16 Sanktioner, skadestånd och rättsmedel
16.3 Skadestånd
16.3.2 Skadeståndsskyldighet för den
Regeringens förslag: Den personuppgiftsansvarige ska ersätta den
registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med den nya lagen eller föreskrifter som meddelats i anslutning till den.
Regeringens bedömning: Det bör inte införas någon jämkningsregel
i lagen.
Utredningens förslag och bedömning överensstämmer med rege-
ringens.
Remissinstanserna: Justitiekanslern välkomnar den föreslagna hän-
visningen till Säkerhetspolisens nya lag i 3 § förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. Sveriges advokat-
samfund ställer sig tveksam till om möjligheten till skadestånd kommer att
få någon praktisk effekt på grund av svårigheten att driva en sådan talan.
Skälen för regeringens förslag och bedömning
Nuvarande reglering
Enligt 48 § första stycket personuppgiftslagen ska den personuppgifts- ansvarige ersätta den registrerade för skada och kränkning av den person- liga integriteten som behandling av personuppgifter i strid med lagen har orsakat. Alla åtgärder som är oförenliga med personuppgiftslagen kan leda till skadeståndsskyldighet, om de allmänna kraven för skadestånd är uppfyllda. Ersättningsskyldighet inträder så snart en bestämmelse över- trätts, vilket gör att skadeståndsansvaret är strikt. Enligt 48 § andra stycket kan ersättningsskyldigheten, om det är skäligt, jämkas om den
Prop. 2018/19:163 personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Bestämmelsen i 48 § personuppgiftslagen gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 12 och 6 kap. 4 § 1 polisdatalagen.
I 7 kap. 1 § brottsdatalagen finns en bestämmelse som motsvarar 48 § första stycket personuppgiftslagen. Eftersom det inte finns någon excul- peringsbestämmelse i direktivet har regeringen inte ansett det möjligt att öppna för möjlighet till jämkning i brottsdatalagen (prop. 2017/18:232 s. 344.).
Det bör införas en regel om skadeståndsskyldighet i den nya lagen
Det bör i den nya lagen finnas en bestämmelse som reglerar den personuppgiftsansvariges dvs. Säkerhetspolisens och Polismyndighetens skadeståndsansvar. Den bör formuleras på samma sätt som i brottsdata- lagen. Den synpunkt som Sveriges advokatsamfund har lämnat i fråga om möjligheterna att driva en skadeståndstalan föranleder inte någon annan bedömning.
Bestämmelsen skulle kunna föreskriva att skadeståndsersättning får jämkas, eftersom regleringen inte behöver följa direktivets bestämmelser. Det underlättar emellertid både för tillämparen och för den enskilde om regleringen i den delen stämmer överens med övriga registerförfattningar på området. Intresset av en enhetlig reglering väger enligt regeringen tyngre än den personuppgiftsansvariges intresse av att eventuella skadeståndsanspråk i vissa fall kan jämkas. Den nya lagen bör därför inte innehålla någon jämkningsbestämmelse.
Enligt 48 § personuppgiftslagen är det enbart den personuppgiftsansva- rige som är skadeståndsskyldig. Gentemot den registrerade är den per- sonuppgiftsansvarige ansvarig för all behandling, dvs. även när ett per- sonuppgiftsbiträde eller annan hjälp anlitas. Om fel har begåtts av t.ex. ett personuppgiftsbiträde anses det alltså bero på den personuppgifts- ansvarige.
Enligt dataskyddsförordningen ska det även finnas möjlighet att rikta skadeståndstalan mot personuppgiftsbiträden (artikel 82.1), men i data- skyddsdirektivet finns ingen motsvarande bestämmelse. Enligt brotts- datalagen är det därför bara den personuppgiftsansvarige som är skade- ståndsansvarig. För den registrerade tillgodoses rätten till ersättning för skada som ett personuppgiftsbiträde har orsakat genom att den person- uppgiftsansvarige är ansvarig även för biträdets handlande. Det finns inte skäl att frångå denna ordning i den nya lagen.
Det finns dock skäl att erinra om att ett personuppgiftsbiträde ibland är att anse som personuppgiftsansvarig för viss behandling och då givetvis kan bli skadeståndsskyldig i den egenskapen (avsnitt 13.4.4).
I dag prövar Justitiekanslern frågor om skadeståndsskyldighet enligt 48 § personuppgiftslagen. Frågan om myndigheten bör pröva om staten är skadeståndsskyldig enligt den nya lagen tas om hand i samband med framtagandet av förordningsändringar.
