RH 2004:51
Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter utan uttryckligt samtycke har i visst fall ansetts som ringa och därmed straffritt. - Fråga om direktivkonform lagtolkning, begreppet automatiserad behandling av personuppgifter, begreppet privat behandling av personuppgifter, undantag för personuppgifter i löpande text, begreppet hälsa, lagens förenlighet med regeringsformens och Europakonventionens bestämmelser om yttrandefrihet, det gemenskapsrättsliga proportionalitetsbegreppet, legalitetsprincipen samt straffrihet för ringa fall.
Åklagaren yrkade vid Eksjö tingsrätt ansvar på B.L. enligt 49 § första stycket punkterna b-d personuppgiftslagen (1998:204) för brott mot personuppgiftslagen under påstående:
B.L. har som anställd lokalvårdare vid A-pastoratet, med hjälp av automatisk databehandling, under tiden den 15 november - den 19 december 1998 i Vetlanda upprättat samt på Internet lagt ut en hemsida innehållande personuppgifter på anställda inom pastoratet. B.L. har härvid av oaktsamhet brutit mot bestämmelserna i personuppgiftslagen (1998:204) genom att
1. behandla personuppgifter, vilken behandling varit automatiserad, utan att dessförinnan göra skriftlig anmälan till Datainspektionen (36 §)
2. behandla känsliga personuppgifter utan att detta varit tillåtet (13 §)
3. till tredje land föra över personuppgifter som varit under behandling utan att detta varit tillåtet (33 §).
Beträffande punkten 2 i gärningsbeskrivningen preciserade åklagaren att de känsliga uppgifterna avsåg ett på hemsidan infört påstående att församlingsmedlemmen M. hade skadat en fot och var halvt sjukskriven.
B.L. vitsordade de faktiska omständigheterna, med undantag för att hennes handlanden föll under begreppet automatisk databehandling, och bestred ansvar.
Eksjö tingsrätt (2000-06-07, rådmannen Agneta Frick samt nämndemännen Lars Nilsson, Helena Bergman och Marianne Romhagen) dömde B.L. enligt 49 § första stycket b-d personuppgiftslagen för brott mot densamma till 40 dagsböter.
I domskälen anförde tingsrätten följande.
Åklagaren har utvecklat åtalet enligt följande. B.L. har arbetat som lokalvårdare och ledare för konfirmander inom A-pastoratet. Under mars- november 1998 gick hon en datakurs. I kursen ingick bl.a. att upprätta en hemsida på Internet. Efter kursen skapade hon hemsidor för 18 anställda inom A-pastoratet. Hon gjorde även en egen hemsida*. Den 15 november 1998 var samtliga hemsidor utlagda på Internet. B.L. informerade inte de anställda om hemsidorna, hon inhämtade ej heller deras samtycke eller anmälde förfarandet till Datainspektionen. Den 30 november 1998 kontaktade hon Svenska kyrkans webbmaster och begärde att hemsidorna skulle länkas till Svenska kyrkans hemsidor. Dagen därpå, den 1 december 1998, fick hon besked om att länkningen var klar. När det blev känt vad B.L. gjort blev flera av dem som var berörda upprörda. B.L. begärde då att länkningen till Svenska kyrkan skulle tas bort. Den 15 januari 1999 sade B.L. upp sin anställning som lokalvårdare vid A-pastoratet.
*Referatförfattarens anm.: För var och en av de anställda och för B.L. själv fanns en webbsida med vissa personuppgifter. För var och en av personerna angavs, i varierande omfattning, namn, sysselsättning, arbetsplats, telefonnummer och några personliga kommentarer om vederbörande. Utskrift av dessa webbsidor är fogade som bilaga till tingsrättens dom. I hovrättens dom har webbsidorna blivit angivna som en enda hemsida, vilken bestod av nämnda webbsidor.
Som skriftlig bevisning har åklagaren åberopat presentation av personalen vid A-pastoratet och ett yttrande av Datainspektionen.
B.L. har genom sin försvarare angett grunderna för sin inställning till åtalet enligt följande. Beträffande åtalet i dess helhet har B.L. gjort följande invändningar.
1. Av 5 § personuppgiftslagen följer att lagen gäller för sådan ”behandling av personuppgifter som är helt eller delvis automatiserad”. I artikel 3 av den svenska versionen av EG-direktivet 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter sägs att direktivet gäller för sådan ”behandling av personuppgifter som helt eller delvis företas på automatisk väg”. I den danska versionen av direktivet används begreppet ”edb”, dvs. ADB, automatisk databehandling. Automatisk databehandling är också det begrepp som används när direktivets tillämpningsområde anges i ingressen till direktivet. Det förefaller således klart att det är ADB som avses när direktivet talar om behandling av personuppgifter ”på automatisk väg”. Om man med ADB avsett samma sak i direktivet som i datalagen (1973:289) har personuppgiftslagen givits ett tillämpningsområde som är ”väsentligt vidare” än direktivets. Om detta är riktigt strider personuppgiftslagen mot det överordnade direktivet till den del som tillämpningsområdet är vidare än ADB-begreppet. ADB är en teknisk term som motsvarar engelskans ”automated data processing”, dvs. att med hjälp av datorer hantera och ta fram sammanställningar av uppgifter genom automatisk sökning efter vissa kriterier. Det kan med fog ifrågasättas om B.L:s harmlösa och delvis skämtsamma noteringar på en hemsida på Internet faller under ADB-begreppet. Om så inte är fallet skall åtalet ogillas redan på den grunden att förfarandet inte faller under direktivet och därmed inte heller under personuppgiftslagen. Tingsrätten bör även överväga om det bör inhämtas ett förhandsavgörande från EG-domstolen beträffande tolkningen av EG-direktivet i detta avseende.
2. Vid tolkningen av de av åklagaren åberopade bestämmelserna i personuppgiftslagen skall domstolen beakta de grundläggande reglerna om yttrandefrihet som följer av artikel 10 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), 2 kap. 1 § första stycket 1 regeringsformen och motsvarande bestämmelser i yttrandefrihetsgrundlagen. Om tingsrätten skulle finna att B.L. har brutit mot någon straffbestämmelse i personuppgiftslagen, står den straffbestämmelsen i strid med de nyss nämnda grundläggande reglerna om yttrandefrihet och skall därför inte tillämpas i målet.
3. Om tingsrätten skulle finna att B.L. har brutit mot någon straffbestämmelse i personuppgiftslagen så skall hon vara fri från ansvar eftersom hennes handlande skall bedömas som ringa enligt 49 § andra stycket personuppgiftslagen.
Beträffande punkten 1 i gärningspåståendet har B.L. gjort följande invändning. Uppgifterna är icke-känsliga och avser personer som har anknytning till B.L. genom medlemskap eller anställning. Uppgifterna är därför undantagna från anmälningsplikt enligt 5 § a) Datainspektionens föreskrifter i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen (DIFS 1998:2).
Beträffande punkten 2 i gärningspåståendet har B.L. gjort gällande att uppgiften inte är känslig. Därmed har B.L. inte brutit mot den angivna bestämmelsen.
