1 Acc 7569

1
Regeringens proposition
1999/2000:11
Personuppgiftslagens verfringsregler
Regeringen verlmnar denna proposition till riksdagen.
Stockholm den 7 oktober 1999
Lena H/elm-hallen
Britta Le/on
(Justitiedepartementet)
Propositionens huvudsakliga innehll
I propositionen fresls att personuppgiftslagens bestmmelse om frbud
mot verfring av personuppgifter ndras. verfring av personuppgifter
till ett land som inte ingr i Europeiska unionen eller r anslutet till Euro-
peiska ekonomiska samarbetsomrdet (tredje land) skall inte lngre vara
frbjuden om det tredje landet har en adekvat niv fr skyddet av person-
uppgifter. Nr det gller att avgra om skyddsnivn r adekvat skall alla
omstndigheter kring verfringen beaktas. ndringen medfr att per-
son-uppgiftslagen ansluter nrmare till lydelsen i Europaparlamentets och
rdets direktiv 95/46/EG av den 24 oktober 1995 om skydd fr enskilda
personer med avseende p behandling av personuppgifter och om det fria
fldet av sdana uppgifter.
I propositionen fresls ocks att ringa fall av vertrdelser av person-
uppgiftslagens straffbestmmelse skall undantas frn det straffbara om-
rdet.
ndringarna medfr sammantagna att skyddet fr personuppgifter i
betydligt hgre grad inriktas p de frfaranden som medfr allvarliga
integritetsrisker och att lagstiftningen nrmar sig en sdan missbruksin-
riktad regleringsmodell som riksdagen uttalat sig fr. Drigenom un-
derlttas anvndningen av modern informationsteknik.
ndringarna fresls trda i kraft den 1 januari 2000.
Prop.
1999/2000:11
Prop. 1999/2000:11
2
Innehllsfrteckning
1 Beslut ......................................................................................................3
2 Frslag till lag om ndring i personuppgiftslagen (1998:204)................4
3 rendet och dess beredning....................................................................5
4 Bakgrund.................................................................................................6
4.1 Personuppgiftslagens tillkomst............................................6
4.1.1 EGdirektivet ....................................................6
4.1.2 Datalagskommittns frslag och
personuppgiftslagen ..........................................7
4.2 Reglerna om verfring av personuppgifter till tredje land8
4.2.1 EGdirektivets bestmmelser om verfring av
personuppgifter till tredje land..........................8
4.2.2 Allmnna vervganden om verfrings-
reglerna i lagstiftningsrendet om person-
uppgiftslagen...................................................10
4.2.3 Personuppgiftslagens regler om verfring av
personuppgifter till tredje land........................10
4.3 Datainspektionens frslag .................................................11
4.3.1 Debatten i Sverige efter personuppgiftslagens
ikrafttrdande ..................................................11
4.3.2 En specialbestmmelse fr informations-
spridning och kommunikation i personuppgifts-
frordningen....................................................12
4.3.3 Konstitutionsutskottets uttalanden ..................12
4.3.4 Synpunkter som framfrts vid remissbe-
handlingen av Datainspektionens frslag........13
5 Lttnader i frbudet mot verfring av personuppgifter till tredje
land...................................................................................................14
6 Straffbestmmelsen i personuppgiftslagen......................................18
7 Framtida tgrder fr att underltta anvndningen av
informationsteknik...........................................................................19
8 Ekonomiska konsekvenser av frslaget ...........................................19
9 Frfattningskommentar....................................................................20
Bilaga 1 Frteckning ver remissinstanser, Datainspektionens frslag...22
Bilaga 2 Promemorians lagfrslag...........................................................23
Bilaga 3 Frteckning ver remissinstanser, Promemorians frslag.........24
Bilaga 4 Lagrdsremissens lagfrslag......................................................25
Bilaga 5 Lagrdets yttrande .....................................................................26
Utdrag ur protokoll vid regeringssammantrde den 7 oktober 1999. ......29
Prop. 1999/2000:11
3
1 Beslut
Regeringen freslr att riksdagen antar regeringens frslag till lag om
ndring i personuppgiftslagen (1998:204).
Prop. 1999/2000:11
4
2 Frslag till lag om ndring i personupp-
giftslagen (1998:204)
Hrigenom freskrivs att 33 och 49 personuppgiftslagen (1998:204)
skall ha fljande lydelse.
Nuvaranae lvaelse Freslagen lvaelse
33
Det r frbjudet att till tredje
land fra ver personuppgifter som
r under behandling. Frbudet
gller ocks verfring av perso-
nuppgifter fr behandling i tredje
land.
r under behandling om lanaet inte
har en aaekvat niva fr skvaaet av
personuppgifterna. Frbudet gller
ocks verfring av personupp-
gifter fr behandling i tredje land.
Fragan om en skvaasniva r
aaekvat skall beamas mea hnsvn
till samtliga omstnaigheter som
har sambana mea verfringen.
Srskila vikt skall lggas via upp-
gifternas art, naamalet mea be-
hanalingen, hur lnge behanaling-
en skall paga, ursprungslanaet, aet
slutliga bestmmelselanaet och ae
regler som finns fr behanalingen
i aet trea/e lanaet.
49
Till bter eller fngelse i hgst sex mnader eller, om brottet r grovt,
till fngelse i hgst tv r dms den som uppstligen eller av oaktsamhet
a) lmnar osann uppgift i sdan information till registrerade som fre-
skrivs i denna lag, i anmlan till tillsynsmyndigheten enligt 36 eller till
tillsynsmyndigheten nr myndigheten begr information enligt 43 ,
b) behandlar personuppgifter i strid med 1321 ,
c) fr ver personuppgifter till tredje land i strid med 3335 , eller
d) lter bli att gra anmlan enligt 36 frsta stycket eller enligt fre-
skrifter meddelade med std av 41 .
I ringa fall ams inte till ansvar.
Den som vertrtt ett vitesfrelggande enligt 44 eller 45 frsta
stycket dms inte till ansvar fr en grning som omfattas av vitesfrelg-
gandet.

Denna lag trder i kraft den 1 januari 2000.
Prop. 1999/2000:11
5
3 rendet och dess beredning
Personuppgiftslagen (1998:204) trdde i kraft den 24 oktober 1998. Ge-
nom personuppgiftslagen genomfrdes Europaparlamentets och rdets
direktiv 95/46/EG av den 24 oktober 1995 om skydd fr enskilda perso-
ner med avseende p behandling av personuppgifter och om det fria fl-
det av sdana uppgifter.
Regeringen gav den 22 oktober 1998 Datainspektionen i uppdrag att
bland annat utreda det nrmare behovet av att gra undantag frn frbu-
det i 33 personuppgiftslagen nr det gller verfringar av personupp-
gifter till tredje land som typiskt sett inte innebr ngra risker fr de re-
gistrerade eller det annars mot bakgrund av allmnhetens intresse att
sprida och inhmta information framstr som angelget att undantag grs,
srskilt i samband med behandling av personuppgifter i internationella
kommunikationsntverk, t.ex. Internet.
Datainspektionen redovisade den 1 mars 1999 ett frslag till regeringen
i rapporten Personuppgifter p Internet. Enligt frslaget skulle en be-
stmmelse infras i personuppgiftsfrordningen (1998:1191) som tillter
viss verfring till tredje land. Datainspektionens frslag har remissbe-
handlats. En frteckning ver remissinstanserna finns i bilaga 1. Remiss-
svaren finns tillgngliga i Justitiedepartementet (dnr Ju1999/1126).
I ett betnkande (bet. 1998/99:KU15) behandlade konstitutionsutskot-
tet ett antal motioner frn den allmnna motionstiden 1998 som rr frgor
om personuppgiftslagen och andra integritetsfrgor. Konstitutionsutskot-
tet hemstllde den 2 mars 1999 att riksdagen skulle ge regeringen till
knna vad utskottet anfrt bland annat om de problem som var bakgrun-
den till uppdraget till Datainspektionen. Riksdagen godknde den 10
mars vad utskottet hemstllt (rskr.1998/99:147).
Sedan Datainspektionens frslag remissbehandlats utarbetades inom
Justitiedepartementet en promemoria ndringar i personuppgiftslagen av
den 1 juni 1999. Promemorians lagfrslag finns i bilaga 2. De remissin-
stanser som tagits upp i bilaga 3 kallades till ett remissmte i Justitiede-
partementet den 8 juni 1999. Anteckningar frn remissmtet samt skrift-
liga remissvar finns tillgngliga i Justitiedepartementet (dnr
Ju1999/1126). Datainspektionens frslag om kommuners och landstings
mjligheter att sprida information m.m. bereds inom Justitiedepartemen-
tet.
