Prop. 2017/18:105
148
bedömning. Vidare föreslår utredningen att den till dataskyddslagen anslutande förordningen ska innehålla vissa bestämmelser om betalning och indrivning av sanktionsavgifter. Bland annat anges i utredningens förslag till förordning att sanktionsavgift ska betalas inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, föreslås att myndigheten ska lämna den obetalda avgiften för indrivning samt att verkställighet får ske enligt utsökningsbalken. Den bestämmelsen bör enligt regeringens mening tas in i dataskyddslagen.
Utredningen bedömer att föreskrifter om verkställighet av sanktions-avgifter kan meddelas av regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § RF. Regeringen anser dock att det sannolikt kommer att behövas föreskrifter om sanktionsavgifter som går utöver vad som omfattas av denna normgivningskompetens. Det behövs därför ett bemyndigande i dataskyddslagen som anger att regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt dataskydds-förordningen och dataskyddslagen.
17 Rättsmedel och processuella frågor
17.1 Rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet
17.1.1 Rätt att föra talan om ersättning
Regeringens förslag: Rätten till ersättning från den personuppgifts-ansvarige och personuppgiftsbiträdet enligt EU:s dataskyddsförord-ning gäller vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Vetenskapsrådet välkomnar utredningens förslag att införa en bestämmelse om skadestånd som omfattar övriga tillämpliga författningar. Justitiekanslern anser att den föreslagna lagtexten rörande skadestånd möjligen utvidgar skade-ståndsansvaret i förhållande till vad som krävs enligt dataskydds-förordningen. Lunds universitet ifrågasätter om formuleringen andra författningar som kompletterar dataskyddsförordningen är tillräckligt precis. Svensk Handel anser att det finns ett behov av en preskriptionstid för skadeståndsanspråk.
Skälen för regeringens förslag
Rätten till ersättning gäller vid överträdelser av dataskyddslagen och sektorsspecifika föreskrifter
Enligt 48 § PUL ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en
149 Prop. 2017/18:105 ling av personuppgifter i strid med personuppgiftslagen har orsakat.
Bestämmelsen gäller endast vid behandling i strid med personuppgifts-lagen och alltså inte vid behandling i strid med sektorsspecifik lag-stiftning. Många sektorsspecifika författningar innehåller emellertid en hänvisning till skadeståndsbestämmelsen i personuppgiftslagen.
I dataskyddsförordningen regleras rätten till ersättning genom en direkt tillämplig bestämmelse, som tar över de allmänna skadeståndsreglerna i skadeståndslagen (1 kap. 1 §). Enligt artikel 82 ska varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Enligt dataskydds-förordningen kan således även personuppgiftsbiträden bli skadestånds-skyldiga under vissa förutsättningar. Ersättningen ska täcka såväl materiell som immateriell skada, dvs. med svenska termer ekonomisk och ideell skada. Kränkning, som i 48 § PUL nämns särskilt vid sidan av skada, får anses utgöra en immateriell skada. I skäl 146 och artikel 82.2–
5 preciseras närmare under vilka förutsättningar personuppgiftsansvariga och personuppgiftsbiträden kan hållas ansvariga för uppkomna skador.
Domstolsförfaranden rörande skadestånd ska enligt artikel 82.6 tas upp vid de domstolar som är behöriga enligt artikel 79.2, dvs. vid en domstol i den medlemsstat där den personuppgiftsansvarige eller personuppgifts-biträdet är etablerad. Såvida den ansvarige eller personuppgifts-biträdet inte är en myndighet får talan i stället väckas vid en domstol i den medlemsstat där den registrerade har sin hemvist. Bestämmelsen tar över rättegångs-balkens allmänna forumregler (10 kap. 21 § rättegångsbalken).
Dataskyddsförordningen innehåller inte någon reglering om preskrip-tionstid för skadeståndsanspråk som riktas mot den personuppgifts-ansvarige eller personuppgiftsbiträdet. Någon särskild föreskriven pre-skriptionsfrist finns inte heller för skadeståndsanspråk enligt person-uppgiftslagen. Det är i stället de allmänna reglerna i preskriptionslagen (1981:130) som gäller. Regeringen anser till skillnad från Svensk Handel inte att det framkommit skäl att införa särskilda regler om preskription för ersättning enligt dataskyddsförordningen.
