RÅ 1999:18
Datalagrade meddelanden, s.k. cookie-filer (I) respektive global/historikfiler (II), hos kommunala tjänstemän har ansetts som allmänna handlingar.
I
A.L.. begärde hos Göteborgs kommun att få ta del av kommunalrådens s.k. cookie-filer (cookies).
Göteborgs kommun (1998-02-09) yttrade: Begäran avslås då filer av det aktuella slaget som finns tillgängliga i en tjänstemans eller politikers dator inte utgör allmänna handlingar. A.L.. kan därmed inte kräva att få del av uppgifterna med stöd av Tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet. - Som skäl för beslutet anförs följande. - S.k. cookies är en textfil som i vissa fall sparas i en dator, när användaren via en internetuppkoppling besöker en websida på internet. Registreringen sker helt automatiskt och utan någon åtgärd från datoranvändarens sida då datorn är i kontakt med websidan, under förutsättning att innehavaren av websidan i fråga har lagt in en sådan funktion. - Offentlighetsprincipen innebär inte någon rätt för allmänheten att få ta del av de dokument och de uppgiftskonstellationer som vid en viss given tidpunkt finns i en enskild tjänstemans eller politikers dator. I den mån ett visst dokument eller en viss konstellation av informationen i datorn kan anses utgöra allmän handling, måste dokumentet eller informationen tas ut på papper eller föras över på annan beständig datorbärare samt tillföras myndighetens officiella arkiv, där informationen givetvis är tillgänglig för offentlighetsinsyn. Övrig information i datorn förfogar tjänstemannen/politikern själv över, dvs. han kan när som helst radera den eller göra ändringar i den. - De uppgifter som finns registrerade i de aktuella filerna har inte insamlats eller tillkommit på initiativ av kommunstyrelsen och registreras inte heller för kommunstyrelsens räkning. Anledningen till att datorerna är utrustade med cookie-filer är av strikt teknisk natur. Utan sådan fil kan datorn i vissa fall inte ta del av informationen från en websida på internet. - Det framstår som uppenbart att de uppgifter som på detta sätt registreras i de enskilda datorerna inte är av någon betydelse för kommunstyrelsens verksamhet. Med hänsyn härtill saknas anledning att hantera innehållet i en dators cookie-fil som allmän handling. - Med hänvisning till det nu anförda kan de uppgifter, som kan finnas i de s.k. cookie-filerna i kommunalrådens datorer, inte anses utgöra allmänna handlingar. På grund härav kan allmänheten inte med stöd av reglerna om allmänna handlingarns offentlighet göra anspråk på att få ta del av innehållet i de aktuella filerna.
A.L.. vidhöll i överklagande sin begäran. Han hävdade att filerna var allmänna handlingar och anförde i huvudsak följande. De begärda filerna fanns förvisso endast i kommunens datorsystem men den omständigheten var inte tillräcklig för att vägra lämna ut uppgifterna. Allmänheten skulle ha tillgång till myndigheternas uppgifter på samma sätt som myndigheten själv. Ett utlämnande krävde ingen speciell bearbetning. Det saknade betydelse för begäran om myndigheten tagit fram uppgiften själv eller om den tagit fram uppgifterna för att använda dem i sin egen verksamhet. En cookie kunde jämställas med en myndighets diarium, register eller journal som blir offentligt när det iordningställts for registrering, dvs. när internetläsaren installerats och filerna finns på datorns eller serverns hårddisk.
Göteborgs kommun vidhöll i yttrande till kammarrätten sin uppfattning att cookie-filerna inte utgjorde allmänna handlingar och tillade bl.a. följande. De elektroniska handlingar och sammanställningar av uppgifter som fanns i en tjänstemans dator hade inte en sådan beständighet som måste krävas när det gällde allmänna handlingar. För detta krävdes att informationen i dokumentet fördes över till en dokumentform, som gör att handlingen får ett skydd mot förvanskning och som kunde garantera handlingens autencitet. Detta skedde genom att handlingen tas ut i pappersform och diariefördes eller tillfördes myndighetens elektroniska arkiv. Först därefter kunde handlingen anses förvarad hos myndigheten. Någon sådan överföring skedde inte med cookies. Allmänna handlingar var således endast de handlingar som fanns i stadskansliets diarium eller i dess elektroniska arkiv.
Kammarrätten i Göteborg (1998-04-08, Dyhre, Wileke, Bodin, referent) yttrade: Den första frågan som måste besvaras är om de begärda cookie- filerna utgör allmänna handlingar. Enligt 2 kap. 3 § tryckfrihetsförordningen (TF) förstås med handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän, om den förvaras hos myndighet och enligt samma kapitel 6 § eller 7 § är att anse som inkommen till eller upprättad hos myndighet. Upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. I fråga om upptagning, som det här rör sig om, anses en sådan enligt angivna kapitel 6 § inkommen till myndighet när annan har gjort den tillgänglig för myndigheten i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. - Kammarrätten har via internet sökt informera sig om vad en cookie är och har bl.a. tagit del av en del information som finns på hemsidorna www.netscape.com, www.trinet.bc.ca och www.pagina.se. Med denna information anser kammarrätten att en cookie kan beskrivas på följande sätt. En cookie är en datafil som kan översändas till datorn i samband med att datorn via internet får kontakt med en hemsida, som lagras på en annan dator. När denna dator återsänder den efterfrågade informationen skickar den samtidigt med cookien. Cookien innehåller information som är knuten till just den hemsida som uppsökts. Vid senare besök på samma hemsida följer cookien med och den dator där hemsidan lagras kan läsa av den information som cookien innehåller. Ett sätt att utnyttja uppgifterna i cookien är att skräddarsy den eftersökta informationen. Innehållet kan även bestå i uppgifter om när en speciell sida senast besöktes så att nästa gång endast nyheter presenteras. En cookie kan också lagra registreringsuppgifter som vid senare besök inte behöver upprepas. Informationen är knuten till den sökande datorn och kan inte härledas direkt till någon speciell användare av datorn. Innehållet i cookien kan vara men är sällan krypterat. 1 viss mån kan cookien sägas vara en utvidgning av den uppsökta datorns loggningsfunktion. I de vanligast förekommande programmen som kan avläsa information på internet, s.k. webläsare, finns det en möjlighet att bli varnad när en cookie kan överföras, varvid man kan tacka ja eller nej. Utnyttjas inte denna möjlighet vet man inte om en cookie placerats i den egna datorn Det är emellertid inte svårt att leta reda på cookie-filen, läsa innehållet och radera filen på vanligt sätt. - Enligt kammarrättens bedömning utgör en cookie-fil en upptagning som gjorts tillgänglig för myndigheten av annan och i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Cookie-filen måste alltså ses som inkommen till myndigheten och inte som en hos myndigheten upprättad handling, t.ex. i form av ett register. Något krav på att elektroniskt dokument skall överföras på papper eller diarieföras för att det skall betraktas som en allmän handling uppställs inte i tryckfrihetsförordningen. - Trots att en upptagning förvaras hos en myndighet och anses inkommen dit är den i vissa fall ändock inte att anse som allmän handling. I 2 kap. 10 § TF föreskrivs att en handling som förvaras hos myndighet endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning ej utgör allmän handling hos den myndigheten. Stadgandet sätter förvaringskriteriet ur spel och har tillkommit mot bakgrund av att offentlighetsprincipen inte ansetts kräva att allmänheten skall ha tillgång till en upptagning hos myndighet som endast tar teknisk befattning med den. Enligt kammarrättens mening är den lagring av en cookie-fil som sker i en myndighets dator att jämställa med en sådan lagring för annans räkning som avses i 2 kap. 10 § TF. En cookie-fil är därför inte en allmän handling. -- Kammarrätten avslår överklagandet.
A.L.. yrkade i överklagande att Regeringsrätten, med ändring av kammarrättens dom, skulle undanröja Göteborgs kommuns beslut att vägra att lämna ut cookie-filerna samt återförvisa målet till kommunen med förpliktelse att lämna ut de begärda handlingarna. Till stöd för sin talan anförde han bl.a. följande. Cookie-filer upprättades inte hos kommunen utan av annan utanför kommunen och inkom till kommunen. Cookie- filerna förvarades inte hos myndigheten för någon annans räkning, och inte som ett led i teknisk bearbetning eller teknisk lagring. Den som gjort en cookie-fil tillgänglig för myndigheten hade inte någon rätt till cookie-filen och kunde endast få del av innehållet i cookie-filen då datoranvändaren hos myndigheten åter uppsökte den dator som skapat cookie-filen. Avsikten var inte att cookie-filerna hos myndigheten skulle bearbetas. Cookie-filerna lagrades enbart i myndighetens dator, men inte för annans räkning, på det sätt som åsyftades i 2 kap. 10 § TF. Användaren av kommunens dator kunde välja att inte ta emot cookie-filen, att radera denna eller att behålla cookie-filen i sin dator.