Lagraaet
Regeringen beslutade den 17 juni 1999 att inhmta Lagrdets yttrande
ver det lagfrslag som finns i bilaga !. Lagrdets yttrande finns i
bilaga 5. Lagrdets synpunkter behandlas i den allmnna motiveringen i
avsnitt 5 och i frfattningskommentaren. Vissa sprkliga justeringar av
lagtexten har gjorts efter det att Lagrdet yttrat sig.
Prop. 1999/2000:11
6
4 Bakgrund
4.1 Personuppgiftslagens tillkomst
4.1.1 EG~direktivet
Europaparlamentets och rdets direktiv 95/46/EG om skydd fr enskilda
fldet av sdana uppgifter (EGdirektivet) antogs den 24 oktober 1995.
EGdirektivets syfte r att skapa en gemensam, hg niv p integri-
tetsskyddet fr att drigenom mjliggra ett fritt flde av personuppgifter
medlemslnderna emellan. Medlemsstaterna fr inom den ram som ges i
direktivet nrmare precisera villkoren fr nr behandling av person-
uppgifter fr frekomma. Dessa preciseringar fr dock inte hindra det fria
fldet av personuppgifter inom unionen.
Direktivet finns i sin helhet intaget som bilaga i propositionen Person-
uppgiftslag (prop. 1997/98:44). Huvuddragen i direktivet r fljande.
Direktivet r tillmpligt p all behandling av personuppgifter. Frutom
automatiserad behandling omfattas ocks manuell behandling, dock en-
dast sdan manuell behandling som sker i register som r skbara utifrn
srskilda kriterier. Direktivet r inte tillmpligt p sdan behandling av
personuppgifter som faller utanfr gemenskapsrtten (t.ex. den som gl-
ler allmn skerhet, statens skerhet eller statens verksamhet p
straffrttens omrde) och inte heller p behandling som sker fr person-
ligt bruk. Behandling av personuppgifter fr journalistiska ndaml eller
konstnrligt eller litterrt skapande undantas frn de flesta av direktivets
bestmmelser.
Personuppgifter fr samlas in endast fr srskilda, uttryckligt angivna
och berttigade ndaml och uppgifterna fr inte senare anvndas p ett
stt som r ofrenligt med ursprungsndamlet.
Personuppgifter fr behandlas endast nr samtycke lmnats, nr det r
ndvndigt fr att fullgra ett avtal i vilket den registrerade r part, nr
det finns en i frfattning reglerad frpliktelse att behandling av uppgif-
terna skall ske, nr det r ndvndigt fr att skydda den enskildes grund-
lggande intressen, nr det r ndvndigt att utfra en arbetsuppgift i det
allmnnas intresse eller, slutligen, om det skett en intresseavvgning som
resulterat i att behandling av personuppgifter skall f ske.
Knsliga uppgifter (uppgifter som avsljar etniskt ursprung, religion,
politisk sikt, facklig tillhrighet, hlsotillstnd etc.) fr inte behandlas.
Dock gller vissa undantag, bl.a. d den enskilde gett sitt uttryckliga sam-
tycke, fr ideella organisationers samt hlso- och sjukvrdens behov och
vid frfattningsreglerade skyldigheter.
Prop. 1999/2000:11
7
Medlemsstaterna skall bestmma p vilka villkor nationella identifika-
tionsnummer, som t.ex. de svenska personnumren, fr behandlas.
Nr personuppgifter samlas in skall de registrerade informeras om bl.a.
vem som r registeransvarig och vad uppgifterna skall anvndas till.
All behandling av personuppgifter skall enligt huvudregeln anmlas till
en tillsynsmyndighet. Medlemsstaten kan dock genom bransch och sek-
torsreglering eller motsvarande frn anmlningsskyldigheten undanta s-
dan behandling av personuppgifter som inte krnker enskildas fri- och
rttigheter.
Behandling av personuppgifter som innebr srskilda integritetsrisker
fr inte frekomma utan att tillsynsmyndigheten frst kontrollerat be-
handlingen.
Den registrerade skall ha rtt att f sina rttigheter enligt den nationella
lagen prvade av tillsynsmyndigheten och domstol.
verfring av personuppgifter till ett tredje land fr i princip endast
ske om det mottagande landet har en adekvat skyddsniv.
Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha un-
derskningsbefogenheter och befogenheter att effektivt ingripa mot otill-
lten behandling av personuppgifter.
Medlemsstaterna r skyldiga att genomfra direktivet i nationell rtt
inom tre r efter antagandet den 24 oktober 1995. Fr de automatiserade
behandlingar som pgr vid tiden fr genomfrandet finns mjlighet fr
medlemsstaterna att freskriva en vergngsperiod p hgst tre r. Fr
redan existerande manuella register kan vergngsperioden utstrckas
till, som lngst, tolv r.
EGdirektivet skulle ha varit genomfrt i medlemsstaterna senast den
24 oktober 1998. Hittills har bara drygt hlften av medlemsstaterna ge-
nomfrt direktivet.
4.1.2 Datalagskommittns Irslag och personuppgiItslagen
Efter beslut av regeringen den 15 juni 1995 tillkallades en parlamenta-
riskt sammansatt kommitt med uppgift att bland annat gra en total revi-
sion av datalagen och analysera p vilket stt EGdirektivet om person-
uppgifter skulle genomfras i svensk lagstiftning. Kommittn antog nam-
net Datalagskommittn. Den 2 april 1997 avgav kommittn betnkandet
Integritet Offentlighet Informationsteknik (SOU 1997:39).
Vid remissbehandlingen av Datalagskommittns frslag uttalade sig
mnga remissinstanser fr en lagstiftning enligt en s.k. missbruksmodell,
dvs. en reglering som mer riktar sig mot att frbjuda sdan behandling av
personuppgifter som inte br vara tillten n att reglera vad som r till-
tet.
Regeringen ansg dock att det inte var mjligt att uppfylla skyldigheten
att genomfra direktivet p annat stt n genom att infra en lag enligt en
hanteringsmodell som reglerar vad som r tilltet. Ngot konkret frslag
till hur EGdirektivet p ett godtagbart stt skulle kunna genomfras en-
ligt en missbruksmodell hade heller inte framkommit under remissbe-
handlingen.
Prop. 1999/2000:11
8
Vid infrandet av personuppgiftslagen valde regeringen att i huvudsak
lta lagen flja direktivets text och struktur. I propositionen understryker
regeringen att det r EGdomstolen som slutligen har att tolka de be-
grepp och uttryck som direktivet innehller (prop. 1997/98:44 s. 38).
Personuppgiftslagen omfattar automatiserad behandling av person-
uppgifter och manuell behandling av personuppgifter i register. Person-
uppgiftslagen r generellt tillmplig och omfattar ven sdan verksamhet
som faller utanfr EGrtten. Avvikande bestmmelser i lag eller frord-
ning gller framfr personuppgiftslagen.
4.2 Reglerna om verfring av personuppgifter till tredje
land
Reglerna i EGdirektivet och personuppgiftslagen om under vilka om-
stndigheter personuppgifter fr fras ver till tredje land, dvs. en stat
utanfr EU eller EES, har en central roll. Utan sdana bestmmelser r
det uppenbart att skyddsregler fr behandlingen av personuppgifter skulle
kunna kringgs genom att personuppgifter verfrs till ett tredje land och
behandlas dr. Samtidigt medfr det kade internationella informations-
utbytet att det mste finnas klara och anvndbara regler som i olika situa-
tioner gr det mjligt att fra ver personuppgifter till tredje land.
4.2.1 EG~direktivets bestmmelser om verIring av perso-
nuppgiIter till tredje land
I artikel 25 och 26 i EGdirektivet finns det bestmmelser om verfring
av personuppgifter till tredje land. Bestmmelserna innebr fljande.
Medlemsstaterna skall freskriva att verfring av personuppgifter,
som r under behandling eller som r avsedda att behandlas efter verf-
ring till tredje land, bara fr ske om ifrgavarande tredje land skerstller
en adekvat skyddsniv. Detta skall dock inte pverka tillmpningen av de
nationella bestmmelser som har antagits till fljd av andra bestmmelser
i direktivet.
