Dir. 1989:26

Översyn av datalagen (1973:289)

Dir. 1989:26

Beslut vid regeringssammanträde 1989-05-25.

Chefen för justitiedepartementet, statsrådet Freivalds, anför.

Mitt förslag

En särskild utredare tillkallas för att göra en översyn av datalagen (1973:289, omtryckt 1982:446) från såväl saklig som lagteknisk synpunkt. Med tanke på de frågor som en sådan översyn kan väntas omfatta anser jag att parlamentarisk medverkan också behövs men att denna bör komma i ett senare skede. Den särskilde utredaren bör identifiera vilka reformbehov som finns och ange hur dessa kan tänkas bli tillgodosedda. Detta inledande arbete bör kunna resultera i ett underlag för närmare riktlinjer från regeringens sida för det fortsatta arbetet under parlamentarisk medverkan.

Den särskilde utredaren bör ha stor frihet att bedöma vilka frågor som behöver övervägas inom ramen för översynen av datalagen. Syftet med översynen bör vara att med bibehållet gott skydd mot otillbörliga intrång i den personliga integriteten skapa enkla och lättfattliga regler. Dessa bör om möjligt utformas så att de inte anknyter till någon viss datorteknik utan kan tillämpas också på förväntade användningar av datorstödda informationssystem.

Datalagens grundbegrepp, t.ex. personregister, registeransvarig och automatisk databehandling behöver övervägas och kanske förtydligas och moderniseras.

En viktig fråga bör vara att överväga om den partiella övergången från ett system med tillståndskrav till ett licenssystem som skedde år 1982 bör fullföljas för att i stället genom tillsynsåtgärder effektivisera integritetsskyddet. I det sammanhanget bör undersökas möjligheten att mera gå över till generella regler för olika typer av personregister. Ett annat spörsmål som bör övervägas är i vilken utsträckning det finns möjlighet att bygga på självreglering inom olika verksamhetsområden där datorstödda informationssystem används. Sanktionssystemet behöver också ses över liksom förhållandet till angränsande lagstiftning på integritetsområdet. Bl.a. datoranvändning på forsknings- och statistikområdet samt inom massmedieområdet kan ge upphov till särskilda överväganden.

Internationella förhållanden bör uppmärksammas.

Bakgrund

Datalagen tillkom år 1973 som den första lag av denna typ som hade nationell räckvidd. Vid tillkomsten förutsattes att lagen skulle ses över inom en snar framtid. År 1976 tillsattes datalagstiftningskommittén (DALK) med ett sådant uppdrag. Kommittén avslutade emellertid sitt arbete år 1984 utan att detta slutförts. Kommittén hade dock tidigare lagt fram förslag som delvis genomförts. Särskilt kan nämnas att riksdagen år 1982 beslutade ändringar i datalagen av innebörd att det tidigare generella kravet på tillstånd av datainspektionen för att inrätta och föra personregister ersattes med ett anmälningssystem med licenser och med bibehållet tillståndskrav endast för särskilt integritetskänsliga register.

Lagen har i sin nuvarande utformning lagtekniska brister och framstår som ett provisorium med delvis ganska svåröverskådligt innehåll. Samtidigt ställer den ökande användningen av datorer inom olika sektorer av samhället starkare krav än förut på enkla och lättöverskådliga regler.

En översyn av lagen har emellertid fått anstå eftersom en kommitté med uppgifter på angränsande områden men också inom datalagens ram tillsattes år 1984. Kommittén, som antog namnet data- och offentlighetskommittén (DOK), har nyligen avslutat sitt arbete genom att avge sitt femte betänkande (SOU 1988:64) Integritetsskyddet i informationssamhället 5, Offentlighetsprincipens tillämpning på upptagningar för automatisk databehandling. Detta remissbehandlas för närvarande.

Datainspektionen har i en framställning till regeringen begärt att datalagen ses över såväl formellt som materiellt. Framställningen har remissbehandlats tillsammans med synpunkter på en översyn av datalagen som datainspektionen framfört till regeringen.

