Prop. 1981/82:189
om ändring i datalagen (1973:289) m.m.
Prop. 1981/82: 189
Regeringens proposition 1981/82:189 om ändring i datalagen (l973:289) m. m.;
beslutad den 25 mars 1982.
Regeringen föreslår riksdagen att anta de förslag som har tagits upp i bifogade utdrag av regeringsprotokoll.
På regeringens vägnar
THORBJÖRN FÄLLDIN CARL AXEL PETRI
Propositionens huvudsakliga innehåll
I propositionen föreslås ändrade regler om datainspektionens prövning av ärenden som rör rätten att föra personregister med hjälp av ADB. Reformen har till syfte att rationalisera verksamheten vid datainspektionen så att inspektionen kan koncentrera sina resurser på sådana personregister som är särskilt känsliga från integritetsskyddssynpunkt.
Ändringarna i datalagen innebär att det nuvarande kravet på tillstånd för att föra personregister begränsas till register som innehåller ömtåliga uppgifter. t. ex. uppgifter om sjukdomar. brott. politisk uppfattning och religiös tro eller uppgifter som innehåller omdömen om den registrerade. För andra personregister skall krävas att den registeransvarige har anmält sig hos datainspektionen och att denna på grund av anmälan har utfärdat en licens. Vidare föreslås bl. a. att alla registeransvariga skall vara skyldiga att föra en förteckning över sina personregister.
I propositionen föreslås också att Sverige ansluter sig till den Europeiska dataskyddskonventionen. Med anledning härav föreslås vissa ändringar i datalagen och sekretesslagen.
Slutligen föreslås att kostnaderna för datainspektionens verksamhet helt skall täckas genom avgifter från bl. a. de registeransvariga enligt datala- gen.
Lagändringarna föreslås träda i kraft den 1 juli 1982. De registeransvarigas skyldighet att föra förteckning över sina personregister inträder dock först den 1 januari 1983.
Prop. l981/82:189
1. Förslag till Lag om ändring i datalagen (1973z289)
Härigenom föreskrivs i fråga om datalagen (1973z289)1 dels att nuvarande 75 skall betecknas 6 a &. dels att 2, 4—6 a, 10—12. 18. 20. 22 och 24 åå skall ha nedan angivna lydelse,
dels att i lagen skall införas tre nya paragrafer. 2 a. 7 och 7 a 55. av nedan
angivna lydelse,
dels att rubriken före 8 5 skall sättas närmast före nya 7 %.
Nuvarande lydelse
Personregister får icke inrättas eller föras utan tillstånd av datain- spektionen. Med inrättande av per- sonregister förstås även insamling av uppgifter som skall ingå i registret.
Första stycket gäller icke ifråga om personregister vars inrättande be- slutas av regeringen eller riksdagen. Före sådant beslut skall dock yttran- de inhämtas från datainspektionen.
Första stycket gäller icke heller i fråga om personregister som förs med viss bestämd teknisk utrustning, om det med hänsyn till utrustningens art, till utförandet av den automatiska databehandlingen och till registrets utformning i övrigt framstår som uppenbart att otillbörligt intrång i registrerads personliga integritet icke skall uppkomma.
Närmare föreskrifter rörande till- lämpningen av tredje stycket medde- las av regeringen eller av den myndig- het som regeringen bestämmer.
Föreslagen lydelse
2.5
Personregister får inrättas och föras endast av den som har anmält sig hos datainspektionen och fått bevis om detta av inspektionen (li- cens).
Utöver licens behövs tillstånd av datainspektionen för att inrätta och föra personregister som skall inne- hålla .
I . uppgifter som anges i 4 5.
2. uppgifter som anges i 6 5 andra stycket.
3. uppgifter om personer som sak- nar sådan anknytning till den regis- teransvarige som följer av medlems- kap, anställning, kundförhållande eller något därmed jämförligt förhål- lande,
4. personuppgifter som inhämtas från något annat personregister. om inte registreringen av uppgifterna sker med stöd av författning eller med den registrerades medgivande.
Första och andra stycket gäller inte personregister som en enskild person inrättar eller för uteslutande för per- sonligt bruk.
Med inrättande av personregister förstås även insamling av uppgifter som skall ingå i registret.
Zaå
1 Lagen omtryckt 19792334.
Tillstånd av datainspektionen be- hövs inte för personregister vars
Prop. 1981/82:189 3
Nuvarande lydelse Föreslagen lydelse
inrättande beslutas av riksdagen eller regeringen. Imran sådant beslut fattas skall dock yttrande inhämtas från datainspektionen i fråga om register som skall innehålla uppgifter som avses i 2 å" andra stycket.
Tillstånd behövs inte heller för personregistersom har tagits emot för förvaring av en arkivmyndighet.
Utan hinder av 2 .5 andra stycket 1 får
]. sammanslutningar inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning. religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sam- manslutningen,
2. myndigheter inom hälso- och sjukvården för vård— eller behand- lingsändamål inrätta och föra per- sonregister som innehåller uppgifter om någons sjukdom eller hälsotill— stånd i övrigt.
3. myndigheter inom socialtjäns— ten inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten.
4. läkare och tandläkare inrätta och föra personregister som innehål- ler sådana uppgifter om någons sjuk- dom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksam- het.
4 53
Tillstånd att inrätta och föra personregister som innehåller uppgift om att någon misstänkes eller dömts för brott eller avtjänat straff eller undergått annan påföljd för brott eller varit föremål för tvångsingripande enligt lagen ( 1980:621 ) med särskilda bestämmelser om vård av unga, lagen ( 1981:1243 ) om vård av missbrukare i vissa fall. lagen ( 1966:293 ) om beredande av sluten psykiatrisk vård i vissa fall. lagen ( 1967:940 ) angående omsorger om vissa psykiskt utvecklingsstörda eller utlänningslagen (19802376) får endast om synnerliga skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra per- Tillstånd att inrätta och föra per- sonregister som i övrigt innehåller sonregistcr som i övrigt innehåller uppgift om någons sjukdom eller uppgift om någons sjukdom. hälso-
: Senaste lydelse 198111260.
Prop. 1981/82:189
Nuvarande lydelse
hälsotillstånd eller uppgift att någon erhållit ekonomisk hjälp enligt 6 .é' socialtjänstlagen (1980-620) eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlännings- lagen får endast om särskilda skäl föreligger meddelas annan än myn- dighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra per- sonregister som innehåller uppgift om någons politiska eller religiösa uppfattning får meddelas endast om särskilda skäl föreligger. Vad som sagts nu gäller dock ej personregister som sammanslutning avser att föra beträffande sina egna medlemmar.
Föreslagen lydelse
tillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlän- ningslagen får endast om särskilda skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra per- sonregister som innehåller uppgift om någons ras. politiska uppfatt- ning. religiösa tro eller övertygelse i övrigt får meddelas endast om sär- skilda skäl föreligger.
55
I samband med att tillstånd läm- nas till inrättande och förande av personregister. skall datainspektio- nen meddela föreskrift om dels ändamålet med registret, dels vilka personuppgifter som får ingå i detta. Föreligger särskilda skäl. får tillstån- det begränsas till viss tid.
I samband med att tillstånd läm- nas till inrättande och förande av personregister, skall datainspektio- nen meddela föreskrift om ändamå- let med registret. Föreligger särskil- da skäl, får tillståndet begränsas till viss tid.
6 &
Lämnas tillstånd till inrättande och förande av personregister, skall datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet. meddela föreskrift om
]. inhämtande av uppgifter för personregistret,
2. utförandet av den automatiska databehandlingen,
3. den tekniska utrustningen,
4. de bearbetningar av person- uppgifterna i registret som får göras med automatisk databehandling.
5. underrättelse till berörda per- soner.
6. de personuppgifter som får göras tillgängliga,
7. utlämnande och annan an- vändning av personuppgift.
8. bevarande och gallring av per- sonuppgifter.
9. kontroll och säkerhet.
2. vilka personuppgifter som får ingå i personregistret,
3. utförandet av den automatiska databehandlingen,
4. den tekniska utrustningen,
5. de bearbetningar av person- uppgifterna i registret som får göras med automatisk databehandling,
6. underrättelse till berörda per— soner,
7. de personuppgifter som får göras tillgängliga,
8. utlämnande och annan an- vändning av personuppgift.
9. bevarande och gallring av per- sonuppgifter.
10. kontroll och säkerhet.
Vid bedömandet av om föreskrift behövs skall särskilt beaktas huruvida
Prop. 1981/82zl89
Nuvarande lydelse Föreslagen lydelse
registret innehåller personuppgift som utgör omdöme eller annan värderan- de upplysning om den registrerade.
Föreskrift rörande utlämnande av personuppgift får icke inskränka myndighets skyldigheter enligt tryckfrihetsförordningen .
7 9"
Bestämmelserna i 5 och 6 55 om skyldighet för datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2 5 andra stycket, i den mån icke rege- ringen eller riksdagen har meddelat föreskrift i samma hänseende.
7a
6 a &?
Bestämmelserna i 5 och 6 55 om skyldighet för datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2 a 5 första stycket andra meningen, i den mån icke regeringen eller riksdagen har meddelat föreskrift i samma hänseende.
75
Personregister skall inrättas och föras så att inte otillbörligt intrång i registrerads personliga integritet upp- kommer. Därvid skall särskilt iakt- tas
I . att registret förs för ett bestämt ändamål.
2. att inte andra uppgifter registre- ras än som står i överensstämmelse med registrets ändamål,
3. att uppgifter inte samlas in. lämnas ut eller används annat än i överensstämmelse med registrets än- damål eller vad som gäller enligt lag eller annan författning eller i enlighet med den registrerades medgivande.
4. att uppgifterna i registret skyd- das mot oavsiktlig eller otillåten för- störelse eller mot otillåten ändring eller spridning.
ä'
Hos den registeransvarige skall finnas en aktuell förteckning över de personregister som han är ansvarig för. Förteckningen skall innehålla uppgift om
I . registrets benämning,
2. registrets ändamål,
3. lokalen där den automatiska databehandlingen huvudsakligen ut- förs.
4. numret på den registeransvari- ges licens hos datainspektionen,
5. i vad mån personuppgifter läm-
Prop. 1981/82:189 6
Nuvarande lydelse Föreslagen lydelse
nas utför automatisk databehandling i utlandet.
Förteckningen skall hållas tillgäng- lig för datainspektionen och på begä- ran av denna ges in till inspektio- nen.
När en registeransvarig sänder en handling som innehåller personupp- gifter ur ett personregister till den registrerade, skall upplysning samti- digt lämnas om vem sotn är avsända- re eller om den registeransvariges licensnummer hos datainspektio- nen.
Bestämmelserna i denna paragraf gäller inte personregister som en enskild person för uteslutande för personligt bruk eller som en arkiv- myndighet har tagit emot för förva- ring.
10 53 Den registeransvarige skall på begäran av enskild så snart det kan ske underrätta denne antingen om innehållet i personuppgift som ingår i personregistret och innefattar upplysning om honom eller om att sådan uppgift ej förekommer i registret. Sådan begäran skall framställas skriftligen och vara egenhändigt undertecknad av den enskilde-. Har underrättelse lämnats. behöver ny underrättelse icke lämnas till samme enskilde förrän tolv månader därefter.
Underrättelse enligt första stycket skall lämnas utan kostnad för den enskilde. Föreligger särskilda skäl, får dock datainspektionen i fråga om visst slag av personuppgifter eller i fråga om underrättelse om att personuppgift om enskild ej förekommer i registret medge att avgift tages ut.
Första stycket gäller icke uppgift Första stycket gäller inte uppgifter som enligt lag eller annan författning i personregister som har tagits emot eller enligt myndighets beslut som för förvaring av en arkivmyndighet meddelats med stöd av författning ej och inte heller uppgifter som enligt får lämnas ut till den registrerade. lag eller annan författning eller
enligt myndighets beslut som med- delats med stöd av författning ej får
- lämnas ut till den registrerade.
Första stycket gäller icke heller. om det i fråga om visst slag av personuppgifter är uppenbart att underrättelse kan underlåtas på grund av att det inte föreligger någon risk för otillbörligt intrång i registrerads personliga integritet. Underrättelse får dock underlåtas endast efter medgi- vande från datainspektionen.
1154. Personuppgift som ingår i person- Personuppgift som ingår i person- register får ej lämnas ut, om det finns register får ej lämnas ut. om det finns
3 Senaste lydelse 1980le25. 4 Senaste lydelse l980:216.
Prop. 1981/82:189
Nuvarande lydelse
anledning antaga att uppgiften skall användas för automatisk databe— handlingi strid med denna lag. Finns det anledning antaga att personupp- gift skall användas för automatisk databehandling i utlandet. får upp- giften lämnas ut endast efter medgi- vande av datainspektionen. Sådant medgivande får lämnas endast om det kan antagas att utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig inte- gritet.
Föreslagen lydelse
anledning antaga att uppgiften skall användas för automatisk databe- handlingi strid med denna lag. Finns det anledning antaga att personupp- gift skall användas för automatisk databehandling i utlandet, får upp- giften lämnas ut endast efter medgi- vande av datainspektionen. Sådant medgivande får lämnas endast om det kan antagas att utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig inte- gritet. Något medgivande behövs dock inte. om personuppgift skall användas för automatisk databe- handling enbart i en stat som har anslutit sig till Europarådets konven- tion om skydd för enskilda vid auto- matisk databehandling av person-
uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i sekretess-
lagen ( 1980:100 ).
17
Upphör registeransvarig att föra personregister, skall han anmäla det- ta till datainspektionen. Inspektionen föreskriver i sådant fall hur det skall förfaras med registret.
Första stycket gäller icke ifråga om personregister som avses i 2 55 tredje stycket.
%
Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndig- hets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret.
Upphör en registeransvarig att föra ett personregister för vilket datain- spektionen har meddelat tillstånd, skall han anmäla detta till inspektio- nen/Detsamma gäller i fråga om sådant personregister som avses i 2 a ä' första stycket andra tneningen.
185
Har förandet av personregister lett till otillbörligt intrång i personlig integritet eller finns anledning anta- ga att sådant intrång skall uppkom- ma. får datainspektionen i mån av behov ändra föreskrift som tidigare
Har förandet av personregister lett till otillbörligt intrång i personlig integritet eller finns anledning anta- ga att sådant intrång skall uppkom- ma. får datainspektionen i mån av behov meddela föreskrift i sådant
Prop. 1981/82:189
Nuvarande lydelse
meddelats eller meddela ny före- skrift i sådant avseende som anges i 5 eller 6 &. I fråga om register som avses i 2 5 andra stycket får datain- spektionen vidtaga åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riksdagen.
Kan skydd mot otillbörligt intrång i personlig integritet cj åstadkom- mas på annat sätt. får datainspektio- nen återkalla meddelat tillstånd.
Har förandet av personregister som avses i 2 € tredje stycket lett till otillbörligt intrång i personlig integri- tet eller finns anledning antaga att sådant intrång skall uppkomma. får datainspektionen förbjuda fortsatt förande av registret.
Föreslagen lydelse
avseende som anges i 5 eller 6 5 eller ändra föreskrift som tidigare medde- lats. I fråga om register som avses i 2 a 5 första stycket får datainspektio- nen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riks- dagen. .
Kan skydd mot otillbörligt intrång i personlig integritet ej åstadkom- mas på annat sätt, får datainspektio- nen förbjuda fortsatl förande av per- sonregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket.
20%
Till böter eller fängelse i högst ett år dömes den som uppsåtligen eller av oaktsamhet
1. inrättar eller för personregister utan tillstånd enligt denna lag. när sådant erfordras,
Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet
1. inrättar eller för personregister utan licens eller tillstånd enligt denna lag, när detta erfordras.
2. bryter mot föreskrift eller förbud som meddelats enligt 5. 6 eller 18 5,
3. lämnar ut personuppgift i strid mot 11 ä,
4. bryter mot 12 5,
5. lämnar osann uppgift vid fullgörande av skyldighet att lämna under- rättelse enligt 10 5, eller
6. lämnar osann uppgift i fall som avses i 17 &.
Till böter döms den som uppsåtli- gen eller av oaktsamhet bryter mot 7a .é' första eller tredje stycket.
. 225
Har personregister inrättats e'ller förts utan tillstånd enligt denna lag. när sådant tillstånd erfordras, skall registret förklaras förverkat. om det ej är uppenbart obilligt. Detsamma gäller, om personregister har förts i strid mot förbud enligt 18%? tredje stycket.
Har personregister inrättats eller förts utan licens eller tillstånd enligt denna lag, när licens eller tillstånd behövs. skall registret förklaras för- vcrkat, om det ej är uppenbart obilligt. Detsamma gäller. om per- sonregister har förts i strid mot förbud enligt 18.5 andra stycket.
ut
Om registeransvarig eller den som för registeransvarigs räkning hand-
Om registeransvarig eller den som för registeransvarigs räkning hand-
Prop. 198l/82zl89
Nuvarande lydelse
har personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 165 eller att lämna uppgift enligt 17 5, får datainspektionen förelägga vite. Detsamma gäller, om registeransva- rig icke fullgör vad som åligger honom enligt 8. 9 eller 10 5.
9
Föreslagen lydelse
har personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 165 eller att lämna uppgift enligt 17 5. får datainspektionen förelägga vite. Detsamma gäller, om registeransva- rig icke fullgör vad som åligger honom enligt 7 a .5 andra stycket, 8. 9 eller 10 5.
Denna lag träderi kraft. såvitt avser 7 a 5 den 1 januari 1983. och i övrigt den 1 juli 1982.
Bestämmelserna i 25 gäller även personregister som har inrättats före ikraftträdandet. Om anmälan och ansökan om tillstånd. om sådant krävs. görs före den 1 januari 1983. får dock ett sådant register föras utan hinder av 25 tills ärendet har prövats slutligt. Nytt tillstånd behövs inte för sådana register som datainspektionen har gett tillstånd till före ikraftträdandet.
2 Förslag till Lag om ändring i sekretesslagen (l980:100) Härigenom föreskrivs att 7 kap. 165 och 9 kap. 65 sekretesslagen (1980:100)l skall ha nedan angivna lydelse.
7 kap. 16 5 Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289). om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen.
Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan- det och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande.
] Lagen omtryckt 198t):88().
Sekretess för uppgift som anges i första stycket gäller också. om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan- det och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgifter: skall användas för automatisk databehandling en- bart i en stat som har anslutit sig till Europarådets konvention Om skydd för enskilda vid automatisk databe- handling av personuppgifter.
Prop. 1981/82: 189
Nuvarande lydelse
10
Föreslagen lydelse
9 kap.
Sekretess gäller hos datainspek- tionen i ärende om tillstånd eller tillsyn. som enligt lag ankommer på inspektionen, för uppgift om en- skilds personliga eller ekonomiska förhållanden. om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift. för vil- ken gäller sekretess enligt vad nu har sagts. lämnats till regeringen eller justitiekanslern. gäller sekretessen också där.
Sekretess gäller hos datainspek- tionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och iärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. för uppgift om enskilds personliga eller ekonom miska förhållanden. om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekre- tessen också där.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.
Denna lag träder i kraft den 1 juli 1982.
