Dir. 1995:91

Ny datalag m.m.

Dir. 1995:91

Beslut vid regeringssammanträde den 15 juni 1995

Sammanfattning av uppdraget

En parlamentariskt sammansatt kommitté tillkallas med uppgift att analysera på vilket sätt ett kommande EG-direktiv om skydd för personuppgifter skall införlivas i svensk lagstiftning samt lägga fram förslag till en ny lag på området.

Kommittén skall också föreslå de ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet som är motiverade för att grundlagsregleringen skall vara anpassad till den nya tekniken och terminologin på området.

Bakgrund

Datalagen (1973:289) syftar till att skydda den enskilde mot otillbörligt intrång i den personliga integriteten till följd av att personuppgifter registreras med hjälp av automatisk databehandling (ADB). Datainspektionen har till uppgift att pröva ansökningar om tillstånd och utöva tillsyn enligt datalagen.

Lagen kom till år 1973 och var den första lagen i världen av denna typ med nationell räckvidd. Sedan dess har utvecklingen inom informationstekniken (IT) medfört en alltmer ökande datoranvändning i samhället. Detta har bl.a. lett till att många europeiska länder infört någon form av speciallagstiftning till skydd för den personliga integriteten.

Datalagens grundläggande drag är oförändrade trots att det nu är över tjugo år sedan den tillkom. Lagen får därför i dag såväl innehållsmässigt som till sin lagtekniska utformning anses vara föråldrad.

Utvecklingstakten inom informationstekniken har sedan datalagens tillkomst varit i det närmaste explosionsartad. ADB-tekniken har kommit att användas på de flesta områden och den har fått en allt större betydelse för samhällsutvecklingen. Ett exempel på teknikens nya landvinningar är den kraftigt ökade användningen av globala datanätverk, t.ex. Internet, som lett till tidigare oförutsedda möjligheter att snabbt och billigt överföra information från en dator till en annan via telenätet. Utvecklingen har också medfört att olika medier används i en kedja, exempelvis satelliter, faxar, telefoner, datorer och papper. Likaså har s.k. multimedia fått ett vidgat utrymme.

Denna utveckling leder till att personuppgifter registreras, kommuniceras, bearbetas, lagras osv. i en ständigt ökande takt. Utvecklingen medför också ökade risker för att den enskildes personliga integritet kränks. Redan vid datalagens tillkomst förutsattes att den skulle ses över inom en snar framtid. Så har också skett i olika etapper. Den senaste utredningen på området, Datalagsutredningen, lade fram sitt slutbetänkande En ny datalag (SOU 1993:10) i februari 1993.

Jämsides med Datalagsutredningens arbete pågick inom EG ett arbete med att ta fram ett direktiv om skydd för personuppgifter. Något direktiv fanns inte när Datalagsutredningen presenterade sitt slutbetänkande. Detta var en av orsakerna till att regeringen i proposition 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. gjorde bedömningen att utarbetandet av en ny datalag borde anstå till dess det fanns ett slutligt ställningstagande av EU:s medlemsländer till ett direktivförslag.

EU:s ministerråd har den 20 februari 1995 antagit en gemensam ståndpunkt i fråga om ett förslag till ett direktiv om skyddet för enskilda personer med avseende på behandlingen av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet, och ett slutligt ställningstagande till förslaget till direktiv förväntas under innevarande år. Det finns därför inte längre skäl att vänta med att inleda det angelägna arbetet med en ny lagstiftning på området.

Förslaget till dataskyddsdirektiv

Syftet med direktivförslaget är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna emellan. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

I förslaget har man strävat efter flexibla lösningar som lämnar utrymme för medlemsstaterna att införliva direktivet på ett sätt som är förenligt med den nationella lagstiftningstraditionen på området och som tar hänsyn till att integritetsskyddet varierar från ett land till ett annat.

I arbetet med direktivet har Sverige agerat hårt för att få till stånd sådana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen och annan grundlagsreglering. De svenska ansträngningarna på detta område har varit framgångsrika. Det finns i den gemensamma ståndpunkten inte någon bestämmelse som står i strid med en tillämpning av den svenska offentlighetsprincipen. För att undanröja alla eventuella oklarheter vid tolkningen av direktivets förenlighet med offentlighetsprincipen, har på svenskt initiativ tagits in en klausul i förslagets ingress som gör det möjligt att ta hänsyn till offentlighetsprincipen när direktivets bestämmelser införlivas i nationell rätt. Huvuddragen i direktivförslaget är följande. Direktivet är tillämpligt på all behandling av personuppgifter och således också på manuella register, dock endast på sådana manuella register som är sökbara utifrån särskilda kriterier. Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten (t.ex. den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område) och inte heller på register för personligt bruk. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål undantas från direktivets materiella bestämmelser.

Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet.

Personuppgifter får behandlas endast när samtycke lämnats, när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en i författning reglerad förpliktelse att behandling av uppgifterna skall ske, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller slutligen, om det i övrigt skett en intresseavvägning som resulterat i att behandling av personuppgifter skall få ske. Känsliga uppgifter (ras, religion, politisk åsikt, facklig tillhörighet, hälsotillstånd etc.) får inte behandlas. Dock gäller vissa undantag, bl.a. vid den enskildes uttryckliga samtycke, för ideella föreningars medlemsregister, för hälso- och sjukvårdens administration och vid författningsreglerad skyldighet.

Medlemsstaterna skall bestämma på vilka villkor personnummer får behandlas. När personuppgifter samlas in skall de registrerade informeras om bl.a. vem som är registeransvarig och vad uppgifterna skall användas till. All behandling av personuppgifter skall enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande från anmälningsskyldigheten undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter. Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att tillsynsmyndigheten först givit tillstånd till detta. Den registrerade skall ha rätt att få sina rättigheter enligt den nationella lagen prövade av tillsynsmyndigheten och domstol. Överföring av personuppgifter till ett tredje land får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå.

Tillsynsmyndigheten skall vara ett oberoende organ. Den skall ha undersökningsbefogenheter och befogenheter att effektivt ingripa mot otillåten behandling av personuppgifter. Medlemsstaterna skall införliva direktivet i nationell rätt inom tre år. För de automatiska register som redan finns är föreskrivet en övergångsperiod på ytterligare tre år. För redan existerande manuella register är övergångsperioden utsträckt till, som längst, tolv år.

Handlingsbegreppet m.m.

En fråga som är av central betydelse för lagstiftningen på IT-området är tryckfrihetsförordningens (TF) bestämmelser om allmänna handlingars offentlighet (2 kap.).

Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall, enligt 2 kap. 1 § TF, varje svensk medborgare ha rätt att ta del av allmänna handlingar. Rätten att ta del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till vissa särskilt i TF angivna intressen, t.ex. rikets säkerhet, intresset att förebygga eller beivra brott, skyddet för enskilds personliga eller ekonomiska förhållanden. Begränsning av rätten att ta del av allmänna handlingar skall anges noga i en särskild lag, sekretesslagen (1980:100), eller i en annan lag som sekretesslagen hänvisar till. Sekretesslagen innehåller också bestämmelser om bl.a. registrering och hemligstämpling av allmänna handlingar (15 kap.). Sekretesslagen utgör tillsammans med datalagen en viktig del av integritetsskyddet i Sverige inom den offentliga sektorn.

Rätten att ta del av allmänna handlingar utgör grunden för det offentliga arkivväsendet. I arkivlagen (1990:782), som innehåller grundläggande föreskrifter om arkiv hos såväl statliga som kommunala myndigheter, finns bestämmelser om vad som ingår i en myndighets arkiv samt om vård och gallring av arkiv.

Rätten att ta del av material hos myndigheterna har från början gällt "handlingar". Med detta begrepp har ursprungligen avsetts pappersdokument. Genom 1949 års TF klargjordes att det också omfattade kartor, ritningar och bilder. År 1974 infördes nya bestämmelser i TF som slog fast att i princip samma regler som gällde för handlingar av traditionell typ skulle tillämpas på tekniska upptagningar inklusive ADB-upptagningar. Med upptagning för ADB skulle avses en uppgift som är fixerad på någon form av datamedium och som antingen finns i eller kan matas in i en datamaskin. I begreppet upptagning för ADB skulle också ligga att informationen var läsbar endast med ADB-teknik (prop. 1973:33). Den 1 januari 1978 fick TF:s regler om allmänna handlingars offentlighet en helt ny lydelse. I sak innebar den nya lydelsen dock inte någon större förändring.

Data- och offentlighetskommittén, DOK (Ju 1984:06) tillkallades år 1984 för att utreda användningen av personnummer i samhället. Kommittén fick genom tilläggsdirektiv (dir. 1984:48) i uppdrag att också utreda de problem som ansågs vara förenade med offentlighetsprincipens tillämpning på upptagningar för automatisk databehandling (ADB). Kommittén skulle särskilt överväga åtgärder för att stärka offentlighetsprincipen när det gällde dess egentliga syfte att ge medborgarna möjligheter till kontroll och insyn i myndigheternas verksamhet.

