Förslag till
Persondatalag (1998:000)

Härmed föreskrivsföljande.

Inledande bestämmelser

Syftet med lagen

1 § Syftetmed denna lag är att skydda människor mot otillbörligtintrång i den personliga integriteten vid behandling avpersonuppgifter.

Avvikande bestämmelser i annan lagstiftning

2 § Om det ien annan lag eller i en förordning finns bestämmelsersom avviker från denna lag, skall dessa bestämmelsergälla.

Definitioner

3 § I dennalag används följande beteckningar med nedan angivenbetydelse.

Beteckning	Betydelse
Behandling (av personuppgifter)	Varje åtgärd som vidtas beträffande personuppgifter.
Blockering (av personuppgifter)	Varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
Den registrerade	Den som en personuppgift avser.
Känsliga personuppgifter	Sådana personuppgifter som avses i 13 §.
Mottagare	Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som åligger den, anses dock inte myndigheten som mottagare.
Persondataansvarig	Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Persondatabiträde	Den som behandlar personuppgifter för den persondataansvariges räkning.
Personuppgifter	All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Samtycke	Varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.
Tillsynsmyndigheten	Den myndighet som regeringen utser.
Tredje land	En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
Tredje man	Någon annan än den registrerade, den persondataansvarige, persondatabiträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter. Ett sådant persondataombud som avses i 37 § anses inte som tredje man.

Tillämpningsområdet

Det territoriella tillämpningsområdet

4 § Denna lag gäller för sådanapersondataansvariga som är etablerade i Sverige.

Lagen tillämpas också när den persondataansvarigeär etablerad i tredje land men för behandlingen av personuppgifteranvänder sig av utrustning som finns i Sverige. Vad som nusagts gäller dock inte om utrustningen bara användsför att överföra uppgifter mellan ett tredje landoch ett annat sådant land.

I det fall som avses i andra stycket skall den persondataansvarigeutse en företrädare för sig som är etableradi Sverige. Den persondataansvarige skall, innan utrustningen börjaranvändas, till tillsynsmyndigheten skriftligen anmälavem som har utsetts och därvid bifoga ett skriftligt medgivandefrån den utsedde. Vad som anges i denna lag om den persondataansvarigeskall också gälla den företrädare som haranmälts på detta sätt.

Vilken behandling av personuppgifter omfattas av lagen

5 § Denna lag gäller för sådanbehandling av personuppgifter som helt eller delvis är automatisk.

Lagen gäller även för annan behandling av personuppgifter,om uppgifterna ingår i eller är avsedda att ingåi ett register. Med register avses varje strukturerad samlingav personuppgifter vilka är tillgängliga för sökningeller sammanställning enligt särskilda kriterier.

Undantag för privat användning av personuppgifter

6 § Denna lag gäller inte för sådanbehandling av personuppgifter som en fysisk person utförsom ett led i en verksamhet av rent privat natur.

Undantag med hänsyn till yttrandefriheten

7 § Bestämmelserna i 9-29 och 33-46 §§samt 47 § första stycket och 49 § skallinte tillämpas på

1. sådana förfaranden som är skyddade enligttryckfrihetsförordningen eller yttrandefrihetsgrundlagen,
2. spridningen av sådana yttranden som är skyddadeenligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen,eller
3. sådan behandling av personuppgifter som annars skeruteslutande för journalistiska ändamål eller konstnärligteller litterärt skapande.

Förhållandet till offentlighetsprincipen

8 § Bestämmelserna i denna lag skall intetillämpas i den utsträckning det skulle inskränkaen myndighets skyldighet enligt 2 kap. tryckfrihetsförordningenatt lämna ut personuppgifter.

Bestämmelserna hindrar inte heller att en myndighet arkiveraroch bevarar sina allmänna uppgifter eller att arkivmaterialtas om hand av en arkivmyndighet. Bestämmelserna i 9 §tredje stycket gäller inte för personuppgifter i enmyndighets arkiv.

