Härigenom föreskrivs följande.
1 § Syftet med denna lag är att skydda den enskilde mot att hans personliga integritet kränks genom att personuppgifter behandlas.
2 § Med personuppgift avses varje uppgift som ensam eller tillsammans med andra är hänförlig till en identifierad eller identifierbar enskild person.
Som personuppgift anses dock inte en uppgift som presenteras i statistisk form och som endast efter omfattande, kostsam eller tidskrävande arbetsinsats kan hänföras till den enskilde.
3 § Med behandling avses varje åtgärd som vidtas med personuppgifter genom automatisk databehandling.
Med behandling förstås även insamling av personuppgifter, om ytterligare åtgärder skall vidtas med uppgifterna genom automatisk databehandling.
4 § Lagen är även tillämplig på dokumentation av bearbetningar (logg), sökord och index som inte utgör personuppgifter eller som inte behandlas men som hänför sig till personuppgifter som är föremål för behandling.
5 § Ansvarig för behandling av personuppgifter (persondataansvarig) är den som bestämmer ändamålet med behandlingen, vilka personuppgifter som skall behandlas och hur de skall behandlas.
6 § Denna lag gäller inte vid behandling av personuppgifter om ändamålet med behandlingen är att behandlingen eller uppgifterna skall
1. utgöra ett direkt tekniskt hjälpmedel för framställning av tryckta skrifter eller yttranden som avses i yttrandefrihetsgrundlagen,
2. utgöra en förteckning över dem som har lämnat meddelande enligt 1 kap. 1 § tryckfrihetsförordningen eller 1 kap. 2 § yttrandefrihetsgrundlagen,
3. utgöra arkiv för material som har varit publicerat i periodisk skrift eller som har förekommit i program i ljudradio eller television,
4. ingå i sådana uppgiftssamlingar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial, eller
5. ingå i löpande text.
7 § Denna lag gäller inte heller behandling av personuppgifter av en enskild som sker uteslutande för personligt bruk.
8 § I fråga om personuppgifter som har tagits emot för lagring av en arkivmyndighet gäller inte bestämmelserna i 22 - 29 samt 36 - 38 §§.
9 § Personuppgifter får samlas in endast för bestämda och uttryckliga ändamål och i övrigt behandlas endast på ett sätt som är förenligt med dessa ändamål.
Föreskriften i första stycket inskränker inte myndigheternas skyldighet att lämna ut personuppgifter enligt tryckfrihetsförordningen.
10 § Personuppgifter skall behandlas i överensstämmelse med god sed i förhållandet mellan en persondataansvarig och en enskild (god datased).
11 § Personuppgifter får behandlas endast
1. om den enskilde har samtyckt till behandlingen,
2. om behandlingen behövs för att fullgöra ett avtal med den enskilde eller för att på den enskildes begäran vidta förberedande åtgärder inför ett avtal,
3. om behandlingen behövs för att fullgöra åligganden som följer av lag eller annan författning,
4. om behandlingen behövs för att skydda intressen som är av väsentlig betydelse för den enskilde,
5. om behandlingen behövs för att utföra en uppgift i det allmännas intresse eller i myndighetsutövning av den persondataansvarige eller någon till vilken uppgifterna lämnas ut, eller
6. om behandlingen behövs för att tillgodose ett allmänintresse eller ett intresse hos den persondataansvarige eller någon till vilken uppgifterna lämnas ut, under förutsättning att detta intresse får anses väga tyngre än den enskildes intresse av att uppgifter om honom inte behandlas.
Personuppgifter får inte lämnas ut, om det finns anledning anta att uppgifterna skall behandlas i strid med denna lag. I fråga om personuppgifter som behandlas av en myndighet tillämpas i stället bestämmelserna i sekretesslagen (1980:100).
Myndigheter får inte utan samtycke av den enskilde försälja personuppgifter som behandlas annat än i enlighet med lag, förordning eller särskilt beslut av regeringen.
