166
Ideella organisationer ska inte ges talerätt
Medlemsstaterna får enligt dataskyddsförordningen meddela nationella föreskrifter som ger ideella organisationer en självständig talerätt avseende registrerades rättigheter. En sådan talerätt skulle ge dessa organisationer möjlighet att utan den registrerades mandat t.ex. ge in klagomål till tillsynsmyndigheten, om organisationen anser att den registrerades rättigheter har kränkts.
En liknande ordning gäller enligt svensk rätt i fråga om kränkningar i form av diskriminering. Enligt 6 kap. 2 § diskrimineringslagen får en ideell förening som enligt sina stadgar har att ta till vara sina med-lemmars intressen och som inte är en arbetstagarorganisation, som part föra talan om diskriminering. En förutsättning är dock att den enskilde medger detta. Ett annat exempel som kan nämnas är möjligheten till organisationstalan enligt lagen (2002:599) om grupprättegång. I 5 § i den lagen anges att organisationstalan får väckas av en ideell förening som i enlighet med sina stadgar tillvaratar konsument- eller löntagarintressen i tvister mellan konsumenter och en näringsidkare om någon vara, tjänst eller annan nyttighet som näringsidkaren erbjuder till konsumenter.
När det gäller skyddet för den personliga integriteten har det under senare år blivit vanligare med ideella organisationer som är verksamma inom dataskyddsområdet. I Sverige är dock denna typ av verksamhet än så länge liten. För närvarande anser regeringen, i likhet med utredningen, att det inte finns skäl att på detta område införa särskilda bestämmelser om talerätt för ideella organisationer. Beroende på hur den ideella sektorn utvecklas är det dock inte uteslutet att det i framtiden kan komma att finnas skäl att återkomma till denna fråga.
17.7 Parallella domstolsförfaranden
Regeringens bedömning: En svensk domstol kan förklara ett mål vilande, om ett förfarande rörande samma sakfråga pågår i en domstol i en annan medlemsstat. Däremot kan domstolen enligt svensk rätt inte förklara sig obehörig att handlägga målet.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Kammarrätten i Göteborg anser att det kan behövas kompletterande svenska bestämmelser på detta område. Förvalt-ningsrätten i Stockholm anser att förordningen med direkt effekt ger domstolarna en möjlighet att i ett enskilt fall förklara sig obehörig.
Övriga remissinstanser framför inga invändningar mot utredningens bedömning i denna del.
Skälen för regeringens bedömning: Om en behörig domstol i en medlemsstat har information om att ett förfarande pågår i en domstol i en annan medlemsstat rörande samma sakfråga och samma personuppgifts-ansvarig eller personuppgiftsbiträde, ska den förstnämnda domstolen enligt artikel 81.1 i dataskyddsförordningen kontakta den andra dom-stolen för att få det bekräftat. I artikel 81.2 anges att om förfaranden som rör samma sakfråga och samma personuppgiftsansvarig eller person-uppgiftsbiträde pågår i en domstol i en annan medlemsstat, får alla andra
167 behöriga domstolar än den där förfarandet först inleddes vilandeförklara
förfarandena. Om ett förfarande prövas i första instans får domstolen, utom den domstol vid vilken förfarandena först inleddes, enligt artikel 81.3 förklara sig obehörig på begäran av en av parterna. Detta gäller under förutsättningen att den domstol vid vilken förfarandet först inleddes är behörig att pröva de berörda förfarandena och dess lag-stiftning tillåter förening av dessa.
I skäl 144 till förordningen anges att förfarandena ska anses vara relaterade, om de är så nära förenade att en gemensam handläggning och dom är påkallad för att undvika att oförenliga domar meddelas.
I 32 kap. 5 § rättegångsbalken finns en bestämmelse som innebär att rätten får förklara ett mål vilande, om det för prövning av målet är av synnerlig vikt att en fråga som är föremål för annan rättegång eller behandling i annan ordning först avgörs. Någon motsvarighet till denna bestämmelse finns inte i förvaltningsprocesslagen. Det innebär dock inte att förvaltningsdomstolar är förhindrade att förklara ett mål vilande av motsvarande skäl. Vid införandet av förvaltningsprocesslagen ansågs detta tvärtom så självklart att lagtexten inte behövde belastas med någon hänvisning till rättegångsbalken (prop. 1971:30 del 2 s. 600). Möjlig-heten till vilandeförklaring har inte bara utnyttjats när flera relaterade mål förekommit i samma domstol eller i olika svenska domstolar, utan har också använts för att invänta EU-domstolens dom i ett annat mål avseende en för målet central rättsfråga (se t.ex. RÅ 2005 ref. 33 och Kammarrätten i Stockholms dom den 22 augusti 2014 i mål nr 1724-13).