Prop. l981/82:189 11
Utdrag JUSTITIEDEPARTEMENTET PROTOKOLL
vid regeringssammanträde 1982-03-25
Närvarande: statsministern Fälldin, ordförande. och statsråden Wikström. Friggebo. Dahlgren, Åsling, Söder, Johansson. Wirtén, Andersson. Boo, Petri. Eliasson. Gustafsson. Elmstedt. Ahrland. Molin
Föredragande: statsrådet Petri
1 Inledning
Efter regeringens bemyndigande tillkallade dåvarande chefen för justitie- departementet år 1976 en kommitté för att se över lagstiftningen om personorienterad ADB-information m. m. Kommittén, som antog namnet datalagstiftningskommittén (DALK). har därefter genom tilläggsdirektiv i december 1980 fått i uppdrag bl. a. att med förtur undersöka vilka åtgärder som kan vidtas för att på kort sikt rationalisera verksamheten vid datainspektionen.
DALK har i augusti 1981 avlämnat promemorian (Ds Ju l981:15—16) Tillstånd och tillsyn enligt datalagenl. I promemorian lägger DALK fram förslag till åtgärder för att rationalisera datainspektionens verksamhet på kort sikt. DALK tar vidare upp vissa särskilda frågor som har väckts av datainspektionen i en skrivelse till regeringen den 20 november 1980. Slutligen behandlar DALK frågor som rör två internationella överenskom- melser om dataskyddsfrågor. '
I maj 1981 uppdrogs åt DALK att utreda och till regeringen komma in med förslag till ett nytt avgiftssystem för verksamheten vid inspektionen. Systemet skulle ansluta till de nya regler som DALK kunde komma att föreslå med anledning av det nyssnämnda rationaliseringsuppdraget. DALK
| Ledamöter när promemorian utlämnades: riksdagsledamoten Lennart Blom. ordförande. riksdagslcdamöterna Kerstin Anér och Pär Granstedt. l'örbundsjuristen Stig Gustafsson. riksdagsledamoten Kurt Hugosson. samt e. universitetslektorn Britt Wickum.
Prop. l981/82: 189 12
hari december 1981 redovisat uppdraget i promemorian (Ds Ju 1981123) Nya avgifter för datainspektionens verksamhet.
Jag avser nu att ta upp promemoricförslagen och därmed sammanhäng- ande frågor till behandling. Till protokollet i detta ärende bör fogas en sammanfattning av promemorian Tillstånd och tillsyn enligt datalagen som bilaga] och de lagförslag som läggs fram i promemorian som bilaga 2. Beträffande gällande ordning samt utredningens närmare överväganden hänvisas till promemorian. Till protokollet bör också som bilaga 4 fogas den av Europarådets ministerkommitté år 1980 antagna konventionen till skydd för enskilda vid automatisk databehandling av personuppgifter (Convention for the protection of individuals with regard to automatic processing of personal data).
Promemorian Tillstånd och tillsyn enligt datalagen har remissbehandlats. En förteckning över remissinstanserna och en sammanställning av deras remissyttranden bör fogas till protokollet i detta ärende som bilaga 3,
Under remissbehandlingen av promemorian Tillstånd och tillsyn enligt datalagen har nordiska departementsöverläggningar ägt rum i fråga om ratifikation av dataskyd- skonvcntionen.
2. Allmän motivering
2.1. Reformbehovet
Datalagen. som antogs år 1973. syftar till att skydda den enskilde mot sådant intrång i den personliga integriteten som kan bli följden av registrering av personuppgifter med hjälp av ADB. Det bakomliggande motivet är att ' den enskilde — med de begränsningar som följer av samhällsgemenskapens krav — bör ha tillgång till en fredad sektor. inom vilken han skall kunna avvisa otillbörlig inblandning från det allmänna eller från andra. Lagens regelsystem innebär i huvudsak att personregister som förs med hjälp av ADB i princip inte får inrättas eller föras utan tillstånd av datainspektionen. För register som inrättas genom beslut av riksdagen eller regeringen krävs dock inte tillstånd.
Den grundläggande regeln i 3 & datalagen innebär att datainspektionen skall meddela tillstånd till inrättande och förande av personregister, om det saknas anledning anta att. med iakttagande av de föreskrifter som inspektionen meddelar. otillbörligt intrång i registrerads personliga integri- tet skall uppkomma. I lagen finns vidare bestämmelser om särskilda villkor för tillstånd att föra vissa slag av register. om skyldigheter för de registeransvariga i fråga om användningen av personregister och om datainspektionens befogenheter som tillsynsmyndighct.
DALK har tidigare avlämnat delbetänkandena (SOU l978z54) Personre- gister—Datorer—Integritet och (SOU 198031") Offentlighctsprincipen och ADB samt promemorian (Ds Ju 1979119) Författningsreglering av SPAR
Prop. 1981/82:189 13
m.m. På grundval av de förslag som DALK där har lämnat har vissa ändringari datalagen beslutats. De grundläggande principerna för tillstånds- förfarandet kvarstår dock oförändrade.
[ mars 1980 fick DALK genom tilläggsdirektiv i uppdrag att utreda om en generell personregisterlagstiftning. som inte i första hand är inriktad på registreringstekniken, bör ersätta datalagen på längre sikt. Mycket snart därefter visade det sig emellertid att det fanns behov av att vidta vissa åtgärder för att reformera datainspektionens verksamhet på kort sikt. Detta påpekades bl. a. av inspektionen själv i olika sammanhang. Genom tilläggsdirektiv i december 1980 fick DALK. som jag förut har nämnt, i uppdrag att med förtur undersöka möjligheterna att vidta sådana åtgär- der.
Behovet av. en reform av datalagen bör ses mot bakgrund av att utvecklingen av datainspektionens verksamhet har blivit annorlunda än vad man räknade med vid lagens tillkomst. Man antog då att det fanns ca 4 000 datasystem som innehöll personuppgifter och att det årliga tillflödet av tillståndspliktiga personregister skulle bli ca 500. Man räknade vidare med att det skulle behövas sju tjänster för handläggningen av tillståndsärenden hos inspektionen och nio tjänster för tillsynsverksamheten.
Det har emellertid visat sig att tillströmningen av tillståndsärenden har blivit betydligt större än man räknade med. Antalet tillståndsärenden per år har alltsedan datainspektionen började sin verksamhet legat över 2 000 och uppgick 1980 till ca 3 600. F. n. är 15 handläggare sysselsatta med tillståndsärenden och bara tre avdelade för tillsynsverksamheten.
Att datainspektionens verksamhet har utvecklats på det angivna sättet hänger i stor utsträckning samman med utformningen av datalagens' tillståndsbestämmelser. Dessa innebär att i princip inga register som innehåller personuppgifter har kunnat inrättas eller föras utan tillstånd av datainspektionen. Vissa förenklingar av tillståndsförfarandet gjordes visser- ligen år 1979, men dessa innebar inte någon mera genomgripande förändring av de grundläggande principerna.
De angivna omständigheterna har alltså medfört att datainspektionen har kommit att koncentrera sin verksamhet på tillståndsärendena. Inspektionen har måst lägga ner mycket arbete på tillståndsprövning av register som är relativt ofarliga från integritetsskyddssynpunkt. Detta har lett till att inspektionen i allt för liten omfattning har kunnat ägna sig åt tillsynsverk- samhet.
Mot den angivna bakgrunden har DALK föreslagit att man redan nu skall vidta åtgärder för att göra datainspektionens verksamhet effektivare. En minoritet inom kommittén har emellertid reserverat sig mot förslaget. Enligt minoritetens mening bör man avvakta kommitténs kommande förslag om en allmän personregisterlagstiftning innan man gör någon mer ingripande ändring i datalagen .
Under remissbehandlingen har flertalet remissinstanser i princip tillstyrkt
Prop. l981/82:189 14
DALK:s förslag medan ett mindre antal har avstyrkt förslaget eller uttalat tveksamhet om detta.
Enligt min mening är det uppenbart att det föreligger ett behov av att vidta åtgärder för att rationalisera verksamheten hos datainspektionen. DALK:s undersökningar. inspektionens egna upplysningar liksom vad som har kommit fram under remissbehandlingen visar att inspektionens verksamhet i dag alltför mycket är inriktad på frågor som är mindre viktiga från integritetsskyddssynpunkt. Det är enligt min åsikt angeläget att förutsätt- ningar skapas för att inspektionen skall kunna förskjuta tyngdpunkten i sin verksamhet mot sådana frågor som är särskilt betydelsefulla för integritets- skyddet.
Jag anser att det är viktigt att man så snart som möjligt vidtar åtgärder för att komma till rätta med de problem som nu föreligger för inspektionen. Att avvakta DALK:s förslag om en allmän personregisterlagstiftning skulle innebära ett avsevärt dröjsmål. DALK beräknas avge ett betänkande i den frågan hösten 1983. Betänkandet skall sedan remissbehandlas och överar- betas inom departementet innan ett förslag kan behandlas av riksdagen. Det betyder att en ny lagstiftningi ämnet knappast kommer att kunna träda i kraft före den 1 januari 1985. En sådan tidsutdräkt är enligt min mening inte acceptabel.
Jag anser därför att man redan nu bör vidta åtgärder för att inspektionens resurser skall kunna användas mer effektivt och därigenom skapa möjlighet till en omprioritering av verksamheten. Jag skall i följande avsnitt diskutera de olika åtgärder som kan komma '.3 fråga.
Innan jag går närmare in på principerna för en reform vill jag framhålla att datalagen på det hela taget väl har fyllt sin uppgift som ett instrument för skyddet för den personliga integriteten vid automatisk databehandling. Lagen, som var ett förstlingsverk. har många förtjänster och har också i flera avseenden stått som förebild för utländsk datalagstiftning.
Det är emellertid naturligt att man då och då ser över en sådan lag som datalagen vilket också framhölls vid lagens tillkomst. Den snabba tekniska utvecklingen på informationsområdet liksom samhällets utveckling i övrigt kan medföra att lösningar som var lämpliga vid lagens tillkomst inte står sig ett decennium senare.
Jag vill dock understryka att en ändring av datalagen inte får leda till att man försämrar det grundläggande skydd mot otillbörligt intrång i den personliga integriteten som lagen ger. En förändring av ramarna för datainspektionens verksamhet får givetvis inte göras på ett sådant sätt att integritetsskyddet urholkas. Strävan måste i stället vara att åstadkomma ett bättre integritetsskydd. Just därför är det angeläget att inspektionen befrias från uppgifter som är av underordnad betydelse så att inspektionen kan koncentrera sina resurser på sådant som verkligen är betydelsefullt från integritetsskyddssynpunkt.
Prop. 1981/82:189 15
2.2. Åtgärder för att rationalisera datainspektionens verksamhet 2.2.1 De allmänna principerna för en reform Datainspektionens uppgifter enligt datalagen
Datainspektionen har till uppgift att pröva frågor om tillstånd och att utöva tillsyn enligt datalagen . kreditupplysningslagen (1973:1173) och inkassolagen (1974:182) . Inspektionen leds av en styrelse. Inspektionens kansli är uppdelat på ett sekretariat för administration och två enheter, en för tillståndsärenden och en för tillsynsärenden. För vardera enheten och för sekretariatet finns en chef. Härutöver finns ca 30 personer anställda.
Inspektionens verksamhet är indelad i programmen tillståndsverksamhct, tillsynsverksamhet och information. Inspektionens anslag för budgetåret 1981/82 är ca 6,5 milj. kr. Tillståndsverksamheten skall finansieras genom avgifter från de sökande. Sedan datalagens tillkomst har myndigheten t. o. m. 1980 prövat ca 27 500 tillståndsärenden enligt datalagen och 1 300 diarieförda ärenden om tillsyn enligt datalagen.
I datalagen finns de grundläggande bestämmelser som reglerar skyldighe- ten att hos datainspektionen ansöka om tillstånd att föra personregister. I datakungörelscn ( 1973z289) finns närmare bestämmelser om förfarandet vid denna tillståndsprövning. Inspektionen meddelar därutöver föreskrifter som publiceras i Datainspektionens författningssamling (DIFS).
Skyldigheten att hos inspektionen ansöka om tillstånd att föra personre- gister framgår av 25 datalagen . Undantag görs för sådana register som inrättas genom beslut av regering eller riksdag. Före ett sådant beslut skall emellertid yttrande inhämtas från inspektionen. Vidare kan undantag från tillståndsplikten föreskrivas med stöd av 25 tredje stycket datalagen för personregister som förs med viss bestämd teknisk utrustning, om det med hänsyn till närmare angivna omständigheter framstår som uppenbart att otillbörligt intrång i registrerads personliga integritet inte skall uppkomma. De register som undantas från tillståndskravet blir varken föremål för någon tillståndsprövning eller någon registrering hos datainspektionen.
Inspektionen skall vid sin prövning av en ansökan om tillstånd ta ställning till frågan om registret kan medföra otillbörligt intrång i registrerads personliga integritet. I fråga om vissa register krävs särskilda. eller i vissa fall synnerliga, skäl för att tillstånd skall beviljas (3 a och 4 55 datalagen). Om tillstånd meddelas. skall inspektionen meddela föreskrifter om bl. a. ändamålet med registret och vilka uppgifter som får ingå i detta.
Närmare regler om förfarandet vid ansökan om tillstånd finns, som nämnts, i datakungörelscn och datainspektionens föreskrifter. E_n ansökan skall enligt 2å datakungörelscn normalt innehålla uppgifter i 14 olika hänseenden. Totalt har t. 0. m. år 1980 ca 6 600 ärenden med fullständiga tillståndsansökningar diarieförts hos datainspektionen.
Datainspektionen har. såsom förutsattes vid datalagens tillkomst. alltse-
Prop. 1981/82:l89 16
dan verksamhetens början tillämpat ett förenklat ansöknings- och tillstånds- förfarandc i fråga om mindre integritetskänsliga register. Det gäller vissa löne- och personalregister. vissa kund— och leverantörsregister, vissa hyresregister och vissa medlemsregister. Sådana personregister underkastas inte någon individuell tillståndsprövning.
Ansökningar om tillstånd enligt det förenklade förfarandet görs på en enkel blankett. Tillstånd meddelas i princip omgående i form av ett standardiserat beslut med olika föreskrifter m. m. Totalt har t. o. m. är 1980 ca 18000 ärenden enligt det förenklade förfarandet prövats av inspektio- nen. _
Även personregister vars inrättande beslutats av regeringen eller riksda- gen skall till viss del prövas av datainspektionen. Den myndighet som är registeransvarig skall sålunda snarast anmäla registret till inspektionen för att inspektionen skall kunna meddela erforderliga föreskrifter enligt 5 och 6 åå datalagen. Totalt har t. o. m. är 1980 ca 550 sådana anmälningar diarieförts hos inspektionen.
Härutöver har t. o. m. är 1980 ca 3 000 ansökningar om ändring eller utvidgning av personregister diarieförts hos datainspektionen. Dessutom förekommer vissa andra tillståndsärenden, t. ex. ärenden om anslutningar av terminaler till personregister eller om utlandsbearbetningar för vilka medgivande krävs enligt 11 & datalagen. Totalt har t. o. m. är 1980 ca 250 sådana ärenden prövats av inspektionen.
Upphör den registeransvarige att föra personregister, skall detta enligt 12?” datalagen anmälas till datainspektionen. Inspektionen föreskriver då hur det skall förfaras med registret. Totalt har t. o. m. är 1980 ca 2 000 anmälningar om upphörande diarieförts hos datainspektionen.
Bestämmelser om inspektionens tillsynsverksamhet finns i 15—18 åå datalagen. I 15 & föreskrivs att inspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i personlig integritet. Inspektionen har rätt att tillgripa vissa tvångsåtgärder för sin tillsyn liksom att ändra eller komplettera ett tidigare fattat beslut med nya föreskrifter. Den kan också i sista hand återkalla ett meddelat tillstånd.
Tillsynsverksamheten omfattar i praktiken dels utredningar med anled- ning av klagomål från allmänheten, dels inspektioner och andra åtgärder på datainspektionens eget initiativ. Förutom klagoärenden. som kräver särskild utredning. förekommer en omfattande brevväxling med allmänheten i olika frågor som rör ADB och integritetsskyddet.
Kommittéförslaget
DALK har som utgångspunkt för sina överväganden och förslag med anledning av rationaliseringsuppdraget i nära samråd med datainspektionen inhämtat faktiska uppgifter om inspektionens tillämpning av datalagens tillstånds- och tillsynsregler. När det gäller redovisningen av detta material
Prop. l981/82:189 17
får jag i första hand hänvisa till promemorian, avsnitt 5 . DALK har också undersökt datalagens effekter för de registrerade och de registeransvariga. Också när det gäller det närmare utfallet av dessa undersökningar får jag hänvisa till promemorian. avsnitt 6 .
DALK:s sammanfattande bedömning av dessa undersökningar är att effekten av datalagen för de registrerade i huvudsak har blivit den man strävade efter då lagen infördes. Beträffande de registeransvariga konstate- rar DALK att datalagen sannolikt har medfört en helt annan medvetenhet än tidigare rörande riskerna för otillbörligt intrång i den personliga integriteten. Enligt DALK har datalagens effekter i stort sett varit godtagbara också för de registeransvariga.
När det däremot gäller datainspektionens verksamhet konstaterar DALK att utvecklingen har blivit en annan än man räknade med vid lagens tillkomst. Det har visat sig att antalet tillståndsärenden har blivit betydligt större än man då trodde och att inspektionens verksamhet har måst koncentreras på tillståndsverksamheten på bekostnad av tillsynsverksamheten.
DALK antar att antalet ärenden sannolikt kommer att öka också de närmaste åren och menar att det nuvarande tillståndskravet innebär att betydande arbete måste läggas ned på personregister som är relativt ofarliga från integritetsskyddssynpunkt. Enligt DALK är detta orsaken till att tillsynsverksamheten inte har kunnat bedrivas i den omfattning som avsetts.
DALK anser att det är angeläget att datainspektionens verksamhet förskjuts i riktning mot ökad tillsynsverksamhet. Det är också önskvärt att man förenklar förfarandet för de registeransvariga. Med hänvisning till framför allt dessa skäl anser DALK att man snarast bör vidta åtgärder för att rationalisera inspektionens verksamhet.
DALK diskuterar först tre olika uppslag för att komma till rätta med problemen i inspektionens verksamhet utan att ändra det grundläggande regelsystemet. Uppslagen är följande:
a) nollalternativet, som innebär att datainspektionen med oförändrade personalresurser gör den ytterligare rationalisering av tillståndsförfa- randet som är möjlig utan lagändringar,
b) ett alternativ som innebär betydande personalökningar hos datainspek- tionen,
c) ett alternativ som innebär att man med oförändrade personalresurser behåller tillståndskravet som huvudregel men i lag anger nya grupper av personregister som undantas från tillståndskravet och i stället görs till föremål för någon form av anmälningsskyldighet.
Enligt DALK medför alternativen a och c betydande negativa effekter för datainspektionen, de registeransvariga och de registrerade. Båda alternati- ven innebär att endast begränsade resurser kan föras över från tillstånds- verksamhet till tillsynsverksamhet och att tillståndsprövningen av känsliga
Prop. 1981/82:189 18
register förblir otillräcklig. Ansökningsförfarandet blir i stort sett oförändrat och handläggningstiderna kan väntas bli oacceptabelt länga. Alternativ c innebär dessutom att datalagen skulle behöva belastas med omfattande undantagsbestämmelser och därmed bli svårare att tolka och överblicka.