Enligt ordalydelsen i artikel 82 gäller rätten till ersättning vid skada som uppstått till följd av behandling som strider mot dataskydds-förordningen. Med detta uttryck avses dock enligt skäl 146 även behand-ling som strider mot nationella bestämmelser som närmare specificerar förordningens bestämmelser. Regeringen anser, i likhet med utredningen, att detta bör förtydligas i dataskyddslagen genom en bestämmelse som upplyser om att rätten till ersättning gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. Till skillnad från Lunds universitet anser regeringen att den av utredningen föreslagna avgränsningen är tillräckligt tydlig, eftersom dataskyddsförordningen reglerar gränserna för vad som får regleras i nationell rätt. Sådana föreskrifter som kompletterar förordningen och som skulle kunna läggas till grund för ersättningsanspråk enligt artikel 82 är enligt regeringens bedömning av det slaget att de fastställer mer specifika krav för behandlingen av personuppgifter, på det sätt som anges i t.ex. artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen.
Prop. 2017/18:105
150
Bestämmelsen innebär emellertid, som Justitiekanslern påpekar, en viss utvidgning av rätten till ersättning jämfört med vad som gäller enligt dataskyddsförordningen. Eftersom dataskyddsförordningens tillämp-ningsområde utsträcks genom dataskyddslagen till att gälla även i verksamhet som inte omfattas av unionsrätten, kommer rätten till ersättning också som huvudregel att gälla vid överträdelser av sektors-specifika bestämmelser som kompletterar förordningen inom det utsträckta området. Bestämmelsen utgör även en viss utvidgning av rätten till ersättning jämfört med vad som gäller i dag, eftersom den omfattar överträdelser av bestämmelser i alla sektorsspecifika författ-ningar och inte bara de som särskilt reglerar denna fråga. Detta, vilket är en följd av bestämmelsen i artikel 82 så som den ska tolkas enligt skäl 146, utgör enligt regeringens mening en förstärkning av integritets-skyddet och av den registrerades tillgång till effektiva rättsmedel.
17.1.2 Rätt att överklaga en myndighets beslut om personuppgiftsbehandling
Regeringens förslag: Om den personuppgiftsansvarige är en myndig-het, får beslut som myndigheten fattar enligt EU:s dataskydds-förordning med anledning av att en registrerad utövar sin rätt till information och tillgång till personuppgifter, rättelse, radering, begränsning, invändning eller dataportabilitet överklagas till allmän förvaltningsdomstol. Detta gäller inte beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller Riksdagens ombudsmän.
Andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskyddsförordningen får inte överklagas.
Utredningens förslag överensstämmer delvis med regeringens.
Utredningen föreslår inte att beslut om dataportabilitet ska anges i bestämmelsen om överklagande av myndighetsbeslut. Vidare anges även riksdagen i utredningens förslag till undantag. Slutligen föreslår utredningen inte något uttryckligt överklagandeförbud i fråga om andra beslut som meddelas enligt dataskyddsförordningen.
Remissinstanserna: Det stora flertalet remissinstanser tillstyrker utredningens förslag eller har inga synpunkter på det. Pensionsmyndig-heten och Sveriges advokatsamfund anser att det bör framgå att även beslut om dataportabilitet får överklagas. Dataskydd.net anser att även beslut enligt artiklarna 14.5 b–d och 22 ska kunna överklagas.
Förvaltningsrätten i Stockholm saknar överväganden kring, eller en förklaring till, varför de båda högsta domstolsinstansernas beslut har undantagits från rätten att överklaga beslut.
Skälen för regeringens förslag: Om den personuppgiftsansvarige är en myndighet får enligt gällande rätt vissa av de beslut som myndigheten fattar i denna egenskap överklagas till allmän förvaltningsdomstol (52 § PUL). Denna rätt gäller endast myndighetens beslut om informa-tion enligt 26 § PUL, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Bestämmelsen har inte sin grund i dataskyddsdirektivet, utan
151 Prop. 2017/18:105 motiveras av allmänna förvaltningsrättsliga principer om att
förvaltnings-beslut som direkt berör en enskild person ska kunna överprövas av domstol (prop. 2005/06:173 s. 51–53).
