En ny lag införs och personuppgiftslagen upphävs

19 verkar behandlingen av personuppgifter. Även den registrerade ska

infor-meras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter.

Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter.

Den allmänna anmälningsskyldigheten till tillsynsmyndigheten tas däremot bort. Vidare införs det tydligare regler för kommunikation med den registrerade och ansvar för dem som behandlar personuppgifter. Ett krav på inbyggt dataskydd och dataskydd som standard införs.

Genom förordningen införs ett nytt gemensamt system med sanktions-avgifter som ska tas ut vid överträdelser av förordningen. Även på andra sätt innebär förordningen ett ökat fokus på en enhetlig tillämpning av dataskyddsreglerna inom EU, t.ex. genom åtgärder som godkännande av uppförandekoder och certifiering. Det införs även en skyldighet för de nationella tillsynsmyndigheterna att samarbeta med varandra och en mekanism för enhetlighet när flera tillsynsmyndigheter är inblandade.

Det införs samtidigt en ny princip om en enda kontaktpunkt, som ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater, genom att de endast ska behöva vara i kontakt med en av de behöriga tillsynsmyndigheterna. Det införs även ett nytt unionsorgan, Europeiska dataskyddsstyrelsen, som får långtgående befogenheter att uttala sig om tolkningen av förordningen även i enskilda fall.

Utrymmet för att ge offentlighetsprincipen företräde framför data-skyddsregleringen blir tydligare, genom en uttrycklig och direkt tillämp-lig bestämmelse i artikel 86 i dataskyddsförordningen. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av bestämmel-serna i tryckfrihetsförordningen, förkortad TF, om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.

5 Ett nytt svenskt regelverk om dataskydd

5.1 En ny lag införs och personuppgiftslagen upphävs

Regeringens förslag: Personuppgiftslagen upphävs och en ny lag med bestämmelser som kompletterar EU:s dataskyddsförordning på ett generellt plan införs.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det. Bland andra Myndigheten för vård- och omsorgsanalys och Göte-borgs universitet påpekar, utan att invända mot utredningens förslag, att dataskyddsreformen medför att rättsområdet blir mer komplext. Några myndigheter, bl.a. Pensionsmyndigheten och Lantmäteriet, framhåller

behovet av en samlad översyn av registerförfattningarna. Ett par remiss-instanser, bl.a. Sveriges konsumenter och Stiftelsen för internetinfra-struktur, ifrågasätter utredningens strävan att varken utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring. Flera remiss-instanser, bl.a. Domstolsverket, Myndigheten för vård- och omsorgs-analys, Konkurrensverket och Riksidrottsförbundet, efterlyser mer väg-ledning kring hur olika termer och begrepp i dataskyddsförordningen ska tolkas och tillämpas. Vidare tar flera remissinstanser, bl.a. Arbetsförmed-lingen, Riksidrottsförbundet och Tjänstemännens centralorganisation, upp frågor som är specifika för deras verksamhet eller den reglering som styr den.

Skälen för regeringens förslag: Dataskyddsförordningen ersätter dataskyddsdirektivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen, personuppgiftsförordningen och Data-inspektionens föreskrifter. Dataskyddsförordningen ska däremot inte implementeras i svensk rätt, utan i stället tillämpas direkt av enskilda, myndigheter och domstolar. När dataskyddsförordningen börjar tillämpas kommer alltså den generella regleringen om behandling av person-uppgifter att finnas i dataskyddsförordningen. Det svenska generella regelverket om dataskydd kan då inte längre finnas kvar, eftersom det skulle leda till en otillåten dubbelreglering. Personuppgiftslagen bör därför upphävas.

Den omständigheten att den nya generella unionsrättsakten om data-skydd är en förordning, och inte ett direktiv, innebär således omfattande begränsningar av möjligheten att införa eller behålla nationella bestäm-melser om dataskydd. Dataskyddsförordningen både förutsätter och medger emellertid nationella bestämmelser som kompletterar eller före-skriver undantag från förordningens regler. I skäl 8 till förordningen anges att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmig-heten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.

Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller fler-talet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser bör samlas i en ny övergripande lag om dataskydd. För att betona att lagen inte är heltäckande, utan endast utgör ett komplement till dataskyddsförordningen, bör den i enlighet med utredningens förslag benämnas lagen med kompletterande bestämmelser till EU:s dataskydds-förordning. I det följande kallas den nya lagen för dataskyddslagen.

Vidare har förordningen, framför allt när det gäller den offentliga sektorn, en direktivliknande karaktär och tillåter att förordningens regler specificeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för

21 uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och

rättvis behandling. Av skäl 10 framgår att detta även gäller för behand-lingen av känsliga personuppgifter. Av artikel 6.3 framgår vidare att, vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämp-ningen av bestämmelserna i dataskyddsförordtillämp-ningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ända-mål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Detta innebär att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska registerförfattningarna, t.ex.

studiestödsdatalagen (2009:287) och domstolsdatalagen (2015:728).

Anpassningen av sådana sektorsspecifika författningar behandlas dock inte i detta lagstiftningsärende.

Flera remissinstanser tar upp frågor som är specifika för deras verk-samhet och den reglering som styr den. Sådana sektorsspecifika frågor omfattas dock inte av detta lagstiftningsärende. Flera remissinstanser efterlyser också mer vägledning kring hur dataskyddsförordningens bestämmelser ska tolkas och tillämpas, framför allt i fråga om tillämplig rättslig grund. I detta lagstiftningsärende behandlas dock inte frågor som rör tillämpningen av dataskyddsförordningens direkt tillämpliga bestäm-melser, annat än i samband med resonemang kring behovet och lämplig-heten av kompletterande lagstiftning på generell nivå. Regeringen kan också konstatera att det i många fall är svårt att ge mer vägledning än den utredningen ger i betänkandet. När det gäller de nya begrepp som intro-duceras genom dataskyddsreformen finns det ännu inte någon praxis eller annan rättskälla att luta sig mot.

Det bör dock understrykas att tillsynsmyndigheten, enligt artikel 57.1 b, har i uppgift att öka personuppgiftsansvarigas och person-uppgiftsbiträdens medvetenhet om sina skyldigheter enligt dataskydds-förordningen. Av skäl 132 framgår att medvetandehöjande kampanjer från tillsynsmyndighetens sida bör innefatta särskilda åtgärder riktade dels till personuppgiftsansvariga och personuppgiftsbiträden, inbegripet mikroföretag samt små och medelstora företag, dels till fysiska personer, särskilt i utbildningssammanhang. Dessutom har tillsynsmyndigheten, enligt artikel 57.1 b, i uppgift att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. Vidare har regeringen gett Datainspektionen i uppdrag att för-stärka sitt arbete med att underlätta näringslivets anpassning till data-skyddsförordningen, för att svenska företag inte ska tappa tempo i sitt digitaliseringsarbete och samtidigt upprätthålla ett gott integritetsskydd (N2016/07306/FÖF).

Bland andra Myndigheten för vård- och omsorgsanalys och Göteborgs universitet påpekar, utan att invända mot utredningens förslag, att data-skyddsreformen medför att rättsområdet blir mer komplext. Regeringen har förståelse för dessa synpunkter. Det förhållandet att

lagen ersätts av den mer omfattande regleringen i dataskyddsförord-ningen och en kompletterande nationell reglering på generell nivå, inne-bär att regelverket kan uppfattas som mer komplext. Det bör dock fram-hållas att den ökade komplexiteten är en följd av att det nya EU-rättsliga regelverket är direkt tillämpligt och att detta förutsätter kompletterande nationell reglering. Samtidigt kan konstateras att för de allra flesta personuppgiftsansvariga kommer endast dataskyddsförordningen och dataskyddslagen att vara tillämpliga. För personuppgiftsansvariga som har verksamhet i flera medlemsstater finns dessutom stora fördelar med en dataskyddsreglering som är direkt tillämplig i hela EU. Vidare har tillsynsmyndigheten, som beskrivs ovan, redan enligt dataskyddsförord-ningen ett uppdrag att informera om regleringen.