Prövningstillstånd meddelades.
På Regeringsrättens begäran avgav Datainspektionen., Statskontoret och Stockholms universitet, Institutet för rättsinformatik vid Juridiska institutionen, yttranden.
Datainspektionen anförde i huvudsak följande.
En cookie är information som en webbplats lagrar i besökarens dator. Informationen är avsedd för den webbplats som har sänt den, inte för mottagaren/besökaren. En cookie kan lagras utan att besökaren själv behöver vara medveten om detta. Informationen i en cookie kan endast tolkas av den som sänt den, och informationen är inte relevant för mottagarens egen verksamhet. En cookie är inte heller adresserad till någon speciell mottagare, utan den landar i en dator som är uppkopplad mot webbplatsen. Namnet på en cookie kan ge en vägvisning om vilka webbplatser som har besökts.
Den som kopplar upp sig mot en viss webbplats gör det oftast för att medvetet söka information. Uppkopplingen kan också ske av misstag. Den som använder sig av en sökmotor för att söka viss information får en lista på olika "träffar" som sökmotorn har bedömt som aktuella. Informationssökaren klickar på en "träff" och blir uppkopplad mot en webbsida. Om det visar sig att informationen inte alls berörde det som söktes (trots att rubriken på söklistan antydde så) kan man backa tillbaka utan att läsa och utan att vara medveten om att en cookie blev lagrad i sökarens hårddisk. Den som finner någon anledning att läsa den lagrade cookie-filen kan uppfatta det så att en användare har varit och sökt information hos den webbplats som eventuellt kan utläsas, trots att det bara var ett misstag.
Det blir allt vanligare att anställda utbildar sig genom att söka information från Internet. Det är också vanligt att personal utbildas i själva användningen av en webbläsare. Information som lagras på hårddisken i form av cookies torde inte ha någon relevans för den som vill bli informerad om en myndighets verksamhet. Å andra sidan kan informationen uppfattas som känslig av en användare.
Datainspektionen delar den bedömning som Kammarrätten i Göteborg har gjort att undantagsregeln i 2 kap. 10 § TF äger tillämpning på lagringen av cookie-filer. Regelns ordalydelse är förenlig med bedömningen. Det kan leda fel, att som Statskontoret gjort i sitt yttrande, låta en semantisk tolkning av förarbeten påverka bedömningen, när förarbetena har tillkommit innan den nya tekniken fanns.
Statskontoret anförde bl.a. följande.
Målets huvudfråga - hur skall cookies uppfattas i förhållande till TF -skall således göras till föremål för analys där främst fyra delfrågor kan urskiljas, varvid den sista är den centrala, nämligen:
* Är en cookie att anse som en handling?
* Kan cookien anses förvarad?
* Kan cookien anses inkommen?
* Är något undantag tillämpligt?
Är en cookie att anse som en handling?
Enligt Statskontorets mening är en cookie att betrakta som en handling i TF:s mening. Cookie-filen kräver tekniskt hjälpmedel för att kunna uppfattas varför den således utgör en upptagning av det slag som anges i 2 kap. 3 § första stycket TF. En upptagning är, som tidigare nämnts, inte en fysisk enhet utan en informationsenhet, dvs. en sammanställning av uppgifter med ett logiskt och sakligt samband. Oavsett vilken webbläsare som används och på vilket sätt informationen lagras (dvs. i en separat fil eller i en och samma fil) består det logiska sambandet i nu avsedd mening av den sammanhållna informationsmängd som skickats från en viss webbserver. Cookien kan - dock långt ifrån alltid - dessutom ge meddelande om härkomst eller lämna annan information som åtminstone objektivt sett har ett "sakligt" samband.
Kan cookien anses förvarad?
Upptagningar är att anse som förvarade i TF:s mening om de är enkelt och rutinmässigt tillgängliga för myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra stycket). Enkelheten och rutinmässigheten bestäms av hur myndigheten ordnat sin datoriserade informationshantering vid en viss given tidpunkt samt av de möjligheter till sökning och sammanställning som myndigheten har i ett aktuellt fall. En cookie-fil är inte svår att lokalisera på en dator och kräver heller inte att några komplicerade urval eller sammanställningar görs. Filen kan med enkla medel avläsas på stället eller tas ut i form av utskrift på papper.
De undantag som kan vara aktuella i detta avseende - dvs. om det är fråga om ett personregister enligt datalagen (1973:289) eller om lag, förordning eller särskilt beslut som grundar sig på lag hindrar en överföring - synes inte vara aktuella i målet.
Kan cookien anses inkommen?
Det torde inte råda något tvivel om att cookien är att betrakta som en inkommen handling i enlighet med 2 kap. 6 § första stycket TF. Visserligen upprättas själva filen där cookien förvaras på användarens dator, men den aktuella textsträngen är entydigt att betrakta som inkommen, dvs. informationsmängden har gjorts tillgänglig för myndigheten av "annan". Genom att cookien är inkommen är den också tillgänglig för myndigheten, varför resonemanget kan återföras till hur förvaringskriteriet i 2 kap. 3 § andra stycket TF skall tillämpas i IT- sammanhang (se närmast ovan).
Är något undantag tillämpligt?
Så långt in i analysen skiljer sig inte Statskontorets mening från den som Kammarrätten i Göteborg givit uttryck för i de fyra mål med anknytning till den nu aktuella frågan som där avgjorts (vilka också bifogats detta ärende). Cookie-filen är en till myndigheten inkommen handling som förvaras där och som är enkelt åtkomlig. Således är den att betrakta som en allmän handling som på begäran av enskild i princip skall lämnas ut genast.
Som kammarrätten mycket riktigt påpekar finns det dock också tillfällen då en handling - trots att de allmänna rekvisiten "förvarad" och "inkommen" alternativt "upprättad" är uppfyllda - ändock inte är att anse som en allmän handling. Generella undantagsbestämmelser finns i 2 kap. 10-11 §§ TF. Av särskilt intresse är här bestämmelsen i 10 § som sätter förvaringskriteriet ur spel och som stadgar att en handling som förvaras hos en myndighet endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning, ej skall betraktas som en allmän handling hos den myndigheten. Bestämmelsen har tillkommit mot bakgrund av att de intressen som bär upp offentlighetsprincipen inte ansetts kräva att allmänheten skall ha tillgång till just den typ av handlingar det här i allmänhet är fråga om.
Statskontoret gör följande bedömning i denna del.
Till att börja med kan konstateras att det inte kan vara fråga om någon "teknisk bearbetning". Cookien är en inkommen informationsmängd som passivt lagras i en fil antingen för sig själv eller tillsammans med andra cookies. Någon bearbetning sker inte. Att cookien sedan kan uppdateras vid ett förnyat besök på samma webbplats som skickat cookien saknar betydelse i detta sammanhang. Någon bearbetning från myndighetens sida är det i vilket fall som helst inte fråga om. Cookien är därför att anse som endast tekniskt lagrad. I förarbetena till bestämmelsen nämns som exempel på när teknisk lagring skall anses föreligga (se prop. 1975/76:160 s. 137) att lagringen kräver särskilda tekniska anordningar, t.ex. ett skivminne eller ett magnetband, vilket det ju i praktiken är fråga om i detta fall.
Nästa led är att lagringen skall ske "för annans räkning". Vid bestämmelsens tillkomst (se a. prop. s. 86 ff) diskuterades främst det förhållandet att lagringen skulle göras av en myndighet för en annan myndighets räkning, således inte för en enskilds räkning. Detta är en företeelse som visserligen fortfarande förekommer, men som kanske var vanligare på sjuttiotalet, dvs. att myndigheter utan egen datorkraft lät andra myndigheter med tekniska möjligheter lagra och/eller bearbeta informationen i ett visst avseende. Det kunde också vara fråga om rent organisatoriska förhållanden, dvs. att det med hänsyn till arten av den tekniska hanteringen ansågs mest naturligt att informationen också lagrades och/eller bearbetades hos den myndighet som på grund av sin verksamhet hade ett legitimt intresse av det.
På ett ställe i förarbetena till bestämmelsen (a. prop. s. 87) nämns visserligen det förhållandet att en myndighet i vissa fall skulle kunna tänkas att för enskilds räkning ta enbart teknisk befattning med ADB- upptagningar. Departementschefen menade att det i och för sig kunde anses tveksamt om samma ordning skulle gälla i dessa fall, men menade samtidigt att det inte fanns någon anledning till särbehandling eftersom den information det i så fall handlade om "inte rimligen" kunde sägas "ingå i de allmänna organens informationstillgångar". Statskontoret menar att denna ståndpunkt i sig är korrekt. Enskilda som av någon anledning väljer att en myndighet endast skall bearbeta handlingarna tekniskt, skall inte behöva se "sin" information underkastad offentlighetens ljus. Någon koppling till ett visst ärende finns inte och därför heller inget allmänt insynsintresse som kan relateras till myndighetens verksamhet. Som ett exempel på en sådan verksamhet kan nämnas den dåvarande statliga myndigheten DAFA och dess servicebyråverksamhet som riktade sig såväl mot statlig förvaltning som mot enskilda.