Bedmningen av om skyddsnivn i ett tredje land r adekvat skall ske
p grundval av alla de frhllanden som har samband med en verfring
eller en grupp av verfringar av uppgifter. Hrvid skall srskilt beaktas
uppgiftens art,
den eller de avsedda behandlingarnas ndaml,
den eller de avsedda behandlingarnas varaktighet,
ursprungslandet,
det slutliga bestmmelselandet,
de allmnna respektive srskilda rttsregler som gller i ifrgavarande
tredje land och
de regler fr yrkesverksamhet och skerhet som gller i ifrgavarande
tredje land.
Medlemsstaterna och kommissionen skall informera varandra nr de
anser att ett tredje land inte erbjuder en adekvat skyddsniv. Om kom-
Prop. 1999/2000:11
9
missionen i enlighet med en srskild beslutsprocedur som freskrivs i
direktivet kommer fram till att ett tredje land inte erbjuder en adekvat
skyddsniv, r medlemsstaterna skyldiga att vidta de tgrder som r
ndvndiga fr att hindra verfring av uppgifter av samma slag till detta
land. Kommissionen skall i sdant fall vid lmpligt tillflle inleda fr-
handlingar fr att avhjlpa den situation som drvid har uppkommit.
Kommissionen kan vidare i enlighet med den srskilda beslutsprocedur
som freskrivs i direktivet konstatera att ett tredje land, genom sin in-
terna lagstiftning eller p grund av de internationella frpliktelser som
ligger landet, har en adekvat skyddsniv. Medlemsstaterna skall d vidta
de tgrder som r ndvndiga fr att flja kommissionens beslut. Som
exempel p internationella frpliktelser som ligger tredje land nmns
srskilt sdana frpliktelser som r en fljd av de frhandlingar som
kommissionen har inlett och som gller skydd fr privatliv och enskilda
personers grundlggande fri- och rttigheter.
Medlemsstaterna skall utom dr ngot annat freskrivs fr srskilda
fall i den nationella lagstiftningen freskriva att verfring av person-
uppgifter till ett tredje land, som inte har en sdan adekvat skyddsniv,
fr ske i fljande fall.
Om den registrerade otvetydigt har samtyckt till den planerade ver-
fringen.
Om verfringen r ndvndig fr att fullgra ett avtal mellan den re-
gistrerade och den personuppgiftsansvarige eller fr att p den registre-
rades begran genomfra tgrder innan avtalet ings.
Om verfringen r ndvndig fr att ing eller fullgra ett avtal mel-
lan den personuppgiftsansvarige och tredje man, dr avtalet r i den re-
gistrerades intresse.
Om verfringen r ndvndig eller bindande enligt frfattning av skl
som rr viktiga allmnna intressen eller fr att fastsl, gra gllande
eller frsvara rttsliga ansprk.
Om verfringen r ndvndig fr att skydda intressen som r av
grundlggande betydelse fr den registrerade.
Om verfringen grs frn ett register som 1) enligt lagar eller andra
frfattningar r avsett att frse allmnheten med information och som
2) r tillgngligt antingen fr allmnheten eller fr var och en som kan
styrka ett berttigat intresse, i den utstrckning som de i lagstiftningen
angivna villkoren fr att f tillgng r uppfyllda.
Det r vidare mjligt fr medlemsstaterna att tillta verfring av person-
uppgifter till ett tredje land med en icke adekvat skyddsniv om den per-
sonuppgiftsansvarige stller tillrckliga garantier fr skyddet av privatliv
och enskilda personers grundlggande fri- och rttigheter och fr utvan-
det av sdana rttigheter. Sdana garantier kan framg av lmpliga av-
tals-klausuler. Medlemsstaterna skall informera kommissionen om de
verfringar som har tilltits enligt denna bestmmelse. Om kommissio-
nen eller en medlemsstat gr en invndning p grunder som r bertti-
gade med hnsyn till skyddet fr privatliv och enskilda personers grund-
lggande fri- och rttigheter skall kommissionen vidta lmpliga tgr-
der i enlighet med den srskilda beslutsprocedur som freskrivs i direkti-
Prop. 1999/2000:11
10
vet. Medlemsstaterna skall vidta de tgrder som r ndvndiga fr att
flja kommissionens beslut. Om kommissionen andra sidan i enlighet
med den srskilda beslutsprocedur som nyss nmnts beslutar att vissa
standardklausuler erbjuder tillrckliga garantier, skall medlemsstaterna
vidta ndvndiga tgrder fr att flja kommissionens beslut.
4.2.2 Allmnna vervganden om verIringsreglerna i lag-
stiItningsrendet om personuppgiItslagen
Bestmmelserna i EGdirektivet om verfring till tredje land r detalje-
rade och komplicerade. Datalagskommittn gjorde den bedmningen att
det i lagstiftningen inte borde infras mer komplicerade regler n nd-
vndigt med hnsyn till EGdirektivet (SOU 1998:39 s. 413).
Kommittn freslog ett frbud mot verfring av personuppgifter till
tredje land och konkreta undantag frn frbudet fr de situationer som
rknas upp i artikel 26.1.ae i EGdirektivet. En srskild bestmmelse
om att personuppgifter utan vidare fr fras ver fr anvndning enbart i
en stat som har anslutit sig till Europardets dataskyddskonvention fre-
slogs ocks mot bakgrund av Sveriges frpliktelser enligt konventionen.
Vidare freslogs bemyndiganden fr regeringen att meddela freskrifter
fr vissa situationer om undantag frn frbudet. I ngra fall fick regering-
en vidaredelegera freskriftsrtten.
Regeringens frslag i propositionen till personuppgiftslagen stmde i
vsentliga delar verens med kommittns frslag och antogs av riksdagen
med en mindre sprklig justering.
4.2.3 PersonuppgiItslagens regler om verIring av personupp-
giIter till tredje land
Enligt 33 personuppgiftslagen r det frbjudet att till tredje land fra
ver personuppgifter som r under behandling. Frbudet gller ocks
verfring av personuppgifter fr behandling i ett tredje land.
Med tredje land avses enligt definitionen i 3 personuppgiftslagen ett
land utanfr EU eller EES.
Det finns vissa generella undantag frn frbudet.
Enligt 34 frsta stycket personuppgiftslagen r det tilltet att fra
ver personuppgifter till tredje land, om den registrerade har lmnat sitt
samtycke till verfringen eller om verfringen r ndvndig fr att
a) ett avtal mellan den registrerade och den personuppgiftsansvarige
skall kunna fullgras eller tgrder som den registrerade begrt skall
kunna vidtas innan ett avtal trffas,
b) ett sdant avtal mellan den personuppgiftsansvarige och tredje man
som r i den registrerades intresse skall kunna ings eller fullgras,
c) rttsliga ansprk skall kunna faststllas, gras gllande eller frsva-
ras, eller
d) vitala intressen fr den registrerade skall kunna skyddas.
Enligt 34 andra stycket personuppgiftslagen r det ocks tilltet att fra
ver personuppgifter fr anvndning enbart i en stat som har anslutit sig
Prop. 1999/2000:11
11
till Europardets konvention om skydd fr enskilda vid automatisk data-
behandling av personuppgifter.
Regeringen har ocks mjlighet att i vissa fall besluta om undantag
frn frbudet. I ngra av dessa fall kan regeringen delegera freskrifts-
rtten vidare.
Regeringen fr enligt 35 frsta stycket personuppgiftslagen meddela
freskrifter om undantag frn frbudet i 33 fr verfring av person-
uppgifter till vissa stater. Enligt samma lagrum fr regeringen ocks
meddela freskrifter om att verfring av personuppgifter till tredje land
r tillten, om verfringen regleras av ett avtal som ger tillrckliga ga-
rantier till skydd fr de registrerades rttigheter.
Regeringen eller den myndighet regeringen bestmmer fr vidare enligt
35 andra stycket personuppgiftslagen meddela freskrifter om undantag
frn frbudet i 33 , om det behvs med hnsyn till ett viktigt allmnt
intresse eller om det finns tillrckliga garantier till skydd fr de registre-
rades rttigheter.
Enligt 35 tredje stycket personuppgiftslagen fr regeringen under de
frutsttningar som nmns i andra stycket i enskilda fall besluta om un-
dantag frn frbudet i 33 . Regeringen fr verlta t tillsynsmyndighe-
ten att fatta sdana beslut.
