: :

Remissvar: Myndighetsdatalag (SOU 2015:39)

av

Sören Öman
Sören Öman
» CV
» Föredrag
» Skrifter

Sören öman har hjälpt Juridiska fakulteten vid Stockholms universitet med universitetets remissvar till regeringen över förslaget till myndighetsdatalag i betänkandet SOU 2015:39 [ pdf ]. Här är fakultetens remissvar:

Yttrande över betänkandet Myndighetsdatalag (SOU 2015:39 [ pdf ])

Allmänt

Juridiska fakultetsnämnden anser att det är vällovligt med ett försök att äntligen göra den disparata floran av särskilda registerförfattningar mer enhetlig och överskådlig. Fakultetsnämnden är alltså positiv till att en gemensam myndighetsdatalag införs som helst så snart som möjligt ersätter de många olika särskilda registerförfattningarna.

Bestämmelser som inte direkt berörs av utredningen men som borde införas eller åtminstone övervägas

Enskilda med verksamhet som omfattas av offentlighetsprincipen

Det bör övervägas om lagen kan göras tillämplig även vid behandling av personuppgifter av enskilda i sådan verksamhet där offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen och offentlighets- och sekretesslagen ska tillämpas. I sådana verksamheter finns nämligen i aktuella hänseenden motsvarande behov som myndigheter har.

Skyldighet att underrätta vid misstänkta felaktigheter

Det är viktigt att felaktiga uppgifter som behandlas i den offentliga förvaltningen korrigeras så snart de upptäcks. Alla i den offentliga sektorn borde hjälpas åt med det. Det bör därför övervägas att införa en generell skyldighet motsvarande den som finns i 37 § förordningen om belastningsregister, t.ex. enligt följande: ”Den som i offentlig anställning tar del av en personuppgift hos en myndighet och misstänker att uppgiften är oriktig eller annars behandlas i strid med tillämpliga bestämmelser, ska genast anmäla det till den myndigheten.” En sådan bestämmelse skulle kunna tas in i en anknytande förordning till den föreslagna myndighetsdatalagen.

Avsnitt 8.2.2 – Undantagen från den föreslagna lagen

Fakultetsnämnden förordar att det till ledning för tillämpningen lämnas fler och utförligare beskrivningar av när det förslagna undantaget för myndigheters administrativa verksamhet är respektive inte är tillämpligt. Det kan också – för att undvika en icke avsedd tolkning – övervägas en precisering av lagtexten (t.ex. ”en myndighets administrativa verksamhet som inte direkt avser myndighetens sakliga verksamhet” eller liknande). Det verkar kunna finnas många gränsfall. Det framstår t.ex. inte som klart om myndighetsdatalagen ska tillämpas vid administration av behörigheter till myndighetens verksamhetssystem, vid handläggning av ett personalärende med anledning av dataintrång i verksamhetssystemet eller vid handläggning (i mån av behörighet) av anspråk på skadestånd eller återbetalning till följd av myndighetens sakverksamhet.

När det gäller undantaget för myndigheters administrativa verksamhet förordar fakultetsnämnden vidare att bestämmelserna i 4 och 10–13 §§ i den föreslagna lagen görs tillämpliga även i sådan verksamhet. En hänvisning till 10 § gör att motsvarande bestämmelse i personuppgiftsförordningen kan upphävas och dubbelreglering därmed undvikas. Bestämmelserna i 11–13 §§ om användning av personnummer i beslut, sökförbud avseende känsliga personuppgifter och krav på författningsstöd för att medge direktåtkomst till sekretessreglerade personuppgifter är sakligt motiverade även i myndigheters administrativa verksamhet.

Fakultetsnämnden ifrågasätter värdet av att undanta myndighets verksamhet som personuppgiftsbiträde från den föreslagna lagen. Man frågar sig t.ex. vem som i så fall ska tillämpa den föreslagna bestämmelsen i 19 § om vad ett personuppgiftsbiträde får göra; med det föreslagna undantaget gäller samma regel i sak, men då enligt 30 § första stycket personuppgiftslagen.