Enligt Statskontorets mening är ovanstående resonemang visserligen intressant i ett juridiskt/analytiskt perspektiv och som ett led i tankeprocessen, men det saknar egentlig relevans för det nu ifrågavarande målets avgörande. Det centrala förhållandet som bestämmelsen i 10 § avser att reglera måste snarare vara det som uttrycks genom ordet "räkning". I grunden för hela diskussionen måste således ligga att den tekniska lagringen eller bearbetningen sker genom ett faktiskt uppdrag eller genom någon form av överenskommelse mellan de båda parterna, oavsett om den ena är myndighet eller inte. I nämnda prop. klargörs inte vad som avses med uttrycket, men på flera ställen nämns att den tekniska hanteringen måste bygga på ett "utförande" (s. 87), ett "fullgörande" (s. 89), en "uppgift" (s. 171) och innefatta ett "förfogande" (s. 171). Åtminstone ur en rent semantisk synvinkel kan betydelsen av dessa uttryck inte rimligen tolkas annorlunda än att det måste finnas en ömsesidig vilja mellan parterna att den ene faktiskt skall göra något för den andre, dvs. utföra en teknisk uppgift av nu aktuellt slag.
Just förfogandeaspekten är här av central betydelse och den återkommer också i flera andra sammanhang i fråga om IT-upptagningar. Exempelvis bygger förvaringskriteriet i 3 § på att myndigheten både har rättslig befogenhet och teknisk möjlighet att överföra handlingen i läsbar form och att den således förfogar - eller disponerar (se även a. prop. s. 89) - över handlingen i dessa avseenden. Likaså är förfoganderätten bestämmande för vilken myndighet som prövar en framställning om att få ut en handling av detta slag.
I ett avgörande av Regeringsrätten (RÅ 1994 ref. 64) var också förfogandeaspekten den avgörande faktorn. I målet framkom att flera myndigheter hade valt att lagra sina redovisningsdata i Riksrevisionsverkets centrala IT-baserade ekonomisystem. Ansvaret för informationen åvilade dock fortfarande respektive enskild myndighet. Riksrevisionsverket ansågs inte ha behörighet att utan samtycke lämna ut informationen. Således disponerade man inte över informationen, utan det var endast fråga om en rent teknisk lagring. Enligt Regeringsrätten var handlingarna därför inte att anse som allmänna.
När det gäller cookies saknas emellertid dessa förutsättningar helt. Informationen skickas mer eller mindre dold till användaren och är i förekommande fall ett resultat som så att säga följer "på köpet" av den tekniska kommunikationen mellan webbservern (avsändaren) och den enskilde användaren (mottagaren). Det finns ingen överenskommelse mellan aktörerna som tar sikte på att den ena skall utföra teknisk lagring eller teknisk bearbetning för den andre. Inte ens om man ställt in sin webbläsare så att man blir underrättad varje gång en cookie skickas till den egna datorn, kan något faktiskt uppdrag eller liknande i nu avsedd mening anses ha kommit till stånd. Snarare är detta endast att anse som ett godkännande av att man är villig att ta emot en viss typ av information, eller - annorlunda uttryckt - att myndigheten i förväg ges möjlighet att acceptera en viss inkommande handling.
Därtill kommer att myndighetens förfoganderätt på intet sätt är inskränkt. Cookie-filen är, som tidigare nämnts, enkelt åtkomlig och redigeringsbar samt, framför allt, möjlig att radera. Eftersom det inte finns något ömsesidigt viljeförhållande mellan parterna - cookien skickas frivilligt och helt i avsändarens eget intresse - finns i allmänhet heller ingen möjlighet för denne att kontrollera cookiens senare användning. Såvida inga uttryckliga restriktioner givits av avsändaren kan det därför inte heller rimligen krävas något samtycke från denne.
Mot bakgrund av ovanstående resonemang kan en cookie svårligen betraktas som en handling som förvaras av en myndighet endast som ett led i teknisk lagring för annans räkning.
Slutsats
Rent generellt kan en cookie sägas ha enbart ett tekniskt syfte, dvs. att utgöra underlag för vissa tekniska funktioner såsom de bl.a. beskrivits ovan. Detta är inget ovanligt fenomen med dagens moderna datorer och med hänsyn till hur tekniken är uppbyggd, dvs. att relativt okomplicerade textsträngar fungerar som en typ av styrdokument. Detta förringar dock i sig inte en cookies eventuella upplysningsvärde och skall i sin tur heller inte misstolkas till att innebära att den endast är ett led i en teknisk lagring i den mening som avses i 2 kap. 10 § TF. Den bestämmelsen måste snarare avse just den aktiva åtgärden att faktiskt ta hand om någon annans IT-upptagningar för detta ändamål.
Ovan har också nämnts att cookie-filer endast har ett begränsat värde när det gäller att belysa det som sökanden i målet önskar få vetskap om, dvs. uppgift om vilka Internetsidor kommunalråden besökt. Detta är dock inget självständigt skäl för att hindra att de bakomliggande syftena för allmänhetens insynsrätt tillåts slå igenom. I vissa fall ger cookies information om det som nu efterfrågats. Det skulle också rimma dåligt med dessa syften om offentlighetslagstiftningen tolkades på detta restriktiva sätt och det skulle i praktiken innebära att informationsteknikens möjligheter togs tillvara på ett sätt som skulle leda till nackdel för den enskildes insynsmöjligheter - trots att snarare det omvända bör vara ledstjärnan. De undantag som finns ifråga om insynsrätten har i allmänhet helt rimliga orsaker som har att göra med den demokratiska intresseaspekten, myndigheternas arbetsro, rena praktikabiliteter etc. Inget av dessa intressen synes dock vara hotat i detta fall.
Statskontoret menar sammanfattningsvis att en cookie skall betraktas som en enligt 2 kap. 3 och 6 §§ TF inkommen och förvarad handling. Något undantag synes inte vara tillämpligt. Inte heller har några sekretesshinder åberopats varför de begärda handlingarna i princip genast skall lämnas ut.
Juridiska institutionens yttrande utformades av professorn i rättsinformatik P.S.l. Denne anförde följande.
1. Statskontoret och Datainspektionen har i sina yttranden om cookie- filer och historikfiler, från något olika utgångspunkter och med olika slutsatser, redogjort för den tekniska innebörden hos dessa begrepp. Jag finner det inte nödvändigt att fördjupa denna beskrivning. Några påpekanden av särskild betydelse för den rättsliga bedömningen är emellertid på sin plats.
(a) Gränsen mellan den enskilda myndighetens databehandlingssystem och dess omgivning ute på datanäten blir alltmer flytande. Åtgärder som utförs i de datorer som ingår i en viss myndighets interna datanät kan således initieras utifrån, funktioner i hemmadatorerna samspelar med funktioner i datorer på annat håll, funktioner kan vara avsedda för både myndighetsinterna syften och syften som har med omgivningen att göra osv. Många informationsresurser "samägs" och samutnyttjas således av interna och externa aktörer. Fenomenet kommer att bli alltmer utbrett och vanligt i takt med att databehandling och datakommunikationer integreras allt mer.
(b) Funktionerna hos den typ av filer som är aktuella i målen är kombinatoriska med avseende på syften och användning. Mer precist kan de sägas ha en sida vänd mot den tekniska omgivningen, en annan vänd mot den mänskliga. De skall med andra ord bidra till att säkerställa en viss teknisk funktionalitet hos utrustningen. Samtidigt skall de möjliggöra för människor att använda utrustningen på visst sätt, att följa hur utrustningen används eller har använts, att avhjälpa fel och komma till rätta med störningar osv.
(c) Myndigheterna bör eftersträva att ge sina databehandlingssystem en s.k. god offentlighetsstruktur. Detta innebär att funktioner och filer m.m. skall på förhand ha studerats och bedömts med avseende på sina rättsliga egenskaper och rättsliga konsekvenser. I 15 kapitlet sekretesslagen finns vissa anvisningar om åtgärder för att skapa en god offentlighetsstruktur. Uppgiften är emellertid mer omfattande än så. Många av de svårigheter som myndigheterna ställs inför när det gäller krav på insyn i den IT-stödda informationsbehandlingen hänger samman med brister i offentlighetsstrukturen eller felaktiga bedömningar av rättsreglernas innebörd. Skälen till svårigheterna är välkända: Teknikutvecklingen kan ta överraskande vändningar. Den kombinerade juridisk-tekniska analysen av informationsbehandlingen kan, som framgår av (a) och (b) här ovan, vara krävande. Inte sällan saknas tydlig ledning i lagen. Därför är det inte ägnat att förvåna att de aktuella målen ger exempel på att också grundläggande synsätt kan starkt skilja sig åt. Cookie-filerna beskrivs t.ex. från ett håll som en förlängning av Internet och därigenom som en del av ett bibliotek enligt 2 kap. 11 § punkt 3. Från ett annat håll beskrivs de som myndighetens egna, administrativa filer.
