5 kap. Tillsyn

Tillsynsmyndigheten ska verka både för att fysiska personers grundläggande rättigheter och friheter skyddas i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom denna lags tillämpningsområde.

Tillsynsmyndigheten ska 1. utöva allmän tillsyn över personuppgiftsbehandling, 2. handlägga klagomål från registrerade, 3. utföra kontroll enligt 3 §, och 4. på begäran bistå en tillsynsmyndighet i en annan medlemsstat. Tillsynen ska inte omfatta behandling av personuppgifter inom ramen för domstolarnas dömande verksamhet.

Tillsynsmyndigheten ska på begäran kontrollera om uppgifter om en fysisk person behandlas författningsenligt. Den som begär en sådan kontroll ska visa att han eller hon har begärt information enligt 4 kap. 3 § eller en åtgärd enligt 4 kap. 9 eller 10 §. Myndigheten får vägra att utföra kontrollen om begäran är orimlig eller uppenbart ogrundad.

Tillsynsmyndigheten ska vid förhandssamråd enligt 3 kap. 7 § och när det i övrigt är påkallat ge råd och stöd till personuppgiftsansvariga och personuppgiftsbiträden om deras skyldigheter enligt lag eller annan författning.

Tillsynsmyndigheten har rätt att av personuppgiftsansvariga och personuppgiftsbiträden på begäran få 1. tillgång till alla personuppgifter som behandlas, 2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder, 3. tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar samt tillgång till utrustning och andra medel för behandling av personuppgifter, och 4. den hjälp och den information som behövs för tillsynen.

Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken. Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning eller att den personuppgiftsansvarige eller personuppgiftsbiträdet på något annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten 1. genom sådana åtgärder som anges i 6 § första stycket försöka förmå den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig, eller att uppfylla andra skyldigheter, 2. förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, 3. förbjuda fortsatt behandling om bristen är allvarlig, eller 4. besluta om en sanktionsavgift enligt 6 kap. Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Tillsynsmyndighetens beslut får inte verkställas omedelbart.

Tillsynsmyndigheten får vägra en begäran om bistånd från en tillsynsmyndighet i en annan medlemsstat endast om det skulle strida mot en lag eller en förordning att tillmötesgå den.

När tillsynsmyndigheten på begäran bistår en tillsynsmyndighet i en annan medlemsstat har den de befogenheter som anges i 5-7 §§.

Tillsynsmyndigheten får, om det är förenligt med svenska intressen, lämna ut en uppgift till en tillsynsmyndighet i en annan medlemsstat, även om uppgiften är sekretessbelagd enligt offentlighets- och sekretesslagen (2009:400).

Information som tillsynsmyndigheten efter begäran har fått från en tillsynsmyndighet i en annan medlemsstat får inte användas för något annat ändamål än det för vilket informationen begärdes.

Om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har tagit ställning till om tillsyn ska inledas med anledning av klagomålet, ska myndigheten efter skriftlig begäran av den registrerade lämna besked i frågan. Om tillsynsmyndigheten inte kan lämna besked i frågan ska den i ett särskilt beslut avslå begäran. Tillsynsmyndigheten ska lämna ett besked eller meddela ett beslut inom två veckor från den dag då begäran kom in till myndigheten. Om så inte har skett ska begäran anses ha avslagits. Om tillsynsmyndigheten har avslagit en begäran får den registrerade lämna in en ny begäran tidigast tre månader därefter. Lag (2025:257) .