Utredningsbehovet

Den lagtekniska översyn av datalagen som behövs, eftersom DALK:s arbete aldrig avslutades, bör nu komma till stånd. Även lagens materiella innehåll bör naturligtvis tas upp vid en sådan översyn. Inte minst den tekniska utvecklingen, som lett till en alltmer omfattande användning av datorer inom så gott som alla samhällssektorer, gör att man måste ställa frågan om den reglering som lagen innehåller svarar mot dagens och morgondagens behov.

Jag föreslår därför att det görs en sådan översyn som jag har skisserat. Med tanke på de frågor som en sådan utredning kan väntas omfatta anser jag att parlamentarisk medverkan krävs för de överväganden som behövs men att denna bör komma i ett senare skede. I det första skedet bör därför en särskild utredare få i uppdrag att mot bakgrund av de erfarenheter som nu finns inom dataområdet söka beskriva den förväntade utvecklingen och därvid identifiera vilka problem som är förenade med nuvarande lagstiftning och vilka reformbehov som finns. Han bör vidare ange hur problemen kan lösas och hur behoven kan tänkas bli tillgodosedda.

Ett sådant inledande arbete bör ge underlag för det fortsatta arbetet under parlamentarisk medverkan. Den särskilde utredaren bör därför anmäla till regeringen när arbetet har kommit så långt och i samband med det presentera resultatet av denna del av utredningsarbetet. Regeringen bör därefter ange inriktningen på den fortsatta översynen.

Den särskilde utredaren bör ha stor frihet att ta upp de frågor som behöver övervägas inom ramen för den översyn av datalagen som alltså bör ske. Jag skall emellertid ange några utgångspunkter för arbetet och ge exempel på frågor som kan kräva överväganden. Andra exempel finns i remissyttrandena över datainspektionens framställning om en datalagsutredning, vilka bör överlämnas till utredaren.

Den lagtekniska översynen bör syfta till att skapa enkla och lättbegripliga regler. Regelsystemet bör anpassas till den tekniska utveckling som hittills har skett och den som kan överblickas i framtiden men bör om möjligt utformas så att det inte anknyter till någon viss datorteknik. Syftet bör även i fortsättningen vara att lagen skall förebygga otillbörligt intrång i enskildas personliga integritet i samband med användningen av datorstödda informationssystem. Lagstiftningen får emellertid inte medföra större ingrepp i offentlig eller enskild verksamhet än som är motiverat med hänsyn till detta intresse. Både de risker som lagen skall motverka och de administrativa konsekvenserna för myndigheter, företag och andra som kan bli följden av en ny reglering måste därför belysas.

Datalagens grundbegrepp behöver övervägas. Jag tänker bl.a. på begreppet registeransvarig, som t.ex. i stora system med många användare vållar problem. En möjlighet som kan diskuteras är att ge utrymme för att bestämma vilken av flera användare av ett informationssystem som skall vara ensam registeransvarig trots att andra användare har tillgång till systemet och förfogar över detta helt eller delvis.

Man kan också ställa frågan om begreppet personregister behöver moderniseras och om det bör göras en närmare definition av begreppet automatisk databehandling (ADB). Bl.a. kan det behöva undersökas om modern databasteknik föranleder svårigheter vid tillämpning av registerbegreppet, t.ex. vid användningen av elektroniska postsystem.

Uttrycket personlig integritet som föremål för det skydd som datalagen skall ge har flera gånger behandlats i syfte att det skall preciseras vad som menas med det (se bl.a. prop. 1987/88:57 om grundlagsfäst integritetsskydd). Enligt min mening visar de försök att ange innebörden i begreppet som har gjorts att detta är en svår arbetsuppgift, men utredaren bör på nytt ta upp denna definitionsfråga. På motsvarande sätt bör utredaren med utgångspunkt i hittillsvarande erfarenheter undersöka om det går att närmare beskriva vad som skall anses vara otillbörligt intrång i den personliga integriteten. I varje fall synes det vara lämpligt att begreppen alltjämt bildar grundvalen för regleringen.