Avsnitt 8.3.2 och 9.2.4 – 10 § personuppgiftslagen bör göras tillämplig

Utredningen föreslår en helt generell bestämmelse om att personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet. Den bestämmelsen är avsedd att ersätta 10 § personuppgiftslagen (s. 287 ff.), som genomför artikel 7 i dataskyddsdirektivet. Det är riktigt att särskilda registerförfattningar brukar ersätta 10 § personuppgiftslagen med s.k. ändamålsbestämmelser om att en myndighet får behandla personuppgifter när det är nödvändigt för viss angiven verksamhet. Det har då skett efter en genomgång av den reglerade myndighetens verksamhet och en uttrycklig eller implicit bedömning av att behandlingen i den verksamheten kan tillåtas enligt artikel 7 i dataskyddsdirektivet (eller något enligt dataskyddsdirektivet tillåtet undantag från den artikeln). Det kan däremot ifrågasättas om en generell bestämmelse som tillåter behandling av personuppgifter i alla statliga och kommunala myndigheters verksamhet – utom administrativ och brottsbekämpande verksamhet samt verksamhet som personuppgiftsbiträde – uppfyller det som krävs enligt artikel 7 i dataskyddsdirektivet. Fakultetsnämnden förordar därför att 10 § personuppgiftslagen görs tillämplig. Den bestämmelsen utgör vidare om inte annat en nyttig påminnelse om att det krävs t.ex. att verksamheten innebär en arbetsuppgift av allmänt intresse eller i vart fall befrämjar intressen som överväger integritetsskyddsintresset och att det inte räcker med att exempelvis en kommun bestämt sig för att bedriva den. Görs 10 § personuppgiftslagen tillämplig, lär den föreslagna generella bestämmelsen i 8 § kunna utgå.

Avsnitt 8.3.2 (s. 241 f.) – 11 § personuppgiftslagen bör göras tillämplig

Bestämmelsen i 11 § personuppgiftslagen förbjuder behandling av personuppgifter för ändamål som rör direkt marknadsföring när den registrerade hos den personuppgiftsansvarige har motsatt sig detta. Ett utlämnande av personuppgifter från en myndighet till någon som myndigheten vet ska använda personuppgifterna för direkt marknadsföring är en sådan behandling av personuppgifter för ändamål som rör direkt marknadsföring som förbjuds i bestämmelsen (se t.ex. SOU 2004:6 [ pdf ] ff.). Bestämmelsen tillämpas visserligen inte när myndigheten uppfyller vad den är skyldig till enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen (8 § personuppgiftslagen), men den tillämpas vid alla andra utlämnanden, t.ex. när utlämnandet görs i elektronisk form (utan att det finns någon lagstadgad skyldighet för myndigheten att göra det). Utredningen lämnar inte några saklig skäl för förslaget att bestämmelsen inte ska vara fortsatt tillämplig i dessa situationer, dvs. varför just en myndighet ska kunna bortse den enskildes uttryckliga motsättande när myndigheten inte har en laglig skyldighet att göra utlämnandet. Det saknas vidare en analys av hur förslaget förhåller sig till artikel 14 i dataskyddsdirektivet. Det är i och för sig möjligt, men inte säkert, att finalitetsprincipen ofta hindrar sådana utlämnanden. Mot den bakgrunden förordar nämnden att 11 § personuppgiftslagen görs tillämplig.

Avsnitt 8.3.2 och 9.2.4 – 12 § första stycket personuppgiftslagen bör göras tillämplig

Enligt förslaget till myndighetsdatalag ska bl.a. bestämmelserna i 15 och 34 §§ personuppgiftslagen tillämpas. Dessa bestämmelser innebär bl.a. att en behandling i vissa fall – avseende känsliga personuppgifter eller överföring av personuppgifter till tredjeland med undermåligt skydd för personuppgifter – kan vara tillåten bara med den registrerades samtycke. Därför förordar fakultetsnämnden att även bestämmelsen i 12 § första stycket personuppgiftslagen om vad som ska gälla i den situationen att den registrerade återkallar ett sådant samtycke görs tillämplig (jämför prop. 2001/02:144 s. 68, 53 och 34).