Kommittén avlämnade i december 1988 sitt slutbetänkande Integritetsskyddet i informationssamhället 5 (SOU 1988:64), där offentlighetsprincipens tillämpning på upptagningar för ADB behandlades.

I proposition 1990/91:60 om offentlighet, integritet och ADB lämnade härefter regeringen förslag som syftade till att stärka offentlighetsprincipen i fråga om ADB-upptagningar. I propositionen föreslogs vissa ändringar i tryckfrihetsförordningen. Departementschefen delade DOK:s uppfattning att svårigheterna med ADB-upptagningar i den praktiska tillämpningen av offentlighetsprincipen inte bör lösas genom någon genomgripande ändring av de grundläggande bestämmelserna i 2 kap. TF. Oavsett vilka begrepp man använder sig av kommer sannolikt samma problem att kvarstå från offentlighetssynpunkt. Nya begrepp skulle enligt departementschefen tvärtom skapa fler problem än de skulle lösa. Departementschefens slutsats var att det inte fanns skäl att ändra begreppsapparaten i TF i fråga om ADB-upptagningar. Förslagen antogs av riksdagen (bet. 1990/91:KU11, rskr. 1990/91:160, bet. 1991/92:KU2, rskr. 1991/92:3).

I januari 1995 publicerades LEXIT, en rapport som är resultatet av ett utredningsarbete för vilket Datainspektionen ansvarat. I rapporten redovisas rättsliga hinder från rent verksamhetsmässiga utgångspunkter för en rationell IT-användning i förvaltningen. Där förordas bl.a. att datalagen skall ersättas av en teknikoberoende, mer generellt utformad integritetsskyddslagstiftning. Vidare påpekas att begreppet handling är svårt att applicera i en medievärld där bild, text och ljud förenas samt att arkivlagstiftningen blir allt svårare att tillämpa på grund av nuvarande handlingsbegrepp.

Uppdraget

Datalagstiftning

Enligt 2 kap. 3 § andra stycket regeringsformen skall varje medborgare i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB.

Den nuvarande datalagen får mot bakgrund av utvecklingen på området anses vara såväl innehållsmässigt som till sin lagtekniska utformning föråldrad. Behovet av en total revision av datalagen är därför stort.

I och med att EU-rådet har antagit en gemensam ståndpunkt i fråga om direktivet om skydd för personuppgifter har den tidigare osäkerheten om den slutliga utformningen av direktivet till stor del undanröjts. Det föreligger därmed inte längre något hinder för det fortsatta arbetet med att revidera datalagen.

En kommitté skall därför tillkallas för att ta fram en ny lagstiftning på området. Utgångspunkten för kommitténs arbete skall vara att tillförsäkra den enskilde ett fullgott integritetsskydd i IT-samhället. Intresset av ett starkt integritetsskydd får dock inte hämma användningen av ny teknik i samhällsutvecklingen och får inte heller försvåra behandling av personuppgifter för forsknings- eller statistikändamål.

Ett dataskyddsdirektiv innebär inte att man skall anta en gemensam lag för hela EU. Ett direktiv är endast bindande i fråga om det resultat som skall uppnås och överlämnar åt medlemsstaterna att själva välja form och metod för detta. Dataskyddsdirektivet utgör därför en ram inom vilken medlemsländerna genom nationell lagstiftning skall införliva de principer som fastställs i direktivet. Medlemsländerna får själva bestämma i vilken utsträckning de vill utnyttja den spännvidd som kan finnas i de olika bestämmelserna.

Kommittén skall i sitt arbete utgå från hur en svensk lagstiftning bör utformas med beaktande av utvecklingen på området och de i sammanhanget långvariga erfarenheter vi har av den nuvarande datalagen. Utifrån denna utgångspunkt skall kommittén analysera på vilket sätt en sådan framtidsanpassad och modern lagstiftning kan göras förenlig med vad som anges i EG-direktivet.

Kommittén skall i sitt arbete bl.a. beakta utvecklingen på IT-området samt även den fortsatta utveckling som kan överblickas. Kommittén skall utgå från att en kommande lag skall vara teknikoberoende.

Datalagsutredningens slutbetänkande En ny datalag (SOU 1993:10), som till stor del bygger på EG-kommissionens förslag till direktiv från oktober 1992 kan, tillsammans med remissynpunkterna på betänkandet, utgöra ett värdefullt underlag i utredningens arbete.

