Karnov Open

Karnov Open är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.
SFS 2018:405 Publicerad den 8 maj 2018Lag om ändring i kreditupplysningslagen (1973:1173)Utfärdad den 3 maj 2018Enligt riksdagens beslutProp. 2017/18:120, bet. 2017/18:FiU37, rskr. 2017/18:250. föreskrivs i fråga om kreditupplysningslagen (1973:1173)Lagen omtryckt 1981:737. dels att 5, 6, 10–12, 15 och 21 §§ och rubriken närmast före 12 § ska ha följande lydelse, dels att det ska införas två nya paragrafer, 1 a och 12 a §§, och närmast före 12 a § en ny rubrik av följande lydelse.1 a §1 a §Denna lag innehåller, i den del den avser behandling av personuppgifter, bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.Vid sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller även lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till lagen.5 §5 § Senaste lydelse 2001:164. Kreditupplysningsverksamhet ska bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller i stället artikel 5 i den förordningen.Uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål.Vid helt eller delvis automatiserad behandling av uppgifter om juridiska personer ska den som bedriver kreditupplysningsverksamhet vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att hindra att behandlingen sker på ett otillåtet sätt och att uppgifterna utsätts för otillåten insyn. Bestämmelser om säkerheten vid behandling av personuppgifter finns i EU:s dataskyddsförordning.I kreditupplysningsverksamhet får personuppgifter behandlas utan samtycke. Den registrerade har inte rätt att göra invändningar enligt artikel 21.1 i EU:s dataskyddsförordning mot behandlingen.Andra stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.6 §6 § Senaste lydelse 2001:164. Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får inte behandlas i kreditupplysningsverksamhet.Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får inte utan medgivande av Datainspektionen behandlas i kreditupplysningsverksamhet. Ett medgivande får lämnas endast om det finns synnerliga skäl för det.Andra stycket hindrar inte att uppgifter om betalningsförsummelser, kreditmissbruk eller näringsförbud behandlas i kreditupplysningsverksamhet.10 §10 § Senaste lydelse 2001:164. En juridisk person har rätt att mot skälig avgift hos den som bedriver kreditupplysningsverksamhet få skriftligt besked om huruvida det i verksamheten behandlas uppgifter om den juridiska personen. Behandlas sådana uppgifter ska besked lämnas omvilka uppgifter som behandlas,ändamålen med behandlingen, ochtill vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.Första stycket tillämpas inte i den utsträckning det skulle strida mot bestämmelserna i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.Bestämmelser om en fysisk persons rätt till tillgång till personuppgifter och annan information finns i artiklarna 12 och 15 i EU:s dataskyddsförordning.11 §11 § Senaste lydelse 2014:970. När en kreditupplysning om en fysisk person lämnas ut, ska till den som avses med upplysningen samtidigt och kostnadsfritt sändas ett skriftligt meddelande omvem som bedriver kreditupplysningsverksamheten och kontaktuppgifter till dataskyddsombudet, om ett sådant ombud krävs enligt artikel 37 i EU:s dataskyddsförordning,ändamålen med och den rättsliga grunden för behandlingen,vilka kategorier av personuppgifter som behandlas, varifrån uppgifterna hämtats och hur länge uppgifterna kommer att lagras,de uppgifter, omdömen och råd som upplysningen innehåller om honom eller henne,möjligheten att få tillgång till och rättelse av de uppgifter som rör honom eller henne,vilka kategorier av mottagare som kan ta del av personuppgifterna och vem som har begärt upplysningen, ochmöjligheten att framställa klagomål till Datainspektionen.Om kreditupplysningen lämnas ut till ett svenskt kreditinstitut eller värdepappersbolag, eller till ett motsvarande utländskt företag, för att användas endast som underlag för beräkning av kapitalkravet för kreditrisker med en sådan metod som avses i artikel 143.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012, får meddelandet sändas senare men utan onödigt dröjsmål och begränsas till information enligt första stycket 1, 2 och 6. Om den som avses med upplysningen begär det, ska även information enligt 3, 4, 5 och 7 sändas till honom eller henne.Första och andra styckena gäller också när en kreditupplysning lämnas om ett handelsbolag eller kommanditbolag.Första-tredje styckena gäller inte kreditupplysningar som lämnas genom offentliggörande på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningarna tillhandahålls ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2.Rättelse, komplettering och radering12 §12 § Senaste lydelse 2010:1073. Om det finns anledning att misstänka att en uppgift som behandlas i kreditupplysningsverksamhet eller som har lämnats i en kreditupplysning under den senaste tolvmånadersperioden är oriktig eller missvisande, eller att den annars har behandlats i strid med denna lag eller EU:s dataskyddsförordning, ska den som bedriver verksamheten utan dröjsmål vidta skäliga åtgärder för att utreda förhållandet.Om det visar sig att uppgiften är oriktig eller missvisande, eller att den annars har behandlats i strid med lagen eller EU:s dataskyddsförordning, ska den, om den förekommer i register, rättas, kompletteras eller raderas.Om en oriktig eller missvisande uppgift har tagits in i en kreditupplysning som lämnats ut, ska rättelse eller komplettering så snart det kan ske tillställas var och en som under den senaste tolvmånadersperioden fått del av uppgiften. Detta gäller inte offentliggörande av en kreditupplysning på ett sådant sätt som avses i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, utom när upplysningen tillhandahållits ur en databas enligt 1 kap. 9 § yttrandefrihetsgrundlagen på sätt som avses i den paragrafens första stycke 1 och 2.Om uppgiften under den senaste tolvmånadersperioden har lämnats i en periodisk skrift eller i en kreditupplysningsverksamhet som bedrivs genom återkommande offentliggöranden enligt yttrandefrihetsgrundlagen, ska rättelse eller komplettering så snart det kan ske införas i ett följande nummer av skriften eller motsvarande form av offentliggörande enligt yttrandefrihetsgrundlagen.Andra-fjärde styckena gäller inte om uppgiften uppenbarligen saknar betydelse för bedömningen av personens vederhäftighet i ekonomiskt hänseende.Om en fråga om rättelse eller liknande åtgärd har tagits upp efter framställning från den som uppgiften avser, ska han eller hon kostnadsfritt underrättas om huruvida en sådan åtgärd har vidtagits. En fysisk person ska på begäran även få information om vem som har tillställts en rättelse eller komplettering enligt tredje stycket.Begränsning av behandling av personuppgifter12 a §12 a §I artikel 18 i EU:s dataskyddsförordning finns bestämmelser om fysiska personers rätt att begära att behandlingen av personuppgifter begränsas.15 §15 §Datainspektionen utövar tillsyn över efterlevnaden av denna lag.Tillsynen ska utövas så att den inte vållar större kostnad eller olägenhet än som är nödvändig.Vid tillsyn över sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller Datainspektionens befogenheter enligt denna lag utöver de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–58.3 i den förordningen.21 §21 §Den som bedriver kreditupplysningsverksamhet ska ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att en oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet har iakttagits. Vid bedömningen av i vilken utsträckning skada har uppstått ska hänsyn tas även till lidande och andra omständigheter av annan än rent ekonomisk betydelse.För sådan behandling av personuppgifter som omfattas av EU:s dataskyddsförordning gäller artikel 82 i den förordningen i stället för första stycket.Denna lag träder i kraft den 25 maj 2018.På regeringens vägnarMORGAN JOHANSSONErik Tiberg(Justitiedepartementet)