12 § Den enskildes samtycke enligt 11 § första stycket 1 eller tredje stycket skall lämnas uttryckligen och avse viss behandling. Innan samtycke lämnas skall han ha fått del av tillgänglig information om behandlingens ändamål, vilka personuppgifter eller slag av personuppgifter det gäller, till vem uppgifterna skall lämnas ut samt namn och adress på den persondataansvarige.
Ett samtycke som har lämnats enligt första stycket kan när som helst återkallas. Återkallelsen är dock utan verkan i fråga om den behandling av personuppgifter som har ägt rum innan den persondataansvarige fick del av återkallelsen.
13 § Endast sådana personuppgifter som behövs för ett visst ändamål får behandlas.
14 § Personuppgifter skall i förhållande till det ändamål för vilket de behandlas vara riktiga, fullständiga och aktuella. De får inte vara missvisande i förhållande till det angivna ändamålet.
15 § Personnummer får behandlas endast när det klart är motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller av annat beaktansvärt skäl. Personnummer får återges på datautskrifter endast när det finns särskilda skäl.
16 § När personuppgifter samlas in från en enskild skall denne underrättas om
1. de ändamål som uppgifterna behandlas för,
2. grunden för uppgiftsskyldigheten, om uppgiftsskyldighet föreligger, eller i annat fall att uppgiftslämnandet är frivilligt,
3. följderna för honom om han underlåter att lämna uppgifter,
4. till vem uppgifterna skall lämnas ut,
5. rätten till insyn och rättelse enligt 22, 23 och 25 §§, samt
6. namn och adress på den persondataansvarige.
Bestämmelserna i första stycket gäller dock inte i den mån ett fullgörande av underrättelseskyldigheten skulle försvåra eller hindra en myndighets verksamhet för kontroll eller annan tillsyn.
17 § Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas mot oavsiktlig förstörelse eller förlust, otillåten förstörelse eller annan otillåten behandling eller mot otillåten insyn.
18 § De säkerhetsåtgärder som skall vidtas enligt 17 § skall bestämmas med hänsyn till arten av de personuppgifter som skall skyddas och de tänkbara risker som behandlingen innefattar.
19 § Personuppgifter skall gallras när de inte längre behövs för de ändamål för vilka de behandlas.
Vid gallring av personuppgifter som utgör allmän handling skall dock, vid sidan av skyddet för den enskildes personliga integritet, beaktas de intressen som anges i 3 § tredje stycket arkivlagen (1990:782).
Även personuppgifter som inte utgör allmän handling får lagras längre än som följer av första stycket, om uppgifterna kan anses ha historiskt intresse eller lagras för att användas i forskning och dessa intressen får anses väga tyngre än den enskildes intresse av att uppgifterna om honom gallras.
20 § Endast om den enskilde skriftligen lämnar sitt samtycke på sätt som anges i 12 § eller det följer av särskilda bestämmelser i denna lag eller annan författning får sådana personuppgifter behandlas som avser
1. ras, etniskt ursprung, politisk uppfattning, religiös eller filosofisk övertygelse, sjukdom, hälsotillstånd eller sexualliv,
2. uppgift om att någon misstänks eller har dömts för brott eller har avtjänat straff eller undergått annan påföljd för brott eller har varit föremål för tvångsingripande enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda eller utlänningslagen (1989:529) eller att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen, eller
3. uppgift som utgör omdöme eller annan värderande upplysning om den enskilde eller som skall läggas till grund för ett omdöme eller annan värderande upplysning om den enskilde.
21 § Utan hinder av 20 § får
1. en ideell förening av politisk, filosofisk eller religiös natur behandla sådana personuppgifter om medlemmarna som utgör grunden för medlemskapet i föreningen, under förutsättning att uppgifterna inte lämnas ut utan att den enskilde har samtyckt på sätt som anges i 12 §,
2. personuppgifter behandlas om behandlingen utförs under sådana omständigheter att det är uppenbart att inga kränkningar av personlig integritet äger rum.
22 § Om det finns anledning misstänka att en personuppgift som behandlas är oriktig, inaktuell eller missvisande, skall den persondataansvarige utan dröjsmål företa skälig utredning. En oriktig, inaktuell eller missvisande uppgift skall så snart det kan ske rättas, ändras eller utplånas.