Grundläggande krav på behandlingen av personuppgifter

9 § Den persondataansvarige skall se till

1. att personuppgifter behandlas bara när det är lagligt,särskilt att samtycke inhämtas när så krävs,
2. att personuppgifter alltid behandlas på ett korrektsätt,
3. att personuppgifter samlas in bara för särskilda,uttryckligt angivna och berättigade ändamål,
4. att personuppgifter inte behandlas för något ändamålsom är oförenligt med det för vilket uppgifternasamlades in,
5. att de personuppgifter som behandlas är adekvata ochrelevanta i förhållande till ändamålen medbehandlingen,
6. att inte fler personuppgifter behandlas än som ärnödvändigt med hänsyn till ändamålenmed behandlingen,
7. att de personuppgifter som behandlas är riktiga och,om det är nödvändigt, aktuella,
8. att alla rimliga åtgärder vidtas för att rätta,blockera eller utplåna sådana personuppgifter somär felaktiga, missvisande eller ofullständiga med hänsyntill ändamålen med behandlingen, och
9. att personuppgifter inte bevaras under en längre tidän vad som är nödvändigt med hänsyn tilländamålen med behandlingen.

Beträffande första stycket d) gäller att en behandlingav personuppgifter för historiska, statistiska eller vetenskapligaändamål inte skall anses som oförenlig med deändamål för vilka uppgifterna samlades in. I frågaom första stycket i) gäller att personuppgifter fårbevaras under längre tid än som sagts där förhistoriska, statistiska eller vetenskapliga ändamål.

Personuppgifter som behandlas för historiska, statistiskaeller vetenskapliga ändamål får användasför att vidta åtgärder beträffande den registreradebara om den registrerade har lämnat sitt samtycke eller detfinns synnerliga skäl med hänsyn till den registreradeseller någon annans vitala intressen.

När behandling av personuppgifter är tillåten

Allmänt

10 § Personuppgifter får behandlas baraom den registrerade har lämnat sitt samtycke till behandlingeneller när behandlingen är nödvändig

1. för att fullgöra ett avtal med den registrerade,
2. för att på den registrerades begäran vidtaåtgärder innan ett avtal träffas,
3. för att den persondataansvarige skall kunna fullgöraen rättslig skyldighet,
4. för att skydda vitala intressen för den registrerade,
5. för att utföra en arbetsuppgift av allmäntintresse,
6. för att den persondataansvarige eller en tredje man tillvilken personuppgifter lämnas ut skall kunna utföraen arbetsuppgift i samband med myndighetsutövning, eller
7. för ändamål som rör ett berättigatintresse hos den persondataansvarige eller hos sådana tredjemän till vilka personuppgifterna lämnas ut närdetta intresse väger tyngre än den registrerades intresse.

Direkt marknadsföring

11 § Personuppgifter får inte behandlasför ändamål som rör direkt marknadsföring,om den registrerade hos den persondataansvarige skriftligen haranmält att han eller hon motsätter sig sådan behandling.

Samtycke återkallas

12 § I de fall där behandling av personuppgifterbara är tillåten när den registrerade har lämnatsitt samtycke enligt 10, 15 eller 34 § har den registreraderätt att när som helst återkalla ett lämnatsamtycke. Ytterligare personuppgifter om den registrerade fårdärefter inte behandlas.

En registrerad har utöver vad som följer av förstastycket och 11 § inte rätt att motsätta sigsådan behandling av personuppgifter som är tillåtenenligt denna lag.

Förbud mot behandling av känsliga personuppgifter

13 § Det är förbjudet att behandlapersonuppgifter som avslöjar

1. ras eller etniskt ursprung,
2. politiska åsikter,
3. religiös eller filosofisk övertygelse, eller
4. medlemskap i fackförening.

Det är också förbjudet att behandla sådanapersonuppgifter som rör hälsa eller sexualliv.

Undantag från förbudet mot behandling av känsligapersonuppgifter

Allmänt

14 § Utan hinder av 13 § är dettillåtet att behandla känsliga personuppgifter i defall som anges i 15­19 §§.

I 10 § finns det bestämmelser om i vilka fall behandlingav personuppgifter över huvud taget är tillåten.