B.L. har själv lämnat följande uppgifter. Hon var stolt över de kunskaper som hon tillägnat sig på datakursen på distans och att hon kunde skapa hemsidor. Bland kursmaterialet fanns ett informationsblad där det bl.a. berördes på vilket sätt personuppgifter skulle behandlas. I övrigt behandlades inte personuppgiftslagens bestämmelser på kursen. Hon reflekterade inte över att hon skulle behöva anmäla sitt handlande till Datainspektionen eller att det kunde vara känsligt att lägga ut de uppgifter som hon gjorde på Internet. Hon skapade hemsidorna hemma vid sin dator. Syftet med hemsidorna var att hennes konfirmander på ett enkelt sätt skulle nås av den information som de behövde. Hon var också stolt över att få visa upp vad hon kunde. Uppgifterna som hon lämnade ut var inte hemliga på något sätt. Den 15 november 1998 lade hon ut hemsidorna på Internet. Hon informerade kyrkoherden om hemsidorna och fick ett positivt gensvar från honom och förutsatte att hans godkännande var värt något. I övrigt tog hon inte kontakt med dem som var berörda. Hon tog bort hemsidorna från Internet efter det att kyrkoherden hade kontaktat henne och berättat att flera av dem som var berörda hade tagit mycket illa vid sig. Kyrkoherden sa också att pastoratledningen skulle vidta åtgärder eftersom B.L. hade gjort sig skyldig till dataintrång. För att bli rentvådd anmälde hon sitt handlande till polisen.
Tingsrättens bedömning
Tingsrätten tar först ställning till om det finns skäl att inhämta ett förhandsavgörande från EG-domstolen såvitt avser personuppgiftslagens tillämpningsområde i förhållande till EG-direktivet. Enligt Romfördraget (artikel 234, andra stycket) får domstol i medlemsstat, om den anser att ett beslut i frågan är nödvändigt för att döma i saken, begära att EG- domstolen meddelar ett förhandsavgörande.
Enligt 5 § första stycket personuppgiftslagen gäller lagen för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Begreppet automatiserad har valts på förslag av Lagrådet i stället för automatisk eftersom det förra språkligt sett bättre uttrycker vad som avses. Begreppet automatisk för tanken till en behandling som sker automatiskt efter en viss händelse eller tidpunkt oavsett hur behandlingen utförs. Den svenska lagstiftaren har uttalat att det är osäkert vad som avses med automatisk behandling av personuppgifter enligt EG-direktivet och att det därför inte har tagits in någon definition av det begreppet i personuppgiftslagen (SOU 1997:39 s. 344 och prop. 1997/98:44 s. 118). I förarbetena till personuppgiftslagen uttalas dock att det är klart att behandling i datorer av personuppgifter som finns i datorformat (i binär form, såsom ettor och nollor, eller motsvarande) - inklusive överföringen av personuppgifter till sådant format - som regel bör anses som automatiserad behandling. Så snart en personuppgift har kommit in i en dator eller motsvarande maskin skulle det alltså som regel vara fråga om en sådan automatiserad behandling som omfattas av lagen.
B.L. har med hjälp av automatisk databehandling upprättat hemsidor innehållande personuppgifter på Internet. B.L:s behandling av personuppgifterna har varit automatiserad och faller därmed under tillämpningsområdet för personuppgiftslagen.
Frågan är om en sådan tillämpning står i strid med tillämpningsområdet för EG-direktivet 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet). EG-direktivet gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg och dessutom för annan behandling av personuppgifter under förutsättning att dessa ingår eller kommer att ingå i ett register (artikel 3.1). I detta mål är det första ledet som är av intresse. Sverige är skyldigt att följa EG-direktivet och får inte ha en lagstiftning som är strängare eller mildare än vad direktivet medger. Enligt förarbetena till personuppgiftslagen är 5 § personuppgiftslagen avsedd att ha samma innebörd som artikel 3.1 i direktivet. Tillämpningsområdet för personuppgiftslagen är väsentligt vidare än tillämpningsområdet för 1973 års datalag. Datalagen gällde enbart för automatisk behandling av dataregister, medan EG-direktivet gäller all automatisk behandling av personuppgifter - oavsett om uppgifterna ingår i ett register - och dessutom manuell behandling av personregister. Personuppgiftslagen är teknikoberoende i den meningen att den i fråga om automatisk behandling inte begränsas till dataregister, dvs. ett visst sätt att lagra eller presentera personuppgifterna. Personuppgiftslagen omfattar t.ex. behandling i dator av personuppgifter i löpande text eller i form av bilder på individer eller bilder på textuppgifter om individer. Personuppgiftslagen har således ett omfattande tillämpningsområde. Hur pass omfattande tillämpningsområdet är kan anges först sedan praxis har utvecklats i svenska domstolar och i EG-domstolen.
I EG-direktivet finns inte någon definition av vad som avses med automatisk behandling av personuppgifter. Ingressen till EG-direktivet ger inte någon närmare ledning vad gäller tolkningen av detta begrepp. Som B.L. anfört används begreppet automatisk databehandling i punkten 15 i ingressen. Begreppet används i anslutning till vad som anges i punkten 14 nämligen att direktivet bör tillämpas på behandling för att uppta, överföra, bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om fysiska personer endast om det sker med hjälp av automatisk databehandling. Även i punkten 27 i ingressen används begreppet automatisk databehandling. Där anges att enskilda personer skall skyddas både i samband med automatisk databehandling av uppgifterna och i samband med manuell behandling. I EG-direktivet finns inte någon definition av begreppet automatisk databehandling eller någon ledning vad gäller tolkningen av detta begrepp.
Den redovisade osäkerheten om på vilket sätt begreppet automatisk databehandling av personuppgifter skall tolkas talar för att tingsrätten skall inhämta ett förhandsavgörande från EG-domstolen. Vid en språklig tolkning av begreppet och i belysning av syftet med EG-direktivet synes det enligt tingsrätten emellertid inte råda någon tvekan om att det sätt på vilket B.L. har behandlat personuppgifter i förevarande mål faller under begreppet behandling på automatisk väg. Därmed faller B.L:s handlande inte utanför EG-direktivets tillämpningsområde. Huruvida tillämpningsområdet för personuppgiftslagen är vidare än tillämpningsområdet för EG-direktivet i något annat avseende finns inte skäl för tingsrätten att ta ställning till. Vid sådant förhållande är det inte nödvändigt att inhämta något förhandsavgörande från EG- domstolen. Åtalet skall ej heller ogillas på denna grund.
De personuppgifter som B.L. behandlat beträffande M. som avser att M. har skadat foten och varit halvt sjukskriven rör hälsa och är till sin art en känslig uppgift enligt 13 § andra stycket personuppgiftslagen. Genom att behandla denna uppgift utan att inhämta samtycke från M. har B.L. brutit mot bestämmelsen i 13 § personuppgiftslagen.