Avsnitt 5.7 och 11 – Direktåtkomst

Att koppla begreppet direktåtkomst till när en informationsmängd på grund av elektroniska åtgärder kan utgöra en allmän handling hos både den utlämnande och den mottagande myndigheten gör att det finns bättre förutsättningar för utbildandet av en fylligare rättspraxis när både fall rörande det enhetliga direktåtkomstbegreppet och begreppet allmän handling kan användas för tolkning. Det är bra. Det ger dock inte i dag tillräcklig vägledning för tolkningen och innebär måhända inte en ändamålsenlig avvägning mellan integritetsskyddet och effektivitetsintressen. En bättre lösning hade varit att säga att begreppet direktåtkomst omfattar alla fall där informationen på grund av elektroniska åtgärder kan utgöra en allmän handling hos både den utlämnande och den mottagande myndigheten på det sätt utredningen gör och dessutom under alla förhållanden vissa åtminstone exemplifierade förfaranden. Det hade gett bättre vägledning för tillämpningen i dag och varit sakligt befogat för integritetsskyddet. En sådan lösning – att låta begreppet direktåtkomst, kanske, omfatta mera än vad som följer av offentlighetsprincipen – skulle inte leda till ett sådant ansvarsmässigt och rättsligt vakuum som utredningen talar om; utredningens motargument i den delen verkar ta sikte på att begreppet direktåtkomst skulle göras snävare än vad som följer av offentlighetsprincipen.

Så länge det inte är fråga om duplicering (spegling) av en elektronisk informationsmängd, verkar automatiserat elektroniskt informationsutbyte alltid gå till så att en maskin hos den mottagande myndigheten (oftast efter mänsklig instruktion i det enskilda fallet) efterfrågar en delmängd information som en maskin hos den utlämnande myndigheten sedan utan mänsklig inblandning levererar på något elektroniskt sätt. Det skulle vara en fördel för rättstillämpningen om det i förarbetsuttalanden kunde sägas att elektroniskt informationsutbyte som uppfyller dessa förutsättningar (den utlämnande maskinen gör det på maskinell väg efterfrågade elektroniska utlämnandet utan mänsklig inblandning i det enskilda fallet) är direktåtkomst. Då skulle man slippa försök att undkomma restriktioner för direktåtkomst genom att den utlämnande maskinen på förhand instrueras att dröja med utlämnandet eller att automatiserat fatta någon form av beslut före utlämnandet. Det är inte heller osannolikt att informationsmängden (den som kan lämnas ut utan mänsklig inblandning) i dessa fall kan vara att anse som allmän handling hos båda myndigheterna. I sakligt hänseende kan det knappast ha någon större betydelse för integritetsskyddet om tillhandahållandet fördröjs något eller föregås av ett automatiserat beslut.

Avsnitt 10.1.4 – Personuppgiftsansvaret vid direktåtkomst

Utredningens förslag innebär – till skillnad från vad som anses gälla enligt personuppgiftslagen – att en myndighet vid direktåtkomst till personuppgifter hos annan myndighet eller någon enskild är personuppgiftsansvarig även när åtkomsten bara innebär att informationen läses. Det verkar innebära att myndigheten är personuppgiftsansvarig t.ex. när en tjänsteman i anställningen surfar på internet eller söker information i en rättsdatabas som någon annan tillhandahåller. Det i sin tur lär innebära att myndigheter blir tvungna att lämna sina anställda instruktioner om under vilka förutsättningar sådan informationssökning får ske. Det verkar också kunna innebära att myndigheten skulle kunna få dataskyddsrättsligt skadeståndsansvar om tjänstemannen läser t.ex. uppgifter som utgör förtal (dvs. uppgifter som inte är lagligt åtkomna). Det skulle kanske kunna vara bra, men fakultetsnämnden är inte övertygad om att alla relevanta aspekter av förslaget har beaktats och föreslår att frågan blir föremål för ytterligare överväganden. Förslaget verkar för övrigt inte stämma särskilt väl överens med utredningens vällovliga ambition att samordna dataskyddsreglerna med bl.a. offentlighetsprincipen (jämför undantaget enligt den s.k. biblioteksregeln i 2 kap. 11 § tryckfrihetsförordningen som anses tillämpligt vid sådan ”direktåtkomst”). Vidare undrar man hur personuppgiftsansvaret i fråga om rättelse ska kunna fullgöras vid direktåtkomst som bara innefattar läsbehörighet.