Om en uppgift som rättas, ändras eller utplånas har lämnats ut till någon annan än den som uppgiften avser, skall den persondataansvarige underrätta mottagaren om rättelsen, ändringen eller utplånandet.
En enskild som har anmält misstanke om att en personuppgift är oriktig, inaktuell eller missvisande skall underrättas om vilken åtgärd som anmälan föranleder.
23 § Om en personuppgift som behandlas måste anses ofullständig med hänsyn till ändamålet med behandlingen eller om personuppgifter inte omfattar någon enskild som med hänsyn till ändamålet med behandlingen av uppgifterna rimligen borde ha omfattats, skall den persondataansvarige vidta den komplettering som behövs eller utplåna uppgifterna.
Om en uppgift som kompletteras eller utplånas har lämnats ut till någon annan än den som uppgiften avser, skall den persondataansvarige underrätta mottagaren om kompletteringen eller utplånandet.
En enskild som har anmält en misstanke om att en personuppgift är ofullständig skall underrättas om vilken åtgärd som anmälan föranleder.
24 § Den persondataansvarige skall utse en eller flera personer som skall bistå de enskilda vid misstanke om oriktig, ofullständig, inaktuell eller missvisande personuppgift. Uppgift om vem som har utsetts skall hållas tillgänglig för allmänheten.
Den som utan att vara persondataansvarig behandlar personuppgifter skall på begäran upplysa en enskild om vem som är persondataansvarig och vem som hos den persondataansvarige bistår enskilda vid misstanke om oriktig, ofullständig, inaktuell eller missvisande uppgift.
25 § Den persondataansvarige skall på begäran av en enskild underrätta denne antingen om innehållet i personuppgift som behandlas och innefattar upplysning om honom eller om att en sådan uppgift inte behandlas. En underrättelse om innehållet i personuppgift skall också ange varifrån uppgiften inhämtas och innehålla en allmän beskrivning av dess användning.
Första stycket gäller inte personuppgifter som enligt lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning inte får lämnas ut till den enskilde. Om med stöd av vad som nu har sagts någon underrättelse inte lämnas till den enskilde, skall på dennes begäran Datainspektionen granska att behandlingen sker i överensstämmelse med vad som gäller för sådan behandling.
Första stycket gäller inte heller om det i fråga om visst slag av personuppgifter är uppenbart att underrättelse kan underlåtas på grund av att det inte föreligger någon risk för kränkningar av personlig integritet. Underrättelse får dock underlåtas endast efter medgivande från Datainspektionen.
26 § En begäran enligt 25 § första stycket skall framställas skriftligen och vara egenhändigt undertecknad av den enskilde. Har en underrättelse lämnats, behöver ny underrättelse inte lämnas till samme enskilde förrän tolv månader därefter. I de fall myndigheten har rätt att sälja personuppgifterna skall underrättelsen innehålla upplysning om att försäljning sker med de enskildas medgivande eller om det stöd i författning eller särskilt beslut av regeringen som finns för sådan försäljning.
En underrättelse skall lämnas utan kostnad för den enskilde. Om det föreligger särskilda skäl, får dock Datainspektionen i fråga om visst slag av personuppgifter eller i fråga om underrättelse om att personuppgift om en enskild inte behandlas medge att avgift tas ut.
27 § En underrättelse enligt 25 § första stycket skall lämnas inom en månad från det att en begäran därom kom in till den persondataansvarige. Om personuppgifter har krypterats på ett sätt som godtagits av Datainspektionen behöver underrättelse dock lämnas endast vid tre över året jämnt fördelade tillfällen.
28 § Har en enskild anmält till den persondataansvarige att han inte önskar att personuppgifter som hänför sig till honom behandlas för adresserad direktreklam, får uppgifterna inte behandlas för sådant ändamål.
Föreskriften i första stycket inskränker inte myndigheternas skyldigheter att lämna ut personuppgifter enligt tryckfrihetsförordningen.
29 § När en persondataansvarig sänder en handling som innehåller personuppgifter som behandlas till den enskilde, skall upplysning samtidigt lämnas om vem som är avsändare.
