SFS 2018:1177 Brottsdatalag

Start / Straffrätt / Brottsdatalag (2018:1177) / SFS 2018:1177 Brottsdatalag

SFS2018-1177.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

<div><style type="text/css">                   </style> <div id="page1-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 1 Svensk f�rfattningssamling Brottsdatalag Utf�rdad den 20 juni 2018 Enligt riksdagens beslut1 f�reskrivs2 f�ljande. 1 kap. Allm�nna best�mmelser Syftet med lagen 1 � Genom denna lag genomf�rs Europaparlamentets och r�dets direktiv (EU) 2016/680 av den 27 april 2016 om skydd f�r fysiska personer med avseende p� beh�riga myndigheters behandling av personuppgifter f�r att f�rebygga, f�rhindra, utreda, avsl�ja eller lagf�ra brott eller verkst�lla straff- r�ttsliga p�f�ljder, och det fria fl�det av s�dana uppgifter och om upph�vande av r�dets rambeslut 2008/977/RIF, h�r ben�mnt dataskyddsdirektivet. Syftet med lagen �r att skydda fysiska personers grundl�ggande r�ttig- heter och friheter i samband med behandling av personuppgifter och att s�kerst�lla att beh�riga myndigheter kan behandla och utbyta personupp- gifter med varandra p� ett �ndam�lsenligt s�tt. Lagens till�mpningsomr�de 2 � Denna lag g�ller vid behandling av personuppgifter som utf�rs av be- h�riga myndigheter i syfte att f�rebygga, f�rhindra eller uppt�cka brottslig verksamhet, utreda eller lagf�ra brott eller verkst�lla straffr�ttsliga p�f�lj- der. Den g�ller ocks� vid behandling av personuppgifter som en beh�rig myndighet utf�r i syfte att uppr�tth�lla allm�n ordning och s�kerhet. 3 � Lagen g�ller vid s�dan behandling av personuppgifter som �r helt eller delvis automatiserad och f�r annan behandling av personuppgifter som ing�r i eller �r avsedda att ing� i en strukturerad samling av personuppgifter som �r tillg�ngliga f�r s�kning eller sammanst�llning enligt s�rskilda kriterier. 4 � Lagen g�ller inte vid S�kerhetspolisens behandling av personuppgifter som r�r nationell s�kerhet eller om Polismyndigheten har �vertagit en arbets- uppgift som r�r nationell s�kerhet fr�n S�kerhetspolisen. Lagen g�ller inte heller i s�dan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i F�rsvarsmaktens f�rsvars- underr�ttelseverksamhet och milit�ra s�kerhetstj�nst. 1 Prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392. 2 Jfr Europaparlamentets och r�dets direktiv (EU) 2016/680 av den 27 april 2016 om skydd f�r fysiska personer med avseende p� beh�riga myndigheters behandling av personuppgifter f�r att f�rebygga, f�rhindra, utreda, avsl�ja eller lagf�ra brott eller verkst�lla straffr�ttsliga p�f�ljder, och det fria fl�det av s�dana uppgifter och om upph�vande av r�dets rambeslut 2008/977/RIF, i den ursprungliga lydelsen. SFS 2018:1177 Publicerad den 27 juni 2018 </div> <div id="page2-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 2 SFS Avvikande best�mmelser i annan f�rfattning 5 � Om en annan lag eller en f�rordning inneh�ller n�gon best�mmelse som avviker fr�n denna lag, till�mpas den best�mmelsen. Definitioner 6 � I denna lag anv�nds f�ljande uttryck med nedan angiven betydelse. Uttryck Betydelse Behandling av personuppgifter En �tg�rd eller kombination av �t- g�rder som vidtas i fr�ga om per- sonuppgifter eller upps�ttningar av personuppgifter, oavsett om det g�rs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller �ndring, framtagning, l�sning, anv�ndning, utl�mnande, spridning eller tillhandah�llande p� annat s�tt, justering, sammanf�ring, begr�nsning, radering eller f�rst�ring. Beh�rig myndighet 1. En myndighet som har till uppgift att f�rebygga, f�rhindra eller uppt�cka brottslig verksamhet, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder, eller uppr�tth�lla allm�n ordning och s�kerhet, n�r den behandlar personuppgifter f�r ett s�dant syfte, eller 2. en annan akt�r som har anf�rtrotts myndighetsut�vning f�r ett syfte som anges i 1, n�r den behandlar person- uppgifter f�r ett s�dant syfte. Biometriska uppgifter Personuppgifter som r�r en persons fysiska, fysiologiska eller beteende- m�ssiga k�nnetecken, som tagits fram genom s�rskild teknisk behandling och som m�jligg�r eller bekr�ftar unik identifiering av personen. Dataskyddsombud Den som utses av den personuppgifts- ansvarige f�r att sj�lvst�ndigt kon- trollera att personuppgifter behandlas f�rfattningsenligt och p� ett korrekt s�tt enligt vad som n�rmare anges i lagen. Genetiska uppgifter Personuppgifter som r�r en persons ned�rvda eller f�rv�rvade genetiska k�nnetecken och som h�rr�r fr�n analys av ett sp�r av eller ett prov fr�n personen. Internationell organisation En organisation och dess underst�llda organ som lyder under folkr�tten eller ett annat organ som inr�ttats genom eller p� grundval av en �verenskom- melse mellan tv� eller flera stater . Medlemsstat En stat som �r medlem i Europeiska unionen samt Island, Liechtenstein, Norge och Schweiz. 2018:1177 </div> <div id="page3-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 3 SFS Mottagare Den till vilken personuppgifter l�mnas ut, med undantag av en myndighet som med st�d av f�rfattning ut�var tillsyn, kontroll eller revision. Personuppgift Varje upplysning om en identifierad eller identifierbar fysisk person som �r i livet. Personuppgiftsansvarig Den beh�riga myndighet som ensam eller tillsammans med andra best�mmer �ndam�len med och medlen f�r behandlingen av per- sonuppgifter. Personuppgiftsbitr�de Den som behandlar personuppgifter f�r den personuppgiftsansvariges r�kning. Personuppgiftsincident En s�kerhetsincident som leder till oavsiktlig eller olaglig f�rst�ring, f�rlust eller �ndring eller obeh�rigt r�jande av eller obeh�rig �tkomst till personuppgifter. Registrerad Den fysiska person som person- uppgiften g�ller. Tillsynsmyndigheten Myndighet som regeringen utser enligt dataskyddsdirektivet f�r att ut�va tillsyn �ver behandling av personuppgifter som utf�rs av be- h�riga myndigheter i syfte att f�re- bygga, f�rhindra eller uppt�cka brottslig verksamhet, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller uppr�tth�lla allm�n ordning och s�kerhet. Tredjeland En stat som inte �r en medlemsstat. Tredje man N�gon annan �n den registrerade, den personuppgiftsansvarige, data- skyddsombudet, personuppgiftsbi- tr�det och s�dana personer som under den personuppgiftsansvariges eller personuppgiftsbitr�dets direkta ansvar har r�tt att behandla personuppgifter. Uppgift som r�r h�lsa Personuppgift som r�r en persons fysiska eller psykiska h�lsa, inklusive information om tillhandah�llande av h�lso- och sjukv�rdstj�nster som ger upplysning om personens h�lsostatus. 2 kap. Behandling av personuppgifter Grundl�ggande krav p� behandlingen R�ttsliga grunder 1 � Personuppgifter f�r behandlas om det �r n�dv�ndigt f�r att en beh�rig myndighet ska kunna utf�ra sin uppgift att f�rebygga, f�rhindra eller upp- t�cka brottslig verksamhet, utreda eller lagf�ra brott, verkst�lla straffr�tts- liga p�f�ljder eller uppr�tth�lla allm�n ordning och s�kerhet. Med en beh�rig myndighets uppgift avses en uppgift som framg�r av lag, f�rordning eller ett s�rskilt beslut i vilket regeringen uppdragit �t myndig- heten att utf�ra uppgiften. 2018:1177 </div> <div id="page4-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 4 SFS 2 � Ut�ver vad som s�gs i 1 � f�r personuppgifter behandlas om 1. det �r n�dv�ndigt f�r diarief�ring, eller 2. uppgifterna har l�mnats till en beh�rig myndighet i en anm�lan, ans�- kan eller liknande och behandlingen �r n�dv�ndig f�r myndighetens hand- l�ggning. �ndam�l 3 � Personuppgifter f�r behandlas bara f�r s�rskilda, uttryckligt angivna och ber�ttigade �ndam�l. Om det �ndam�l som personuppgifterna behandlas f�r inte framg�r av sammanhanget eller p� annat s�tt, ska det tydligg�ras genom en s�rskild upplysning. 4 � Innan personuppgifter f�r behandlas f�r ett nytt �ndam�l ska det s�ker- st�llas att 1. det finns en r�ttslig grund enligt 1 � f�r den nya behandlingen, och 2. det �r n�dv�ndigt och proportionerligt att personuppgifterna behandlas f�r det nya �ndam�let. I den utstr�ckning skyldighet att l�mna uppgifter f�ljer av lag eller f�r- ordning ska n�gon pr�vning enligt f�rsta stycket inte g�ras. 5 � En beh�rig myndighet f�r behandla personuppgifter f�r vetenskapliga, statistiska eller historiska �ndam�l inom denna lags till�mpningsomr�de. F�rfattningsenlig och korrekt behandling 6 � Personuppgifter ska behandlas f�rfattningsenligt och p� ett korrekt s�tt. Personuppgifternas kvalitet 7 � Personuppgifter som behandlas ska vara korrekta och, om det �r n�d- v�ndigt, uppdaterade. Uppgifter som beskriver en persons utseende ska utformas p� ett objektivt s�tt med respekt f�r m�nniskov�rdet. 8 � Personuppgifter som behandlas ska vara adekvata och relevanta i f�r- h�llande till �ndam�len med behandlingen. Fler personuppgifter f�r inte behandlas �n vad som �r n�dv�ndigt med h�nsyn till �ndam�len med be- handlingen. �tskillnad mellan olika slag av personuppgifter 9 � S� l�ngt det �r m�jligt ska personuppgifter som r�r olika kategorier av registrerade s�rskiljas s� att det framg�r om personen �r misst�nkt, d�md f�r brott, brottsoffer eller n�gon annan som ber�rs av ett brott. Om det inte framg�r av sammanhanget eller p� annat s�tt till vilken kategori personen h�r, ska det tydligg�ras genom en s�rskild upplysning. 10 � S� l�ngt det �r m�jligt ska personuppgifter som grundar sig p� fakta s�rskiljas fr�n personuppgifter som grundar sig p� personliga bed�mningar. Om det inte framg�r av sammanhanget eller p� annat s�tt vad uppgiften grundas p� ska det tydligg�ras genom en s�rskild upplysning. 2018:1177 </div> <div id="page5-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 5 SFS K�nsliga personuppgifter 11 � Personuppgifter som avsl�jar ras, etniskt ursprung, politiska �sikter, religi�s eller filosofisk �vertygelse eller medlemskap i fackf�rening eller som r�r h�lsa, sexualliv eller sexuell l�ggning f�r inte behandlas. Om uppgifter om en person behandlas f�r de dock kompletteras med s�dana uppgifter som anges i f�rsta stycket n�r det �r absolut n�dv�ndigt f�r �ndam�let med behandlingen. 12 � Biometriska uppgifter och genetiska uppgifter f�r behandlas endast om det �r s�rskilt f�reskrivet och det �r absolut n�dv�ndigt f�r �ndam�let med behandlingen. 13 � Personuppgifter som avses i 11 och 12 �� (k�nsliga personuppgifter) f�r alltid behandlas med st�d av 2 �. 14 � Det �r f�rbjudet att utf�ra s�kningar i syfte att f� fram ett urval av personer grundat p� k�nsliga personuppgifter. R�ttelse, uppdatering och radering 15 � Alla rimliga �tg�rder ska vidtas f�r att personuppgifter som med h�n- syn till �ndam�let med behandlingen �r felaktiga eller ofullst�ndiga utan on�digt dr�jsm�l r�ttas och f�r att f�rhindra att s�dana uppgifter l�mnas ut eller g�rs tillg�ngliga. Personuppgifter som �r inaktuella ska uppdateras om det �r n�dv�ndigt. N�r personuppgifter l�mnas ut till en beh�rig myndighet ska mottagaren s� l�ngt det �r m�jligt ges information som g�r att det g�r att bed�ma i vilken utstr�ckning uppgifterna �r korrekta, fullst�ndiga, uppdaterade och till- f�rlitliga. 