Avsnitt 11.3 – Sökbegränsningar vid direktåtkomst

Som utredningen konstaterar är det otillfredsställande att det i många fall kan vara oklart om den mottagande myndigheten vid direktåtkomst har att iaktta de sökbegränsningar som gäller för den utlämnande myndigheten enligt en befintlig särskild registerförfattning. Fakultetsnämnden förordar, till skillnad från utredningen, att den situationen löses genom en generell bestämmelse i en gemensam myndighetsdatalag, förslagsvis enligt följande.

Om vid direktåtkomst mellan myndigheter den utlämnande myndigheten enligt lag eller förordning saknar befogenhet att göra en viss sammanställning tillgänglig, gäller den begränsningen också för den mottagande myndigheten.

Det innebär att den mottagande myndigheten vid direktåtkomst alltid skulle vara bunden av båda ”sina egna” sökbegränsningar och de sökbegränsningar som kan gälla för den utlämnande myndigheten.

Om den mottagande myndigheten har beaktansvärda behov av att använda sökbegrepp som den utlämnande myndigheten inte får använda, kan den mottagande statliga myndigheten genom förordning, med avvikelse från den subsidiära myndighetsdatalagen, ges möjlighet att använda de nödvändiga sökbegreppen. Man kan också tänka sig att regeln träder i kraft senare än myndighetsdatalagen i övrigt för att alla beaktansvärda behov ska hinna komma i dagen. Det är i vart fall bättre än att behöva vänta på en lösning till dess att befintlig registerlagstiftning har hunnit gås igenom.

Avsnitt 9.4 – Sökbegränsningar generellt

Den föreslagna myndighetsdatalagen innehåller en bestämmelse om att känsliga personuppgifter inte får användas som sökbegrepp annat än när det tillåtits enligt lag eller förordning (eller om sökningen bara sker i en handling eller ett ärende). Den föreslagna lagen föreslås vara subsidiär i förhållande till befintliga registerförfattningar.

Om det i en befintlig registerförfattning skulle finnas sökbegränsningar avseende bara vissa typer av känsliga personuppgifter, blir konsekvensen av den föreslagna lagen att sökbegränsningarna utvidgas trots att anledningen till att inte alla typer av känsliga personuppgifter förbjudits som sökbegrepp kan ha varit att övriga typer behöver användas. Fakultetsnämnden har svårt att överblicka om det kan finnas någon sådan befintlig registerförfattning, men vill påtala att en genomgång av befintlig lagstiftning verkar behövas. Dessutom står det klart att det krävs en genomgång av vilka undantag som behövs i verksamheter som i dag inte har några sökbegränsningar eller någon tillåtelse att använda nödvändiga sökbegrepp, t.ex. avseende riksdagens databaser där bl.a. allmänheten på internet kan söka på bl.a. partibeteckning.

Avsnitt 11.2.2 och 11.2.4 – Utlämnande i elektronisk form

Begreppet utlämnande i elektronisk form avser enligt utredningens förslag elektroniska utlämnanden i andra former än direktåtkomst. Det stämmer inte så bra med allmänt språkbruk och hur motsvarande begrepp tidigare använts i lagstiftningen (jämför t.ex. studiestödsdatalagen), där direktåtkomst också betraktas som ett utlämnande i elektronisk form. Fakultetsnämnden förordar därför att ett annat begrepp används, t.ex. ”annat elektroniskt utlämnande än direktåtkomst” eller ”utlämnande i elektronisk form i enskilda fall”.