Några myndigheter, bl.a. Pensionsmyndigheten och Lantmäteriet, framhåller behovet av en samlad översyn av registerförfattningarna. Ett par remissinstanser, bl.a. Sveriges konsumenter och Stiftelsen för inter-netinfrastruktur, ifrågasätter utredningens strävan att varken utvidga eller inskränka möjligheterna till behandling av personuppgifter, annat än då dataskyddsförordningen kräver en sådan förändring. Regeringen kan emellertid konstatera att den korta tid som står till buds för att anpassa den svenska dataskyddsregleringen till den nya EU-regleringen inte medger mer omfattande nationella reformer på detta område. Det ute-sluter inte att vissa sådana övergripande förändringar skulle kunna vara befogade och därför bli föremål för överväganden i ett annat samman-hang.

5.1.1 Termer och uttryck

Regeringens förslag: Termer och uttryck i dataskyddslagen ska ha samma betydelse som i EU:s dataskyddsförordning.

Utredningens förslag överensstämmer med regeringens.

Remissinstanserna: I stort sett alla instanser tillstyrker förslaget eller har inga synpunkter på det. Myndigheten för vård- och omsorgsanalys anser dock att det inte är användarvänligt att definitionerna inte anges i lagen.

Skälen för regeringens förslag: Många av de termer och uttryck som används i dataskyddsförordningen definieras i artikel 4 i förordningen.

Andra begrepp definieras visserligen inte, men är av unionsrättslig karak-tär och kan inte ges en särskild betydelse i nationell rätt. Termer och uttryck som används i dataskyddslagen bör därför ha samma betydelse som i dataskyddsförordningen. Med anledning av Myndigheten för vård- och omsorgsanalys synpunkt att förordningens definitioner bör anges i lagen, bör framhållas att lagen endast utgör ett komplement till data-skyddsförordningen. Det stora flertalet av de regler som ska tillämpas finns i dataskyddsförordningen och ska tillämpas direkt av myndigheter, företag och andra personuppgiftsansvariga. Om förordningens defini-tioner infördes i dataskyddslagen skulle det kunna ge intrycket av att lagen är fristående från förordningen.

5.1.2 Hänvisningsteknik

Regeringens förslag: De hänvisningar till EU:s dataskyddsförordning som finns i dataskyddslagen ska, med undantag för bestämmelsen om behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde och bestämmelserna om sanktions-avgifter, vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.

Utredningens förslag överensstämmer delvis med regeringens. Utred-ningen föreslår dynamiska hänvisningar till dataskyddsförordUtred-ningen även i bestämmelserna om sanktionsavgifter.

Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det.

Skälen för regeringens förslag: Den föreslagna dataskyddslagen innehåller hänvisningar till bestämmelser i dataskyddsförordningen.

Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen.

Dataskyddsförordningen är direkt tillämplig. För att säkerställa att ändringar i dataskyddsförordningen får omedelbart genomslag är det lämpligt att hänvisningarna dit görs dynamiska. Detta hindrar emellertid inte att dataskyddslagen kan behöva ändras om dataskyddsförordningens innehåll ändras. De hänvisningar till dataskyddsförordningen som finns i dataskyddslagen bör med vissa undantag vara dynamiska, dvs. avse förordningen i dess vid varje tidpunkt gällande lydelse. Hänvisningarna kommer således att omfatta även eventuella framtida ändringar i dataskyddsförordningen.

Flera av hänvisningarna till dataskyddsförordningen i de bestämmelser som regeringen föreslår är av upplysande karaktär. Det gäller främst hänvisningarna i bestämmelserna om rättslig grund, känsliga person-uppgifter och skadestånd. Dynamiska hänvisningar behövs i dessa fall för att undvika osäkerhet. Detsamma gäller för hänvisningarna till data-skyddsförordningen avseende betydelsen av de termer och uttryck som används i lagen. Terminologin som används i den nationella reglering som kompletterar EU-förordningen måste följa den begreppsutveckling som sker inom unionen, även vid en eventuell ändring av uttryckliga definitioner i dataskyddsförordningen.