2. Både cookie-filer och historikfiler är upptagningar enligt 2 kap. 3 § första stycket TF. De har ett informationsinnehåll uttryckt i bokstäver och siffror som kan göras uppfattbart med hjälp av teknisk utrustning.
Informationsinnehållet är inte av rent teknisk natur, även om det, framför allt ifråga om cookie-filerna, har tydlig anknytning till teknisk funktionalitet. Informationen kan läsas av människor, t.ex. med avsikt att få upplysningar om vilka webbplatser som uppsökts från en viss datorutrustning. Med den vida innebörd offentlighetsprincipen har, kan det knappast komma ifråga att låta det tekniska (del)ändamålet utesluta att betrakta filerna som en typ av upptagningar/handlingar enligt TF. Detta utesluter inte att det finns skäl som talar för att vissa typer av rent "tekniska" upptagningar bör uteslutas från handlingsbegreppet. Sådana upptagningar skulle, med Datalagskommitténs ord (SOU 1997:39, s. 565) kunna karaktäriseras så att de inte lämnar några "sakuppgifter i sitt sammanhang". Gällande rätt ger emellertid inte grund för distinktioner av detta slag. Om de skall införas är det angeläget att de får en generell och samtidigt någorlunda precis formulering och inte anknyts endast till någon viss företeelse som t.ex. cookie-filer.
3. Filerna i målen får anses förvarade i enlighet med 2 kap. 3 § andra stycket TF. Olika datormiljöer kan förutsätta något olika tillvägagångssätt för att åstadkomma utskrifter på datorskärm eller på papper, men det handlar om enkla tillvägagångssätt. Utskrifterna i bilagan till detta yttrande har tagit bara några minuter att åstadkomma.
4. Det är något osäkert till vilken kategori av handlingar enligt TF filerna kan anses höra. Ett möjligt synsätt för cookie-filer är att det ursprungligen är fråga om en inkommande upptagning. Datoranvändaren kan bestämma om denna skall tas emot eller ej och hur den fortsättningsvis skall hanteras - det går att spärra eller på annat sätt styra cookie- funktionen i den egna datorn och det finns även speciell programvara (som "Cookie Crusher") utöver de vanliga webbläsarna för att kontrollera cookies. Datoranvändaren kan välja att låta en cookie-fil automatiskt skapas över vilken datoranvändaren därefter själv förfogar. Det går t.ex. bra att gå in i denna fil och städa och radera. Cookie-filen kan betraktas som ett fortlöpande register över cookie-meddelanden, ett register som är upprättat i och med att det finns tillgängligt för att ta emot uppgifter.
Det synsätt som här valts och som innebär att cookie-information betraktas som inkommande upptagningar, vilka vid den fortsatta behandlingen kan komma att ingå i ett fortlöpande register sammanhänger (a) med den kvasitekniska karaktären hos cookie-information, (b) med den flytande gränsen mellan intern och extern verksamhet som berörts i punkt 1 ovan och (c) med datoranvändarens möjligheter att redan från början förfoga över cookie-uppgifterna.
Synsättet att datoranvändaren bearbetar eller lagrar cookie-upptagningar för annans räkning kan knappast vara riktigt. Snarast har vi ett fall av sambruk, i princip till gemensam nytta, varvid det naturliga är att låta datoranvändarens förfoganderätt över cookie-upptagningarna fälla utslaget.
5. Historikfilerna skapas automatiskt i användarens dator och innehåller information om besökta webbsidor med tidsangivelser. Här föreligger ett förhållandevis klart fall av fortlöpande register enligt 2 kap. 7 § andra stycket p. 1 TF. Datoranvändaren kan ha anledning att använda detta register för att t.ex. söka fram uppgifter om tidigare webbutflykter, varvid särskilda sökprogram kan hjälpa till. Också historikfilerna kan raderas och de kan styras så att äldre information efterhand försvinner ur registret.
6. I filerna kommer information av olika slag att blandas. Det kan t.ex. vara så att cookie-information härrör från en webbplats som faktiskt aldrig har använts eller att historikfiler lämnar upplysningar om användning av bibliotek som finns tillgängliga på Internet (jfr 9 kap. 22 § sekretesslagen). Det kan också vara så att viss information handlar om sådant som skett i myndighetsverksamhet medan annan information rör sådant som är rena privatärenden. På sin lunchrast kan t.ex. en anställd ha betalt månadens privaträkningar på en Internetbank och för egen räkning ha beställt några böcker hos en Internetbokhandel. Det kan finnas information som har betydelse för säkerhetsskyddet hos myndigheten och som därför aktualiserar sekretesskydd enligt 5 kap. 2 § sekretesslagen. Filerna är således från informationssynpunkt blandade och kan därmed vara problematiska. Detta gäller också deras förhållande till datalagen respektive personuppgiftslagen. Uppgifter i en viss fil kan knappast anses knutna till en viss person, om inte möjligheter finns att fastställa att endast någon viss individ har kunnat använda utrustningen vid de tillfällen som är aktuella.
7. Även om cookie- och historikfilerna i princip är att betrakta som förvarade och upprättade handlingar kan man ifrågasätta om inte ett utlämnande bör föregås av en genomgång av informationen för att skilja ut sådant som helt saknar anknytning till myndighetsverksamheten och som inte heller eljest kastar ljus över denna. Sekretessprövning måste i varje fall ske. Därvid kan man överväga att tillämpa 9 kap. 7 § sekretesslagen på ett sådant sätt att den åstadkommer samma effekt som ett avskiljande av rena privatuppgifter. De privata personuppgifterna i filerna (t.ex. om ett bankbesök) skulle då anses befinna sig hos myndigheten enbart för teknisk bearbetning eller teknisk lagring inte för myndighetens egen räkning utan för annans räkning, nämligen datoranvändaren som privatperson. Mot en sådan lösning talar risken för godtycklighet och etablerandet av hinder mot insyn som inte har tydligt stöd i lagstiftningen om handlingsoffentlighet. Det förefaller vara en lämpligare och mer rättssäker väg att myndigheterna har klara, interna regler om gallring av upptagningar i cookie- och historikfiler.
Regeringsrätten (1999-04-14, Werner, Rundqvist, Eliason, Hulgaard) yttrade: Skälen för Regeringsrättens avgörande. Enligt 2 kap. 3 § TF förstås med handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän, om den förvaras hos myndighet och enligt samma kapitel 6 eller 7 § är att anse som inkommen till eller upprättad hos myndighet. Upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. En upptagning anses enligt 2 kap. 6 § inkommen till myndighet när annan har gjort den tillgänglig för myndigheten i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.
Enligt 2 kap. 10 § TF anses handling som förvaras hos myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning ej som allmän handling hos den myndigheten.
Såväl i kammarrättens dom som i de avgivna yttrandena har beskrivits cookie-filens funktion, den information den förmedlar och på vilket sätt informationen når mottagarens dator. I likhet med kammarrätten finner Regeringsrätten att en cookie-fil är - i den mening som avses i TF - att betrakta som en hos myndigheten förvarad handling som inkommit dit.
Däremot kan Regeringsrätten inte finna att det finns stöd för att anse att cookie-filen skulle vara förvarad hos myndigheten endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning. Det förekommer inte någon teknisk bearbetning. Även om det skulle vara fråga om teknisk lagring i någon mening kan det dock i vart fall inte sägas att denna sker för någon annans räkning. Bl.a. har mottagaren möjlighet att avstå från att ta emot informationen och att radera den. Avsändaren saknar däremot möjlighet att förfoga över informationen. Då inte heller något annat undantag enligt 2 kap. TF är tillämpligt är cookie-filen således att betrakta som allmän handling och skall lämnas ut till A.L.. om hinder inte föreligger på grund av bestämmelser om sekretess. Då någon sekretessprövning inte har företagits bör målet återförvisas till Göteborgs kommun för en sådan prövning.
Regeringsrättens avgörande. Regeringsrätten upphäver kammarrättens dom och Göteborgs kommuns beslut och visar målet åter till kommunen för handläggning i enlighet med det ovan anförda.
II
F.L. begärde hos Mölndals kommun att få ta del av den s.k. globalfil som fanns i stadsjuristen J.P:s dator.