Skadeståndets omfattning
Rätten till personlig integritet är en immateriell rättighet. Den personuppgiftsansvarige är därför ersättningsskyldig inte bara för
ekonomisk skada utan även för ideell skada. Den enskilde har alltså, Prop. 2018/19:163 förutom rätt till ersättning för personskada, sakskada och ren
förmögenhetsskada, rätt till ekonomisk kompensation för kränkningen. Det är bara skada eller kränkning som behandlingen har fört med sig som ska ersättas. Orsakssambandet ska vara adekvat.
Som regeringen konstaterar i förarbetena till brottsdatalagen möter den nuvarande skadeståndsregeln i personuppgiftslagen både kravet på att all skada ska ersättas och att det ska finnas adekvat kausalitet. Skadestånds- bestämmelsen i brottsdatalagen har därför utformats med den som mönster (prop. 2017/18:232 s. 343). Detsamma bör gälla för skadeståndsbe- stämmelsen i den nya lagen. Den bör i huvudsak kunna tolkas i enlighet med den praxis som har utvecklats med anledning av bestämmelsen i personuppgiftslagen.
Hur ska ersättningen för kränkning beräknas?
Liksom i dag bör ersättningen för kränkning uppskattas efter skälighet, mot bakgrund av samtliga omständigheter. Det som kan ha betydelse är bl.a. att personuppgifter spridits eller att det funnits risk för otillbörlig spridning av integritetskänsliga eller felaktiga personuppgifter. En annan omständighet kan vara att den registrerade drabbats av beslut eller andra åtgärder som fått eller kunnat få negativa konsekvenser för honom eller henne. Om den registrerade själv har lämnat oriktig eller ofullständig in- formation till den personuppgiftsansvarige, kan även detta ha betydelse vid beräkningen. En jämförelse kan göras med vad som gäller i fråga om betydelsen av den skadelidandes eget agerande när det gäller kränknings- ersättning vid brott (Ersättning för ideell skada, prop. 2000/01:68, s. 52).
Förhållandet till skadeståndslagen
Bestämmelsen i den nya lagen kommer i likhet med 48 § personuppgifts- lagen att vara en sådan specialbestämmelse om skadestånd som enligt 1 kap. 1 § skadeståndslagen tar över de allmänna reglerna i den lagen. Om en ersättningsfråga inte regleras i den nya lagen – t.ex. hur ersättningen för en personskada eller sakskada ska beräknas (5 kap. skadeståndslagen) eller hur ansvaret ska fördelas när flera är skadeståndsskyldiga (6 kap. 4 § skadeståndslagen) – tillämpas de allmänna reglerna i skadeståndslagen.
16.4
Överklagande
16.4.1 Överklagande av den personuppgiftsansvariges
beslut
Regeringens förslag: Beslut i fråga om rättelse, komplettering, rade-
ring eller begränsning av behandlingen som har meddelats på begäran av den registrerade, ska kunna överklagas till allmän förvaltningsdom- stol. Detsamma gäller beslut att inte lämna information på begäran av en registrerad eller att ta ut avgift för att lämna sådan information. Vid överklagande till kammarrätten ska det krävas prövningstillstånd.
Prop. 2018/19:163 Några andra beslut än de som uttryckligen anges i lagen ska inte få överklagas.
Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt i denna del. Skälen för regeringens förslag
Behov av en överklagandebestämmelse i den nya lagen
Enligt 52 § första stycket personuppgiftslagen får vissa beslut som fattas av en personuppgiftsansvarig som är en myndighet överklagas till allmän förvaltningsdomstol. Det gäller beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 §. Bestämmelsen gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 13 och 6 kap. 4 § 1 polisdatalagen.
Det är naturligt att se en myndighets beslut i egenskap av personupp- giftsansvarig, exempelvis i fråga om en personuppgift ska rättas eller inte, som ett utflöde av dess myndighetsutövning. I allmänhet har myndigheten behandlat personuppgifterna i syfte att fullgöra myndighetsuppgifter. Personuppgifterna har också normalt behandlats med stöd av olika författningsbestämmelser, oberoende av den registrerades samtycke. I 7 kap. 2 § brottsdatalagen finns därför en bestämmelse som motsvarar 52 § första stycket personuppgiftlagen. En liknande bestämmelse bör, som utredningen föreslår, tas in även i den nya lagen.
Vilka beslut ska kunna överklagas?