16 � Alla rimliga �tg�rder ska vidtas f�r att personuppgifter som behand- las i strid med 1, 2, 3 � f�rsta stycket eller n�gon av 46 �� eller 8, 11, 12, 14 eller 17 � f�rsta stycket utan on�digt dr�jsm�l raderas och f�r att f�rhindra att s�dana uppgifter l�mnas ut eller g�rs tillg�ngliga. Detsamma g�ller om radering kr�vs f�r att utf�ra en r�ttslig f�rpliktelse. Om f�ruts�ttningarna i f�rsta stycket f�r att radera personuppgifter �r uppfyllda men uppgifterna beh�ver finnas kvar av bevissk�l, ska behand- lingen av uppgifterna i st�llet utan on�digt dr�jsm�l begr�nsas. L�ngsta tid som personuppgifter f�r behandlas 17 � Personuppgifter f�r inte behandlas under l�ngre tid �n vad som �r n�dv�ndigt med h�nsyn till �ndam�let med behandlingen. Best�mmelsen i f�rsta stycket hindrar inte att en beh�rig myndighet arkiverar och bevarar allm�nna handlingar eller att arkivmaterial l�mnas till en arkivmyndighet. 18 � Om det inte �r f�reskrivet i lag eller annan f�rfattning n�r en viss kategori av personuppgifter inte l�ngre f�r behandlas f�r �ndam�l inom denna lags till�mpningsomr�de, ska den personuppgiftsansvarige �rligen se �ver behovet av att forts�tta behandla personuppgifterna. 2018:1177 </div> <div id="page6-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 6 SFS Automatiserade beslut 19 � Om ett beslut har r�ttsliga f�ljder f�r en fysisk person eller annars i betydande grad p�verkar honom eller henne och beslutet enbart grundas p� automatiserad behandling av s�dana personuppgifter som �r avsedda att bed�ma hans eller hennes egenskaper, ska personen ha m�jlighet att p� beg�ran f� beslutet pr�vat p� nytt av n�gon person. Automatiserade beslut f�r inte enbart grundas p� k�nsliga personuppgifter. �verf�ring av personuppgifter till en annan medlemsstat 20 � Om det inte �r s�rskilt f�reskrivet f�r villkor f�r behandling av per- sonuppgifter inte st�llas upp i f�rh�llande till en mottagare i en annan med- lemsstat eller ett EU-organ, om det inte i motsvarande fall f�r st�llas upp samma typ av villkor i f�rh�llande till en svensk mottagare. Uppgiftsl�mnande f�r r�ttsstatistik 21 � Personuppgifter som �r n�dv�ndiga f�r att framst�lla r�ttsstatistik ska l�mnas till den myndighet som ansvarar f�r att framst�lla s�dan statistik. Behandling f�r �ndam�l utanf�r denna lags till�mpningsomr�de 22 � Innan personuppgifter som behandlas med st�d av denna lag behand- las f�r ett �ndam�l utanf�r lagens till�mpningsomr�de ska det s�kerst�llas att det �r n�dv�ndigt och proportionerligt att personuppgifterna behandlas f�r det �ndam�let. I den utstr�ckning skyldighet att l�mna uppgifter f�ljer av lag eller f�r- ordning ska n�gon pr�vning enligt f�rsta stycket inte g�ras. 3 kap. Personuppgiftsansvarigas skyldigheter Personuppgiftsansvarets omfattning 1 � Den personuppgiftsansvarige �r ansvarig f�r all behandling av person- uppgifter som utf�rs under dennes ledning eller p� dennes v�gnar. �tg�rder f�r att s�kerst�lla f�rfattningsenlig behandling Tekniska och organisatoriska �tg�rder 2 � Den personuppgiftsansvarige ska, genom l�mpliga tekniska och orga- nisatoriska �tg�rder, s�kerst�lla och kunna visa att behandlingen av person- uppgifter �r f�rfattningsenlig och att den registrerades r�ttigheter skyddas. 3 � Den personuppgiftsansvarige ska n�r medlen f�r behandlingen be- st�ms och vid behandlingen, genom l�mpliga tekniska och organisatoriska �tg�rder, se till att n�dv�ndiga skydds�tg�rder integreras i behandlingen (inbyggt dataskydd). 4 � Den personuppgiftsansvarige ska se till att det i automatiserade be- handlingssystem som regel inte �r m�jligt att behandla andra personupp- gifter �n de som �r n�dv�ndiga f�r varje s�rskilt angivet �ndam�l med behandlingen (dataskydd som standard). 5 � Den personuppgiftsansvarige ska s�kerst�lla att det i automatiserade behandlingssystem f�rs loggar �ver personuppgiftsbehandling i den ut- str�ckning det �r s�rskilt f�reskrivet. 2018:1177 </div> <div id="page7-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 7 SFS Tillg�ngen till personuppgifter 6 � Den personuppgiftsansvarige ska se till att tillg�ngen till personupp- gifter begr�nsas till vad var och en beh�ver f�r att kunna fullg�ra sina arbets- uppgifter. Konsekvensbed�mning och f�rhandssamr�d 7 � Om en ny typ av behandling, eller betydande f�r�ndringar av redan p�g�ende behandling, kan antas medf�ra s�rskild risk f�r intr�ng i den registrerades personliga integritet, ska den personuppgiftsansvarige innan behandlingen p�b�rjas eller f�r�ndringen genomf�rs bed�ma konsekven- serna f�r skyddet av personuppgifter. Om konsekvensbed�mningen visar att det finns s�rskild risk f�r intr�ng i registrerades personliga integritet eller om typen av behandling inneb�r s�rskild risk f�r intr�ng, ska den personuppgiftsansvarige samr�da med till- synsmyndigheten i god tid innan behandlingen p�b�rjas eller betydande f�r�ndringar genomf�rs (f�rhandssamr�d). S�kerheten f�r personuppgifter S�kerhets�tg�rder 8 � Den personuppgiftsansvarige ska vidta l�mpliga tekniska och organi- satoriska �tg�rder f�r att skydda de personuppgifter som behandlas, s�rskilt mot obeh�rig eller otill�ten behandling och mot f�rlust, f�rst�ring eller annan oavsiktlig skada. Personuppgiftsincidenter 9 � Senast 72 timmar efter det att den personuppgiftsansvarige f�tt k�nne- dom om en personuppgiftsincident ska den anm�las till tillsynsmyndigheten, utom i de fall d�r incidenten ska rapporteras enligt s�kerhetsskyddslagen (1996:627) eller f�reskrifter som har meddelats i anslutning till den lagen. Anm�lan beh�ver inte g�ras om det �r osannolikt att personuppgifts- incidenten har medf�rt eller kommer att medf�ra n�gon risk f�r otillb�rligt intr�ng i registrerades personliga integritet. 10 � Om en personuppgiftsincident som ska anm�las enligt 9 � f�rsta stycket har medf�rt eller kan antas medf�ra s�rskild risk f�r otillb�rligt intr�ng i registrerades personliga integritet, ska den personuppgiftsansvarige utan on�digt dr�jsm�l underr�tta den registrerade om incidenten. Underr�ttelseskyldigheten g�ller inte om den personuppgiftsansvarige 1. har till�mpat l�mpliga tekniska och organisatoriska skydds�tg�rder p� de personuppgifter som p�verkades av incidenten, 2. har s�kerst�llt att det inte l�ngre finns s�rskild risk f�r otillb�rligt in- tr�ng i registrerades personliga integritet, eller 3. skulle beh�va g�ra oproportionerliga anstr�ngningar f�r att underr�tta alla ber�rda. I fall som avses i andra stycket 3 ska allm�nheten informeras eller en liknande �tg�rd vidtas genom vilken de registrerade f�r n�dv�ndig infor- mation. 11 � Den personuppgiftsansvarige f�r avst� fr�n att l�mna information enligt 10 � i den utstr�ckning det �r s�rskilt f�reskrivet i lag eller annan f�rfattning eller annars framg�r av beslut som har meddelats med st�d av f�rfattning att uppgifter inte f�r l�mnas ut av h�nsyn till intresset av att 2018:1177 </div> <div id="page8-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 8 SFS 1. f�rebygga, f�rhindra eller uppt�cka brottslig verksamhet, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller uppr�tth�lla allm�n ordning och s�kerhet, 2. andra r�ttsliga utredningar eller unders�kningar inte hindras, 3. nationell s�kerhet skyddas, eller 4. n�gon annans r�ttigheter och friheter skyddas. Om den personuppgiftsansvarige inte �r en myndighet, g�ller undantaget i f�rsta stycket �ven f�r uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400). Samarbete med tillsynsmyndigheten 12 � Den personuppgiftsansvarige ska samarbeta med tillsynsmyndig- heten n�r den utf�r uppgifter enligt denna lag och f�reskrifter som har meddelats i anslutning till lagen. Dataskyddsombud 13 � Den personuppgiftsansvarige ska utse ett eller flera dataskyddsom- bud och anm�la till tillsynsmyndigheten n�r dataskyddsombud utses och entledigas. 14 � Dataskyddsombud ska 1. sj�lvst�ndigt kontrollera att den personuppgiftsansvarige behandlar personuppgifter f�rfattningsenligt och p� ett korrekt s�tt och i �vrigt fullg�r sina skyldigheter, 2. informera och ge r�d till den personuppgiftsansvarige och de som be- handlar personuppgifter under dennes ledning om deras skyldigheter vid behandling av personuppgifter, 3. p� beg�ran ge den personuppgiftsansvarige r�d vid en konsekvensbe- d�mning och kontrollera att den genomf�rs p� korrekt s�tt, 4. vara kontaktpunkt f�r enskilda i fr�gor som r�r behandling av person- uppgifter, och 5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt f�r den vid f�rhandssamr�d och andra fr�gor som r�r behandling av personuppgifter. 15 � Den som fullg�r uppgift som dataskyddsombud f�r inte obeh�rigen r�ja det som han eller hon vid fullg�randet av sin uppgift har f�tt k�nnedom om. I det allm�nnas verksamhet till�mpas offentlighets- och sekretesslagen (2009:400) i st�llet f�r f�rsta stycket. Personuppgiftsbitr�den 16 � Den personuppgiftsansvarige f�r, om det �r l�mpligt, anlita person- uppgiftsbitr�den f�r behandling av personuppgifter p� den personuppgifts- ansvariges v�gnar. Innan ett personuppgiftsbitr�de anlitas ska den person- uppgiftsansvarige f�rs�kra sig om att bitr�det kommer att vidta de l�mpliga tekniska och organisatoriska �tg�rder som kr�vs f�r att behandlingen av personuppgifter ska vara f�rfattningsenlig och f�r att skydda registrerades r�ttigheter. Personuppgiftsbitr�dets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig �verenskommelse. 17 � Ett personuppgiftsbitr�de f�r inte anlita ett annat personuppgiftsbi- tr�de utan skriftligt tillst�nd fr�n den personuppgiftsansvarige. 2018:1177 </div> <div id="page9-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 9 SFS 18 � Ett personuppgiftsbitr�de och de som arbetar under bitr�dets ledning ska behandla personuppgifter i enlighet med instruktioner fr�n den person- uppgiftsansvarige. Om ett personuppgiftsbitr�de best�mmer �ndam�len med och medlen f�r behandlingen, ska bitr�det anses vara personuppgiftsansvarig f�r den behandlingen. 19 � Det som s�gs om den personuppgiftsansvariges skyldigheter i 5, 6, 8 och 12 �� g�ller �ven f�r personuppgiftsbitr�den. Gemensamt personuppgiftsansvar 20 � Tv� eller flera beh�riga myndigheter �r gemensamt personuppgifts- ansvariga om de gemensamt best�mmer �ndam�len med och medlen f�r personuppgiftsbehandlingen. Den registrerade f�r ut�va sina r�ttigheter enligt lagen mot var och en av de gemensamt personuppgiftsansvariga. Bemyndigande 21 � Regeringen f�r meddela f�reskrifter om skyldighet att f�ra register �ver kategorier av behandling av personuppgifter och skyldighet att inf�ra interna rutiner f�r anm�lan av �vertr�delser. 4 kap. Enskildas r�ttigheter R�tten till information Allm�n information 1 � Den personuppgiftsansvarige ska g�ra f�ljande allm�nna information tillg�nglig f�r den registrerade: 1. den personuppgiftsansvariges identitet och kontaktuppgifter, 2. dataskyddsombudets kontaktuppgifter, 3. kategorier av �ndam�l f�r behandlingen, 4. r�tten enligt 3 � att beg�ra att f� information om behandling av per- sonuppgifter och att f� del av uppgifterna, 5. r�tten att beg�ra r�ttelse, radering eller begr�nsning av behandlingen enligt 9 och 10 ��, och 6. m�jligheten att l�mna in klagom�l till tillsynsmyndigheten samt kon- taktuppgifterna till myndigheten. Personrelaterad information 2 � Den personuppgiftsansvarige ska i ett enskilt fall l�mna f�ljande information till den registrerade, om det beh�vs f�r att han eller hon ska kunna ta till vara sina r�ttigheter: 1. den r�ttsliga grunden f�r behandlingen, 2. kategorier av mottagare av personuppgifterna, �ven i tredjeland eller internationella organisationer, 3. hur l�nge personuppgifterna f�r behandlas eller, om det inte �r m�jligt att ange, kriterierna f�r att fastst�lla det, och 4. �vrig n�dv�ndig information. Vid bed�mningen av om information enligt f�rsta stycket 4 ska l�mnas ska det s�rskilt beaktas om personuppgifterna samlats in utan den registre- rades vetskap. 