Samtycke eller offentliggörande

15 § Känsliga personuppgifter fårbehandlas, om den registrerade har samtyckt till behandlingeneller på ett tydligt sätt offentliggjort uppgifterna.

Behandlingen är nödvändig i vissa fall

16 § Känsliga personuppgifter fårbehandlas när behandlingen är nödvändig föratt

1. den persondataansvarige skall kunna fullgöra sina skyldighetereller utöva sina rättigheter inom arbetsrätten,
2. skydda vitala intressen för den registrerade eller någonannan och den registrerade inte kan lämna samtycke, eller
3. rättsliga anspråk skall kunna fastställas,göras gällande eller försvaras.

Uppgifter som behandlas med stöd av första stycket a)får lämnas ut till tredje man bara om det inom arbetsrättenfinns en uttrycklig skyldighet för den persondataansvarigeatt göra det eller den registrerade har samtyckt till utlämnandet.

Ideella organisationer

17 § Ideella organisationer med politiskt, filosofiskt,religiöst eller fackligt syfte får inom ramen försin verksamhet behandla känsliga personuppgifter om organisationensmedlemmar och sådana andra personer som på grund avorganisationens syfte har regelbunden kontakt med denna. Känsligapersonuppgifter får dock lämnas ut till tredje manbara om den registrerade har samtyckt till det.

Hälso- och sjukvård

18 § Känsliga personuppgifter fårbehandlas, om behandlingen är nödvändig för

1. förebyggande hälso- och sjukvård,
2. medicinska diagnoser,
3. vård eller behandling, eller
4. administration av hälso- och sjukvård.

Den som är yrkesmässigt verksam inom hälso- ochsjukvårdsområdet och har tystnadsplikt får alltidbehandla känsliga personuppgifter som omfattas av tystnadsplikten.

Forskning och statistik

19 § Känsliga personuppgifter fårbehandlas för forsknings- och statistikändamål,om behandlingen är nödvändig och om samhällsintressetav det forsknings- eller statistikprojekt vari behandlingen ingårklart väger över den risk för otillbörligtintrång i enskildas personliga integritet som behandlingenkan innebära.

Har projektet godkänts av en forskningsetisk kommitté,skall förutsättningarna enligt första stycket ansesuppfyllda. Med forskningsetisk kommitté avses ett sådantsärskilt organ för prövning av forskningsetiskafrågor som har företrädare för såväldet allmänna som forskningen och som är knutet tillett universitet eller en högskola eller till någonannan instans som i mera betydande omfattning finansierar forskning.

Personuppgifter får lämnas ut för att användasi sådana projekt som avses i första stycket, om intenågot annat följer av sekretesslagen (1980:100).

Bemyndigande att föreskriva ytterligare undantag

20 § Regeringen eller den myndighet som regeringenbestämmer får föreskriva ytterligare undantagfrån förbudet i 13 §, om det behövsmed hänsyn till ett viktigt allmänt intresse.

Uppgifter om lagöverträdelser

21 § Det är förbjudet för andraän myndigheter att behandla personuppgifter om lagöverträdelsereller om domar och säkerhetsåtgärder i brottmål.

Regeringen eller den myndighet som regeringen bestämmer fårföreskriva undantag från förbudet i förstastycket.

Användning av personnummer

22 § Uppgift om personnummer får behandlasbara när det är klart motiverat med hänsyn till

1. ändamålet med behandlingen,
2. vikten av en säker identifiering, eller
3. något annat beaktansvärt skäl.

Information till den registrerade

Information skall lämnas självmant när uppgifternasamlas in

23 § När uppgifter om en person samlas infrån denne själv, skall den persondataansvarige självmantlämna den registrerade information rörande behandlingen.

24 § Om personuppgifterna har samlats in frånannan källa än den registrerade, skall den persondataansvarigesjälvmant lämna den registrerade information rörandebehandlingen när uppgifterna noteras. Är uppgifternaavsedda att lämnas ut till tredje man, behöver informationendock lämnas först när uppgifterna lämnas utför första gången.

Information enligt första stycket behöver inte lämnas,om det finns bestämmelser om registrerandet eller utlämnandetav personuppgifterna i en lag eller någon annan författning.