B.L. har genom att behandla personuppgifter som är automatiserade varit skyldig att anmäla behandlingen till Datainspektionen enligt 36 § första stycket personuppgiftslagen såvida behandlingen inte varit undantagen från anmälningsplikt enligt Datainspektionens föreskrifter. Enligt 5 § a) Datainspektionens föreskrifter i fråga om skyldighet att anmäla behandlingar av personuppgifter till Datainspektionen (DIFS 1998:2) gäller inte anmälningsplikten i 36 § första stycket personuppgiftslagen för behandling av följande personuppgifter om den personuppgiftsansvarige själv för en förteckning över behandlingarna med de uppgifter som annars skulle ha anmälts a) personuppgifter som avser registrerade som har sådan anknytning till den personuppgiftsansvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande, såvida behandlingen inte omfattar känsliga uppgifter som avses i 13 § personuppgiftslagen. Av utredningen framgår att sådan anknytning som avses i de angivna föreskrifterna inte föreligger. B.L. har därmed åsidosatt anmälningsplikten i 36 § första stycket personuppgiftslagen.
Enligt 33 § första stycket personuppgiftslagen är det förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. En behandling av personuppgifter som sker genom offentliggörande på Internet är således tillåten om den skyddsnivå som finns i de länder dit personuppgifterna kan överföras är adekvat. Detta gäller bara under förutsättning att behandlingen uppfyller personuppgiftslagens krav i övrigt. I detta fall har B.L. brutit mot personuppgiftslagens grundläggande krav på inhämtande av samtycke från de berörda personerna enligt 10 § och 15 §personuppgiftslagen. Hon har även brutit mot bestämmelserna om anmälningsplikt. Vid sådant förhållande har B.L. även brutit mot 33 § första stycket personuppgiftslagen genom att till tredje land, dvs. en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetet, föra över personuppgifter som varit under behandling utan att detta varit tillåtet.
B.L. har sålunda behandlat personuppgift i strid med 13 §, fört över personuppgift i strid med 33 § och underlåtit sin anmälningsplikt enligt 36 §. Hennes handlande har varit oaktsamt. Hon skall därmed fällas till ansvar enligt 49 § personuppgiftslagen såvida hennes handlande inte är att bedöma som ringa.
Skälen för kriminalisering i nu berörda avseenden är angivna i förarbetena (prop. 1997/98:44 s. 108-109). Där sägs att det finns skäl att kriminalisera underlåtenhet att göra anmälan till tillsynsmyndigheten eftersom det är svårt att stävja sådan underlåtenhet med andra medel än straffhot. Vidare anges att behandlingen av känsliga personuppgifter utan samtycke i strid med personuppgiftslagen bör kriminaliseras samt att överföring av personuppgifter i strid med personuppgiftslagen till tredje land bör kriminaliseras bl.a. eftersom förfarandet innebär att personuppgifterna i praktiken försvinner utom räckhåll för svenska skyddsåtgärder. Fr.o.m. den 1 januari 2000 har ringa fall avkriminaliserats. I förarbetena (prop. 1999/2000:11 s. 21) anges att vad som är ringa fall får bedömas med hänsyn till samtliga omständigheter i det enskilda fallet. Alla faktorer som uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen orsakat skall vägas in vid bedömningen av om en överlåtelse är att bedöma som ringa.
Vid bedömningen av om B.L:s överträdelser är att betrakta som ringa beaktar tingsrätten följande. EG-direktivets och personuppgiftslagens kärnområde är behandling i datorer av större samlingar av personuppgifter. I detta sammanhang är de personuppgifter som B.L. behandlat ett litet antal. Offentliggörandet på Internet har skett under en förhållandevis kort tid. B.L. har, så fort hon fick vetskap om att berörda personer tog illa vid sig, tagit bort hemsidorna och länkningen till Svenska kyrkan. Dessa omständigheter talar för att överträdelserna kan bedömas som ringa. Häremot är att väga den integritetskränkning som offentliggörandet på Internet har inneburit för de berörda personerna. Enligt tingsrätten är integritetskränkningen med hänsyn till uppgifternas art sådan att överträdelserna inte kan bedömas som ringa.
Vid den bedömning som tingsrätten gjort har beaktats de regler om fri- och rättigheter som finns i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt i Sveriges grundlagar. Tingsrätten har således inte funnit att nämnda regler skulle föranleda en annan tolkning av personuppgiftslagens bestämmelser i de avseenden som de varit föremål för prövning än den som nu gjorts eller att dessa bestämmelser skulle stå i uppenbar strid med någon bestämmelse i grundlag och därför åsidosättas.
B.L. skall dömas till ett lindrigt bötesstraff.
B.L. överklagade tingsrättens dom och yrkade att hovrätten skulle ogilla åtalet.
Åklagaren bestred ändring
Hovrätten begärde förhandsavgörande enligt artikel 234 i Fördraget om upprättandet av Europeiska gemenskapen (EG-fördraget) från Europeiska gemenskapernas domstol (EG-domstolen) angående bl.a. tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (direktivet).
Hovrätten ställde följande tolkningsfrågor till EG-domstolen:
”1) Innebär omnämnandet av en person - med namn eller med namn och telefonnummer - på en så kallad hemsida på Internet ett förfarande som faller under tillämpningsområdet för direktivet? Utgör det en ’behandling av personuppgifter som helt eller delvis företas på automatisk väg’, att på en egenhändigt konstruerad hemsida på Internet ange ett antal personer jämte utsagor och påståenden om dessa personers arbetsförhållanden och fritidsintressen m.m.?
2) - - -
3) Kan förfarandet att lägga ut uppgifter av nu berört slag om arbetskamrater på en privat hemsida, som dock är åtkomlig för alla med kännedom om hemsidans adress, anses falla utanför direktivets tillämpningsområde på grund av något av undantagen i artikel 3, punkten 2?
4) Är uppgift på en hemsida om att en namngiven arbetskamrat har skadat sin fot och är halvt sjukskriven en sådan personuppgift om hälsa som enligt artikel 8 punkt 1 inte får göras till föremål för behandling?
5) Överföring av personuppgifter till tredje land skall enligt direktivet vara förbjudet i vissa fall. Om en person i Sverige med hjälp av dator lägger ut personuppgifter på en hemsida som är lagrad på en server i Sverige - varvid personuppgifterna blir åtkomliga för medborgare i tredje land - innebär det en överföring av uppgifter till tredje land i den mening som avses i direktivet? Blir svaret detsamma även om, såvitt känt, inte någon från tredje land rent faktiskt har tagit del av uppgifterna eller om servern i fråga rent fysiskt befinner sig i ett tredje land?
6) Kan direktivets föreskrifter, i ett fall som det förevarande, anses medföra en begränsning som står i strid med de allmänna principer om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom EU och som har en motsvarighet i bl.a. artikel 10 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna?
7) Kan en medlemsstat, i de hänseenden som aktualiserats av de förutvarande frågorna, ha ett mera långgående skydd för personuppgifter eller ett vidare tillämpningsområde än som följer av direktivet, även om inte något av de i artikel 13 angivna förhållandena föreligger?”