I detta sammanhang kan jag nämna att en viktig regel i datalagen är den som avser det ändamål för vilket personregister förs (5 §). Denna regel kan ge anledning till överväganden om det behövs förtydliganden eller kompletteringar för att ge den en mera konkret betydelse.

En fråga med anknytning till ändamålsbestämningen är den vid vilken tidpunkt uppgifter i personregister skall gallras. Integritetsskäl talar oftast för att uppgifter gallras när de inte längre behövs för sitt ursprungliga syfte. De intressen som bär upp offentlighetsprincipen gör å andra sidan att uppgifter i allmänna handlingar bör bevaras under relativt lång tid. Arkiveringshänsyn medför också ett intresse av att uppgifter bevaras, t.ex. för forskning. Den intresseavvägning som bör göras mellan skälen för bevarande och motivet att personuppgifter gallras när det ändamål för vilket de insamlats är uppfyllt, får ökad aktualitet i och med att allt större mängder information lagras på ADB-medium. I regeringskansliet bereds för närvarande dessa frågor med anledning av de förslag som lagts fram i betänkandena (SOU 1987:8) Arkiv för individ och miljö och (SOU 1988:11) Öppenhet och minne, Arkivens roll i samhället. Utredaren bör hålla sig underrättad om detta arbete och anpassa sina förslag till resultatet av det pågående arbetet.

Ett centralt inslag i datalagens regelsystem är principen om rätt till insyn i personregister för de registrerade (10 §). Denna princip bör alltjämt gälla, men det kan finnas anledning att överväga dess närmare reglering i lagen. Rätten till insyn förutsätter för att den skall kunna utnyttjas på rätt sätt att det är möjligt för den enskilde att skaffa sig kunskap om existerande personregister. Det kan finnas skäl att överväga vilka förbättringar det går att åstadkomma på detta område utan alltför betungande krav på de registeransvariga.

Utredaren bör också överväga om det behövs särskilda regler för de personregister som arbetsgivare för och som innehåller uppgifter om arbetstagare. Utredaren bör i denna del beakta vad som redovisas i rapporten (Ds 1989:24) Datatekniken och den personliga integriteten i arbetet -- en kartläggning, vilken har utarbetats av en arbetsgrupp inom arbetsmarknadsdepartementet.

En annan viktig grundpelare i lagen är skyldigheten för registeransvariga att rätta oriktiga personuppgifter. Lagstiftningen har i denna del skärpts ganska nyligen som ett resultat av DOK:s arbete (prop. 1986/87:116, KU 5, rskr. 10, SFS 1987:990). Utredaren bör belysa effekterna av denna lagändring. I samband därmed kan frågan om ytterligare skärpningar av den registeransvariges skyldighet att rätta felaktiga uppgifter bli aktuell.

Under DALK:s arbete behandlades frågan om datalagen bör ersättas med en lag som gäller personregistrering generellt och inte bara avser användning av ADB-teknik. För min del drar jag den slutsatsen av den spridning av datorteknik som skett och som kan förväntas fortsätta att det inom överskådlig tid är användningen av datorteknik som skapar behov av en integritetsskyddslagstiftning av datalagens typ. Jag anser därför att frågan om en generell personregisterlag bör övervägas på nytt endast om det framkommer särskilda skäl för det. Uppgifter som finns dokumenterade i annan form än på datormedium men som ansluter till ett datorlagrat material bör emellertid omfattas av lagstiftningen även fortsättningsvis. Utredaren har därför anledning att söka klarlägga vilken gräns som bör dras mellan sådant material som inte lagras på datormedium men som skall omfattas av datalagens regler och annan information.