Alternativ b kan enligt DALK i och för sig antas leda till en rimlig avvägning mellan tillstånds- och tillsynsverksamheten men det innebär betydande kostnadsökningar och medför samtidigt att man behåller en tillståndsverksamhet som är stelbent och orationell. Dessutom innebär detta alternativ att datalagens ekonomiska och administrativa konsekvenser inte alls kan begränsas.
Sammanfattningsvis anser DALK att inget av de tre Skisserade uppslagen är godtagbart. I stället förordar DALK ett fjärde förslag som bygger på att tillståndsplikten begränsas till särskilt integritetsfarliga register och att det för övriga register skall räcka med en_anmälan från den registeransvarige om att denne för personregister. Dessutom föreslås vissa allmänna regler om hur personregister skall föras m. m.
Förslaget innefattar sammanfattningsvis följande lagstiftningsåtgärder:
1. Ett registrerings- och licensförfarande införs för alla registeransvariga med undantag för enskilda som inrättar personregister uteslutande för personligt bruk.
2. Tillståndskravet behålls för personregister som innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet.
3. De registeransvariga åläggs med det undantag som anges under 1 dels att i kontakterna med de registrerade visa att man har licens att föra personregister genom att ange licensnumret, dels att ge in en förteckning över registren till datainspektionen.
4. De registeransvarigas nuvarande skyldigheter enligt datalagen kom- pletteras med vissa allmänna bestämmelser om utformningen av personregister.
Som jag förut har nämnt har en minoritet inom DALK reserverat sig mot majoritetens förslag till åtgärder. Minoriteten erinrar bl. a. om att datalagen ändrades år 1979 och att den enligt DALK:s dåvarande uppfattning därefter ansågs kunna ge ett ändamålsenligt integritetsskydd till dess den kunde ersättas med en mer generell personregisterlag. Inspektionens förslag om åtgärder på kort sikt bör ses mot bakgrund av att inspektionen inte har fått gehör för sina framställningar om resursförstärkningar. Det finns inte skäl att nu vidta några stora och principiellt viktiga ändringar i datalagen. Det bör räcka att inspektionen rationaliserar sin verksamhet enligt nollalternativet. Minoriteten föreslår att datainspektionen ges de resurser som behövs för att inspektionen utan lagändringar skall kunna fullgöra sina uppgifter i avvaktan på en generell personregisterlag.
Prop. l981/82:189 19
Remissutfallet
En stor grupp remissinstanser ansluter sig helt elleri huvudsak till DALK:s förslag till åtgärder för att rationalisera datainspektionens verksamhet. Till denna grupp hör bl. a. JK. riksåklagaren. datainspektionen (styrelsens majoritet). samarbetsorganet för rättsväsendets informationssystem. riks- skatteverket. två länsstyrelser. JO. Svenska kommunförbundet. Landstings- förbundet. SAF. Sveriges industriförbund. Kooperativa förbundet och Lantbrukarnas riksförbund. Dessa remissinstanser betonar behovet av omedelbara åtgärder för att flytta över datainspektionens resurser till prövning av mer känsliga register och tillsynsverksamhet. Från flera håll betonas att förslaget kommer att medföra en förstärkning av integritetsskyd- det utan att betydande resurser behöver tillföras datainspektionen. Några menar också att förslaget kommer att innebära värdefulla förenklingar för de registeransvariga.
Det framhålls också som väsentligt att datainspektionen själv anser att de föreslagna åtgärderna är nödvändiga. Vissa remissinstanser menar att det föreslagna anmälningssystemet endast från formell synpunkt kan ses som en nyhet. eftersom det 5. k. förenklade förfarandet redan i dag snarast innebär ett anmälningsförfarande.
En något mindre grupp remissinstanser avstyrker eller ställer sig tveksam- ma till förslaget. Bland dessa remissinstanser kan nämnas hovrätten för Västra Sverige. kammarrätten i Sundsvall, en minoritet inom datainspektio- n'ens styrelse. riksrevisionsverket. LO. TCO och Sveriges advokatsamfund. Flera av dessa remissinstanser ansluter sig till de skäl mot DALK:s förslag som reservanterna i kommittén har fört fram, nämligen att man bör avvakta resultatet av DALK:s arbete på en generell personregisterlag' och att man bör beakta behovet av stabilitet i lagstiftningen. Några ifrågasätter om DALK:s förslag är ägnat att lösa problemen för datainspektionen och om det inte kommer att medföra en försämring av integritetsskyddet. Man pekar också på att genomförandet av det nya regelsystemet kommer att kräva stora resurser och ställa stora krav på både datainspektionen och de registeran— svariga. Några remissinstanser anser att datainspektionen i stället bör ges de resurser som krävs. Man pekar i detta sammanhang på att riksdagen har bemyndigat regeringen att totalfinansiera verksamheten vid datainspektio— nen genom avgifter från de registeransvariga.
Det finns också remissinstanser som förordar något av de övriga alternativ som DALK har diskuterat eller kombinationer av dessa.
Överväganden
Som jag förut har sagt har datalagen på det hela taget väl fyllt sin uppgift att ge skydd mot otillbörligt intrångi den personliga integriteten i samband med automatisk databehandling av personuppgifter. För datainspektionen har
Prop. 1981/82:189 20
det emellertid uppkommit kännbara olägenheter genom att inspektionen har måst satsa huvuddelen av sina resurser på tillståndsverksamheten och inte har kunnat ägna tillräcklig uppmärksamhet åt tillsynsfrågorna.
Den främsta orsaken till denna utveckling är att antalet tillståndsärenden vida har överstigit det antal som man räknade med vid lagens tillkomst och som låg till grund för dimensioneringen av datainspektionen. Detta förhållande har tidigare uppmärksammats av statsmakterna. och åtgärder har vidtagits för att man skall komma till rätta med problemen. Inspektionen har under årens lopp tilldelats betydande resurser utöver dem som en gång beräknades gå åt för att klara ärendemängden. Bl. a. har antalet anställda vid inspektionen ökat betydligt. Vidare har inspektionen själv vidtagit åtgärder för att underlätta arbetet. Allt fler ärenden har kommit att handläggas enligt det 5. k. förenklade förfarandet, samtidigt som den formella handläggning- en, beslutsskrivning o. d. har rationaliserats. Därtill kommer att vissa typer av register genom en lagändring år 1979 helt har undantagits från tillståndsprövningen.
De åtgärder som har vidtagits har emellertid inte varit tillräckliga. Datainspektionen har fortfarande otillräckliga möjligheter att ägna sig åt tillsynsverksamheten. Någon tendens till minskning av antalet tillstånds- ärenden har inte kunnat konstateras. Snarare talar vissa omständigheter för att ärendemängden kommer att fortsätta att öka.
Som jag tidigare har sagt anser jag att det är viktigt att man så snart som möjligt vidtar åtgärder för att komma till rätta med problemen hos inspektionen. DALK har diskuterat fyra olika alternativ för att förbättra situationen. Tre av dem innebär inga eller begränsade ändringar i datalagen , medan det fjärde går ut på att man ändrar de grundläggande bestämmelserna om tillståndsförfarandet.
Vad först gäller det s.k. nollalternativet, ytterligare rationalisering av tillståndsförfarandet. kan jag ansluta mig till DALK:s uppfattning att detta endast skulle medföra begränsade förbättringar i fråga om datainspektionens arbetssituation. Av det material som har presenterats av DALK framgår att inspektionen redan har rationaliserat verksamheten i betydande grad främst genom det s.k. förenklade förfarandet men också genom standardiserad beslutsskrivning, fasta handläggningsrutiner m. m. Förfarandet kan inte förenklas och schabloniseras mer än till en viss gräns. Datalagen förutsätter fortfarande att datainspektionen skall underkasta flertalet personregister en materiell prövning. Liksom DALK ser jag därför inga möjligheter att nå ett tillfredsställande resultat med denna metod.
Också när det gäller alternativ c. ytterligare undantag från tillståndsplikten genom ändringar i datalagen . är jag ense med DALK. Det är svårt att nå några väsentliga förbättringar med denna metod. Vill man uppnå en större minskning av antalet tillståndsärenden hos inspektionen, krävs det omfat- tande undäntag från tillståndsplikten. Som DALK påpekar torde detta förutsätta en reglering som blir svåröverskådlig och tekniskt komplicerad.
Prop. 1981/82:189 21
Ifråga om alternativ b. som innebär att inspektionen tillförs ökade resurser men att lagstiftningen behålls oförändrad. vill jag framhålla att det statsfinansiella lägetinte medger att inspektionen tillförs ökade resurser över statsbudgeten. Jag anser det inte heller lämpligt att ytterligare belasta de registeransvariga med ökade avgifter till bestridande av kostnaderna för datainspektionens verksamhet. Jag erinrar om att riksdagen tidigare har bemyndigat regeringen att ta ut avgifter för handläggningen vid datainspek- tionen så att full kostnadstäckning nås. Av avgörande betydelse är emellertid- att personalökningar inte undanröjer de grundläggande problemen med den nuvarande tillståndsprövningen. som av DALK och även av datainspektio- nen har bedömts som stelbent och delvis ineffektiv. Liksom DALK anser jag alltså att inte heller alternativ b är någon framkomlig väg.
Vad jag nu har sagt leder fram till att jag ansluter mig till DALK:s uppfattning att mer genomgripande förändringar i regelsystemet måste vidtas. om man vill komma till rätta med problemen.
Jag delar emellertid också uppfattningen att alltför täta ändringar av regelsystemet bör undvikas. Stabiliteten i rättsreglerna har stor betydelse såväl för de registeransvariga som för de myndigheter. i detta fall främst datainspektionen. som skall tillämpa reglerna. Man bör också beakta att nya bestämmelser kräver nya administrativa rutiner o. d.. som till en början kan medföra olägenheter för dem som är berörda. Det är därför väsentligt att de lagändringar som föreslås nu utformas på ett sådant sätt att man kan räkna med att de passar i det system som man kan skönja i en ev. framtida generell personregisterlag. '
I detta avseende vill jag erinra om vad jag har anfört i tilläggsdirektiven till DALK i fråga om en generell personregisterlag (1981 års kommittéberättel- se, Del II, 5. 16). Jag uttalade där att man kunde tänka sig olika kontrollnivåer för olika register beroende på vilka risker för integritetsin- trång som föreligger. Jag bedömde det som sannolikt att man finner att det för vissa register fortfarande bör krävas tillstånd på förhand. dvs. innan registret inrättas. Det bör troligen gälla t. ex. register som skall innehålla känsliga uppgifter. Det är möjligt att också det tilltänkta registrets omfattning eller tekniska utförande kan vara skäl till förhandsgranskning. Kontrollnivån närmast därunder skulle kunna bestå i skyldighet att anmäla förekomsten av vissa typer av register för tillsynsmyndighete'n. Ytterligare en nivå kan utgöras av register som är underkastade vissa allmänna krav i lagstiftningen och som också får bli föremål för tillsyn och kontroll. även om något krav på förhandsgranskning eller anmälan inte ställs upp.
I likhet med DALK anser jag att de lagändringar som nu bör vidtas för att lösa de tidigare nämnda problemen bör ansluta till den modell för integritetsskyddets utformning i framtiden som skisserats i DALK:s tilläggs- direktiv. Härigenom bör man kunna räkna med att det finns goda förutsättningar för att bestämmelserna åtminstone i stora drag blir bestående även inom ramen för en generell personregisterlag.
Prop. 1981/82:189
lx.) lx)
På grund av det anförda tillstyrker jag att bestämmelserna om tillstånds- förfarandet ändras enligt de riktlinjer som DALK har föreslagit. Sådana personregister som är särskilt integritetskänsliga bör sålunda fortfarande falla under tillståndsplikten. men för övriga bör det vara till fyllest med en anmälningsskyldighet. Med detta system kan datainspektionen koncentrera tillståndsverksamheten till de särskilt känsliga registren. Samtidigt bör en väsentlig del av inspektionens resurser kunna frigöras och föras över på tillsynsverksamheten.
Sammanfattningsvis anser jag alltså att den lösning som DALK har valt bör ligga till grund för en reform av datalagen .
Hänvisningar till S2-2
2.2.2. Utformningen av licenssystemet m. m. DALK:s förslag
Som jag förut har nämnt föreslår DALK att begränsningen av tillstånds- plikten kombineras med en anmälningsskyldighet för alla som vill inrätta och föra personregister. Systemet innebär att en registeransvarig skall vara skyldig att ansöka om licens hos datainspektionen innan han första gången inrättar ett personregister. En sådan licens berättigar den registeransvarige att föra ett eller flera personregister som inte omfattas av tillståndsplikt. En ansökan om licens skall vara av enkel beskaffenhet och skall inte bli föremål för någon materiell prövning hos inspektionen. Huvudpunkterna i licenssys- temet skall enligt DALK:s förslag tas in i 2 % datalagen.'som därmed får ett helt nytt innehåll. Inspektionen skall samtidigt som anmälan registreras tilldela den register- ansvarige ett licensnummer. Detta nummer skall enligt förslaget alltid anges på meddelanden. registerbesked och andra s. k. utdata som sänds till en registrerad. Därigenom kommer enligt kommittén kontakterna mellan de registrerade. de registeransvariga och datainspektionen att underlättas. De registrerade kan på det sättet kontrollera att avsändaren av sådana handlingar har licens och står under inspektionens tillsyn.
DALK föreslår vidare att alla registeransvariga skall vara skyldiga att till datainspektionen ge in en förteckning över de personregister som de för och som inte kräver särskilt tillstånd. Syftet med en sådan förteckningsskyldighet är framför allt att skapa förutsättningar för att man även i fortsättningen skall ha överblick över personregistreringens omfattning. Dessutom gör förteck- ningsskyldigheten det möjligt att följa utvecklingen inför överväganden om en generell personregisterlagstiftning. Den underlättar också planeringen av inspektionens tillsyn och handläggningen av förfrågningar och klagomål från allmänheten. En sådan förteckning skall enligt förslaget innehålla uppgift om
a) benämningen på förekommande personregister. b) ändamålet med registren.
Prop. l981/82zl89 23
c) bearbetningsställe, d) datainspektionens licensnummer för den registeransvarige.
Förteckningen behöver inte innehålla uppgift om sådana personregister som kräver särskilt tillstånd. eftersom dessa ändå kommer till datainspek- tionens kännedom. Inte heller behöver förteckningen omfatta sådana personregister för vilka tillstånd har meddelats enligt hittills gällande regler. Enligt förslaget skall de registeransvariga vara skyldiga att en gång om året ge in en ny förteckning till datainspektionen. om de tidigare uppgifterna har ändrats.
DALK har också övervägt i vad mån man bör göra undantag från anmälningsskyldigheten. DALK erinrar om att vissa register med stöd av 2 & tredje stycket datalagen nu undantas från tillståndsplikten. Det gäller bl. a. register som används för privat bruk under vissa närmare angivna förutsätt- ningar. Register som omfattas av undantagsregeln ärinte föremål för någon form av registrering hos datainspektionen. Enligt DA LK behövs ett liknande undantag även med det nya licenssystemet om inte detta skall medföra en omotiverad skärpning.
Vid sina överväganden rörande avgränsningen av ett sådant undantag hänvisar DALK till vissa uttalanden i tilläggsdirektiven för den generella personregisterlagstiftningen. Där uttalas bl. a. att det inte kan komma i fråga att reglera alla de former av användning av personuppgifter som normalt förekommer i det dagliga umgänget mellan människor. t. ex. i privata anteckningar. adress- eller telefonnummerförteckningar. brev m. m. På detta område får brottsbalkens allmänna regler om skydd för den personliga integriteten alltjämt anses vara till fyllest. En lämplig avgränsning av det område som skall falla under den nya generella personregisterlagstiftningen kan troligen uppnås. om man skiljer mellan användning av personuppgifter för personligt bruk'och annan användning. Användningen av personuppgif- ter för personligt bruk i en omfattning som får betecknas som normal med hänsyn till användarens förhållanden bör alltså inte omfattas av en ev. framtida personregisterlag.
Mot bakgrund bl. a. av dessa uttalanden i direktiven föreslår DALK att enskilda som för personregister uteslutande för personligt bruk helt skall undantas från anmälningsskyldigheten liksom från förteckningsskyldighe- ten. Även sådana registeransvariga skall dock liksom hittills vara underkas- tade datalagens övriga regler om de registeransvarigas skyldigheter och om datainspektionens tillsyn m. m.
Några undantag föreslås däremot inte för andra register som nu omfattas av undantagsregeln i 2å tredje stycket datalagen . DALK konstaterar att detta innebär en skärpning beträffande vissa kundregister och patientregister som nu är undantagna från tillståndsplikt med stöd av det angivna lagrummet. DALK anser emellertid detta motiverat med hänsyn till att all personregistrering som sker som ett led i yrkesmässig verksamhet bör vara
Prop. 1981/82zl89 24
föremål för överblick och offentlighet. Vad gäller de närmare praktiska konsekvenserna för de registeransvariga erinrar DALK om att undantags— regeln huvudsakligen är tillämplig på sådan enklare datateknisk utrustning som i första hand används för annat än personregistrering. t. ex. skrivaut- omater och kontorsdatorer. I den utsträckning sådan utrustning används för att föra personregister i datalagens mening torde den registeransvarige också ha andra register som förutsätter licens. De praktiska konsekvenserna av en licensplikt i de angivna fallen kan därför antas bli förhållandevis begrän- sade.
Remissutfallet
Som jag förut har nämnt tillstyrker en stor grupp remissinstanser DALK:s förslag till åtgärder på kort sikt. Ett mindre antal remissinstanser uttalar särskilt sitt stöd för det föreslagna licenssystemet. Dessa instanser ansluter sig också till DALK:s uppfattning att ett sådant system utgör en förutsättning för att man skall kunna behålla överblick och kontroll över personregistre- ringen. Flera remissinstanser ställer sig dock tveksamma till den föreslagna ordningen eller avstyrker att ett licenssystem införs enligt DALK:s förslag. De framhåller att systemet är resurskrävande både för datainspektionen och för de registeransvariga utan att detta motsvaras av några egentliga vinster ur integritetsskyddssynpunkt.
Remissopinionen är i huvudsak negativ beträffande förslaget om skyldig- het att ge in förteckningar över register till datainspektionen. Denna skyldighet bedöms av de flesta remissinstanserna medföra kostnader som inte motsvaras av några vinster från integritetsskyddssynpunkt. Man menar också att den rationalisering av datainspektionens verksamhet som åsyftas med reformen i viss mån går förlorad. om den delen av förslaget genomförs. Till de kritiska remissinstanserna hör datainspektionen som menar att ingivandet av förteckningar inte fyller någon uppgift som utgångspunkt för inspektionens tillsynsverksamhet. Hanteringen av förteckningarna skulle belasta inspektionens resurser och ge upphov till onödiga kostnader. Inspektionen föreslår att förteckningsskyldigheten begränsas till en skyldig- het för de registeransvariga att upprätta förteckningar och att hålla dem tillgängliga på inspektionens begäran. På det sättet kan enligt inspektionens mening den erforderliga överblicken över personregistreringcn bibehållas utan resurskrävande administrativa åtgärder.