EG-domstolen meddelade förhandsavgörande genom dom den 6 november 2003 i mål C 101-01 enligt följande i anslutning till respektive fråga:
1) ”Omnämnandet av olika personer - vilka identifieras med namn eller på annat sätt, till exempel med telefonnummer eller med uppgifter om arbetsförhållanden och fritidsintressen - på en webbsida utgör en ’behandling av personuppgifter som helt eller delvis företas på automatisk väg’, i den mening som avses i artikel 3.1 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.” (p. 27 i domen)
3) ”Sådan behandling av personuppgifter omfattas inte av något av de undantag som nämns i artikel 3.2 i direktiv 95/46.” (p. 48 i domen)
4) ”En uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa, i den mening som avses i artikel 8.1 i direktiv 95/46.” (p. 51 i domen)
5) ”Det föreligger inte någon ’överföring av … uppgifter till tredje land’ i den mening som avses i artikel 25 i direktiv 95/46 när en person som befinner sig i en medlemsstat lägger ut personuppgifter på en webbsida som är lagrad hos en fysisk eller juridisk person som hyser den webbplats där sidan kan läsas och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land.” (p. 71 i domen)
6) ”Bestämmelserna i direktiv 95/46 utgör inte i sig en begränsning som står i strid med den allmänna principen om yttrandefrihet eller andra fri- och rättigheter som gäller inom Europeiska unionen och som har en motsvarighet i bland annat artikel 10 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950. Det ankommer på de nationella myndigheter och domstolar som skall tillämpa de nationella bestämmelser genom vilka direktiv 95/46 har införlivats att se till att det uppnås en korrekt jämvikt mellan de rättigheter och skyldigheter som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.” (p. 90 i domen)
7) ”De åtgärder som medlemsstaterna vidtar för att säkerställa skyddet av personuppgifter skall stå i överensstämmelse med såväl bestämmelserna i direktiv 95/46 som med dess målsättning att upprätthålla en balans mellan det fria flödet av personuppgifter och skyddet för privatlivet. Däremot hindrar ingenting att en medlemsstat utökar räckvidden av den nationella lagstiftning varigenom bestämmelserna i direktiv 95/46 har införlivats till att omfatta områden som inte ingår i direktivets tillämpningsområde, såvida ingen annan gemenskapsrättslig bestämmelse utgör hinder för detta.” (p. 99 i domen)
Efter det att EG-domstolen hade meddelat sin dom, inskränkte åklagaren åtalet genom att frånfalla punkten 3 i gärningsbeskrivningen, dvs. punkten om överföring av personuppgifter till tredje land.
Göta hovrätt (2004-04-07, hovrättspresidenten Bertil Hübinette, hovrättsrådet Carl-Gustav Ohlson, referent, och tf. hovrättsassessorn Katrin Persson) ogillade åtalet.
Hovrätten bifogade EG-domstolens dom i dess helhet som bilaga till sin dom.
I domskälen anförde hovrätten följande.
Bestämmelser om skyldighet att göra anmälan till Datainspektionen
I 36 § personuppgiftslagen föreskrivs bl.a. följande. Behandling av personuppgifter som är helt eller delvis automatiserad omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten, innan en sådan behandling eller en serie av sådana behandlingar med samma eller liknande innehåll genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. - Tillsynsmyndighet är Datainspektionen (2 § personuppgiftsförordningen /1998:1191/). I direktivet regleras anmälningsskyldigheten i artikel 18.1 och medlemsstaternas rätt att föreskriva undantag i artikel 18.2-18.5.
I 4 § personuppgiftsförordningen föreskrivs att anmälningsskyldigheten enligt 36 § personuppgiftslagen inte gäller för behandling av personuppgifter i löpande text. I 6 § förordningen bemyndigas Datainspektionen att meddela sådana föreskrifter om undantag som anges i lagbestämmelsen. Datainspektionen har föreskrivit att anmälningsskyldigheten enligt 36 § personuppgiftslagen inte gäller för behandling av personuppgifter som sker efter samtycke från den registrerade (4 § i Datainspektionens föreskrifter /DIFS 1998:2/ i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen). Med den registrerade förstås den som en personuppgift avser (3 § personuppgiftslagen). Enligt 6 § i Datainspektionens föreskrifter skall en anmälan vara skriftlig och innehålla närmare angivna uppgifter om bl.a. den personuppgiftsansvarige och den behandling av personuppgifter som anmälan avser.
Bestämmelser om förbud att behandla känsliga personuppgifter
I 13 § personuppgiftslagen föreskrivs som huvudregel att det är förbjudet att behandla bl.a. sådana personuppgifter som rör hälsa. De olika slag av personuppgifter som omfattas av förbudet i paragrafen betecknas i lagen som känsliga personuppgifter. I lagen föreskrivs en rad undantag från förbudet (14-20 §§). Såvitt här är av intresse föreskrivs i 15 § att känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. Vidare bör noteras att enligt 17 § får vissa ideella organisationer, bl.a. sådana med religiöst syfte, inom ramen för sin verksamhet behandla känsliga personuppgifter om medlemmarna. I paragrafen föreskrivs dock att uppgifterna får lämnas ut till tredje man endast efter uttryckligt samtycke från den registrerade. - I direktivet regleras förbudet och de här återgivna undantagen i artikel 8.1 och 8.2 a och d.
Straffbestämmelsen (49 § personuppgiftslagen)
Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms bl.a. den som uppsåtligen eller av oaktsamhet låter bli att göra anmälan enligt 36 § eller behandlar känsliga personuppgifter i strid med 13-20 §§. I ringa fall skall inte dömas till ansvar.
Klarlagda omständigheter i målet
Hovrätten konstaterar inledningsvis att följande omständigheter i målet är klarlagda. B.L. har med hjälp av sin hemdator upprättat en s.k. hemsida, som har lagrats på en server i Sverige. Hemsidan har därigenom blivit åtkomlig på Internet. Hemsidan har bestått av ett antal webbsidor. Dessa har haft det innehåll som framgår av tingsrättens domsbilagor nr 2-20, varav envar av nr 2-19 avsåg annan församlingsmedlem än B.L. själv. Samtliga webbsidor var sålunda upprättade och åtkomliga under tiden den 15 november till den 19 december 1998. B.L:s syfte med hemsidan var att hennes konfirmander på ett enkelt sätt skulle få behövlig information. B.L. anmälde inte förfarandet till Datainspektionen. Inte heller kontaktade hon de på webbsidorna omnämnda personerna för att efterhöra deras inställning till förfarandet. Däremot informerade hon kyrkoherden om webbsidorna och fick ett positivt svar från honom. Hon tog bort sidorna från Internet så snart kyrkoherden hade berättat för henne att flera av de berörda personerna hade tagit mycket illa vid sig. - B.L. har i hovrätten hävdat att uppgifterna om M., tingsrättens domsbilaga 13, inte har upplevts som kränkande eller på annat sätt obehagliga av M. Åklagaren har förklarat sig godta att så är fallet.