Från olika håll har förts fram tanken att datalagen skall kompletteras med ett skydd för juridiska personer vilket skulle motsvara det som i dag finns för enskilda individer. För egen del är jag av den uppfattningen att ett integritetsskydd bör gälla enbart fysiska personer. Jag vill här hänvisa till att riksdagen helt nyligen har avslagit motionsyrkanden om en utredning om behovet av integritetsskyddsåtgärder för företagen (1988/89:KU28 s. 8 f., prot. 105). Jag vill också erinra om de uttalanden i denna riktning som gjordes i samband med att det i regeringsformen efter förslag av DOK infördes en grundlagsregel om integritetsskydd (prop. 1987/88:57 s. 10, KU 19 s. 2 f., rskr. 117). Jag anser därför att utredaren inte bör ta upp denna fråga.

En viktig uppgift för utredaren bör vara att överväga om den partiella övergång från ett system med generellt tillståndskrav till ett licenssystem som skedde år 1982 bör fullföljas för att effektivisera integritetsskyddet vid en alltmer ökande ADB-användning i samhället. I det sammanhanget bör uppmärksammas möjligheten att mera gå över till generella regler för olika typer av personregister i enlighet med ett förslag som datainspektionen nyligen lagt fram. I avvaktan på datalagsöversynen föreslår datainspektionen att vissa ändringar genomförs i datalagen redan nu som gör det möjligt för inspektionen att i vissa fall efterge kravet på tillstånd och i stället meddela generella föreskrifter. Ett genomförande av dessa ändringar skulle emellertid föregripa resultatet av denna utredning. Det är därför enligt min mening inte lämpligt att nu lägga fram några förslag till ändringar i datalagen av materiell natur.

Ett annat spörsmål är i vilken utsträckning man kan bygga på självreglering inom olika verksamhetsområden där datorteknik används. Att helt gå ifrån krav på att datainspektionen skall ta ställning till frågan om vissa personregister med särskilt känsligt innehåll skall få inrättas och föras kan synas alltför långtgående. Utredaren bör emellertid överväga frågan förutsättningslöst.

Ett syfte med att minska omfattningen av datainspektionens tillståndsgivning skulle vara att ge ökat utrymme för tillsyn från inspektionens sida över de personregister som finns. Det kan också finnas anledning att studera nya metoder för en effektiv tillsyn, t.ex. medverkan från andra organ.

En omläggning av datainspektionens verksamhet mot ökad tillsyn kan ge anledning till en översyn av inspektionens organisation. Även med delvis ändrade förutsättningar bör inspektionen kunna ha ungefär den storlek den har nu. I det sammanhanget bör övervägas om det finns anledning att ge inspektionen en mer utpräglad karaktär av dataombudsmannainstitution än för närvarande.

Till följd av 1982 års ändringar har det uppstått vissa brister i sanktionssystemets effektivitet genom att datainspektionen inte annat än med stöd av 18 § datalagen kan meddela straffsanktionerade föreskrifter i fråga om de personregister för vilka tillstånd inte längre krävs. Detta är sannolikt inte tillfredsställande utan bör rättas till. En övergång till en ordning där tillståndsgivningen minskar eller upphör till förmån för ökad tillsynsverksamhet hos datainspektionen stryker ytterligare under betydelsen av frågan om hur sanktionssystemet skall bli effektivare. Också andra sanktioner än straff och skadestånd kan tänkas behövas, särskilt om den sanktion som ligger i att ett meddelat tillstånd återkallas minskar i betydelse vid en begränsad tillståndsgivning.

När man överväger frågan om tillståndssystemets omfattning finns det anledning att se på datainspektionens roll när det gäller s.k. statsmaktsregister. Därmed avses sådana register som inrättas med stöd av beslut av riksdagen eller regeringen och som nu är undantagna från tillståndsplikt men där inspektionen skall avge yttrande (2 a §). Utredaren bör undersöka hur den ordning som gäller i dag har fungerat och se om den behöver förbättras.