Sedan den 1 juli 2013 får Högsta förvaltningsdomstolen enligt 36 a § förvaltningsprocesslagen meddela prövningstillstånd som begränsas till att gälla en viss fråga eller en viss del av målet. I avvaktan på att prövning sker i enlighet med ett sådant begränsat prövningstillstånd får Högsta förvaltningsdomstolen förklara frågan om meddelande av prövningstillstånd rörande målet i övrigt helt eller delvis vilande. Med anledning av ett påpekande under remissbehandlingen från Högsta förvaltningsdomstolens ledamöter underströks i förarbetena att den omständigheten att denna typ av vilandeförklaring numera uttryckligen regleras i förvaltningsprocesslagen inte inskränker allmän förvaltnings-domstols möjligheter att även i andra sammanhang vilandeförklara mål (prop. 2012/13:45 s. 139).
Mot bakgrund av att förvaltningsdomstolarna redan på grundval av förvaltningsprocessrättsliga principer och praxis kan förklara mål vilande när ett mål rörande samma sakfråga pågår i en annan domstol, även en utländsk sådan, finns det inte skäl att införa några särskilda bestämmelser i svensk rätt med anledning av artikel 81.2 i dataskyddsförordningen.
Hur sådana situationer ska hanteras i praktiken får lämnas till dom-stolarna att avgöra.
Möjligheten för en domstol att förklara sig obehörig på begäran av en av parterna, enligt artikel 81.3, förutsätter dels att den domstol där förfarandet först inleddes är behörig att göra prövningen, dels att dess lagstiftning tillåter förening av förfarandena.
Enligt 7 § förvaltningsprocesslagen kan ett mål överlämnas till en annan domstol om domstolen finner att den saknar behörighet att hand-lägga målet men att en annan motsvarande domstol skulle vara behörig.
Vidare följer det av 8 a och 14 §§ lagen (1971:289) om allmänna
168
förvaltningsdomstolar att mål under vissa omständigheter kan över-lämnas, om det vid mer än en förvaltningsrätt eller kammarrätt före-kommer mål som har nära samband med varandra. Det finns däremot för närvarande inte några bestämmelser i svensk förvaltningsprocessrätt som möjliggör för en domstol att förklara sig obehörig att handlägga ett mål på den grunden att det vid en utländsk domstol förekommer ett mål som rör samma sakfråga. I artikel 81.3 i dataskyddsförordningen anges dock endast att domstolen får förklara sig obehörig. Till skillnad från Kammarrätten i Göteborg instämmer därför regeringen i utredningens bedömning att förordningen i detta avseende inte är tvingande och att det därmed inte finns någon skyldighet för medlemsstaterna att införa processrättsliga bestämmelser som möjliggör ett sådant överlämnade.
Regeringen ser heller inte något annat skäl till att införa en sådan ordning. Huruvida bestämmelsen i dataskyddsförordningen ger dom-stolarna en möjlighet att utan stöd av nationella bestämmelser förklara sig obehörig, som Förvaltningsrätten i Stockholm menar, överlämnas till domstolarna att bedöma.
18 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Dataskyddslagen träder i kraft den 25 maj 2018.
Genom lagen upphävs personuppgiftslagen.
I stället för vad som sägs i den bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde, ska person-uppgiftslagen fortsätta att gälla i sådan verksamhet hos Försvars-makten, Försvarets radioanstalt och Totalförsvarets rekryterings-myndighet som inte omfattas av unionsrätten.
Personuppgiftslagen gäller fortfarande vid behandling av person-uppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straff-rättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Personuppgiftslagen gäller fortfarande i den utsträckning som det i en annan lag eller en förordning finns bestämmelser som innehåller hänvisningar till den.
Personuppgiftslagen gäller fortfarande för överklagande av beslut som har meddelats med stöd av den lagen.
Personuppgiftslagens straffbestämmelse gäller fortfarande för över-trädelser som har skett före ikraftträdandet.
Sådana beslut i enskilda fall avseende behandling av person-uppgifter som rör lagöverträdelser och som har meddelats med stöd av personuppgiftslagen gäller fortfarande.
