SFS 2018:405 Lag om ändring i kreditupplysningslagen (1973:1173)

Du är här: Start / Bank- och finansmarknadsrätt / Kreditupplysningslag (1973:1173) / SFS 2018:405 Lag om ändring i kreditupplysningslagen (1973:1173)
SFS2018-405.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

background image

1

Svensk författningssamling

Lag

om ändring i kreditupplysningslagen (1973:1173)

Utfärdad den 3 maj 2018

Enligt riksdagens beslut1 föreskrivs i fråga om kreditupplysningslagen
(1973:1173)2

dels att 5, 6, 10�12, 15 och 21 §§ och rubriken närmast före 12 § ska ha

följande lydelse,

dels att det ska införas två nya paragrafer, 1 a och 12 a §§, och närmast

före 12 a § en ny rubrik av följande lydelse.

1 a § Denna lag innehåller, i den del den avser behandling av person-
uppgifter, bestämmelser som kompletterar Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän
dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid sådan behandling av personuppgifter som omfattas av EU:s

dataskyddsförordning gäller även lagen (2018:218) med kompletterande
bestämmelser till EU:s dataskyddsförordning och föreskrifter som har
meddelats i anslutning till den lagen, om inte annat följer av denna lag eller
föreskrifter som regeringen har meddelat i anslutning till lagen.

5 §3 Kreditupplysningsverksamhet ska bedrivas så att den inte leder till
otillbörligt intrång i personlig integritet genom innehållet i de upplysningar
som förmedlas eller på annat sätt eller till att oriktiga eller missvisande upp-
gifter lagras eller lämnas ut. För sådan behandling av personuppgifter som
omfattas av EU:s dataskyddsförordning gäller i stället artikel 5 i den
förordningen.

Uppgifter om fysiska personer får samlas in endast för kreditupplys-

ningsändamål.

Vid helt eller delvis automatiserad behandling av uppgifter om juridiska

personer ska den som bedriver kreditupplysningsverksamhet vidta lämpliga
tekniska och organisatoriska säkerhetsåtgärder för att hindra att behand-
lingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn.
Bestämmelser om säkerheten vid behandling av personuppgifter finns i EU:s
dataskyddsförordning.

I kreditupplysningsverksamhet får personuppgifter behandlas utan sam-

tycke. Den registrerade har inte rätt att göra invändningar enligt artikel 21.1
i EU:s dataskyddsförordning mot behandlingen.

1 Prop. 2017/18:120, bet. 2017/18:FiU37, rskr. 2017/18:250.

2 Lagen omtryckt 1981:737.

3 Senaste lydelse 2001:164.

SFS

2018:405

Publicerad
den

8 maj 2018

background image

2

SFS

Andra stycket tillämpas inte i den utsträckning det skulle strida mot

bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

6 §4 Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning
(känsliga personuppgifter) får inte behandlas i kreditupplysningsverk-
samhet.

Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål,

straffprocessuella tvångsmedel eller administrativa frihetsberövanden får
inte utan medgivande av Datainspektionen behandlas i kreditupplysnings-
verksamhet. Ett medgivande får lämnas endast om det finns synnerliga skäl
för det.

Andra stycket hindrar inte att uppgifter om betalningsförsummelser,

kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverk-
samhet.

10 §5 En juridisk person har rätt att mot skälig avgift hos den som bedriver
kreditupplysningsverksamhet få skriftligt besked om huruvida det i verk-
samheten behandlas uppgifter om den juridiska personen. Behandlas sådana
uppgifter ska besked lämnas om

a) vilka uppgifter som behandlas,
b) ändamålen med behandlingen, och
c) till vilka mottagare eller kategorier av mottagare som uppgifterna

lämnas ut.

Första stycket tillämpas inte i den utsträckning det skulle strida mot

bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.

Bestämmelser om en fysisk persons rätt till tillgång till personuppgifter

och annan information finns i artiklarna 12 och 15 i EU:s dataskydds-
förordning.

11 §6 När en kreditupplysning om en fysisk person lämnas ut, ska till den
som avses med upplysningen samtidigt och kostnadsfritt sändas ett skriftligt
meddelande om

1. vem som bedriver kreditupplysningsverksamheten och kontaktupp-

gifter till dataskyddsombudet, om ett sådant ombud krävs enligt artikel 37 i
EU:s dataskyddsförordning,

