Dir. 2002:31

Översyn av personuppgiftslagen

Beslut vid regeringssammanträde den 21 februari 2002.

Sammanfattning av uppdraget

Redan vid utarbetandet av personuppgiftslagen beaktades möjligheten att ha en lagstiftning som inriktar sig på att förhindra missbruk av personuppgifter. Regeringen har också efter antagandet av personuppgiftslagen vidtagit åtgärder idenna riktning. Det är viktigt att detta arbete fortsätter.

En särskild utredare tillkallas därför med uppgift att se över personuppgiftslagen i syfte att, inom ramen för EG-direktivet om personuppgifter, åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredaren föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. Utredaren skall också överväga behovet av en ändring i 7 kap. 16 § sekretesslagen, som hänvisar till personuppgiftslagen, samt ett förtydligande av hur myndigheters beslut enligt personuppgiftslagen kan överklagas.

Bakgrund

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet om personuppgifter). EG-direktivets syfte är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsstaterna. Medlemsstaterna får inom den ram som ges i EG-direktivet närmare precisera villkoren för när personuppgifter får behandlas. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom Europeiska unionen. EG-direktivet innehåller generellt verkande bestämmelser som reglerar all hantering av personuppgifter och är därmed utformat efter en s.k. hanteringsmodell. Förutom automatiserad behandling omfattas också sådan manuell behandling som sker i register som är sökbara utifrån särskilda kriterier. EG-direktivet skulle ha varit genomfört i medlemsstaterna senast den 24 oktober 1998. I dag är det endast Frankrike och Luxemburg som ännu inte har genomfört EG-direktivet i någon del.

Genomförandet i Sverige

Efter beslut av regeringen den 15 juni 1995 tillkallades en parlamentariskt sammansatt kommitté med uppgift att bl.a. göra en total revision av datalagen (1973:289) och att analysera på vilket sätt EG-direktivet om personuppgifter skulle genomföras i svensk lagstiftning (Datalagskommittén). Den 2 april 1997 avgav kommittén betänkandet Integritet · Offentlighet · Informationsteknik (SOU 1997:39). I likhet med bl.a. Datalagskommittén ansåg regeringen att det inte var möjligt att uppfylla skyldigheten att genomföra EG-direktivet på annat sätt än genom att införa en lagstiftning enligt EG-direktivets hanteringsmodell. Riksdagen delade den bedömningen. EG-direktivet om personuppgifter genomfördes i Sverige genom bl.a. personuppgiftslagen (SFS 1998:204, prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180).

Behovet av en förnyad analys

Personuppgiftslagen trädde i kraft den 24 oktober 1998. Enligt lagens övergångsbestämmelser tillämpas dock datalagen beträffande viss behandling av personuppgifter under en övergångsperiod. För helt eller delvis automatiserad behandling av personuppgifter började personuppgiftslagen således att gälla fullt ut först den 1 oktober 2001. Mot bakgrund av Sveriges skyldigheter som medlem i Europeiska unionen valde regeringen, som nämnts ovan, att i huvudsak låta lagen följa EG-direktivets text och struktur med följd att lagstiftningen i princip reglerar all hantering av personuppgifter. Regeringen konstaterade emellertid att en sådan hanteringsmodell framstod som omodern. Mycket av den användning av personuppgifter som den ökade datoriseringen har medfört måste betraktas som harmlös. Allt fler medborgare har också tillgång till dator, e-post och annan kommunikation i världsomspännande nätverk, såsom Internet. Regeringen ansåg därför att det finns starka skäl att verka för att det blir möjligt att gå ifrån en lagstiftning efter en hanteringsmodell till en mer missbruksinriktad lagstiftning, dvs. en reglering som mer koncentrerar sig på att motverka missbruk av personuppgifter. Regeringen avsåg härvid att på lämpligt sätt utnyttja Sveriges inflytande i Europeiska unionen för att påverka i denna riktning. (Prop. 1997/98:44 s. 36 f.).

I samband med att konstitutionsutskottet behandlade motioner från den allmänna motionstiden 1998 som rörde frågor om bl.a. personuppgiftslagen underströk även utskottet behovet av en revidering av EG-direktivet samt anförde att en översyn av personuppgiftslagen borde komma till stånd med syfte att, så långt det är möjligt inom EG-direktivets ram, åstadkomma en förändring av lagstiftningen i riktning mot ett regelverk som tar sikte på missbruk av personuppgifter. Konstitutionsutskottet hemställde att riksdagen som sin mening skulle ge regeringen till känna vad utskottet anfört i denna del (1998/99:KU15, jämför även 1999/2000:KU7 och 2000/01:KU19). Riksdagen beslutade i mars 1999 i enlighet med utskottets hemställan (rskr. 1998/99:147).

Under övergångsperioden fram till den 1 oktober 2001 - då personuppgiftslagen alltså trädde i full kraft för helt eller delvis automatiserad behandling av personuppgifter - har regeringen vidtagit flera åtgärder i syfte att åstadkomma en mer missbruksinriktad regleringsmodell. Regeringen gav således redan i samband med att personuppgiftslagen trädde i kraft 1998 Datainspektionen i uppdrag att bl.a. utreda det närmare behovet av att göra undantag från förbudet i 33 § personuppgiftslagen när det gäller vissa överföringar av personuppgifter till tredje land, t.ex. vid behandling av personuppgifter i sådana internationella kommunikationsnätverk som Internet. Datainspektionen redovisade den 1 mars 1999 sitt uppdrag till regeringen i rapporten Personuppgifter på Internet. I oktober 1999 lade regeringen fram förslag till ändringar i personuppgiftslagens överföringsregler och straffbestämmelser (prop. 1999/2000:11). Dessa antogs av riksdagen (1999/2000:KU7 och rskr. 1999/2000:51) och trädde i kraft den 1 januari 2000 (SFS 1999:1210). Vidare har regeringen per den 1 januari 2001 ändrat personuppgiftsförordningen (1998:1191) för att underlätta för kommuner och landsting att publicera personuppgifter på Internet. Per den 1 oktober 2001 har regeringen också gjort ändringar i förordningar för att underlätta dels myndigheters behandling av känsliga personuppgifter i löpande text, dels arkivmyndigheternas hantering av bestämmelserna i personuppgiftslagen om registerutdrag. Ett antal s.k. registerförfattningar med modifieringar av bestämmelserna i personuppgiftslagen har också utarbetats. Lagstiftningsarbetet har sammantaget medfört att skyddet för personuppgifter i högre grad än tidigare inriktas på de förfaranden som medför allvarliga integritetsrisker och att lagstiftningen närmar sig en sådan missbruksinriktad regleringsmodell som riksdagen och regeringen uttalat sig för.

Under hösten 2000 presenterade Justitiedepartementet ett utkast med förslag till ändring i EG-direktivet. Den föreslagna ändringen syftar till en förenklad reglering av skyddet för personuppgifter och är inriktad på att förhindra missbruk av sådana uppgifter. Samtidigt bjöd departementet in representanter för riksdagspartierna att ingå i en samrådsgrupp om EG-direktivet. För att få in synpunkter på eventuella tillämpningsproblem som EG-direktivet orsakat utarbetade Justitiedepartementet vidare en enkät för en offentlig utvärdering av EG-direktivet och utkastet till missbruksmodell. Enkäten remitterades i februari 2001 till myndigheter, organisationer och företag och kunde också besvaras av var och en via Internet. Enkätsvaren har sammanställts i promemorian EG-direktivet om personuppgifter - En offentlig utvärdering, Ds 2001:27. Av sammanställningen framgår bl.a. att Justitiedepartementets utkast till missbruksmodell fick ett överväldigande positivt gensvar. Den offentliga utvärderingen visade också att det finns en betydande osäkerhet om hur bestämmelserna skall tillämpas. Regeringen har därför gett Datainspektionen i uppdrag att under år 2002 publicera konkret vägledning på väsentliga punkter.

Åtgärder har också vidtagits på internationell nivå. Således tog bl.a. Sverige initiativ till en seminarieserie med företrädare för EG-kommissionen och medlemsstaterna för att bl.a. diskutera tillämpningsproblem. EG-kommissionen skall enligt EG-direktivet senast i oktober 2001 komma med en rapport om genomförandet av EG-direktivet, eventuellt försedd med lämpliga ändringsförslag. Eftersom någon sådan rapport inte avgetts inom angiven tid tog Sverige vid ett ministerrådsmöte i november 2001 med EG-kommissionen upp frågan om rapporten och eventuella ändringar i EG-direktivet. Sverige framförde därvid sin syn på behovet att ändra EG-direktivet till en mera missbruksinriktad regleringsmodell. EG-kommissionen angav att rapporten skulle försenas med ett år med hänsyn till att alla medlemsstater ännu inte genomfört EG-direktivet. Sverige har också tagit upp behovet av ändringar mot en mer missbruksinriktad modell inom ramen för Europarådets arbete.

Regeringen har vidare följt den utveckling som skett genom rättspraxis. Bland annat har Högsta domstolen i det s.k. Ramsbro-målet (NJA 2001 s. 409) tagit ställning till frågor om publicering av personuppgifter på Internet. Eksjö tingsrätt har i en dom i det s.k. Bodil-målet tagit ställning till liknande frågor. Den domen har överklagats till Göta hovrätt, som har meddelat prövningstillstånd och beslutat att inhämta ett s.k. förhandsavgörande från EG-domstolen. Två österrikiska domstolar har också begärt förhandsavgörande hos EG-domstolen om tolkningen av EG-direktivet. Regeringen har yttrat sig till EG-domstolen i dessa mål.

Regeringen har således utnyttjat tiden fram till personuppgiftslagens fulla ikraftträdande såvitt avser helt eller delvis automatiserad behandling för att införa och anpassa registerlagstiftning till EG-direktivet om personuppgifter samt för att vidta vissa missbruksinriktade åtgärder. Genom att genomföra den offentliga utvärderingen och följa rättstillämpningen har regeringen också tillägnat sig ytterligare erfarenheter av de särskilda problem som den nuvarande lagstiftningsmodellen medför. Tiden är därför mogen att nu göra en analys av möjligheterna att ändra personuppgiftslagen i syfte att - så långt som möjligt inom EG-direktivets ram - åstadkomma en mer missbruksinriktad lagstiftning.

Vid personuppgiftslagens tillkomst ändrades 7 kap. 16 § sekretesslagen (1980:100). I samband härmed uttalades att ändringarna endast utgjorde följdändringar i syfte att samordna bestämmelsen med bestämmelserna i personuppgiftslagen. Bestämmelsen i 7 kap. 16 § sekretesslagen har emellertid i själva verket fått ett vidare tillämpningsområde. Tidigare kunde sekretess komma i fråga enbart vid utlämnande av personuppgifter från en myndighets datoriserade personregister för behandling i sådant register. Efter ändringen kan sekretess gälla för alla personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. (Jfr SOU 2001:3 s. 213 ff.). Bestämmelsen har medfört viss osäkerhet vid rättstillämpningen. Ännu finns bara två vägledande avgöranden från Regeringsrätten (RÅ 2001 ref. 35 och RÅ 2001 ref. 68). I ytterligare ett fall har Regeringsrätten meddelat prövningstillstånd. Med anledning härav finns det skäl att i detta sammanhang överväga behovet av en ändring i 7 kap. 16 § sekretesslagen i syfte att förtydliga bestämmelsens innebörd. En sådan översyn är nödvändig bl.a. för att regeringen skall kunna överväga hur en skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form bör utformas (prop. 2001/02:70 s. 34).

Uppdraget

Redan vid genomförandet av EG-direktivet om personuppgifter och utarbetandet av personuppgiftslagen beaktades möjligheten att ha en lagstiftning inriktad på att förhindra missbruk av personuppgifter i stället för att reglera all hantering av sådana uppgifter. Regeringen har också efter antagandet av personuppgiftslagen vidtagit åtgärder i denna riktning. Eftersom EG-kommissionen inte kommer att lämna något förslag till ändring av EG-direktivet inom kort är det viktigt att redan nu göra en förnyad analys av möjligheterna att åstadkomma en än mer missbruksinriktad lagstiftning.

Utredaren skall närmare analysera förutsättningarna - inom ramen för EG-direktivet om personuppgifter - för en reglering som tar sikte på missbruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet är i första hand att underlätta vardaglig hantering av personuppgifter och opinionsbildning samt kommunikation samtidigt som enskilda ges ett effektivt skydd mot missbruk av uppgifterna och andra obefogade intrång i den personliga integriteten. Regleringen skall liksom hittills vara teknikoberoende. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skall utredaren föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten.

Ett viktigt underlag för att identifiera områden där det kan behövas lättnader i hanteringsreglerna är resultatet av den offentliga utvärdering av EG-direktivet som Justitiedepartementet låtit genomföra. Utredaren skall därför i sitt arbete beakta resultatet av den utvärderingen. Härutöver skall utredaren beakta erfarenheterna från genomförandet av EG-direktivet i andra länder och utvecklingen i rättstillämpningen.

Utvidgade undantagsmöjligheter

Utredaren skall analysera om det finns förutsättningar för att införa ytterligare undantag från hanteringsreglerna i personuppgiftslagen.

Utredaren skall härvid särskilt se över möjligheten till undantag för sådan behandling av personuppgifter inom den privata sfären som - till sin natur - faller utanför gemenskapsrätten och därmed inte omfattas av EG-direktivet.

Utredaren skall också överväga om de undantagsmöjligheter för bl.a. säkerhet och brottsundersökning m.m. som finns enligt artikel 13 i EG-direktivet bör tas in direkt i personuppgiftslagen.

Enligt 10 § f personuppgiftslagen, som motsvarar artikel 7 f i EG-direktivet, kan en behandling av personuppgifter vara tillåten efter en intresseavvägning. Det är enligt EG-direktivet tillåtet för medlemsstaterna att närmare precisera hur den intresseavvägningen utfaller i olika fall. I uppdraget ligger att utredaren skall överväga möjligheterna att direkt i personuppgiftslagen ange konkreta fall där behandling är tillåten med stöd av bestämmelsen i EG-direktivet om en intresseavvägning. Utredaren skall därvid särskilt analysera om det är möjligt och lämpligt med en generell bestämmelse av innebörd att personuppgifter får behandlas om det är nödvändigt för information och debatt eller opinionsbildning, om det inte finns risk för otillbörligt intrång i den personliga integriteten eller om det finns ett allmänintresse som överväger integritetsintrånget.

Enligt artikel 8.4 i EG-direktivet får s.k. känsliga personuppgifter behandlas med hänsyn till ett "viktigt allmänt intresse", och under motsvarande förutsättningar får enligt artikel 26.1 d i EG-direktivet personuppgifter föras över till tredje land, t.ex. genom att läggas ut på Internet. Utredaren skall analysera om dessa möjligheter bör utnyttjas i större utsträckning genom uttryckliga bestämmelser i personuppgiftslagen. Utredaren skall därvid på motsvarande sätt som sagts i fråga om intresseavvägningen särskilt analysera möjligheterna till undantag med hänsyn till intresset för information, debatt och opinionsbildning.

Uppgifter om lagöverträdelser

Enligt artikel 8.5 i EG-direktivet är det möjligt för medlemsstaterna att tillåta att andra än myndigheter behandlar personuppgifter om lagöverträdelser m.m. Utredaren skall analysera om den möjligheten bör utnyttjas genom uttryckliga bestämmelser direkt i personuppgiftslagen. Utredaren skall särskilt överväga om den registrerades samtycke bör göra behandling av personuppgifter om lagöverträdelser m.m. tillåten. Därvid skall utredaren beakta behovet av skydd för den registrerade i de fall där den enskilde kan befinna sig i ett underläge såsom bl.a. vid upptagande av kredit och sökande av anställning.

Straffbestämmelser

I uppdraget ligger att utredaren skall analysera vilka regler som bör gälla vid brott mot personuppgiftslagen för straffansvar i subjektivt hänseende - dvs. om oaktsamhet av normalgraden som i dag räcker för straffansvar bör ersättas med ett krav på grov oaktsamhet eller uppsåt - samt om någon förseelse mot personuppgiftslagen helt bör avkriminaliseras, såsom t.ex. vissa överföringar av personuppgifter till tredje land.

Överklagande

Utredaren skall överväga hur det i personuppgiftslagen bör införas ett förtydligande av hur beslut av myndighet enligt lagen kan överklagas, såsom bl.a. beslut om rättelse och avslag på ansökan om information.

Sekretess

Utredaren skall vidare överväga behovet av en ändring i bestämmelsen i 7 kap. 16 § sekretesslagen i syfte att förtydliga bestämmelsens innebörd.

Övriga frågor

Härutöver skall utredaren ha stor frihet att ta upp de ytterligare frågor som kan behöva övervägas inom ramen för utredningsuppdraget. Utredaren skall vidare analysera eventuella ekonomiska konsekvenser med anledning av förslagen.

Samråd

Utredaren skall på lämpligt sätt informera riksdagspartierna om sitt arbete och även inhämta partiernas synpunkter. I frågor som har anknytning till sekretess skall utredaren samråda med Offentlighets- och sekretesskommittén (dir. 1998:32). Utredaren skall vidare samråda med den kommitté som får i uppdrag att göra en bred kartläggning avseende skyddet för den personliga integriteten i det moderna samhället. Utredaren skall också hålla sig underrättad om Datainspektionens arbete med att utforma konkret vägledning för tillämpningen av vissa bestämmelser i personuppgiftslagen.

Redovisning av uppdraget

Utredningsuppdraget skall redovisas senast den 31 mars 2003.

(Justitiedepartementet)