2018:1177 </div> <div id="page10-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 10 SFS 3 � Den personuppgiftsansvarige ska till den som beg�r det utan on�digt dr�jsm�l l�mna skriftligt besked om huruvida personuppgifter som r�r honom eller henne behandlas. Om s�dana uppgifter behandlas, ska s�kanden f� del av dem och f� f�ljande skriftliga information: 1. vilka personuppgifter om s�kanden som behandlas, 2. varifr�n personuppgifterna kommer, 3. den r�ttsliga grunden f�r behandlingen, 4. �ndam�len med behandlingen, 5. mottagare eller kategorier av mottagare av personuppgifterna, �ven i tredjeland eller internationella organisationer, 6. hur l�nge personuppgifterna f�r behandlas eller, om det inte �r m�jligt att ange, kriterierna f�r att fastst�lla det, 7. r�tten att beg�ra r�ttelse, radering eller begr�nsning av behandlingen enligt 9 och 10 ��, och 8. m�jligheten att l�mna in klagom�l till tillsynsmyndigheten samt kon- taktuppgifterna till myndigheten. Utl�mnande av personuppgifter enligt f�rsta stycket beh�ver inte omfatta s�dana personuppgifter som s�kanden har tagit del av, om inte han eller hon beg�r det. Det ska dock framg� av informationen att personuppgifterna i fr�ga behandlas. 4 � Den som har varit f�rem�l f�r ett s�dant beslut som avses i 2 kap. 19 � har r�tt att p� beg�ran f� n�rmare information om beslutet av den person- uppgiftsansvarige. Begr�nsning av r�tten til information 5 � Informationsskyldigheten i 2 och 3 �� g�ller inte i den utstr�ckning det �r s�rskilt f�reskrivet i lag eller annan f�rfattning eller annars framg�r av beslut som har meddelats med st�d av f�rfattning att uppgifter inte f�r l�m- nas ut av h�nsyn till intresset av att 1. f�rebygga, f�rhindra eller uppt�cka brottslig verksamhet, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller uppr�tth�lla allm�n ordning och s�kerhet, 2. andra r�ttsliga utredningar eller unders�kningar inte hindras, 3. nationell s�kerhet skyddas, eller 4. n�gon annans r�ttigheter och friheter skyddas. Om f�ruts�ttningarna i f�rsta stycket �r uppfyllda, �r den personupp- giftsansvarige inte skyldig att l�mna ut sk�len f�r beslut enligt f�rsta stycket eller beslut i fr�ga om r�ttelse, radering eller begr�nsning av behandlingen enligt 9 eller 10 �. Om den personuppgiftsansvarige inte �r en myndighet, g�ller undantagen i f�rsta och andra styckena �ven f�r uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400). 6 � Informationsskyldigheten i 3 � g�ller inte personuppgifter i l�pande text som inte har f�tt sin slutliga utformning n�r beg�ran gjordes eller som utg�r minnesanteckning eller liknande. Informationsskyldigheten g�ller dock om uppgifterna 1. har l�mnats ut till tredje man, med undantag f�r en myndighet som med st�d av f�rfattning ut�var tillsyn, kontroll eller revision, 2. behandlas enbart f�r vetenskapliga, statistiska eller historiska �ndam�l, eller 2018:1177 </div> <div id="page11-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 11 SFS 3. har behandlats under l�ngre tid �n ett �r i l�pande text som inte har f�tt sin slutliga utformning. 7 � Om en beg�ran enligt 3 � �r orimlig eller uppenbart ogrundad f�r den personuppgiftsansvarige avsl� den. Av 12 � andra stycket framg�r att den personuppgiftsansvarige i vissa fall f�r ta ut avgift i st�llet f�r att avsl� beg�ran. M�jligheten att beg�ra kontroll genom tillsynsmyndigheten 8 � I 5 kap. 3 � finns best�mmelser om att en fysisk person f�r beg�ra att tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter be- handlas f�rfattningsenligt. R�tten till r�ttelse, radering och begr�nsning av behandlingen 9 � Den personuppgiftsansvarige ska p� beg�ran av den registrerade utan on�digt dr�jsm�l r�tta eller komplettera personuppgifter som r�r honom eller henne, om de �r felaktiga eller ofullst�ndiga med h�nsyn till �ndam�let med behandlingen. Om den personuppgiftsansvarige inte kan fastst�lla att personuppgifterna �r korrekta ska behandlingen av uppgifterna i st�llet utan on�digt dr�jsm�l begr�nsas. 10 � Den personuppgiftsansvarige ska p� beg�ran av den registrerade utan on�digt dr�jsm�l radera personuppgifter som r�r honom eller henne, om de behandlas i strid med 2 kap. 1, 2, 3 � f�rsta stycket eller n�gon av 46 �� eller 8, 11, 12, 14 eller 17 � f�rsta stycket. Detsamma g�ller om det kr�vs radering f�r att den personuppgiftsansvarige ska utf�ra en r�ttslig f�r- pliktelse. Om f�ruts�ttningarna i f�rsta stycket f�r att radera personuppgifter �r uppfyllda men uppgifterna beh�ver finnas kvar av bevissk�l, ska den per- sonuppgiftsansvarige p� beg�ran av den registrerade i st�llet utan on�digt dr�jsm�l begr�nsa behandlingen av uppgifterna. 11 � Den personuppgiftsansvarige avg�r vilken �tg�rd som ska vidtas med anledning av en beg�ran om r�ttelse, radering eller begr�nsning av behand- lingen. Avgiftsfri information 12 � Information enligt 1, 2 och 4 �� ska l�mnas utan avgift. Information och uppgifter enligt 3 � ska l�mnas utan avgift en g�ng per �r. Om n�gon beg�r information och uppgifter enligt 3 � oftare �n en g�ng per �r, f�r den personuppgiftsansvarige ta ut en rimlig avgift eller avsl� beg�ran enligt 7 � f�rsta stycket. 5 kap. Tillsyn Tillsynsmyndighetens uppdrag 1 � Tillsynsmyndigheten ska verka b�de f�r att fysiska personers grund- l�ggande r�ttigheter och friheter skyddas i samband med behandling av personuppgifter och f�r att underl�tta det fria fl�det av personuppgifter inom denna lags till�mpningsomr�de. 2018:1177 </div> <div id="page12-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 12 SFS Tillsynsmyndighetens uppgifter 2 � Tillsynsmyndigheten ska 1. ut�va allm�n tillsyn �ver personuppgiftsbehandling, 2. handl�gga klagom�l fr�n registrerade, 3. utf�ra kontroll enligt 3 �, och 4. p� beg�ran bist� en tillsynsmyndighet i en annan medlemsstat. Tillsynen ska inte omfatta behandling av personuppgifter inom ramen f�r domstolarnas d�mande verksamhet. 3 � Tillsynsmyndigheten ska p� beg�ran kontrollera om uppgifter om en fysisk person behandlas f�rfattningsenligt. Den som beg�r en s�dan kontroll ska visa att han eller hon har beg�rt information enligt 4 kap. 3 � eller en �tg�rd enligt 4 kap. 9 eller 10 �. Myndigheten f�r v�gra att utf�ra kontrollen om beg�ran �r orimlig eller uppenbart ogrundad. 4 � Tillsynsmyndigheten ska vid f�rhandssamr�d enligt 3 kap. 7 � och n�r det i �vrigt �r p�kallat ge r�d och st�d till personuppgiftsansvariga och per- sonuppgiftsbitr�den om deras skyldigheter enligt lag eller annan f�rfattning. Tillsynsmyndighetens befogenheter Unders�kningsbefogenheter 5 � Tillsynsmyndigheten har r�tt att av personuppgiftsansvariga och per- sonuppgiftsbitr�den p� beg�ran f� 1. tillg�ng till alla personuppgifter som behandlas, 2. upplysningar om och dokumentation av behandlingen av personupp- gifter och s�kerhets- och skydds�tg�rder, 3. tilltr�de till lokaler som den personuppgiftsansvarige eller personupp- giftsbitr�det disponerar samt tillg�ng till utrustning och andra medel f�r behandling av personuppgifter, och 4. den hj�lp och den information som beh�vs f�r tillsynen. F�rebyggande befogenheter 6 � Om tillsynsmyndigheten bed�mer att det finns risk f�r at personuppgifter kan komma at behandlas i strid med lag el er annan f�rfat ning, ska myndig- heten genom r�d, rekommendationer el er p�pekanden f�rs�ka f�rm� den per- sonuppgiftsansvarige el er personuppgiftsbitr�det att vidta �tg�rder f�r att motverka den risken. Tillsynsmyndigheten f�r utf�rda en skriftlig varning f�r att planerad be- handling av personuppgifter riskerar att st� i strid med lag eller annan f�r- fattning. Detsamma g�ller om p�g�ende behandling riskerar att st� i strid med lag eller annan f�rfattning. Korrigerande befogenheter 7 � Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan f�rfattning eller att den personuppgiftsansvarige eller personuppgiftsbitr�det p� n�got annat s�tt inte fullg�r sina skyldig- heter, f�r tillsynsmyndigheten 1. genom s�dana �tg�rder som anges i 6 � f�rsta stycket f�rs�ka f�rm� den personuppgiftsansvarige eller personuppgiftsbitr�det att vidta �tg�rder f�r att behandlingen ska bli f�rfattningsenlig, eller att uppfylla andra skyl- digheter, 2018:1177 </div> <div id="page13-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 13 SFS 2. f�rel�gga den personuppgiftsansvarige eller personuppgiftsbitr�det att vidta �tg�rder f�r att behandlingen ska bli f�rfattningsenlig eller att uppfylla andra skyldigheter, 3. f�rbjuda fortsatt behandling om bristen �r allvarlig, eller 4. besluta om en sanktionsavgift enligt 6 kap. Om ett f�rel�ggande utf�rdas ska det av f�rel�ggandet framg� n�r �tg�r- derna senast ska vara genomf�rda och, om det �r l�mpligt, vilka �tg�rder som ska vidtas. Verkst�llighet av beslut 8 � Tillsynsmyndighetens beslut f�r inte verkst�llas omedelbart. Samarbete med tillsynsmyndigheter i andra medlemsstater 9 � Tillsynsmyndigheten f�r v�gra en beg�ran om bist�nd fr�n en tillsyns- myndighet i en annan medlemsstat endast om det skulle strida mot en lag eller en f�rordning att tillm�tesg� den. 10 � N�r tillsynsmyndigheten p� beg�ran bist�r en tillsynsmyndighet i en annan medlemsstat har den de befogenheter som anges i 57 ��. 11 � Tillsynsmyndigheten f�r, om det �r f�renligt med svenska intressen, l�mna ut en uppgift till en tillsynsmyndighet i en annan medlemsstat, �ven om uppgiften �r sekretessbelagd enligt offentlighets- och sekretess- lagen (2009:400). 12 � Information som tillsynsmyndigheten efter beg�ran har f�tt fr�n en tillsynsmyndighet i en annan medlemsstat f�r inte anv�ndas f�r n�got annat �ndam�l �n det f�r vilket informationen beg�rdes. 6 kap. Administrativa sanktionsavgifter �vertr�delser som kan leda till en sanktionsavgift 1 � En sanktionsavgift f�r tas ut av en personuppgiftsansvarig vid �vertr�- delse av n�gon av 1. 2 kap. 15, 712 eller 1418 ��, 19 � andra stycket eller 22 �, 2. 3 kap. 28 ��, eller 3. 8 kap. 16 �� eller 8 �. En sanktionsavgift f�r ocks� tas ut om en personuppgiftsansvarig inte anm�ler en personuppgiftsincident enligt 3 kap. 9 � f�rsta stycket, inte dokumenterar en s�dan incident, l�ter bli att bist� tillsynsmyndigheten enligt 5 kap. 5 � eller inte f�ljer tillsynsmyndighetens beslut enligt 5 kap. 7 � f�rsta stycket 2 eller 3. 2 � En sanktionsavgift f�r tas ut av ett personuppgiftsbitr�de vid �vertr�- delse av 3 kap. 5, 6 eller 8 �. En sanktionsavgift f�r ocks� tas ut om et personuppgiftsbitr�de l�ter bli att bist� tillsynsmyndigheten enligt 5 kap. 5 � eller inte f�ljer tillsynsmyndighe- tens beslut enligt 5 kap. 7 � f�rsta stycket 2 el er 3. Hur sanktionsavgiften ska best�mmas 3 � Sanktionsavgiften ska vid �vertr�delser av 3 kap. 6 eller 7 � eller av best�mmelser om dokumentation av personuppgiftsincidenter best�mmas till h�gst 5 000 000 kronor. 