Utredningen föreslår en bestämmelse av upplysande karaktär som ska påminna myndigheterna om att utlämnanden till enskilda som får göras ”kan” ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personuppgiften. Det förefaller inte riktigt lämpligt, utan bakvänt, att påminna om en regel som inte i sig har kommit till uttryck. Fakultetsnämnden förordar att bestämmelsen i stället slår fast regeln enligt följande: ”Får en personuppgift lämnas ut till en enskild, får det ske i elektronisk form [eller det begrepp som väljs för det som i dag kallas för utlämnande på medium för automatiserad behandling] bara om det inte är olämpligt med hänsyn till skyddet för personuppgiften eller det finns en skyldighet i lag att göra det”. Det är svårt att se något sakskäl för varför myndigheter skulle, när de har en valrätt, få välja något som är olämpligt. – Det vore vidare bra med några fler exempel i förarbetsuttalanden om när utlämnande i elektronisk form till enskilda kan vara olämpligt. Om personuppgiftslagen – t.ex. på grund av undantaget för privat behandling eller för att den enskilde inte är etablerad i Sverige (HFD 2014 ref. 66) – inte kommer att vara tillämplig på den enskildes behandling, kan det t.ex. vara olämpligt att lämna ut personuppgiften i elektronisk form om den tilltänkta behandlingen skulle ha stått i strid med personuppgiftslagen om den lagen hade tillämpats.

Avsnitt 10.2.5 – Loggning och logguppföljning samt behörighet

Fakultetsnämnden förordar att kraven på loggning av åtkomst till personuppgifter och logguppföljning uttryckligen framgår av lagtexten, t.ex. såsom i patientdatalagen. Det har funnits brister på det området, som påtalats av Datainspektionen, och loggningen är, såvitt gäller intern åtkomst, förknippad med de krav på behörighetstilldelning som föreslås bli uttryckligt reglerade.

Fakultetsnämnden förordar vidare att den föreslagna bestämmelsen om behörighetstilldelning (18 §) kompletteras med en grundläggande regel om att den som har tillgång till en myndighets personuppgifter inte får använda den för annat än som krävs för att dennes arbetsuppgifter ska kunna fullgöras. En sådan regel bör kunna gälla även vid behandling av personuppgifter i en myndighets administrativa verksamhet och verksamhet som personuppgiftsbiträde. Regeln är av betydelse för straffrättsligt ansvar för dataintrång, för eventuellt disciplinrättsligt ansvar enligt lag (för statsanställda) eller kollektivavtal (för kommunalt anställda) och för andra arbetsrättsliga åtgärder såsom uppsägning eller avskedande, särskilt när den aktuella myndigheten inte själv utfärdat närmare instruktioner.

Avsnitt 14.4.5 – Avförande av inaktuella personuppgifter från verksamhetssystem

Fakultetsnämnden anser att det är viktigt att den interna tillgången till en personuppgift begränsas när den inte längre rimligen behövs för den löpande förvaltningsverksamheten. Till skillnad från utredningen anser fakultetsnämnden att en generell bestämmelse om detta vore av värde i en myndighetsdatalag. Det skulle vara en välkommen påminnelse om att varje myndighet löpande måste bedöma när och hur tillgången ska begränsas så att inte personuppgifter av slentrian ligger kvar i verksamhetssystem tillgängliga för många. Praxis från Datainspektionen visar att det är ett problem. Fakultetsnämnden förordar alltså att det införs en sådan generell bestämmelse. Dessutom bör regeringen i lagen bemyndigas att meddela mer preciserade bestämmelser om sådant avförande så att det kan bli ordning i kommunerna också. Arkivlagen ger redan regeringen en sådan befogenhet i fråga om gallring, men så långt behöver man förmodligen inte gå.

Avsnitt 10.2.5 – Risk- och sårbarhetsanalys inför införande av elektroniska system för insamling av personuppgifter

Fakultetsnämnden förordar att det föreslagna kravet på en risk- och sårbarhetsanalys inför medgivande av direktåtkomst m.m. (14 §) utsträcks till att gälla även inför införandet av elektroniska system för insamling av personuppgifter. Det stämmer överens med rättspraxis (HFD 2012 ref. 21), och det är därför, och för att undvika motsatsslut av lagtexten, bäst att ta med den situationen också.