Utredningens förslag överensstämmer delvis med regeringens. Utred-ningen föreslår inte några särskilda bestämmelser av övergångskaraktär för sådan verksamhet hos försvarsmyndigheterna som inte omfattas av
169 unionsrätten eller för behöriga myndigheter som omfattas av det nya
dataskyddsdirektivet. Utredningen föreslår inte heller någon övergångs-bestämmelse rörande beslut i enskilda fall avseende behandling av personuppgifter som rör lagöverträdelser. Däremot föreslår utredningen att personuppgiftslagen fortfarande ska gälla för ärenden hos Datainspek-tionen som har inletts men inte avgjorts före ikraftträdandet samt i fråga om skadestånd för skada som har orsakats före ikraftträdandet.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Hovrätten för Västra Sverige, Förvaltningsrätten i Malmö, Datainspektionen, Pensionsmyndigheten, Länsstyrelsen i Kronobergs län, Länsstyrelsen i Skåne, Länsstyrelsen i Östergötlands län, Centrala studiestödsnämnden och Bolagsverket invänder mot utredningens förslag att personuppgifts-lagen ska fortsätta gälla i den utsträckning som det i en annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen (punkt 3 i utredningens förslag) samt påpekar att dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. Hovrätten för Västra Sverige anser att övergångsbestämmelsen bör ange att bestämmelserna i dataskyddsförordningen ska tillämpas i stället för bestämmelserna i personuppgiftslagen. Pensionsmyndigheten föreslår att övergångsbestäm-melsen ska ange att personuppgiftslagen ska tillämpas så länge dess bestämmelser inte står i strid med förordningen. Länsstyrelsen i Skåne anser att det i vart fall ska införas en slutlig gräns för hur länge person-uppgiftslagen ska fortsätta att tillämpas. Försäkringskassan och Göte-borgs universitet efterfrågar ett resonemang kring eventuella norm-konflikter som skulle kunna uppstå om personuppgiftslagen fortsätter att gälla. Datainspektionen invänder mot förslaget att personuppgiftslagen ska gälla för ärenden hos Datainspektionen som har inletts men inte avgjorts före ikraftträdandet (punkt 4 i utredningens förslag) och anser att dataskyddsförordningen ska tillämpas även om ärendet inletts före den 25 maj 2018. Datainspektionen invänder även mot förslaget att äldre föreskrifter ska gälla för överträdelser som skett före ikraftträdandet (punkt 7 i utredningens förslag) och menar att utredningen inte visat att det i detta fall är möjligt att frångå gällande bestämmelser rörande prin-cipen om lindrigaste lag. Förvaltningsrätten i Malmö invänder mot uttrycket äldre föreskrifter och påpekar att detta även skulle kunna omfatta exempelvis registerförfattningar (punkterna 4–7 i utredningens förslag). Försvarsmakten anser att det bör införas ytterligare en över-gångsbestämmelse som innebär att personuppgiftslagen fortsatt ska gälla för de delar av Försvarsmaktens verksamhet som är av betydelse för Sveriges säkerhet. Försvarets radioanstalt anser att det bör införas en övergångsbestämmelse som innebär att personuppgiftslagen ska fortsätta att gälla för myndighetens informationssäkerhetsverksamhet. Svensk Försäkring anser att en övergångsbestämmelse bör övervägas som klargör att nu gällande tillstånd att behandla personuppgifter som rör lagöverträdelser gäller även fortsättningsvis.
170
Skälen för regeringens förslag Ikraftträdande
Av artikel 99 i dataskyddsförordningen följer att förordningen trädde i kraft den 25 maj 2016. Förordningen ska enligt samma artikel tillämpas från och med den 25 maj 2018. Av skäl 171 framgår att pågående behandling bör ha bringats i överensstämmelse med förordningen under denna tvåårsperiod.
Dataskyddslagen bör träda i kraft den dag dataskyddsförordningen börjar tillämpas, dvs. den 25 maj 2018. Samtidigt bör personuppgifts-lagen upphöra att gälla (jfr avsnitt 5.1).
Viss verksamhet som inte omfattas av unionsrätten
Dataskyddsförordningen ska enligt artikel 2.2 a inte tillämpas vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. i verksamhet som rör nationell säkerhet. I avsnitt 6.1 föreslår regeringen emellertid att förordningen, i tillämpliga delar, och dataskyddslagen ska gälla även i sådan verksamhet. Detta ska dock inte gälla i verksamhet som omfattas av bl.a. lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt lagen om behandling av person-uppgifter i Försvarets radioanstalts försvarsunderrättelse- och utveck-lingsverksamhet. Båda dessa författningar är för närvarande föremål för översyn av en särskild utredare (dir. 2017:42). Utredaren ska enligt kommittédirektiven bl.a. analysera vilket utrymme det finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten och För-svarets radioanstalt som i dag regleras i personuppgiftslagen, och utifrån den analysen bedöma om behandlingen helt eller delvis bör regleras särskilt.
