Integritetsskydd .1 Regeringsformen .1 Regeringsformen

Den personliga integriteteten skyddas av regeringsformen. Av mål-sättningsstadgandet i 1 kap. 2 § följer att det allmänna ska värna den enskildes privat- och familjeliv. Målsättningsstadgandet anger ett viktigt mål för den samhälleliga verksamheten, men är inte rättsligt bindande för det allmänna. I 2 kap. finns däremot rättsligt bindande föreskrifter om grundläggande fri- och rättigheter. Av 2 kap. 6 § fram-går att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

4.4.2 FN:s allmänna förklaring och konvention

Det internationella arbetet för mänskliga rättigheter tar sin utgångs-punkt i den allmänna förklaring om de mänskliga rättigheterna som FN antog 1948. I artikel 12 anges bl.a. att ingen får utsättas för godtyck-ligt ingripande i fråga om privatliv och att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Rättigheterna i förklar-ingen om de mänskliga rättigheterna har senare förts in och vidare-utvecklats i ett antal konventioner som är bindande för de anslutna stat-erna, däribland Sverige. Artikel 12 i förklaringen återfinns i artikel 17 i 1966 års FN-konvention om medborgerliga och politiska rättigheter.

4.4.3 Europakonventionen och rättighetsstadgan

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för bl.a. sitt privat- och familjeliv. Artikeln ger enligt Europadom-stolens praxis upphov inte bara till en förpliktelse för det allmänna att avhålla sig från omotiverade inskränkningar, utan även en skyldighet för det allmänna att se till att enskilda även i förhållande till andra enskilda tillförsäkras en rätt till skydd för sitt privat- och familjeliv.

Den personliga integriteten skyddas också av rättighetsstadgan.

I artikel 3, 7 och 8 slås bl.a. fast att var och en har rätt till integritet, respekt för sitt privat- och familjeliv samt skydd av sina

personupp-SOU 2020:55 Förhållandet till vissa andra rättsområden

4.5 Dataskydd

4.5.1 EU:s dataskyddsreform

Dataskyddsregleringen utgör ett starkt skydd för den enskilde avse-ende hur myndigheter och andra enskilda verksamheter behandlar personuppgifter. Under år 2018 genomfördes en genomgripande data-skyddsreform inom EU som omfattade dels en allmän dataskydds-förordning (GDPR), dels ett dataskyddsdirektiv som behandlar data-skyddet vid brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet. En konsekvens av reformen är att personuppgiftslagen (1998:204) har upphävts och att den svenska lagstiftningen om personuppgiftsbehandling har setts över och anpassats.

Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen började tillämpas den 25 maj 2018. Förord-ningen, som är direkt tillämplig, utgör en ny generell reglering för behandling av personuppgifter inom EU och ersätter 1995 års data-skyddsdirektiv. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I förordningen regleras bl.a. grund-läggande principer för behandling av personuppgifter, den registre-rades rättigheter, personuppgiftsansvar, överföring av personupp-gifter, tillsyn över personuppgiftsbehandling, rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.

Från dataskyddsförordningens tillämpningsområde undantas per-sonuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verk-ställa straffrättsliga påföljder, inkluderande skydd mot samt före-byggande och förhindrande av hot mot den allmänna säkerheten.

Personuppgiftsbehandling för dessa syften omfattas i stället av det nya dataskyddsdirektivets tillämpningsområde.

Dataskyddsförordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från för-ordningens regler. I Sverige kompletteras dataskyddsförordningen av

Förhållandet till vissa andra rättsområden SOU 2020:55

lagen (2018:218) med kompletterande bestämmelser till EU:s data-skyddsförordning (dataskyddslagen) och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Lagen med tillhörande förordning förtydligar under vilka förutsätt-ningar personuppgifter får behandlas med stöd av dataskyddsförord-ningen.

Dataskyddslagen är subsidiär i förhållande till annan lag eller för-ordning, vilket innebär att avvikande bestämmelser i registerförfatt-ningar har företräde (1 kap. 6 §). Lagen – och dataskyddsförordningen – ska inte heller tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (1 kap. 7 §).

Myndigheter kan alltså utan hinder av dataskyddsförordningen på begäran från en enskild lämna ut papperskopior eller pappersutskrif-ter av allmänna handlingar i enlighet med 2 kap. TF, såvida hand-lingarna inte innehåller sekretessbelagda uppgifter. När det gäller myndigheters tillgängliggörande av information på eget initiativ, t.ex.

genom att göra allmänna handlingar tillgängliga via internet, ska där-emot dataskyddsförordningen och dataskyddslagen tillämpas fullt ut.