Information behöver inte heller lämnas enligt förstastycket, om detta visar sig vara omöjligt eller skulle innebäraen oproportionerligt stor arbetsinsats. Om uppgifterna användsför att vidta åtgärder beträffande den registrerade,skall dock information alltid lämnas senast i samband medatt så sker.

Vilken information skall lämnas självmant

25 § Information enligt 23 § eller24 § första stycket skall omfatta

1. uppgift om den persondataansvariges identitet,
2. uppgift om ändamålen med behandlingen, och
3. all övrig information som behövs för att denregistrerade skall kunna ta till vara sina rättigheter, såsominformation om mottagarna av uppgifterna, skyldighet att lämnauppgifter och rätten att ansöka om information.

Uppgifter behöver dock inte lämnas om sådant somden registrerade redan känner till.

Information skall också lämnas efter ansökan

26 § Den persondataansvarige är skyldigatt till var och en som ansöker om det en gång perkalenderår gratis lämna information, om personuppgiftersom rör sökanden behandlas eller inte. Behandlas sådanauppgifter skall skriftlig information lämnas ocksåom

1. vilka uppgifter om sökanden som behandlas,
2. varifrån dessa uppgifter har hämtats,
3. ändamålen med behandlingen, och
4. till vilka mottagare eller kategorier av mottagare som uppgifternalämnas ut.

En ansökan enligt första stycket skall göras skriftligenhos den persondataansvarige och vara undertecknad av den sökandesjälv. Information enligt första stycket skall lämnasinom en månad från det att ansökan gjordes. Detär dock tillåtet att lämna information bara vidtre över året jämnt fördelade tillfällen,om det finns särskilda skäl för det.

Information enligt första stycket behöver inte lämnasbeträffande personuppgifter i löpande text som intefått sin slutliga utformning när ansökan gjordeseller som utgör minnesanteckning eller liknande. Vad somnu sagts gäller dock inte om uppgifterna har lämnatsut till tredje man, om uppgifterna behandlas bara för historiska,statistiska eller vetenskapliga ändamål eller, såvittgäller löpande text som inte fått sin slutligautformning, om uppgifterna har behandlats under längre tidän ett år.

Undantag från informationsskyldigheten vid sekretessoch tystnadsplikt

27 § I den utsträckning det är särskiltföreskrivet i lag eller annan författning eller i beslutsom har meddelats med stöd av författning att uppgifterinte får lämnas ut till den registrerade gällerinte bestämmelserna i 23-26 §§.

Regeringen eller den myndighet som regeringen bestämmer fårmedge undantag från bestämmelserna i 23-26 §§,om det behövs för att skydda grundläggande intressenför enskilda eller för att förebygga, undersökaeller avslöja brott.

Rättelse

28 § Den persondataansvarige är skyldigatt på begäran av den registrerade rätta, blockeraeller utplåna sådana personuppgifter som inte harbehandlats i enlighet med denna lag eller föreskrifter somhar utfärdats med stöd av lagen. Den persondataansvarigeskall också underrätta de tredje män till vilkauppgifterna har lämnats ut om åtgärden, om denregistrerade begär det eller om en underrättelse skullekunna undvika mera betydande skada eller olägenhet förden registrerade. Någon sådan underrättelse behöverdock inte lämnas om detta visar sig vara omöjligt ellerskulle innebära en oproportionerligt stor arbetsinsats.

Automatiserade beslut

29 § Ett beslut som har rättsliga följderför en fysisk person eller annars har märkbara verkningarför denne får grundas enbart på automatisk behandlingav personuppgifter, vilka är avsedda att bedöma egenskaperhos den berörda personen, bara om den som berörs avbeslutet har möjlighet att på begäran fåbeslutet omprövat på manuell väg.

Var och en som varit föremål för ett sådantbeslut som avses i första stycket har rätt att påansökan få information från den persondataansvarigeom vilka regler som har styrt den automatiska behandling som harlett fram till beslutet. I fråga om ansökan och lämnandetav information gäller i tillämpliga delar bestämmelsernai 26 §.