2. ändamålen med och den rättsliga grunden för behandlingen,
3. vilka kategorier av personuppgifter som behandlas, varifrån upp-

gifterna hämtats och hur länge uppgifterna kommer att lagras,

4. de uppgifter, omdömen och råd som upplysningen innehåller om

honom eller henne,

5. möjligheten att få tillgång till och rättelse av de uppgifter som rör

honom eller henne,

6. vilka kategorier av mottagare som kan ta del av personuppgifterna och

vem som har begärt upplysningen, och

7. möjligheten att framställa klagomål till Datainspektionen.
Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värde-

pappersbolag, eller till ett motsvarande utländskt företag, för att användas
endast som underlag för beräkning av kapitalkravet för kreditrisker med en
sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets
förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för
kreditinstitut och värdepappersföretag och om ändring av förordning (EU)

4 Senaste lydelse 2001:164.

5 Senaste lydelse 2001:164.

6 Senaste lydelse 2014:970.

2018:405

background image

3

SFS

nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och
begränsas till information enligt första stycket 1, 2 och 6. Om den som avses
med upplysningen begär det, ska även information enligt 3, 4, 5 och 7 sändas
till honom eller henne.

Första och andra styckena gäller också när en kreditupplysning lämnas

om ett handelsbolag eller kommanditbolag.

Första�tredje styckena gäller inte kreditupplysningar som lämnas genom

offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller
yttrandefrihetsgrundlagen, utom när upplysningarna tillhandahålls ur en
databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den
paragrafens första stycke 1 och 2.

Rättelse, komplettering och radering
12 §
7 Om det finns anledning att misstänka att en uppgift som behandlas i
kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning
under den senaste tolvmånadersperioden är oriktig eller missvisande, eller
att den annars har behandlats i strid med denna lag eller EU:s dataskydds-
förordning, ska den som bedriver verksamheten utan dröjsmål vidta skäliga
åtgärder för att utreda förhållandet.

Om det visar sig att uppgiften är oriktig eller missvisande, eller att den

annars har behandlats i strid med lagen eller EU:s dataskyddsförordning, ska
den, om den förekommer i register, rättas, kompletteras eller raderas.

Om en oriktig eller missvisande uppgift har tagits in i en kreditupplysning

som lämnats ut, ska rättelse eller komplettering så snart det kan ske tillställas
var och en som under den senaste tolvmånadersperioden fått del av upp-
giften. Detta gäller inte offentliggörande av en kreditupplysning på ett
sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrund-
lagen, utom när upplysningen tillhandahållits ur en databas enligt 1 kap. 9 §
yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke
1 och 2.

Om uppgiften under den senaste tolvmånadersperioden har lämnats i en

periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom
återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska
rättelse eller komplettering så snart det kan ske införas i ett följande nummer
av skriften eller motsvarande form av offentliggörande enligt yttrande-
frihetsgrundlagen.

Andra�fjärde styckena gäller inte om uppgiften uppenbarligen saknar

betydelse för bedömningen av personens vederhäftighet i ekonomiskt
hänseende.

Om en fråga om rättelse eller liknande åtgärd har tagits upp efter fram-

ställning från den som uppgiften avser, ska han eller hon kostnadsfritt
underrättas om huruvida en sådan åtgärd har vidtagits. En fysisk person ska
på begäran även få information om vem som har tillställts en rättelse eller
komplettering enligt tredje stycket.

Begränsning av behandling av personuppgifter
12 a §
I artikel 18 i EU:s dataskyddsförordning finns bestämmelser om
fysiska personers rätt att begära att behandlingen av personuppgifter
begränsas.

7 Senaste lydelse 2010:1073.

2018:405

background image

4

SFS

15 § Datainspektionen utövar tillsyn över efterlevnaden av denna lag.

Tillsynen ska utövas så att den inte vållar större kostnad eller olägenhet

än som är nödvändig.

Vid tillsyn över sådan behandling av personuppgifter som omfattas av

EU:s dataskyddsförordning gäller Datainspektionens befogenheter enligt
denna lag utöver de befogenheter som tillsynsmyndigheten har enligt artikel
58.1�58.3 i den förordningen.

21 § Den som bedriver kreditupplysningsverksamhet ska ersätta skada
som till följd av verksamheten tillfogas någon genom otillbörligt intrång i
hans eller hennes personliga integritet eller genom att en oriktig uppgift
lämnas om honom eller henne, om inte den som bedriver verksamheten kan
visa att tillbörlig omsorg och varsamhet har iakttagits. Vid bedömningen av
i vilken utsträckning skada har uppstått ska hänsyn tas även till lidande och
andra omständigheter av annan än rent ekonomisk betydelse.

För sådan behandling av personuppgifter som omfattas av EU:s data-

skyddsförordning gäller artikel 82 i den förordningen i stället för första
stycket.

Denna lag träder i kraft den 25 maj 2018.

På regeringens vägnar

MORGAN JOHANSSON

Erik Tiberg
(Justitiedepartementet)

2018:405