2018:1177 </div> <div id="page14-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 14 SFS Vid �vertr�delser av �vriga best�mmelser som anges i 1 och 2 �� ska avgiften best�mmas till h�gst 10 000 000 kronor. Om flera best�mmelser har �vertr�tts genom samma personuppgiftsbe- handling, eller om en eller flera best�mmelser har �vertr�tts genom sam- mankopplade personuppgiftsbehandlingar, ska sanktionsavgiften best�mmas efter �vertr�delsernas allvar. Sanktionsavgiften f�r aldrig �verstiga maximi- beloppet f�r den allvarligaste �vertr�delsen. 4 � Vid bed�mningen av om n�gon sanktionsavgift ska tas ut och n�r stor- leken p� avgiften ska best�mmas ska s�rskild h�nsyn tas till 1. om �vertr�delsen varit upps�tlig eller berott p� oaktsamhet, 2. den skada, fara eller kr�nkning som �vertr�delsen inneburit, 3. �vertr�delsens karakt�r, sv�rhetsgrad och varaktighet, 4. vad den personuppgiftsansvarige eller personuppgiftsbitr�det gjort f�r att begr�nsa verkningarna av �vertr�delsen, och 5. om den personuppgiftsansvarige eller personuppgiftsbitr�det tidigare �lagts att betala en sanktionsavgift. 5 � Sanktionsavgiften f�r s�ttas ned helt eller delvis om �vertr�delsen �r urs�ktlig eller om det annars med h�nsyn till omst�ndigheterna skulle vara osk�ligt att ta ut en avgift. Beslut om sanktionsavgift 6 � Tillsynsmyndigheten beslutar om sanktionsavgift. Sanktionsavgiften tillfaller staten. 7 � En sanktionsavgift f�r inte beslutas om den som avgiften ska tas ut av inte har f�tt tillf�lle att yttra sig inom fem �r fr�n den dag d� �vertr�delsen �gde rum. Ett beslut om sanktionsavgift ska delges. Betalning av sanktionsavgift 8 � En sanktionsavgift ska betalas till den myndighet som regeringen be- st�mmer inom 30 dagar fr�n det att beslutet om att ta ut avgiften har f�tt laga kraft eller inom den l�ngre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom den tid som anges i f�rsta stycket, ska myndigheten l�mna den obetalda avgiften f�r indrivning. Best�mmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning f�r verkst�llighet ske enligt uts�kningsbalken. Bemyndigande 9 � Regeringen f�r meddela ytterligare f�reskrifter om sanktionsavgifter enligt denna lag. 7 kap. Skadest�nd och �verklagande Skadest�nd 1 � Den personuppgiftsansvarige ska ers�tta den registrerade f�r den skada och kr�nkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller f�reskrifter som har meddelats i anslutning till den. 2018:1177 </div> <div id="page15-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 15 SFS �verklagande �verklagande av personuppgiftsansvariga myndigheters beslut 2 � Beslut i fr�ga om r�ttelse eller komplettering enligt 4 kap. 9 � f�rsta stycket, radering enligt 4 kap. 10 � f�rsta stycket, eller begr�nsning av be- handlingen enligt 4 kap. 9 � andra stycket eller 10 � andra stycket, som har meddelats av en myndighet i egenskap av personuppgiftsansvarig, f�r �verklagas till allm�n f�rvaltningsdomstol. Detsamma g�ller beslut att inte l�mna information enligt 4 kap. 3 �, att ta ut avgift enligt 4 kap. 12 � andra stycket eller att inte medge pr�vning av ett automatiserat beslut enligt 2 kap. 19 � f�rsta stycket. Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten. F�rsta stycket g�ller inte beslut av regeringen, H�gsta domstolen, H�gsta f�rvaltningsdomstolen eller Riksdagens ombudsm�n. �verklagande av tillsynsmyndighetens beslut 3 � Tillsynsmyndighetens beslut enligt denna lag f�r �verklagas till allm�n f�rvaltningsdomstol. N�r ett beslut �verklagas �r tillsynsmyndigheten mot- part i domstolen. Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten. �verklagandef�rbud 4 � Andra beslut enligt denna lag �n de som avses i 2 och 3 �� f�r inte �verklagas. 8 kap. �verf�ring av personuppgifter till tredjeland och internationella organisationer F�ruts�ttningar f�r �verf�ring 1 � En beh�rig myndighet f�r �verf�ra personuppgifter till ett tredjeland eller en internationell organisation, om personuppgifterna behandlas i Sverige eller �r avsedda att behandlas i ett tredjeland eller av en interna- tionell organisation. Personuppgifterna f�r dock endast �verf�ras om �ver- f�ringen 1. �r n�dv�ndig f�r att f�rebygga, f�rhindra eller uppt�cka brottslig verk- samhet, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller uppr�tth�lla allm�n ordning och s�kerhet, 2. riktas till en beh�rig myndighet i ett tredjeland eller till en internationell organisation som �r en beh�rig myndighet, och 3. omfattas av a) ett beslut om adekvat skyddsniv� enligt 3 �, b) tillr�ckliga skydds�tg�rder enligt 4 �, eller c) ett undantag f�r s�rskilda situationer enligt 5 �. En beh�rig myndighet som avser att �verf�ra personuppgifter till ett tredjeland eller en internationell organisation, ska s�rskilt beakta risken f�r att enskilda f�r ett f�rs�mrat skydd f�r sina personuppgifter. 2 � Personuppgifter som en svensk myndighet har f�tt fr�n en annan med- lemsstat f�r �verf�ras till ett tredjeland eller en internationell organisation endast om den medlemsstat som l�mnat uppgifterna till en svensk myn- dighet har medgett att de �verf�rs. Om medgivandet p� grund av tidsbrist inte kan inh�mtas i f�rv�g, f�r personuppgifter �nd� �verf�ras om det �r n�dv�ndigt f�r att avv�rja en omedelbar och allvarlig fara f�r allm�n s�kerhet. Detsamma g�ller om det 2018:1177 </div> <div id="page16-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 16 SFS �r n�dv�ndigt f�r att avv�rja en omedelbar och allvarlig fara f�r andra v�sentliga intressen f�r Sverige eller n�gon annan medlemsstat. Beslut om adekvat skyddsniv� 3 � Om Europeiska kommissionen har beslutat att det finns en adekvat niv� f�r skyddet av personuppgifter i ett tredjeland, eller en viss geografisk eller p� annat s�tt angiven del av det, f�r personuppgifter �verf�ras dit under de f�ruts�ttningar som anges i 1 och 2 ��. Detsamma g�ller om det finns ett s�dant beslut avseende en internationell organisation. Tillr�ckliga skydds�tg�rder 4 � Om det inte finns n�got beslut om adekvat skyddsniv� enligt 3 �, f�r personuppgifter, under de f�ruts�ttningar som anges i 1 och 2 ��, �nd� �verf�ras till ett tredjeland eller en internationell organisation om 1. skydds�tg�rder f�r personuppgifterna har fastst�llts i ett avtal som ger tillr�ckliga garantier till skydd f�r den registrerade, eller 2. den beh�riga myndighet som uppgifterna ska �verf�ras till p� annat s�tt garanterar tillr�ckligt skydd f�r dem. �verf�ring i s�rskilda situationer 5 � Om det inte finns n�got beslut om adekvat skyddsniv� enligt 3 � eller tillr�ckliga skydds�tg�rder enligt 4 �, f�r en �verf�ring, eller en samling av �verf�ringar, av personuppgifter, under de f�ruts�ttningar som anges i 1 och 2 ��, g�ras till ett tredjeland eller en internationell organisation endast om �verf�ringen �r n�dv�ndig f�r att 1. v�rna den registrerades eller n�gon annan fysisk persons vitala intres- sen, eller andra ber�ttigade intressen som den registrerade har, 2. i ett enskilt fall f�rebygga, f�rhindra eller uppt�cka brottslig verksam- het, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller upp- r�tth�lla allm�n ordning och s�kerhet, 3. i ett enskilt fall kunna fastst�lla, g�ra g�llande eller f�rsvara ett r�ttsligt anspr�k som h�nf�r sig till ett s�dant syfte som anges i 2, eller 4. avv�rja en omedelbar och allvarlig fara f�r allm�n s�kerhet. Personuppgifter f�r inte �verf�ras till ett tredjeland eller en internationell organisation om den registrerades intresse av skydd mot kr�nkning av r�t- tigheter och friheter v�ger tyngre �n det allm�nnas intresse av en s�dan �verf�ring som avses i f�rsta stycket 2 eller 3. Vidare�verf�ring 6 � En svensk beh�rig myndighet f�r inte till�ta att s�dana personuppgifter som anges i 2 � f�rsta stycket, och som �verf�rts till ett tredjeland eller en internationell organisation, vidare�verf�rs till ett tredjeland eller en inter- nationell organisation, om inte n�gon beh�rig myndighet i den andra med- lemsstaten har medgett att uppgifterna f�r vidare�verf�ras. 7 � N�r en svensk beh�rig myndighet ska ta st�llning till om personupp- gifter som har �verf�rts fr�n Sverige till en annan medlemsstat, som har �verf�rt dem till ett tredjeland eller en internationell organisation, f�r vidare�verf�ras till ett tredjeland eller en internationell organisation, ska alla k�nda omst�ndigheter som har samband med vidare�verf�ringen beaktas. S�rskild vikt ska l�ggas vid brottets allvar, allvaret i faran f�r allm�n s�ker- het, det �ndam�l f�r vilket personuppgifterna ursprungligen l�mnades till 2018:1177 </div> <div id="page17-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 17 SFS den andra medlemsstaten och niv�n p� skyddet av personuppgifter i tredje- landet eller hos den internationella organisationen som uppgifterna ska vidare�verf�ras till. �verf�ring till andra �n beh�riga myndigheter 8 � En svensk beh�rig myndighet f�r i ett enskilt fall �verf�ra personupp- gifter till n�gon som inte �r en beh�rig myndighet i ett tredjeland. Person- uppgifterna f�r �verf�ras endast om de �vriga f�ruts�ttningarna i 1 och 2 �� �r uppfyllda och om 1. det �r absolut n�dv�ndigt f�r att den svenska myndigheten ska kunna utf�ra en uppgift enligt 1 kap. 2 � som den har ansvar f�r, 2. den svenska myndigheten informerar den som ska ta emot personupp- gifterna om det eller de specifika �ndam�l f�r vilket eller vilka uppgifterna f�r behandlas, och 3. det skulle vara ineffektivt eller ol�mpligt att �verf�ra dem till en be- h�rig myndighet i tredjelandet. Personuppgifter f�r inte �verf�ras enligt f�rsta stycket om den registre- rades intresse av skydd mot kr�nkning av r�ttigheter och friheter v�ger tyngre �n det allm�nnas intresse av att �verf�ringen g�rs. F�rsta och andra styckena g�ller inte en s�dan annan akt�r som �r beh�rig myndighet enligt definitionen i 1 kap. 6 �. Villkor om anv�ndningsbegr�nsning 9 � Om en svensk beh�rig myndighet har f�tt personuppgifter fr�n ett tredjeland eller en internationell organisation och g�ller p� grund av en �verenskommelse med tredjelandet eller den internationella organisationen villkor som begr�nsar m�jligheten att anv�nda uppgifterna, ska svenska myndigheter f�lja villkoren oavsett vad som �r f�reskrivet i lag eller annan f�rfattning. 10 � En svensk beh�rig myndighet f�r vid �verf�ring av personuppgifter till ett tredjeland eller en internationell organisation i ett enskilt fall st�lla upp villkor som begr�nsar m�jligheten att anv�nda uppgifterna, om det kr�vs med h�nsyn till den enskildes r�tt eller fr�n allm�n synpunkt. S�dana villkor f�r inte strida mot en internationell �verenskommelse som �r bin- dande f�r Sverige. 1. Denna lag tr�der i kraft den 1 augusti 2018. 2. Genom lagen upph�vs lagen (2013:329) med vissa best�mmelser om skydd f�r personuppgifter vid polissamarbete och straffr�ttsligt samarbete inom Europeiska unionen. 3. Best�mmelsen i 3 kap. 5 � om loggning till�mpas fr�n och med den 6 maj 2023 i fr�ga om automatiserade behandlingssystem som inr�ttats f�re den 6 maj 2016. 4. En sanktionsavgift enligt 6 kap. f�r beslutas endast f�r �vertr�delser som har skett efter ikrafttr�dandet. 5. �ldre f�reskrifter g�ller fortfarande f�r �vertr�delser som har skett f�re ikrafttr�dandet. 6. �ldre f�reskrifter g�ller fortfarande f�r �verklagande av beslut som har meddelats f�re ikrafttr�dandet. 2018:1177 </div> <div id="page18-div" style="position:relative;width:892px;height:1262px;"> <img width="892" height="1262" src="/Static/i/lagboken/hidden.png" alt="background image"/> 18 SFS P� regeringens v�gnar YLVA JOHANSSON MORGAN JOHANSSON (Justitiedepartementet) 2018:1177 </div> </div>