I detta sammanhang bör uppmärksammas datalagens förhållande till s.k. registerlagar och motsvarande författningar på regeringsnivå som reglerar särskilda personregister, t.ex. det centrala skatteregistret och det statliga person- och adressregistret (jfr DOK:s förslag i denna del i SOU 1987:31).

Vidare finns skäl att ta upp frågan om datalagen bör samordnas med annan lagstiftning på integritetsskyddets område, särskilt sådan som reglerar områden där datorteknik används och personregistrering sker. Ett exempel på ett sådant område är lagstiftningen om TV-övervakning, vilken för närvarande ses över efter ett förslag som utredningen om TV-övervakning m.m. lagt fram i betänkandet (SOU 1987:74) Optisk-elektronisk övervakning.

Den situation som uppkommer när en registeransvarig förlorar förfoganderätten över sina personregister på grund av en myndighets beslut, t.ex. genom tvångsmedelsanvändning, behöver klarläggas. Detta torde komma att falla inom ramen för den översyn rörande bl.a. datorteknikens konsekvenser inom det straffprocessuella området (se prop. 1988/89:124 s. 23 f., jfr prop. 1987/88:65 s. 59) som just nu planeras inom regeringskansliet.

Den nu nämnda översynen avses omfatta också det straffrättsliga området. I det sammanhanget blir det aktuellt att se över de straffbestämmelser som kan ha samband med användning av datorteknik. Då är ansvarsregeln om dataintrång i 21 § datalagen av intresse.

Utredaren bör hålla sig informerad om detta arbete.

I fråga om särskilda sektorer där datorteknik utnyttjas kan det finnas anledning att överväga behovet av speciella regler i datalagen.

Ett exempel på ett sådant område som har diskuterats i detta hänseende under ganska lång tid är forskningsområdet (se bl.a. direktiven till den forskningsetiska utredningen U 1988:03). Utredaren bör följa detta arbete och beakta de ändringar i datalagstiftningen som kan bli följden av den forskningsetiska utredningens arbete. Om det bedöms lämpligt med särskilda regler för forskningsregistren bör utredaren lämna förslag till sådana. En fråga av intresse i samband med detta är möjligheten att använda sig av krypterade forskningsregister och ha nyckelfilen deponerad hos någon annan än den registeransvarige i de fall det inte går att bygga registren på s.k. informerat samtycke eller arbeta med avidentifierade uppgifter. En sådan ordning skulle få konsekvenser bl.a. för den registeransvariges skyldigheter enligt 10 § datalagen. Liknande frågor uppkommer på statistikområdet.

Ett annat område som har kommit i blickpunkten på senare tid är massmedieområdet. I datalagen finns redan en bestämmelse som skall reglera förhållandet mellan lagens föreskrifter och 2 kap.tryckfrihetsförordningen med dess regler om offentlighetsprincipen (6 §). Numera utnyttjas datorteknik som ett led i framställningen av tidningar och andra tryckta skrifter. Därvid uppkommer frågan om hur datalagen förhåller sig till de föreskrifter i tryckfrihetsförordningen som avser sådana skrifter, t.ex. förbudet mot censur och andra hindrande åtgärder som föregår tryckta skrifters utgivning (1 kap. 2 § tryckfrihetsförordningen). Ett liknande problem har uppmärksammats när det gäller förhållandet mellan brottet dataintrång (21 §) och den s.k. anskaffarfriheten enligt 1 kap. 1 § fjärde stycket tryckfrihetsförordningen (se 1988/89:LU30 s. 36). En angränsande fråga som kan ställas på detta område är i vilken utsträckning massmediers arkiv på datormedium skall falla under datalagens regler. Det kan finnas andra sektorer där motsvarande problem kan uppkomma.

