SFS 2018:218 Lag med kompletterande bestämmelser till EU:s dataskyddsförordning

SFS2018-218.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

background image

1

Svensk författningssamling

Lag

med kompletterande bestämmelser till EU:s

dataskyddsförordning

Utfärdad den 19 april 2018

Enligt riksdagens beslut1 föreskrivs följande.

1 kap. Inledande bestämmelser
1 §
Denna lag kompletterar Europaparlamentets och rådets förordning
(EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med
avseende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskydds-
förordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s data-

skyddsförordning.

Utvidgad tillämpning av bestämmelserna i EU:s

dataskyddsförordning
2 §
Bestämmelserna i EU:s dataskyddsförordning, i den ursprungliga
lydelsen, och denna lag ska gälla även vid behandling av personuppgifter
som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i
verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Euro-
peiska unionen.

3 § Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av

1. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens

försvarsunderrättelseverksamhet och militära säkerhetstjänst,

2. lagen (2007:259) om behandling av personuppgifter i Försvarets

radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, eller

3. 6 kap. polisdatalagen (2010:361).

4 § Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i
fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhets-
skyddslagen (1996:627) eller föreskrifter som har meddelats i anslutning till
den lagen.

Lagens territoriella tillämpningsområde
5 §
Denna lag gäller vid behandling av personuppgifter som utförs inom
ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller
personuppgiftsbiträdens verksamhetsställen i Sverige. Lagen gäller även vid
behandling av personuppgifter som utförs av personuppgiftsansvariga som

1 Prop. 2017/18:105, bet. 2017/18:KU23, rskr. 2017/18:

224.

SFS

2018:218

Publicerad
den

24 april 2018

background image

2

SFS

inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt
folkrätten.

Lagen gäller också vid behandling av personuppgifter som utförs av

personuppgiftsansvariga eller personuppgiftsbiträden som endast är etable-
rade i tredjeland, om behandlingen avser registrerade som befinner sig i
Sverige och har anknytning till

1. utbjudande av varor eller tjänster till sådana registrerade, eller
2. övervakning av deras beteende i Sverige.
Bestämmelsen i 2 kap. 4 § gäller vid behandling av personuppgifter som

avser barn som bor i Sverige, oavsett var de personuppgiftsansvariga eller
personuppgiftsbiträdena är etablerade.

Avvikande bestämmelser i annan författning
6 §
Om en annan lag eller en förordning innehåller någon bestämmelse
som avviker från denna lag, tillämpas den bestämmelsen.

Förhållandet till tryck- och yttrandefriheten
7 §
EU:s dataskyddsförordning och denna lag ska inte tillämpas i den
utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrande-
frihetsgrundlagen.

Artiklarna 5–30 och 35–50 i EU:s dataskyddsförordning samt 2–5 kap.

denna lag ska inte tillämpas vid behandling av personuppgifter som sker för
journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt
skapande.

Tystnadsplikt för dataskyddsombud
8 §
Den som fullgör uppgift som dataskyddsombud enligt artikel 37 i EU:s
dataskyddsförordning får inte obehörigen röja det som han eller hon vid
fullgörandet av sin uppgift har fått kännedom om.

I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen

(2009:400) i stället för första stycket.

2 kap. Rättslig grund för behandling av personuppgifter
Rättslig förpliktelse
1 §
Personuppgifter får behandlas med stöd av artikel 6.1 c i EU:s data-
skyddsförordning, om behandlingen är nödvändig för att den person-
uppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av
lag eller annan författning, av kollektivavtal eller av beslut som har
meddelats med stöd av lag eller annan författning.

Uppgift av allmänt intresse och myndighetsutövning
2 §
Personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s data-
skyddsförordning, om behandlingen är nödvändig

1. för att utföra en uppgift av allmänt intresse som följer av lag eller annan

författning, av kollektivavtal eller av beslut som har meddelats med stöd av
lag eller annan författning, eller

2. som ett led i den personuppgiftsansvariges myndighetsutövning enligt

lag eller annan författning.

2018:218

background image

3

SFS

Enskilda arkiv
3 §
Regeringen eller den myndighet som regeringen bestämmer får
meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av
föreskrifter om arkiv får behandla personuppgifter för arkivändamål av
allmänt intresse.

Den myndighet som regeringen bestämmer får i enskilda fall besluta att

sådana personuppgiftsansvariga får behandla personuppgifter för arkiv-
ändamål av allmänt intresse. Ett beslut får förenas med villkor.

Barns samtycke
4 §
Vid erbjudande av informationssamhällets tjänster direkt till ett barn
som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd
av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år,
ska sådan behandling vara tillåten endast om samtycke ges eller godkänns
av den som har föräldraansvar för barnet.

3 kap. Behandling av vissa kategorier av personuppgifter
Känsliga personuppgifter
1 §
Med känsliga personuppgifter avses i denna lag sådana uppgifter som
avses i artikel 9.1 i EU:s dataskyddsförordning.

Arbetsrätt, social trygghet och socialt skydd
2 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i
EU:s dataskyddsförordning, om behandlingen är nödvändig för att den
personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina
skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom
områdena social trygghet och socialt skydd.