Svensk f�rfattningssamling

Brottsdatalag
Utf�rdad den 20 juni 2018

Enligt riksdagens beslut1 f�reskrivs2 f�ljande.

1 kap. Allm�nna best�mmelser
Syftet med lagen
1 � Genom denna lag genomf�rs Europaparlamentets och r�dets direktiv

(EU) 2016/680 av den 27 april 2016 om skydd f�r fysiska personer med

avseende p� beh�riga myndigheters behandling av personuppgifter f�r att

f�rebygga, f�rhindra, utreda, avsl�ja eller lagf�ra brott eller verkst�lla straff-

r�ttsliga p�f�ljder, och det fria fl�det av s�dana uppgifter och om upph�vande

av r�dets rambeslut 2008/977/RIF, h�r ben�mnt dataskyddsdirektivet.

Syftet med lagen �r att skydda fysiska personers grundl�ggande r�ttig-

heter och friheter i samband med behandling av personuppgifter och att

s�kerst�lla att beh�riga myndigheter kan behandla och utbyta personupp-

gifter med varandra p� ett �ndam�lsenligt s�tt.

Lagens till�mpningsomr�de
2 � Denna lag g�ller vid behandling av personuppgifter som utf�rs av be-

h�riga myndigheter i syfte att f�rebygga, f�rhindra eller uppt�cka brottslig

verksamhet, utreda eller lagf�ra brott eller verkst�lla straffr�ttsliga p�f�lj-

der. Den g�ller ocks� vid behandling av personuppgifter som en beh�rig

myndighet utf�r i syfte att uppr�tth�lla allm�n ordning och s�kerhet.

3 � Lagen g�ller vid s�dan behandling av personuppgifter som �r helt eller

delvis automatiserad och f�r annan behandling av personuppgifter som ing�r

i eller �r avsedda att ing� i en strukturerad samling av personuppgifter som

�r tillg�ngliga f�r s�kning eller sammanst�llning enligt s�rskilda kriterier.

4 � Lagen g�ller inte vid S�kerhetspolisens behandling av personuppgifter

som r�r nationell s�kerhet eller om Polismyndigheten har �vertagit en arbets-

uppgift som r�r nationell s�kerhet fr�n S�kerhetspolisen.

Lagen g�ller inte heller i s�dan verksamhet som omfattas av lagen

(2007:258) om behandling av personuppgifter i F�rsvarsmaktens f�rsvars-

underr�ttelseverksamhet och milit�ra s�kerhetstj�nst.

Prop. 2017/18:232, bet. 2017/18:JuU37, rskr. 2017/18:392.

Jfr Europaparlamentets och r�dets direktiv (EU) 2016/680 av den 27 april 2016 om skydd f�r

fysiska personer med avseende p� beh�riga myndigheters behandling av personuppgifter f�r att

f�rebygga, f�rhindra, utreda, avsl�ja eller lagf�ra brott eller verkst�lla straffr�ttsliga p�f�ljder,

och det fria fl�det av s�dana uppgifter och om upph�vande av r�dets rambeslut 2008/977/RIF, i

den ursprungliga lydelsen.

SFS 2018:1177

Publicerad

den 27 juni 2018

SFS

Avvikande best�mmelser i annan f�rfattning
5 � Om en annan lag eller en f�rordning inneh�ller n�gon best�mmelse

som avviker fr�n denna lag, till�mpas den best�mmelsen.

Definitioner
6 � I denna lag anv�nds f�ljande uttryck med nedan angiven betydelse.

Uttryck

Betydelse

Behandling av personuppgifter

En �tg�rd eller kombination av �t-

g�rder som vidtas i fr�ga om per-

sonuppgifter eller upps�ttningar av

personuppgifter, oavsett om det g�rs

automatiserat eller inte, t.ex.

insamling, registrering, organisering,

strukturering, lagring, bearbetning

eller �ndring, framtagning, l�sning,

anv�ndning, utl�mnande, spridning

eller tillhandah�llande p� annat s�tt,

justering, sammanf�ring, begr�nsning,

radering eller f�rst�ring.

Beh�rig myndighet

1. En myndighet som har till uppgift

att f�rebygga, f�rhindra eller uppt�cka

brottslig verksamhet, utreda eller

lagf�ra brott, verkst�lla straffr�ttsliga

p�f�ljder, eller uppr�tth�lla allm�n

ordning och s�kerhet, n�r den

behandlar personuppgifter f�r ett

s�dant syfte, eller

2. en annan akt�r som har anf�rtrotts

myndighetsut�vning f�r ett syfte som

anges i 1, n�r den behandlar person-

uppgifter f�r ett s�dant syfte.

Biometriska uppgifter

Personuppgifter som r�r en persons

fysiska, fysiologiska eller beteende-

m�ssiga k�nnetecken, som tagits fram

genom s�rskild teknisk behandling

och som m�jligg�r eller bekr�ftar unik

identifiering av personen.

Dataskyddsombud

Den som utses av den personuppgifts-

ansvarige f�r att sj�lvst�ndigt kon-

trollera att personuppgifter behandlas

f�rfattningsenligt och p� ett korrekt

s�tt enligt vad som n�rmare anges i

lagen.

Genetiska uppgifter

Personuppgifter som r�r en persons

ned�rvda eller f�rv�rvade genetiska

k�nnetecken och som h�rr�r fr�n

analys av ett sp�r av eller ett prov fr�n

personen.

Internationell organisation

En organisation och dess underst�llda

organ som lyder under folkr�tten eller

ett annat organ som inr�ttats genom

eller p� grundval av en �verenskom-

melse mellan tv� eller flera stater

Medlemsstat

En stat som �r medlem i Europeiska

unionen samt Island, Liechtenstein,

Norge och Schweiz.

2018:1177

SFS

Mottagare

Den till vilken personuppgifter l�mnas

ut, med undantag av en myndighet

som med st�d av f�rfattning ut�var

tillsyn, kontroll eller revision.

Personuppgift

Varje upplysning om en identifierad

eller identifierbar fysisk person som �r

i livet.

Personuppgiftsansvarig

Den beh�riga myndighet som ensam

eller tillsammans med andra

best�mmer �ndam�len med och

medlen f�r behandlingen av per-

sonuppgifter.

Personuppgiftsbitr�de

Den som behandlar personuppgifter

f�r den personuppgiftsansvariges

r�kning.

Personuppgiftsincident

En s�kerhetsincident som leder till

oavsiktlig eller olaglig f�rst�ring,

f�rlust eller �ndring eller obeh�rigt

r�jande av eller obeh�rig �tkomst till

personuppgifter.

Registrerad

Den fysiska person som person-

uppgiften g�ller.

Tillsynsmyndigheten

Myndighet som regeringen utser

enligt dataskyddsdirektivet f�r att

ut�va tillsyn �ver behandling av

personuppgifter som utf�rs av be-

h�riga myndigheter i syfte att f�re-

bygga, f�rhindra eller uppt�cka

brottslig verksamhet, utreda eller

lagf�ra brott, verkst�lla straffr�ttsliga

p�f�ljder eller uppr�tth�lla allm�n

ordning och s�kerhet.

Tredjeland

En stat som inte �r en medlemsstat.

Tredje man

N�gon annan �n den registrerade, den

personuppgiftsansvarige, data-

skyddsombudet, personuppgiftsbi-

tr�det och s�dana personer som under

den personuppgiftsansvariges eller

personuppgiftsbitr�dets direkta ansvar

har r�tt att behandla personuppgifter.

Uppgift som r�r h�lsa

Personuppgift som r�r en persons

fysiska eller psykiska h�lsa, inklusive

information om tillhandah�llande av

h�lso- och sjukv�rdstj�nster som ger

upplysning om personens h�lsostatus.

2 kap. Behandling av personuppgifter
Grundl�ggande krav p� behandlingen
R�ttsliga grunder
1 � Personuppgifter f�r behandlas om det �r n�dv�ndigt f�r att en beh�rig

myndighet ska kunna utf�ra sin uppgift att f�rebygga, f�rhindra eller upp-

t�cka brottslig verksamhet, utreda eller lagf�ra brott, verkst�lla straffr�tts-

liga p�f�ljder eller uppr�tth�lla allm�n ordning och s�kerhet.

Med en beh�rig myndighets uppgift avses en uppgift som framg�r av lag,

f�rordning eller ett s�rskilt beslut i vilket regeringen uppdragit �t myndig-

heten att utf�ra uppgiften.

2018:1177

SFS

2 � Ut�ver vad som s�gs i 1 � f�r personuppgifter behandlas om

1. det �r n�dv�ndigt f�r diarief�ring, eller

2. uppgifterna har l�mnats till en beh�rig myndighet i en anm�lan, ans�-

kan eller liknande och behandlingen �r n�dv�ndig f�r myndighetens hand-

l�ggning.

�ndam�l
3 � Personuppgifter f�r behandlas bara f�r s�rskilda, uttryckligt angivna

och ber�ttigade �ndam�l.

Om det �ndam�l som personuppgifterna behandlas f�r inte framg�r av

sammanhanget eller p� annat s�tt, ska det tydligg�ras genom en s�rskild

upplysning.

4 � Innan personuppgifter f�r behandlas f�r ett nytt �ndam�l ska det s�ker-

st�llas att

1. det finns en r�ttslig grund enligt 1 � f�r den nya behandlingen, och

2. det �r n�dv�ndigt och proportionerligt att personuppgifterna behandlas

f�r det nya �ndam�let.

I den utstr�ckning skyldighet att l�mna uppgifter f�ljer av lag eller f�r-

ordning ska n�gon pr�vning enligt f�rsta stycket inte g�ras.

5 � En beh�rig myndighet f�r behandla personuppgifter f�r vetenskapliga,

statistiska eller historiska �ndam�l inom denna lags till�mpningsomr�de.

F�rfattningsenlig och korrekt behandling
6 � Personuppgifter ska behandlas f�rfattningsenligt och p� ett korrekt

s�tt.

Personuppgifternas kvalitet
7 � Personuppgifter som behandlas ska vara korrekta och, om det �r n�d-

v�ndigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas p� ett objektivt

s�tt med respekt f�r m�nniskov�rdet.

8 � Personuppgifter som behandlas ska vara adekvata och relevanta i f�r-

h�llande till �ndam�len med behandlingen. Fler personuppgifter f�r inte

behandlas �n vad som �r n�dv�ndigt med h�nsyn till �ndam�len med be-

handlingen.

�tskillnad mellan olika slag av personuppgifter
9 � S� l�ngt det �r m�jligt ska personuppgifter som r�r olika kategorier av

registrerade s�rskiljas s� att det framg�r om personen �r misst�nkt, d�md f�r

brott, brottsoffer eller n�gon annan som ber�rs av ett brott. Om det inte

framg�r av sammanhanget eller p� annat s�tt till vilken kategori personen

h�r, ska det tydligg�ras genom en s�rskild upplysning.

10 � S� l�ngt det �r m�jligt ska personuppgifter som grundar sig p� fakta

s�rskiljas fr�n personuppgifter som grundar sig p� personliga bed�mningar.

Om det inte framg�r av sammanhanget eller p� annat s�tt vad uppgiften

grundas p� ska det tydligg�ras genom en s�rskild upplysning.

2018:1177

SFS

K�nsliga personuppgifter
11 � Personuppgifter som avsl�jar ras, etniskt ursprung, politiska �sikter,

religi�s eller filosofisk �vertygelse eller medlemskap i fackf�rening eller

som r�r h�lsa, sexualliv eller sexuell l�ggning f�r inte behandlas.

Om uppgifter om en person behandlas f�r de dock kompletteras med

s�dana uppgifter som anges i f�rsta stycket n�r det �r absolut n�dv�ndigt f�r

�ndam�let med behandlingen.

12 � Biometriska uppgifter och genetiska uppgifter f�r behandlas endast

om det �r s�rskilt f�reskrivet och det �r absolut n�dv�ndigt f�r �ndam�let

med behandlingen.

13 � Personuppgifter som avses i 11 och 12 �� (k�nsliga personuppgifter)

f�r alltid behandlas med st�d av 2 �.

14 � Det �r f�rbjudet att utf�ra s�kningar i syfte att f� fram ett urval av

personer grundat p� k�nsliga personuppgifter.

R�ttelse, uppdatering och radering
15 � Alla rimliga �tg�rder ska vidtas f�r att personuppgifter som med h�n-

syn till �ndam�let med behandlingen �r felaktiga eller ofullst�ndiga utan

on�digt dr�jsm�l r�ttas och f�r att f�rhindra att s�dana uppgifter l�mnas ut

eller g�rs tillg�ngliga. Personuppgifter som �r inaktuella ska uppdateras om

det �r n�dv�ndigt.

N�r personuppgifter l�mnas ut till en beh�rig myndighet ska mottagaren

s� l�ngt det �r m�jligt ges information som g�r att det g�r att bed�ma i vilken

utstr�ckning uppgifterna �r korrekta, fullst�ndiga, uppdaterade och till-

f�rlitliga.

16 � Alla rimliga �tg�rder ska vidtas f�r att personuppgifter som behand-

las i strid med 1, 2, 3 � f�rsta stycket eller n�gon av 46 �� eller 8, 11, 12,

14 eller 17 � f�rsta stycket utan on�digt dr�jsm�l raderas och f�r att

f�rhindra att s�dana uppgifter l�mnas ut eller g�rs tillg�ngliga. Detsamma

g�ller om radering kr�vs f�r att utf�ra en r�ttslig f�rpliktelse.

Om f�ruts�ttningarna i f�rsta stycket f�r att radera personuppgifter �r

uppfyllda men uppgifterna beh�ver finnas kvar av bevissk�l, ska behand-

lingen av uppgifterna i st�llet utan on�digt dr�jsm�l begr�nsas.

L�ngsta tid som personuppgifter f�r behandlas
17 � Personuppgifter f�r inte behandlas under l�ngre tid �n vad som �r

n�dv�ndigt med h�nsyn till �ndam�let med behandlingen.

Best�mmelsen i f�rsta stycket hindrar inte att en beh�rig myndighet

arkiverar och bevarar allm�nna handlingar eller att arkivmaterial l�mnas till

en arkivmyndighet.

18 � Om det inte �r f�reskrivet i lag eller annan f�rfattning n�r en viss

kategori av personuppgifter inte l�ngre f�r behandlas f�r �ndam�l inom

denna lags till�mpningsomr�de, ska den personuppgiftsansvarige �rligen se

�ver behovet av att forts�tta behandla personuppgifterna.

