Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Relevanta dokument
Datainspektionen lämnar följande synpunkter.

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Utkast till lagrådsremissen Vägtrafikdatalag

Snabbare lagföring (Ds 2018:9)

Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar

Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Ds 2016:44 Nationell läkemedelslista

Remiss av SOU 2015:66 En förvaltning som håller ihop

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Yttrande i Förvaltningsrätten i Stockholms mål

SOU 2015:84 Organdonation En livsviktig verksamhet

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Anpassning till den allmänna dataskyddsförordningen av lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen m.m.

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Förslaget föranleder följande yttrande av Lagrådet:

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Vården och reglerna om dataskydd

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

GDPR- Vad har hänt och hur ser tillämpningen ut?

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Regeringens proposition 2017/18:107

GDPR. Ulrika Harnesk 17 oktober 2018

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Så stärker vi den personliga integriteten SOU 2017:52

Hur står det till med den personliga integriteten? (SOU 2016:41)

EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden

Datalagring och integritet (SOU 2015:31)

EU:s dataskyddsförordning och utbildningsväsendet (SOU 2017:49) Remiss från Utbildningsdepartementet Remisstid den 15 september 2017

Mertzig Asset Management AB

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

KONSEKVENSUTREDNING med anledning av ett förslag till nya föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Mediegrundlagskommitténs betänkande Ändrade mediegrundlagar (SOU 2016:58)


Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

En omreglerad spelmarknad (SOU 2017:30)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Dataskyddsförordningen för prefekter och administrativa chefer

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Erik Tiberg (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Hur vi behandlar personuppgifter enligt dataskyddsförordningen (GDPR)

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Integritetspolicy för Helsingborgs Stängsel AB

Dataskyddsförordningen (GDPR)

Personuppgiftsansvarig och personuppgiftsbiträde

Ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

Förslag till ändringar i regler om åtgärder mot penningtvätt och finansiering av terrorism

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Så behandlar vi dina personuppgifter

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

Utdrag ur protokoll vid sammanträde

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Stockholm den 7 september 2017 R-2017/0906. Till Justitiedepartementet. Ju2017/04264/L6

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Skyldigheten att lämna registerutdrag blir mindre betungande

Transkript:

Yttrande Diarienr 1(9) 2017-11-20 2051-2017 Ert diarenummer Fi2017/03612/FPM Finansdepartementet Finansmarknadsavdelningen 103 33 Stockholm Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning Datainspektionen har granskat förslaget huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Promemorian innehåller ett stort antal författningsförslag. Datainspektionen går inte igenom dem var för sig, utan behandlar frågorna generellt utifrån promemorians struktur. Datainspektionen har på grund av områdets omfattning inte heller gjort några bedömningar huruvida det finns andra befintliga bestämmelser på området som borde ha ändrats med anledning av dataskyddsförordningen, men som inte berörs i promemorian. Datainspektionen har inte heller undersökt om det saknas reglering som borde finnas för att uppfylla kraven i dataskyddsförordningen. Beträffande promemorians förslag har Datainspektionen följande synpunkter. 5 Överväganden kring vissa grundläggande krav på behandling 5.1 Rättslig grund för behandling av personuppgifter Datainspektionen efterfrågar i det fortsatta lagstiftningsarbetet ett tydligare utpekande av de rättsliga grunderna och analys som visar att lagstiftningen är proportionell mot det legitima mål som eftersträvas. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2017-11-20 Diarienr 2051-2017 2 (9) I promemorian anges att uppgifter som utförs av myndigheter och privata aktörer med stöd av författningar på finansmarknadens område, regelmässigt är uppgifter av allmänt intresse (artikel 6.1. e) eller i vart fall utgör rättsliga förpliktelser (artikel 6.1 c). För myndigheternas del innefattar uppgifterna ofta myndighetsutövning (artikel 6.1 e). Vidare anges att dessa grunder är fastställda i nationell rätt. I promemorian fastslås att författningarna är proportionerliga i förhållande till den enskildes intresse av skydd för sin personliga integritet på det sätt som krävs enligt artikel 6.3. Nödvändig personuppgiftsbehandling får därför ske med stöd av artikel 6.1 första stycket c eller e. Det påpekas vidare att även de övriga leden i artikel 6.1 första stycket i förekommande fall kan åberopas som rättsligt stöd för personuppgiftsbehandling på de nämnda rättsområdena. Mot denna bakgrund blir promemorians slutsats att dataskyddsreformen inte medför något behov av författningsändringar i detta avseende (s. 64). Att, som i promemorian, endast konstatera att grunden är fastställd i nationell rätt utan att redovisa vilken rättslig grund som avses eller beskrivning hur den är fastställd, är enligt Datainspektionens bedömning inte tillräckligt för att visa att förordningens krav är uppfyllda. Eftersom de rättsliga grunderna kan ge olika konsekvenser är det viktigt att detta blir transparant för såväl den registrerade som för den som behandlar personuppgifterna. Det är också viktigt att visa vilka övervägningar som gjorts för att se till att den nationella rätten uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas, enligt artikel 6.3. Datainspektionen anser att det inte är tillräckligt att helt enkelt påstå att nuvarande författningar är proportionerliga utan att det sker någon bedömning av dessa. Eftersom det är frågan om inskränkning i den enskildes rättigheter som bara får ske under förutsättning att den är proportionell, krävs det en aktiv bedömning. Tidigare bedömningar och befintlig verksamhet utgör givetvis en viktig grund för bedömningen, men den digitala informationshanteringen förändras snabbt och vad som är möjligt idag skiljer sig på ett väsentligt sätt från vad som var möjligt för bara några år sedan. Dessutom ska bedömningen ske utifrån förordningen, vilken inte är densamma som när regelverket vilade på ett direktiv som införts i nationell rätt. Ett direktiv ger, per automatik, ett annat utrymme till medlemsstaterna att göra egna tolkningar. Dessutom finns