B.L:s grunder för bestridandet
B.L. har gjort gällande följande grunder för bestridandet av ansvar:
- Hon har inte varit anmälningsskyldig enligt 36 § personuppgiftslagen till följd av att det har varit fråga om behandling av personuppgifter i löpande text och att sådan behandling enligt 4 § personuppgiftsförordningen är undantagen från anmälningsskyldighet.
- Hennes behandling av personuppgifterna har varit tillåten enligt 10 § f) och/eller 7 § andra stycket personuppgiftslagen.
- Personuppgiftslagen strider mot regeringsformen och Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen).
- Hon har inte varit oaktsam.
- Om hennes förfarande skulle anses strida mot 13 § och/eller 36 §, är förfarandet under alla förhållanden att anse som ringa och därför straffritt enligt 49 § personuppgiftslagen.
Personuppgiftslagens bestämmelser skall tolkas i överensstämmelse med gemenskapsrätten
Direktivet har införlivats i svensk rätt genom personuppgiftslagen. De i målet åberopade lagbestämmelserna bygger sålunda på direktivet.
EG-domstolen har funnit att sådana åtgärder som åklagaren påstår att B.L. har företagit ligger inom ramen för direktivets tillämpningsområde, trots att åtgärderna har utgjort ett led i den ideella och religiösa verksamhet som B.L. har utövat (artikel 3.2 första strecksatsen i direktivet; p 38-45 och 48 i domen).
Med hänsyn till det nu anförda åligger det hovrätten att vid tillämpningen av lagbestämmelserna tolka dessa mot bakgrund av eller, m.a.o., i ljuset av direktivets ordalydelse och syfte så att det resultat som avses i direktivbestämmelserna uppnås (s.k. direktivkonform tolkning; jfr. artikel 5 och artikel 249 tredje stycket i EG-fördraget och exempelvis EG-domstolens dom den 10 april 1984 i mål 14/83 von Colson och Kamann, ECR 1984, s. 1891). EG-domstolens förhandsavgörande i förevarande mål om hur EG-rättens bestämmelser skall tolkas är bindande för hovrätten.
Det ankommer emellertid på hovrätten att inom ramen för åtalet pröva vilka omständigheter som har förevarit och att på dessa omständigheter tillämpa personuppgiftslagens bestämmelser, tolkade i överensstämmelse med direktivet. I den mån de omständigheter som har förevarit sammanfaller med de omständigheter som har legat till grund för förhandsavgörandet från EG-domstolen, blir förhandsavgörandet emellertid i praktiken direkt vägledande även för hur omständligheterna i målet skall bedömas enligt personuppgiftslagen.
I enlighet med vad som närmare redovisas i det följande (under rubriken Rätten till yttrandefrihet och rätten till skydd för den personliga integriteten) gäller följande. De grundläggande rättigheterna såsom yttrandefriheten utgör en integrerad del av de allmänna rättsprinciper som EG-domstolen skall säkerställa vid sin bedömning av ett direktiv eller någon annan gemenskapsakt. Det ankommer enligt EG-rätten på den nationella domstolen att tillämpa de nationella bestämmelserna i det enskilda fallet på ett sådant sätt att det uppnås en korrekt jämvikt mellan de rättigheter och skyldigheter som är ifråga, inklusive de grundläggande rättigheter som sålunda skyddas genom gemenskapens rättsordning (den s.k. proportionalitetsprincipen). - Hovrättens bedömningar i målet görs med utgångspunkt i det nu sagda.
Direktivets och personuppgiftslagens ändamål (1 §)
Genom direktivet åstadkommes en harmonisering av medlemsstaternas bestämmelser om bl.a. sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg (jfr artikel 3.1). I artikel 1 i direktivet, under rubriken Direktivets syfte, föreskrivs att medlemsstaterna skall i enlighet med direktivet skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. I artikeln föreskrivs vidare att medlemsstaterna inte av sådana skäl får begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstater. Av stycke 10 i direktivets ingress framgår att med rätten till privatliv avses detsamma som i artikel 8 i Europakonventionen. Enligt den bestämmelsen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.
De bakomliggande skälen för denna reglering kommer till uttryck främst i styckena 1-11 i direktivets ingress. Av ingressen framgår sålunda bl.a. följande. Ändamålet med harmoniseringen av medlemsstaternas bestämmelser är både att säkerställa ett fritt flöde av personuppgifter mellan medlemsstaterna och att skydda personers grundläggande fri- och rättigheter, särskilt rätten till privatliv.
I 1 § personuppgiftslagen föreskrivs att syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Behandling av personuppgifter, helt eller delvis automatiserad (3 § och 5 § första stycket)
Personuppgiftslagen gäller, såvitt nu är ifråga, behandling av personuppgifter som helt eller delvis är automatiserad (5 § första stycket). Detta motsvaras i direktivet av artikel 3.1.
Med behandling av personuppgifter förstås enligt såväl personuppgiftslagen som direktivet varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter (3 § respektive artikel 2 b). Begreppet personuppgift definieras i personuppgiftslagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. I lagens förarbeten (prop. 1997/98:44 s. 117) framhålls särskilt att definitionen är avsedd att ha samma innebörd som motsvarande uttryck har enligt definitionen i direktivet, artikel 2 a. Där definieras begreppet personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). I anslutning härtill anges att en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Åklagaren har åtalat B.L. för att ”med hjälp av automatisk databehandling” … ha ”upprättat samt på Internet lagt ut en hemsida innehållande personuppgifter på anställda inom pastoratet” samt därvid, i närmare angivna hänseenden, ha brutit mot personuppgiftslagens bestämmelser om behandling av personuppgifter. Åklagaren har med uttrycket ”automatisk databehandling” avsett detsamma som i personuppgiftslagen, dvs. automatiserad behandling. Det kan inte anses finnas något hinder mot att ge gärningsbeskrivningen denna betydelse (jfr prop. 1997/98:44 s. 38-40 och 240 f angående de båda uttryckssätten).
Hovrätten konstaterar följande. B.L. har på sin hemsida omnämnt personer, vilka har identifierats med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen. Genom EG-domstolens dom (p 24, 25 och 27) om innebörden av direktivet är klarlagt att ett sådant omnämnande utgör behandling av personuppgifter enligt direktivet. Härav följer att B.L. även enligt personuppgiftslagen skall anses ha behandlat personuppgifter i enlighet med åtalet.
Av domen (p 26 och 27) framgår vidare att ett dylikt omnämnande på en webbsida skall anses vara företagen helt eller delvis på sådan automatisk väg som avses i direktivet. Därmed skall B.L:s behandling av personuppgifter anses som en behandling av personuppgifter, vilken har varit att anse som helt eller delvis automatiserad i personuppgiftslagens mening.
Inte undantaget som privat behandling av personuppgifter (6 §)
I 6 § personuppgiftslagen undantas privat behandling av personuppgifter. I lagrummet föreskrivs nämligen att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
Bestämmelsen motsvaras av artikel 3.2 andra strecksatsen i direktivet. Av EG-domstolens dom framgår följande (p 46-48). Direktivets undantag för privat behandling av personuppgifter skall tolkas så att det endast avser sådan verksamhet som utgör en del av enskildas privat- eller familjeliv. Detta är uppenbarligen inte fallet i fråga om sådan behandling av personuppgifter som består i att de offentliggörs på Internet och därmed blir åtkomliga för ett obestämt antal personer. Undantaget i direktivet för privat behandling av personuppgifter omfattar således inte sådan behandling av personuppgifter som består i att någon på sin hemsida omnämnt personer, vilka har identifierats med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen.