Särskilda bestämmelser om behandling av känsliga personuppgifter för forsknings- eller statistikändamål
30 § Personuppgifter som avses i 20 § får behandlas för forsknings- eller statistikändamål utan den enskildes medgivande
1. om det skulle vara synnerligen kostsamt eller tidsödande att inhämta samtycke,
2. om den enskildes hälsotillstånd eller forsknings- eller statistikändamålet är sådant att en begäran om samtycke kan antas skada den enskilde, eller
3. om en kontakt med den enskilde skulle förrycka undersökningens resultat.
En ytterligare förutsättning för behandlingen är att särskilda skäl föreligger med hänsyn till forsknings- eller statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen av uppgifterna och den tid som uppgifterna skall behandlas.
Föreskriften i andra stycket inskränker inte myndigheternas skyldigheter att lämna ut personuppgifter enligt tryckfrihetsförordningen.
31 § I fall som avses i 30 § första stycket 1 - 2 får uppgifterna inte behandlas förrän information i de hänseenden som anges i 16 § första stycket 1 och 4 - 6 lämnats i tidning med ett spridningsområde som omfattar dem som berörs av forsknings- eller statistikprojektet eller på annat liknande sätt.
När insamling av personuppgifter har skett i fall som avses i 30 § första stycket 3 skall, innan fortsatt behandling får äga rum, den enskilde erhålla information i de hänseenden som anges i 16 § första stycket 1 och 4 - 6.
Av informationen enligt första och andra styckena skall också framgå att den enskilde har rätt att anmäla att han inte önskar delta i projektet. Anmäler en enskild att han inte önskar delta i projektet får de uppgifter som hänför sig till honom inte behandlas. Är uppgifterna föremål för behandling skall de utplånas.
Särskilda bestämmelser om behandling av känsliga personuppgifter för anställningsändamål
32 § Bestämmelserna i 33 - 35 §§ gäller behandling för anställningsändamål av uppgifter om sjukdom eller hälsotillstånd samt uppgifter som utgör omdöme eller annan värderande upplysning om den enskilde eller som skall läggas till grund för ett omdöme eller annan värderande upplysning om den enskilde. Med anställningsändamål avses förhållandet mellan arbetsgivare och arbetstagare eller arbetssökande.
33 § Personuppgifter som avses i 32 § får behandlas för anställningsändamål utan den enskildes medgivande
1. om uppgifterna rör lämplighet för arbetet samt behandlingen behövs i förfarande för anställning och normalt förekommer i sådant förfarande,
2. om uppgifterna rör den anställdes sjukdom eller hälsotillstånd och behandlingen behövs inom företagshälsovården eller i övrigt för sådan rehabiliteringsverksamhet som föreskrivs i lag,
3. om uppgifterna rör den anställdes arbetsinsatser och behandlingen oundgängligen och uteslutande behövs för beräkning av lön eller annan ersättning eller för kontroll, uppföljning eller utveckling av arbetsgivarens produkter eller tjänster, eller
4. om behandlingen behövs för att fullgöra åligganden som följer av lag eller annan författning.
34 § Innan arbetsgivaren samlar in personuppgifter med stöd av 33 § 1 - 3 skall den som personuppgifterna avser underrättas om åtgärden. Hans facklige företrädare skall också underrättas innan insamling sker med stöd av 33 § 2 och 3.
35 § Personuppgifter som rör arbetssökande och behandlas med stöd av 33 § 1 skall gallras när ansökan om anställning har avslagits. Kan den arbetssökande komma i fråga för annan anställning hos arbetsgivaren får gallring ske vid senare tidpunkt, om den arbetssökande lämnar sitt samtycke på sätt som anges i 12 §.
Vid gallring av personuppgifter som utgör allmän handling gäller vad som sägs i 19 § andra stycket.
36 § Regeringen eller, efter regeringens bemyndigande, Datainspektionen får i fråga om sådan behandling av personuppgifter som avses i 20 § och som ofta förekommer inom ett visst område för ett visst ändamål, meddela närmare föreskrifter om tillämpningen av 9 - 16 samt 30 - 35 §§. Närmare föreskrifter om tillämpningen av bestämmelserna om säkerhet i 17 och 18 §§ får meddelas i fråga om sådan behandling av personuppgifter som avses i 20 §.