Även när det gäller skyldigheten att ange licensnummer på utdata- produkter är de flesta remissinstanserna negativa till kommitténs förslag. Flera remissinstanser hävdar att förslaget kräver omfattande system- och programändringar utan att åtgärderna egentligen är motiverade från integritetsskyddssynpunkt. Några anser att DALK närmare borde ha undersökt de ekonomiska konsekvenserna för de registeransvariga. Ett flertal remissinstanser påpekar att förslaget medför negativa konsekvenser
Prop. ]981/82:189
r.: 'JI
när det gäller utdataprodukter som framställs i stor omfattning ur register som är relativt ofarliga från integritetsskyddssynpunkt. t. ex. folkbokförings- uppgifter. röstkort. fakturor och räkningar. Flera myndigheter anser att deti varje fall bör föreskrivas undantag för vissa typer av handlingar eller att regeln bör modifieras på något annat sätt. SCB menar t. ex. att det bör vara tillräckligt att licensnumret framgår av varje försändelse till den registrerade och inte. som förslaget är utformat. på varje handling. RSV anser att det är mer ändamålsenligt att föreskriva att det i klartext skall framgå från vem en utdataprodukt kommer.
Överväganden
I likhet med kommittén och ett flertal remissinstanser anser jag att det föreslagna tillståndssystemet bör kombineras med ett anmälningssystem som i första hand tar sikte på de register som faller utanför tillståndsplikten. Från allmän synpunkt är det angeläget att datainspektionen även i fortsättningen kan få den överblick över användningen av personregister som en anmälningsskyldighet för de registeransvariga ger. En sådan ordning utgör också en viktig grund för datainspektionens tillsynsverksamhet.
Man kan överväga olika metoder när det gäller den närmare utformningen av ett licenssystem. En metod som DALK inte närmare har diskuterat är en anmälningsplikt som är kopplad till resp. register. En sådan ordning har också skisserats i direktiven för en generell personregisterlagstiftning. Det är emellertid tydligt att ett sådant förfarande medför en relativt omfattande administration hos datainspektionen som motverkar de rationaliseringsvins- ter som är ett av syftena med den föreslagna reformen. Jag anser därför att det alternativet inte bör väljas.
Enligt min mening utgör den ordning som DALK har föreslagit en lämpligare lösning. Jag förordar följaktligen att det i datalagen föreskrivs att en förutsättning för att någon över huvud taget skall få föra personregister skall vara att den som enligt lagen blir registeransvarig har anmält sig hos datainspektionen och att denna har utfärdat en licens. Licensen berättigar därefter den registeransvarige att föra ett eller flera icke tillståndspliktiga register. Inspektionen bör inte göra någon materiell prövning av anmälning- en utan endast registrera de uppgifter som lämnas av den registeransvari- ge.
Som jag nyss har nämnt är det viktigt att man har kvar en möjlighet att skaffa sig överblick över användningen av personregister i landet. Ett medel att underlätta detta är att införa en förteckningsskyldighet av det slag som kommittén har föreslagit. Jag tillstyrker för min del förslaget att de registeransvariga skall vara skyldiga att föra en förteckning över sina register och hålla förteckningen aktuell.
Däremot kan jag inte ansluta mig till förslaget att det skall införas en skyldighet att ge in förteckningarna till datainspektionen. En bestämmelse
Prop. l981/82:189 26
med detta innehåll skulle — enligt vad inspektionen själv har framhållit — medföra en omfattande administration hos denna för att hantera den ingivna dokumentationen utan att detta skulle vara till någon nämnvärd nytta för inspektionens omedelbara verksamhet eller för att tillgodose integritetsin- tressena i övrigt.
Jag föreslår sålunda att det införs bestämmelser om att det hos den registeransvarige Skall finnas en aktuell förteckning över de personregister som han är ansvarig för och att förteckningen skall hållas tillgänglig för datainspektionen och på begäran ges in till denna. På detta sätt tillgodoses kraven på överblickbarhet och kontroll utan att inspektionen och de registeransvariga belastas i onödan.
Jag vill emellertid betona att detta ståndpunktstagande inte innebär att jag helt avvisar tanken på att föreskriva en skyldighet för de registeransvariga att rutinmässigt sända in förteckningar till datainspektionen. Skulle det visa sig att den av mig förordade lösningen leder till olägenheter. är jag självfallet beredd att ompröva min ståndpunkt. .
Förteckningen bör enligt vad DALK föreslagit endast uppta vissa basfakta om registren såsom uppgift om registrets benämning och ändamål. uppgift om lokalen där den automatiska databehandlingen huvudsakligen utförs samt uppgift om numret på den registeransvariges licens hos datainspektio- nen. Jag återkommer längre fram med ett förslag som innebär att det inte längre skall fordras datainspektionens medgivande för att lämna ut uppgifter till ett land som har bundit sig vid den Europeiska dataskyddskonventionen. Enligt min mening är det emellertid viktigt att man fortsättningsvis behåller kunskapen om i vad mån personuppgifter lämnas ut för automatisk databehandling i utlandet. Med hänsyn härtill förordar jag att också uppgift i detta hänseende skall tas upp i förteckningen. Det ankommer på regeringen att meddela närmare föreskrifter om hur förteckningsskyldigheten skall fullgöras.
Till skillnad från DALK anser jag att dokumentationsskyldigheten bör omfatta såväl register som är underkastade tillståndsplikt som övriga register. Enligt min mening är det önskvärt att förteckningarna innehåller uppgifter om samtliga de register som den registeransvarige för. Detta är särskilt motiverat om förteckningarna inte skall ges in till inspektionen. och det torde inte innebära något större besvär för de registeransvariga.
När det gäller förslaget om skyldighet att ange licensnummer på utdataprodukter har jag förståelse för den kritik som har framförts under remissbehandlingen av ett flertal remissinstanser. En sådan skyldighet skulle i många fall inte fylla någon meningsfull uppgift utan snarast te sig som en onödig byråkratisk belastning. Dessutom skulle den i varje fall på kort sikt medföra kostnader för många registeransvariga. Jag vill också peka på att någon motsvarande bestämmelse inte har funnits tidigare och att detta sävitt känt inte har inneburit några olägenheter.
Prop. l981/82:189 27
En skyldighet att ange licensnummer förefaller onödig också av den anledningen att den registeransvariges namn och adress i de flesta fall framgår av de handlingar som sänds till den registrerade. Därigenom uppnås i stor utsträckning det syfte som ligger bakom DALK:s förslag om licensnummer. Enligt min mening måste det från den registrerades synpunkt vara bättre att avsändarens nanm anges i klartext på handlingarna än att de innehåller uppgift om ett licensnummer hos datainspektionen. Jag föreslår därför att en bestämmelse om skyldighet för den registeransvarige att lämna upplysning om avsändare till den registrerade tas in i datalagen i stället för den regel som DALK har föreslagit. Man kan räkna med att flertalet registeransvariga redan nu uppfyller detta krav. varför endast mycket begränsade kostnader torde åsamkas de registeransvariga med anledning av bestämmelsen.
Man kan emellertid inte utesluta att det i vissa fall kan vara lämpligare att den registeransvarige på sina utdataproduker anger licensnumret hos datainspektionen i stället för nanm och adress. Jag anser därför att den registeransvarige bör ha möjlighet att i stället för uppgift om vem som är avsändare ange sitt licensnummer.
I detta sammanhang vill jag ta upp en annan fråga som jag anser mera angelägen än den huruvida licensnummer skall anges på utdataprodukter. Enligt min erfarenhet är det ett ständigt återkommande klagomål från enskilda som anser sig ha blivit utsatta för ”fel i datorn" att de har svårt att kommai kontakt med rätt person hos den myndighet eller det företag som för ADB-registret. Det borde därför vara av stort värde. om det på utdatapro- dukter av olika slag anges telefonnumret till den enhet eller den tjänsteman som handlägger frågan eller som annars kan lämna upplysningar i saken. Jag är inte främmande för att man på sikt bör införa en skyldighet för de registeransvariga att på detta sätt lämna uppgift om telefonnummer till den berörda handläggaren. I avsaknad av uppgifter om konsekvenserna för de registeransvariga av ett sådant förslag — remissbehandling torde vara erforderlig — anser jag mig emellertid inte ha tillräcklig grund för att nu föreslå regler om en sådan skyldighet. Man kan emellertid utgå ifrån att DALK uppmärksammar denna fråga inom ramen för sina direktiv.
Jag ansluter mig till DALK:s förslag att register som förs uteslutande av enskilda för personligt bruk bör undantas från anmälningsskyldigheten liksom från tillståndsplikten. i enlighet med de överväganden som har redovisats i direktiven om den generella personregisterlagstiftningen. Inte minst av praktiska skäl är det olämpligt att föreskriva licensskyldighct för sådana register. De torde knappast medföra några större integritetsrisker. Om integritetskränkningar i något fall skulle uppkomma. bör man kunna komma till rätta med dem med stöd av datalagens regler i övrigt. Jag tillstyrker alltså förslaget att datainspektionen också fortsättningsvis skall ha tillsyn även över dessa register och vid behov kunna ingripa med föreskrifter o. d.
Prop. l981/82: l89 28
2.2.3 Det nya tillståndskrm'et DALK:s förslag
Jag har tidigare redovisat de allmänna principerna för en reform av datalagen . En väsentlig beståndsdel i det nya system som DALK har förordat är att endast de register som på olika grunder kan anses som särskilt känsliga ur integritetsskyddssynpunkt bör bli föremål för tillståndsprövning av datainspektionen. Jag har förklarat att jag i princip ansluter mig till denna lösning. Detta förutsätter emellertid att man i datalagen på ett ändamålsen- ligt sätt kan avgränsa de register som fortfarande bör prövas. Om denna gräns dras för snävt. uppkommer otvivelaktigt risker för intrång i den personliga integriteten. Om å andra sidan området för tillståndsprövning blir för omfattande. kommer de effektivitetsvinster som är ett viktigt syfte med reformen att gå förlorade. Detta kan också medföra att integritetsskyddet i praktiken försvagas. .
Vid sin bedömning av vilka personregister som i fortsättningen bör vara underkastade krav på tillstånd har DALK utgått från de nuvarande tillståndsbestämmelserna i datalagen. framför allt bestämmelserna i 3. 3 a. 4 och ess. där det anges vilka faktorer som är av särskild betydelse vid prövningen av om det föreligger risk för integritetsintrång. Enligt DALK är följande faktorer av särskild betydelse.
En viktig faktor är arten av information. Det kan av den enskilde uppfattas som ett påtagligt intrång att uppgifter registreras om sådant som begångna brott eller misstankar om brott. ådömda påföljder eller tvångsåtgärder inom nykterhetsvärdens. barnavårdens eller den psykiatriska vårdens ram. Detsamma gäller ofta uppgifter om genomgångna sjukdomar. mottagen socialhjälp och liknande. Det är här fråga om fakta eller misstankar som det är ofrånkomligt att framför allt vissa myndigheter måste registrera för att kunna fylla sina uppgifter men som från den enskildes synpunkt uppfattas som så ömtåliga att särskilda åtgärder är påkallade för att informationen inte skall spridas i vidare kretsar. Andra exempel på ömtåliga uppgifter är uppgifter om åsikter i politiska och religiösa frågor samt värderingar i form av betyg 0. d. Det är här. enligt DALK:s mening. fråga om uppgifter som nu omfattas av bestämmelserna i 45 och () å andra stycket datalagen .
DALK framhåller att också andra uppgifter än de nu nämnda kan vara ömtåliga. t. ex. uppgifter om medlemskap i en viss grupp eller om en persons ekonomiska ställning. Registrering av sådana uppgifter kan dock. anser kommittén, vara godtagbar. om den utgör ett naturligt led inom ramen för en normal kontakt mellan den registeransvarige och den registrerade. t. ex. i ett kundförhållande.
DALK påpekar vidare att det ofta kan uppfattas som otillbörligt att uppgifter används i ett helt annat sammanhang än som varit avsikten från början. Uppgifter som har samlats in för ett visst bestämt ändamål bör enligt DALK i princip inte få utnyttjas för andra syften.
Prop. l981/82:189 29
Enligt kommittén är det också av särskild betydelse hur stor mängd information som samlas på ett ställe. Varje enskild person bör med fog kunna kräva att ingen myndighet eller annan har en fullständig kunskap om honom. Detta kan också uttryckas på det sättet att personregister inte bör innehålla uppgifter om andra personer än sådana som har en naturlig anknytning till den registeransvarige i egenskap av medlemmar. anställda. kunde-r e. d. Avgörande för graden av känslighet är alltså även här huruvida uppgifterna registreras som ett ledi ett naturligt förhållande mellan den registeransvarige och den registrerade eller inte. dvs. i vad mån den registrerade har rimliga möjligheter att förutse registreringen. Om den registeransvarige avser att registrera fler personer eller fler uppgifter om varje person än som behövs för registerändamålet. måste det enligt DALK anses innebära risk för otillbör- ligt intrång i personlig integritet.
En annan faktor som bör beaktas är den enskildes uttalade eller förmodade inställning till en registrering. Man kan av olika skäl inte ställa upp krav på medgivande från den enskildes sida i varje särskilt fall. Man får utgå från att den enskilde är beredd att godta t. ex. sådan registrering som sker i enlighet med beslut av regeringen eller riksdagen. Detsamma gäller annan registrering som sker med stöd av lag eller annan författning eller som utgör en naturlig del av den enskildes mellanhavanden med den registeran- svarige. t. ex. i ett kundförhållande. ett hyresförhållande eller ett medlems- förhållande, dvs. i sådana fall där registreringen är förutsebar och överblickbar för den enskilde.
Med utgångspunkt från de angivna faktorerna föreslår DALK att tillståndsplikten skall omfatta register som innehåller uppgifter av följande slag:
1. uppgifter som anges i 4 ? datalagen. dvs. uppgifter om brott. sjukdomar. politisk eller religiös uppfattning m. m..
2. uppgifter som anges i 6 & andra stycket datalagen. dvs. uppgifter som innefattar värdeomdömen c. d. (5. k. mjukdata).
3. uppgifter om någon som saknar sådan naturlig anknytning till den registeransvarige som utmärks av medlemskap. anställning. kundför- hållande eller något därmed jämförligt förhållande.
4. uppgifter som utan stöd i lag. förordning. myndighets beslut som meddelats med stöd av författning eller den registrerades medgivande inhämtas från annan än denne eller som har samlats in för annat än registrets ändamål.
Från det föreslagna tillståndskravet måste enligt DALK göras vissa undantag. För det första behövs undantag för de register som redan nu är befriade från tillståndsplikt enligt 2 & datalagen . I annat fall skulle den nya regleringen kunna leda till en omotiverad skärpning. DALK syftar här på register som inrättas genom beslut av regeringen eller riksdagen. Det gäller också register som förs av enskilda uteslutande för personligt bruk.
Prop. 1981/82:189 30
Härutöver behövs enligt kommittén undantag för register som innehåller uppgifter om någons politiska eller religiösa uppfattning och som en sammanslutning avser att föra beträffande sina egna medlemmar.
DALK föreslår vidare att undantag från tillståndskravet skall göras beträffande sådana statliga och kommunala register. vilka som ett led i en myndighets normala verksamhet innehåller sjukvårds- och hälsouppgifter och uppgifter om social omsorg enligt 4 få. Detsamma gäller patientregister som förs av läkare och tandläkare och som redan nu i viss mån är undantagna från tillståndsplikt med stöd av 2 % tredje stycket datalagen och föreskrifter av datainspektionen (.DIFS 1980:4).
DALK föreslår dessutom att register som har överlämnats till arkivmyn- digheter skall falla utanför tillståndsplikten. Jag återkommer till den frågan i ett senare avsnitt.
DALK konstaterar att vetenskapliga register och direktreklamregister med de föreslagna undantagen kommer att falla under tillståndskravet. Enligt DALK är det främst av lagtekniska skäl inte lämpligt att i datalagen föreskriva undantag för dessa register. DALK förutsätter emellertid att datainspektionen kommer att tillämpa ett förenklat tillståndsförfarande för vissa sådana register.
Remissutfallet
Under remissbehandlingen har endast ett mindre antal remissinstanser framfört synpunkter på frågan om avgränsningen av tillståndsplikten. Dessa remissinstanser är i huvudsak positiva till DALK:s överväganden och förslag i detta avseende. Det förekommer emellertid en del kritik mot den redaktionella utformningen av bestämmelserna.
Även när det gäller de föreslagna undantagen från tillståndsplikten har en del remissinstanser framfört synpunkter på bestämmelsernas närmare utformning. Bl. a. förordar några remissinstanser ett enklare förfarande beträffande register som inrättas genom beslut av regeringen eller riksdagen. Vidare anser ett par remissinstanser, bl. a. JK. att det föreslagna undantaget för registrering av uppgifter om åsikter hos sammanslutningar är alltför vidsträckt. '
Mer omfattande kritik förekommer i detta sammanhang främst från de remissinstanser som företräder forsknings- och statistikintressen. De uppre- par i stor utsträckning den kritik som tidigare har riktats mot att datalagen inte undantar register inom dessa verksamhetsgrenar från tillståndsplikt. De hävdar att lagen utgör ett hinder för den fria forskningen och att något lagfäst skydd för den personliga integriteten inte behövs på detta område eller att det kan utformas på ett annat sätt. Dessa remissinstanser anser att forsknings- och statistikregister bör undantas från kravet på tillstånd.
Prop. 198'l/82zl89 31
Överväganden
Den avgränsning av kravet på tillstånd som DALK har föreslagit har alltså överlag tillstyrkts eller lämnats utan erinran under remissbehandlingen. Även jag kan i allt väsentligt ansluta mig till kommitténs överväganden i denna del. De föreslagna bestämmelserna anknyter till gällande rätt. Såvitt man kan bedöma är bestämmelserna praktiskt tillämpbara och uppfyller de krav man kan ställa från integritetsskyddssynpunkt. Jag tillstyrker alltså i huvudsak den avgränsning av tillståndsplikten som DALK har föreslagit. Jag återkommer i specialmotiveringen till den närmare utformningen av bestämmelserna.
Som jag tidigare har förordat bör ett generellt undantag från tillstånds- plikten och licenssystemet göras för register som förs av enskilda uteslutande för personligt bruk. Också när det gäller de undantag från tillståndsplikten som DALK därutöver har föreslagit kan jag i huvudsak ansluta mig till förslagen. På några punkter finner jag dock skäl att gå ifrån förslagen i promemorian.-
I likhet med kommittén anser jag att register som inrättas genom beslut av riksdag och regering liksom hittills inte skall behöva något tillstånd av datainspektionen. DALK:s förslag innebär emellertid att yttrande från inspektionen alltid skall inhämtas innan beslut fattas om att inrätta ett sådant register. Som några remissinstanser har påpekat kan detta inte vara motiverat för sådana typer av register som i och för sig inte faller under tillståndsplikten. Skyldigheten att inhämta datainspektionens yttrande bör därför enligt min mening begränsas till de register som innehåller så känsliga personuppgifter att de skulle ha varit tillståndspliktiga om de hade inrättats av en myndighet eller en enskild person. I enlighet härmed bör inspektionens kompetens att med stöd av 7 & datalagen meddela föreskrifter inskränkas på motsvarande sätt. Detta kan föranleda vissa ändringar i datakungörelsen. Beträffande den frågan avser jag att återkomma till regeringen i ett annat sammanhang.
När det gäller rätten för sammanslutningar att föra register över sina medlemmar med uppgift om deras politiska uppfattning. religiösa tro eller övertygelse i övrigt delar jag åsikten att förslaget i promemorian såsom det kommit till uttryck i lagtexten går alltför långt och kan medföra oönskade konsekvenser. Rätten att föra sådana register utan tillstånd bör naturligen begränsas till att avse uppgifter som utgör grunden för medlemskapet i sammanslutningen. Om undantagsbestämmelsen begränsas på det sättet. finns det inte anledning att befara integritetsintrång.