När det gäller enskildas rätt att överklaga myndighetsbeslut bör samma utgångspunkt gälla som i fråga om rätten att överklaga beslut enligt per- sonuppgiftslagen. Överklaganderätten bör alltså enbart ta sikte på sådana beslut av myndigheten som den fattat i egenskap av personuppgiftsansva- rig och som direkt berör den enskilde och som gått honom eller henne emot. Sådana beslut bör på samma sätt som andra förvaltningsbeslut kunna överklagas till allmän förvaltningsdomstol.
Enligt 7 kap. 2 § brottsdatalagen kan beslut som fattas på begäran av en registrerad om att personuppgifter ska rättas, kompletteras eller raderas eller att behandlingen av personuppgifter ska begränsas överklagas. Det gäller oavsett om myndigheten avslår begäran eller vidtar en annan åtgärd än den som begärts. Har myndigheten helt eller delvis underlåtit att lämna information som den enskilde har begärt, kan beslutet överklagas. Även beslut att ta ut avgift för information eller att vägra omprövning av ett automatiserat beslut kan överklagas. Uppräkningen motsvarar i allt väsentligt de beslut som i dag får överklagas enligt 52 § personuppgifts- lagen. På samma sätt som i brottsdatalagen bör det i den nya lagen framgå vilka beslut som får överklagas. Eftersom det inte förekommer några automatiserade beslut i Säkerhetspolisens verksamhet behövs dock inte någon bestämmelse om överklagande av sådana beslut.
Överklagandena bör, på samma sätt som i dag, prövas av allmän för- valtningsdomstol. Vid överklagande till kammarrätten bör det krävas prövningstillstånd.
Vad bör inte få överklagas? Prop. 2018/19:163 Av 53 § personuppgiftslagen framgår att andra beslut som en personupp-
giftsansvarig myndighet fattat enligt lagen inte får överklagas. Bestäm- melsen gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 13 och 6 kap. 4 § 1 polisdatalagen.
På samma sätt som i dag bör inte alla beslut som Säkerhetspolisen fattar i egenskap av personuppgiftsansvarig få överklagas. Administrativa beslut av myndigheten, t.ex. i fråga om tillgången till personuppgifter, berör inte den enskilde på ett sådant sätt att de ska få överklagas. Det bör därför av den nya lagen framgå att andra beslut än de som räknas upp inte får överklagas. En motsvarande bestämmelse finns i brottsdatalagen.
16.4.2 Överklagande av tillsynsmyndighetens beslut
Regeringens förslag: Tillsynsmyndighetens beslut enligt den nyalagen ska få överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen.
Vid överklagande till kammarrätten ska det krävas prövningstillstånd.
Utredningens förslag överensstämmer i huvudsak med regeringens. I
utredningens förslag anges inte uttryckligen att tillsynsmyndigheten har ställning som motpart i domstolen. Enligt utredningens förslag ska även tillsynsmyndighetens beslut enligt föreskrifter som meddelats i anslutning till lagen få överklagas till allmän förvaltningsdomstol.
Remissinstanserna: Kammarrätten i Stockholm och Förvaltningsrätten
i Stockholm anser att det bör klargöras att tillsynsmyndigheten är motpart
om dess beslut överklagas.
Skälen för regeringens förslag
En överklagandebestämmelse bör tas in i den nya lagen
Enligt 42 § förvaltningslagen (2017:900) får ett beslut överklagas av den som beslutet angår, om det har gått honom eller henne emot. Enligt 51 § första stycket personuppgiftslagen får tillsynsmyndighetens beslut, med undantag av beslut om föreskrifter, överklagas till allmän förvaltnings- domstol. Bestämmelsen gäller för Säkerhetspolisen genom hänvisningar i 2 kap. 2 § första stycket 13 och 6 kap. 4 § 1 polisdatalagen.
Om en myndighets befogenheter regleras i en författning bör det som huvudregel av samma författning framgå om och i så fall hur myndighe- tens beslut kan överklagas. En sådan ordning ger en samlad bild både av vilka befogenheter en myndighet har och hur den som blir föremål för myndighetens beslut kan angripa dem. Regeringen föreslår nu att till- synsmyndighetens befogenheter regleras i den nya lagen (avsnitt 15.1.3). Den nya lagen bör därför även reglera rätten att överklaga tillsynsmyndighetens beslut. En motsvarande bestämmelse finns i 7 kap. 4 § brottsdatalagen.
Prop. 2018/19:163 Vilka beslut ska få överklagas?