Genom personuppgiftsfrordningen (1998:1191) har regeringen till
Datainspektionen delegerat vidare mjligheten att meddela freskrifter
enligt 35 andra stycket personuppgiftslagen, nr det gller automatise-
rad behandling av personuppgifter, om att verfring r tillten om det
finns tillrckliga garantier till skydd fr de registrerades rttigheter. Da-
tainspektionen kan ocks fatta beslut i enskilda fall.
4.3 Datainspektionens frslag
4.3.1 Debatten i Sverige eIter personuppgiItslagens ikraIttr-
dande
I samband med ikrafttrdandet av personuppgiftslagen mttes lagens
regler om verfring av personuppgifter till tredje land av kritik. Regler-
na ansgs medfra en onskad begrnsning av mjligheten att anvnda
sig av modern informationsteknik, som t.ex. elektronisk post eller elek-
troniska anslagstavlor. Flera exempel nmndes i debatten dr en tillmp-
ning av personuppgiftslagens regler ansgs leda till orimliga resultat ef-
tersom uppgifterna bedmdes vara harmlsa i den mening att en sprid-
ning av uppgifterna inte borde kunna leda till ngon integritetskrnkning.
Som angetts i avsnitt 3 gav regeringen den 22 oktober 1998 Datain-
spektionen i uppdrag att bl.a. utreda det nrmare behovet av att gra un-
dantag frn frbudet i 33 personuppgiftslagen nr det gller verfring-
ar av personuppgifter till tredje land som typiskt sett inte innebr ngra
risker fr de registrerade eller det annars mot bakgrund av allmnhetens
intresse att sprida och inhmta information framstr som angelget att
undantag grs, srskilt i samband med behandling av personuppgifter i
internationella kommunikationsntverk, t.ex. Internet. Datainspektionen
Prop. 1999/2000:11
12
redovisade ett frslag till regeringen den 1 mars 1999 i rapporten Person-
uppgifter p Internet.
4.3.2 En specialbestmmelse Ir inIormationsspridning och
kommunikation i personuppgiItsIrordningen
Enligt Datainspektionen borde det, svitt hr r av intresse, i personupp-
giftsfrordningen infras en bestmmelse med fljande lydelse.
Fr informationsspridning eller kommunikation fr personuppgifter i
lpande text fras ver till tredje land via Internet eller annat nt om tex-
ten framstllts fr sdant ndaml och omstndigheterna r sdana att det
r uppenbart att det saknas risk fr krnkning av den registrerades per-
sonliga integritet.
I rapporten pekade Datainspektionen p att en alternativ lsning vore att
ndra lydelsen av verfringsfrbudet i 33 personuppgiftslagen s att
det mer liknar EGdirektivets frbud mot verfring i artikel 25.1. Da-
tainspektionen freslog dock inte en sdan lsning med hnsyn till att den
skulle kunna resultera i bristande frutsebarhet och dessutom inte kunde
anses rymmas i Datainspektionens uppdrag.
4.3.3 Konstitutionsutskottets uttalanden
Konstitutionsutskottet anfrde i sitt ovan nmnda betnkande bland annat
(s. 23):
I flertalet motioner begrs att en versyn av den nuvarande lagstift-
ningen grs i syfte att stadkomma ett mer modernt regelverk som tar
sikte p missbruk av personuppgifter. Enligt utskottets mening br en
versyn av personuppgiftslagen komma till stnd med syfte att, s lngt
det r mjligt inom EGdirektivets ram, stadkomma en frndring av
lagstiftningen i den riktning som fresls i motionerna. Utskottet kan
hrvid konstatera att det inom ITkommissionens rttsliga observatorium
pgr ett arbete med att diskutera och analysera alternativa lagstiftnings-
modeller. Enligt utskottets mening br dock i avvaktan p en tekniko-
beroende integritetslagstiftning intensifierade tgrder vidtas fr att
stadkomma en lagstiftning som syftar till att ingripa mot missbruk av
personuppgifter och inte mot sjlva hanteringen av sdana uppgifter.
Srskilt med anledning av Datainspektionens frslag uttalade utskottet
(s. 2425):
Prop. 1999/2000:11
13
Utskottet utgr frn att regeringen drefter inom de ramar som EG
direktivet uppstller genomfr de frndringar som krvs fr att mot-
verka de problem med personuppgiftslagens utformning som regerings-
uppdraget avsg att komma till rtta med, frndringar som kan behva
g lngre n vad Datainspektionen freslagit. Regeringen r naturligtvis
ofrhindrad att, om s krvs, fresl riksdagen frndringar i personupp-
giftslagen. Utskottet utgr frn att frndringar genomfrs skyndsamt.
4.3.4 Synpunkter som IramIrts vid remissbehandlingen av Da-
tainspektionens Irslag
Vid remissbehandlingen av Datainspektionens frslag vlkomnade de
flesta frslaget att mjuka upp det strikta verfringsfrbudet. En del re-
missinstanser ansg dock frslaget otillrckligt eller betydelselst. Ngra
remissinstanser, bland annat Riksaagens ombuasmn (JO) och Kammar-
rtten i Gteborg, godtog frslaget i avvaktan p en grundligare versyn.
Svea hovrtt, Statskontoret, Patent- och registreringsverket (PRJ), Sve-
riges inaustrifrbuna, Svenska Arbetsgivarefreningen (SAF), Svenska
IT-fretagens organisation och BitoS uttalade sig fr att en justering av
33 personuppgiftslagen borde gras s att bestmmelsen mer liknar
motsvarande bestmmelse i EGdirektivet. Invndningar eller tveksam-
het frn normgivningssynpunkt framfrdes ocks vad gller mjligheten
att genomfra frslaget i frordningsform. Posten AB, Telia AB och Da-
tafreningen uttalade sig fr att frslaget under alla omstndigheter borde
genomfras i lag.
Nr det gller detaljsynpunkter framfrdes kritik mot att begrnsa fr-
slaget till lpande text och att bestmmelsen bara skulle avse text som
framstllts fr information eller kommunikation. Uppenbarhetsrekvisitet
uppfattades av ngra remissinstanser som alltfr restriktivt.
Datainspektionens frslag att ge strre frutsttningar fr vissa slag av
behandlingar fick sledes ett i grunden positivt bemtande. Tungt vgan-
de synpunkter framkom dock fr att i stllet gra justeringar i perso-
nuppgiftslagens bestmmelser om verfring av personuppgifter till
tredje land. Inom Justitiedepartementet utarbetades drfr en promemoria
och departementet bjd drefter in remissinstanserna till ett remissmte
fr att diskutera frslagen i promemorian.
Prop. 1999/2000:11
14
5 Lttnader i frbudet mot verfring av per-
sonuppgifter till tredje land
Regeringens Irslag: Personuppgiftslagens frbud mot verfring av
personuppgifter till tredje land ndras s att lydelsen ansluter nrmare
till motsvarande bestmmelse i EGdirektivet. verfring till tredje
land kommer hrigenom inte lngre att vara frbjuden om skyddsni-
vn i det tredje landet r adekvat.
Frgan om en skyddsniv r adekvat skall bedmas med hnsyn till
samtliga omstndigheter kring verfringen. Srskild vikt skall lggas
vid uppgifternas art, ndamlet med behandlingen, hur lnge behand-
lingen skall pg, ursprungslandet, det slutliga bestmmelselandet och
de regler som finns fr behandlingen i det tredje landet
Promemorians Irslag: verensstmmer i sak med regeringens.
Remissinstanserna: Frslaget har tillstyrkts av s gott som samtliga
remissinstanser. Socialstvrelsen har dock anfrt att det kan rda viss
tveksamhet om bedmningen av regleringens konsekvenser verkligen
kommer att visa sig hlla. Sveriges inaustrifrbuna har framfrt samma
synpunkt som Socialstvrelsen med tillgget att det r angelget att till-
lmpningen blir sdan som frutses i promemorian. ITkommissionen har
anfrt att frslaget r djrvt och gr i rtt riktning men att invndningar
kan gras mot resonemanget om att verfringsfrbudet kan sttas ur
spel bara fr att uppgifterna spritts till andra EUlnder, som ju har en
adekvat skyddsniv. Posten AB och Sveriges aavokatsamfuna har ptalat
att det med den freslagna lydelsen till en brjan kan vara svrt fr en
personuppgiftsansvarig att avgra vad som r adekvat skyddsniv. Sveri-
ges aavokatsamfuna har ocks efterlyst fler exemplifieringar av frsla-
gets konsekvenser. Justitiekanslern och ITkommissionen har framfrt
liknande synpunkter. Datafreningen i Sverige har uttalat att det r en
frdel att bestmmelsen inte anvnder oklara begrepp som t.ex. lpande
text och harmlsa uppgifter. Datainspektionen har uttalat frstelse fr
frslaget att lsa problematiken p lagniv men ptalat att det r viktigt
att hlla i minnet att de grundlggande reglerna fr nr en behandling r
tillten fortfarande gller. Enligt Domstolsverket br tolkningen att ven
en avsaknad av skydd kan anses som adekvat skyddsniv framg klarare
av lagtexten. ITkommissionen har efterlyst en justering av lagtexten s
att den inte talar om adekvat skyddsniv i ett visst land. Svenska /ourna-
listfrbunaet har inte haft ngon invndning mot frslaget som sdant
men har framhllit att det r otillrckligt.