2018:1177

SFS

Automatiserade beslut
19 � Om ett beslut har r�ttsliga f�ljder f�r en fysisk person eller annars i

betydande grad p�verkar honom eller henne och beslutet enbart grundas p�

automatiserad behandling av s�dana personuppgifter som �r avsedda att

bed�ma hans eller hennes egenskaper, ska personen ha m�jlighet att p�

beg�ran f� beslutet pr�vat p� nytt av n�gon person.

Automatiserade beslut f�r inte enbart grundas p� k�nsliga personuppgifter.

�verf�ring av personuppgifter till en annan medlemsstat
20 � Om det inte �r s�rskilt f�reskrivet f�r villkor f�r behandling av per-

sonuppgifter inte st�llas upp i f�rh�llande till en mottagare i en annan med-

lemsstat eller ett EU-organ, om det inte i motsvarande fall f�r st�llas upp

samma typ av villkor i f�rh�llande till en svensk mottagare.

Uppgiftsl�mnande f�r r�ttsstatistik
21 � Personuppgifter som �r n�dv�ndiga f�r att framst�lla r�ttsstatistik ska

l�mnas till den myndighet som ansvarar f�r att framst�lla s�dan statistik.

Behandling f�r �ndam�l utanf�r denna lags till�mpningsomr�de
22 � Innan personuppgifter som behandlas med st�d av denna lag behand-

las f�r ett �ndam�l utanf�r lagens till�mpningsomr�de ska det s�kerst�llas

att det �r n�dv�ndigt och proportionerligt att personuppgifterna behandlas

f�r det �ndam�let.

I den utstr�ckning skyldighet att l�mna uppgifter f�ljer av lag eller f�r-

ordning ska n�gon pr�vning enligt f�rsta stycket inte g�ras.

3 kap. Personuppgiftsansvarigas skyldigheter
Personuppgiftsansvarets omfattning
1 � Den personuppgiftsansvarige �r ansvarig f�r all behandling av person-

uppgifter som utf�rs under dennes ledning eller p� dennes v�gnar.

�tg�rder f�r att s�kerst�lla f�rfattningsenlig behandling
Tekniska och organisatoriska �tg�rder
2 � Den personuppgiftsansvarige ska, genom l�mpliga tekniska och orga-

nisatoriska �tg�rder, s�kerst�lla och kunna visa att behandlingen av person-

uppgifter �r f�rfattningsenlig och att den registrerades r�ttigheter skyddas.

3 � Den personuppgiftsansvarige ska n�r medlen f�r behandlingen be-

st�ms och vid behandlingen, genom l�mpliga tekniska och organisatoriska

�tg�rder, se till att n�dv�ndiga skydds�tg�rder integreras i behandlingen

(inbyggt dataskydd).

4 � Den personuppgiftsansvarige ska se till att det i automatiserade be-

handlingssystem som regel inte �r m�jligt att behandla andra personupp-

gifter �n de som �r n�dv�ndiga f�r varje s�rskilt angivet �ndam�l med

behandlingen (dataskydd som standard).

5 � Den personuppgiftsansvarige ska s�kerst�lla att det i automatiserade

behandlingssystem f�rs loggar �ver personuppgiftsbehandling i den ut-

str�ckning det �r s�rskilt f�reskrivet.

2018:1177

SFS

Tillg�ngen till personuppgifter
6 � Den personuppgiftsansvarige ska se till att tillg�ngen till personupp-

gifter begr�nsas till vad var och en beh�ver f�r att kunna fullg�ra sina arbets-

uppgifter.

Konsekvensbed�mning och f�rhandssamr�d
7 � Om en ny typ av behandling, eller betydande f�r�ndringar av redan

p�g�ende behandling, kan antas medf�ra s�rskild risk f�r intr�ng i den

registrerades personliga integritet, ska den personuppgiftsansvarige innan

behandlingen p�b�rjas eller f�r�ndringen genomf�rs bed�ma konsekven-

serna f�r skyddet av personuppgifter.

Om konsekvensbed�mningen visar att det finns s�rskild risk f�r intr�ng i

registrerades personliga integritet eller om typen av behandling inneb�r

s�rskild risk f�r intr�ng, ska den personuppgiftsansvarige samr�da med till-

synsmyndigheten i god tid innan behandlingen p�b�rjas eller betydande

f�r�ndringar genomf�rs (f�rhandssamr�d).

S�kerheten f�r personuppgifter
S�kerhets�tg�rder
8 � Den personuppgiftsansvarige ska vidta l�mpliga tekniska och organi-

satoriska �tg�rder f�r att skydda de personuppgifter som behandlas, s�rskilt

mot obeh�rig eller otill�ten behandling och mot f�rlust, f�rst�ring eller

annan oavsiktlig skada.

Personuppgiftsincidenter
9 � Senast 72 timmar efter det att den personuppgiftsansvarige f�tt k�nne-

dom om en personuppgiftsincident ska den anm�las till tillsynsmyndigheten,

utom i de fall d�r incidenten ska rapporteras enligt s�kerhetsskyddslagen

(1996:627) eller f�reskrifter som har meddelats i anslutning till den lagen.

Anm�lan beh�ver inte g�ras om det �r osannolikt att personuppgifts-

incidenten har medf�rt eller kommer att medf�ra n�gon risk f�r otillb�rligt

intr�ng i registrerades personliga integritet.

10 � Om en personuppgiftsincident som ska anm�las enligt 9 � f�rsta

stycket har medf�rt eller kan antas medf�ra s�rskild risk f�r otillb�rligt

intr�ng i registrerades personliga integritet, ska den personuppgiftsansvarige

utan on�digt dr�jsm�l underr�tta den registrerade om incidenten.

Underr�ttelseskyldigheten g�ller inte om den personuppgiftsansvarige

1. har till�mpat l�mpliga tekniska och organisatoriska skydds�tg�rder p�

de personuppgifter som p�verkades av incidenten,

2. har s�kerst�llt att det inte l�ngre finns s�rskild risk f�r otillb�rligt in-

tr�ng i registrerades personliga integritet, eller

3. skulle beh�va g�ra oproportionerliga anstr�ngningar f�r att underr�tta

alla ber�rda.

I fall som avses i andra stycket 3 ska allm�nheten informeras eller en

liknande �tg�rd vidtas genom vilken de registrerade f�r n�dv�ndig infor-

mation.

11 � Den personuppgiftsansvarige f�r avst� fr�n att l�mna information

enligt 10 � i den utstr�ckning det �r s�rskilt f�reskrivet i lag eller annan

f�rfattning eller annars framg�r av beslut som har meddelats med st�d av

f�rfattning att uppgifter inte f�r l�mnas ut av h�nsyn till intresset av att

2018:1177

SFS

1. f�rebygga, f�rhindra eller uppt�cka brottslig verksamhet, utreda eller

lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller uppr�tth�lla allm�n

ordning och s�kerhet,

2. andra r�ttsliga utredningar eller unders�kningar inte hindras,

3. nationell s�kerhet skyddas, eller

4. n�gon annans r�ttigheter och friheter skyddas.

Om den personuppgiftsansvarige inte �r en myndighet, g�ller undantaget

i f�rsta stycket �ven f�r uppgifter som hos en myndighet skulle ha varit

sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

Samarbete med tillsynsmyndigheten
12 � Den personuppgiftsansvarige ska samarbeta med tillsynsmyndig-

heten n�r den utf�r uppgifter enligt denna lag och f�reskrifter som har

meddelats i anslutning till lagen.

Dataskyddsombud
13 � Den personuppgiftsansvarige ska utse ett eller flera dataskyddsom-

bud och anm�la till tillsynsmyndigheten n�r dataskyddsombud utses och

entledigas.

14 � Dataskyddsombud ska

1. sj�lvst�ndigt kontrollera att den personuppgiftsansvarige behandlar

personuppgifter f�rfattningsenligt och p� ett korrekt s�tt och i �vrigt fullg�r

sina skyldigheter,

2. informera och ge r�d till den personuppgiftsansvarige och de som be-

handlar personuppgifter under dennes ledning om deras skyldigheter vid

behandling av personuppgifter,

3. p� beg�ran ge den personuppgiftsansvarige r�d vid en konsekvensbe-

d�mning och kontrollera att den genomf�rs p� korrekt s�tt,

4. vara kontaktpunkt f�r enskilda i fr�gor som r�r behandling av person-

uppgifter, och

5. samarbeta med tillsynsmyndigheten och vara kontaktpunkt f�r den vid

f�rhandssamr�d och andra fr�gor som r�r behandling av personuppgifter.

15 � Den som fullg�r uppgift som dataskyddsombud f�r inte obeh�rigen

r�ja det som han eller hon vid fullg�randet av sin uppgift har f�tt k�nnedom

om.

I det allm�nnas verksamhet till�mpas offentlighets- och sekretesslagen

(2009:400) i st�llet f�r f�rsta stycket.

Personuppgiftsbitr�den
16 � Den personuppgiftsansvarige f�r, om det �r l�mpligt, anlita person-

uppgiftsbitr�den f�r behandling av personuppgifter p� den personuppgifts-

ansvariges v�gnar. Innan ett personuppgiftsbitr�de anlitas ska den person-

uppgiftsansvarige f�rs�kra sig om att bitr�det kommer att vidta de l�mpliga

tekniska och organisatoriska �tg�rder som kr�vs f�r att behandlingen av

personuppgifter ska vara f�rfattningsenlig och f�r att skydda registrerades

r�ttigheter.

Personuppgiftsbitr�dets behandling av personuppgifter ska regleras i ett

skriftligt avtal eller annan skriftlig �verenskommelse.

17 � Ett personuppgiftsbitr�de f�r inte anlita ett annat personuppgiftsbi-

tr�de utan skriftligt tillst�nd fr�n den personuppgiftsansvarige.

2018:1177

SFS

18 � Ett personuppgiftsbitr�de och de som arbetar under bitr�dets ledning

ska behandla personuppgifter i enlighet med instruktioner fr�n den person-

uppgiftsansvarige.

Om ett personuppgiftsbitr�de best�mmer �ndam�len med och medlen f�r

behandlingen, ska bitr�det anses vara personuppgiftsansvarig f�r den

behandlingen.

19 � Det som s�gs om den personuppgiftsansvariges skyldigheter i 5, 6, 8

och 12 �� g�ller �ven f�r personuppgiftsbitr�den.

Gemensamt personuppgiftsansvar
20 � Tv� eller flera beh�riga myndigheter �r gemensamt personuppgifts-

ansvariga om de gemensamt best�mmer �ndam�len med och medlen f�r

personuppgiftsbehandlingen.

Den registrerade f�r ut�va sina r�ttigheter enligt lagen mot var och en av

de gemensamt personuppgiftsansvariga.

Bemyndigande
21 � Regeringen f�r meddela f�reskrifter om skyldighet att f�ra register

�ver kategorier av behandling av personuppgifter och skyldighet att inf�ra

interna rutiner f�r anm�lan av �vertr�delser.

4 kap. Enskildas r�ttigheter
R�tten till information
Allm�n information
1 � Den personuppgiftsansvarige ska g�ra f�ljande allm�nna information

tillg�nglig f�r den registrerade:

1. den personuppgiftsansvariges identitet och kontaktuppgifter,

2. dataskyddsombudets kontaktuppgifter,

3. kategorier av �ndam�l f�r behandlingen,

4. r�tten enligt 3 � att beg�ra att f� information om behandling av per-

sonuppgifter och att f� del av uppgifterna,

5. r�tten att beg�ra r�ttelse, radering eller begr�nsning av behandlingen

enligt 9 och 10 ��, och

6. m�jligheten att l�mna in klagom�l till tillsynsmyndigheten samt kon-

taktuppgifterna till myndigheten.

Personrelaterad information
2 � Den personuppgiftsansvarige ska i ett enskilt fall l�mna f�ljande

information till den registrerade, om det beh�vs f�r att han eller hon ska

kunna ta till vara sina r�ttigheter:

1. den r�ttsliga grunden f�r behandlingen,

2. kategorier av mottagare av personuppgifterna, �ven i tredjeland eller

internationella organisationer,

3. hur l�nge personuppgifterna f�r behandlas eller, om det inte �r m�jligt

att ange, kriterierna f�r att fastst�lla det, och

4. �vrig n�dv�ndig information.

Vid bed�mningen av om information enligt f�rsta stycket 4 ska l�mnas

ska det s�rskilt beaktas om personuppgifterna samlats in utan den registre-

rades vetskap.

2018:1177

SFS

3 � Den personuppgiftsansvarige ska till den som beg�r det utan on�digt

dr�jsm�l l�mna skriftligt besked om huruvida personuppgifter som r�r

honom eller henne behandlas. Om s�dana uppgifter behandlas, ska s�kanden

f� del av dem och f� f�ljande skriftliga information:

1. vilka personuppgifter om s�kanden som behandlas,

2. varifr�n personuppgifterna kommer,

3. den r�ttsliga grunden f�r behandlingen,

4. �ndam�len med behandlingen,

5. mottagare eller kategorier av mottagare av personuppgifterna, �ven i

tredjeland eller internationella organisationer,

6. hur l�nge personuppgifterna f�r behandlas eller, om det inte �r m�jligt

att ange, kriterierna f�r att fastst�lla det,

7. r�tten att beg�ra r�ttelse, radering eller begr�nsning av behandlingen

enligt 9 och 10 ��, och

8. m�jligheten att l�mna in klagom�l till tillsynsmyndigheten samt kon-

taktuppgifterna till myndigheten.