Av EG-domstolens dom följer således att B.L:s förfarande inte utgör en sådan privat behandling av personuppgifter som omfattas av undantaget i 6 § personuppgiftslagen.
Inte fråga om behandling av personuppgifter i löpande text
B.L. har gjort gällande att hon enligt 4 § personuppgiftsförordningen inte har varit anmälningsskyldig enligt 36 § personuppgiftslagen. Hon har därvid gjort gällande att det har varit fråga om behandling av personuppgifter i löpande text. Sådan behandling är enligt 4 § personuppgiftsförordningen undantagen från anmälningsskyldighet.
Med behandling av personuppgifter avses - som nämnts i det föregående - enligt direktivet och personuppgiftslagen varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter (artikel 2 a respektive 3 §). Det finns alltså inte, vare sig enligt direktivet eller lagen, något krav på att de uppgifter som behandlas på automatisk väg skall vara strukturerade i ett register eller liknande (jfr prop. 1997/98:44 s. 54). I konsekvens härmed och med hänsyn till direktivets syften får direktivet, och därmed även personuppgiftslagen, anses vara tillämpliga även när det är fråga om datoriserad ord- och textbehandling eller liknande av löpande text, som innehåller personuppgifter (jfr a. prop. s. 54).
I 4 § personuppgiftsförordningen föreskrivs emellertid att anmälningsskyldigheten enligt 36 § personuppgiftslagen inte gäller för behandling av personuppgifter i löpande text.
Detta undantag i personuppgiftsförordningen saknar motsvarighet i direktivet men får antas ha ansetts vara grundat på artikel 18.2 första strecksatsen (jfr 36 § tredje stycket personuppgiftslagen). Enligt den bestämmelsen får en medlemsstat föreskriva undantag från och förenklingar av anmälningsplikten, om det är fråga om sådana behandlade uppgifter beträffande vilka det inte är sannolikt att den registrerades fri- och rättigheter kränks. I direktivbestämmelsen ges ytterligare förutsättningar för att en medlemsstat skall få föreskriva undantag från anmälningsplikten. Denna möjlighet för medlemsstaterna att föreskriva om undantag från anmälningsplikten har införts för att undvika olämpliga administrativa formaliteter (jfr stycke 49 i direktivets ingress).
Oavsett i vilken mån förordningens generella undantag för behandling i löpande text är tillåtet enligt direktivet eller inte, skall bestämmelsen tillämpas vid prövningen av åtalet.
Behandling av personuppgifter omfattar - som framgår av det föregående - omnämnandet av olika personer, vilka har identifierats med namn eller på annat sätt. Det centrala är alltså identifieringen i sig av en person, inte mängden och struktureringen av de uppgifter som har knutits till personen. Detta får anses stämma väl överens med stycke 26 i direktivets ingress. I detta stycke behandlas vilken information som principerna för den enskildes integritetsskydd avses gälla. Det kan här anmärkas att uttrycket ”personuppgifter i löpande text” förekommer i 26 § tredje stycket personuppgiftslagen. I den bestämmelsen begränsas skyldigheten för en personuppgiftsansvarig att lämna information till den som en personuppgift avser (”den registrerade”). Begränsningen gäller personuppgifter i löpande text som inte har fått sin slutliga utformning eller som utgör minnesanteckning eller liknande. Enligt förarbetena avses här med ”löpande text” information som inte har strukturerats så att sökning av personuppgifter underlättas (prop. 1997/98:44 s. 132, jfr s. 82-84; jfr även Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen, En kommentar, 2 uppl., 2001, s. 211 f).
Mot bakgrund av det anförda och med hänsyn till direktivets och personuppgiftslagens syften, vilka får antas vara beaktade vid utformningen av personuppgiftsförordningen, finner hovrätten att B.L:s hemsida har varit så strukturerad att det uppenbarligen inte har varit fråga om behandling av personuppgifter i löpande text.
Uppgifterna om kroppsskada och sjukskrivning är känsliga uppgifter enligt förbudet i 13 §
Enligt 13 § personuppgiftslagen är det förbjudet att behandla bl.a. sådana personuppgifter som rör hälsa. Motsvarande förbud återfinns i artikel 8.1 i direktivet. Av EG-domstolens dom (p 50 och 51) framgår att en uppgift om att en person har skadat sin fot och är deltidssjukskriven utgör en personuppgift om hälsa i den mening som avses i direktivbestämmelsen. På webbsidan angående M. (tingsrättens domsbilaga 13) har angetts att hon skadat sin fot och var halvt sjukskriven. Av EG- domstolens dom följer att dessa uppgifter omfattas av förbudet i 13 § personuppgiftslagen. Av utredningen framgår att B.L. fört in uppgifterna på hemsidan utan att M. hade lämnat sitt uttryckliga samtycke eller på ett tydligt sätt själv hade offentliggjort uppgifterna. Detta införande har redan i sig inneburit att uppgifterna har blivit tillgängliga för allmänheten på Internet. Uppgifterna är därigenom att anse som utlämnade till tredje man. Förfarandet har därmed inte varit tillåtet vare sig enligt 17 § personuppgiftslagen eller enligt grunderna för bestämmelsen, vilken enligt sin ordalydelse gäller bl.a. religiösa ideella organisationer. Av samma skäl har förfarandet inte heller varit tillåtet med en direkt tillämpning av artikel 8.2 d i direktivet (s.k. direkt effekt av en i ett direktiv inskriven rättighet för den enskilde), oaktat direktivbestämmelsen enligt sin ordalydelse inte synes vara begränsad till att gälla enbart organisationen som sådan.
Rätten till yttrandefrihet och rätten till skydd för den personliga integriteten
B.L. har invänt att hennes behandling av personuppgifter har varit tillåten enligt 7 § och 10 § f)personuppgiftslagen eller i allt fall enligt regeringsformen och Europakonventionen. Invändningarna gäller i huvudsak förhållandet mellan å ena sidan de bestämmelser som skall tillförsäkra den enskilde frihet att yttra sig och å andra sidan de bestämmelser som skall tillförsäkra den enskilde skydd mot att hans eller hennes personliga integritet kränks genom behandling av personuppgifter.
Gemenskapsrättens förhållande till grundläggande rättigheter såsom yttrandefriheten kan sammanfattas enligt följande.