Andra hänvisningar till dataskyddsförordningen finns i förslagen till bestämmelser som rör bl.a. vilka myndigheter som är behöriga att pröva olika frågor eller som har att vidta åtgärder enligt dataskyddsningen samt vilka förfarandebestämmelser som ska gälla när förord-ningen saknar bestämmelser eller hänvisar till att nationell rätt ska tillämpas. Förslaget till dataskyddslag innehåller också en bestämmelse om tystnadsplikt för den som fullgör uppgift som dataskyddsombud enligt dataskyddsförordningen.

Samtliga författningsförslag som nämns i föregående stycke avser bestämmelser av ett slag som måste finnas i svensk rätt för att Sverige ska uppfylla sina unionsrättsliga förpliktelser. Hänvisningarna till

skyddsförordningen i dessa bestämmelser bör enligt regeringens mening vara dynamiska. Den omständigheten att somliga förändringar i data-skyddsförordningen skulle kunna föranleda behov av justeringar av svensk rätt, t.ex. rörande vilken myndighet eller domstol som ska hantera en viss fråga, utgör inte skäl för att välja statiska hänvisningar i dessa paragrafer.

Vidare förekommer det i lagförslaget bestämmelser som föreskriver undantag från dataskyddsförordningens bestämmelser om de regist-rerades rättigheter och den personuppgiftsansvariges skyldigheter. Flera av dessa undantag är nära förknippade med den svenska grundlags-regleringen om tryck- och yttrandefrihet och rätt till tillgång till allmänna handlingar eller med behovet av skydd för rikets säkerhet. Med hänsyn till vikten av att dessa intressen upprätthålls, bör dessa undantag gälla även om dataskyddsförordningens lydelse skulle komma att ändras i något avseende. Regeringen föreslår även undantag som motiveras av behovet av en balans mellan det skydd som dataskyddsförordningen ger den registrerade och det skydd som annan lagstiftning ger den person-uppgiftsansvariges verksamhet eller tredje parts personliga integritet, t.ex. i form av sekretess. Även i dessa bestämmelser behövs det dyna-miska hänvisningar för att säkerställa att balansen består även vid en eventuell ändring av dataskyddsförordningen.

När det gäller regleringen om behandling av personuppgifter utanför dataskyddsförordningens egentliga tillämpningsområde, finns det dock skäl att välja en statisk hänvisningsteknik, innebärande att hänvisningen ska avse den ursprungliga lydelsen av dataskyddsförordningen. Skälen för detta ställningstagande utvecklas i avsnitt 6.1.1. Dataskyddsförord-ningen innebär vidare att det i svensk rätt får eller måste införas melser om sanktioner vid överträdelser av förordningen. I de bestäm-melser som avser sådana sanktioner bör hänvisningarna till dataskydds-förordningen vara statiska, se avsnitt 16.2 och 16.3.3.

Denna lagrådsremiss innehåller även förslag till ändringar i offentlighets- och sekretesslagen (2009:400), förkortad OSL, som inne-bär att en hänvisning till dataskyddsförordningen ska införas i en bestämmelse. Frågan om hänvisningens karaktär i det fallet behandlas i avsnitt 15.3.

5.1.3 Avvikande bestämmelser i annan lag eller i förordning ska ha företräde

Regeringens förslag: Om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen.

Utredningens förslag överensstämmer i sak med regeringens. Utred-ningen föreslår dock en annan utformning av författningsbestämmelsen.

Remissinstanserna: Det stora flertalet tillstyrker förslaget eller har inga synpunkter på det. Kungliga tekniska högskolan anser dock att det av lagtexten bör framgå att även direkt tillämpliga EU-förordningar omfattas. Sveriges advokatsamfund anser att det bör framgå av

25 melsen att bestämmelser som avviker från dataskyddslagen ska tillämpas

såvida de inte är oförenliga med dataskyddsförordningen.