Viss behandling av personuppgifter som sker hos Totalförsvarets rekryteringsmyndighet regleras av lagen (1998:938) respektive förord-ningen (1998:1229) om behandling av personuppgifter om totalförsvars-pliktiga. Även dessa författningar är för närvarande föremål för översyn av en särskild utredare. I utredarens uppdrag ingår att analysera om fler personalkategorier än de totalförsvarspliktiga ska ingå i särlagstiftningen samt att överväga om annan personuppgiftsbehandling som förekommer hos myndigheten bör omfattas av den nya regleringen (dir. 2016:103).
De aktuella författningarna reglerar bara vissa delar av den behandling av personuppgifter som sker hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet. I övrigt gäller person-uppgiftslagen. Som framgår ovan kan dock det pågående utrednings-arbetet komma att leda till att författningarnas tillämpningsområden utvidgas till att även avse viss behandling som i dag regleras av personuppgiftslagen. Mot den bakgrunden anser regeringen, i likhet med Försvarsmakten och Försvarets radioanstalt, att det behövs en särskild reglering som medför att personuppgiftslagen fortsätter att gälla, i stället för dataskyddsförordningen och dataskyddslagen, i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryterings-myndighet som inte omfattas av unionsrätten. Vid behandling av person-uppgifter som sker i verksamhet som omfattas av unionsrätten är dock
171 dataskyddsförordningen direkt tillämplig fr.o.m. den 25 maj 2018 även
hos dessa myndigheter.
Förslag till övergångsbestämmelser som i sak överensstämmer med regeringens förslag har beretts med Säkerhetspolisen, Datainspektionen, Säkerhets- och integritetsskyddsnämnden, Försvarsmakten, Försvarets radioanstalt, Totalförsvarets rekryteringsmyndighet och Myndigheten för samhällsskydd och beredskap, som inte framför några invändningar.
Mot bakgrund av det anförda bör det införas en bestämmelse som anger att, i stället för vad som sägs i den bestämmelse i dataskyddslagen som utsträcker dataskyddsförordningens tillämpningsområde, ska personuppgiftslagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryterings-myndighet som inte omfattas av unionsrätten. Bestämmelsen är av övergångskaraktär och ska upphävas i samband med att den anpassade regleringen om behandling av personuppgifter i dessa myndigheters verksamhet träder i kraft.
Verksamhet som omfattas av det nya dataskyddsdirektivet
Dataskyddsförordningen ska enligt artikel 2.2 d inte tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt före-bygga och förhindra hot mot den allmänna säkerheten. Sådan behandling omfattas i stället av det nya dataskyddsdirektivet, som ska vara genom-fört i nationell rätt senast den 6 maj 2018.
Arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komplicerat. Detta gäller i hög grad genomförandet av det nya dataskyddsdirektivet, som i huvudsak ska ske genom införandet av en ny ramlag, brottsdatalagen. Denna ramlag ska kompletteras genom anpassningar i de brottsbekämpande myndig-heternas registerförfattningar. Regeringen kan konstatera att all den lagstiftning som ska genomföra direktivet inte kommer att träda i kraft i tid. För de behöriga myndigheter som i dag har en registerförfattning bör detta inte utgöra något praktiskt problem, eftersom de nuvarande författ-ningarna till stor del uppfyller de nya kraven (se även följande avsnitt om författningar som hänvisar till personuppgiftslagen). För de behöriga myndigheter som inte omfattas av någon registerförfattning, kommer det däremot inte att finnas någon tillämplig dataskyddsreglering då person-uppgiftslagen upphävs, eftersom dessa myndigheter enligt artikel 2.2 d i dataskyddsförordningen inte ska tillämpa förordningen. Mot den bakgrunden anser regeringen, i likhet med vad som anförs av Utred-ningen om 2016 års dataskyddsdirektiv, SOU 2017:29 s. 655–657, att det behövs en övergångsreglering som ger rättsligt stöd för personuppgifts-behandling på direktivets område under den tid som lagstiftningsarbetet med en ny ramlag på direktivets område pågår. Några invändningar mot Utredningen om 2016 års dataskyddsdirektivs bedömning i denna del har inte framförts vid remissbehandlingen av betänkandet (Ju2017/03283/L4). Det bör därför införas en bestämmelse som anger att personuppgiftslagen fortfarande gäller för sådan behandling av personuppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i
172
den ursprungliga lydelsen. Bestämmelsen, som är av övergångskaraktär, ska sedan upphävas i samband med att den nya ramlagen träder i kraft.