Personuppgifter som behandlas med stöd av första stycket får lämnas ut

till tredje part endast om det inom arbetsrätten eller inom områdena social
trygghet och socialt skydd finns en skyldighet för den personuppgifts-
ansvarige att göra det eller om den registrerade uttryckligen har samtyckt till
utlämnandet.

Viktigt allmänt intresse
3 § Känsliga personuppgifter får behandlas av en myndighet med stöd av
artikel 9.2 g i EU:s dataskyddsförordning

1. om uppgifterna har lämnats till myndigheten och behandlingen krävs

enligt lag,

2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt

allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades
personliga integritet.

Vid behandling som sker enbart med stöd av första stycket är det förbjudet

att utföra sökningar i syfte att få fram ett urval av personer grundat på
känsliga personuppgifter.

Vid tillämpningen av första stycket 1 ska andra än myndigheter jämställas

med myndigheter, i den utsträckning bestämmelserna om allmänna
handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och
sekretesslagen (2009:400) gäller i deras verksamhet.

2018:218

background image

4

SFS

4 § Regeringen får meddela ytterligare föreskrifter om sådan behandling
av känsliga personuppgifter som är nödvändig med hänsyn till ett viktigt
allmänt intresse.

Hälso- och sjukvård och social omsorg
5 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i
EU:s dataskyddsförordning, om behandlingen är nödvändig för

1. förebyggande hälso- och sjukvård och yrkesmedicin,
2. bedömningen av en arbetstagares arbetskapacitet,
3. medicinska diagnoser,
4. tillhandahållande av hälso- och sjukvård eller behandling,
5. social omsorg, eller
6. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras

system.

Behandling enligt första stycket får ske under förutsättning att kravet på

tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt.

Arkiv
6 § Känsliga personuppgifter får behandlas för arkivändamål av allmänt
intresse med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behand-
lingen är nödvändig för att den personuppgiftsansvarige ska kunna följa
föreskrifter om arkiv.

Regeringen eller den myndighet som regeringen bestämmer får meddela

föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter
om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt
intresse.

Den myndighet som regeringen bestämmer får i enskilda fall besluta att

sådana personuppgiftsansvariga får behandla känsliga personuppgifter för
arkivändamål av allmänt intresse. Ett beslut får förenas med villkor.

Statistik
7 § Känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s
dataskyddsförordning, om behandlingen är nödvändig för statistiska
ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår
klart väger över den risk för otillbörligt intrång i enskildas personliga
integritet som behandlingen kan innebära.

Personuppgifter som rör lagöverträdelser
8 §
Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får
behandlas av myndigheter.

Även andra än myndigheter får behandla sådana personuppgifter, om

behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna
följa föreskrifter om arkiv.

9 §
Regeringen eller den myndighet som regeringen bestämmer får
meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får
behandla sådana personuppgifter som avses i artikel 10 i EU:s dataskydds-
förordning.

Den myndighet som regeringen bestämmer får i enskilda fall besluta att

andra än myndigheter får behandla sådana uppgifter. Ett beslut får förenas
med villkor.

2018:218

background image

5

SFS

Personnummer och samordningsnummer
10 §
Personnummer och samordningsnummer får behandlas utan
samtycke endast när det är klart motiverat med hänsyn till ändamålet med
behandlingen, vikten av en säker identifiering eller något annat beaktansvärt
skäl.

11 § Regeringen får meddela ytterligare föreskrifter om i vilka fall
behandling av personnummer och samordningsnummer är tillåten.

4 kap. Användningsbegränsningar
Arkiv
1 §
Personuppgifter som behandlas enbart för arkivändamål av allmänt
intresse får användas för att vidta åtgärder i fråga om den registrerade endast
om det finns synnerliga skäl med hänsyn till den registrerades vitala
intressen.

Första stycket hindrar inte myndigheter från att använda personuppgifter

som finns i allmänna handlingar.

Vid tillämpningen av andra stycket ska andra än myndigheter jämställas

med myndigheter, i den utsträckning bestämmelserna om allmänna
handlingar och sekretess i tryckfrihetsförordningen och offentlighets- och
sekretesslagen (2009:400) gäller i deras verksamhet.

Statistik
2 §
Personuppgifter som behandlas enbart för statistiska ändamål får
användas för att vidta åtgärder i fråga om den registrerade endast om det
finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

5 kap. Begränsningar av vissa rättigheter och skyldigheter
Information och tillgång till personuppgifter
1 §
Artiklarna 13–15 i EU:s dataskyddsförordning om information och
rätt att få tillgång till personuppgifter gäller inte sådana uppgifter som den
personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller
annan författning eller enligt beslut som har meddelats med stöd av
författning.

Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget

i första stycket även för uppgifter som hos en myndighet skulle ha varit
sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

2 § Artikel 15 i EU:s dataskyddsförordning gäller inte personuppgifter i
löpande text som inte har fått sin slutliga utformning när begäran gjordes
eller som utgör minnesanteckning eller liknande.

Undantaget i första stycket gäller inte om personuppgifterna
1. har lämnats ut till tredje part,
2. behandlas enbart för arkivändamål av allmänt intresse eller statistiska

ändamål, eller

3. har behandlats under längre tid än ett år i löpande text som inte har fått

sin slutliga utformning.