Säkerheten vid behandling

De personer som arbetar med personuppgifter

30 § Ett persondatabiträde och den ellerde personer som arbetar under dennes eller den persondataansvarigesledning får behandla personuppgifter bara i enlighet medinstruktioner från den persondataansvarige. I frågaom sekretess och tystnadsplikt i det allmännas verksamhettillämpas i stället bestämmelserna i sekretesslagen(1980:100).

Det skall finnas ett skriftligt avtal om persondatabiträdetsbehandling av personuppgifter för den persondataansvarigesräkning. I det avtalet skall det särskilt föreskrivasatt persondatabiträdet får behandla personuppgifternabara i enlighet med instruktioner från den persondataansvarigeoch att persondatabiträdet är skyldigt att vidta deåtgärder som avses i 31 § första stycket.

Skyddsåtgärder

31 § Den persondataansvarige skall vidta lämpligatekniska och organisatoriska åtgärder för attskydda de personuppgifter som behandlas. Åtgärdernaskall åstadkomma en säkerhetsnivå som ärlämplig med beaktande av

1. de tekniska möjligheter som finns,
2. vad det skulle kosta att genomföra åtgärderna,
3. de särskilda risker som finns med behandlingen av personuppgifterna,och
4. hur pass känsliga de behandlade personuppgifterna är.

När den persondataansvarige anlitar ett persondatabiträde,skall den persondataansvarige förvissa sig om att persondatabiträdetkan genomföra de säkerhetsåtgärder som måstevidtas och se till att persondatabiträdet verkligen vidtaråtgärderna.

Tillsynsmyndigheten får besluta om skyddsåtgärder

32 § Tillsynsmyndigheten får besluta omvilka skyddsåtgärder som den persondataansvarige skallvidta enligt 31 §.

I 47 § finns det bestämmelser om tillsynsmyndighetensmöjligheter att förena beslutet med vite.

Överföring av personuppgifter till tredje land

Förbud mot överföring

33 § Det är förbjudet att till tredjeland föra över personuppgifter som behandlas. Förbudetgäller också överföring av personuppgifterför behandling i tredje land.

Undantag från förbudet

34 § Utan hinder av 33 § är dettillåtet att föra över personuppgifter till tredjeland, om den registrerade har samtyckt till överföringeneller när överföringen är nödvändigför att

1. fullgöra ett avtal mellan den registrerade och den persondataansvarige,
2. på den registrerades begäran vidta åtgärderinnan ett avtal träffas,
3. ingå eller fullgöra ett sådant avtal mellanden persondataansvarige och tredje man som är i den registreradesintresse,
4. rättsliga anspråk skall kunna fastställas,göras gällande eller försvaras, eller
5. skydda vitala intressen för den registrerade.

Det är också tillåtet att föra överpersonuppgifter för användning enbart i en stat somhar anslutit sig till Europarådets konvention om skydd förenskilda vid automatisk databehandling av personuppgifter.

35 § Regeringen får för överföringav personuppgifter till vissa stater föreskriva undantagfrån förbudet i 33 §. Regeringen fårockså föreskriva att överföring av personuppgifter till tredje land är tillåten, om överföringenregleras av ett avtal som innehåller vissa bestämmelsertill skydd för de registrerades rättigheter.

Regeringen eller den myndighet som regeringen bestämmer fårvidare medge undantag från förbudet i 33 §,om det behövs med hänsyn till ett viktigt allmäntintresse eller om det finns tillräckliga garantier till skyddför de registrerades rättigheter.

Anmälan till tillsynsmyndigheten

Anmälningsskyldighet

36 § Behandling av personuppgifter som ärhelt eller delvis automatisk omfattas av anmälningsskyldighet.Den persondataansvarige skall innan en sådan behandlingeller en serie av sådana behandlingar, som har samma ellerliknande ändamål, genomförs göra en skriftliganmälan till tillsynsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer fårföreskriva undantag från anmälningsskyldighetenför sådana typer av behandlingar som sannolikt intekommer att leda till otillbörligt intrång i den personligaintegriteten.