Mölndals kommun (1998-04-14) yttrade: Kommunstyrelsen avslår Er begäran att ta del av stadsjuristens globalfil. Som stöd för beslutet åberopas följande grunder var för sig. - 1. Globalfilen är inte någon allmän handling. - 2. Uppgifterna på globalfilen omfattas av sekretess enligt 9 kap. 22 § sekretesslagen (1980:100), alternativt 12 kap. 7 § sekretesslagen och kommunstyrelsen bedömer att ett utlämnande skulle medföra skada eller men för uppgiftshavaren. - 3. Ett utlämnande av globalfilen skulle kränka stadsjuristens grundlagsskyddade rätt till personlig integritet. - Motivering - En globalfil kan förenklat sägas vara en elektronisk märkning av sökningar på Internet. Genom att studera dessa märkningar går det att följa användarens väg på nätet och dra slutsatser om användarens beteende och preferenser. Filen produceras på användarens dator. - Är globalfilen en allmän handling - En globalfil är en handling enligt den definition som finns i 2 kap. 3 § TF. Där sägs vidare att en handling är allmän, om den förvaras hos myndighet och enligt 2 kap. 6 eller 7 §§ är att anse som inkommen till eller upprättad hos myndighet. Globalfilen torde vara att anse som förvarad på myndigheten enligt vad som framgår av 2 kap. 3 § andra stycket TF. - Däremot uppfyller inte handlingen (globalfilen) kravet på att anses inkommen till eller upprättad hos myndigheten. Handlingen har producerats i kommunens egen dator och kan därmed inte anses inkommen. Handlingen är inte heller expedierad och kan inte sägas vara färdigställd. Då ingen av dessa förutsättningar är uppfyllda är handlingen inte att anse som allmän och behöver därför inte lämnas ut. - Handlingen i fråga måste betraktas som motsvarande de handlingar som inte nått eller når ett visst handläggningsstadium, dvs. status av allmän handling. Den kan jämställas med en rent teknisk bearbetning, minnesanteckning, handling jämställd med utkast eller koncept eller handling upprättad endast för befordran av meddelande. Handlingen bör också kunna anses vara utlöpare av vad som i lagstiftningen anges som bibliotek. - En globalfil uppfyller inte det som krävs för att den skall vara en allmän handling. - Sekretess - Enligt 9 kap. 22 § sekretesslagen gäller sekretess i biblioteksverksamhet för uppgiftsregister om enskilds lån, reservation eller annan form av beställning, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men. - Syftet med denna bestämmelse är att förhindra att i ett enskilt fall uppgifter om vilka böcker en person lånar används på ett sätt som för låntagaren leder till skada eller men. Möjligheten att kartlägga en persons intresseområden utgör ett klart hot mot den personliga integriteten. - Internet är närmast att betrakta som ett gigantiskt bibliotek. Om kommunen skulle lämna ut globalfilen innebär detta att andra personer, eller massmedia, skulle kunna kartlägga en enskild persons intressen, t.ex. politiska åskådning, religiösa intresse, beteende eller preferenser. - Ett utlämnande av sådana uppgifter skulle kunna medföra skada eller men för den det gäller. - Av 12 kap. 7 § sekretesslagen om absolut sekretess för uppgift som inhämtas avseende telefonsamtal framgår ett starkt skydd för den personliga integriteten i kommunikationssammanhang. Bestämmelsen innefattar även skydd för anställd. Globalfilen är det elektroniska samhällets motsvarighet till den registrering som sker i en telefonväxel. - Den personliga integriteten - Enligt vad som framgår ovan skulle en möjlighet att ta del av en Internetanslutens globalfil innebära att man kan kartlägga en persons intressen, åskådning, beteende, prefenser och dylikt. - Den personliga integriteten skyddas av regler i 2 kap. 2 § regeringsformen, artiklarna 8-10 i Europakonventionen om de mänskliga rättigheterna och grundläggande friheterna samt även i Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behandling av personuppgifter (95/46/EG). - Skyddet för den personliga integriteten omfattar även anställda i offentlig tjänst. Även om informationshämtningen på Internet sker i den kommunala verksamheten föreligger, genom kartläggningen av adresserna i sig, risk för sådan kränkning. - Vid konflikt mellan den svenska offentlighetsprincipen, om än grundlagsfäst, äger skyddet för den personliga integriteten genom regeringsformen och europeisk lagstiftning företräde.
F.L. vidhöll i överklagande sin begäran. Han anförde i huvudsak följande. Att kunna granska den kommunala myndighetsutövningen - var kommunen sökte information, vilken typ av information kommunen tog del av och vilka resurser som lades ned på informationssökning - var av synnerlig vikt för demokratin. Globalfilen var en ren händelseförteckning över vilka platser på Internet som besökts med användande av J.P:s dator. Filen skapades i och med att "webbläsaren" i form av programmet Netscape installerats. Filen försågs kontinuerligt med noteringar om vilka hemsidor som besökts och vilka filer som hämtats därifrån. Globalfilen kunde alltså jämställas med ett diarium. Till skillnad från s.k. cookie-filer var globalfilen inte något som skapas av någon annan dator. Globalfilen var inte heller ett sådant utlåningsregister som avsågs i 9 kap. 22 § sekretesslagen. Den bestämmelsen skyddade uppgifter om vem som lånat en bok på ett bibliotek och vilken bok som lånats men bestämmelsen omfattade inte globalfiler. Globalfilen kunde inte heller jämställas med sådana telefonsamtal som avsågs i 12 kap. 7 § sekretesslagen.
I ett yttrande till kammarrätten den 14 maj 1998 vidhöll Mölndals kommun sin uppfattning och föreslog i samband därmed att kammarrätten skulle begära ett förhandsavgörande av EG-domstolen om hur offentlighetsprincipen förhöll sig till EG-rättsliga principer om skydd för enskilds personliga integritet.
Kammarrätten i Göteborg (1998-06-30, Dyhre, Wileke, Bodin, referent) yttrade: Den första frågan som måste besvaras är om den begärda s.k. globalfilen utgör en allmän handling. Enligt 2 kap. 3 § TF förstås med handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän, om den förvaras hos myndighet och enligt samma kapitel 7 § är att anse som upprättad hos myndighet. Upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (3 § andra stycket). Enligt 7 § första stycket anses handling upprättad när den har expedierats. Handling som ej har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten eller, om handlingen ej hänförs till visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts. Sådan handling som utgörs av diarium, journal samt sådant register eller annan förteckning som föres fortlöpande anses upprättad när handlingen har färdigställts för anteckning eller införing (7 § andra stycket 1.). Annan myndighets protokoll eller och därmed jämförliga anteckningar anses upprättade när handlingen har justerats av myndigheten eller på annat sätt färdigställts (7 § andra stycket 3.). De regler för vilka nu redogjorts gäller inte för samtliga hos myndighet framställda handlingar. För minnesanteckningar gäller vissa avvikande regler. Enligt 9 § skall hos myndighet tillkommen minnesanteckning som ej har expedierats ej heller efter den tidpunkt då den enligt 7 § är att anse som upprättad anses som allmän handling hos myndigheten, om den icke tages om hand för arkivering. Med minnesanteckning förstås promemoria och annat uppteckning eller upptagning som har kommit till endast för ärendes föredragning eller beredning, dock ej till den del den har tillfört ärendet sakuppgift. - Kammarrätten har inhämtat information om vad en s.k. globalfil (även benämnd historyfil) är. Mot bakgrund av denna information anser kammarrätten att den kan beskrivas på följande sätt. Filen är till för att underlätta för den som uppsöker hemsidor på Internet att hitta tillbaka till de hemsidor som besökts. I filen lagras adresserna till hemsidorna. Det är programmen för sökning på Internet, såsom Netscape och Microsoft Internet Explorer, som fyller på uppgifter i filen. Filen har en bestämd storlek. När den är full raderas gammalt material till förmån för nytt. För en aktiv internetsurfare blir filen full efter några dagar. Användaren kan själv bestämma hur gammal informationen får bli. Uppgifterna kan såväl redigeras som raderas.
Kammarrätten kan inte finna annat än att en globalfil/historyfil endast utgör ett hjälpmedel som tillhandahålls av de använda programmen för den som söker hemsidor på Internet. Samma funktion skulle kunna fås om användare för hand förde anteckningar om adresserna till hemsidorna. Eftersom uppgifterna inte hör till ett visst ärende kan de inte utgöra hos myndighet tillkomna minnesanteckningar. För handlingar eller upptagningar som saknar anknytning till ett visst ärende gäller i stället reglerna i 7 § andra stycket 3. Anteckningarna har inte justerats av myndigheten eller på annat sätt färdigställts. Den omständigheten att filen utgör en slags förteckning som förs fortlöpande kan inte leda till att den betraktas som ett diarium eller liknande med stöd av 7 § andra stycket 1. Den i målet aktuella globalfilen/historyfilen kan därmed inte anses som en handling som upprättats av myndigheten Mölndals kommun och är därmed inte allmän. Vid denna utgång saknas det skäl att pröva om uppgifterna i den fil som begärs utlämnad omfattas av sekretess och ej heller skäl att begära förhandsavgörande av EG-domstolen. - Kammarrätten avslår överklagandet.