Sklen Ir regeringens Irslag: Den nuvarande bestmmelsen i 33
personuppgiftslagen frbjuder verfring av personuppgifter till tredje
land. I de situationer som rknas upp i 34 och 35 kan undantag frn
frbudet gras.
Motsvarande regel om verfring till tredje land i EGdirektivet
(artikel 25.1) frbjuder verfring till ett tredje land fr det fall nivn fr
Prop. 1999/2000:11
15
skyddet av personuppgifter i det tredje landet inte r adekvat. En verf-
ring till ett land som har en adekvat skyddsniv r sledes tillten.
Det r enligt regeringens mening angelget att en verfring till ett
tredje land kan ga rum om skyddsnivn r tillrcklig i det tredje landet.
Det har sjlvfallet inget egenvrde att hindra en verfring till ett tredje
land om uppgifterna tnjuter ett godtagbart skydd dr.
Mjligheten att fra ver personuppgifter till ett tredje land som har en
adekvat skyddsniv br komma till uttryck i den grundlggande frbuds-
regeln i personuppgiftslagen. Till detta kommer att frgan r av sdan
betydelse fr yttrande- och informationsfrihetsintressena att en reglering
under alla omstndigheter br beslutas av riksdagen och allts ges i lag-
form.
Frbudet i 33 personuppgiftslagen br allts frses med ett undantag
fr det fall att skyddsnivn i det tredje landet r adekvat.
Lagraaet har i sak inte haft ngon erinran mot lagndringarna och har
ppekat att ndringen i 33 innebr en utformning som nrmare ansluter
till direktivtexten. Enligt Lagrdet kan lagndringarna vara ett bidrag till
att motverka de problem som r frknippade med att tillmpa den regle-
ringsmodell som anvnts i direktivet och i personuppgiftslagen men som
vllar de problem som berrs i konstitutionsutskottets betnkande
1998/99:KU15 (s. 22 f.). Lagrdet har vidare anfrt att dessa problem
dock egentligen enbart kan lsas genom en revidering av direktivet och
att detta inte kan frvntas ske inom en nra framtid. Regeringen ter-
kommer till frgan om tgrder fr att revidera direktivet i avsnitt 7.
Frgan om en skyddsniv r adekvat skall bedmas med hnsyn till
samtliga omstndigheter kring verfringen. Av EGdirektivet framgr
att vissa omstndigheter skall tillggas srskild vikt vid prvningen om
ett tredje lands skyddsniv r adekvat. Dessa omstndigheter r uppgif-
tens art, den eller de avsedda behandlingarnas ndaml och varaktighet,
ursprungslandet och det slutliga bestmmelselandet, de allmnna respek-
tive srskilda rttsregler som gller i ifrgavarande tredje land liksom de
regler fr yrkesverksamhet och skerhet som gller dr. Dessa omstn-
digheter br nmnas i den svenska lagtexten.
Frgan om en skyddsniv i ett visst land r adekvat kan allts bedmas
p olika stt beroende p omstndigheterna i det enskilda fallet. Det kan
mycket vl tnkas att ett land har adekvat skyddsniv p vissa omrden
men inte p andra.
Fr det fall kommissionen i enlighet med det frfarande som gller fr
den kommitt som inrttats enligt artikel 31 i EGdirektivet har fattat
beslut om att skyddsnivn i en viss stat r adekvat har regeringen, liksom
hittills, mjlighet att meddela freskrifter med ett innehll som terspeg-
lar beslutet.
En uppmjukning av frbudet kan f stor betydelse fr mjligheten att
anvnda sig av Internet eller andra internationella kommunikationsnt-
verk. verfringar, t.ex. i form av elektronisk post, till lnder med en
adekvat skyddsniv blir tilltna om behandlingen i sig r tillten enligt
personuppgiftslagens vriga regler.
En behandling av personuppgifter som sker genom offentliggrande p
Internet blir med en reglering av det slag som regeringen freslr tillten
om den skyddsniv som finns i de lnder dit personuppgifterna kan
Prop. 1999/2000:11
16
verfras r adekvat. Detta gller sjlvfallet, som Datainspektionen ocks
ppekat, bara under frutsttning att behandlingen uppfyller personupp-
giftslagens krav i vrigt. I de allra flesta fall innebr ett offentliggrande
av personuppgifter p Internet att personuppgifterna frs ver till lnder
som helt saknar skyddsregler fr hur personuppgifter fr behandlas. I
mnga fall dr en behandling i form av ett offentliggrande r tillten
enligt personuppgiftslagens regler (mrk srskilt 9, 10 och 1320 )
och dr sledes s gott som hela befolkningen i EU- och EESstaterna
och andra stater med god skyddsniv kan ta del av personuppgifterna
framstr det som fga meningsfullt att stlla upp en begrnsning fr per-
sonuppgifternas verfring till andra stater i vrlden. En sdan begrns-
ning frefaller egendomlig eftersom uppgifterna redan r tillgngliga fr
100tals miljoner mnniskor. Ngot egentligt skydd fr uppgifterna
skulle en sdan begrnsning i varje fall inte medfra eftersom uppgiften
redan ftt s stor spridning. I sdana situationer kan det ofta anses finnas
adekvat skyddsniv i ett tredje land, trots en total avsaknad av skydds-
regler, helt enkelt drfr att ngot skydd inte r ndvndigt eller inte
skulle ha ngon reell effekt.
I sitt remissvar ver Datainspektionens frslag har PRJ framfrt att
EGdirektivets verfringsregler torde krva att ngot slags reell skydds-
niv finns i det tredje landet fr att verfring skall f ske. EGdirektivet
skulle allts uppfattas som om det krver att en bedmning skall gras av
om vissa i det tredje landet gllande regler (oavsett om det r frga om
rttsliga regler eller t.ex. sjlvregleringsmekanismer) r adekvata eller
inte. Om denna uppfattning vore riktig skulle ett offentliggrande av per-
sonuppgifter p Internet aldrig kunna ske utan samtycke av den registre-
rade eftersom uppgifterna blir tillgngliga i lnder som helt saknar
skyddsregler. EGdirektivet anger i frgan om vad som utgr en adekvat
skyddsniv i artikel 25.2 uttryckligen att srskild vikt skall lggas vid
bland annat de regler fr behandlingen som finns i det tredje landet. Det
som i EGdirektivet kallas adekvat skyddsniv r allts ngot annat n de
regler som kan glla i ett tredje land, nmligen ett uttryck fr att omstn-
digheterna kring verfringen sammantagna skall vara sdana att perso-
nuppgifter har ett tillrckligt skydd. Det kan allts enligt regeringens
uppfattning mycket vl finnas situationer dr det inte finns ngra skydds-
regler alls i det tredje landet men skyddsnivn nd r adekvat.
I anledning av ITkommissionens synpunkt om konsekvensen av sprid-
ning av personuppgifter till andra EUlnder vill regeringen understryka
att verfring till andra EUlnder r mjlig, inte fr att skyddsnivn dr
r adekvat utan fr att det r en fljd av EGdirektivet att personuppgif-
ter fritt kan flda mellan medlemsstaterna. Om en personuppgift fr be-
handlas p ett stt som innebr offentliggrande fr den ocks spridas till
andra EUlnder. Om uppgifterna fr behandlas p ett sdant stt avgrs
av personuppgiftslagens grundlggande bestmmelser.