När den personuppgiftsansvarige är en myndighet kan vissa beslut som meddelas till följd av en begäran av en registrerad sägas vara ett utflöde av myndighetens myndighetsutövning. Sådana beslut bör därför kunna överklagas av den registrerade. I den mån myndigheten omfattas av förvaltningslagens tillämpningsområde är besluten överklagbara enligt allmänna förvaltningsrättsliga principer. När den nya förvaltningslagen träder i kraft kommer rätten att överklaga sådana beslut att följa direkt av den lagen. Det behövs därmed i och för sig inte någon uttrycklig bestämmelse om rätten att överklaga beslut som fattas enligt dataskydds-förordningen i dataskyddslagen. Beslut enligt dataskyddsdataskydds-förordningen kommer emellertid att fattas av personuppgiftsansvariga myndigheter även i andra fall än till följd av att en registrerad utövar sina rättigheter.
Sådana andra beslut, t.ex. om att utnämna ett dataskyddsombud eller att anmäla en personuppgiftsincident, bör inte vara överklagbara.
Dataskyddslagen bör därför, i likhet med personuppgiftslagen, förses med en uttrycklig bestämmelse om att endast vissa myndighetsbeslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
Enligt 52 § PUL gäller rätten att överklaga inte sådana beslut som har fattats av riksdagen, regeringen eller riksdagens ombudsmän. Utred-ningen föreslår att denna begränsning bör gälla även enligt dataskydds-lagen. Eftersom riksdagen inte utgör en myndighet enligt svensk rätt behöver den dock inte undantas. Utredningen föreslår därutöver att beslut som fattas av de högsta domstolsinstanserna ska undantas. Som Förvalt-ningsrätten i Stockholm påpekar lämnas ingen motivering till detta i betänkandet. Regeringen kan dock konstatera att Högsta domstolen är högsta allmänna domstol och Högsta förvaltningsdomstolen är högsta förvaltningsdomstol (11 kap. 1 § RF). Av detta följer att dessa dom-stolars avgöranden inte kan överklagas. Högsta domstolens och Högsta förvaltningsdomstolens egna beslut enligt dataskyddsförordningen bör därför inte kunna överklagas. Detta överensstämmer med vad som gäller enligt bl.a. offentlighets- och sekretesslagen (6 kap. 7 § tredje stycket OSL). Regeringen anser därför att beslut från regeringen, Riksdagens ombudsmän och de högsta domstolarna ska undantas från rätten att överklaga.
Rätten att överklaga bör omfatta beslut som en personuppgiftsansvarig myndighet fattar med anledning av att en registrerad utövar sina rättigheter enligt kapitel III i dataskyddsförordningen. De bestämmelser som kan föranleda överklagbara beslut rör enligt utredningens bedöm-ning avgifter m.m. (artikel 12.5), tillgång till personuppgifter m.m.
(artikel 15), rättelse (artikel 16), radering (artikel 17), begränsning (artikel 18), underrättelse till tredje man om rättelse, radering eller begränsning (artikel 19) och invändningar (artikel 21). Som Pensions-myndigheten och Sveriges advokatsamfund påpekar skulle dock i vissa fall även bestämmelsen om dataportabilitet i artikel 20 kunna föranleda beslut av en personuppgiftsansvarig myndighet och bör därför av tydlighetsskäl också anges i den föreslagna bestämmelsen om över-klagande. Dataskydd.net anser därutöver att bestämmelserna om
Prop. 2017/18:105
152
mation i artiklarna 14.5 b–d och om automatiserade beslut i artikel 22 bör omfattas av rätten att överklaga. Regeringen kan dock konstatera att rätten till information inte omfattas av överklagandebestämmelsen i 52 § PUL och att det inte finns skäl att nu införa en annan ordning. När det gäller automatiserade beslut innehåller 52 § PUL visserligen en hänvis-ning till 29 § andra stycket PUL, som anger att den registrerade har rätt att på begäran få information om vad som har styrt den automatiserade behandling som lett fram till beslutet. Någon sådan rätt till information föreligger emellertid inte enligt artikel 22 i dataskyddsförordningen.
Följaktligen bör någon rätt att överklaga beslut enligt artikel 22 inte införas i dataskyddslagen. Vidare bör det av dataskyddslagen framgå att andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskyddsförordningen inte får överklagas.