Avsnitt 12.5 – Överföring till tredjeland för att fullgöra författningsreglerad uppgiftsskyldighet

Utredningen föreslår ett undantag från förbudet mot överföring av personuppgifter till tredjeland enligt 33 § personuppgiftslagen när överföringen är nödvändig för att fullgöra en uppgiftsskyldighet som följer av lag eller förordning eller avtal med annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa. Att överföringsförbudet inte gäller när det finns en uppgiftsskyldighet i lag eller förordning följer emellertid redan av 4 § i lagförslaget. Fakultetsnämnden förordar att det fallet att uppgiftsskyldigheten enligt lag eller förordning nödvändiggör en överföring till tredjeland inte särregleras. Det skulle nämligen kunna leda till icke avsedda motsatsslut rörande författningsreglerad uppgiftsskyldighet i andra fall.

Avsnitt 15.4.3 – Skyldigheten att korrigera

Utredningen föreslår en bestämmelse om skyldighet för en myndighet att på begäran av den registrerade rätta eller komplettera en personuppgift som rör den registrerade, om uppgiften är felaktig eller ofullständig till ”följd av en åtgärd” som inte har sin grund i myndighetens eller någon annans bedömning. Fakultetsnämnden förordar att ordet ”åtgärd” byts ut mot ordet ”omständighet”, eftersom ordet åtgärd leder tanken till att det måste ha förekommit någon form av aktivitet trots att det bör räcka t.ex. att myndigheten upptäcker att de riktiga sakförhållandena är sådana att den behandlade personuppgiften måste betecknas som felaktig.

Förhållandet mellan de två paragrafer avseende korrigering som föreslås (24 och 25 §§) bör enligt fakultetsnämnden tydliggöras i lagtexten, t.ex. genom att 25 § avslutas med orden ”av annan anledning än som avses i 24 §”. En personuppgift som inte får behandlas enligt den föreslagna lagen (bara) därför att den är felaktig bör alltså rättas enligt 24 § och inte avskiljas enligt 25 §. Är det så att personuppgiften är felaktig och det dessutom varit otillåtet enligt lagen att behandla både den felaktiga och den riktiga uppgiften, bör uppgiften först rättas enligt 24 § och sedan avskiljas enligt 25 §.

Den föreslagna bestämmelsen i 25 § är avsedd att ersätta det nuvarande systemet med blockering enligt personuppgiftslagen. När blockerade uppgifter i dag hanteras eller lämnas ut ska de vara försedda med bl.a. upplysning om anledningen till att de är spärrade. Om en myndighet helt omotiverat har samlat in uppgifter om en person, såsom fallet verkar ha varit med det s.k. Resanderegistret, ligger det ett självständigt värde i att detta förhållande framgår för alla som kommer i kontakt med personuppgiften. Fakultetsnämnden förordar därför att skyldigheten att förknippa en avskild/blockerad personuppgift med sådana upplysningar kvarstår.

Fakultetsnämnden förordar vidare att orden ”till en enskild annat än med stöd av 2 kap. tryckfrihetsförordningen” i 25 § utgår. Bestämmelser i lag eller förordning om att uppgifter ska lämnas ut till enskilda eller myndigheter tar ändå över den föreslagna bestämmelsen (4 § i lagförslaget), och en myndighet bör – liksom i dag – inte på eget bevåg, utan att det finns författningsstöd för åtgärden, få sprida olagligt behandlade personuppgifter vidare till vare sig myndigheter eller enskilda.

Avfattningen av 25 § bör vidare ses över. Man kan nämligen läsa den föreslagna lagtexten som att en avskild personuppgift inte får vare sig lämnas ut eller utplånas.