37 § Innan personuppgifter får behandlas för ett visst ändamål skall en skriftlig anmälan ha kommit in till Datainspektionen, om behandlingen avser sådana uppgifter som nämns i 20 §.
En anmälan behöver dock inte göras av
1. föreningar som behandlar personuppgifter med stöd av 21 § 1,
2. myndigheter inom hälso- och sjukvården som för vård- eller behandlingsändamål behandlar uppgifter om någons sjukdom eller hälsotillstånd i övrigt,
3. myndigheter inom socialtjänsten som behandlar uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten,
4. läkare eller tandläkare som behandlar sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet,
5. arbetsgivare som behandlar sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han skall påbörja en rehabiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän försäkring.
38 § En anmälan till Datainspektionen skall innehålla uppgift om
1. den persondataansvariges namn, postadress och telefonnummer,
2. ändamålet med behandlingen av personuppgifterna,
3. det stöd i lag eller annan författning som finns för behandlingen av personuppgifterna,
4. vilken typ av personuppgifter som skall behandlas,
5. vilka personuppgifter som skall lämnas ut och till vem,
6. vilka säkerhetsåtgärder som skall vidtas, samt
7. när gallring skall ske.
Om en ändring sker av de förhållanden som har redovisats i en anmälan enligt första stycket, skall Datainspektionen skriftligen underrättas om förordningen.
39 § Datainspektionen utövar tillsyn över efterlevnaden av denna lag, föreskrifter meddelade med stöd av 36 § i lagen eller annat beslut av riksdagen eller regeringen om behandling av personuppgifter.
40 § Om personuppgifter behandlas eller det framgår av en anmälan att personuppgifter avses bli behandlade i strid med vad som gäller för behandlingen, får Datainspektionen för att åstadkomma rättelse meddela villkor för denna.
I fråga om behandling av andra personuppgifter än som avses i 20 § och som utgör allmän handling får dock inspektionen meddela villkor om gallring endast om synnerliga skäl föreligger.
Villkor som rör utlämnande av personuppgift får inte inskränka en myndighets skyldigheter enligt tryckfrihetsförordningen.
41 § Kan rättelse inte åstadkommas på annat sätt, får Datainspektionen vid vite förbjuda den persondataansvarige att i fortsättningen behandla personuppgifterna.
Om det är sannolikt att en enskild tillfogas betydande skada vid en fortsatt behandling, får Datainspektionen vid vite förbjuda annan behandling än lagring att gälla för tiden intill dess frågan om fortsatt behandling slutligt har avgjorts eller annat har förordnats. Innan ett sådant beslut meddelas skall den persondataansvarige ha fått tillfälle att yttra sig, om det inte är fara i dröjsmål.
Bestämmelserna i första och andra styckena gäller inte sådan behandling av personuppgifter som riksdagen eller regeringen har beslutat om.
42 § Datainspektionen skall utöva tillsynen så att den inte vållar större kostnad eller olägenhet än som är nödvändig.
43 § Datainspektionen har rätt att för tillsynen få tillträde till lokal där automatisk databehandling utförs eller där datamaskin eller utrustning eller upptagning för automatisk databehandling förvaras. Inspektionen har vidare rätt att få tillgång till handling som rör automatisk databehandling samt föranstalta om uttag, sökningar eller sammanställningar genom automatisk databehandling.
44 § Den persondataansvarige skall lämna Datainspektionen de uppgifter om den automatiska databehandlingen som inspektionen begär för sin tillsyn. En sådan uppgiftsskyldighet har även den som för den persondataansvariges räkning behandlar personuppgifter.
45 § Om det finns anledning anta att personuppgifter skall behandlas i utlandet, får uppgifterna lämnas ut endast efter medgivande av Datainspektionen. Sådant medgivande får lämnas endast om det kan antas att i motsvarande fall personuppgifterna hade fått behandlas här i landet. Något medgivande behövs dock inte, om personuppgifter skall behandlas enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter eller i en stat som har ett motsvarande skydd. Regeringen får föreskriva vilka stater som skall anses ha ett skydd motsvarande det som anges i konventionen.