Bemyndigande
3 §
Regeringen får meddela ytterligare föreskrifter om begränsningar
enligt artiklarna 23, 89.2 och 89.3 i EU:s dataskyddsförordning.

2018:218

background image

6

SFS

6 kap. Tillsynsmyndighetens handläggning och beslut
Befogenheter
1 §
De befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2
och 58.3 i EU:s dataskyddsförordning gäller vid tillsyn över att bestämmel-
serna i denna lag och andra föreskrifter som kompletterar EU:s dataskydds-
förordning följs.

Första stycket innebär inte att tillsynsmyndigheten får ta ut sanktions-

avgifter vid andra överträdelser än de som avses i artikel 83 i EU:s data-
skyddsförordning.

Sanktionsavgifter
2 §
Tillsynsmyndigheten får ta ut en sanktionsavgift av en myndighet vid
överträdelser som avses i artikel 83.4, 83.5 och 83.6 i EU:s dataskydds-
förordning, i den ursprungliga lydelsen. Då ska artikel 83.1, 83.2 och 83.3 i
förordningen tillämpas.

Sanktionsavgiften ska bestämmas till högst 5 000 000 kronor vid över-

trädelser som avses i artikel 83.4 i EU:s dataskyddsförordning och till högst
10 000 000 kronor vid överträdelser som avses i artikel 83.5 och 83.6 i
förordningen.

3 § Tillsynsmyndigheten får ta ut en sanktionsavgift vid överträdelser av
artikel 10 i EU:s dataskyddsförordning, i den ursprungliga lydelsen. Då ska
artikel 83.1, 83.2 och 83.3 i förordningen tillämpas. Avgiftens storlek ska
bestämmas med tillämpning av artikel 83.5 i förordningen.

4 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av
inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen
ägde rum.

Ett beslut om sanktionsavgift ska delges.


5 § En sanktionsavgift tillfaller staten.

6 § En sanktionsavgift ska betalas till den myndighet som regeringen
bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått
laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i första stycket,

ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser
om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar
m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.

7 § Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter
enligt EU:s dataskyddsförordning och denna lag.

7 kap. Skadestånd och överklagande
Skadestånd
1 §
Rätten till ersättning från den personuppgiftsansvarige eller person-
uppgiftsbiträdet enligt artikel 82 i EU:s dataskyddsförordning gäller vid
överträdelser av bestämmelser i denna lag och andra föreskrifter som
kompletterar EU:s dataskyddsförordning.

2018:218

background image

7

SFS

Överklagande av personuppgiftsansvariga myndigheters beslut
2 §
Beslut enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning
som har meddelats av en myndighet i egenskap av personuppgiftsansvarig
får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.
Första stycket gäller inte beslut av regeringen, Högsta domstolen, Högsta

förvaltningsdomstolen eller Riksdagens ombudsmän.

Överklagande av tillsynsmyndighetens beslut
3 §
Tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning och
enligt 6 kap. 2 och 3 §§ denna lag får överklagas till allmän förvaltnings-
domstol. När ett beslut överklagas, är tillsynsmyndigheten motpart i
domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av vissa andra beslut
4 §
Beslut enligt 2 kap. 3 § andra stycket, 3 kap. 6 § tredje stycket och
3 kap. 9 § andra stycket denna lag får överklagas till allmän förvaltnings-
domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud
5 §
Andra beslut enligt EU:s dataskyddsförordning eller denna lag än de
som avses i 2–4 §§ får inte överklagas.

1. Denna lag träder i kraft den 25 maj 2018.
2. Genom lagen upphävs personuppgiftslagen (1998:204).
3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta

att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och
Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten.

4. Den upphävda lagen gäller fortfarande vid sådan behandling av person-

uppgifter som avses i artikel 2.2 d i EU:s dataskyddsförordning, i den
ursprungliga lydelsen.

5. Den upphävda lagen gäller fortfarande i den utsträckning som det i en

annan lag eller en förordning finns bestämmelser som innehåller hänvis-
ningar till den lagen.

6. Den upphävda lagen gäller fortfarande för överklagande av beslut som

har meddelats med stöd av den lagen.

7. Bestämmelsen i 49 § den upphävda lagen gäller fortfarande för

överträdelser som har skett före ikraftträdandet.

8. Beslut som har meddelats med stöd av 21 § fjärde stycket den upphävda

lagen gäller fortfarande.

På regeringens vägnar

STEFAN LÖFVEN

MORGAN JOHANSSON

(Justitiedepartementet)

2018:218

JP Infonets IT-rättsliga tjänster

JP Infonets IT-rättsliga tjänster

Hanterar du IT-rättsfrågor i ditt arbete? JP Infonets tjänster fungerar som verktyg och stöd stöd i ditt arbete. Vi erbjuder webbtjänster med juridisk information, lagbevakning, regelbundna uppdateringar, samt blanketter och checklistor. Vi ger också vägledning via kundanpassade grundutbildningar, fördjupningskurser och rådgivning. Se allt inom IT-rätt.