JK 1903-13-80
Justitiekanslerns remissyttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)
Justitiekanslern har anmodats att yttra sig i ärendet.
Genomgången av de förslag som läggs fram i promemorian och de överväganden som görs har skett med utgångspunkt i de intressen som Justitiekanslern främst har att beakta, här i första hand integritetssynpunkter.
Den centrala utgångspunkten för utredningens arbete har varit att skapa en reglering som främjar en effektiv och rättssäker verksamhet inom rättsväsendet och samtidigt ger ett starkt skydd för den personliga integriteten. Mot detta finns inget att invända. Däremot konstateras att promemorians förslag inte alltigenom grundas på en fördjupad behovs- och konsekvensanalys.
Justitiekanslern vill särskilt framhålla ett par synpunkter i följande frågor.
Tillgången till personuppgifter (avsnitt 11.2)
Förslaget till 8 § domstolsdatalagen innehåller en tvingande regel om att tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Syftet med den föreslagna regeln, att begränsa tillgången till uppgifter som behandlas automatiserat efter den enskilde anställdes faktiska behov, är vällovligt.
Frågan är dock om det är praktiskt genomförbart att genom tekniska lösningar begränsa åtkomsten till personuppgifter så som avses enligt bestämmelsen. Utredningen anför också på s. 90 att frågan om en viss åtgärd får vidtas eller inte i många fall ”måste bedömas av användaren i det enskilda fallet”. En ordning som innebär att bedömningen av om en åtgärd ska anses vara tillåten eller förbjuden i praktiken överlämnas till den enskilde användaren stämmer dåligt med bestämmelsens utformning och kan medföra risk för missbruk (jfr. diskussionen om sjukhusjournaler).
Sökning (avsnitt 13.2)
Utredningens förslag om sökning med hjälp av integritetskänsliga sökbegrepp (känsliga personuppgifter) i 14 och 15 §§domstolsdatalagen innebär långtgående utvidgningar i förhållande till nu gällande sökbegränsningar i domstolarnas databaser.
Domstolarna har ett behov av att effektivt kunna ta fram relevant information. Det kan dock ifrågasättas om det inte finns – eller skulle kunna finnas – alternativa sätt att tillgodose domstolarnas behov som skulle innebära mer begränsade risker i integritetshänseende. Utredningen konstaterar att det saknas sådana möjligheter (se s. 107 ff) utan att närmare ange varför det inte skulle vara möjligt att ta fram alternativa lösningar, såsom exempelvis att utveckla och anpassa Domstolsverkets webbsida Vägledande avgöranden för att tillgodose domstolarnas behov.
För att säkerställa att de integritetskänsliga sökbegreppen används restriktivt föreslås en särskild begränsning, utöver de allmänna begränsningarna för personuppgiftsbehandling enligt den föreslagna domstolsdatalagen, som innebär att sökning får ske ”endast om det är absolut nödvändigt för handläggning av mål och ärenden”. Det överlämnas därmed till den anställde att i varje enskilt fall göra en prövning av om sökningen är motiverad utifrån verksamhetsbehoven. Utredningen anför på s. 110 att det är ”domaren i det enskilda fallet som får avgöra om en sökning får ske”. Uttalandet får uppfattas som att avsikten är att användningen av de integritetskänsliga sökbegreppen ska förbehållas personalkategorin domare. De föreslagna bestämmelsernas ordalydelse ger emellertid inte stöd för en sådan tolkning. Det framstår istället som om den aktuella sökmöjligheten ska vara tillgänglig för alla anställda inom samtliga personalkategorier vid en domstol (fiskaler, beredningsjurister, föredragande, notarier, domstolssekreterare m.fl.), förutsatt att sökningen är ”absolut nödvändigt för handläggning av mål och ärenden”, låt vara att regeringen enligt 17 § föreslås få möjlighet att meddela föreskrifter om begränsning av möjligheterna att söka. Härtill kommer att om även utredningens förslag om direktåtkomst genomförs kommer sökning med hjälp av integritetskänsliga sökbegrepp att bli möjlig domstolar emellan (jfr 20 § domstolsdatalagen och s. 131 f). Detta skulle medföra att en vid och förhållandevis okontrollerad krets av anställda kommer att få tillgång till känsliga personuppgifter.