I det allmännas verksamhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100).
46 § En persondataansvarig eller annan som deltagit vid behandling av personuppgifter får inte obehörigen röja vad han till följd därav fått veta om en enskilds personliga förhållanden. I det allmännas verksamhet tillämpas i stället för vad som nu har sagts bestämmelserna i sekretesslagen (1980:100).
47 § Till böter eller fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
1. bryter mot bestämmelserna i 9, 11, 13 - 20 eller 30 - 35 §§ om behandling av personuppgifter,
2. lämnar ut personuppgift i strid mot 45 §,
3. lämnar osann uppgift vid fullgörande av skyldighet att lämna underrättelse enligt 25 §,
4. lämnar osann uppgift i fall som avses i 44 §,
5. bryter mot bestämmelser som regeringen eller Datainspektionen med stöd av 36 § i denna lag har meddelat om tillämpningen av 9, 11, 13 - 20 och 30 - 35 §§,
6. bryter mot villkor eller förbud som meddelats enligt 40 eller 41 §, eller
7. underlåter att göra anmälan enligt 37 § när sådan skyldighet föreligger.
Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot 29 §.
Den som har överträtt ett vitesförbud enligt 41 § får inte dömas till straff för sådan behandling av personuppgifter som omfattas av förbudet.
48 § Om personuppgifter har behandlats innan en anmälan enligt denna lag har kommit in till Datainspektionen, när anmälningsskyldighet föreligger, skall personuppgifterna förklaras förverkade, om det inte är uppenbart obilligt.
49 § Om en enskild tillfogas skada genom att personuppgift som behandlas är oriktig, ofullständig, inaktuell eller missvisande, skall den persondataansvarige ersätta skadan.
Om någon tillfogas skada genom brott som avses i 47 § första stycket, skall den som har gjort sig skyldig till brottet ersätta skadan.
Vid bedömandet om och i vad mån skada enligt första eller andra stycket har uppstått skall hänsyn även tas till lidande och andra omständigheter av annan än rent ekonomisk betydelse.
50 § Om en persondataansvarig eller den som för den persondataansvariges räkning behandlar personuppgifter underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 43 § eller att lämna uppgift enligt 44 §, får Datainspektionen förelägga vite. Detsamma gäller om en persondataansvarig inte fullgör vad som åligger honom enligt 22 eller 23 §, 24 § första stycket, 25, 26 eller 27 §.
51 § Datainspektionens beslut som avser annan persondataansvarig än Högsta domstolen, Regeringsrätten och en kammarrätt får överklagas hos kammarrätten. Beslut som avser Högsta domstolen eller Regeringsrätten överprövas av domstolen själv. Avser Datainspektionens beslut en kammarrätt, får beslutet överklagas hos Regeringsrätten. Justitiekanslern får överklaga inspektionens beslut för att tillvarata allmänna intressen.
Datainspektionens beslut om föreskrifter som avses i 8 kap. regeringsformen och som har meddelats med stöd av bemyndigande i 36 § får inte överklagas.
Om en myndighet som är persondataansvarig avslår en begäran om underrättelse enligt 25 §, överklagas beslutet på samma sätt som gäller ett beslut av myndigheten att avslå en begäran om utlämnande av allmän handling. Med myndighet jämställs därvid ett annat organ i den utsträckning som anges i 1 kap 8 § sekretesslagen (1980:100).
1. Denna lag träder i kraft den 1 januari 1995 då datalagen (1973:289) upphör att gälla.
2. Beslut om tillstånd att inrätta och föra personregister skall dock anses som en anmälan enligt den nya lagen, om enligt den nya lagen anmälningsskyldighet föreligger för sådan behandling av personuppgifter som avses med beslutet. Ändamål som har bestämts i beslutet får fram till den 31 december 1998 anses som ändamål enligt 9 § i den nya lagen.
3. Har ansökan om tillstånd att inrätta och föra personregister
gjorts, men inte slutligt prövats före ikraftträdandet, skall
ansökningen anses som en anmälan enligt den nya lagen.