Utl�mnande av personuppgifter enligt f�rsta stycket beh�ver inte omfatta

s�dana personuppgifter som s�kanden har tagit del av, om inte han eller hon

beg�r det. Det ska dock framg� av informationen att personuppgifterna i

fr�ga behandlas.

4 � Den som har varit f�rem�l f�r ett s�dant beslut som avses i 2 kap. 19 �

har r�tt att p� beg�ran f� n�rmare information om beslutet av den person-

uppgiftsansvarige.

Begr�nsning av r�tten til information
5 � Informationsskyldigheten i 2 och 3 �� g�ller inte i den utstr�ckning det

�r s�rskilt f�reskrivet i lag eller annan f�rfattning eller annars framg�r av

beslut som har meddelats med st�d av f�rfattning att uppgifter inte f�r l�m-

nas ut av h�nsyn till intresset av att

1. f�rebygga, f�rhindra eller uppt�cka brottslig verksamhet, utreda eller

lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller uppr�tth�lla allm�n

ordning och s�kerhet,

2. andra r�ttsliga utredningar eller unders�kningar inte hindras,

3. nationell s�kerhet skyddas, eller

4. n�gon annans r�ttigheter och friheter skyddas.

Om f�ruts�ttningarna i f�rsta stycket �r uppfyllda, �r den personupp-

giftsansvarige inte skyldig att l�mna ut sk�len f�r beslut enligt f�rsta stycket

eller beslut i fr�ga om r�ttelse, radering eller begr�nsning av behandlingen

enligt 9 eller 10 �.

Om den personuppgiftsansvarige inte �r en myndighet, g�ller undantagen

i f�rsta och andra styckena �ven f�r uppgifter som hos en myndighet skulle

ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400).

6 � Informationsskyldigheten i 3 � g�ller inte personuppgifter i l�pande

text som inte har f�tt sin slutliga utformning n�r beg�ran gjordes eller som

utg�r minnesanteckning eller liknande.

Informationsskyldigheten g�ller dock om uppgifterna

1. har l�mnats ut till tredje man, med undantag f�r en myndighet som med

st�d av f�rfattning ut�var tillsyn, kontroll eller revision,

2. behandlas enbart f�r vetenskapliga, statistiska eller historiska �ndam�l,

eller

2018:1177

SFS

3. har behandlats under l�ngre tid �n ett �r i l�pande text som inte har f�tt

sin slutliga utformning.

7 � Om en beg�ran enligt 3 � �r orimlig eller uppenbart ogrundad f�r den

personuppgiftsansvarige avsl� den.

Av 12 � andra stycket framg�r att den personuppgiftsansvarige i vissa fall

f�r ta ut avgift i st�llet f�r att avsl� beg�ran.

M�jligheten att beg�ra kontroll genom tillsynsmyndigheten
8 � I 5 kap. 3 � finns best�mmelser om att en fysisk person f�r beg�ra att

tillsynsmyndigheten kontrollerar om hans eller hennes personuppgifter be-

handlas f�rfattningsenligt.

R�tten till r�ttelse, radering och begr�nsning av behandlingen
9 � Den personuppgiftsansvarige ska p� beg�ran av den registrerade utan

on�digt dr�jsm�l r�tta eller komplettera personuppgifter som r�r honom

eller henne, om de �r felaktiga eller ofullst�ndiga med h�nsyn till �ndam�let

med behandlingen.

Om den personuppgiftsansvarige inte kan fastst�lla att personuppgifterna

�r korrekta ska behandlingen av uppgifterna i st�llet utan on�digt dr�jsm�l

begr�nsas.

10 � Den personuppgiftsansvarige ska p� beg�ran av den registrerade utan

on�digt dr�jsm�l radera personuppgifter som r�r honom eller henne, om de

behandlas i strid med 2 kap. 1, 2, 3 � f�rsta stycket eller n�gon av 46 ��

eller 8, 11, 12, 14 eller 17 � f�rsta stycket. Detsamma g�ller om det kr�vs

radering f�r att den personuppgiftsansvarige ska utf�ra en r�ttslig f�r-

pliktelse.

Om f�ruts�ttningarna i f�rsta stycket f�r att radera personuppgifter �r

uppfyllda men uppgifterna beh�ver finnas kvar av bevissk�l, ska den per-

sonuppgiftsansvarige p� beg�ran av den registrerade i st�llet utan on�digt

dr�jsm�l begr�nsa behandlingen av uppgifterna.

11 � Den personuppgiftsansvarige avg�r vilken �tg�rd som ska vidtas med

anledning av en beg�ran om r�ttelse, radering eller begr�nsning av behand-

lingen.

Avgiftsfri information
12 � Information enligt 1, 2 och 4 �� ska l�mnas utan avgift. Information

och uppgifter enligt 3 � ska l�mnas utan avgift en g�ng per �r.

Om n�gon beg�r information och uppgifter enligt 3 � oftare �n en g�ng per

�r, f�r den personuppgiftsansvarige ta ut en rimlig avgift eller avsl� beg�ran

enligt 7 � f�rsta stycket.

5 kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 � Tillsynsmyndigheten ska verka b�de f�r att fysiska personers grund-

l�ggande r�ttigheter och friheter skyddas i samband med behandling av

personuppgifter och f�r att underl�tta det fria fl�det av personuppgifter inom

denna lags till�mpningsomr�de.

2018:1177

SFS

Tillsynsmyndighetens uppgifter
2 � Tillsynsmyndigheten ska

1. ut�va allm�n tillsyn �ver personuppgiftsbehandling,

2. handl�gga klagom�l fr�n registrerade,

3. utf�ra kontroll enligt 3 �, och

4. p� beg�ran bist� en tillsynsmyndighet i en annan medlemsstat.

Tillsynen ska inte omfatta behandling av personuppgifter inom ramen f�r

domstolarnas d�mande verksamhet.

3 � Tillsynsmyndigheten ska p� beg�ran kontrollera om uppgifter om en

fysisk person behandlas f�rfattningsenligt. Den som beg�r en s�dan kontroll

ska visa att han eller hon har beg�rt information enligt 4 kap. 3 � eller en

�tg�rd enligt 4 kap. 9 eller 10 �.

Myndigheten f�r v�gra att utf�ra kontrollen om beg�ran �r orimlig eller

uppenbart ogrundad.

4 � Tillsynsmyndigheten ska vid f�rhandssamr�d enligt 3 kap. 7 � och n�r

det i �vrigt �r p�kallat ge r�d och st�d till personuppgiftsansvariga och per-

sonuppgiftsbitr�den om deras skyldigheter enligt lag eller annan f�rfattning.

Tillsynsmyndighetens befogenheter
Unders�kningsbefogenheter
5 � Tillsynsmyndigheten har r�tt att av personuppgiftsansvariga och per-

sonuppgiftsbitr�den p� beg�ran f�

1. tillg�ng till alla personuppgifter som behandlas,

2. upplysningar om och dokumentation av behandlingen av personupp-

gifter och s�kerhets- och skydds�tg�rder,

3. tilltr�de till lokaler som den personuppgiftsansvarige eller personupp-

giftsbitr�det disponerar samt tillg�ng till utrustning och andra medel f�r

behandling av personuppgifter, och

4. den hj�lp och den information som beh�vs f�r tillsynen.

F�rebyggande befogenheter
6 � Om tillsynsmyndigheten bed�mer att det finns risk f�r at personuppgifter

kan komma at behandlas i strid med lag el er annan f�rfat ning, ska myndig-

heten genom r�d, rekommendationer el er p�pekanden f�rs�ka f�rm� den per-

sonuppgiftsansvarige el er personuppgiftsbitr�det att vidta �tg�rder f�r att

motverka den risken.

Tillsynsmyndigheten f�r utf�rda en skriftlig varning f�r att planerad be-

handling av personuppgifter riskerar att st� i strid med lag eller annan f�r-

fattning. Detsamma g�ller om p�g�ende behandling riskerar att st� i strid

med lag eller annan f�rfattning.

Korrigerande befogenheter
7 � Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i

strid med lag eller annan f�rfattning eller att den personuppgiftsansvarige

eller personuppgiftsbitr�det p� n�got annat s�tt inte fullg�r sina skyldig-

heter, f�r tillsynsmyndigheten

1. genom s�dana �tg�rder som anges i 6 � f�rsta stycket f�rs�ka f�rm�

den personuppgiftsansvarige eller personuppgiftsbitr�det att vidta �tg�rder

f�r att behandlingen ska bli f�rfattningsenlig, eller att uppfylla andra skyl-

digheter,

2018:1177

SFS

2. f�rel�gga den personuppgiftsansvarige eller personuppgiftsbitr�det att

vidta �tg�rder f�r att behandlingen ska bli f�rfattningsenlig eller att uppfylla

andra skyldigheter,

3. f�rbjuda fortsatt behandling om bristen �r allvarlig, eller

4. besluta om en sanktionsavgift enligt 6 kap.

Om ett f�rel�ggande utf�rdas ska det av f�rel�ggandet framg� n�r �tg�r-

derna senast ska vara genomf�rda och, om det �r l�mpligt, vilka �tg�rder

som ska vidtas.

Verkst�llighet av beslut
8 � Tillsynsmyndighetens beslut f�r inte verkst�llas omedelbart.

Samarbete med tillsynsmyndigheter i andra medlemsstater
9 � Tillsynsmyndigheten f�r v�gra en beg�ran om bist�nd fr�n en tillsyns-

myndighet i en annan medlemsstat endast om det skulle strida mot en lag

eller en f�rordning att tillm�tesg� den.

10 � N�r tillsynsmyndigheten p� beg�ran bist�r en tillsynsmyndighet i en

annan medlemsstat har den de befogenheter som anges i 57 ��.

11 � Tillsynsmyndigheten f�r, om det �r f�renligt med svenska intressen,

l�mna ut en uppgift till en tillsynsmyndighet i en annan medlemsstat, �ven

om uppgiften �r sekretessbelagd enligt offentlighets- och sekretess-

lagen (2009:400).

12 � Information som tillsynsmyndigheten efter beg�ran har f�tt fr�n en

tillsynsmyndighet i en annan medlemsstat f�r inte anv�ndas f�r n�got annat

�ndam�l �n det f�r vilket informationen beg�rdes.

6 kap. Administrativa sanktionsavgifter
�vertr�delser som kan leda till en sanktionsavgift
1 � En sanktionsavgift f�r tas ut av en personuppgiftsansvarig vid �vertr�-

delse av n�gon av

1. 2 kap. 15, 712 eller 1418 ��, 19 � andra stycket eller 22 �,

2. 3 kap. 28 ��, eller

3. 8 kap. 16 �� eller 8 �.

En sanktionsavgift f�r ocks� tas ut om en personuppgiftsansvarig inte

anm�ler en personuppgiftsincident enligt 3 kap. 9 � f�rsta stycket, inte

dokumenterar en s�dan incident, l�ter bli att bist� tillsynsmyndigheten enligt

5 kap. 5 � eller inte f�ljer tillsynsmyndighetens beslut enligt 5 kap. 7 � f�rsta

stycket 2 eller 3.

2 � En sanktionsavgift f�r tas ut av ett personuppgiftsbitr�de vid �vertr�-

delse av 3 kap. 5, 6 eller 8 �.

En sanktionsavgift f�r ocks� tas ut om et personuppgiftsbitr�de l�ter bli att

bist� tillsynsmyndigheten enligt 5 kap. 5 � eller inte f�ljer tillsynsmyndighe-

tens beslut enligt 5 kap. 7 � f�rsta stycket 2 el er 3.

Hur sanktionsavgiften ska best�mmas
3 � Sanktionsavgiften ska vid �vertr�delser av 3 kap. 6 eller 7 � eller av

best�mmelser om dokumentation av personuppgiftsincidenter best�mmas

till h�gst 5 000 000 kronor.

2018:1177

SFS

Vid �vertr�delser av �vriga best�mmelser som anges i 1 och 2 �� ska

avgiften best�mmas till h�gst 10 000 000 kronor.

Om flera best�mmelser har �vertr�tts genom samma personuppgiftsbe-

handling, eller om en eller flera best�mmelser har �vertr�tts genom sam-

mankopplade personuppgiftsbehandlingar, ska sanktionsavgiften best�mmas

efter �vertr�delsernas allvar. Sanktionsavgiften f�r aldrig �verstiga maximi-

beloppet f�r den allvarligaste �vertr�delsen.

4 � Vid bed�mningen av om n�gon sanktionsavgift ska tas ut och n�r stor-

leken p� avgiften ska best�mmas ska s�rskild h�nsyn tas till

1. om �vertr�delsen varit upps�tlig eller berott p� oaktsamhet,

2. den skada, fara eller kr�nkning som �vertr�delsen inneburit,

3. �vertr�delsens karakt�r, sv�rhetsgrad och varaktighet,

4. vad den personuppgiftsansvarige eller personuppgiftsbitr�det gjort f�r

att begr�nsa verkningarna av �vertr�delsen, och

5. om den personuppgiftsansvarige eller personuppgiftsbitr�det tidigare

�lagts att betala en sanktionsavgift.