Med anledning av vad som under remissbehandlingen har anförts om register som används i forskning och statistikverksamhet vill jag erinra om att hithörande frågor har samband med de frågor som DALK kommer att behandla i sitt arbete på en generell personregisterlagstiftning. DALK:s förslag i den delen bör därför avvaktas innan man tar ställning till hur sådana
Prop. l98l/82zl89 32
register skall behandlas. Som DALK har påpekat bör det emellertid redan nu finnas utrymme för att pröva frågor om tillstånd till sådana register genom ett förenklat förfarande. Jag kan dessutom upplysa att det inom bl. a. Europarådet pågår ett internationellt samarbete med sikte på att utarbeta en rekommendation om integritetsskyddet vid forskning och statistikverksam- het. Detta arbete kan väntas leda till resultat inom en relativt snar framtid. Också detta talar för att man inte nu bör göra några ändringar i fråga om behandlingen av dessa register.
Hänvisningar till S2-2-2
- Prop. 1981/82:189: Avsnitt ulaf-ak)»—
2.2.4. De registeransvarigas skyldigheter DALK:s förslag
Enligt 5 & datalagen skall datainspektionen i samband med att den lämnar tillstånd att inrätta och föra ett personregister också meddela föreskrifter om ändamålet med registret och om vilka personuppgifter som får ingå i detta. Dessutom kan inspektionen med stöd av 6 & meddela ytterligare föreskrifter om hur registret skall föras. När det gäller register som prövas genom 5. k. förenklat förfarande blir datainspektionens föreskrifter i DIFS normgivande för registret.
DALK påpekar att en begränsning av tillståndsplikten till vissa särskilt känsliga register i viss mån medför att den styrning av registrens utformning som nu sker genom tillståndsbesluten kommer att upphöra. Enligt DALK behövs sannolikt en liknande styrning även i fortsättningen. DALK anser därför att man i lagen bör ta in nya generella regler som riktas till de registeransvariga.
Av sådana nya handlingsregler för de registeransvariga bör enligt DALK först och främst framgå att alla registeransvariga är skyldiga att beakta att inrättande och förande av personregister alltid skall ske för ett visst bestämt ändamål under tillbörligt hänsynstagande till de registrerades personliga integritet. .
DALK anser att ytterligare generella normer. riktade till de registeran- svariga behövs. dels för att ge den registeransvarige närmare ledning för bedömningen av vad som skall anses vara tillbörligt hänsynstagande till registrerads personliga integritet. dels för att ytterligare styra den närmare utformningen av personregistren. Sådana kompletterande normer bör innebära att endast sådana personuppgifter får registreras som står i överensstämmelse med ett personregisters ändamål. Dessutom bör anges att personuppgifter får inhämtas. utlämnas eller användas på annat sätt endast om det sker i överensstämmelse med rcgisterändamålet eller i enlighet med lag eller annan författning. myndighets beslut som meddelats med stöd av författning eller efter (len registrerades medgivande.
DALK föreslår att en ny bestämmelse med det angivna innehållet införs i 7 a & datalagen . Bestämmelsen föreslås gälla för alla personregister oavsett
Prop. 1981/82zl89 33
om de omfattas av krav på licens resp. tillstånd eller ej.
DALK anser vidare att datainspektionen bör utöva tillsyn över att den nya bestämmelsen efterlevs. Det bör alltså vara inspektionen som i det enskilda fallet får avgöra om den registeransvarige har brutit mot bestämmelsen. Enligt DALK blir det i princip fråga om samma bedömning som inspektionen redan nu måste göra vid prövningen av tillståndsärenden elleri samband med tillsyn av att den registeransvarige följer ett meddelat tillståndsbeslut. Kommittén föreslår att inspektionen liksom nu med stöd av 18 & datalagen vid behov skall kunna ingripa med särskilda föreskrifter enligt 6 & datalagen eller. i sista hand. förbjuda fortsatt förande av ett register.
Remissutfallet
Remissinstanserna har överlag godtagit den föreslagna bestämmelsen eller lämnat den utan erinran.
Överväganden
För min del anser jag att en bestämmelse av det angivna slaget utgör ett värdefullt komplement till de bestämmelser som kommittén föreslår i övrigt. Särskilt när det gäller register som undantas från tillståndsplikten är det önskvärt att det i datalagen finns en särskild bestämmelse som direkt ålägger de registeransvariga att föra registren på ett sätt som är godtagbart från integritetsskyddssynpunkt. En bestämmelse med den innebörden behövs som ersättning för de föreskrifter som med den nuvarande ordningen meddelas för varje särskilt register. En sådan bestämmelse får dessutom den väsentliga funktionen att den ger datainspektionen ett underlag för att vid behov ingripa enligt tillsynsreglerna även mot register som inte omfattas av tillståndsplikten. Jag delar alltså kommitténs uppfattning att en bestämmelse av det angivna slaget bör införas i datalagen .
När det gäller utformningen av bestämmelsen anser jag att DALK:s förslag utgör en lämplig utgångspunkt men att vissa justeringar bör göras i detta. I bestämmelsen bör enligt min mening först slås fast att personregister skall inrättas och föras så att inte otillbörligt intrångi registrerads personliga integritet uppkommer. En sådan bestämmelse får ett mera konkret innehåll i första hand genom datalagens övriga bestämmelser om de registeransvarigas skyldigheter. t. ex. bestämmelserna om rättelse av felaktiga uppgifter i 8 5 och om skyldighet att lämna registerutdrag i 10 &.
Liksom kommittén anser jag emellertid att det är värdefullt om man i den allmänna bestämmelsen anger några faktorer som har särskild betydelse för integritetsskyddet. En sådan precisering är av betydelse inte bara från de registrerades synpunkt utan också för de registeransvariga. som därigenom får vissa grundläggande riktlinjer för hur personregister bör inrättas och föras. Genom en så utformad bestämmelse uppnår man också den fördelen
Prop. 1981/82:189 34
att vissa av de särskilda krav som till följd av våra internationella åtaganden skall ställas på persondataskyddet kommer till klarare uttryck i lagtexten (se avsnitt 2.4 ).
I anslutning till DALK:s förslag förordar jag därför att det i den allmänna bestämmelsen anges att personregister skall föras för ett bestämt ändamål och att inte andra uppgifter får registreras än som står i överensstämmelse med registrets ändamål. Insamling. användning och utlämnande av person- uppgifter bör i princip endast ske i överensstämmelse med registrets ändamål. Det kan emellertid förekomma fall där avsteg från denna princip är motiverat. såsom när den registrerade själv samtyckt till detta. Om det i lag eller förordning förekommer föreskrifter som i något avseende reglerar användningen etc av uppgifterna i registret bör sådana bestämmelser vidare ta över det ändamål som gäller för registret. Det bör i bestämmelsen därför också anges att uppgifter inte får samlas in. lämnas ut eller användas annat än i överensstämmelse med registrets ändamål eller vad som gäller enligt lag eller annan författning eller i enlighet med den registrerades medgivande. Som en ytterligare punkt bör tas upp att uppgifterna i registret skall skyddas mot oavsiktlig eller otillåten förstörelse eller mot otillåten ändring eller spridning.
I praktiken får det i första hand ankomma på de registeransvariga själva att bedöma vilka konsekvenser den föreslagna bestämmelsen fåri det särskilda fallet. Man kan dock förutsätta att datainspektionen även i fortsättningen på olika sätt och i skilda sammanhang kommer att lämna råd om tillämpningen av lagens bestämmelser. När det gäller tillståndspliktiga register bör inspektionen även i framtiden ha möjlighet att meddela föreskrifter i samband med att tillstånd meddelas. Som jag förut har nämnt bör inspektionen vidare kunna ingripa med föreskrifter enligt 18% både mot tillståndspliktiga och andra register, om det visar sig nödvändigt.
Hänvisningar till S2-2-4
2.2.5. Upphörande av personregister
Enligt 12 & datalagen skall en registeransvarig som upphör att föra personregister anmäla detta till datainspektionen. Inspektionen föreskriver i sådant fall hur den registeransvarige skall förfara med registret. Bestämmel- sen gäller inte register som faller utanför tillståndsplikten enligt 2 & tredje stycket. Datainspektionen har hittills prövat ca 2 000 anmälningar enligt denna bestämmelse.
DALK föreslår att en registeransvarig som upphör att föra ett register för vilket tillstånd har meddelats även i fortsättningen skall vara skyldig att anmäla detta till datainspektionen. Däremot anser kommittén inte att det är motiverat att behålla en sådan skyldighet beträffande andra register.
DALK anser vidare att de föreskrifter som datainspektionen meddelar när ett register enligt den nuvarande ordningen avanmäls kan ges generell form och tas in i datalagen . Några särskilda beslut blir med denna ordning inte
Prop. 1981/82:189 35
längre nödvändiga. Innehållet i dessa generella regler bör innebära dels att uppgifter som inte längre behövs skall förstöras. om inte särskilda omständigheter föranleder annat. dels — med samma förbehåll — att personregistret som sådant skall förstöras när den registeransvarige upphör att föra registret. Som särskilda omständigheter pekar kommittén bl. a. på att det kan följa av en författningsföreskrift att ett register skall bevaras. Sådana bestämelser finns t. ex. i arkivförfattningarna för den offentliga förvaltningen.
DALK:s förslag har i allt väsentligt godtagits av de få remissinstanser som har kommenterat det. Även jag tillstyrker kommittéförslaget på denna punkt. Jag anser emellertid att också de register som har inrättats genom beslut av regeringen eller riksdagen skall anmälas till inspektionen när de upphör att föras i den mån de innehåller sådana uppgifter som i och för sig skulle ha medfört tillståndsplikt. Detta bör komma till uttryck i lagtexten.
2.3. Åtgärder med anledning av datainspektionens skrivelse den 20 november 1980
Hänvisningar till S2-3
- Prop. 1981/82:189: Avsnitt 6
2.3.1. Register hos arkivmyndigheter
I en skrivelse den 20 november 1980 till regeringen har datainspektionen anmält behov av ändringar i datalagen bl. a. såvitt gäller förvaring av personregister eller del därav hos arkivmyndigheter. Inspektionen har i skrivelsen åberopat en promemoria som har upprättats av en arbetsgrupp med företrädare för inspektionen och riksarkivet.
Enligt allmänna arkivstadgan (19611590) är riksarkivet, krigsarkivet. landsarkiven samt Stockholms stadsarkiv och stadsarkivet i Malmö arkiv- myndigheter. Till dessa myndigheter överlämnas arkivhandlingar från andra myndigheter enligt föreskrifter i arkivstadgan. Arkivmyndigheterna kan ta emot arkiv också från kommuner och enskilda företag, organisationer och personer. Bestämmelser om arkiv hos de statliga myndigheterna finns vidare i 13 & allmänna verksstadgan (19651600). För kommunerna finns föreskrifter om arkiv i 2 kap. 27.5 kommunallagen (l977:179).
I den av datainspektionen åberopade promemorian nämns att riksarkivet f. n. förvarar cirka 800 magnetband, som har överlämnats från andra myndigheter. Under de närmaste åren väntas ytterligare flera tusen magnetband bli överlämnade till riksarkivet. Om ett personregister överläm- nas till en arkivmyndighet. innebär det enligt promemorian att den registeransvarige inte längre för registret och att meddelade tillstånd och föreskrifter för registret upphör att gälla. I promemorian ställs frågan om de bestämmelser som enligt datalagen gäller för en registeransvarig gäller för arkivmyndigheten. Varken datalagen eller dess förarbeten sägs ge någon ledning i denna fråga. Enligt promemorian kan problemet med arkivmyn-
Prop. 1981/82:189 _ 36
digheternas befattning med avlämnade personregister lösas genom ett tillägg till 1 & datalagen. Tillägget skulle innebära att personregister som har mottagits för förvaring av en arkivmyndighet som anges i allmänna arkivstadgan inte skulle omfattas av bestämmelserna i datalagen.
DALK erinrar om att enligt kommitténs tilläggsdirektiv rörande en generell personregisterlag hör gallring och bevarande av uppgifter med tanke på integritetsskyddet till de frågor som kan komma att reglerasi en sådan lag. DALK säger sig alltså få anledning att under det fortsatta arbetet närmare pröva denna fråga i hela dess vidd. dvs. inte bara när det gäller personregister som har överlämnats till en arkivmyndighet för förvaring utan även när det gäller personregister som den registeransvarige förvarar hos sig. säkerhets- kopior av personregister m. m. Åtgärder som inte är oundgängligen nöd— vändiga redan på kort sikt bör därför anstå tills en mer fullständig prövning av sådana frågor har gjorts.
DALK har emellertid uppfattningen att personregister som har överläm- nats till en arkivmyndighet för förvaring knappast. så länge de förvaras hos arkivmyndigheten enbart för arkivändamål. kan antas innebära risk för otillbörligt intrång i personlig integritet. Sådana personregister behöver därför enligt kommittén. oavsett registerinnehållet. inte vara underkastade det nya tillståndskrav eller den förteckningsskyldighet som DALK föreslår. Det räcker med den nya registrerings- och licensplikten. DALK anser att man då lö'ser flera praktiska problem utan att integritetsskyddet försämras. samtidigt som datalagen på den nu angivna punkten blir klarare än hittills.
För tydlighetens skull tillägger DALK att ett utlämnande på maskinellt läsbart medium av uppgifter från personregister, som har överlämnats till arkivmyndighet för förvaring, givetvis förutsätter att mottagaren har licens och därutöver tillstånd. om något av de nya villkor som skall gälla för tillståndsplikt föreligger. Även datalagens bestämmelser om den registeran- svariges skyldigheter och om datainspektionens tillsyn m. ni. blir tills vidare även i fortsättningen tillämpliga på personregister som överlämnats till en arkivmyndighet för förvaring. De särskilda tillämpningsfrågor som detta eventuellt föranleder kan enligt DALK lösas inom ramen för gällande bestämmelser.
Remissinstanserna har i allmänhet lämnat DALK:s överväganden i denna del utan erinran. Statistiska centralbyrån förklarar dock att det i praktiken skulle vara orealistiskt att låta skyldigheten enligt 10 & datalagen att lämna registerutdrag omfatta också långtidsarkiverade register hos SCB. Riksarki- vet förutsätter av liknande skäl att undantagsmöjligheten enligt 10 & fjärde stycket datalagen utnyttjas för att befria riksarkivet från underrättelseskyl- digheten. Dessutom ifrågasätter riksarkivet om 8. 9 och 23 åå datalagen bör vara tillämpliga på personregister som har överlämnats till arkivmyndighe- terna. Både statistiska centralbyrån och riksarkivet erinrar i sina remissyt- tranden om möjligheten att göra ett tillägg till l & datalagen i enlighet med
Prop. l981/82zl89 37
vad som har föreslagits i den av datainspektionen åberopade promemori- an.
För egen del vill jag erinra om att jag har behandlat frågan om arkivering och gallring av myndigheternas ADB-upptagningar från offentlighetssyn- punkt i propositionen 1981/82z37 om offentlighetsprincipen och ADB (s. 36 ff) som nyligen godtagits av riksdagen (KU 21. rskr 163). Idet sammanhanget berörde jag dock inte frågan om datalagens tillämpning på personregister som har överlämnats till en arkivmyndighet. I likhet med DALK vill jag vidare erinra om att frågan om arkivering av personregister kommer att tas upp i kommitténs fortsatta arbete på en generell personregisterlag. Också frågorna om rättelser av felaktiga personuppgifter m. m. och skadestånd (.8. 9 och 23 åå datalagen) skall behandlas i utredningsarbetet. Vad det nu gäller är att överväga vilka åtgärder som behövs på kort sikt för att lösa de problem som kan finnas i fråga om datalagens tillämpning på personregister som har överlämnats till en arkivmyndighet.
Jag delar DALK:s uppfattning, som har vunnit anslutning under remissbehandlingen. att enbart licens bör krävas för arkivmyndigheter som har personregister som har tagits emot för förvaring. Ett sådant undantag från tillståndsplikten löser ett viktigt problem i sammanhanget utan att det uppstår någon ökad risk för otillbörligt intrång i enskilds integritet.
[ 22—25 åå allmänna arkivstadgan finns bestämmelser om skyldighet att föra arkivförteckningar. Av 15 & cirkuläret (1968:473) om tillämpningen av allmänna arkivstadgan framgår vidare att upptagningar för ADB som lämnas för förvaring till arkiv skall åtföljas av tillhörande dokumentation. Enligt min mening finns det inte behov av någon ytterligare bestämmelse om skyldighet för arkivmyndigheter att föra förteckningar över personregister som har tagits emot för förvaring. Jag anser därför att arkivmyndigheterna bör undantas från den föreslagna förteckningsskyldigheten enligt datalagen. såvitt angår sådana register.
Jag kan också ansluta mig till riksarkivets inställning att de register som har överlämnats till en arkivmyndighet inte bör omfattas av insynsrätten enligt 10.5 datalagen . Jag vill peka på att dessa register. i den mån de i lagens mening förs. inte används för sitt ursprungliga ändamål utan för mer begränsade syften. Den registrerade har alltid möjlighet att med stöd av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlig- het ta del av uppgifterna och också. mot en viss avgift. få en utskrift av upptagningen. Härigenom tillgodoses kravet på insyn i rimlig utsträckning. Dessutom skulle en tillämpning av 10 & datalagen uppenbarligen få betydande negativa konsekvenser för arkivmyndigheternas verksamhet. Jag har därför kommit till den uppfattningen att man i avvaktan på DALK:s fortsatta arbete bör föreskriva ett undantag från underrättelseskyldigheten såvitt avser register som har överlämnats till en arkivmyndighet för förvaring. Jag anser att detta lämpligen bör lösas genom ett undantag i 10 å i fråga om dessa register.
Prop. 1981/82:189 38
Däremot är jag inte beredd att föreslå att datalagens bestämmelser i övrigt. t. ex. bestämmelserna om tillsyn, inte skall vara tillämpliga på sådana register. De tillämpningsproblem som har berörts under remissbehandlingen bör. som DALK har anfört. i allt väsentligt kunna lösas inom ramen för de nuvarande bestämmelserna. Jag vill emellertid framhålla att jag därmed inte har tagit ställning till frågan om och i vilken utsträckning register som har överlämnats till en arkivmyndighet faller under datalagens regelsystem. Detta får såsom hittills avgöras med ledning av bestämmelserna om registeransvaret enligt 1 & datalagen. Som jag nyss nämnt arbetar DALK med en översyn av reglerna inom dettapmråde. Undantagsbestämmelserna såsom jag nu föreslår tar sikte på de fall där en arkivmyndighet enligt lagens reglerför registret och alltså på den grunden skulle kunna vara skyldig att ha tillstånd, att upprätta förteckning eller att lämna uppgift enligt 10 5. Om registret inte förs. är undantagsbestämmelserna alltså inte tillämpliga. Givetvis är de inte heller tillämpliga i sådana fall då ett arkiverat register tas fram och används på ett sådant sätt att någon annan. t. ex. en utomstående forskare eller myndighet. blir registeransvarig.
Hänvisningar till S2-3-1
- Prop. 1981/82:189: Avsnitt 6, ulaf-ak)»—
2.3.2. Generella undantag från tillståndskravet
I datainspektionens skrivelse har anmälts ett behov av en ändring i datalagen också såvitt gäller undantag från kravet på tillstånd enligt lagen. Även i denna del har inspektionen åberopat en promemoria som har upprättats inom inspektionen.