Frågan om en gemenskapsinstitutions rättsakt, t.ex. ett direktiv, kränker de grundläggande rättigheterna kan bedömas endast inom ramen för gemenskapsrätten. De grundläggande rättigheterna utgör nämligen en integrerad del av de allmänna rättsprinciper som EG-domstolen skall säkerställa iakttagandet av. När EG-domstolen säkerställer skyddet för dessa rättigheter utgår den från medlemsstaternas gemensamma konstitutionella traditioner liksom från uppgifter i de internationella dokument som rör skyddet för de mänskliga rättigheterna och som medlemsstaterna har varit med om att utarbeta eller har tillträtt. I detta avseende är Europakonventionen av särskild betydelse. I överensstämmelse med Europadomstolens praxis anses yttrandefriheten utgöra en av de viktigaste grunderna för ett demokratiskt samhälle. Åtgärder som EG-domstolen finner oförenliga med de grundläggande rättigheterna kan inte tillåtas i gemenskapen. (Jfr artikel 6.2 i Fördraget om Europeiska unionen /Maastrichtfördraget/ samt EG-domstolens domar den 12 november 1969 i mål 29/69 Stauder mot staden Ulm, ECR 1969, s. 419, den 17 december 1970 i mål 11/70 Internationale Handelsgesellschaft mbH, ECR 1970 s. 1125, den 14 maj 1974 i mål 4/73 Nold m.fl., ECR 1974 s. 491, den 7 juli 1976 i mål 118/75 Watson och Belmann, ECR 1976 s. 1185, den 13 december 1979 i mål 44/79 Liselotte Hauer, ECR 1979 s. 3727, och den 6 mars 2001 i mål C-274/99 P Connolly, REG 2001, s. I-01611).
I artikel 10.1 i Europakonventionen tillerkänns var och en rätt till yttrandefrihet. Denna anges innefatta åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar. I det sistnämnda avgörandet uttalar EG-domstolen bl.a. att den sålunda föreskrivna yttrandefriheten gäller inte bara ”upplysningar” eller ”tankar” som upplevs som positiva eller som anses harmlösa eller ointressanta, utan även sådana som kan såra, chockera eller oroa. Enligt artikel 10.2 i Europakonventionen kan yttrandefriheten underkastas sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som är föreskrivna i lag och som i ett demokratiskt samhälle är nödvändiga med hänsyn till bl.a. annans goda namn och rykte eller rättigheter. I det nyss nämnda avgörandet framhåller EG-domstolen att yttrandefriheten kan inskränkas på de sätt som anges i artikel 10.2 i Europakonventionen men att inskränkningarna skall tolkas snävt, varvid ingreppet måste bl.a. stå i proportion till ett berättigat mål som eftersträvas. EG-domstolen framhåller vidare att inskränkningarna skall vara tillräckligt precisa för att berörda personer skall kunna anpassa sitt beteende.
I principiell överensstämmelse med Europakonventionen föreskriver regeringsformen bl.a. att varje medborgare är gentemot det allmänna tillförsäkrad yttrandefrihet: frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor (2 kap. 1 §). Denna frihet får enligt regeringsformen begränsas genom lag, bland annat med hänsyn till enskilds anseende och privatlivets helgd (2 kap. 12 och 13 §§). Begränsningen får inte sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. - Samtidigt föreskrivs i regeringsformen att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling (2 kap. 3 §). Denna bestämmelse är enligt förarbetena att se som handlingsregel för lagstiftaren att vara aktiv genom att stifta och vidmakthålla en lagstiftning i det angivna hänseendet (prop. 1987/88:57 s. 11).
I det förhandsavgörande som har inhämtats i målet uttalar EG-domstolen (p 90; jfr p 79-84) att bestämmelserna i direktivet inte i sig utgör en begränsning som står i strid med den allmänna principen om yttrandefrihet eller andra fri- och rättigheter som gäller inom Europeiska unionen och som har en motsvarighet i bl.a. artikel 10 i Europakonventionen.
I 1 § personuppgiftslagen föreskrivs att syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (jfr artikel 1.1 i direktivet och styckena 1-11 i direktivets ingress). Så sker genom att lagen med utgångspunkt häri föreskriver att behandling av personuppgifter - med begränsningar som är grundade på bl.a. yttrandefrihetsrättsliga avvägningar - underkastas formföreskrifter, villkor, inskränkningar samt skadestånds- och straffpåföljder. Lagen som sådan utgör, enligt hovrättens mening, med hänsyn till sitt syfte och sin utformning en i princip legitim inskränkning av yttrandefriheten.
Mot bakgrund av det anförda finner hovrätten alltså att personuppgiftslagen som sådan inte står i strid med de grundläggande rättigheterna om yttrandefrihet.
Som framgår av EG-domstolens avgörande (p 85-90) ankommer det på hovrätten att vid tillämpningen av personuppgiftslagen se till att det uppnås en korrekt jämvikt eller, m.a.o., en rättvis avvägning mellan de rättigheter och skyldigheter som är i fråga, inklusive de grundläggande rättigheter som skyddas genom gemenskapens rättsordning (den s.k. proportionalitetsprincipen; jfr i det föregående under rubriken Personuppgiftslagens bestämmelser skall tolkas i överensstämmelse med gemenskapsrätten).
I personuppgiftslagen finns även särskilda bestämmelser som i sig kan sägas vara ett uttryck för proportionalitetsprincipen, bl.a. de av B.L. åberopade bestämmelserna i 7 § andra stycket och 10 § f).
Enligt 7 § andra stycket skall vissa av lagens bestämmelser - bl.a. bestämmelserna om anmälningsskyldighet och förbud mot att behandla känsliga uppgifter - inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Denna bestämmelse är grundad på artikel 9 i direktivet (jfr prop. 1997/98:44 s. 119). Den artikeln reglerar möjligheten för medlemsstaterna att göra undantag för sådan behandling av personuppgifter om det är nödvändigt för att förena rätten till privatliv med reglerna om yttrandefrihet. Artikeln omfattar dock inte undantag från anmälningsskyldigheten, vilket inte hindrar att lagbestämmelsen skall beaktas även i det hänseendet vid hovrättens prövning i förevarande mål. Av stycke 37 i direktivets ingress framgår att med yttrandefrihet avses här särskilt den frihet att ta emot och sprida uppgifter som särskilt fastslås i artikel 10 i Europakonventionen. Av en dom meddelad av Högsta domstolen den 12 juni 2001 (rättsfallet NJA 2001 s. 409) får anses framgå följande. Bestämmelsen i personuppgiftslagen är tillämplig även om den som behandlar personuppgifterna inte är en yrkesmässigt verksam journalist. Huruvida bestämmelsen är tillämplig får avgöras mot bakgrund av hemsidans syfte i förhållande till vad som kan anses ligga inom ramen för ett journalistiskt ändamål såsom att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten. Publicering av uppgifter av rent privat karaktär kan normalt inte anses ha ett journalistiskt ändamål helt oberoende av om publiceringen sker i ett sammanhang som i övrigt har journalistiska ändamål.
Högsta domstolens dom får anses innebära att avsikten med att använda uttrycket journalistiska ändamål är att betona vikten av en fri informationsspridning i frågor av betydelse för allmänheten eller för grupper av människor och en fri debatt i samhällsfrågor, inte att begränsa sig till journalister eller massmedier eller att ange något kvalitetsmått på verksamheten. Högsta domstolen får vidare anses ha betonat samhälls- och allmänintresset av den fråga som verksamheten rör. (Jfr Sören Öman och Hans Olof Lindgren, a.a., s. 86 f).