F.L. yrkade i överklagade hos Regeringsrätten att han skulle få ta del av globalfilen (även benämnd history-file eller historikfil) hos stadsjuristen J.P. i Mölndals kommun. Till grund för sin talan anförde han i huvudsak att en globalfil närmast kan jämställas med en sådan handling som avsågs i 2 kap. 7 § andra stycket 1 i TF och att den därför är en allmän handling.
Prövningstillstånd meddelades.
På Regeringsrättens begäran avgav Datainspektionen, Statskontoret och Stockholms universitet, Institutet för rättsinformatik vid Juridiska institutionen, yttranden.
Datainspektionen anförde i huvudsak följande.
Kammarrätten i Göteborg har gjort en riktig beskrivning i sin dom av vad en globalfil är. Det kan understrykas att syftet är att tekniskt underlätta informationssökning, inte att föra information över besökta webbplatser. Det är alltså inte fråga om någon nödvändig förteckning som inrättas för att administrera information (jfr RÅ 1998 ref. 44).
Datainspektionen har inga invändningar mot kammarrättens bedömning.
Statskontoret anförde bl.a. följande.
Teknisk beskrivning av historikfiler
De webbläsare som används för att läsa och titta på sidor på Internet lagrar fortlöpande information om vilka webbplatser en användare har besökt. Funktionen finns hos alla större webbläsare, men kan ha olika namn i olika läsare (t.ex. "Tidigare" eller "Historik"). Det gemensamma och primära syftet med denna funktion är - oavsett vilken webbläsare som används - att ge användaren en enkel och snabb möjlighet att åter vända till tidigare besökta webbplatser. På köpet får man även en loggfil över vilka platser som besökts. Användaren kan till stora delar själv styra och anpassa funktionen i enlighet med de möjligheter som webbläsarprogrammet ger.
Vad som lagras är beroende av vilket webbläsarprogram som används. Webbläsaren Netscape Navigator lagrar både sidans adressuppgift och uppgift om de eventuella bilder som finns på sidan. Uppgifterna lagras i en enda fil (kallad "netscape.hst"). Microsofts webbläsare Internet Explorer lagrar endast sidornas adressuppgifter. Uppgifterna lagras i detta fall i flera filer, en för varje besökt webbsida.
Uppgifterna som lagras med webbläsaren Navigator får man enklast fram genom att i läsarens adresseringsfält skriva about:global. Härigenom visas de besökta webbsidornas adresser direkt på en sida i webbläsaren. Sidan kan därefter skrivas ut på samma sätt som man skriver ut en sida i ett vanligt ordbehandlingsprogram. Ett annat sätt att få fram uppgifterna är att välja ett inbyggt menyval som kallas "Historik". Adresserna visas i detta fall något annorlunda än vad som nyss beskrivits, nämligen som en lista i ett vanligt mappfönster. Det är dock en tämligen okomplicerad åtgärd att spara denna lista som en textfil och sedan skriva ut den filen i stället. Oavsett metod torde det röra sig om en åtgärd som kan göras med några få inmatningar via tangentbordet och under en tidsrymd av någon minut.
För Internet Explorer gäller att man kan se de besökta adresserna i Windows interna filhanterare "Utforskaren" som undermappar till mappen "Tidigare" på hårddiskens rotnivå (C:\Windows\Tidigare). I vissa fall anges adressen i klartext (t.ex. http://www.regeringen.se), men ibland visas endast ett s.k. Internet Protocol-nummer (t.ex. http://130.237.176.106).
Internet Explorer lagrar adressuppgifterna i separata filer (en för varje besökt webbplats). Filerna sorteras därefter i ytterligare hierarkiska steg (kronologiskt efter datum då webbplatsen besöktes, samt även samlade efter webbplatsens huvudadress i de fall någon underadress till denna besökts). Därigenom kompliceras åtkomsten något jämfört med mot svarande funktion i Netscape Navigator. Det är fortfarande mycket enkelt att få fram informationen på skärmen för direktavläsning, men att göra en utskrift kräver åtgärder i flera steg. Beroende på hur många dagars besökande man vill presentera, kan man behöva kopiera och klistra in adressuppgifter i ett vanligt textdokument ett antal gånger för varje dag. Det rör sig dock inte heller här - vilket är viktigt att poängtera - om några komplicerade eller tekniskt avancerade åtgärder, utan endast om några fler steg som gör processen något mer tidsödande. Tidsåtgången torde dock i vart fall inte överstiga en timme.
Både Navigator och Internet Explorer ger möjlighet att välja hur många dagar som historikfilerna ska lagras. I de senaste versionerna av respektive läsare kan man - åtminstone teoretiskt - ange ända upp till 999 dagar. Däremot förefaller det inte finnas någon möjlighet till begränsning av själva filstorleken. Filstorleken i Navigator - eller antalet filer i Internet Explorer - begränsas således av den tidsbaserade variabel som användaren valt vid inställningen, och inte av någon kvantitativ storleksvariabel i form av "bytes" eller liknande. Utifrån denna tidsbaserade variabel raderas sedan historikuppgifter som är äldre än angivet antal dagar som skall sparas, samtidigt som nya uppgifter fortlöpande fylls på vartefter nya webbplatser besöks. Användaren kan redigera och i förtid radera uppgifterna, eller välja att arkivera dem.
Historikfiler i förhållande till TF:s regelverk
För att avgöra om en historikfil är en allmän handling enligt 2 kap. TF, är det nödvändigt att ge svar på följande fem delfrågor, nämligen:
* Är en historikfil att anse som en handling?
* Kan historikfilen anses förvarad?
* Till vilken kategori handlingar i 2 kap. TF hör
historikfiler?
* Är historikfilen att anse som upprättad?
* Är något undantag tillämpligt?
Är en historikfil att anse som en handling?
Enligt Statskontorets uppfattning är en historikfil att betrakta som en handling i TF:s mening. Historikfilen kräver tekniskt hjälpmedel för att kunna uppfattas. Den är således en upptagning av det slag som anges i 2 kap. 3 § första stycket TF. En upptagning är inte en fysisk enhet utan en informationsenhet, dvs. en sammanställning av uppgifter med ett logiskt och sakligt samband. Oavsett vilken webbläsare som används och på vilket sätt informationen lagras (i flera separata filer eller i en och samma fil) består det logiska och sakliga sambandet i nu avsedd mening av den sammanhållna informationsmängd som utgör en eller flera adressuppgifter över vilka webbplatser en viss användare besökt.
Kan historikfilen anses förvarad?
Upptagningar är att anse som förvarade i TF:s mening om de är enkelt och rutinmässigt tillgängliga för myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra stycket TF). Enkelheten och rutinmässigheten bestäms av hur myndigheten ordnat sin elektroniska informationshantering vid en viss given tidpunkt samt av de möjligheter till sökning och sammanställning som myndigheten har i ett aktuellt fall. Förvaringskriteriet gäller således inte bara beträffande sådana handlingar som är lätta att identifiera i sin fixerade form, utan även sådana som är möjliga att framställa, så länge det kan ske rutinmässigt. I sammanhanget brukar begreppet potentiella handlingar användas som en beskrivning för sådana handlingar. En historikfil är inte svår att vare sig skapa eller lokalisera på en dator och kräver heller inte att några komplicerade urval eller sammanställningar görs. Filen kan med enkla medel avläsas på stället eller tas ut i form av utskrift på papper.
De undantag som anges i 2 kap. 3 § andra stycket TF - dvs. om det är fråga om ett personregister enligt datalagen (1973:289) eller om lag, förordning eller särskilt beslut som grundar sig på lag hindrar en överföring - synes inte vara aktuella i målet.
Till vilken kategori handlingar i 2 kap. TF hör historikfiler?
Statskontoret anser att en historikfil funktionellt kan beskrivas som en löpande förd förteckning. Vid traditionell hantering av förteckningar och andra liknande handlingar skrivs händelser in fysiskt genom en aktiv åtgärd från en person. Historikfilen skapas automatiskt av de webbläsarprogram som används för att läsa sidor på Internet och är ett resultat av en standardfunktion i programvaror av detta slag. Denna skillnad i formen för själva upprättandet torde dock sakna självständig betydelse i detta sammanhang. Enligt Statskontorets uppfattning skall således en historikfil jämställas med ett sådant "register eller annan förteckning som föres fortlöpande" (2 kap. 7 § andra stycket 1 TF).