Lagraaet har som redan nmnts inte haft ngon erinran mot regering-
ens frslag till ndringar av lagen. Lagrdet har dock ifrgasatt om rege-
ringens resonemang om tolkningen av EGdirektivet kommer att visa sig
hllbara. Enligt regeringens uppfattning finns det emellertid ingenting i
ordalydelsen av EGdirektivets verfringsregler som talar mot den tolk-
ning som regeringen gr. Den oskerhet rrande tolkningen som Lagr-
Prop. 1999/2000:11
17
det pekat p r i varje fall inte sdan att det finns anledning att avst frn
lagstiftning i enlighet med regeringens frslag.
Regeringen har frstelse fr synpunkten att det skulle ha behvts fler
exemplifieringar fr att klarlgga vad som r tilltet och inte och fr syn-
punkten att det kan vara svrt att av lagtexten utlsa nr verfring fr
ske. Det mste emellertid hllas i minnet att det r EGdirektivet som
utgr grunden fr tolkningen av den aktuella svenska lagbestmmelsen.
Denna tolkning kommer ytterst att bli beroende av vilken bedmning
EGdomstolen kan komma att gra av direktivtexten. Som regeringen
angett i propositionen Sveriges medlemskap i Europeiska unionen (prop.
1994/95:19, del 1 s. 529) r utrymmet fr uttalanden frn lagstiftarens
sida till vgledning fr rttstillmpningen i sdana fall begrnsat. Den
nationella lagstiftaren gr drfr klokt i att avhlla sig frn sdana utta-
landen i fall dr mer n en tolkning lter sig gras. Av samma skl br
lagtextens lydelse anknyta s nra som mjligt till EGdirektivets lydel-
se.
Effekten av en sdan justering av verfringsfrbudet som nu fresls
kan jmfras med vilka mjligheter Datainspektionens frslag hade inne-
burit. Enligt Datainspektionens frslag skulle en verfring kunna ske
om den uppfyller de specifika krav som stlls upp i den freslagna be-
stmmelsen. Motsvarande krav fr mjligheten till verfring finns inte i
regeringens frslag utan bedmningen av vilken skyddsniv som krvs
mste gras med beaktande av samtliga omstndigheter i det enskilda
fallet. Utrymmet fr vilka verfringar som kan anses tilltna r allts
betydligt strre med en reglering av detta slag. Genom regeringens fr-
slag utnyttjas ocks all den handlingsfrihet som finns i EGdirektivet.
De invndningar som Datainspektionen framfrt i sin rapport om bristan-
de mjlighet att frutse vad som r tilltet har i och fr sig visst fog men
motiverar inte att detta handlingsutrymme inte tas till vara. Behandling
av personuppgifter ger upphov till s komplexa rttsliga vervganden att
det r ofrnkomligt att en bedmning mste gras i varje fall fr sig.
Prop. 1999/2000:11
18
6 Straffbestmmelsen i personuppgiftslagen
Regeringens Irslag: Straffbestmmelsen i personuppgiftslagen jus-
teras s att grningar som r ringa inte lngre r straffbara.
Promemorians Irslag: verensstmmer i sak med regeringens.
Remissinstanserna: Frslaget har tillstyrkts av samtliga remissinstan-
ser. Flera remissinstanser, dribland Svea hovrtt, Datainspektionen,
Socialstvrelsen, Posten AB, Statskontoret, Sveriges inaustrifrbuna och
Svenska tianingsutgivarefreningen, har uttryckt starkt std fr frslaget.
Sklen Ir regeringens Irslag: Anvndningen av informationsteknik
i samhllet kar snabbt. Personuppgifter behandlas i dag t.ex. p Internet
i en vsentligt strre omfattning n vad som var fallet fr bara ngra r
sedan. Den kade anvndningen innebr naturligtvis p mnga stt kade
integritetsrisker. Det finns dock vertrdelser av personuppgiftslagens
straffbestmmelse som i det enskilda fallet inte framstr som srskilt
straffvrda.
Den ndring som fresls i frbudet mot verfring av personuppgifter
till tredje land medfr ocks, som Datainspektionen ppekat i sin rapport,
att det ibland kan vara svrt fr den personuppgiftsansvarige att p fr-
hand avgra om en verfring r tillten eller inte. Det kan frutses att
det kommer att finnas situationer dr det visar sig att den personupp-
giftsansvarige gjort en felaktig bedmning men vertrdelsen av verf-
ringsfrbudet inte r srskilt klandervrd. Det r angelget att motverka
sdana negativa konsekvenser.
Mot denna bakgrund br grningar som r ringa inte leda till straff.
Lagraaet har betrffande effekten av den freslagna avkriminalisering-
en uttalat att den inte pverkar det skadestndsrttsliga ansvar som fre-
ligger enligt lagens 48 och som utgr en viktig sanktion vid vertrdel-
ser av personuppgiftslagens bestmmelser. Vidare har Lagrdet uttalat att
det r svrt att ha ngon bestmd uppfattning om i vad mn skadestnd
kan utg i de fall av vertrdelser av frbudet mot verfring av perso-
nuppgifter till tredje land vilka nu fresls bli straffria, men att redan
denna tveksamhet kan motverka syftet med avkriminaliseringen.
Som Lagrdet ppekat pverkar inte den freslagna avkriminalisering-
en det skadestndsrttsliga ansvaret enligt personuppgiftslagen. Det ska-
destndsrttsliga ansvaret r vsentligt eftersom det r ett krav enligt arti-
kel 24 i EGdirektivet att Sverige har effektiva sanktioner mot vertr-
delser av reglerna. Regeringen r vertygad om att den praktiska betydel-
sen av avkriminaliseringen r vl gnad att motverka den tveksamhet
som kan uppst hos personuppgiftsansvariga.
I anledning av de uttalanden som gjorts av konstitutionsutskottet om
vikten av intensifierade tgrder fr att stadkomma en lagstiftning som
syftar till att ingripa mot missbruk av personuppgifter snarare n mot
hanteringen av sdana uppgifter r det viktigt att varje mjlighet att ta ett
steg i denna riktning tas till vara. Regeringens frslag till avkriminalise-
Prop. 1999/2000:11
19
ring innebr att lagstiftningen kommer att nrma sig en missbruksinriktad
regleringsmodell.
7 Framtida tgrder fr att underltta anvnd-
ningen av informationsteknik
ITkommissionen har inom det arbete som bedrivs inom det ITrttsliga
observatoriet utfrt en studie ver mjligheten att stadkomma en lag-
stiftning fr skyddet av personuppgifter enligt en s.k. missbruksmodell
(Det ITrttsliga observatoriets rapport 8/98). Studien har diskuterats vid
ett seminarium i observatoriets regi.
Regeringen avser att fortstta arbetet med att underska alternativa lag-
stiftningsmetoder. Det r dock tydligt att det i det korta eller medellnga
perspektivet inte kommer att vara mjligt att fullt ut fresl en lagstift-
ning som helt r inriktad p att reglera vad som utgr ett missbruk av
personuppgifter. Det r helt enkelt inte mjligt att stadkomma en lag-
stiftning efter en sdan modell inom EGdirektivets ram. Dremot avser
regeringen att, utver vad som nu fresls, noga vervga vilka ytterliga-
re inslag av en mer missbruksinriktad reglering som kan genomfras in-
om ramen fr EGdirektivet. Regeringen kommer ocks att studera hur
stort utrymmet r fr att tillta verfring av personuppgifter till tredje
land, srskilt i samband med publicering p Internet, om den personupp-
giftsansvarige stller tillrckliga garantier till skydd fr den registrerade.
Sverige har i EUsamarbetet ptalat de problem som uppmrksammats
i den svenska debatten. Sverige har ocks tillsammans med sterrike och
Storbritannien tagit initiativet till en seminarieserie dr fretrdare fr
medlemsstaterna fr mjlighet att presentera sin lagstiftning och diskute-
ra tillmpningsproblem som uppsttt i de olika lnderna. Seminarieserien
syftar bland annat till att identifiera omrden dr det kan finnas ett ge-
mensamt intresse bland medlemsstaterna fr en revidering av direktivet.
Senast hsten 2001 skall kommissionen fresl ndvndiga frnd-
ringar i direktivet. Det r regeringens fresats att anvnda tiden fram till
dess fr att frmja att ett frslag till revidering lggs fram och fr att ka
frstelsen fr de frndringar som enligt svensk uppfattning r nskvr-
da.
