1 §I 5 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning finns bestämmelser som anger i vilka fall andra än myndigheter får behandla personuppgifter som avses i artikel 10 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Enligt 6 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning får Integritetsskyddsmyndigheten meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning. Sådana föreskrifter finns i 2–7 §§.

Socialtjänstområdet

2 §Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av andra än myndigheter om behandlingen är nödvändig för att fullgöra en föreskrift på socialtjänstområdet.

Utbildningsområdet

3 §Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av andra än myndigheter om behandlingen avser uppgift i anteckningar som förs i fristående skolors elevvårdande verksamhet eller i motsvarande verksamhet hos enskilda anordnare av högskoleutbildning.

Advokatverksamhet eller annan juridisk verksamhet

4 §Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av andra än myndigheter om behandlingen är nödvändig för kontroll av att jävssituation inte föreligger i advokatverksamhet eller annan juridisk verksamhet.

Rapportering av allvarliga oegentligheter

5 §Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av andra än myndigheter om uppgifterna avser personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen och det är sakligt motiverat att behandla uppgifterna i särskilt inrättade rapporteringskanaler för att utreda om personen ifråga varit delaktig i allvarliga oegentligheter som rör bokföring, intern bokföringskontroll, revision, bekämpande av mutor, brottslighet inom bank- och finansväsen, eller andra allvarliga oegentligheter som rör organisationens vitala intressen eller enskildas liv och hälsa.

Företag under Finansinspektionens tillsyn

6 §Företag under Finansinspektionens tillsyn får behandla personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning för kontroller mot sanktionslistor, om

  1. behandlingen är nödvändig för att efterleva lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, andra föreskrifter på finansmarknadsområdet eller regelverk på det området utfärdade av utländska myndigheter, EU-organ eller mellanstatliga organisationer,

  2. sanktionslistorna är fastställda i demokratisk ordning och allmänt tillgängliga på utfärdande myndigheters eller mellanstatliga organisationers webbplatser, och

  3. företaget har vidtagit relevanta skyddsåtgärder för att kunna skilja på äkta och falska träffar.

Personuppgiftsbehandling enligt första stycket får endast avse

  1. företagets styrelsemedlemmar, fullmaktshavare, ställföreträdare, firmatecknare, ägare, verkliga huvudmän, arbetstagare, arbetssökande, tredjemanspantsättare, borgensmän och motparter i en transaktion,

  2. företagets befintliga och presumtiva kunder, leverantörer, samarbetspartners, förmedlare och uppdragstagare,

  3. styrelsemedlemmar, fullmaktshavare, ställföreträdare, firmatecknare, ägare, verkliga huvudmän, tredjemanspantsättare, borgensmän och motparter i en transaktion för juridiska personer som avses i 2, och

  4. kategorier av personer som är jämförliga med de i 1–3.

Företag under Inspektionen för strategiska produkters eller Strålsäkerhetsmyndighetens tillsyn

7 §Ett företag får behandla personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning för kontroller mot sanktionslistor, om företaget står under

  1. Inspektionen för strategiska produkters tillsyn enligt lagen (1992:1300) om krigsmateriel, eller

  2. Inspektionen för strategiska produkters eller Strålsäkerhetsmyndighetens tillsyn enligt lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd och bedriver sådan verksamhet som avses i 16 § den lagen.

Personuppgiftsbehandling enligt första stycket får endast ske, om

  1. den är nödvändig för att efterleva krav enligt utländsk lagstiftning eller andra regelverk på import- eller exportområdet utfärdade av utländska myndigheter eller Förenta nationerna,

  2. sanktionslistorna är fastställda i demokratisk ordning och allmänt tillgängliga på utfärdande myndigheters eller mellanstatliga organisationers webbplatser, och

  3. företaget har vidtagit relevanta skyddsåtgärder för att kunna skilja på äkta och falska träffar.

Personuppgiftsbehandling enligt första stycket får endast avse

  1. företagets styrelsemedlemmar, fullmaktshavare, ställföreträdare, firmatecknare, ägare, verkliga huvudmän, arbetstagare, arbetssökande, tredjemanspantsättare, borgensmän och motparter i en transaktion,

  2. företagets befintliga och presumtiva kunder, leverantörer, samarbetspartners, förmedlare, uppdragstagare och besökare,

  3. styrelsemedlemmar, fullmaktshavare, ställföreträdare, firmatecknare, ägare, verkliga huvudmän, tredjemanspantsättare, borgensmän och motparter i en transaktion för juridiska personer som avses i 2, och

  4. 4. kategorier av personer som är jämförliga med de i 1–3.

Ikraftträdande- och övergångsbestämmelser

IMYFS 2024:1

1. Denna författning träder i kraft den 1 november 2024.

2. Genom författningen upphävs myndighetens föreskrifter (DIFS 2018:2) om behandling av personuppgifter som rör lagöverträdelser.