Enligt Zå tredje stycket datalagen krävs f.n. inte tillstånd i fråga om personregister som förs med viss bestämd teknisk utrustning. om det med hänsyn till utrustningens art. till utförandet av den automatiska databehand- lingen och till registrets utformning i övrigt framstår som uppenbart att otillbörligt intrång i registrerads personliga integritet inte skall uppkom- ma.
I datainspektionens promemoria framhålls att den tekniska utrustningen genom denna bestämmelse ställs i centrum på ett sätt som är olyckligt från principiell och praktisk synpunkt. Enligt inspektionen bör avgörande vikt läggas vid ett personregisters omfattning och utnyttjande och inte vid vilken teknisk utrustning som används. Det bör enligt promemorian övervägas att ändra 2 & datalagen så att inspektionen får en generell rätt att medge undantag från tillståndskravet beträffande personregister med sådan utform- ning att det är uppenbart att otillbörligt intrång i registrerads personliga integritet inte skall uppkomma.
DALK anmärker att inspektionens förslag inte utan vidare torde vara förenligt med bestämmelserna om lagar och andra föreskrifter i 8 kap. regeringsformen. Bortsett härifrån innebär emellertid enligt DALK de åtgärder som kommittén föreslår bl.a. att tillståndskravet begränsas till personregister som kan antas vara av särskilt intresse från integritetssyn-
Prop. 1981/82:189 39
punkt. Åtgärderna innebär också att nuvarande 2 åtredje stycket datalagen upphör att gälla. Därmed tillgodoses i allt väsentligt datainspektionens önskemål på denna punkt. Ytterligare åtgärder på kort sikt anser DALK inte vara påkallade.
Ingen remissinstans har gjort någon invändning mot DALK:s synpunkter i denna del och också jag kan ansluta mig till dessa.
2.3.3. Föreskrifter om registerinnehållet
En tredje fråga som datainspektionen har tagit upp i sin skrivelse den 20 november 1980 är om ett tillstånd enligt datalagen att föra ett personregister liksom nu alltid skall vara förenat med föreskrifter om registerinnehållet (5 & datalagen). Frågan har behandlats i en promemoria som datainspektionen har åberopat i skrivelsen och som har upprättats inom inspektionen.
I promemorian påpekas att ADB-teknik numera används också som hjälpmedel vid författande. lagring. överföring och utskrift av brev. telegram. remisshandlingar inom sjukvården och liknande dokument. Eftersom namn eller personnummer på användare. mottagare, patient eller ' liknande oftast är sorterings- och sökbegrepp för dokumenten blir sådan användningi många fall att anse som personregistrering i datalagens mening. Enligt 5 & datalagen måste inspektionen i ett beslut om tillstånd för sådana personregister meddela en föreskrift om vilka uppgifter som får ingå i registren. Det kan dock enligt promemorian ofta vara svårt att tillämpa den obligatoriska regeln om föreskrifter i 5 & datalagen på nu beskrivna personregister eftersom man inte i detalj kan ange i förväg vilka personupp- gifter löpande text i olika dokument kan komma att innehålla.
DALK erinrar om att föreskrifterna enligt 5 % datalagen enligt förarbetena till datalagen i många fall måste utformas tämligen generellt (prop. 197333 5. 125 f). Särskilt svårt är det naturligtvis att på förhand ange vilka personuppgifter som skall få ingå i ett register. Här får enligt förarbetena beaktas bl. a. vilken allmän kategori av uppgifter det är fråga om. Gäller det uppgifter som får anses mindre känsliga från integritetssynpunkt. bör den registrerade ges ett tämligen stort spelrum. Om registreringen avser en mer ' ömtålig kategori av uppgifter. blir det däremot ofta nödvändigt att göra föreskrifterna mer detaljerade. Även ändamålet med registreringen bör kunna tillmätas betydelse när det gäller att ange vilka personuppgifter som skall få registreras. Sålunda bör enligt förarbetena tillstånd kunna ges inom en vidare ram. om registret skall användas för vetenskapliga eller statistiska ändamål.
Dessa uttalanden i datalagens förarbeten. som har lämnats utan erinran av riksdagen. bör enligt DALK:s mening redan nu ge möjligheter för datainspektionen att i det enskilda fallet komma till rätta med de svårigheter inspektionen har tagit upp. Vidare kommer antalet tillståndspliktiga personregister att minska. om DALK:s förslag om ett nytt licens- och
Prop. 1981/82:189 40
tillståndssystem genomförs. DALK ifrågasätter trots detta inte att det ibland ändå kan bli svårt att uppfylla det relativt stränga krav som 5 & datalagen och- förarbetena ställer när det gäller föreskrift om registerinnehållet i personre- gister. DALK kan därför tänka sig att regeln mjukas upp. om det kan ske utan att integritetsskyddet försämras.
DALK anser att det nuvarande obligatoriska kravet i 5 & datalagen på föreskrift om registerinnehållet i stället kan göras fakultativt och flyttas över till 6 &. Bestämmelsen blir då. utan att integritetsskyddet försämras. mer flexibel. För bedömning att detta inte försämrar integritetsskyddet talar enligt kommittén att en föreskrift enligt 6 & datalagen alltid skall meddelas i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet. En föreskrift om registerinnehållet måste således även efter den föreslagna ändringen meddelas. om det krävs med hänsyn härtill. Kan den registeransvarige i ett sådant fall inte ange registerinnehållet så detaljerat som datainspektionen anser nödvändigt. kan inspektionen i sista hand avslå tillståndsansökningen.
Att den föreslagna ändringen inte försämrar integritetsskyddet får enligt DALK stöd också av att datainspektionen även i fortsättningen på ett oförändrat sätt i tillståndsbesluten alltid enligt 5 5 skall meddela föreskrift om ändamålet med personregister. Detta verkar styrande även på person- registrets innehåll. Därutöver kan datainspektionen i fortsättningen liksom hittills också föreskriva att vissa personuppgifter inte får ingå i det aktuella registret. t. ex. uppgifter som anges i 45 datalagen.
DALK:s förslag i fråga om föreskrifter om registerinnehåll tillstyrks av de två remissinstanser som yttrar sig särskilt om det.
För min del vill jag liksom DALK peka på att redan nuvarande bestämmelser i 5 & datalagen ger ett visst utrymme för datainspektionen att uppfylla paragrafens krav på föreskrifter om registerinnehållet. även när det på förhand är svårt att ange vilka uppgifter som skall ingå i ett personregister. Men jag kan också hålla med om att man inte på denna väg kan komma till rätta med svårigheterna i alla situationer. Jag kan därför ansluta mig till DALK:s förslag att föreskrifter om registerinnehåll inte bör vara obligato- riska utan fakultativa. Jag delar också DALK:s uppfattning att en sådan ändring inte innebär någon försvagning av skyddet mot otillbörligt intrång i enskilds integritet. Lagtekniskt innebär mitt ställningstagande att bestäm- melser om föreskrifter om registerinnehåll bör tas in i 6 5 i stället för som nu i 5 & datalagen. Kvar i 5 % står då kravet att ett tillståndsbeslut skall förenas med en föreskrift om ändamålet med registret.
Hänvisningar till S2-3-3
- Prop. 1981/82:189: Avsnitt ulaf-ak)»—
2.4. Internationella överenskommelser 2.4.1 Inledning
Den ökande användningen av ADB inom näringsliv och administration är en internationell företeelse. Det förekommer i stor utsträckning att
Prop. l981/82:189 41
ADB—baserad information förs från ett land till ett annat. Sådan överföring underlättas genom användning av telekommunikationer. Det internationella dataflödet ger upphov till vissa problem. När det gäller personuppgifter är det framför allt risken för s. k. dataflykt som har uppmärksammats. dvs. risken för att databehandling flyttas över från det egna landet till ett annat för att man skall undgå integritctsskyddslagstiftningen i hemlandet.
Från lagstiftarens synpunkt är det givetvis angeläget att vidta åtgärder för att hindra dataflykt. så att inte skyddet för den personliga integriteten försämras. Å andra sidan är det önskvärt att man inte försvårar sådan överföring av information som är ofarlig från integritetssynpunkt. Detta är viktigt inte minst med tanke på den betydelse som det internationella informationsutbytet har för ett land som Sverige.
Jag vill i detta sammanhang erinra om att datalagen har en spärr mot utlämnande av uppgifter ur personregister. om det finns anledning anta att uppgifterna skall användas för automatisk databehandling i utlandet. Enligt 11 % datalagen krävs i sådana fall särskilt medgivande av datainspektionen. Motsvarande bestämmelse för myndigheternas verksamhet finns i 7 kap. 16 å sekretesslagen. Av motiven till bestämmelserna (prop. l973z33 s. 101) framgår att syftet med dem är att hindra att tillståndssystemet kringgås genom att dataregister upprättas utomlands. Föredragande statsrådet framhöll att inskränkningen visserligen knappast skulle medföra något effektivt skydd mot att personregister upprättas obehörigen i utlandet. Detta ansågs emellertid vara en fråga som inte kunde lösas annat än genom internationella överenskommelser. [ avvaktan på sådana ansåg föredragan- den att ett förbud ändå kunde ha ett visst värde.
Inom flera internationella organisationer har man under det senaste decenniet bedrivit arbete för att utveckla principer för dataflödet över gränserna och skyddct för den personliga integriteten vid överföring av uppgifter mellan länderna. Det internationella arbetet har ägt rum mot bakgrund av att skyddet för den personliga integriteten vid användningen av ADB anses kunna härledas från överenskommelser om mänskliga rättighe- ter. Inom Europarådet antog således rådets ministerkommitté 1973 och 1974 två resolutioner om dataskydd. I den första. resolution (7.3)22. gavs vissa riktlinjer för databanker på den enskilda sektorn och i den andra. resolution (74')29. gavs motsvarande riktlinjer för den offentliga sektorn. I dessa resolutioner åberopades artikel 8 i den Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt denna artikel har envar rätt till skydd för sitt privat- och familjeliv. sitt hem och sin korrespondens.
Det internationella samarbetet på dataskyddsområdet inom Europarådet har senare resulterat i en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter. Inom OECD har man utarbetat vissa riktlinjer beträffande integritetsSkyddet och pcrsondatatlödct över gränser- na.
Prop. 1981/82:189 42
Hänvisningar till S2-4
- Prop. 1981/82:189: Avsnitt 2.2.4
2.4.2. Europarådskonvenrionen
Som jag inledningsvis har nämnt antog Europarådets ministerkommitté år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Vid konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som har utarbetat konventionstexten.
Konventionen har öppnats för undertecknande i januari 1981. Den har hittills undertecknats av Sverige samt av Danmark. Frankrike. Förbundsre- publiken Tyskland. Luxemburg. Norge. Portugal. Spanien. Storbritannien, Turkiet och Österrike.
Konventionen har ännu inte trätt i kraft. För att den skall träda i kraft fordras att fem medlemsländer har tillträtt konventionen. För att den skall bli bindande för Sverige krävs riksdagens godkännande.
Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter. särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Enligt expertgruppens förklarande rapport är utgångspunkten att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information. oberoende av gränser. som finns inskriven i internationella överenskommelser om mänskliga rättigheter.
Konventionens tillämpningsområde är enligt huvudregeln (artikel 3) automatiserade personregister och automatisk databehandling av person- uppgifter i allmän och enskild vcrksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Därutöver finns (artikel 9) viss möjlighet till undantag från några enskilda bestämmelser. Reservationer mot bestämmel- serna i övrigt fär inte göras (artikel 25). Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen ("artikel 11).
Konventionen har fem kapitel. Den centrala delen är kapitel 11. (artiklarna 4—1 1) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla denna s. k. gemensamma kärna. Åtgärderna skall vara vidtagna senast vid den tidpunkt då konventionen träder i kraft för parten (artikel 4). Den gemensamma kärnan skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra det möjligt för kom-'entionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna. På så sätt undviker man enligt expertgruppen att principen om fritt informationsflöde äventyras genom olika former av protektionism.
Kapitel 11 innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl. a. att
Prop. l981/82:189 43
uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling. om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras. politiska åsikter. religiös tro eller annan övertygelse. hälsa. sexualliv samt brott. Vidare föreskrivs bl. a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.
Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet o. d. (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning. dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet e. (1. eller för att skydda den registrerade personen eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m. m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.
Kapitel III. som rör dataflödet över gränserna. syftar till att förena kraven på fritt informationsflöde och dataskydd. Det är enligt expertgruppen viktigt att man ser bestämmelserna i kapitel III i samband med den gemensamma k'ärnani kapitel II. som garanterar att databehandlingen av personuppgifteri alla berörda länder är föremål för samma grundläggande reglering. Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna (artikel 12). Bestämmelserna gäller. oavsett vilket 'medium som används. vid överföring över nationsgränser av person- uppgifter som undergår eller skall undergå automatisk databehandling eller som samlas in för det ändamålet. Huvudregeln är att överföring mellan konventionsstater skall vara fri. Det är inte tillåtet att ställa upp vare sig förbud eller krav på särskilt medgivande uteslutande i syfte att skydda den personliga integriteten.
I två fall är det emellertid tillåtet att göra undantag från huvudregeln. Den ena grunden för undantag är att avsändarlandets lagstiftning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter men motta- garlandets lagstiftning inte ger ett likvärdigt skydd. Den andra grunden är att det egentliga mottagarlandet står utanför konventionen men överföringen dit sker via en konventionsstat. [ ett sådant fall är det alltså möjligt för avsändarlandet'att. för att undvika att dess lagstiftning kringgås. t. ex. kräva särskilt tillstånd för överföringen.
Kapitel IV och V reglerar formerna för samarbetet mellan konventions- staterna. Genom konstruktionen av konventionen har det blivit möjligt att begränsa innehållet i konventionen till de grundläggande principerna och att lita till samarbete mellan konventitmsstaterna. bl.a. inom ramen för en rådgivande kommitté. när det gäller att införa och harmonisera dessa principer i de olika staternas lagstiftning.
[ kapitel IV finns bestämmelser om att varje konventionspart skall utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje
Prop. 1981/82:189 44
myndighets behörighet (artikel 13). De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstiftning och administrativt förfarande på dataskyddsområdct m. m. Vidare behandlas frågor om bistånd till registrerade personer som är bosatta utomlands (artikel 14). Den myndighet som utses i ett visst land skall hjälpa personer i utlandet med att utöva sina rättigheter till insyn och rättelse m. m. Sådan hjälp skall lämnas oavsett om personen är bosatt i en annan konventionsstat eller i ett land som står utanför konventionen.
I kapitel V finns bestämmelser om den rådgivande kommitten. dess sammansättning (artikel 18) och uppgifter (artikel 19) m. m.
DALK:s förslag
DALK har funnit att de begrepp som används i konventionen väl stämmer överens med datalagens definitioner. Enligt DALK finns det inte något behov av att inskränka kom-'entionens tillärnpningsområde för svenskt vidkommande. Inte heller finns det f. n. någon anledning att utvidga dess tillämpningsområde. En utvidgning kan emellertid tänkas bli aktuell i samband med ("övervägandena om en generell personregisterlagstiftning.
DALK anser att de grundläggande krav för dataskydd som konventionen föreskriver i huvudsak är tillgodosedda för svensk del genom datalagen . Detta gäller också om de åtgärder genomförs som DALK har föreslagit i sin promemoria. För att uppfylla konventionens krav föreslår DALK emellertid vissa mindre ändringar i datalagen och sekretesslagen .
Enligt konventionen får vissa angivna slag av uppgifter inte undergå automatisk databehandling. såvida inte nationell lag ger ett ändamålsenligt skydd. DALK framhåller att konventionens uppräkning av dessa uppgifter i huvudsak stämmer överens med uppräkningen i 4? datalagen om vilka uppgifter som enligt datalagen skall anses vara särskilt känsliga och som därför inte får ingå i personregister. om inte synnerliga eller särskilda skäl föreligger. Vissa uppgifter som anges i artikel 6 i kcmventionen saknas dock i 4.6 datalagen. Det gäller uppgifter som avslöjar ras. annan övertygelse än religiös tro samt uppgifter som rör sexualliv. Kommittén förslår därför att 4 & datalagen kompletteras så att paragrafen omfattar även sådana uppgifter.
När det gäller dataflödet över gränserna påpekar DALK att det enligt 11 å datalagen och 7 kap. 16 & sekretesslagen krävs datainspektionens medgivan- de föratt personuppgifter skall få lämnas ut. om det finns anledning anta att de skall användas för automatisk databehandling i utlandet. Enligt konven- tionen får emellertid en part inte. uteslutande i syfte att skydda den personliga integriteten. förbjuda eller kräva särskilt bemyndigande för överft'fning av personuppgifter över gränsen till en annan parts territorium. För att detta krav skall tillgodoses föreslar DALK att 11 & datalagen och 7 kap. 16% sekretesslagen ändras så att datainspektionens medgivande inte behövs för utlämnande till länder som har anslutit sig till konventionen.
Prop. 1981/82:1894 'JI
DALK framhåller att man i de flesta länder i Europa. som har antagit eller håller på att utarbeta nationella datalagar. har bestämmelser med helt eller delvis samma innebörd som 11 å i den svenska datalagen . Detta innebär enligt DALK att personuppgifter. som i enlighet med konventionen utan särskilt medgivande enligt 11 ådatalagen lämnas ut från Sverige till en annan konventionsstat. inte obehindrat får lämnas vidare från den mottagande staten till en stat som inte är ansluten till konventionen. DALK föreslår att detta skall komma till uttryck i lagtexten.
Med hänvisning till konventionens bestämmelser om ömsesidigt bistånd föreslår DALK att datainspektionen anförtros uppgiften att lämna sådant bistånd och att en föreskrift härom tas in i instruktionen (1973:292) för datainspektionen. Dessutom föreslår kommittén en komplettering av bestämmelserna i 9 kap. 6 & sekretesslagen om sekretess hos datainspektio- nen.
I övrigt krävs enligt DALK inga lagstiftningsåtgärder för att Sverige skall kunna godta konventionen.
Remissutfallet
Endast ett mindre antal remissinstanser har kommenterat DALK:s överväganden rörande konventionen. Dessa har genomgående godtagit DALK:s förslag i denna del.
Överväganden
För egen del vill jag understryka att det är av stort värde att överlägg- ningarna om dataskyddsfrågor inom Europarådet har lett fram till en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. För svenskt vidkommande är det betydelsefullt att konven— tionen följer samma mönstcr som den svenska datalagen . Det materiella innehållet i konventionens bestämmelser överensstämmer i stor utsträckning med datalagens regler till skydd för den enskildes integritet. För att Sverige skall kunna tillträda konventionen krävs endast några smärre ändringar i datalagen och sekretesslagen .
På grund av det anförda förordar jag liksom DALK att riksdagen beslutar att Sverige skall ansluta sig till konventionen. Jag tillstyrker också kommitténs förslag till ändringar i 4 och 11 åå datalagen och 7 kap. 16.5 sekretesslagen.
Jag avser att i ett senare sammanhang återkomma till regeringen med förslag som gäller konventionens bestämmelser om ömsesidigt bistånd m. m. Detta är nämligen frågor som det i första hand ankommer på regeringen att besluta om. Jag vill emellertid redan nu ange att jag ser det som naturligt att datainspektionen anförtros dessa uppgifter. Som DALK har föreslagit bör därför den bestämmelse i sekretesslagen som avser sekretess hos datainspek-
Prop. 1981/82:l89 46
tionen. 9 kap. 6 %. kompletteras så att sekretess gäller även i ärenden om bistånd enligt konventionen.