Det skulle kunna hävdas att förteckningen inte är av det fortlöpande slag som förutsätts enligt bestämmelsens ordalydelse. Skälet för en sådan åsikt skulle kunna vara att förteckningen kan raderas fritt efter användarens val, att användaren har möjlighet att ge förteckningen en bestämd livslängd, eller att förteckningen är en obestämd informationssamling som kontinuerligt byts ut. Det kan också förekomma att register och liknande tillkommer endast som en engångsinsats och för ett specifikt ändamål eller för att ordna en viss typ av material. Statskontoret kan dock inte se att dessa argument skulle påverka bedömningen av huruvida det är fråga om en förteckning som förs fortlöpande eller ej. För det första kan en historikfil inte ges en statisk innebörd. Den är definitivt att anse som en fortlöpande förd förteckning eftersom den kontinuerligt tillförs nya uppgifter. En historikfil kan för det andra inte heller anses vara av den tillfälliga beskaffenhet som beskrivits ovan. Visserligen kan användaren själv tidsbestämma hur länge de enskilda uppgifterna skall finnas kvar i förteckningen, men det förtar inte på något sätt förteckningens karaktär i sig av att vara fortlöpande förd. "Gallringsmöjligheten" kan således inte självständigt få avgöra om det är fråga om fortlöpande förd förteckning eller ej.
I detta fall - liksom f.ö. i fallen med cookie-filerna - handlar det också om vad som skulle kunna kallas rent programgenererad information, dvs. olika typer av uppgifter etc. som framställs med automatik och utan hjälp av direkta och aktiva åtgärder från någon person. Enligt Statskontorets mening bör detta dock inte tillmätas någon självständig betydelse med utgångspunkt från den allmänna insynsrätten enligt offentlighetsprincipen. En parallell kan här göras till ett mål som var före mål för Regeringsrättens bedömning tidigare i år (RÅ 1998 ref. 44).Målet gällde en förteckning över inkommande och utgående e-post hos en kommun. Även detta är en automatiserad funktion som finns i dagens moderna meddelandesystem och som resulterar i information som är genererad av det aktuella programmet, snarare än genom aktiva åtgärder från en enskild person. Regeringsrätten ansåg då, i likhet med bl.a. Statskontorets yttrande (Statskontorets diarienr 148/98-4), att det rörde sig om en förteckning som förs fortlöpande enligt 2 kap. 7 § andra stycket 1 TF. Stora funktionsmässiga likheter finns mellan denna e-postförteckning och den webbplatsförteckning som avses i det nu aktuella målet.
Det finns också en annan kategori handlingar - de s.k. mellanprodukterna - som enligt 2 kap. 9 § andra stycket TF blir att anse som allmänna handlingar endast om de tas om hand för arkivering. I detta ligger att de skall ha en osjälvständig karaktär och endast utgöra ett led i fram ställningen av en slutprodukt. En historikfil saknar emellertid karaktären av att endast utgöra ett sådant mellanled i behandlingen - snarare utgör den i sig själv en slutprodukt - och som sådan kan den därför knappast ges den osjälvständiga betydelse som bestämmelsen i 2 kap. 9 § TF tar sikte på.
Är historikfilen att anse som upprättad?
Gemensamt för de handlingar som avses i 2 kap. 7 § andra stycket 1 TF, är att de blir att anse som allmänna "på ett mycket tidigt stadium" (se Bohlin, Offentlighetsprincipen, 5:e uppl, Stockholm 1996, s. 74). Samma regler gäller i detta avseende för upptagningar som för traditionella handlingar. Upptagningar som utgör förteckningar som förs fortlöpande får, precis som förteckningar i pappersform, således anses upprättade redan när de färdigställts för anteckning eller införing. I det nu aktuella målet innebär detta att historikfilen får anses upprättad i samma ögonblick som webbläsarprogrammet tekniskt börjar anteckna vilka webbplatser som användaren besöker.
Är något undantag tillämpligt?
Uttryckliga bestämmelser om undantag från allmänna handlingars offentlighet finns i bl.a. 2 kap. 10-11 §§ TF. Statskontoret kan inte se att någon av dessa bestämmelser skulle kunna bli tillämplig i detta fall. Undantaget i 10 § om handlingar som förvaras hos myndigheten endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning, torde i första hand avse inkomna - inte upprättade - handlingar. Inte heller torde någon av de uppräknade situationerna i 11 § (kanske med särskilt fokus på punkterna 1 och 3) vara för handen. Det kan nämligen knappast anses vara fråga om ett sådant befordringsmeddelande som avses i första punkten, och att anse Internet som ett bibliotek - och således en historikfil som en utlöpare av detta bibliotek - skulle leda alltför långt ifrån vad som enligt normalt språkbruk skall förstås med bibliotek.
Slutsats
Sammanfattningsvis anser Statskontoret att en historikfil skall betraktas som en enligt 2 kap. 3 § respektive 7 § andra stycket 1 TF förvarad och upprättad förteckning som förs fortlöpande. Historikfilen är således en allmän handling och skall enligt 2 kap. 12 alternativt 13 §§ TF i princip lämnas ut genast. Statskontoret gör dock - som påpekats i inledningen till detta yttrande - ingen bedömning av huruvida eventuell sekretess kan tänkas föreligga för de i förteckningen ingående adressuppgifterna.
Statskontoret vill också avslutningsvis framhålla den generella ståndpunkten att, även om den moderna informationstekniken ibland förorsakar vissa tillämpningssvårigheter med utgångspunkt från gällande lagstiftning, så bör det i grunden alltid ligga en presumtion för offentlighet. Härtill kan läggas innebörden av den s.k. likställighetsprincipen, dvs. att allmänheten skall ha samma tillgång till upptagningar som myndigheten själv åtnjuter (se t.ex. prop. 1990/91:60, s. 28). Det saknar härvidlag betydelse om myndigheten har ett eget behov av att framställa en viss upptagning eller ej. Den helt avgörande omständigheten för ett eventuellt utlämnande är istället om upptagningen kan göras tillgänglig med enkla och rutinmässiga åtgärder (se Bohlin, a. a. s. 47). Detta naturligtvis sagt under den förutsättningen att inte sekretess eller något annat hinder föreligger för dess offentliggörande. Det borde inte vålla några större svårigheter vid tillämpningen av gällande regelverk om dessa relativt enkla principer kunde följas. Ytterligare en omständighet som bör nämnas i detta sammanhang är att det också är möjligt att med stöd av gallringsföreskrifter enkelt och snabbt rensa bort uppgifter av bagatellmässig natur.
Juridiska institutionens yttrande utformades av professorn i rättsinformatik P.S.l. Denne anför följande.
1. Statskontoret och Datainspektionen har i sina yttranden om cookie- filer och historikfiler, från något olika utgångspunkter och med olika slutsatser, redogjort för den tekniska innebörden hos dessa begrepp. Jag finner det inte nödvändigt att fördjupa denna beskrivning. Några påpekanden av särskild betydelse för den rättsliga bedömningen är emellertid på sin plats.
(a) Gränsen mellan den enskilda myndighetens databehandlingssystem och dess omgivning ute på datanäten blir alltmer flytande. Åtgärder som utförs i de datorer som ingår i en viss myndighets interna datanät kan således initieras utifrån, funktioner i hemmadatorerna samspelar med funktioner i datorer på annat håll, funktioner kan vara avsedda för både myndighetsinterna syften och syften som har med omgivningen att göra osv. Många informationsresurser "samägs" och samutnyttjas således av interna och externa aktörer. Fenomenet kommer att bli alltmer utbrett och vanligt i takt med att databehandling och datakommunikationer integreras allt mer.
(b) Funktionerna hos den typ av filer som är aktuella i målen är kombinatoriska med avseende på syften och användning. Mer precist kan de sägas ha en sida vänd mot den tekniska omgivningen, en annan vänd mot den mänskliga. De skall med andra ord bidra till att säkerställa en viss teknisk funktionalitet hos utrustningen. Samtidigt skall de möjliggöra för människor att använda utrustningen på visst sätt, att följa hur utrustningen används eller har använts, att avhjälpa fel och komma till rätta med störningar osv.
(c) Myndigheterna bör eftersträva att ge sina databehandlingssystem en s.k. god offentlighetsstruktur. Detta innebär att funktioner och filer m.m. skall på förhand ha studerats och bedömts med avseende på sina rättsliga egenskaper och rättsliga konsekvenser. I 15 kapitlet sekretesslagen finns vissa anvisningar om åtgärder för att skapa en god offentlighetsstruktur. Uppgiften är emellertid mer omfattande än så. Många av de svårigheter som myndigheterna ställs inför när det gäller krav på insyn i den IT-stödda informationsbehandlingen hänger samman med brister i offentlighetsstrukturen eller felaktiga bedömningar av rättsreglernas innebörd. Skälen till svårigheterna är välkända: Teknikutvecklingen kan ta överraskande vändningar. Den kombinerade juridisk-tekniska analysen av informationsbehandlingen kan, som framgår av (a) och (b) här ovan, vara krävande. Inte sällan saknas tydlig ledning i lagen. Därför är det inte ägnat att förvåna att de aktuella målen ger exempel på att också grundläggande synsätt kan starkt skilja sig åt. Cookie-filerna beskrivs t.ex. från ett håll som en förlängning av Internet och därigenom som en del av ett bibliotek enligt 2 kap. 11 § punkt 3. Från ett annat håll beskrivs de som myndighetens egna, administrativa filer.