Datainspektionen 2017-11-20 Diarienr 2051-2017 3 (9) det skillnader mellan direktivet och förordningen såsom exempelvis att det i vissa fall krävs en i nationell rätt fastställd rättslig grund (artikel 6.3 första stycket), att intresseavvägning inte kan användas som rättslig grund för myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket) och att det är tydligare i förordningen att möjligheten för offentlig verksamhet att använda samtycke är mycket begränsad (skäl 43). Att förlita sig på att det tidigare har skett korrekta bedömningar och att dessa blir desamma för förordningen är således inte tillräckligt för att uppfylla dataskyddsförordningens krav. Eftersom promemorian saknar såväl en närmare redovisning av de rättsliga grunderna och hur dessa är fastställda, som proportionalitetsbedömningar är det inte möjligt att ta ställning till om lagförslagen är förenliga med dataskyddsförordningen. Datainspektionen efterfrågar därför i det fortsatta lagstiftningsarbetet ett tydligt utpekande av de rättsliga grunderna och en analys som visar att lagstiftningen är proportionell mot det legitima mål som eftersträvas. Det är enligt Datainspektionen viktigt att samtliga bestämmelser som rör personuppgiftsbehandlingen gås igenom i enlighet med vad som anges ovan, så att bestämmelserna är förenliga med dataskyddsförordningen. 5.2 Känsliga personuppgifter Datainspektionen avstyrker förslaget i 5 kap. 5 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism i dess nuvarande utformning. Särskilda kategorier av personuppgifter enligt artikel 9 dataskyddsförordningen, så kallade känsliga personuppgifter, är förbjudna att behandla om behandlingen inte omfattas av ett undantag från förbudet. I promemorian föreslås att hänvisningen till personuppgiftslagen i bestämmelserna om känsliga personuppgifter i 5 kap. 5 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) ska ersättas med en hänvisning till dataskyddsförordningen. I promemorian bedöms behandlingen av känsliga personuppgifter enligt penningtvättslagen vara nödvändig med hänsyn till ett viktigt allmänt intresse, och grunden för behandlingen finns i nationell rätt, som i sin tur är