8 Ekonomiska konsekvenser av frslaget
Det kan inte frutses ngra konsekvenser av frslaget som medfr kade
kostnader fr det allmnna eller fr samhllet i vrigt. Dremot kan fr-
slaget antas f en positiv effekt p samhllsekonomin i och med att det
kar mjligheten att anvnda sig av informationsteknik fr spridning av
personuppgifter utomlands. Ngon nrmare berkning r inte mjlig att
gra.
Prop. 1999/2000:11
20
9 Frfattningskommentar
33
Frbudet mot att fra ver personuppgifter till tredje land har modifierats
p s stt att verfring endast r frbjuden om landet inte har en adekvat
niv fr skyddet av personuppgifterna.
Enligt ett nytt andra stycke skall frgan om en skyddsniv r adekvat
bedmas mot bakgrund av samtliga omstndigheter kring verfringen.
Srskild vikt skall lggas vid uppgifternas art, ndamlet med behand-
lingen, hur lnge behandlingen skall pg, ursprungslandet, det slutliga
bestmmelselandet och de regler fr behandlingen som finns i det tredje
landet. Andra stycket har sin motsvarighet i artikel 25.2 i EGdirektivet.
I den allmnna motiveringen avsnitt 5.1 diskuteras betydelsen av uppgif-
ternas art och ndamlet med behandlingen. Med de regler som finns fr
behandlingen avses vad som i EGdirektivet uttryckts som de allmnna
respektive srskilda rttsregler som gller i ifrgavarande tredje land lik-
som de regler fr yrkesverksamhet och skerhet som gller dr. ven
andra regler n de rent rttsliga reglerna, t.ex. frekomsten av mekanis-
mer fr sjlvreglering, skall vervgas vid bedmningen. Reglerna mste
inte direkt ta sikte p behandlingen men tminstone till sin praktiska ef-
fekt berra denna. Regler kan till exempel finnas som stller upp allmn-
na begrnsningar fr att f utva viss yrkesverksamhet som medfr att de
aktuella personuppgifterna tnjuter skydd. Den faktiska efterlevnaden av
reglerna fr anses ing bland de faktorer som skall tillmtas srskild vikt.
Lagraaet har i sitt yttrande ppekat att uttrycken ursprungslandet och
det slutliga bestmmelselandet till skillnad mot tredje land inte r
definierade i lagen. Uttrycken kan enligt Lagrdet avse andra lnder n
Sverige och det land dit verfringen sker. Som exempel anger Lagrdet
att personuppgifter kan vara hmtade till Sverige frn ett land inom eller
utanfr EU/EES och ha sin slutliga bestmmelseort i ett fjrde land och
att skyddet i svl det frsta som det sista landet d skall beaktas. Det r
naturligtvis av stor betydelse fr skyddet av personuppgifterna hur sjlva
datafldet ser ut. EGdirektivet och den svenska lagen anger uttryckligen
att ursprungslandet och det slutliga bestmmelselandet tillhr de faktorer
som skall tillmtas srskild vikt. Ursprungslandet avser det land varifrn
personuppgifterna hrrr medan det slutliga bestmmelselandet avser det
land till vilka personuppgifterna kommer att verfras.
De nrmare grnsdragningarna om vad som i det enskilda fallet utgr
adekvat skyddsniv fr avgras i rttstillmpningen.
Det r den personuppgiftsansvarige som har bevisbrdan fr att
skyddsnivn i det tredje landet r adekvat. En annan sak r att det i
mnga fall inte kommer att krvas mycket fr att beviskravet skall anses
uppfyllt.
Paragrafens tillmpning p elektronisk post och internationella kom-
munikationsntverk har kommenterats ovan i den allmnna motiveringen
i avsnitt 5.1.
Prop. 1999/2000:11
21
49
Enligt ett nytt andra stycke skall ansvar inte dmas i ringa fall.
Vad som r ringa fall fr bedmas med hnsyn till samtliga omstndig-
heter i det enskilda fallet. Alla faktorer som uppgifternas art och vilken
integritetskrnkning eller risk fr integritetskrnkning som behandlingen
orsakat skall vgas in vid bedmningen av om en vertrdelse r att be-
trakta som ringa.
Av grunderna fr 5 andra stycket lagen (1964:163) om infrande av
brottsbalken fljer att en grning som innebr en vertrdelse av person-
uppgiftslagens straffbestmmelse, som begtts fre lagens ikrafttrdande
och som skulle ha bedmts som ringa om det nya andra stycket hade gllt
d, inte skall leda till straff.
Lagraaet har uttalat att avkriminaliseringen inte torde bli tillmplig i
de fall dr datalagen skall tillmpas enligt vergngsbestmmelserna till
personuppgiftslagen.
Prop. 1999/2000:11
Bilaga 1
22
Frteckning ver remissinstanser, Datainspektionens
frslag
Remissyttranden ver Datainspektionens rapport Personuppgifter p In-
ternet av den 1 mars 1999 har avgetts av Riksdagens ombudsmn (JO),
Svea hovrtt, Malm tingsrtt, Kammarrtten i Gteborg, Justitiekans-
lern, Domstolsverket, Riksklagaren, Rikspolisstyrelsen, verstyrelsen
fr civil beredskap, Socialstyrelsen, Post- och telestyrelsen, Vgverket,
Kommunikationsforskningsberedningen, Posten AB, Telia AB,
Statskontoret, Riksrevisionsverket, Humanistisksamhllsvetenskapliga
forskningsrdet, Juridiska fakultetsnmnden vid Stockholms universitet,
Riksarkivet, Patent- och registreringsverket, Lantmteriverket, Stock-
holms kommun, Jnkpings kommun, Malm kommun, Gteborgs
kommun, Ume kommun, Stockholms lns landsting, Svenska Kom-
munfrbundet, Landstingsfrbundet, Sveriges advokatsamfund, Sveriges
industrifrbund, Fretagarnas riksorganisation, Sveriges Radio AB, Sve-
riges Television AB, Tjnstemnnens centralorganisation (TCO), Sveri-
ges Akademikers Centralorganisation (SACO), Landsorganisationen i
Sverige (LO), Svenska Arbetsgivarefreningen, Svenska journalistfr-
bundet, Svenska tidningsutgivarefreningen, Datafreningen i Sverige,
Freningen Grvande Journalister, Svenska ITfretagens organisation,
BitoS, Ungdomsstyrelsen, Claes Tullbrink, Anders Bjrngreen och Jacob
Palme.
Prop. 1999/2000:11
Bilaga 2
23
Promemorians lagfrslag
Frslag till lag om ndring i personuppgiftslagen (1998:204)
33
land.
personuppgifter. Frbudet gller
ocks verfring av person-
uppgifter fr behandling i tredje
land.
giftens art, naamalet mea be-
en varar, ursprungslanaet, aet
49
I ringa fall av brott mot frsta
stvcket ams inte till ansvar.
gandet.

Denna lag trder i kraft den 1 december 1999.
Prop. 1999/2000:11
Bilaga 3
24
Frteckning ver remissinstanser, Promemorians fr-
slag
Remissyttranden ver Justitiedepartementets promemoria av den 1 juni
1999 har avgetts av: Svea hovrtt, Justitiekanslern, Domstolsverket,
Rikspolisstyrelsen, Datainspektionen, Socialstyrelsen, Post- och telesty-
relsen, Vgverket, Posten AB, Telia AB, Statskontoret, Riksarkivet, Pa-
tent- och registreringsverket, Landstingsfrbundet, Sveriges advokat-
samfund, Sveriges industrifrbund, Tjnstemnnens centralorgansiation
(TCO), Svenska Arbetsgivarefreningen, Svenska journalistfrbundet,
Svenska tidningsutgivarefreningen, Datafreningen i Sverige, Svenska
IT-fretagens organisation, BitoS och ITkommisssionen.
Fljande remissinstanser har beretts tillflle men avsttt frn att yttra sig
ver promemorian: Riksdagens ombudsmn (JO), Malm tingsrtt,
Kammarrtten i Gteborg, Riksklagaren, Juridiska fakultetsnmnden vid
Stockholms universitet, Svenska Kommunfrbundet, Sveriges Radio AB,
Sveriges Television AB, Sveriges Akademikers Centralorganisation
(SACO), Landsorganisationen i Sverige (LO), Freningen Grvande
Journalister och Tele 2 AB.