Avsnitt 18.1.5 – Ingen avkriminalisering

Utredningen föreslår att straffbestämmelsen i 49 § personuppgiftslagen inte ska vara tillämplig vid behandling som regleras av den föreslagna myndighetsdatalagen. Det innebär att det som är brottsligt för enskilda personer som agerar för enskilda inte skulle vara brottsligt för offentliga tjänstemän, dvs. en avkriminalisering som ger offentliganställda straffimmunitet för felhandlingar som andra kan straffas för. Det är som fakultetsnämnden ser det principiellt fel att just offentliganställda ges straffimmunitet. Det lär inte vara särskilt vanligt att så har skett. Ämbetsansvaret reformerades visserligen år 1976 genom att sådana brott som bara offentliganställda kunde begå i huvudsak rensades ut, men principen var då och har därefter varit att sådant som är straffbart för var och en också är straffbart för en offentliganställd enligt generella straffbestämmelser. Bestämmelserna om tjänstefel i 20 kap. 1 § brottsbalken, som för övrigt bara gäller vid myndighetsutövning vilket det inte så ofta är fråga om vid behandling av personuppgifter, är subsidiära i förhållande till andra brott enligt brottsbalken och specialstraffrätten, och disciplinansvaret enligt lagen om offentlig anställning är också subsidiärt i förhållande till en straffrättslig reaktion.

Det är svårt att se något sakligt skäl för varför just offentliganställda som t.ex. ljuger för registrerade eller skickar deras personuppgifter till länder med undermåligt integritetsskydd nu ska slippa straffansvaret enligt personuppgiftslagen.

Fakultetsnämnden förordar således att myndighetsdatalagen hänvisar även till straffbestämmelsen i 49 § personuppgiftslagen. Det innebär att straffansvaret för offentliganställda skulle vara i princip detsamma som i dag (och som för alla andra). Någon annan komplettering i myndighetsdatalagen lär inte behövas. De straffsanktionerade förbuden mot att t.ex. behandla känsliga personuppgifter eller att föra över dem till tredje land när det inte är särskilt tillåtet finns i personuppgiftslagen och ska gälla vid behandling som regleras av myndighetsdatalagen, dock att den lagen anger ytterligare fall då sådan behandling är tillåten.

Avsnitt 9.2.4 (s. 283 f.) – Finalitetsprincipen vid utlämnande enligt en sekretessbrytande bestämmelse

Utredningen uttalar sig om hur finalitetsprincipen enligt 9 § personuppgiftslagen bör tolkas vid utlämnande enligt en bestämmelse som anger att uppgifter får lämnas ut utan hinder av sekretess. Den tolkning utredningen ger uttryck för, som bygger på en uppenbar fiktion av vad lagstiftaren kan anses ha tagit ställning till, är inte oomstridd (se s. 272 i betänkandet). Utredningens uttalande avser som sagt tolkningen av en bestämmelse i personuppgiftslagen (eller möjligen befintliga bestämmelser om att utlämnande får ske utan hinder av sekretess), som det inte föreslås några ändringar i. Rättskällevärdet av att så att säga lagstifta genom motivuttalanden är tveksamt. Om den tolkning som utredningen ger uttryck för avses gälla för myndigheter, bör därför en uttrycklig reglering införas, bl.a. efter analys av hur en generell reglering står sig mot EU-rätten.

Detta är inte en officiell text. Den officiella texten finns hos Stockholms universitet.

Dela :

Kommande publika föredrag av Sören Öman

Kommande publika föredrag om personuppgiftsskydd och annan it-rätt av Sören Öman

» Skrifter om dataskydd och annan it-rätt av Sören Öman ( 69 st. )

Personuppgiftslagen – En kommentar (4 uppl. Norstedts Juridik 2011)
Personuppgiftslagen – En kommentar (4 uppl. Norstedts Juridik 2011)

Personuppgiftslagen – En kommen­tar (Sören Öman & Hans-Olof Lindblom )

4 uppl. 2011 (722 sidor)
Internet­version 2016
Norstedts Juridik

Rättsinformatik – Juridiken i det digitala informationssamhället (Studentlitteratur andra upplagan 2016)
Rättsinformatik – Juridiken i det digitala informationssamhället (Studentlitteratur andra upplagan 2016)

Rätts­informatik – Juridiken i det digi­tala informa­tions­sam­hället ( medförfattare )