Datainspektionen 2017-11-20 Diarienr 2051-2017 4 (9) grundad på unionsrätten. Någon redogörelse för denna bedömning ges inte. I promemorian har inte några överväganden gällande de nya särskilda kategorierna av uppgifter som införts, såsom genetiska och biometriska uppgifter, skett. Det kan enligt Datainspektionens mening generellt ifrågasättas om det i någon situation kan anses nödvändigt i förordningens mening att exempelvis behandla genetiska uppgifter för att uppnå kundkännedom eller behandla uppgift om sexuell läggning för att bedöma den risk som förknippas med kundrelationen. I promemorian konstateras vidare att med hänsyn till att samkörning av register mellan olika verksamhetsutövare inte får ske och till att det råder tystnadsplikt för verksamma hos en verksamhetsutövare avseende känsliga personuppgifter finns det också lämpliga och särskilda skyddsåtgärder. Behandlingen är därför tillåten med stöd av artikel 9.2 g i dataskyddsförordningen. Datainspektionen kan konstatera att artikel 9 inte ger medlemsstaterna mandat att reglera undantag. Däremot kräver vissa av de undantag från förbudet att behandla personuppgifter i artikel 9, exempelvis en behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g, stöd i unionsrätten eller medlemsstaternas nationella rätt. Unionsrätten eller medlemsstaternas nationella rätt ska då stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt 5 kap. 5 penningtvättslagen får känsliga personuppgifter behandlas endast om det är nödvändigt för att bedöma om kunden är en person i politiskt utsatt ställning eller familjemedlem eller känd medarbetare till en sådan person enligt 1 kap. 8 10, bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3, uppfylla övervakningsskyldigheten enligt 4 kap. 1, bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2, och lämna uppgifter enligt 4 kap. 3 och 6. Känsliga personuppgifter får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4, om det är tillåtet att behandla uppgifterna enligt första stycket. För att behandla känsliga personuppgifter krävs det enligt dataskyddsförordningen att behandlingen är nödvändig inte enbart med hänsyn till ett allmänt intresse utan det ska vara ett viktigt allmänt intresse. Datainspektionen ifrågasätter om den föreslagna utformningen av undantaget i penningtvättslagen kan anses avse ett viktigt allmänt intresse, stå i

Datainspektionen 2017-11-20 Diarienr 2051-2017 5 (9) proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, särskilt som det inte finns någon tydlig begränsning för vad alla de olika företag som lyder under penningtvättslagen kan behandla för att kunna bedöma de risker för penningtvätt och finansiering av terrorism som är förknippade med verksamhetsutövarnas affärsverksamhet. Eftersom undantagen regleras direkt i förordningen gäller kravet på ett viktigt allmänt intresse oavsett vad den kompletterande författningen anger. Om kravet på ett viktigt allmänt intresse inte framgår av den föreslagna undantagsbestämmelsen finns det, enligt Datainspektionen, risk för att verksamhetsutövarna kan komma att behandla personuppgifter i strid med artikel 9.2 g på grund av att de vilseleds av formuleringen. Datainspektionen avstyrker därför förslaget i dessas nuvarande utformning. 5.3 Uppgifter om fällande domar i brottmål och överträdelser Datainspektionen avstyrker förslaget i 5 kap. 6 lagen (2107:630) om åtgärder mot penningtvätt och finansiering av terrorism i dess nuvarande utformning. Datainspektionen anser att det i förtydligande syfte i författningar som reglerar krav på tillhandahållande av rapporteringssystem för anställda som vill göra anmälningar om misstänkta överträdelser av bestämmelser som gäller kreditinstituts verksamhet ska finnas hänvisningar till dataskyddsförordningen och eventuell kompletterande lagstiftning. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras av privata företag då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställts. I promemorian föreslås att hänvisningen till personuppgiftslagen i bestämmelserna om personuppgifter om lagöverträdelser i 5 kap. 6 penningtvättslagen ska ersättas med en hänvisning till dataskyddsförordningen.