2. Både cookie-filer och historikfiler är upptagningar enligt 2 kap. 3 § första stycket TF. De har ett informationsinnehåll uttryckt i bokstäver och siffror som kan göras uppfattbart med hjälp av teknisk utrustning.
Informationsinnehållet är inte av rent teknisk natur, även om det, framför allt ifråga om cookiefilerna, har tydlig anknytning till teknisk funktionalitet. Informationen kan läsas av människor, t.ex. med avsikt att få upplysningar om vilka webbplatser som uppsökts från en viss datorutrustning. Med den vida innebörd offentlighetsprincipen har, kan det knappast komma ifråga att låta det tekniska (del)ändamålet utesluta att betrakta filerna som en typ av upptagningar/handlingar enligt TF. Detta utesluter inte att det finns skäl som talar för att vissa typer av rent "tekniska" upptagningar bör uteslutas från handlingsbegreppet. Sådana upptagningar skulle, med Datalagskommitténs ord (SOU 1997:39, s. 565) kunna karaktäriseras så att de inte lämnar några "sakuppgifter i sitt sammanhang". Gällande rätt ger emellertid inte grund för distinktioner av detta slag. Om de skall införas är det angeläget att de får en generell och samtidigt någorlunda precis formulering och inte anknyts endast till någon viss företeelse som t.ex. cookie-filer.
3. Filerna i målen får anses förvarade i enlighet med 2 kap. 3 § andra stycket TF. Olika datormiljöer kan förutsätta något olika tillvägagångssätt för att åstadkomma utskrifter på datorskärm eller på papper, men det handlar om enkla tillvägagångssätt. Utskrifterna i bilagan till detta yttrande har tagit bara några minuter att åstadkomma.
4. Det är något osäkert till vilken kategori av handlingar enligt TF filerna kan anses höra. Ett möjligt synsätt för cookie-filer är att det ursprungligen är fråga om en inkommande upptagning. Datoranvändaren kan bestämma om denna skall tas emot eller ej och hur den fortsättningsvis skall hanteras - det går att spärra eller på annat sätt styra cookie- funktionen i den egna datorn och det finns även speciell programvara (som "Cookie Crusher") utöver de vanliga webbläsarna för att kontrollera cookies. Datoranvändaren kan välja att låta en cookie-fil automatiskt skapas över vilken datoranvändaren därefter själv förfogar. Det går t.ex. bra att gå in i denna fil och städa och radera. Cookie-filen kan betraktas som ett fortlöpande register över cookie-meddelanden, ett register som är upprättat i och med att det finns tillgängligt för att ta emot uppgifter.
Det synsätt som här valts och som innebär att cookie-information betraktas som inkommande upptagningar, vilka vid den fortsatta behandlingen kan komma att ingå i ett fortlöpande register sammanhänger (a) med den kvasitekniska karaktären hos cookie-information, (b) med den flytande gränsen mellan intern och extern verksamhet som berörts i punkt 1 ovan och (c) med datoranvändarens möjligheter att redan från början förfoga över cookie-uppgifterna.
Synsättet att datoranvändaren bearbetar eller lagrar cookie-upptagningar för annans räkning kan knappast vara riktigt. Snarast har vi ett fall av sambruk, i princip till gemensam nytta, varvid det naturliga är att låta datoranvändarens förfoganderätt över cookie-upptagningarna fälla utslaget.
5. Historikfilerna skapas automatiskt i användarens dator och innehåller information om besökta webbsidor med tidsangivelser. Här föreligger ett förhållandevis klart fall av fortlöpande register enligt 2 kap. 7 § andra stycket p. 1 TF. Datoranvändaren kan ha anledning att använda detta register för att t.ex. söka fram uppgifter om tidigare webbutflykter, varvid särskilda sökprogram kan hjälpa till. Också historikfilerna kan raderas och de kan styras så att äldre information efterhand försvinner ur registret.
6. I filerna kommer information av olika slag att blandas. Det kan t.ex. vara så att cookie-information härrör från en webbplats som faktiskt aldrig har använts eller att historikfiler lämnar upplysningar om användning av bibliotek som finns tillgängliga på Internet (jfr 9 kap. 22 § sekretesslagen). Det kan också vara så att viss information handlar om sådant som skett i myndighetsverksamhet medan annan information rör sådant som är rena privatärenden. På sin lunchrast kan t.ex. en anställd ha betalt månadens privaträkningar på en Internetbank och för egen räkning ha beställt några böcker hos en Internetbokhandel. Det kan finnas information som har betydelse för säkerhetsskyddet hos myndigheten och som därför aktualiserar sekretesskydd enligt 5 kap. 2 § sekretesslagen. Filerna är således från informationssynpunkt blandade och kan därmed vara problematiska. Detta gäller också deras förhållande till datalagen respektive personuppgiftslagen. Uppgifter i en viss fil kan knappast anses knutna till en viss person, om inte möjligheter finns att fastställa att endast någon viss individ har kunnat använda utrustningen vid de tillfällen som är aktuella.
7. Även om cookie- och historikfilerna i princip är att betrakta som förvarade och upprättade handlingar kan man ifrågasätta om inte ett utlämnande bör föregås av en genomgång av informationen för att skilja ut sådant som helt saknar anknytning till myndighetsverksamheten och som inte heller eljest kastar ljus över denna. Sekretessprövning måste i varje fall ske. Därvid kan man överväga att tillämpa 9 kap. 7 § sekretesslagen på ett sådant sätt att den åstadkommer samma effekt som ett avskiljande av rena privatuppgifter. De privata personuppgifterna i filerna (t.ex. om ett bankbesök) skulle då anses befinna sig hos myndigheten enbart för teknisk bearbetning eller teknisk lagring inte för myndighetens egen räkning utan för annans räkning, nämligen datoranvändaren som privatperson. Mot en sådan lösning talar risken för godtycklighet och etablerandet av hinder mot insyn som inte har tydligt stöd i lagstiftningen om handlingsoffentlighet. Det förefaller vara en lämpligare och mer rättssäker väg att myndigheterna har klara, interna regler om gallring av upptagningar i cookie- och historikfiler.
Regeringsrätten (1999-04-14, Werner, Rundqvist, Eliason, Hulgaard) yttrade: Skälen för Regeringsrättens avgörande. F.L. har hos Mölndals kommun begärt att få ta del av stadsjuristen J.P:s globalfil. Frågan i målet är huruvida en globalfil utgör allmän handling i TF:s mening.
Enligt 2 kap. 3 § TF förstås med handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän om den förvaras hos myndighet och enligt 6 eller 7 § är att anse som inkommen till eller upprättad hos myndighet. Upptagning anses förvarad hos myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.
En handling anses enligt 2 kap. 7 § första stycket TF upprättad hos myndighet när den har expedierats. En handling som inte har expedierats anses upprättad när det ärende till vilken den hänför sig har slutbehandlats hos myndigheten eller - om handlingen inte hänför sig till ett visst ärende - när den har justerats av myndigheten eller på annat sätt färdigställts. I stället för vad som föreskrivs i första stycket gäller enligt andra stycket 1 samma lagrum att diarium, journal samt sådant register eller annan förteckning som förs fortlöpande anses upprättad när handlingen har färdigställts för anteckning eller införing.
En globalfil är en förteckning i en dator över de webbsidor på Internet som uppsökts av datoranvändaren. Förteckningen är en upptagning som kräver tekniska hjälpmedel för att kunna uppfattas. Eftersom upptagningen är tillgänglig hos myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar i sådan form att den kan läsas av myndigheten är förteckningen att betrakta som en hos myndigheten förvarad handling (2 kap. 3 § TF).
Globalfilen skapas automatiskt av programmen för sökning på Internet och är bl.a. ett hjälpmedel för att underlätta för den som uppsöker webbsidor på Internet att hitta tillbaka till den aktuella sidan. Den förs kontinuerligt och för obestämd tid. Den är därför enligt Regeringsrättens mening att betrakta som en sådan förteckning som förs fortlöpande och som avses i 2 kap. 7 § andra stycket 1 TF. Detta innebär att förteckningen är att anse som upprättad i och med att den tekniskt föreligger färdig för att påföras adresser till hemsidorna och således en allmän handling.
Den i målet aktuella globalfilen är således en allmän handling som skall lämnas ut till F.L. om inte hinder föreligger på grund av bestämmelser om sekretess. Mölndals kommun har, trots att den ansett globalfilen inte vara allmän handling, företagit en sekretessprövning. Målet bör därför återförvisas till kammarrätten för sådan prövning.
Regeringsrättens avgörande. Regeringsrätten upphäver kammarrättens dom och visar målet åter till Kammarrätten i Göteborg för handläggning i enlighet med det ovan anförda.