Detta gäller även vid överföring av personuppgifter mellan myndig-heter enligt offentlighets- och sekretesslagen (jfr Sören Öman, Data-skyddsförordningen (GDPR) m.m., Zeteo, 7 juni 2019, kommentaren till 1 kap. 7 § dataskyddslagen).

Dataskyddsdirektivet och brottsdatalagen

Dataskyddsdirektivet har genomförts i svensk rätt i huvudsak genom brottsdatalagen (2018:1177). Syftet med lagen är både att skydda fysiska personers grundläggande fri- och rättigheter i sam-band med personuppgiftsbehandling och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt.

Brottsdatalagen ska tillämpas av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätt-hålla allmän ordning och säkerhet, när de behandlar personuppgifter för ett sådant syfte. Lagen ska även tillämpas av andra aktörer än myndigheter som har anförtrotts myndighetsutövning för syftena brottsbekämpning, lagföring, straffverkställighet eller upprätthållande

SOU 2020:55 Förhållandet till vissa andra rättsområden

av allmän ordning och säkerhet när de behandlar personuppgifter för ett sådant syfte. Dessa myndigheter och aktörer benämns behöriga myndigheter.

Brottsdatalagen innehåller grundläggande bestämmelser om hur personuppgifter får behandlas. I lagen finns även bestämmelser om personuppgiftsansvarigas skyldigheter, enskildas rättigheter och till-synen över personuppgiftsbehandling, samt om sanktionsavgifter, skadestånd och rättsmedel. Lagen kompletteras av brottsdataförord-ningen (2018:1202), som genomför vissa detaljbestämmelser i data-skyddsdirektivet.

Brottsdatalagen är subsidiär i förhållande till annan lag eller för-ordning. De myndigheter som ska tillämpa brottsdatalagen har i de flesta fall särskilda registerförfattningar som gäller utöver brotts-datalagen och som innehåller preciseringar, undantag eller avvikelser från bestämmelserna i den lagen, t.ex. bestämmelser om längsta tid för behandling och sanktionsavgifter.

4.5.2 Grundläggande principer för personuppgiftsbehandling Grundläggande krav vid behandlingen

All behandling av personuppgifter måste uppfylla vissa grundlägg-ande krav som framgår av artikel 5.1 i dataskyddsförordningen (jfr 2 kap. 3, 6–8 och 15–17 §§ brottsdatalagen). Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt. Uppgifterna ska sam-las in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning eller finalitetsprincipen). Uppgifterna ska vidare vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen (uppgiftsminimering) samt korrekta och, om det är nöd-vändigt, uppdaterade. Alla rimliga åtgärder ska vidtas för att säker-ställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål.

Personuppgifter får inte heller förvaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen och de ska skyddas genom lämpliga säkerhetsåtgärder.

Det är den personuppgiftsansvarige som ska säkerställa att kraven följs vid behandlingen av uppgifterna (artikel 5.2).

Förhållandet till vissa andra rättsområden SOU 2020:55

Rättslig grund

För att en behandling av personuppgifter ska vara laglig måste den vila på en rättslig grund enligt artikel 6.1 i dataskyddsförordningen.

De rättsliga grunderna är samtycke, avtal, rättslig förpliktelse, grund-läggande intresse, allmänt intresse, myndighetsutövning och – såvitt avser behandling som utförs av enskilda – intresseavvägning. Person-uppgiftsbehandlingen ska även vara nödvändig.

Om behandlingen utförs med stöd av någon av de rättsliga grun-derna rättslig förpliktelse, allmänt intresse eller myndighetsutövning måste denna vara fastställd i unionsrätten eller i nationell rätt i enlig-het med artikel 6.3.

När en myndighet, vars behandling av personuppgifter faller under brottsdatalagen, lämnar ut allmänna handlingar omfattas inte den behandlingen av brottsdatalagen. I stället blir dataskyddsförordning-ens bestämmelser tillämpliga och i de flesta fall är det de rättsliga grunderna rättslig förpliktelse och allmänt intresse som aktualiseras (Brottsdatalag, prop. 2017/18:232, s. 107 f. och 131 ff.).

Känsliga personuppgifter

Dataskyddsförordningen förbjuder, som huvudregel, behandling av personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning. Detsamma gäller behandling av genetiska och biometriska uppgifter (artikel 9.1 data-skyddsförordningen; jfr 2 kap. 11 och 12 §§ brottsdatalagen).

4.6 Säkerhetsskydd