Anmälan behöver inte göras om det finns ettpersondataombud

37 § När den persondataansvarige har offentliggjorten uppgift om att ett persondataombud utsetts och vem det är,behöver anmälan enligt 36 § inte göras.

Persondataombudets uppgifter

38 § Persondataombudet skall ha till uppgiftatt självständigt se till att den persondataansvarigebehandlar personuppgifter på ett korrekt och lagligt sättoch påpeka eventuella brister för denne.

Har persondataombudet anledning att misstänka att den persondataansvarigebryter mot de bestämmelser som gäller för behandlingenav personuppgifter och vidtas inte rättelse så snartdet kan ske efter påpekande, skall persondataombudet anmälaförhållandet till tillsynsmyndigheten.

Persondataombudet skall även i övrigt samrådamed tillsynsmyndigheten vid tveksamhet om hur de bestämmelsersom gäller för behandlingen av personuppgifter skalltillämpas.

39 § Persondataombudet skall föra en förteckningöver de behandlingar som den persondataansvarige genomföroch som skulle ha omfattats av anmälningsskyldighet om ombudetinte hade funnits. Förteckningen skall omfatta åtminstonede uppgifter som en anmälan enligt 36 § skulleha innehållit.

40 § Persondataombudet skall hjälpa registreradeatt få rättelse när det finns anledning att misstänkaatt behandlade personuppgifter är felaktiga, missvisandeeller ofullständiga.

Obligatorisk anmälan för särskilt integritetskänsligabehandlingar

41 § Regeringen får föreskriva attvissa behandlingar av personuppgifter som kan innebära särskildarisker för otillbörligt intrång i den personligaintegriteten skall för förhandskontroll anmälastill tillsynsmyndigheten enligt 36 § tre veckor i förväg.Om regeringen har meddelat sådana föreskrifter, gällerinte undantaget från anmälningsskyldigheten enligt37 §.

Upplysningar till allmänheten om behandlingar som inteanmälts

42 § Den persondataansvarige skall till var ochen som begär det skyndsamt och på lämpligt sättlämna upplysningar om sådana automatiska eller andrabehandlingar av personuppgifter som inte har anmälts tilltillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälanenligt 36 § skulle ha omfattat. Den persondataansvarigeär dock inte skyldig att lämna ut uppgifter om vilkasäkerhetsåtgärder som har vidtagits.

Skadestånd

43 § Den persondataansvarige skall ersättaden registrerade för den skada som en behandling av personuppgifteri strid med denna lag eller föreskrifter som har meddelatsmed stöd av lagen har fört med sig. Ersättningskall också betalas för ren förmögenhetsskadaoch för den kränkning av den personliga integritetensom behandlingen har inneburit.

Ersättningsskyldigheten enligt första stycket kan iden utsträckning det är skäligt sättas nedeller helt falla bort, om den persondataansvarige visar att feletinte berodde på honom eller henne.

Straff för osanna uppgifter

44 § Till böter eller fängelse högstsex månader eller, om brottet är grovt, till fängelsei högst två år döms den som uppsåtligeneller av oaktsamhet lämnar osann uppgift

1. i information till registrerade som föreskrivs i dennalag,
2. i anmälan till tillsynsmyndigheten enligt 36 §,eller
3. till tillsynsmyndigheten när myndigheten begär informationenligt 45 §.

Tillsynsmyndighetens befogenheter

45 § Tillsynsmyndigheten har rätt att försin tillsyn på begäran få

1. tillgång till de personuppgifter som behandlas,
2. upplysningar och dokumentation rörande behandlingen avpersonuppgifter och säkerheten vid denna, och
3. tillträde till sådana lokaler som har anknytningtill behandlingen av personuppgifter.

46 § Om tillsynsmyndigheten inte efter begäranenligt 45 § kan få tillräckligt underlagför att konstatera att behandlingen av personuppgifter ärlaglig, får myndigheten vid vite förbjuda den persondataansvarigeatt behandla personuppgifter på annat sätt ängenom att lagra dem.