2.4.3. OECD:s riktlinjer
Inom OECD har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna (Guidelines gover- ning the protection of privacy and transborder flows of personal data). Riktlinjerna har är 1980 antagits av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlin- jerna i nationell lagstiftning. Ett 20-tal medlemsländer. däribland Sverige. har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t. ex. ratifikation av medlemsländerna krävs inte. Riktlinjerna har alltså trätt i kraft. Någon preciserad tidpunkt för när kraven enligt riktlinjerna fullt ut skall vara genomförda finns dock inte.
Rekommendationen från OECD:s råd innehåller utöver vad som nämndes nyss att medlemsländerna skall
— sträva efter att ta bort eller undvika att skapa —i integritetsskyddets namn — opåkallade hinder för persondataflödet över gränserna. — samarbeta för genomförandet av riktlinjerna samt
— komma överens så snart som möjligt om speciella former för samråd och samarbete vid tillämpningen av riktlinjerna.
Riktlinjerna består av fem avdelningar. Iden första avdelningen finns ett antal definitioner och en precisering av riktlinjernas tillämpningsområdc. Den andra avdelningen. som utgör kärnan i riktlinjerna. innehåller åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet. I den tredje avdelningen behandlas principerna för internationell tillämpning av riktlinjerna. dvs. principer som huvudsakligen avser förhållandet mellan medlemsländerna. De fjärde och femte avdelning- arna innehåller regler om ömsesidigt bistånd mellan medlemsländerna m. m.
Av första avdelningen framgår att riktlinjerna är tillämpliga på person- uppgifter såväl inom den offentliga som inom den enskilda sektorn och oavsett om de lagras automatiskt eller manuellt. Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens friheter som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas. på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används (punkt 2).
Enligt punkt 3 finns det inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av persondata. att man från riktlinjernas tillämpning undantar persondata som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter.
Prop. 1981/82:189 47
1 den andra avdelningen anges följande grundläggande principer för den nationella tillämpningen av riktlinjerna:
1. Begränsning av insamlingen: Insamlingen av personuppgifter skall vara begränsad. och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt. när det är skäligt. med den registrerades kännedom eller samtycke (punkt 7). Damkvaliret: Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och. i den utsträckning det behövs för dessa ändamål. vara riktiga och fullständiga samt hållas aktuella (punkt 8). lx)
3. Precisering av ändamål: De ändamål för vilka personuppgifter samlas in skall vara preciserade senast vid insamlingen. Den efterföljande använd- ningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (punkt 9).
4. Begränsning :" användningen: Personuppgifter får inte röjas. göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade. om det inte sker med den registrerades medgivande eller med stöd av författning (punkt 10).
5. Säkerhetsåtgärder: Personuppgifter skall genom rimliga säkerhetsåtgär- der skyddas mot risker för förlust eller otillåten tillgång. förstörelse. användning. förändring eller otillåtet röjande (punkt 11).
6. Öppenhet: Beträffande personuppgifter skall råda en hållning av öppen- het i fråga om utveckling. tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudän- damålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (punkt 12).
7. Den enskildes deltagande: Den enskilde skall ha rätt att — av den registeransvarige. eller annan. få reda på om denne har personuppgifter om hOnom/henne eller inte. — få sig tillsänt eventuella personuppgifter inom rimlig tid. utan alltför stor kostnad, på rimligt sätt och i begriplig form. — vid avslag på en begäran om uppgifter få veta skälen och ha möjlighet att överklaga och — ifrågasätta uppgifter som gäller honom eller henne och. om så är nödvändigt. få dessa utraderade. rättade eller kompletterade (punkt 13).
8. Ansvarighet: Den registeransvarige skall ha ansvaret för att de lagstift- ningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (punkt 14).
I tredje avdelningen finns riktlinjer för dataflödet över gränserna. Här föreskrivs bl. a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra
Prop. 1981/82:l89 48
inskränkningar i fråga om flöde av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land. om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlems- land får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritctslagstiftningcn innehåller särskilda skyddsregler. om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet (punkt 17).
DALK har i sin bedömning av riktlinjerna funnit att den svenska lagstiftningen. inkluderat de ändringar som DALK föreslår. tillgodoser de grundläggande principerna i riktlinjerna. Bl.a. konstaterar DALK att riktlinjerna inte hindrar att svensk lag ställer krav på särskilt tillstånd för att föra över personuppgifter till andra länder. DALK anser att det även i fortsättningen bör ankomma på datainspektionen att göra en sådan prövning som nu föreskrivs i 11 & datalagen och 7 kap. 16.5 sekretesslagen . bortsett från sådana fall då det är fråga om överföring av uppgifter till ett land som har anslutit sig till Europarådskonventionen. Enligt DALK är det möjligt för inspektionen att inom ramen för sin prövning i ett visst fall ta hänsyn till att riktlinjerna har godtagits av ett land till vilket någon önskar föra över information. DALK menar dock att det på sikt kan visa sig möjligt att ta bort kravet på särskilt medgivande till att lämna ut uppgifter till OECD- länderna.
Remissinstanserna har överlag godtagit vad kommittén har anfört beträffande OECD:s riktlinjer.
Jag kan för egen del instämma i DALK:s synpunkter på behovet av eventuella åtgärder från svensk sida med anledning av riktlinjerna. Datalagen uppfyller även enligt min mening de krav som angcsi riktlinjerna beträffande innehållet i personuppgifter och utformningen av integritets- skyddet i övrigt. Någon lagändring med anledning av riktlinjerna behövs alltså inte.
3. Avgifter för datainspektionens verksamhet
Enligt kungörelsen ( 1973: 1209) om avgift hos datainspektionen skall avgift utgå för handläggning hos datainspektionen av ansökan eller anmälan som avses i 1 så datakungörelscn. 1 5 kreditupplysningsförordningen (1981:955) och 1 & inkassoförordningen (1981z956) samt av ansökan om medgivande enligt 1.1. & datalagen . Avgifterna är avsedda att i princip täcka kostnaderna för datainspektionens tillståndsverksamhet. Avgiften tas ut med ett visst belopp för varje påbörjad handläggningstimmc. Föreligger särskilda skäl. får avgiften sättas ned eller efterges. Denim möjlighet tillämpas bl. a. så att avgift för sådana tillstånd enligt datalagen som handläggs enligt det s. k. förenklade förfarandet regelmässigt tas ut i form av en enhetsavgift.
Prop. 1981/82:189 49
Riksdagen har bemyndigat regeringen att besluta om ett nytt system för avgifter för handläggningen vid datainspektionen (prop. 1980/81:20 bil. 1 s. 11. KU 1980/8lz9. rskr 1980/81:58). Enligt systemet skall kostnaderna för datainspektionens verksamhet i dess helhet täckas med avgifter. Avgiftssy- stemet avsågs bli infört den 1 juli 1981 (prop. 1980/81:100 bil. 5 s. 88. KU 1980/81:18. rskr 1980/81:189).
DALK anmälde i samband med beredningen i regeringskansliet av frågan om ett nytt avgiftssystem att kommittén planerade att i september 1981 lämna förslag till åtgärder på kort sikt när det gällde datainspektionens verksamhet. Enligt kommitténs uppfattning borde därför ett nytt avgiftssy- stem inte träda i kraft redan den 1 juli 1981.
Med hänsyn till vad som upplystes om arbetet i DALK fann regeringen i ett beslut den 7 maj 1981 att frågan om ett nytt avgiftssystem vid datainspek- tionen borde prövasi anslutning till de förslag till ändringari datalagen som DALK kunde komma att lägga fram. I beslutet uppdrogs åt DALK att efter samråd med riksrevisionsverket och datainspektionen utreda och till regeringen komma in med förslag till ett nytt avgiftssystem för verksamheten vid datainspektionen. Förslaget skulle ansluta till de ändringar av regelsy— stemet som DALK kunde komma att föreslå.
DALK har i promemorian (Ds Ju 198123) Nya avgifter för datainspek- tionens verksamhet redovisat det nämnda utredningsuppdraget. I promemo— rian föreslås ett nytt avgiftssystem som ansluter till de ändringar i datalagen . som DALK föreslagit i promemorian (Ds Ju 1981 :15—16) Tillstånd och tillsyn enligt datalagen . DALK:s avgiftssystem förutsätter alltså att reglerna för tillståndsverksamheten enligt datalagen ändras och kombineras med en ny registrerings- och licensplikt.
Enligt DALK:s förslag till nytt avgiftssystem skall kostnaderna för datainspektionens verksamhet helt täckas genom avgifter. För handläggning av ärenden om tillstånd enligt datalagen . kreditupplysningslagen och inkassolagen skall även i fortsättningen tas ut en avgift med visst belopp per handläggningstimme. Detsamma skall gälla ärenden om anmälan av personregister som inrättats av regering eller riksdag samt ärenden om medgivande enligt 11 & datalagen . Möjlighet skall finnas att sätta ned eller efterge avgiften. om särskilda skäl föreligger. För licens enligt datalagen skall betalas en årlig avgift. Enligt kommitténs förslag skall beslut om avgifter fattas av datainspektionen. Inspektionens beslut skall kunna överklagas hos regeriågen.
Som framgått av vad jag tidigare har anfört godtar jag i huvudsak DALK:s förslag till ändringar i datalagen . DALK:s förslag till nytt avgiftssystem ansluter till dessa ändringar. Jag finner mot denna bakgrund att jag kan godta även DALK:s förslag till nytt avgiftssystem. Enligt mjn mening bör därför ett system med avgifter för datainspektionens verksamhet införas i huvudsaklig överensstämmelse med DALK:s förslag. Avgiftssystemet bör tillämpas från och med den tidpunkt då de föreslagna ändringarna i datalagen träder i kraft.
Prop. 1981/82:189 50
den 1 juli 1982. Regeringen bör hos riksdagen begära bemyndigande att besluta om avgifter för datainspektionens verksamhet i enlighet med vad jag nu har anfört.
4. Sammanfattande bedömning av reformens effekter
Enligt DALK kan antalet årliga ärenden hos inspektionen. om kommit- téns förslag genomförs, beräknas uppgå till ca 1 260. DALK jämför detta antal med den förväntade ärendemängden. om det 5. k. nollalternativet (se avsnitt 2.2.1) genomförs. ca 4 610 ärenden per år. Man måste emellertid enligt DALK beakta att närmare hälften av antalet ärenden enligt nollalternativet är ärenden enligt det förenklade förfarandet. Till det av DALK beräknade antalet ärenden. 1 260 per år. skall läggas licensansök- ningarna. DALK uppskattar dessa till ca 1 500 per år.
DALK konstaterar med ledning av dessa beräkningar att det inte innebär några större personalbesparingar att avskaffa det formella tillståndskravet för de register som nu omfattas av det förenklade förfarandet. De största besparingarna uppkommer enligt DALK genom att ärendena om utvidgning eller ändring av tillstånd kommer att minska. DALK menar att resursbeho- vet för tillståndsprövningen kan antas minska med en tredjedel eller med fyra till fem handläggare. Å andra sidan uppkommer ett visst behov av ökade resurser för att utarbeta nya anvisningar och för att handlägga licensansök- ningar m. m.
DALK framhåller vidare att den föreslagna reformen kommer att innebära administrativa förenklingar för de registeransvariga samtidigt som den får positiva effekter för de registrerade genom att datainspektionen kommer att kunna koncentrera sina resurser till sådan_verksamhet som är särskilt betydelsefull från integritctsskyddssynpunkt.
De beräknade effekterna av den föreslagna reformen har under remiss- behandlingen berörts framför allt av datainspektionen. som i sitt remissvar utförligt har redovisat sin uppfattning om de konsekvenser som DALK:s förslag medför för inspektionens egen verksamhet. Sammanfattningsvis bekräftar inspektionen att tillståndsprövningen. om förslaget genomförs. kommer att kräva mindre resurser i framtiden. Inspektionen framhåller emellertid att de resurser som frigörs i stor utsträckning behövs för andra ändamål. Inspektionen understryker att särskilda informationsinsatser kommer att krävas av inspektionen i samband med att reformen genomförs. Vidare pekar inspektionen på att den kommer att få vissa nya arbetsuppgifter och att reformen sannolikt gör det nödvändigt att också genomföra förändringar av inspektionens organisation.
För egen del vill jag till en början understryka att de föreslagna ändringarna i datalagen bör kunna leda till avsevärda lättnader i inspektio- nens arbete med prövningen av tillståndsärenden. Som jag förut har framhållit bör icke obetydliga resurser kunna frigöras så att inspektionen kan
Prop. 1981/82:189 51
koncentrera sin verksamhet dels på prövning av mer ömtåliga register. dels på tillsynsverksamhet. Det är emellertid svårt att närmare precisera hur fördelningen på olika slag av ärenden kommer att bli i fortsättningen. Enligt min mening finns det inte heller något behov av att i detta sammanhang göra någon mera exakt beräkning av ärendefördelningen.
Den föreslagna reformen påverkar givetvis användningen av de resurser som finns tillgängliga för datainspektionens verksamhet. Inspektionen har påpekat att det kan visa sig erforderligt med en viss omorganisation av dess verksamhet. Jag skall emellertid inte nu gå närmare in på dessa frågor utan avser att senare återkomma till regeringen med förslagi dessa avseenden. om behov uppkommer.
Som DALK har framhållit får reformen konsekvenser även för de registeransvariga. Förändringen från krav på tillstånd för varje personregis- ter till licensplikt innebär administrativa förenklingar för de registeransva- riga. Vidare bör väntetiderna hos inspektionen kunna minska betydligt. Den föreslagna skyldigheten att föra förteckningar över personregister utgör visserligen ett nytt åliggande för de registeransvariga. men detta torde knappast kunna betraktas som betungande. Man bör beakta att uppgifterna i förteckningarna utan större arbete regelmässigt bör kunna hämtas från den registeransvariges egen systemdokumcntation.
Från de registrerades synpunkt torde reformen medföra enbart positiva konsekvenser. Genom att datainspektionens verksamhet kan koncentreras till tillståndsprövning av särskilt integritetskänsliga register och till tillsyns- verksamhet skapas förutsättningar för en förbättring av integritetsskyd- det.
Hänvisningar till S4
5. Upprättade lagförslag
I enlighet med vad jag nu har anfört har inom justitiedepartementet upprättats förslag till
1. lag om ändring i datalagen (1973:289) . 2. lag om ändring i sekretesslagen (19801100).
Min avsikt var ursprungligen att de nu framlagda lagförslagen skulle remitteras till lagrådet. Enligt planerna skulle lagrådsremiss ha beslutats vid månadsskiftet februari/mars. Lagrådet. som då arbetade på fyra avdelningar. dvs. det högsta tillåtna antalet. hade emellertid ett utomordentligt ansträngt program. Alla de lagförslag som var av det slaget att lagrådet enligt 8 kap. 18.5 andra stycket regeringsformen borde höras över dem kunde inte granskas i tillräckligt god tid för att förslagen skulle kunna föreläggas riksdagen före den tidpunkt som anges i 3 kap. 3.5 riksdagsordningen. Lagrådsgranskning fick därför underlåtas i flera fall med stöd av den nyss nämnda paragrafen i regeringsformen. där det bl. a. föreskrivs att lagrådets granskning kan underlåtas. om det skulle fördröja lagstiftningsfrågans
Prop. 1981/82:189 52
behandling så att avsevärt men skulle uppkomma. I förevarande fall skulle någon lagrådsgranskning inte ha kunnat ske med hänsyn till lagrådet program.
De lagförslag som jag lägger fram i detta ärende går ut på att förenkla förfarandet vid datainspektionens handläggning av ärenden enligt datalagen . Det främsta syftet med reformen är att förstärka och effektivisera integritetsskyddet. Reformen är angelägen för att datainspektionen skall kunna rationalisera sin verksamhet och koncentrera sina resurser på sådana personregister som är särskilt känsliga från integritctsskyddssynpunkt. lnte minst med hänsyn till arbetssituationen vid datainspektionen är det önskvärt att de nya bestämmelserna kan träda i kraft så snart som möjligt.
På grund av det anförda anser jag att remiss till lagrådet kan underlåtas i förevarande ärende.
Hänvisningar till S5
- Prop. 1981/82:189: Avsnitt 2.2
6. Specialmotivering 6.1 Förslaget till lag om ändring i datalagen
2.5
Personregister får inrättas och föras endast av den som har anmält sig hos datainspektionen och fått bevis om detta av inspektionen (licens).
Utöver licens behövs tillstånd av datainspektionen för att inrätta och föra personregister som skall innehålla
I. uppgifter som anges i 4 5.
2. uppgifter som anges i 65 andra stycket,
3. uppgifter om personer som saknar sådan anknytning till den registeran- svarige som följer av medlemskap. anställning, kundförhållande eller något därmed jämförligtförhållande,
4. personuppgifter som inhämtas från något annat personregister. om inte registreringen av uppgifterna sker med stöd av författning eller med den registrerades medgivande.
Första och andra stycket gäller inte personregister som en enskild person inrättar eller för uteslutande för personligt bruk.
Med inrättande av personregister förstås även insamling av uppgifter som skall ingå i registret.
I denna paragraf finns de grundläggande bestämmelserna om det nya licens- och tillståndssystemet. Beträffande de allmänna övervägandena hänvisas till avsnitt 2.2.1—3.
Enligt första stycket får personregister inrättas och föras endast av den som har anmält sig hos datainspektionen och fått bevis om detta av inspektionen. Detta bevis kallas licens. En sådan licens berättigar den registeransvarige att föra ett eller flera icke tillståndspliktiga register. Paragrafen innehåller inte några bestämmelser om vilka uppgifter en anmälan skall innehålla. Bestämmelser härom kan meddelas av regeringen. Datainspektionen skall inte göra någon materiell prövning av en anmälan utan endast på grundval av denna utfärda bevis och föra in erforderliga uppgifter i det register som inspektionen skall föra över de registeransvariga.
Prop. 1981/82:189 53
Enligt andra stycket behövs utöver licens i vissa angivna fall särskilt tillstånd av datainspektionen för att inrätta och föra personregister. Det gäller personregister sotn skall innehålla uppgifter som generellt sett kan antas medföra särskild risk för otillbörligt intrång i enskilds personliga integritet. Det nya tillståndskravet har angetts i fyra olika punkter. Tillståndskravet gäller alltså i fråga om personregister som skall innehålla uppgifter av ett eller flera av de slag som anges i dessa punkter.
I undantagsfall kan det uppstå fråga om ett visst register, för vilket tillstånd har sökts. faller under tillståndsplikten eller inte. Skulle datainspektionens prövning utmynna i bedömningen att tillstånd inte fordras. bör ansökningen avskrivas under angivande av det skälet och sökanden underrättas härom. Någon särskild föreskrift om detta behövs inte. eftersom det torde följa av allmänna förvaltningsrättsliga principer.
I fråga om punkt] och 2 hänvisas till vad som har anförts i den allmänna motiveringen. Bakom kravet på tillstånd enligt punkt 3 ligger samma grunduppfattning som har utgjort motiv för 3 a &, nämligen att personregister inte utan ett angeläget behov bör få innehålla uppgifter om andra personer än sådana som har en naturlig anknytning till den registeransvariges verksam— het.