5 � Sanktionsavgiften f�r s�ttas ned helt eller delvis om �vertr�delsen �r

urs�ktlig eller om det annars med h�nsyn till omst�ndigheterna skulle vara

osk�ligt att ta ut en avgift.

Beslut om sanktionsavgift
6 � Tillsynsmyndigheten beslutar om sanktionsavgift.

Sanktionsavgiften tillfaller staten.

7 � En sanktionsavgift f�r inte beslutas om den som avgiften ska tas ut av

inte har f�tt tillf�lle att yttra sig inom fem �r fr�n den dag d� �vertr�delsen

�gde rum.

Ett beslut om sanktionsavgift ska delges.

Betalning av sanktionsavgift
8 � En sanktionsavgift ska betalas till den myndighet som regeringen be-

st�mmer inom 30 dagar fr�n det att beslutet om att ta ut avgiften har f�tt laga

kraft eller inom den l�ngre tid som anges i beslutet.

Om sanktionsavgiften inte betalas inom den tid som anges i f�rsta stycket,

ska myndigheten l�mna den obetalda avgiften f�r indrivning. Best�mmelser

om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar

m.m. Vid indrivning f�r verkst�llighet ske enligt uts�kningsbalken.

Bemyndigande
9 � Regeringen f�r meddela ytterligare f�reskrifter om sanktionsavgifter

enligt denna lag.

7 kap. Skadest�nd och �verklagande
Skadest�nd
1 � Den personuppgiftsansvarige ska ers�tta den registrerade f�r den skada

och kr�nkning av den personliga integriteten som orsakats av behandling av

personuppgifter i strid med denna lag, eller f�reskrifter som har meddelats i

anslutning till den.

2018:1177

SFS

�verklagande
�verklagande av personuppgiftsansvariga myndigheters beslut
2 � Beslut i fr�ga om r�ttelse eller komplettering enligt 4 kap. 9 � f�rsta

stycket, radering enligt 4 kap. 10 � f�rsta stycket, eller begr�nsning av be-

handlingen enligt 4 kap. 9 � andra stycket eller 10 � andra stycket, som har

meddelats av en myndighet i egenskap av personuppgiftsansvarig, f�r

�verklagas till allm�n f�rvaltningsdomstol. Detsamma g�ller beslut att inte

l�mna information enligt 4 kap. 3 �, att ta ut avgift enligt 4 kap. 12 � andra

stycket eller att inte medge pr�vning av ett automatiserat beslut enligt 2 kap.

19 � f�rsta stycket.

Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten.

F�rsta stycket g�ller inte beslut av regeringen, H�gsta domstolen, H�gsta

f�rvaltningsdomstolen eller Riksdagens ombudsm�n.

�verklagande av tillsynsmyndighetens beslut
3 � Tillsynsmyndighetens beslut enligt denna lag f�r �verklagas till allm�n

f�rvaltningsdomstol. N�r ett beslut �verklagas �r tillsynsmyndigheten mot-

part i domstolen.

Pr�vningstillst�nd kr�vs vid �verklagande till kammarr�tten.

�verklagandef�rbud
4 � Andra beslut enligt denna lag �n de som avses i 2 och 3 �� f�r inte

�verklagas.

8 kap. �verf�ring av personuppgifter till tredjeland och

internationella organisationer
F�ruts�ttningar f�r �verf�ring
1 � En beh�rig myndighet f�r �verf�ra personuppgifter till ett tredjeland

eller en internationell organisation, om personuppgifterna behandlas i

Sverige eller �r avsedda att behandlas i ett tredjeland eller av en interna-

tionell organisation. Personuppgifterna f�r dock endast �verf�ras om �ver-

f�ringen

1. �r n�dv�ndig f�r att f�rebygga, f�rhindra eller uppt�cka brottslig verk-

samhet, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller

uppr�tth�lla allm�n ordning och s�kerhet,

2. riktas till en beh�rig myndighet i ett tredjeland eller till en internationell

organisation som �r en beh�rig myndighet, och

3. omfattas av

a) ett beslut om adekvat skyddsniv� enligt 3 �,

b) tillr�ckliga skydds�tg�rder enligt 4 �, eller

c) ett undantag f�r s�rskilda situationer enligt 5 �.

En beh�rig myndighet som avser att �verf�ra personuppgifter till ett

tredjeland eller en internationell organisation, ska s�rskilt beakta risken f�r

att enskilda f�r ett f�rs�mrat skydd f�r sina personuppgifter.

2 � Personuppgifter som en svensk myndighet har f�tt fr�n en annan med-

lemsstat f�r �verf�ras till ett tredjeland eller en internationell organisation

endast om den medlemsstat som l�mnat uppgifterna till en svensk myn-

dighet har medgett att de �verf�rs.

Om medgivandet p� grund av tidsbrist inte kan inh�mtas i f�rv�g, f�r

personuppgifter �nd� �verf�ras om det �r n�dv�ndigt f�r att avv�rja en

omedelbar och allvarlig fara f�r allm�n s�kerhet. Detsamma g�ller om det

2018:1177

SFS

�r n�dv�ndigt f�r att avv�rja en omedelbar och allvarlig fara f�r andra

v�sentliga intressen f�r Sverige eller n�gon annan medlemsstat.

Beslut om adekvat skyddsniv�
3 � Om Europeiska kommissionen har beslutat att det finns en adekvat

niv� f�r skyddet av personuppgifter i ett tredjeland, eller en viss geografisk

eller p� annat s�tt angiven del av det, f�r personuppgifter �verf�ras dit under

de f�ruts�ttningar som anges i 1 och 2 ��. Detsamma g�ller om det finns ett

s�dant beslut avseende en internationell organisation.

Tillr�ckliga skydds�tg�rder
4 � Om det inte finns n�got beslut om adekvat skyddsniv� enligt 3 �, f�r

personuppgifter, under de f�ruts�ttningar som anges i 1 och 2 ��, �nd�

�verf�ras till ett tredjeland eller en internationell organisation om

1. skydds�tg�rder f�r personuppgifterna har fastst�llts i ett avtal som ger

tillr�ckliga garantier till skydd f�r den registrerade, eller

2. den beh�riga myndighet som uppgifterna ska �verf�ras till p� annat s�tt

garanterar tillr�ckligt skydd f�r dem.

�verf�ring i s�rskilda situationer
5 � Om det inte finns n�got beslut om adekvat skyddsniv� enligt 3 � eller

tillr�ckliga skydds�tg�rder enligt 4 �, f�r en �verf�ring, eller en samling av

�verf�ringar, av personuppgifter, under de f�ruts�ttningar som anges i 1 och

2 ��, g�ras till ett tredjeland eller en internationell organisation endast om

�verf�ringen �r n�dv�ndig f�r att

1. v�rna den registrerades eller n�gon annan fysisk persons vitala intres-

sen, eller andra ber�ttigade intressen som den registrerade har,

2. i ett enskilt fall f�rebygga, f�rhindra eller uppt�cka brottslig verksam-

het, utreda eller lagf�ra brott, verkst�lla straffr�ttsliga p�f�ljder eller upp-

r�tth�lla allm�n ordning och s�kerhet,

3. i ett enskilt fall kunna fastst�lla, g�ra g�llande eller f�rsvara ett r�ttsligt

anspr�k som h�nf�r sig till ett s�dant syfte som anges i 2, eller

4. avv�rja en omedelbar och allvarlig fara f�r allm�n s�kerhet.

Personuppgifter f�r inte �verf�ras till ett tredjeland eller en internationell

organisation om den registrerades intresse av skydd mot kr�nkning av r�t-

tigheter och friheter v�ger tyngre �n det allm�nnas intresse av en s�dan

�verf�ring som avses i f�rsta stycket 2 eller 3.

Vidare�verf�ring
6 � En svensk beh�rig myndighet f�r inte till�ta att s�dana personuppgifter

som anges i 2 � f�rsta stycket, och som �verf�rts till ett tredjeland eller en

internationell organisation, vidare�verf�rs till ett tredjeland eller en inter-

nationell organisation, om inte n�gon beh�rig myndighet i den andra med-

lemsstaten har medgett att uppgifterna f�r vidare�verf�ras.

7 � N�r en svensk beh�rig myndighet ska ta st�llning till om personupp-

gifter som har �verf�rts fr�n Sverige till en annan medlemsstat, som har

�verf�rt dem till ett tredjeland eller en internationell organisation, f�r

vidare�verf�ras till ett tredjeland eller en internationell organisation, ska alla

k�nda omst�ndigheter som har samband med vidare�verf�ringen beaktas.

S�rskild vikt ska l�ggas vid brottets allvar, allvaret i faran f�r allm�n s�ker-

het, det �ndam�l f�r vilket personuppgifterna ursprungligen l�mnades till

2018:1177

SFS

den andra medlemsstaten och niv�n p� skyddet av personuppgifter i tredje-

landet eller hos den internationella organisationen som uppgifterna ska

vidare�verf�ras till.

�verf�ring till andra �n beh�riga myndigheter
8 � En svensk beh�rig myndighet f�r i ett enskilt fall �verf�ra personupp-

gifter till n�gon som inte �r en beh�rig myndighet i ett tredjeland. Person-

uppgifterna f�r �verf�ras endast om de �vriga f�ruts�ttningarna i 1 och 2 ��

�r uppfyllda och om

1. det �r absolut n�dv�ndigt f�r att den svenska myndigheten ska kunna

utf�ra en uppgift enligt 1 kap. 2 � som den har ansvar f�r,

2. den svenska myndigheten informerar den som ska ta emot personupp-

gifterna om det eller de specifika �ndam�l f�r vilket eller vilka uppgifterna

f�r behandlas, och

3. det skulle vara ineffektivt eller ol�mpligt att �verf�ra dem till en be-

h�rig myndighet i tredjelandet.

Personuppgifter f�r inte �verf�ras enligt f�rsta stycket om den registre-

rades intresse av skydd mot kr�nkning av r�ttigheter och friheter v�ger

tyngre �n det allm�nnas intresse av att �verf�ringen g�rs.

F�rsta och andra styckena g�ller inte en s�dan annan akt�r som �r beh�rig

myndighet enligt definitionen i 1 kap. 6 �.

Villkor om anv�ndningsbegr�nsning
9 � Om en svensk beh�rig myndighet har f�tt personuppgifter fr�n ett

tredjeland eller en internationell organisation och g�ller p� grund av en

�verenskommelse med tredjelandet eller den internationella organisationen

villkor som begr�nsar m�jligheten att anv�nda uppgifterna, ska svenska

myndigheter f�lja villkoren oavsett vad som �r f�reskrivet i lag eller annan

f�rfattning.

10 � En svensk beh�rig myndighet f�r vid �verf�ring av personuppgifter

till ett tredjeland eller en internationell organisation i ett enskilt fall st�lla

upp villkor som begr�nsar m�jligheten att anv�nda uppgifterna, om det

kr�vs med h�nsyn till den enskildes r�tt eller fr�n allm�n synpunkt. S�dana

villkor f�r inte strida mot en internationell �verenskommelse som �r bin-

dande f�r Sverige.

1. Denna lag tr�der i kraft den 1 augusti 2018.

2. Genom lagen upph�vs lagen (2013:329) med vissa best�mmelser om

skydd f�r personuppgifter vid polissamarbete och straffr�ttsligt samarbete

inom Europeiska unionen.

3. Best�mmelsen i 3 kap. 5 � om loggning till�mpas fr�n och med den

6 maj 2023 i fr�ga om automatiserade behandlingssystem som inr�ttats f�re

den 6 maj 2016.

4. En sanktionsavgift enligt 6 kap. f�r beslutas endast f�r �vertr�delser

som har skett efter ikrafttr�dandet.

5. �ldre f�reskrifter g�ller fortfarande f�r �vertr�delser som har skett f�re

ikrafttr�dandet.

6. �ldre f�reskrifter g�ller fortfarande f�r �verklagande av beslut som

har meddelats f�re ikrafttr�dandet.

2018:1177

SFS

P� regeringens v�gnar

YLVA JOHANSSON

MORGAN JOHANSSON

(Justitiedepartementet)

2018:1177

;

Viktiga lagar inom straffrätten

Brottsbalk (1962:700)
Narkotikastrafflag (1968:64)
Skattebrottslag (1971:69)
Lag (1951:649) om straff för vissa trafikbrott

JP Infonets straffrättsliga tjänster

Arbetar du med straffrätt? JP Infonets tjänster ger dig ett bra stöd i ditt arbete. Våra tjänster bevakar, förutom lagar och förarbeten, hela rättskedjan från tingsrätt till Högsta domstolen. Vi tar in alla relevanta avgöranden från JO och JK. Dessutom kan du ta del av expertanalyser som ringar in och besvarar olika aktuella rättsfrågor. Se allt inom straffrätt.

Tjänster

Utbildningar

Juridisk rådgivning

SFS 2018:1177 Brottsdatalag

Viktiga lagar inom straffrätten

JP Infonets straffrättsliga tjänster

Om Lagboken.se