaltningsrätten i Stockholm förstår förslaget på så sätt att både den behandling av personuppgifter som utförs av personuppgiftsansvariga med etablering i Sverige och verksamhetsställe i en annan medlemsstat och den behandling som utförs av de som har etablering i en annan medlemsstat och verksamhetsställe i Sverige faller utanför lagens tillämpningsområde. Förvaltningsrättens synpunkter tycks bygga på upp-fattningen att en personuppgiftsansvarig endast kan vara etablerad i ett land samt att en personuppgiftsansvarig kan ha ett verksamhetsställe i ett land utan att vara etablerad där. Regeringen finner mot den bakgrunden anledning att understryka att en personuppgiftsansvarig kan ha verksam-hetsställen, och därmed vara etablerad i dataskyddsförordningens mening, i flera stater. En personuppgiftsansvarig som har ett verksam-hetsställe i Sverige anses således etablerad här. På motsvarande sätt kan en personuppgiftsansvarig inte anses etablerad i Sverige utan att ha ett verksamhetsställe här. Förslagets innebörd är att etablering i Sverige inte är en tillräcklig förutsättning för att lagen ska gälla. Lagen ska nämligen vara tillämplig bara i fråga om behandling som utförs inom ramen för den verksamhet som bedrivs vid verksamhetsstället i Sverige. Detta bör förtydligas i enlighet med Lagrådets förslag.
Dataskyddsförordningen är enligt artikel 3.3 tillämplig på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten. Som exempel nämns i skäl 25 en medlemsstats diplomatiska beskickning eller konsulat. På motsvarande sätt bör data-skyddslagen vara tillämplig vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men som är etablerade på en plats där svensk rätt gäller enligt folkrätten, t.ex.
vid svenska utlandsmyndigheter. Uppsala universitet invänder mot den föreslagna formuleringen och anser att ordet plats är alltför likt ordet ort, som avser en geografisk plats. Regeringen anser dock att den ordalydelse
39 Prop. 2017/18:105 som används i förordningen också bör användas i lagen, för att det ska
vara tydligt att innebörden är densamma.
Dataskyddsförordningen är i vissa fall tillämplig även för person-uppgiftsansvariga och personuppgiftsbiträden som inte alls är etablerade inom EU. Enligt artikel 3.2 är förordningen tillämplig, trots att etablering inom unionen saknas, om behandlingen avser registrerade i unionen och har anknytning till antingen utbjudande av varor eller tjänster till registrerade i unionen eller övervakning av registrerades beteende i unionen. Enligt dataskyddsförordningen gäller således i dessa fall effekt-landsprincipen. Eftersom dataskyddsförordningen måste kompletteras av nationell rätt, t.ex. i fråga om rättsmedel, kommer frågan att uppstå om vilken nationell lag som ska gälla. Det framstår i en sådan situation som lämpligast att den nationella regleringen utgår från samma princip som förordningen när det gäller personuppgiftsansvariga och personuppgifts-biträden som inte är etablerade inom EU. Detta innebär att dataskydds-lagen i sådana fall bör gälla vid behandling av personuppgifter som avser registrerade som befinner sig i Sverige, om behandlingen har anknytning till antingen utbjudande av varor eller tjänster till registrerade i Sverige eller övervakning av registrerades beteende i Sverige. Detta innebär i praktiken att dataskyddslagen kommer att gälla i de situationer då dataskyddsförordningen är tillämplig i fråga om behandling som avser registrerade i Sverige och som utförs av personuppgiftsansvariga som endast är etablerade i tredjeland.
Sveriges advokatsamfund förordar att etableringsprincipen ska gälla även i fråga om behandling som utförs av en personuppgiftsansvarig som inte är etablerad i unionen och som omfattas av dataskyddsförordningen enligt artikel 3.2. Advokatsamfundet påpekar att frågan om den territo-riella räckvidden hos dataskyddsdirektivet inom den närmaste tiden kommer att prövas av EU-domstolen och att prövningen kan resultera i att EU-domstolen konstaterar att en utsträckning av tillämpningsområdet utanför unionen kommer i konflikt med folkrätten (mål nr C-136/17).
Regeringen kan i det sammanhanget konstatera att dataskyddslagen kompletterar dataskyddsförordningen och kan alltså inte tillämpas själv-ständigt. Om dataskyddsförordningen inte skulle vara tillämplig i de situationer som avses i artikel 3.2 kommer inte heller en tillämpning av dataskyddslagen att kunna aktualiseras.
Samma åldersgräns för samtycke bör gälla för alla barn som bor i Sverige
Regeringen föreslår i avsnitt 9 att barn som har fyllt 13 år själva ska kunna lämna samtycke till behandling av personuppgifter vid erbjudande av informationssamhällets tjänster. Bestämmelsen utgör ett undantag från den 16-årsgräns som regleras i artikel 8 i dataskyddsförordningen. Denna bestämmelses tillämpningsområde bör inte följa etableringslandsprin-cipen, eftersom det skulle kunna leda till olika åldersgränser för barn i Sverige beroende på vilken åldersgräns som valts i tjänsteleverantörens etableringsland. Det skulle också kunna leda till otillbörliga lättnader för företag och organisationer som är etablerade i Sverige och som riktar sig till barn i andra länder. Dessutom vore det olämpligt av Sverige att införa en sänkt åldersgräns som skulle kunna åberopas vid
Prop. 2017/18:105
40
behandling avseende barn i andra medlemsstater, där lagstiftaren gjort en annan bedömning av vilken åldersgräns som bör gälla.
Mot denna bakgrund bör bestämmelsen om barns samtycke gälla vid behandling av personuppgifter som avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller deras biträden är etablerade. Detta hindrar inte det fria flödet av personuppgifter, eftersom den sänkta åldersgränsen utgör en lättnad för de personuppgiftsansvariga i för-hållande till deras skyldigheter enligt förordningen.
Lunds universitet och Uppsala universitet anser att uttrycket bor i Sverige är alltför vagt. Regeringen anser dock att det i detta sammanhang är angeläget att använda ett uttryck som var och en förstår innebörden av, inte minst de barn som berörs av bestämmelsen. Begreppet bor är av det skälet att föredra framför varaktigt vistas eller hemvist. Som framgår av promemorian ska ett barn inte anses bo i Sverige om det endast är på genomresa eller besök i landet. Detta torde också överensstämma med hur begreppet bor används i vanligt språkbruk. Det ska däremot inte krävas att barnet är folkbokfört i landet, att det redan har vistats i Sverige under en viss tidsperiod eller att det har beviljats uppehållstillstånd här.
Även asylsökande barn i Sverige omfattas således av bestämmelsen.