47 § Om tillsynsmyndigheten konstaterar att personuppgifterbehandlas eller kan komma att behandlas på ett olagligtsätt, skall myndigheten genom påpekanden eller liknandeförfaranden försöka åstadkomma rättelse.Går det inte att få rättelse på annat sätteller är det riskfyllt att vänta, får myndighetenvid vite förbjuda den persondataansvarige att fortsättaatt behandla personuppgifterna på annat sätt ängenom att lagra dem.

Om den persondataansvarige inte frivilligt följer ett beslutom skyddsåtgärder enligt 32 §, som vunnitlaga kraft, får tillsynsmyndigheten föreskriva viteför att beslutet skall genomföras.

48 § Innan tillsynsmyndigheten beslutar om viteenligt 46 eller 47 §, skall den persondataansvarigeha fått tillfälle att yttra sig. Om det är riskfylltatt vänta, får myndigheten dock i avvaktan påyttrandet meddela ett tillfälligt beslut om vite. Det tillfälligabeslutet skall prövas om, när yttrandetiden har gåttut.

Ett vitesföreläggande skall delges den persondataansvarige.Delgivning enligt 12 § delgivningslagen (1970:428) fårdock användas bara om det finns skäl att anta att denpersondataansvarige har avvikit eller håller sig undan pånågot annat sätt.

49 § Tillsynsmyndigheten får hos länsrätteni det län där myndigheten är belägen ansökaom att sådana personuppgifter som har behandlats påett olagligt sätt skall utplånas.

Beslut om utplånande får inte meddelas om det äroskäligt.

Överklagande

50 § Tillsynsmyndighetens beslut enligt dennalag om annat än generella föreskrifter får överklagashos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagandetill kammarrätten.

Tillsynsmyndigheten får bestämma att dess beslut skallgälla även om det överklagas.

Närmare föreskrifter

51 § Regeringen eller den myndighet som regeringenbestämmer får meddela närmare föreskrifterom

1. i vilka fall behandling av personuppgifter är tillåten,
2. vilka krav som ställs på den persondataansvarigevid behandling av personuppgifter,
3. i vilka fall användning av personnummer är tillåten,
4. innehållet i en anmälan eller ansökan tillen persondataansvarig,
5. vilken information som skall lämnas till registreradeoch hur lämnandet av information skall gå till, och
6. anmälan till tillsynsmyndigheten och förfarandetnär anmälda uppgifter har ändrats.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 1999, dådatalagen (1973:289) skall upphöra att gälla. Den äldrelagen gäller dock fortfarande i fråga om överklagandeav beslut som har meddelats före den 1 januari 1999.
2. Beträffande sådan behandling av personuppgiftersom pågår vid ikraftträdandet skall till utgångenav september månad 2001 den äldre lagen tillämpasi stället för den nya. Detta gäller även bestämmelsernai den äldre lagen om överklagande.
3. Bestämmelserna i 9, 10, 13 och 21 §§ iden nya lagen skall inte börja tillämpas förränden 1 oktober 2007 beträffande sådan manuell behandlingav personuppgifter som pågår vid ikraftträdandet.
4. Beträffande personuppgifter som vid ikraftträdandetlagras för historisk forskning skall bestämmelsernai 9, 10, 13 och 21 §§ i den nya lagen börjatillämpas först när uppgifterna behandlas pånågot annat sätt. Dessförinnan skall motsvarandebestämmelser i den äldre lagen tillämpas. De angivnabestämmelserna i den nya lagen skall dock inte till följdav vad som nu sagts börja tillämpas tidigare änvad som följer av punkt 2 eller 3 ovan.
5. Anmälan enligt 36 § i den nya lagen fårgöras före ikraftträdandet.
6. Ett samtycke som har lämnats före ikraftträdandetskall gälla även efter ikraftträdandet om samtycketuppfyller kraven i den nya lagen.
7. Har en begäran om registerutdrag enligt 10 §i den äldre lagen kommit in före ikraftträdandetmen har utdraget inte expedierats före ikraftträdandetskall framställningen anses som en ansökan enligt 26 §i den nya lagen.
8. Den nya lagens bestämmelser om skadestånd skallbara tillämpas om den omständighet som yrkandet hänförsig till har inträffat efter ikraftträdandet. I annatfall tillämpas de äldre bestämmelserna.