Datainspektionen 2017-11-20 Diarienr 2051-2017 6 (9) Enligt 5 kap. 6 penningtvättslagen får personuppgifter om lagöverträdelser som avses i 21 personuppgiftslagen behandlas endast om det är nödvändigt för att bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3, uppfylla övervakningsskyldigheten enligt 4 kap. 1, bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2, och lämna uppgifter enligt 4 kap. 3 och 6. Uppgifter om lagöverträdelser får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4, om det är tillåtet att behandla uppgifterna enligt första stycket. I promemorian konstateras att bestämmelserna syftar till att verksamhetsutövare ska kunna behandla personuppgifterna på ett sätt som gör det möjligt att uppfylla skyldigheterna i fjärde penningtvättsdirektivet. Behandlingen begränsas av bestämmelsen som anger syftet med personuppgiftsbehandlingen. En behandling för annat syfte kan medföra skadeståndsskyldighet eller straffansvar. Det bör enligt promemorian vidare beaktas att bestämmelserna till stor del endast innebär ett förtydligande av det rättsläge som ansetts föreligga även utan sådan reglering. Slutsatsen är att bestämmelserna är förenliga med dataskyddsförordningen. Datainspektionen ifrågasätter om den föreslagna utformningen av undantaget i penningtvättslagen kan anses omfattas av sådana fastställda lämpliga skyddsåtgärder för de registrerades rättigheter och friheter som avses i artikel 10, särskilt som det inte finns någon tydlig begränsning för vad alla de olika företag som lyder under penningtvättslagen kan behandla för att kunna bedöma de risker för penningtvätt och finansiering av terrorism som är förknippade med verksamhetsutövarnas affärsverksamhet. Datainspektionen anser att det finns risk för att verksamhetsutövarna kan komma att behandla personuppgifter i strid med artikel 10 på grund av att de vilseleds av formuleringen. Datainspektionen avstyrker därför förslaget i dess nuvarande utformning. I flera av författningarna, exempelvis 6 kap. 2 a lagen om bank och finansieringsrörelse finns krav på att kreditinstitut ska tillhandahålla ändamålsenliga rapporteringssystem för anställda som vii göra anmälningar om misstänkta överträdelser av bestämmelser som gäller för kreditinstituts verksamhet (visselblåsningssystem). Dessa författningar innehåller för närvarande en erinran om att personuppgiftslagen gäller vid behandling av personuppgifter inom ramen för sådana rapporteringssystem. Dessa

Datainspektionen 2017-11-20 Diarienr 2051-2017 7 (9) erinringar tas nu bort. I promemorian görs bedömningen att det inte är nödvändigt att ersätta dessa med hänvisningar till dataskyddsförordningen. Datainspektionen anser att det bör göras hänvisningar i förtydligande syfte till dataskyddsförordningen och till eventuell kompletterande lagstiftning som berör rapporteringssystem. 7.3 Andra bestämmelser om registerutdrag Datainspektionen avstyrker förslagen i denna del. I promemorian konstateras att det i 4 kap. 8 a förordningen om bank och finansieringsrörelse och i 3 kap. 6 förordningen om registrering av verkliga huvudmän finns bestämmelser som anger att information som ska lämnas enligt 26 personuppgiftslagen inte behöver omfatta uppgifter i vissa handlingar som har kommit in till registermyndigheten (Bolagsverket), om den enskilde har tagit del av handlingens innehåll. I ett sådant fall ska det i stället framgå av informationen att handlingen behandlas av myndigheten. Om den enskilde begär det ska dock informationen även omfatta uppgifterna i en sådan handling. I promemorian konstateras att en sådan bestämmelse inte utgör någon egentlig inskränkning av rätten att få tillgång till personuppgifter enligt artikel 15 c i dataskyddsförordningen, med motiveringen att om den enskilde begär det så ska denne få del av en sådan uppgift också. I promemorian föreslås därför att hänvisning till 26 personuppgiftslagen i 4 kap. 8 a förordningen om bank och finansieringsrörelse och i 3 kap. 6 förordningen om registrering av verkliga huvudmän kan ersättas med hänvisning till artikel 15 dataskyddsförordningen. Datainspektionen konstaterar att den registrerades rätt till tillgång enligt artikel 15 inte endast avser en rätt att få kopia på personuppgifterna utan den personuppgiftsansvarige ska även informera om ändamålen med behandlingen, vilka kategorier av uppgifter som behandlas, eventuell tredje landsöverföring m.m. Det innebär att även om den registrerade sedan tidigare fått del av uppgifter som rör den registrerade så kvarstår ändå rätten eftersom ytterligare information ska lämnas. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade kan denne tillfrågas vilken information som önskas (jfr skäl 63 dataskyddsförordningen).

