Förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning

SFS nr: 2018:219
Departement/myndighet: Justitiedepartementet L6
Utfärdad: 2018-04-19
Ändringsregister: SFSR (Regeringskansliet)
Källa: Fulltext (Regeringskansliet)

/Träder i kraft I:2018-05-25/

Inledande bestämmelser

1 §   Denna förordning innehåller bestämmelser som kompletterar
   1. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning,
   2. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, och
   3. Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, här benämnd Europarådets dataskyddskonvention.

2 §   Denna förordning är meddelad med stöd av
   - 3 kap. 9 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning i fråga om 5 och 6 §§,
   - 2 kap. 3 § och 3 kap. 6 och 9 §§ samma lag i fråga om 7 §,
   - 6 kap. 7 § samma lag i fråga om 10 och 11 §§, och
   - 8 kap. 7 § regeringsformen i fråga om övriga bestämmelser.

Tillsynsmyndighet

3 §   Datainspektionen är tillsynsmyndighet enligt EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Ackrediteringsorgan

4 §   Styrelsen för ackreditering och teknisk kontroll ackrediterar certifieringsorgan enligt artikel 43 i EU:s dataskyddsförordning.

Personuppgifter som rör lagöverträdelser

5 §   Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av andra än myndigheter om behandlingen är nödvändig för att
   1. rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller
   2. en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.

6 §   Datainspektionen får meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning.

Datainspektionen får även i enskilda fall besluta att andra än myndigheter får behandla sådana personuppgifter.

Enskilda arkiv

7 §   Riksarkivet får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse.

Riksarkivet får även i enskilda fall besluta att sådana personuppgiftsansvariga får behandla personuppgifter för arkivändamål av allmänt intresse.

Föreskrifter och beslut som meddelas enligt första och andra styckena får avse behandling av personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 i EU:s dataskyddsförordning.

8 §   Innan Riksarkivet meddelar föreskrifter eller beslut enligt 7 § ska Datainspektionen ges tillfälle att yttra sig över Riksarkivets förslag.

Verkställighet av beslut om sanktionsavgift

9 §   Sanktionsavgifter ska betalas till Kammarkollegiet.

10 §   En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

11 §   Om betalningsansvaret har upphävts genom ett beslut som fått laga kraft, ska sanktionsavgiften betalas tillbaka. För sanktionsavgift som betalas tillbaka betalas även ränta enligt 5 § räntelagen (1975:635) för tiden från den dag då avgiften betalades till och med den dag den betalas tillbaka.

Bistånd enligt Europarådets dataskyddskonvention

12 §   Den som är bosatt i Sverige och vill utöva sådana rättigheter som följer av Europarådets dataskyddskonvention, i ett annat land som är anslutet till konventionen, får till Datainspektionen ge in en sådan framställning om bistånd som avses i artikel 14.2 i konventionen. Datainspektionen förmedlar framställningen till det andra landet.

Framställningen ska innehålla uppgifter om
   1. namn och adress samt andra uppgifter som behövs för att identifiera den person som gör framställningen,
   2. den behandling som framställningen avser eller den som är personuppgiftsansvarig, och
   3. ändamålet med framställningen.


Övergångsbestämmelser

2018:219
   1. Denna förordning träder i kraft den 25 maj 2018.
   2. Genom förordningen upphävs personuppgiftsförordningen (1998:1191).
   3. Den upphävda förordningen gäller fortfarande för överklagande av beslut som har meddelats med stöd av den förordningen.
   4. Beslut som har meddelats med stöd av 9 § den upphävda förordningen gäller fortfarande.