Andra upplagan 2016 ( 560 sidor )
Talbok 2016
Student­litteratur

Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66)
Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66)

Dataskydd inom Social­departe­mentets verk­sam­hets­område – en an­pass­ning till EU:s data­skydds­för­ord­ning

SOU 2017:66 ( 766 sidor )
Social­departe­mentet

Leveransplikt för elektroniska dokument (Ds 2009:61)
Leveransplikt för elektroniska dokument (Ds 2009:61)

Leveransplikt för elektroniska doku­ment

Ds 2009:61 ( 219 sidor )
Utbildnings­departe­mentet

Integritetsskydd i arbetslivet (SOU 2009:44)
Integritetsskydd i arbetslivet (SOU 2009:44)

Integritets­skydd i arbets­livet

SOU 2009:44 ( 457 sidor )
Arbets­mark­nads­departe­mentet

Fritid på egna villkor (SOU 2009:29)
Fritid på egna villkor (SOU 2009:29)

Fritid på egna villkor

SOU 2009:29 ( 307 sidor )
Integra­tions- och jäm­ställd­hets­departe­mentet

Studiestödsdatalag (SOU 2007:64)
Studiestödsdatalag (SOU 2007:64)

Studie­stöds­data­lag

SOU 2007:64 ( 229 sidor )
Utbildnings­departe­mentet

Patientdata och läkemedel m.m. (SOU 2007:48)
Patientdata och läkemedel m.m. (SOU 2007:48)

Patient­data och läke­medel m.m.

SOU 2007:48 ( 335 sidor )
Social­departe­mentet

Patientdatalag (SOU 2006:82)
Patientdatalag (SOU 2006:82)

Patient­data­lag

SOU 2006:82 ( 646 sidor )
Social­departe­mentet

Översyn av personuppgiftslagen (SOU 2004:6)
Översyn av personuppgiftslagen (SOU 2004:6)

Översyn av person­upp­gifts­lagen

SOU 2004:6 ( 367 sidor )
Justitie­departe­mentet

Personlig integritet i arbetslivet (SOU 2002:18)
Personlig integritet i arbetslivet (SOU 2002:18)

Personlig integritet i arbets­livet

SOU 2002:18 ( 335 sidor )
Närings­departe­mentet

Behandling av personuppgifter inom socialtjänsten (SOU 1999:109)
Behandling av personuppgifter inom socialtjänsten (SOU 1999:109)

Behandling av person­upp­gifter inom social­tjänsten

SOU 1999:109 ( 240 sidor )
Social­departe­mentet

Integritet • Offentlighet • Informationsteknik (SOU 1997:39)
Integritet • Offentlighet • Informationsteknik (SOU 1997:39)

Integritet • Offentlig­het • Informations­teknik

SOU 1997:39 ( 873 sidor )
Justitie­departe­mentet

Zeteo
Klicka för mer information

Person­upp­gifts­lagen – En kommen­tar på internet

Uppdateras årligen
Zeteo ( Wolters Kluwer )

Blendow Lexnova
Återkommande expertkommentarer i arbetsrätt och offentligt rätt – Klicka för att läsa

Åter­kommande expert­kommen­tarer

59 st. sedan 2008
Blendow Lexnova

» Föredrag av Sören Öman
( 16 st. kommande & 464 st. hållna sedan 2004, med 5 609 åhörare sedan 2014 )

Kommande publika föredrag av Sören Öman

2017-09-28 Person­upp­gifts­behand­ling i kommuner ( Stockholm JP Infonet » Hemsida  )

2017-10-04 Arbets­rättsliga frågor för offentlig sektor ( Stockholm Stiftelsen Fakultetskurser » Hemsida  )

2017-10-05 EU:s data­skydds­för­ord­ning – kompletterande nationell reglering och för­djup­ning ( Stockholm VJS / Karnov Group » Hemsida  )

2017-10-12 Nationell reglering vid sidan av data­skydds­för­ord­ningen ( Stockholm Stiftelsen Fakultetskurser » Hemsida  )