Allmänna handlingars offentlighet

Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna handlingar. Detta är ett uttryck för offentlighetsprincipen. Genom denna skall rättssäkerheten, effektiviteten i förvaltningen och effektiviteten i folkstyret garanteras. Offentlighetsprincipen ger medborgarna möjlighet till kontroll och insyn i myndigheternas verksamhet. Offentlighets- principen är en viktig del i det svenska rättssystemet. Reglerna i TF om allmänna handlingars offentlighet skall ses över med hänsyn till utvecklingen på IT-området. Syftet med översynen är inte att förändra offentlighetsprincipen utan att överväga hur den skall kunna tillämpas under nya tekniska förutsättningar. Lagstiftningen måste vara anpassad till dagens förhållanden, och om möjligt även till framtidens. Den skall utformas så oberoende som möjligt av tekniska begrepp och termer. Allmänhetens tillgång till information skall vara oberoende av vilket sätt myndigheterna valt för att registrera denna information.

Kommittén skall särskilt överväga om begreppet handling i TF är ändamålsenligt eller om det bör ersättas. Utgångspunkten har tidigare varit att information hos en myndighet i princip alltid har funnits på "papper" och att med handling (konventionell handling) förståtts t.ex. ett pappersdokument. Med den utveckling som ägt rum har med handling också kommit att förstås tekniska upptagningar inklusive ADB-upptagningar. Med den nya tekniken blir anknytningen till ett pappersdokument inte längre självklar.

Varje sammanställning av sakligt sammanhängande uppgifter som en myndighet kan göra med hjälp av tillgängliga program är att anse som en handling hos myndigheten. Förutsättningen är endast att sammanställningen skall kunna göras med rutinbetonade åtgärder. Därmed avses att det skall vara fråga om en begränsad arbetsinsats och utan nämnvärda kostnader. De konstellationer av uppgifter som kan göras tillgängliga på detta sätt brukar benämnas potentiella handlingar. En sådan handling är också att betrakta som allmän, under förutsättning att den förvaras hos myndigheten och är inkommen till eller upprättad hos myndigheten. En annan fråga som på nytt kan behöva analyseras utifrån utvecklingen mot globala nätverk är innebörden av den s.k. biblioteksregeln i 2 kap. 11 § andra stycket TF.

En anpassning av bestämmelserna som reglerar allmänna handlingars offentlighet till nya tekniska förutsättningar skall således göras och förslag till grundlagsändringar läggas fram. En förändring av TF:s grundbegrepp eller rent av införandet av en ny begreppsapparat kan bli aktuell. Kommittén skall även redovisa hur dess förslag påverkar reglerna om arkiv.

Övrigt

Kommittén skall ha stor frihet att ta upp de ytterligare frågor som den finner behöver övervägas inom ramen för uppdraget.

Regeringen tillsatte i maj 1994 en utredning med uppgift att utarbeta sådana förslag till rättslig reglering som kan behövas i samband med inrättandet av s.k. elektroniska anslagstavlor och för användningen av elektroniska dokument inom både förvaltningen och näringslivet (dir. 1994:42). Utredningsarbetet skall vara avslutat senast den 1 november 1995.

I september 1994 tillsatte regeringen en utredning om nya medier och grundlagarna m.m. (dir. 1994:104, tilläggsdirektiv dir. 1995:14). Kommittén har bl.a. till uppgift att analysera hur tryckfrihetsförordningen och yttrandefrihetsgrundlagen skall tillämpas på nya medier som används vid förmedling av yttranden och annan information till allmänheten. Mot bakgrund av den analysen skall utredningen undersöka frågan om ett grundlagsskydd för moderna medier som nu inte har ett sådant skydd. Utredningsarbetet skall enligt direktiven vara avslutat vid utgången av 1996.

Kommittén bör hålla sig informerad om resultatet av dessa utredningars arbete och vid behov samverka med dem. Kommittén skall samråda med kommissionen för att främja en bred användning av informationsteknik (IT-kommissionen) som har i uppdrag att belysa olika rättsliga frågor inom det området.

För kommittén gäller regeringens direktiv att pröva offentliga åtaganden (dir. 1994:23), att redovisa de regionalpolitiska konsekvenserna av framlagda förslag (dir. 1992:50) och att redovisa jämställdhetspolitiska konsekvenser (dir.1994:124). Kommittén skall bevaka den internationella utvecklingen på området.

Utredningsarbetet skall vara avslutat senast den 31 mars 1997.