Enligt riksdagens beslut1) föreskrivs att 27 och 42 §§ personuppgiftslagen (1998:204) ska ha följande lydelse.
- 1)
Prop. 2008/09:150, bet. 2008/09:KU24, rskr. 2008/09:237.
27 §
I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter till den registrerade.
42 §
Den personuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en anmälan enligt 36 § första stycket skulle ha omfattat. Den personuppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i offentlighets- och sekretesslagen (2009:400) vägra att lämna ut uppgifter.