Hovrätten finner att B.L:s behandling av personuppgifter inte har haft ett journalistiskt ändamål enligt det förut sagda. I stället har behandlingen haft till syfte att informera en begränsad grupp medlemmar i församlingen, något som inte kan anses ha gjort det berättigat att göra uppgifterna allmänt tillgängliga på Internet. På grund härav och då det inte heller har varit fråga om sådant konstnärligt eller litterärt skapande som avses i 7 § andra stycket personuppgiftslagen är det däri föreskrivna undantaget inte tillämpligt i förevarande fall.
B.L. har även åberopat 10 § f) personuppgiftslagen. I den bestämmelsen föreskrivs att personuppgifter får behandlas endast om den som avses med personuppgiften (den registrerade) har lämnat sitt samtycke eller om någon av särskilt angivna förutsättningar är uppfyllda. Sålunda föreskrivs genom 10 § f) att behandling får ske utan den registrerades samtycke om behandlingen är nödvändig för att kunna tillgodose ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos tredje man till vilken personuppgifterna lämnas ut. En förutsättning är dock enligt bestämmelsen att detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Bestämmelsen är grundad på artikel 7 f i direktivet (jfr stycke 30 i direktivets ingress).
Hovrätten konstaterar följande. Bestämmelsen i 10 § f) personuppgiftslagen är endast ett undantag från det allmänna kravet på samtycke från den som registreras. Bestämmelsen gäller överhuvudtaget inte förbudet mot att utan samtycke behandla känsliga personuppgifter. Bestämmelsen ger emellertid uttryck för en allmän avvägning mellan exempelvis yttrandefrihet och skyddet för privatliv. Grunderna för bestämmelsen kan därför beaktas vid prövningen av huruvida bestämmelserna om anmälningsskyldighet och förbud mot behandling av känsliga personuppgifter - till följd av proportionalitetsprincipen - skall tillämpas på ett sådant sätt att de inte skall anses omfatta B.L:s behandling av personuppgifter.
Fråga är alltså närmast om att göra en avvägning mellan å ena sidan de allmänna principerna om yttrandefrihet och å andra sidan den enskildes rätt till skydd för sitt privatliv. I denna avvägning bör även beaktas vad som anförs i stycke 28 i direktivets ingress. Där anges följande. Varje behandling av personuppgifter skall vara laglig och korrekt gentemot berörda personer. Uppgifterna måste särskilt vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligen angivna, berättigade och bestämda vid tiden för insamlandet av uppgifterna. - Det nu sagda kommer till uttryck i artikel 6 i direktivet samt i 9 § personuppgiftslagen.
Med utgångspunkt i det anförda gör hovrätten följande överväganden. De uppgifter som B.L. har behandlat är av så alldaglig karaktär i förhållande till den typ av uppgifter som yttrandefriheten primärt skall garantera skydd för, att yttrandefrihetens intresse ur det perspektivet inte har någon större tyngd. Uppgifterna om M. innehåller principiellt sett förhållandevis skyddsvärda uppgifter om hennes privata sfär, nämligen hennes hälsotillstånd. Å andra sidan har B.L. haft ett berättigat intresse att underlätta konfirmandernas deltagande i församlingslivet. Detta intresse har emellertid inte motiverat att göra uppgifterna allmänt tillgängliga.
Mot bakgrund härav och vad hovrätten har anfört i det föregående om avvägningen mellan rätten till yttrandefrihet och den enskildes rätt till privatliv, gör hovrätten följande bedömning. En tillämpning av proportionalitetsprincipen leder inte till att personuppgiftslagens ifrågavarande bestämmelser skall tillämpas på ett sådant sätt att de inte skall anses omfatta B.L:s behandling av personuppgifter. Härvid har hovrätten särskilt beaktat att behandlingen i sig har inneburit att uppgifterna har gjorts tillgängliga för en större allmänhet.
B.L. har brutit mot anmälningsskyldigheten och förbudet mot behandling av känsliga personuppgifter
Av de skäl som har anförts i det föregående finner hovrätten styrkt att B.L. har brutit mot personuppgiftslagen i de avseenden åklagaren har påstått, dvs. att hon har underlåtit att göra anmälan enligt 36 § personuppgiftslagen och behandlat känsliga personuppgifter i strid med 13-20 §§ samma lag.
En straffbestämmelse kan emellertid tillämpas endast om författningstexten är tillräckligt klar och tydlig (legalitetsprincipen; jfr t.ex. rättsfallet NJA 2000 s. 490). Hovrätten finner att personuppgiftslagens bestämmelser, och de därpå grundade författningarna, är tillräckligt klara och tydliga i de hänseenden som är föremål för hovrättens prövning för att ligga till grund för en tillämpning av straffbestämmelsen i personuppgiftslagen, 49 §. Det strider alltså inte mot legalitetsprincipen att tillämpa straffbestämmelsen.
Hovrätten finner, i enlighet med vad åklagaren har påstått i gärningsbeskrivningen, att B.L. av oaktsamhet har brutit mot bestämmelserna i personuppgiftslagen.
Överträdelsen av bestämmelserna är att anse som ett ringa fall och är därmed straffri
I straffbestämmelsen föreskrivs att det i ringa fall inte skall dömas till ansvar. Syftet med den bestämmelsen är att undanta sådana överträdelser av personuppgiftslagens bestämmelser som i det enskilda fallet inte framstår som särskilt straffvärda. Vad som är ringa fall får bedömas med hänsyn till samtliga omständigheter i det enskilda fallet. I denna bedömning skall vägas in alla faktorer såsom uppgifterna art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen har orsakat. (Jfr prop. 1999/2000:11 s. 18 f och 21.)
Hovrätten beaktar särskilt följande omständigheter. Behandlingen av uppgifterna har inte haft något kommersiellt syfte. Personuppgiftsbehandlingen har skett i B.L:s arbete som handledare för konfirmander och därmed som en integrerad del i B.L:s utövande av sin religion. Detta är ett ändamål och en verksamhet som personuppgiftslagen, mot bakgrund av direktivet, särskilt värnar om. De lämnade uppgifterna har varit av alldaglig art, dock att uppgiften om annans hälsa är att beteckna som en känslig uppgift i personuppgiftslagens mening. Personuppgifterna har bara under en förhållandevis kort tid varit tillgängliga på Internet. B.L. har tagit bort personuppgifterna så snart hon fått reda på att en del av de berörda personerna hade gett till känna att de var negativt inställda. Mot det nu sagda skall särskilt vägas att behandlingen av personuppgifterna har inneburit att de har gjorts tillgängliga för en större allmänhet.
Vid en helhetsbedömning av dessa och övriga omständigheter finner hovrätten att B.L:s överträdelse av personuppgiftslagens bestämmelser är att bedöma som ett ringa fall. B.L:s förfarande ligger därför utanför det straffbelagda området. Åtalet skall därmed ogillas.