Datainspektionen 2017-11-20 Diarienr 2051-2017 8 (9) Datainspektionen anser att de föreslagna bestämmelserna utgör en begränsning i den enskildes rätt till tillgång enligt artikel 15 och att undantaget inte är utfört i enlighet med kraven i artikel 23 dataskyddsförordningen. Datainspektionen avstyrker förslaget i denna del. 7.4.3 Anpassningar av bestämmelser om rättelse Datainspektionen efterfrågar i det fortsatta utredningsarbetet ett förtydligande av behovet av begränsningen av rätten till rättelse samt en tydligt redovisad proportionalitetsbedömning. Datainspektionen efterfrågar även en tydligt redovisad proportionalitetsbedömning avseende begränsningen av rätten till begränsning av behandling. Datainspektionen anser att det behövs generella förtydliganden av på vilket sätt de begränsningar som föreslagits är förenliga med artikel 23.2 dataskyddsförordningen. Enligt artikel 23 dataskyddsförordningen kan de registrerades rättigheter begränsas för vissa angivna intressen under förutsättning att en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Förordningen lämnar således ett visst utrymme för att inskränka de registrerades rättigheter, men ställer då krav på lagstiftningens utformning och innehåll i enlighet med artikel 23.2. Utredningen anger att det inom verksamhetsområdet finns bestämmelser som innebär att 26 förvaltningslagen ska tillämpas i stället för reglerna om rättelse i 28 personuppgiftslagen. De register på finansmarknadsområdet där en sådan begränsning av rätten till rättelse gäller utgörs av försäkringsregistret, försäkringsförmedlarregistret, bankregistret, registret över anknutna ombud enligt förordningen om värdepappersmarknaden och registret över personer som har gjort anmälan enligt penningtvättslagen. Utredningen bedömer att bestämmelserna kan finnas kvar men att de i stället ska hänvisa till dataskyddsförordningen. I promemorian anges att med hänsyn till de rättsverkningar som är förenade med inskrivning i registren och mot bakgrund av att möjligheten till undantag från den registrerades rätt till rättelse inte minskats i dataskyddsförordningen jämfört med

Datainspektionen 2017-11-20 Diarienr 2051-2017 9 (9) dataskyddsdirektivet bedöms undantagen från rätten till rättelse vara förenliga med kraven i artikel 23.1. Det anges vidare att de aktuella författningarna bedöms vara förenliga med kraven i artikel 23.2. Datainspektionen efterlyser i det fortsatta lagstiftningsarbetet ett förtydligande av behovet av begränsningen samt en proportionalitetsbedömning där behovet av undantaget vägs mot den registrerades intressen. Datainspektionen efterfrågar även ett tydliggörande av hur kraven i artikel 23.2 uppfylls. På föreliggande underlag kan Datainspektionen inte tillstyrka förslaget. Om det i det fortsatta lagstiftningsarbetet konstateras att de föreslagna begränsningarna lever upp till kraven i artikel 23, anser Datainspektionen att det i författningsförslagen måste förtydligas att bestämmelserna utgör begränsningar av de aktuella rättigheterna i dataskyddsförordningen. I avsaknad av sådant förtydligande är det annars oklart vilken effekt begränsningen får i praktiken med hänsyn till principen om EU rättens företräde. Övrigt Datainspektionen konstaterar att det enda som föreslås ändrat i betaltjänstlagen är hänvisningen i 6 kap. 1 betaltjänstlagen till personuppgiftslagen. Enligt förslaget ska hänvisning i stället ske till dataskyddsförordningen. Datainspektionen finner därför anledning att påpeka att det även i 6 kap. 8 betaltjänstlagen angående rättelse och skadestånd finns en hänvisning till personuppgiftslagen. Detta är således något som också bör ändras. Detta yttrande har beslutats av generaldirektören Eva Håkansson efter föredragning av avdelningsdirektören Hans Kärnlöf. Vid den slutliga handläggningen har även chefsjuristen Hans Olof Lindblom och enhetschefen Catharina Fernquist. Eva Håkansson Hans Kärnlöf

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss