Dir. 2014:65

Den personliga integriteten

Kommittédirektiv

Den personliga integriteten

Beslut vid regeringssammanträde den 8 maj 2014

Sammanfattning

En parlamentariskt sammansatt kommitté ska

Kommittén får, om den bedömer att det är lämpligt, lämna ett eller flera delbetänkanden. I uppdraget ingår inte att föreslå ändringar i grundlag.

Uppdraget ska redovisas slutligt senast den 1 december 2016.

Bakgrund

Grundläggande bestämmelser om personlig integritet

Begreppet personlig integritet används i vardagligt tal vanligen för att beteckna individens värde och värdighet. Begreppet finns i både grundlag och vanlig lag, t.ex. 2 kap. 6 § andra stycket regeringsformen (RF) och 5 a § personuppgiftslagen (1998:204). Någon allmängiltig definition av begreppet har dock inte slagits fast i lagstiftningen. I ett försök att ändå beskriva vad som kan anses vara kärnan i rätten till personlig integritet har lagstiftaren uttalat att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas (prop. 2009/10:80 s. 175, prop. 2005/06:173 s. 15). I Nationalencyklopedins ordbok beskrivs den personliga integriteten som en ”rätt att få sin personliga egenart och inre sfär respekterad och att inte utsättas för personligen störande ingrepp”. Rätten till personlig integritet kan också beskrivas som en rätt att bli lämnad i fred eller en rätt till självbestämmande och valfrihet.

Grundläggande bestämmelser som har betydelse för det allmännas ansvar att skydda enskildas privatliv och integritet finns i bl.a. regeringsformen. Av målsättningsstadgandet i 1 kap. 2 § RF framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och värdighet samt att det allmänna ska värna den enskildes privatliv och familjeliv. Vidare finns i 2 kap. 6 § RF en bestämmelse som slår fast ett skydd för förtroliga meddelanden och som även stadgar att var och en också i övrigt är skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten som sker utan samtycke och innebär kartläggning eller övervakning av enskilds personliga förhållanden.

Enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som gäller som svensk lag, har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Av 2 kap. 19 § RF följer att en lag eller annan föreskrift inte får

meddelas i strid med Sveriges åtaganden på grund av konventionen. En bestämmelse om respekt för privat- och familjelivet finns även i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna. Av artikel 8 i stadgan följer vidare bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Rätten till skydd av privatlivet och den personliga integriteten är inte absolut. Skyddet enligt regeringsformen kan inskränkas genom lag (2 kap. 20 § RF). Begränsningarna får dock inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som föranlett dem och inte heller sträcka sig så långt att de utgör ett hot mot den fria åsiktsbildningen. Det fordrar bl.a. att nya lagförslag, som innebär risker ur integritetssynpunkt, är väl motiverade och grundade på noggranna behovsanalyser och intresseavvägningar, att konsekvensbeskrivningarna när det gäller integritetsaspekterna är klara och begripliga samt att det är möjligt att förstå varför ett förslag valts framför ett annat, mindre ingripande, förslag för att nå ett visst eftersträvat mål (SOU 2007:22 s. 445 f.). Finns det utrymme att vidta särskilda åtgärder för att begränsa intrångets intensitet måste sådana normalt övervägas och om möjligt också vidtas. Intresset av enskildas personliga integritet måste således vägas mot andra berättigade intressen i samhället, t.ex. yttrandefrihet, ett tryggt och säkert rättssamhälle och en effektiv förvaltning. Även skyddet för privatlivet enligt Europakonventionen får begränsas för vissa närmare angivna ändamål men bara i den utsträckning inskränkningarna är nödvändiga i ett demokratiskt samhälle. Motsvarande begränsningar får göras enligt EU:s stadga för de grundläggande rättigheterna.

Europadomstolen har i sin praxis slagit fast att artikel 8 i Europakonventionen ålägger staten såväl en negativ förpliktelse att avstå från att göra intrång i rätten till respekt för privat- och familjelivet som en positiv förpliktelse att skydda enskilda mot att andra enskilda handlar på ett sätt som innebär integritetsintrång (se t.ex. Airey mot Irland, dom den 9 oktober 1979, § 32, Serie A nr 32 och X och Y mot Nederländerna, dom den 26 mars 1985, § 23, Serie A nr 91).

Tidigare och pågående utredningar om integritetsskydd

År 1966 fick Integritetsskyddskommittén (Ju 1967:62) i uppdrag att utreda förutsättningarna för ett stärkt skydd på personrättens område. Arbetet, som redovisades i fyra betänkanden (Skydd mot avlyssning, SOU 1970:47, Fotografering och integritet, SOU 1974:85, Reklam och integritet, SOU 1976:48 och Privatlivets fred, SOU 1980:8), resulterade bl.a. 1975 i lagstiftning om straff för olovlig avlyssning och 1977 i lagstiftning om TV-övervakning (i nuvarande lagstiftning benämnd kameraövervakning). Frågor om skydd mot intrång i privatlivet har därefter även behandlats av bl.a. Yttrandefrihetsutredningen (Värna yttrandefriheten, SOU 1983:70), Data- och offentlighetskommittén (Integritetsskyddet i informationssamhället 3. Grundlagsfrågor, Ds Ju 1987:8), Personnummerutredningen (Personnummer – integritet och effektivitet, SOU 1994:63), Datalagskommittén (Integritet – Offentlighet – Informationsteknik, SOU 1997:39) och Utredningen om integritetsskydd i arbetslivet (Integritetsskydd i arbetslivet, SOU 2009:44). Detta utredningsarbete har bl.a. resulterat i en grundlagsändring 1989 (tidigare 2 kap. 3 § andra stycket RF) och införandet av personuppgiftslagen 1998. I maj 2013 beslutade regeringen direktiv till en särskild utredare (A 2013:04) som bl.a. ska undersöka i vilken utsträckning och av vilka skäl arbetsgivare begär att få se utdrag ur belastningsregistret från arbetssökande och i vilken utsträckning det förekommer att arbetsgivare begär att redan anställda visar upp sådana registerutdrag (dir. 2013:56). Uppdraget ska redovisas senast den 30 april 2014.

Regeringen beslutade i april 2004 direktiv till en parlamentarisk kommitté, Integritetsskyddskommittén (Ju 2004:05), med uppdrag att kartlägga och analysera sådan lagstiftning som rör den personliga integriteten, att överväga om regeringsformens bestämmelse om skydd för den personliga integriteten i 2 kap. 3 § andra stycket borde ändras samt att överväga om det vid sidan av befintlig lagstiftning borde finnas generellt tillämpliga bestämmelser till skydd för den personliga integriteten. Kartläggnings- och analysuppdraget redovisades i betänkandet

Skyddet för den personliga integriteten – Kartläggning och analys (SOU 2007:22). I sitt slutbetänkande Skyddet för den personliga integriteten – Bedömningar och förslag (SOU 2008:3) redovisade kommittén bl.a. förslag till ett stärkt grundlagsskydd för den personliga integriteten och ett förslag om straff för viss fotografering och filmning. Betänkandets förslag har hittills lett till införandet av bestämmelsen i 2 kap. 6 § andra stycket RF (prop. 2009/10:80, bet. 2009/10:KU19, rskr. 2009/10:304, bet. 2010/11:KU4, rskr. 2010/11:21) och till införande av ett nytt brott i 4 kap. brottsbalken, kränkande fotografering (prop. 2012/13:69, bet. 2012/13:JuU21, rskr. 2012/13:250).

I sitt slutbetänkande framhöll Integritetsskyddskommittén att det finns mycket som talar för att det i Sverige borde inrättas en ordning som innebär att regeringen genom en skrivelse årligen informerar riksdagen om utvecklingen i fråga om integritetsskyddet (SOU 2008:3 s. 326). Kommittén ansåg också att det fanns skäl att överväga en utveckling och breddning av Datainspektionens funktioner. Kommittén ansåg att uppgiften inte borde vara begränsad till området för elektroniska data eller till teknikutvecklingen som sådan utan omfatta också teknikens tillämpning i människornas vardag (bet. s. 332). Vidare bedömde kommittén att det kunde finnas skäl att i en framtid överväga inrättandet av ett särskilt integritetsskyddsråd med ett brett uppdrag att vaka över integritetsskyddet i dess helhet (bet. s. 335).

Senare års utveckling

Historiskt sett har det konstitutionella skyddet för den personliga integriteten – vid sidan av skyddet för den kroppsliga integriteten – i allt väsentligt inskränkt sig till att begränsa det allmännas utrymme att ingripa mot den fria åsiktsbildningen som en av grundvalarna för ett demokratiskt styrelseskick (prop. 2009/10:80 s. 176). Rättsutvecklingen under senare år visar dock att synen på skyddet för enskildas privatliv har förändrats och att detta intresse numera betonas starkare än tidigare. I förarbetena till 2 kap. 6 § andra stycket RF framhålls att

respekten för individens självbestämmande är grundläggande i en demokrati (prop. 2009/10:80 s. 176). Förstärkningen av grundlagsskyddet för den personliga integriteten innebär således att vikten av individens självbestämmande nu betonas tydligare än tidigare i grundlag.

Frågor som rör skyddet för den personliga integriteten har vidare under senare år fått förhållandevis stort utrymme i den allmänna debatten om statens möjligheter att använda olika tekniska hjälpmedel i syfte att förebygga, utreda och lagföra brott. Detta gäller t.ex. i fråga om möjligheterna att använda hemlig rumsavlyssning (s.k. buggning) och hemlig övervakning och avlyssning av elektronisk kommunikation samt lagring av trafikdata från mobiltrafik och internetanvändning för brottsbekämpande syften. Signalspaning i försvarsunderrättelseverksamhet är ett annat område som har varit föremål för debatt. Frågor om skydd för den personliga integriteten har i denna lagstiftning varit grundläggande för ett system med tydliga tillstånds- och kontrollmekanismer.

Enskildas användning av internet har ökat stadigt under hela 2000-talet. Den mängd information som är tillgänglig på internet har ökat explosionsartat. Den är lättillgänglig – bl.a. genom användning av effektiva sökmotorer – och i stor utsträckning helt kostnadsfri. En betydande del av informationen har också tillkommit genom enskildas användning av internet, snarare än genom traditionella mediekanaler.

Alla myndigheter använder i dag informationsteknik. I princip all framställning av information hos myndigheterna sker på elektronisk väg och utbyte av uppgifter mellan myndigheter sker i stor utsträckning elektroniskt. Ett omfattande förvaltningspolitiskt reformarbete pågår i syfte att effektivisera förvaltningen bl.a. genom att utveckla den s.k. elektroniska förvaltningen (e-förvaltning).

Integritetsrisker i både offentlig och privat verksamhet

Enskilda har ofta små möjligheter att påverka vilka uppgifter som statliga och kommunala myndigheter får tillgång till om dem själva. Hanteringen av informationen sker vanligen på

villkor som utesluter den enskildes inflytande över vilka uppgifter som behandlas. Möjligheterna att få uppgifter raderade är normalt sett mycket begränsade när uppgifterna förekommer i allmänna handlingar. Den mängd av uppgifter som totalt sett förekommer i verksamheten är också mycket stor. Det är mot bakgrund av detta viktigt att säkerställa respekten för den personliga integriteten inom ramen för den verksamhet som det allmänna ansvarar för.

Regeringens ambition är att Sverige ska vara en av de ledande nationerna i världen när det gäller e-förvaltning. En väl fungerande e-förvaltning kan både bidra till en effektiv hushållning med statens medel och erbjuda medborgarna en hög servicenivå i kontakterna med myndigheterna. Tekniska lösningar som tas fram inom e-förvaltningsarbetet kan bidra till att skyddet för den personliga integriteten stärks, bl.a. genom att de personuppgifter som myndigheterna har att hantera i sina verksamheter hålls korrekta och aktuella. En del integritetsrisker kan också minimeras genom god användning av tekniska lösningar för säkert informationsutbyte mellan myndigheter. E-legitimation kan användas för att öka spårbarheten i sökningar. En ökad samordning av myndigheternas informationshantering kan dock samtidigt innebära ökade integritetsrisker. Motsvarande risker kan även uppkomma när privata företag utvecklar affärsprocesser och samordnar sin datalagring.

Det samlade intrång i den skyddade personliga sfären som uppkommer som en följd av olika åtgärder, processer och övervakning som enskilda utsätts för i dagens samhälle är inte bara ett resultat av verksamhet som det allmänna ansvarar för. Enskilda utsätts i hög grad även för intrång i den personliga integriteten från andra enskilda. Användningen av internet som kanal för informationsspridning har skapat tidigare oanade möjligheter att utnyttja yttrandefriheten för att nå ut till andra med tankar och idéer eller med information som kan väcka debatt i viktiga samhällsfrågor. Men internet kan också användas av dem som vill sprida information i vida kretsar i syfte att skada andra. Personuppgifter som är lättillgängliga på internet kan också användas i bedrägligt syfte genom identitetsstölder och liknande. Tillgången till information kan även leda till särskilda

risker för individer som har ett behov av skydd för sina personuppgifter på grund av att det finns en fara för att de utsätts för trakasserier, hot och våld.

Inom arbetslivet gäller att en arbetsgivare har rätt att, inom ramen för anställningsavtalet, bestämma bl.a. vilka åtgärder som ingår i arbetsuppgiften, hur arbetet ska utföras och var detta ska ske. En arbetstagare måste i princip följa en arbetsledningsorder, i vart fall så länge den anvisade åtgärden inte strider mot lag eller god sed på arbetsmarknaden eller annars är att anse som otillbörlig. Det innebär bl.a. att en arbetstagare i viss utsträckning kan behöva finna sig i att godta en övervaknings- eller kontrollåtgärd från arbetsgivarens sida. För att bedöma vad som är god sed när det gäller utövandet av kontrollåtgärder måste dock normalt en avvägning göras mellan arbetsgivarens intresse av åtgärden och arbetstagarens intresse av skydd för den personliga integriteten. Åtgärden kan vara tillåtlig på denna grund bara om den är proportionerlig i förhållande till sitt syfte.

Överenskommelse om en ny utredning

Hösten 2011 träffades mellan regeringen och Socialdemokraterna en överenskommelse om att tillsätta en parlamentarisk integritetskommission. Enligt överenskommelsen ska kommissionen ha ett uppdrag som löper under längre tid och som har ett tydligt individperspektiv. Kommissionen ska enligt överenskommelsen beakta olika former av integritetsaspekter, bl.a. sådana som kan förekomma inom sociala medier, privata företag och förvaltningsmyndigheter. Den ska också följa upp de överväganden Integritetsskyddskommittén gjorde när det gäller behovet av att inrätta ett integritetsskyddsråd.

Uppdraget att kartlägga och analysera faktiska och potentiella risker för intrång i den personliga integriteten

Möjligheterna att via internet snabbt sprida information om företeelser i omvärlden eller att dela information om egna tankar och idéer med en stor krets människor skapar ovärderliga

möjligheter för enskilda att utnyttja sin informations- och yttrandefrihet. Stora mängder data kan nu överföras på mycket kort tid. Den snabba tekniska utvecklingen på it-området har bidragit till detta. Samtidigt har kostnaderna för denna hantering minskat, vilket gör att såväl myndigheter som privata företag sett möjligheter till nya sätt att bedriva och effektivisera sin verksamhet. I detta ingår exempelvis kartläggning av enskildas beteendemönster på internet för att skapa nya affärsmöjligheter. Även om ett visst företag inte har tekniska eller administrativa möjligheter att göra detta i egen regi finns det företag som säljer tjänster som ger tillgång till beräkningskapacitet, datalagring och analysfunktioner över internet, s.k. molntjänster. De nya möjligheterna innebär samtidigt nya utmaningar och risker bland annat för intrång i den personliga integriteten.

Enskilda använder i stor utsträckning sociala medier, t.ex. Facebook, Instagram och Twitter, där de offentliggör potentiellt integritetskänsligt material som kan få stor och oförutsedd spridning. Det kan vara svårt för enskilda att bilda sig en uppfattning om omfattningen av behandlingen av deras personliga uppgifter efter sådan publicering och spridning. Detta väcker frågor bl.a. om vem som har rätt till uppgifterna när de väl har publicerats och hur enskilda bör gå till väga om de önskar få dem borttagna.

Integritetsskyddskommittén (Ju 2004:05) redovisade i betänkandet Skyddet för den personliga integriteten – Kartläggning och analys (SOU 2007:22) en omfattande kartläggning och analys av sådan lagstiftning som berör den personliga integriteten. Uppdraget utfördes utifrån ett utpräglat lagstiftningsperspektiv. Vidare omfattade kartläggningen och analysen endast sådan verksamhet som bedrivs enbart av det allmänna eller av både det allmänna och enskilda, t.ex. skola, sjukvård, och forskning, och inte sådan verksamhet som i första hand endast bedrivs av enskilda aktörer. Någon mer ingående undersökning av vad senare års teknikutveckling och teknikanvändning som helhet inneburit i fråga om riskerna för integritetsintrång för enskilda individer har inte gjorts.

Mot bakgrund av samhälls- och teknikutvecklingen under senare år finns nu behov av att genomföra en kartläggning och

analys av sådana faktiska eller potentiella risker för intrång i den personliga integriteten som kan finnas vid användning av informationsteknik i både privat och offentlig verksamhet. En sådan kartläggning bör göras med utgångspunkt i ett tydligt individperspektiv. I detta ligger att alla slags åtgärder som kan påverka enskilda individer från integritetssynpunkt bör kartläggas. Att kartläggningen ska göras utifrån ett utpräglat individperspektiv innebär också att kommittén bör analysera riskerna för intrång i den personliga integriteten på ett samlat sätt ur den enskildes synvinkel och att bedömningarna inte begränsas till att enbart avse tydligt avgränsade verksamheter eller situationer. I det sammanhanget bör särskilt beaktas vilka möjligheter privatpersoner har att själva bestämma över hur information om dem används och vidareförmedlas för användning i annan verksamhet än den ursprungligen är avsedd för.

Inom ramen för kartläggningen bör en uppföljning göras av hur den reform av grundlagsskyddet för den personliga integriteten, som trädde i kraft 2011, har fallit ut. Uppföljningen bör innefatta en kartläggning och analys av de integritetsaspekter som aktualiserats i lagstiftningsarbetet sedan den nya grundlagsbestämmelsen trädde i kraft. Om kommittén med anledning av vad den kommer fram till i sin kartläggning och analys bedömer att det finns behov av att kartlägga och analysera även sådan lagstiftning som tillkommit dessförinnan kan kommittén förorda tilläggsdirektiv. I analysen av de potentiella riskerna för intrång i den personliga integriteten vid användningen av modern informationsteknik bör hänsyn även tas till de fördelar som användningen av sådan teknik kan ha i både offentlig och privat verksamhet.

Uppdraget

Kommittén ska utifrån ett individperspektiv kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan finnas i samband med användning av informationsteknik. Kommittén ska vid kartläggningen och analysen beakta risker för intrång genom

åtgärder såväl från andra individer och företag som från det allmännas sida. I uppdraget ingår att belysa eventuella skillnader ur ett könsperspektiv. Inom ramen för kartläggningen ska kommittén även följa upp och analysera effekterna i lagstiftningsarbetet av den förstärkning av grundlagsskyddet för den personliga integriteten som skedde genom lagstiftning som trädde i kraft 2011.

Uppdraget att överväga inrättandet av ett integritetsskyddsråd

Det finns för närvarande en rad myndigheter som har till uppgift att tillvarata enskildas intresse av skydd för den personliga integriteten. Datainspektionen har det övergripande ansvaret att värna skyddet för enskilda vid behandling av personuppgifter. Inspektionen har också ett övergripande tillsynsansvar när det gäller kameraövervakning enligt kameraövervakningslagen (2013:460). Även länsstyrelserna har ansvar för tillsyn över kameraövervakning, men det ansvaret begränsar sig till övervakning på platser dit allmänheten har tillträde. Post- och telestyrelsen har i uppdrag att utöva tillsyn vid behandling av uppgifter vid elektronisk kommunikation. Tillsyn över behandlingen av personuppgifter utövas på vissa särskilda områden även av andra myndigheter. Det finns inte något enskilt statligt organ som har ett bredare och mera övergripande uppdrag att följa utvecklingen på integritetsskyddsområdet.

Regeringen anser att det, i linje med vad Integritetsskyddskommittén tidigare framfört (SOU 2008:3 s. 335), nu finns anledning att överväga och ta ställning till värdet och behovet av att ge en myndighet ett brett och samlat uppdrag att följa utvecklingen på området för den personliga integriteten. Om ett sådant behov bedöms finnas ska kommittén överväga om det är lämpligast att för detta ändamål inrätta ett särskilt integritetsskyddsråd eller om ett sådant uppdrag i stället bör anförtros en befintlig myndighet. Kommittén ska föreslå en lösning som är så kostnadseffektiv som möjligt och där överlappande ansvar och dubbelarbete i möjligaste mån undviks.

Vid sina överväganden ska kommittén beakta samhälls- och teknikutvecklingen i stort, särskilt de faktiska och potentiella risker för intrång i den personliga integriteten som kommitténs uppdrag omfattar.

Uppdraget

Kommittén ska, med beaktande av samhälls- och teknikutvecklingen i stort och mot bakgrund av slutsatserna av sitt kartläggnings- och analysuppdrag följa upp betänkandet Skyddet för den personliga integriteten (SOU 2008:3) när det gäller behovet av att inrätta ett integritetsskyddsråd och särskilt överväga om de uppgifter som ett sådant råd i så fall bör ges lämpligen kan fullgöras av en befintlig myndighet, samt föreslå nödvändiga författningsändringar.

Uppdragets genomförande och konsekvensbeskrivningar

Kommittén ska följa samhällsdebatten på integritetsskyddsområdet och bedriva sitt arbete utåtriktat och inhämta synpunkter från berörda intressenter i samhället, t.ex. genom att anordna hearings. Kommittén ska samråda med Edelegationen (Fi 2009:01), Datainspektionen, Post- och telestyrelsen och andra berörda myndigheter samt med arbetsmarknadens parter och med andra berörda organisationer. I sitt arbete ska kommittén följa utvecklingen av förhandlingarna inom EU med reformeringen av den unionsrättsliga dataskyddsregleringen. Kommittén ska även följa arbetet inom Regeringskansliet med de förslag som Utredningen om registerutdrag i arbetslivet (A 20013:04) senare kommer att redovisa för regeringen (dir. 2014:34).

Inom Regeringskansliet pågår ett arbete med att se över den straffrättsliga lagstiftning som syftar till att skydda enskilda mot hot och andra fridskränkningar bl.a. på internet. Kommittén ska följa hur detta arbete fortlöper.

Om regeringen beslutar att ge en utredning i uppdrag att utreda frågor med anknytning till kommitténs uppdrag att

överväga frågor som rör den personliga integriteten, ska kommittén samråda med den utredningen.

I uppdraget ingår inte att föreslå ändringar i grundlag. Kommittén ska i enlighet med vad som föreskrivs i kommittéförordningen (1998:1474) redovisa konsekvenserna av sina förslag och vid behov föreslå hur dessa ska finansieras.

Redovisning av uppdraget

Uppdraget ska redovisas slutligt senast den 1 december 2016. Kommittén får, om den bedömer att det är lämpligt, lämna ett eller flera delbetänkanden.

(Justitiedepartementet)