Prop. 1999/2000:11
Bilaga 4
25
Lagrdsremissens lagfrslag
Frslag till lag om ndring i personuppgiftslagen (1998:204)
33
land.
personuppgifterna. Frbudet gller
ocks verfring av personupp-
gifter fr behandling i tredje land.
giftens art, naamalet mea be-
en varar, ursprungslanaet, aet
49
Ansvar fr en grning enligt
frsta stvcket skall inte amas ut i
ringa fall.
gandet.

Denna lag trder i kraft den 1 december 1999.
Prop. 1999/2000:11
Bilaga 5
26
Lagrdets yttrande
Utdrag ur protokoll vid sammantrde 1999-09-10
Nrvarande: f.d. justitierdet Lars . Beckman, regeringsrdet
Susanne Billum, justitierdet Gran Regner.
Enligt en lagrdsremiss den 17 juni 1999 (Justitiedepartementet) har re-
geringen beslutat inhmta Lagrdets yttrande ver frslag till lag om nd-
ring i personuppgiftslagen (1998:204).
Frslaget har infr Lagrdet fredragits av hovrttsassessorn
Klas Reinholdsson.
Frslaget franleder fljande yttrande av Lagrdet:
De freslagna lagndringarna syftar till att underltta anvndningen av
modern informationsteknik. De innebr dels att frbudet i 33 person-
uppgiftslagen mot verfring av personuppgifter till land utanfr
EU/EES mjukas upp, dels att ansvar fr brott mot bl.a. detta frbud inte
skall dmas i ringa fall. I sak har Lagrdet i och fr sig ingen erinran
mot lagndringarna, som betrffande 33 innebr en utformning som
nrmare ansluter sig till artikel 25 i EG:s direktiv om skydd fr enskilda
fldet av sdana uppgifter. Lagndringarna kan vara ett bidrag till att
motverka de problem som r frknippade med att tillmpa den reg-
leringsmodell som anvnds i direktivet och i personuppgiftslagen men
som vllar de problem som berrs i konstitutionsutskottets betnkande
1998/99:KU15 (s. 22 f.). Dessa problem kan dock egentligen lsas enbart
genom en revidering av direktivet vilken inte kan frvntas ske inom en
nra framtid.
Lagrdet vill vidare anfra fljande med anledning av frslaget.
33
Det framgr av frarbetena till personuppgiftslagen att det nuvarande
frbudet mot verfring av personuppgifter till tredje land (dvs. ett land
utanfr EU/EES) var avsett att bli kompletterat med freskrifter av rege-
ringen eller Datainpektionen om undantag frn frbudet mot verfring
utver dem som finns i lagens 34 , se 35 frsta stycket och prop.
1997/98:44 s. 96. Ngra sdana freskrifter av allmn karaktr har emel-
lertid inte meddelats. I den mn sdana undantagsfreskrifter inte skulle
vara mera utfrliga och ha strre konkretion n vad som nu fresls som
ndringar i 33 , r det en frdel att reglerna tas in i sjlva lagen med
hnsyn till bl.a. att mnga enskilda personer och fretag skall tillmpa
reglerna.
Prop. 1999/2000:11
Bilaga 5
27
En frga som kan stllas med anledning av lagfrslaget r vilken praktisk
betydelse ndringen i 33 fr. Fr den enskilde kommer det att vara svrt
att bedma om frbudet i sin nya utformning gller eller inte, nr det r
frga om att t.ex. lgga ut personuppgifter p en webbplats som r all-
mnt tillgnglig p Internet. En sdan tgrd medfr att uppgifterna blir
tillgngliga i hela vrlden och drmed kan anses verfrda till alla lnder.
Huruvida alla lnder d har en adekvat skyddsniv ter sig nstan omjligt
att veta, srskilt som ocks den faktiska efterlevnaden av befintliga regler
i lnderna skall tas med i bedmningen. En tanke som avspeglas i remis-
sen r att vissa uppgifter kan vara av sdan beskaffenhet att de normalt
framstr som s harmlsa att det inte har ngon betydelse om det finns
ngot skydd alls. En sdan tanke ter sig dock svrfrenlig med de ganska
hga krav p skydd fr alla slags personuppgifter som direktivet stller.
Det ter sig med hnsyn till direktivet ocks diskutabelt att, som grs i
remissen, hvda att personuppgifter fr verfras till ett land utanfr
EU/EES drfr att uppgifterna grs offentliga inom EU/EESomrdet
och drmed fr sdan spridning inom detta att skyddet mot verfring till
tredje land inte skulle f ngon reell effekt.
Lagndringen kan innebra att enskilda inte anser sig med tillrcklig s-
kerhet kunna avgra om en avsedd verfring till tredje land r tillten
enligt 33 i dessa nya lydelse och drfr avstr. andra sidan kanske
paragrafen inte efterlevs drfr att den uppfattas som en orealistiskt hm-
sko p kommunikationen via bl.a. Internet.
Det kan visserligen sgas att den freslagna ndringen i 49 som innebr
att ringa fall av vertrdelser av frbudet i 3335 blir straffria minskar
den tvekan som enskilda kan ha angende en tillmnad verfrings tillt-
lighet. Den freslagna avkriminaliseringen pverkar emellertid inte det
skadestndsrttsliga ansvar som freligger enligt lagens 48 och som
utgr en viktig sanktion vid vertrdelser av personuppgiftslagens be-
stmmelser (se a. prop. s. 105 ff.). I vad mn skadestnd kan utg i de fall
av vertrdelser av frbudet mot verfring av personuppgifter till tredje
land vilka nu fresls bli straffria r svrt att ha ngon bestmd uppfatt-
ning om, men redan denna tveksamhet kan motverka syftet med avkrimi-
naliseringen.
I det nya andra stycket i 33 anvnds uttrycken ursprungslandet och
det slutliga bestmmelselandet. De terfinns i artikel 25.2 i EG:s direk-
tiv, men de r till skillnad mot tredje land inte definierade i lagen. Ut-
trycken kan avse andra lnder n Sverige och det land dit verfringen
sker. S t.ex. kan personuppgifter vara hmtade till Sverige frn ett land
inom eller utanfr EU/EES och ha sin slutliga bestmmelseort i ett fjrde
land. Skyddet i svl det frsta som det sista landet skall d beaktas.
Prop. 1999/2000:11
Bilaga 5
28
49
Utver vad som sagts under 33 kan anmrkas att den freslagna avkri-
minaliseringen i ringa fall inte torde bli tillmplig i den situationen att
personuppgifter verfrts till tredje land, inte i strid med 3335
personuppgiftslagen, utan i strid med 11 datalagen som enligt ver-
gngsbestmmelserna till personuppgiftslagen alltjmt r tillmplig i fr-
ga om behandling av personuppgifter som pbrjats fre den 24 oktober
1998. I vissa fall kan det vara svrt att avgra vilken av lagarna som r
tillmplig p en verfring och drmed vilka ringa fall som r straffria.
Betrffande de frmodligen inte s f fall dr den gamla lagen skall till-
lmpas nnu cirka tv r, intrder inte den lttnad i regelverket som nu
fresls genom avkriminalisering i ringa fall.
Det nya andra stycket avser alla de grningar som rknas upp i frsta
stycket, dvs. ocks andra vertrdelser n otillten verfring av perso-
nuppgifter till tredje land. I remissen berrs inte vilka konsekvenser av-
kriminaliseringen fr fr dessa andra fall. S t.ex. behandlas inte i vilken
mn avkriminaliseringen kan anses frenlig med direktivets krav i artikel
24 p effektiva sanktioner vid vertrdelser av de bestmmelser som har
antagits fr att genomfra direktivet. Svitt Lagrdet kan bedma hindrar
dock inte direktivet den freslagna avkriminaliseringen, ven om denna
omfattar ocks vertrdelser dr skadestndsansvar enligt 48 person-
uppgiftslagen inte kommer i frga.
Prop. 1999/2000:11
29
Justitiedepartementet
Utdrag ur protokoll vid regeringssammantrde den 7 oktober 1999.
Nrvarande: statsrdet Hjelm-Walln, ordfrande, och statsrden
Freivalds, Thaln, Winberg, Ulvskog, Lindh, Sahlin, von Sydow,
Klingvall, Pagrotsky, Messing, Engqvist, Rosengren, Larsson,
Wrnersson, Lejon, Lvdn, Ringholm
Fredragande: statsrdet Lejon

Regeringen beslutar proposition 1999/2000:11 Personuppgiftslagens
verfringsregler.

1 Acc 7569

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

1 Acc 7569

Uploaded by

Copyright:

Available Formats

1

You might also like