Hänvisningar till personuppgiftslagen
Hänvisningar till personuppgiftslagen förekommer i ett stort antal författningar. Eftersom dataskyddsförordningen är direkt tillämplig från och med den 25 maj 2018 och personuppgiftslagen samtidigt kommer att upphävas är det naturligtvis angeläget att dessa författningar så snart som möjligt ändras och anpassas till förordningen. Alltsedan förordningen antogs har det därför pågått ett intensivt arbete, i en rad utredningar och inom samtliga departement, med att analysera vilka ändringar i lagar och förordningar som behövs eller är lämpliga med anledning av dataskydds-förordningen. Parallellt med detta pågår arbetet med att genomföra det nya dataskyddsdirektivet. Arbetet med att anpassa svensk lagstiftning till den nya EU-regleringen är mycket omfattande och delvis mycket komp-licerat. Regeringen kan nu konstatera att detta arbete inte kommer att vara helt avslutat den 25 maj 2018. När personuppgiftslagen upphör att gälla kommer det således fortfarande att finnas ett antal författningar med hänvisningar till personuppgiftslagen som ännu inte har hunnit ändras.
I huvudsak förekommer det två olika slag av så kallade registerför-fattningar. Det vanligaste är att sådana författningar gäller utöver person-uppgiftslagen, vilket innebär att personuppgiftslagen gäller om inte annat anges i den särskilda författningen. Det finns dock även registerförfatt-ningar som gäller i stället för personuppgiftslagen. I båda dessa fall inne-håller författningarna hänvisningar till personuppgiftslagen eller till vissa bestämmelser i denna.
Således anges t.ex. i studiestödsdatalagen att personuppgiftslagen tillämpas vid behandling av personuppgifter i Centrala studiestöds-nämndens studiestödsverksamhet, i den mån den lagen innehåller bestämmelser om behandling av personuppgifter som saknar motsvarig-het i studiestödsdatalagen. I patientdatalagen anges på motsvarande sätt att personuppgiftslagen gäller om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av den lagen. Utlännings-datalagen (2016:27) och polisUtlännings-datalagen utgör däremot exempel på författningar som gäller i stället för personuppgiftslagen. Enligt dessa författningar ska endast vissa särskilt angivna bestämmelser i person-uppgiftslagen tillämpas. Det finns också författningar om behandling av personuppgifter som är heltäckande och därmed fristående från person-uppgiftslagen. Lagen om behandling av personuppgifter inom Försvars-maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet är exempel på sådana författningar.
Författningar som hänvisar till personuppgiftslagen innehåller bestäm-melser som specificerar, kompletterar eller gör undantag från person-uppgiftslagen. När dataskyddsförordningen börjar tillämpas kommer dessa bestämmelser i praktiken i stället att utgöra kompletterande bestämmelser till förordningen. Eftersom vissa författningar som hän-visar till personuppgiftslagen inte kommer att hinna ändras innan
173 skyddsförordningen ska börja tillämpas, kommer sådana författningar
fortfarande att hänvisa till personuppgiftslagen vid denna tidpunkt. Det finns ett behov av att klargöra hur sådana hänvisningar ska tolkas, efter-som det annars kan uppstå tillämpningsproblem. I värsta fall skulle författningar med hänvisningar till personuppgiftslagen kunna tolkas som att personuppgiftsbehandlingen delvis är oreglerad, med brister i integri-tetsskyddet som följd. Regeringen delar därför utredningens bedömning om att det behövs någon form av övergångsreglering.
fortfarande att hänvisa till personuppgiftslagen vid denna tidpunkt. Det finns ett behov av att klargöra hur sådana hänvisningar ska tolkas, efter-som det annars kan uppstå tillämpningsproblem. I värsta fall skulle författningar med hänvisningar till personuppgiftslagen kunna tolkas som att personuppgiftsbehandlingen delvis är oreglerad, med brister i integri-tetsskyddet som följd. Regeringen delar därför utredningens bedömning om att det behövs någon form av övergångsreglering.