Rätten att överklaga beslut regleras genom bestämmelser i specialför- fattningar och myndighetsinstruktioner. Även om det i en författning an- ges att ett beslut enligt författningen eller ett beslut av en viss myndighet får överklagas, innebär det inte att alla sådana beslut är överklagbara. Överklagbarheten är nämligen begränsad till följd av allmänna principer som har utbildats i rättspraxis (jfr RÅ 2007 ref. 7 och där angivna rättsfall). En myndighets faktiska handlande eller underlåtenhet att handla kan exempelvis inte överklagas. Normalt saknas det också möjlighet att klaga över motiveringen till ett beslut (prop. 1997/98:101 s. 49 f.). En annan begränsning för överklagande är att beslutet inte får ha en alltför obetydlig verkan för parter eller andra. Frågan om överklagbarhet har prövats när det gäller tillsynsmyndighetens beslut enligt personuppgiftslagen, för exempel se Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen, En kommentar, 4:e uppl. 2011, i fortsättningen Öman m.fl. m.fl. s. 549 f.
Bestämmelsen i den nya lagen bör med beaktande av det som nu har sagts och i likhet med dagens reglering ha som utgångspunkt att tillsyns- myndighetens beslut ska kunna överklagas. Av tydlighetsskäl bör det, som
Kammarrätten i Stockholm och Förvaltningsrätten i Stockholm anför,
även framgå av bestämmelsen att tillsynsmyndigheten har ställning som motpart i ett sådant mål hos domstolen (jfr 22 kap. 5 § lagen [2016:1145] om offentlig upphandling). Det kan i vissa fall vara svårt att förutse vilka beslut som går att överklaga. En fullständig reglering är emellertid inte lämplig att göra. På samma sätt som i dag får det i stället avgöras i rätts- tillämpningen om ett beslut som tillsynsmyndigheten har fattat är över- klagbart.
Överklagandena bör på samma sätt som i dag prövas av allmän förvalt- ningsdomstol. Det bör krävas prövningstillstånd vid överklagande till kammarrätten.
Till skillnad från utredningen ansåg regeringen i förarbetena till brotts- datalagen att överklagandemöjligheten avseende beslut enligt föreskrifter inte bör regleras i den nya lagen (prop. 2017/18:232 s. 353). Det finns inte skäl att här göra en annan bedömning.
Vem får överklaga?
För att någon ska få överklaga ett beslut ska han eller hon ha klagorätt. Om en person har klagorätt måste bedömas i varje enskilt fall av den domstol som behandlar överklagandet.
I 51 § personuppgiftslagen ställs det inte något krav på att den som kla- gar ska vara part. I praxis har det inte heller krävts att den som överklagar tillsynsmyndighetens beslut har ställning som part. I stället har det bl.a. förts resonemang kring dels om beslutet angått den som överklagat det, dels om det gått honom eller henne emot. Det finns inte heller skäl att i den nya lagen ställa krav på att den som klagar ska vara part. Bestämmelsen om överklagande av tillsynsmyndighetens beslut bör därför utformas med 51 § första stycket personuppgiftslagen som mönster.
Att det är den som beslutet angår och som det gått emot som har klago- rätt innebär i praktiken att det är den beslutet riktas mot som har rätt att överklaga tillsynsmyndighetens beslut. I ett tillsynsärende kommer det oftast att vara Säkerhetspolisen eller ett personuppgiftsbiträde. Det kan
dock inte uteslutas att beslut av tillsynsmyndigheten i något annat fall Prop. 2018/19:163 skulle kunna få rättsliga följder även för någon annan än den som beslutet
riktar sig mot. Vederbörande har då rätt att överklaga beslutet enligt förvaltningslagens regler om talerätt.
Särskilt om Säkerhetspolisens rätt att överklaga
De allmänna förvaltningsrättsliga principerna om klagorätt anses bara vara tillämpliga på myndigheter när de uppträder i någon privaträttslig egenskap, exempelvis som arbetsgivare eller fastighetsägare. Då anses myndigheter ha samma rätt att överklaga som enskilda. När myndigheter däremot uppträder i sin offentligrättsliga roll, vilket de gör i egenskap av personuppgiftsansvariga, är förhållandena annorlunda. En myndighet får då överklaga en annan myndighets beslut bara under vissa förutsättningar. Utgångspunkten är då att överklagande kräver författningsstöd.
Säkerhetspolisen anses redan i dag kunna överklaga tillsynsmyndig- hetens beslut till allmän förvaltningsdomstol enligt 51 § personuppgifts- lagen. Detsamma bör gälla enligt den nya lagen.