De föreslagna bestämmelserna i 14 och 15 §§ ställer höga krav på de anställdas omdöme och erfarenhet. De kommer, om förslaget genomförs, troligen också att ge upphov till inte obetydliga bedömnings-, avvägnings- och praktiska tillämpningssvårigheter, inte minst på grund av den sökmöjlighet som föreslås införas domstolar emellan genom den föreslagna regeln om direktåtkomst. Utredningen innehåller inte heller någon närmare analys av hur omfattande den föreslagna sökbehörigheten ska vara, hur användarnas aktiviteter ska följas upp eller vilka kontrollåtgärder som är tänkta att vidtas för att säkerställa att enskildas integritetsintressen skyddas.
För att förtydliga att regeringen kan meddela föreskrifter om behörighets- och säkerhetsfrågor som begränsar sökmöjligheterna bör detta, i likhet med den föreslagna bestämmelsen i 21 § domstolsdatalagen, uttryckligen anges i 17 § domstolsdatalagen.
Utlämnande på medium för automatiserad behandling, 19 § (avsnitt 14.2)
I den föreslagna 19 § domstolsdatalagen ges möjlighet att i förordnings- eller föreskriftsform utvidga det utlämnande av personuppgifter på medium för automatiserad behandling som följer av 18 §. Det bör närmare analyseras och utredas om inte en sådan utvidgning i stället bör ske genom lag (jfr 2 kap. 6 § andra stycket och 20 § första stycket 2regeringsformen).
Direktåtkomst (avsnitt 14.3)
Ett elektroniskt informationsflöde domstolar emellan respektive mellan domstolar och parter enligt utredningens förslag i 20 § domstolsdatalagen om direktåtkomst till domstolarnas registeruppgifter innebär att mottagarna kommer att kunna ta del av, söka och sammanställa känsliga personuppgifter i elektronisk form. Detta kommer bl.a. att leda till att åtkomna uppgifter sprids snabbare till en vid krets av mottagare. En snabb informationsåtkomst är också ett centralt syfte med förslaget.
Direktåtkomst innebär emellertid också, som utredningen konstaterar, att den som är personuppgiftsansvarig för registret eller databasen – i detta fall respektive domstol – förlorar kontrollen över vilka uppgifter mottagaren vid ett visst söktillfälle tar del av. Domstolens ansvar för uppgifterna riskerar därmed att bli otydligare och bedömningar gällande tillåtligheten att behandla uppgifterna kan bli svårare att genomföra. Om flera system använder samma personuppgifter är det viktigt att det finns ett tydligt ansvar för att uppgifterna är riktiga och att personuppgifterna behandlas på ett korrekt sätt i alla led. Utredningen innehåller inte någon analys eller några konkreta åtgärdsförslag i dessa hänseenden.
När uppgifter lämnas ut genom direktåtkomst kan det av tekniska skäl inte göras en sekretessprövning av uppgifter i ett enskilt mål innan dessa lämnas ut. Som utredningen också konstaterar, finns sedan flera år en bestämmelse i offentlighets- och sekretesslagen som innebär att sekretess som gäller hos en myndighet kan överföras till en annan myndighet som har direktåtkomst (se 11 kap. 4 § OSL). Någon motsvarande bestämmelse rörande direktåtkomst för enskilda finns inte och kan inte heller finnas.
En förutsättning för direktåtkomst för enskilda bör därför vara att åtkomsten endast avser uppgifter för vilka det inte gäller sekretess i förhållande till mottagaren. I utredningen redovisas emellertid inte några överväganden om hur domstolarna ska hantera sekretesskyddade personuppgifter i förhållande till parter och deras ombud som föreslås få direktåtkomst till uppgifter i de egna målen. Inte heller analyseras förslaget ur ett sekretessperspektiv.
I avsaknad av närmare analys av de här skisserade frågeställningarna kan Justitiekanslern inte tillstyrka förslagen i dessa delar.