Skälen för regeringens förslag: Personuppgiftslagen är subsidiär på så sätt att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska de bestämmelserna gälla (2 § PUL). Frågan är om en sådan ordning bör gälla även i fråga om dataskyddslagen.

Dataskyddsförordningen ger i viss utsträckning utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet, se avsnitt 5.1. Dataskyddslagen kommer endast att innehålla övergripande och generella bestämmelser. De flesta bestämmelser som kompletterar förordningen kommer således att finnas i någon annan författning.

Dataskyddslagen är, i likhet med personuppgiftslagen, av offentlig-rättslig karaktär. Som helhet måste den även betraktas som betungande i förhållande till de personuppgiftsansvariga och personuppgiftsbiträden som träffas av den. Dataskyddslagens bestämmelser gäller inte bara för statliga myndigheter, utan även för kommuner, företag och enskilda. Det krävs därför enligt 8 kap. 2 § första stycket 2 och 3 § regeringsformen, förkortad RF, bemyndiganden i lag för att anslutande föreskrifter ska kunna meddelas av regeringen eller av en förvaltningsmyndighet.

När det däremot gäller sektorsspecifika författningar som enbart rör behandling av personuppgifter som utförs av statliga myndigheter som lyder under regeringen förhåller det sig annorlunda. Med undantag för de fall som avses i 2 kap. 6 § andra stycket RF kan sådana föreskrifter som direkt eller indirekt rör behandling av personuppgifter meddelas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 RF. Vidare kan sektorsspecifika föreskrifter som reglerar kommunala myndigheters eller enskilda organs behandling av person-uppgifter meddelas med stöd av bemyndiganden i annan lag än data-skyddslagen. Det kommer följaktligen även i fortsättningen att finnas både lagar och förordningar som innehåller bestämmelser som rör behandling av personuppgifter. Dessa bestämmelser kommer i första hand att komplettera dataskyddsförordningen, men kan i vissa fall avse frågor som också regleras i dataskyddslagen. Det kan vara bestämmelser som direkt rör behandling av personuppgifter, t.ex. om möjligheten att behandla känsliga personuppgifter i en viss verksamhet. Bestämmelserna kan också indirekt röra behandling av personuppgifter, t.ex. skyldigheter att lämna ut vissa uppgifter eller särskilda förfaranderegler. Sådana bestämmelser i såväl lagar som förordningar som avviker från data-skyddslagen bör, på motsvarande sätt som gällt i förhållande till person-uppgiftslagen, ha företräde framför bestämmelserna i dataskyddslagen.

Bestämmelser som rör behandling av personuppgifter kan också före-komma i andra EU-förordningar än dataskyddsförordningen. I Sverige jämställs sådana förordningar med lag och kommer därmed, på samma sätt som lagar beslutade av riksdagen, att ha företräde framför data-skyddslagen. Det finns enligt regeringens mening inte skäl att, som Kungliga tekniska högskolan förordar, särskilt ange detta i lagtexten.

Regeringen anser att den bestämmelse som anger att dataskyddslagen är subsidiär till avvikande bestämmelser i annan författning bör utformas på samma sätt som 4 § i den nya förvaltningslagen (2017:900). Detta innebär ingen saklig skillnad jämfört med den formulering som används i personuppgiftslagen. Det bör dock betonas att den bestämmelse om

subsidiaritet som föreslås i dataskyddslagen kommer att få en betydligt mer begränsad betydelse än dess motsvarighet i 2 § PUL, även om dess innebörd är densamma. Detta beror på att dataskyddslagen, till skillnad från personuppgiftslagen, inte är heltäckande. Dataskyddslagen utgör endast ett komplement till dataskyddsförordningen och reglerar bara vissa frågor. Bestämmelsen om att annan lag eller förordning ska ha före-träde framför dataskyddslagen utvidgar inte utrymmet för att göra nationella undantag från de direkt tillämpliga bestämmelserna i data-skyddsförordningen. Principen om unionsrättens företräde innebär att en

In document David Törngren (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll (Page 19-26)