En fråga som sedan länge har varit omdebatterad är vilken instans som skall pröva överklaganden av datainspektionens beslut. För närvarande är det regeringen som har denna uppgift (25 §). Riksdagen har nyligen, med hänvisning till att det ofta finns ett betydande politiskt inslag i den bedömning som måste göras vid en överprövning av datainspektionens beslut, avslagit två motioner med krav på att uppgiften skall föras över till regeringsrätten (mot. 1987/88:K 43, 1988/89:K 442, KU28, prot. 105). Med hänsyn till att en översyn pågår inom regeringskansliet av instansordningen i ärenden där Europakonventionens krav på tillgång till domstolsprövning kan göra sig gällande (jfr prop. 1987/88:69 s. 18 och 30 samt prop. 1988/89:100 bil. 2 s. 10) finns det skäl att överväga saken på nytt. Utredningen bör redovisa de motiv som talar för eller emot den ena eller andra lösningen och ge sina synpunkter på vilken som bör väljas. Av intresse i detta sammanhang är den lösning som valts i fråga om avslag på begäran om att ta del av allmänna handlingar, nämligen att enskilda skall överklaga till regeringsrätten och statliga myndigheter till regeringen (se 15 kap.7 och 8 §§sekretesslagen 1980:100).

I en tid där utvecklingen går mot alltmer ökad internationalisering är det viktigt att överväga hur den svenska datalagen förhåller sig till andra jämförbara länders motsvarande lagstiftning. Här kan särskilt pekas på våra nordiska grannländer och länderna inom den europeiska gemenskapen (jfr dir. 1988:43). På det internationella planet kan vidare framhållas Europarådets arbete som bl.a. har resulterat i den europeiska konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter och i ett flertal rekommendationer inom olika sektorer där datorstödda informationssystem används för personregistrering. Slutligen kan i detta sammanhang erinras om de riktlinjer som har antagits inom OECD.

Det är givetvis nödvändigt att Sverige uppfyller sina internationella åtaganden på detta område. Skilda utländska lagar i jämförbara länder och europarådsdokument kan ge idéer. Det finns också ett intresse av att lagstiftningen i Sverige inte skiljer sig alltför mycket från den i andra länder med vilka vi har ett utbyte och som innebär att personuppgifter behöver föras över mellan länderna.

Utredningen bör följa utvecklingen både på det tekniska området och inom lagstiftningen. I det senare hänseendet vill jag bl.a. peka på de resultat som DOK:s olika betänkanden kan leda till.

Utgångspunkten bör vara att förslagen inte skall leda till några ökade kostnader. Jag vill erinra om de direktiv (dir. 1984:5) till samtliga kommittéer och särskilda utredare angående utredningsförslagens inriktning som regeringen beslutade i februari 1984. I dessa berörs vad som skall gälla rörande finansiering av reformer.

Datainspektionens kostnader täcks i dag genom avgifter som betalas bl.a. av dem som erhållit licens och av dem som ansöker om tillstånd. Avgifterna får nedsättas eller efterges om det föreligger särskilda skäl. Utredningen kan ha anledning att ta upp frågan om avgifternas konstruktion för att se om några förändringar behöver göras. Datainspektionens verksamhet bör dock även i fortsättningen vara helt självfinansierad.

Den första delen av utredningen bör vara klar vid halvårsskiftet år 1990. Detta inledande arbete bör också kunna ligga till grund för de myndighetsspecifika direktiv som skall beslutas inför den fördjupade anslagsframställning som inspektionen skall avge år 1992. Det är därför angeläget att tidsplanen hålls. Den andra delen av utredningsarbetet bör kunna vara avslutad ungefär ett och ett halvt år efter det att den första delen slutförts.

att tillkalla en särskild utredare -- omfattad av kommittéförordningen (1976:119) -- med uppdrag att göra en översyn av datalagen samt

att besluta om sakkunniga, experter, sekreterare och annat biträde åt utredaren.

Regeringen ansluter sig till föredragandens överväganden och bifaller hennes hemställan.

(Justitiedepartementet)