När det gäller att dra gränsen mellan sådan registrering som bara omfattas av kravet på licens och sådan. som därutöver kräver särskilt tillstånd enligt punkt 3. är alltså sambandet mellan den registeransvarige och den registrerade avgörande. Särskilt tillstånd krävs. om det saknas en naturlig anknytning. Lagtexten innehåller tre exempel på när sådan anknytning anses föreligga. nämligen medlemskap. anställning och kundförhållande. Andra exempel är förhållandet hyresvärd—hyresgäster. skola—elever. hotell—gäster. konferensarrangör—deltagare. Som ytterligare exempel kan nämnas förhål- landet mellan en kommunal myndighet och sökande av bostäder eller daghemsplatser. Av väsentlig betydelse är alltså om registreringen grundar sig på en ömsesidig kontakt mellan den registeransvarige och den registerade och om registret används för att administrera denna kontakt.
En allmänt godtagen grundsats när det gäller personregistreringen är att personuppgifter som har samlats in för ett visst register i princip inte bör få utnyttjas för andra register. Enligt punkt 4 krävs därför i princip tillstånd för register som skall innehålla personuppgifter som inhämtas från något annat personregister. Bestämmelsen innebär att det normalt krävs tillstånd för s. k. samkörning. Med begreppet samkörning avses maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig. Även annan direkt överföring av uppgifter från ett personregister till ett annat omfattas av bestämmelsen.
Kravet på tillstånd enligt punkt 4 gäller inte om det finns stöd i författning för en samkörning av register och inte heller om de registrerade har lämnat sitt medgivande. En registeransvarig får alltså utan särskilt tillstånd inhämta
'JI .P—
Prop. 1981/82:189
uppgifter på ADB—medium från ett personregister hos en annan registeran- svarig. om han har rätt att inhämta och registrera uppgifterna enligt bestämmelse i en författning. I detta innefattas även att sådan registrering sker efter tillstånd av datainspektionen. Det bör framhållas att författnings- stödet skall avse inhämtande av uppgifter för det aktuella registret. Även om det kan finnas sådant stöd för att lämna ut uppgifter från ett visst register på ADB-medium gäller tillståndsplikten ändå för det register till vilket uppgifterna inhämtas. Den som önskar göra en samkörning mellan sitt eget register och det statliga person- och adressregistret (SPAR) för att aktualisera uppgifter i det egna registret får sålunda inte göra detta om inte tillstånd har meddelts av datainspektionen för detta eller det kan grundas på annat författningsstöd (jfr prop. 1980/81:62. s. 16).
Av punkt 4 följer vidare att möjligheterna är begränsade att ändra ändamålet med ett personregister som innehåller uppgifter som har inhämtats genom samkörning med ett annat personregister. När datainspek- tionen ger tillstånd till ett sådant register. skall inspektionen enligt 55 meddela föreskrifter om ändamålet med registret. vilket innebär att ändamålet inte får ändras utan inspektionens tillstånd. Även i de fall då något tillstånd inte behövs för att föra ett sådant register, därför att registreringen sker med stöd av författning eller med de registrerades medgivande, föreligger det normalt hinder mot att ändra ändamålet med registret. I dessa fall är det nämligen som regel en förutsättning för samkörningen att de införskaffade uppgifterna skall användas för ett visst ändamål. Med hänsyn härtill har det inte ansetts nödvändigt att föreskriva en särskild tilståndsplikt för de övriga fall när ett byte av ändamål för registret sker. Av 75 följer emellertid att ett register skall föras för ett bestämt ändamål. Datainspek- tionen har dessutom möjlighet att. när det anses behövligt. meddela en föreskrift om ändamålet med stöd av 18 5. Enligt tredje stycket undantas från licens- och tillståndsplikt personregister som inrättas och förs av en enskild person uteslutande för personligt bruk. Bestämmelserna om den registeransvariges skyldigheter. om datainspektio- nens tillsyn m. m. gäller dock även dessa register. Undantaget enligt tredje stycket gäller endast fysiska personer och avser alltså inte juridiska personer som bolag. föreningar. stiftelser eller organisationer och inte heller myndigheter.
Undantaget gäller vidare endast personregister som inrättas och förs uteslutande för personligt bruk. Som typexempel kan nämnas adress- och telefonförteckningar över vänner och bekanta. Hit hör också register sotn rör den egna familjens ekonomi.
Avgörande för om undantagsbestämmelsen blir tillämplig är bl.a. om användningen av ett personregister till någon del hänger samman med näringsverksamhet. Med näringsidkare avses varje person som yrkesmässigt driver verksamhet av ekonomisk art. Till näringsidkare räknas t. ex. fria yrkesutövare som advokater. arkitekter. fotografer. journalister m .fl. Även
Prop. 1981/82:189 55
den som driver verksamhet i mindre skala anses som näringsidkare. om det yrkesmässiga momentet är uppfyllt. Något vinstsyfte krävs inte.
Om en person helt eller delvis använder ett personregister i sin näringsverksamhet. kan det aldrig vara fråga om att registret används uteslutande för personligt bruk. Undantagsregcln är då inte tillämplig. Detsamma gäller om någon inrättar eller för ett personregister som till någon del skall användas för hans yrkesverksamhet såsom anställd.
Personregister som används för forskning kan som regel inte anses avsedda uteslutande för personligt bruk. Om ansvaret för ett visst forskningsprojekt åvilar en universitetsinstitution. är det fråga om verksamhet inom den offentliga sektorn. Undantagsbestämmelsen blir då inte tillämplig. Ofta finansieras forskningsprojekt av näringslivet eller av stiftelser c. d. I sådana fall förväntas i regel någon form av resultat som kan användas för publicering eller på annat sätt. Det är då heller inte fråga om något renodlat personligt bruk. I undantagsfall förekommer det dock att forskning bedrivs mera som hobbyverksamhet och finansieras med egna medel. Ett exempel är släkt- forskning. I sådana fall kan man tala om användning av personuppgifter uteslutande för personligt bruk. Villkoret för detta är dock att det inte till någon del är fråga om yrkes- eller näringsverksamhet.
Iden mån ett register har ändamål som kan hänföras både till personligt bruk och till annat blir undantagsregeln inte tillämplig. Det är då inte fråga om uteslutande personligt bruk. Om exempelvis en affärsidkare eller advokat för register över kunder eller klienter som samtidigt hör till bekantskapskretsen. blir undantagsregeln inte tillämplig.
l fjärde stycket finns i oförändrad lydelse det förtydligande av vad som förstås med inrättande av personregister som år 1979 infördes i 25 första stycket.
2 a .5
Tillstånd av datainspektionen behövs inte för personregister vars inrättande beslutas av riksdagen eller regeringen. Innan sådant beslut fattas skall dock yttrande inhämtas från datainspektionen, [ fråga om register som skall innehålla uppgifter sotn avses i .? 5 andra stycket.
Tillstånd behövs inte heller för personregister som har tagits emot för förvaring av en arkivmyndighet.
Utan hinder av 2 5 andra stycket 1 får ]. sammans/utningar inrätta och föra pem'onregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning. religiösa tro eller överty- gelse i övrigt som utgör grunden för medlemskapet i sammansliitningen.
2. myndigheter inom hälso- och sjukvården för vård- eller behandlingsän- damål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt.
3. myndigheter inom socialtjänsten inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten.
4. läkare och tandläkare inrätta och föra personregister som innehåller
Prop. 1981/82:189 56
sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet.
Denna paragraf innehåller bestämmelser om undantag från tillståndsplik- ten för vissa slag av personregister. Registeransvariga som inrättar eller för sådana register måste dock ha licens enligt huvudregeln i 2 5 första stycket. I fråga om den allmänna motiveringen till bestämmelserna hänvisas till avsnitt 2.2.3 och 2.3.1.
Enligt första stycket är liksom hittills personregister vars inrättande beslutas av riksdagen eller regeringen undantagna från kravet på särskilt tillstånd. Innan beslut om att inrätta ett sådant register fattas skall dock yttrande inhämtas från datainspektionen. om registret innehåller uppgifter som i annat fall skulle ha medfört tillståndstvång. dvs. uppgifter som anges i 2 5 andra stycket. Av nya 6 a 5 följer att inspektionen också skall besluta om föreskrifter för dessa register.
Bakgrunden till undantaget i andra stycket är. såsom angetts i avsnitt 2.3. 1 i den allmänna motiveringen. datainspektionens skrivelse till regeringen i november 1980 och uppfattningen att enbart förvaring av personregister hos en arkivmyndighet inte kan anses vara speciellt känslig från integritetssyn- punkt. Reglerna om licensskyldighet liksom datalagens övriga regler. bl. a. om de registeransvarigas förpliktelser. är dock tillämpliga även på sådana rcgisteri den mån arkivmyndigheten enligt 1 5 datalagen är registeransvarig för dessa.
Undantaget i andra stycket avser sådana arkivmyndigheter som anges i allmänna arkivstadgan. Om uppgifter lämnas ut på medium för automatisk databehandling eller eljest för automatisk databehandling till någon annan. följer av lagens bestämmelser i övrigt att mottagaren blir skyldig att ha licens och. i vissa fall. tillstånd av datainspektionen. _
I tredje stycket föreskrivs undantag för vissa registeransvariga från kravet på tillstånd enligt 2 5 andra stycket 1.
Enligt tredje stycket punkt 1 undantas sådana personregister som innehåller uppgifter om någons politiska uppfattning. religiösa tro eller övertygelse i övrigt och som en sammanslutning för beträffande sina egna medlemmar.
En förutsättning för att tillstånd inte skall krävas i detta fall är att de uppgifter som registreras utgör grunden för medlemskapet i sammanslut- ningen. Vad som åsyftas är t. ex. att en politisk förening registrerar sina medlemmar och att det därigenom direkt eller indirekt framgår att medlemmen delar föreningens politiska mål. Bestämmelserna medger således inte registrering av andra uppgifter om politisk eller religiös uppfattning än sådana som avser grunden för medlemskapet. En facklig sammanslutning får således inte utan tillstånd registrera medlemmarnas politiska uppfattning. Inte heller får en sammanslutning registrera uppgift om att en viss person tidigare har tillhört en annan politisk sammanslutning eller har varit medlem i ett annat religiöst samfund. Med hänsyn till att de
Prop. 1981/82:189 57
uppgifter som avses med bestämmelsen genomgående är mycket känsliga från integritetsskyddssynpunkt bör utrymmet för befrielse från tillstånds- plikten vara mycket begränsat.
Bestämmelsen i punkt 2 är tillämplig på både statliga och kommunala myndigheter som för register angående sjuk- och hälsovård. Undantaget från tillståndsplikten avser endast uppgifter om någons sjukdom eller hälsotill- stånd. Om registret kommer att innehålla sådana uppgifter som avses i 6 5. omdömen och värderingar. följer av 25 andra stycket 2 att tillstånd för registret behövs. Undantaget omfattar endast sådana register som förs för vård- eller behandlingsändamål. Andra register som förs inom hälso- och sjukvården, såsom forskningsregister. omfattas inte av bestämmelsen.
Bestämmelsen ipunkt 3 är tillämplig på de kommunala myndigheter som för register inom socialtjänstens ram. I dessa register kan finnas uppgifter som behövs för de verksamheter som regleras av socialtjänstlagcn (l980:620). lagen (1980:621) med särskilda bestämmelser om vård av unga och lagen (19811343) om vård av missbrukare i vissa fall.
Enligt punkt 4 görs undantag från tillståndskravet för läkare och tandläkare som för patientregister. Med stöd av 2 5 tredje stycket datalagen och DIFS 198014 faller flertalet av dessa register nu utanför tillståndsplikten. Undantaget har utvidgats till att gälla utan de förbehåll som f. n. anges i DIFS 1980:4. Personregister, vilka som ett normalt led i den yrkesmässiga verksamheten inrättas av läkare och tandläkare. får alltså i fortsättningen föras utan tillstånd oavsett vilken ADB-teknisk utrustning som används.
4 .5
Tillstånd att inrätta och föra personregister som innehåller uppgift om att någon misstänkes eller dömts för brott eller avtjänat straff eller undergått annan påföljd för brott eller varit föremål för tvångsingripande enligt lagen (1980:621) med särskilda bestämmelser om vård av unga. lagen (1981:1243) om vård av missbrukare i vissa fall. lagen (1966:293) om beredande av sluten psykiatrisk vård i vissa fall. lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda eller utlänningslagen (19801376) får endast om synnerliga skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra personregister sotn i övrigt innehåller uppgift om någons Sjukdom. hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får endast om särskilda skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra personregister som innehåller uppgift om någons ras. politiska uppfattning. religiösa tro eller övertygelse i övrigt får meddelas endast om särskilda skäl föreligger.
Som framgår av avsnitt "2.4.2 i den allmänna motiveringen kräver en svensk anslutning till Europarådets dataskyddskonvention vissa kompletteringar av 4 5. Denna paragraf innehåller en uppräkning av uppgifter som har ansetts
Prop. l981/82:189 58
vara särskilt känsliga och som därför inte får ingå i personregister. om inte synnerliga eller särskilda skäl föreligger. De personuppgifter som nämns i konventionen men som saknas i uppräkningen i4 & i dess nuvarande lydelse är uppgifter som rör sexualliv, uppgifter som avslöjar ras och uppgifter om annan övertygelse än religiös tro.
Uppgifter om sexualliv anges i uppräkningen i andra Stycket. Enligt denna bestämmelse krävs det — för annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter — särskilda skäl för att få tillstånd att inrätta och föra personregister som innehåller uppgifter om sexualliv. Härmed avses i detta sammanhang uppgift såväl om rent medicinska förhållanden som om sexualvanor o. d.
Uppgifter om ras och om annan övertygelse än religiös tro har tagits med i uppräkningen i tredje stycket. Enligt denna bestämmelse krävs särskilda skäl för att få tillstånd att inrätta och föra personregister som innehåller sådana uppgifter. Bakgrunden till att begreppet annan övertygelse än religiös tro har förts in i bestämmelsen är att man i konventionen har tagit hänsyn till att övertygelser som inte är av religiös art kan vara lika skyddsvärda som religiösa uppfattningar. Med det nya begreppet avses bl. &. uppgift om att någon omfattar en filosofisk lära eller är ateist.
5 ä'
I samband med att tillstånd lämnas till inrättande och förande av personregister. skall datainspektionen meddela föreskrift om ändamålet med registret. Föreligger särskilda skäl. får tillståndet begränsas till viss tid.
6 .é'
Lämnas tillstånd till inrättande och förande av personregister. skall datainspektionen. i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet. meddela föreskrift om
inhämtande av uppgifter för personregistret. vilka personuppgifter som får ingå i personregistret. utförandet av den automatiska databehandlingen. den tekniska utrustningen.
5. de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling.
6. underrättelse till berörda personer.
7. de personuppgifter som får göras tillgängliga,
8. utlämnande och annan användning av personuppgift. 9. bevarande och gallring av personuppgifter. IO. kontroll och säkerhet.
Vid bedömandet av om föreskrift behövs skall särskilt beaktas huruvida registret innehåller personuppgift som utgör omdöme eller annan värderan- de upplysning om den registrerade.
Föreskrift rörande utlämnande av personuppgift får icke inskränka myndighets skyldigheter enligt tryckfrihetsförordningen .
Hänvisningar till S6
- Prop. 1981/82:189: Avsnitt 2.2
ulaf-ak)»—
Prop. 1981/82:189 59
Som framgår av avsnitt 2.3.3 i den allmänna motiveringen föreslås att det hittillsvarande obligatoriska kravet i 5 5 på föreskrift om registerinnehållet skall göras fakultativt. En bestämmelse om möjlighet för inspektionen att meddela en sådan föreskrift har därför tagits in som punkt 2 i 6 %. Den enda föreskrift som inspektionen härefter alltid skall besluta enligt 5 % i samband med ett tillstånd avser registrets ändamål.
6 a >>” Bestämmelserna i 5 och 6 åå om skyldighet för datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2115 första stycket andra meningen. i den mån icke regeringen eller riksdagen har meddelat föreskrift i samma hänseende. !
I paragrafen. som i sak överensstämmer med den tidigare 7 &. har endast gjorts en redaktionell ändring.
7.5
Personregister skall inrättas och- föras så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. Därvid skall särskilt iakttas
]. att registret förs för ett bestämt ('indamäl.
2. att inte andra uppgifter registreras än som står i överensstämmelse med registrets ändamål.
3. att uppgifter inte samlas in. lämnas ut eller används annat än i överensstämmelse med registrets ändamål eller vad som gäller enligt lag eller annan författning eller i enlig/let med den registrerades medgivande.
4. att uppgifterna i registret skyddas mot oavsiktlig eller otillåten förstörelse eller mot otillåten ändring eller spridning.
Denna bestämmelse. som är ny. är tillämplig på alla slag av personregister. oavsett om de kräver tillstånd eller ej. Den gäller också sådana personre- gister som får föras utan licens, dvs. sådana som förs uteslutande för personligt bruk.
Föreskrifterna i punkt 1—4 anger en minimistandard för persondataskyd- det. Datainspektionen är oförhindrad att besluta om föreskrifter som innebär ytterligare skyldigheter för de registeransvariga ide avseenden som nämns i bestämmelsen. Sådana föreskrifter kan beslutas såväl med stöd av 5 och 6 åå i samband med att tillstånd meddelas för ett tillståndspliktigt register som med stöd av 18 &.
I övrigt hänvisas till avsnitt 2.2.4 i den allmänna motiveringen.
7 (1 S*
Hos den registeransvarige skall finnas en aktuell ft'irteckning över de personregister som han är ansvarig för. Förteckningen skall innehålla uppgift om:
Prop. 1981/82:189 60
I. registrets benämning,
2. registrets ändamål,
3. lokalen där den automatiska databehandlingen huvudsakligen utförs.
4. numret på den registeransvariges licens hos datainspektionen.
5. i vad mån personuppgifter lämnas utför automatisk databehandling i utlandet.
Förteckningen skall hållas tillgänglig för datainspektionen och på begäran av denna ges in till inspektionen.
När en registeransvarig sönder en handling som innehåller personuppgifter ur ett personregister till den registrerade. skall upplysning samtidigt lämnas om vem som är avsändare eller om den registeransvariges licensnummer ltos datainspektionen.
Bestämmelserna i denna paragraf gäller inte personregister som en enskild person för uteslutande för personligt bruk eller som en arkivmyndighet har tagit emot för förvaring.
I denna paragraf har tagits in de nya bestämmelserna om förtecknings- skyldighet. I fråga om de allmänna övervägandena hänvisas till avsnitt 2.2.2 i den allmänna motiveringen.
Enligt första stycket skall hos varje registeransvarig finnas en förteckning över de register han är ansvarig för. Bestämmelsen gäller alla registeransva- riga och alla former av register oavsett om dessa omfattas av licens- eller tillståndsplikt eller faller utanför dessa kategorier. Av kravet på att förteckningen skall vara aktuell följer att ändringar beträffande sådana uppgifter som skall finnas i förteckningen genast skall föras in i denna.
Paragrafen innehåller inte några närmare föreskrifter om utformningen av förteckningen. Det får ankomma på den registeransvarige själv att bestämma utformningen. men det kan antas att datainspektionen finner det lämpligt att tillhandahålla särskilda formulär för ändamålet.
Det förekommer normalt att en registeransvarig har upprättat dokumen- tation över sin ADB-användning för något annat ändamål än för att uppfylla vad som krävs enligt denna paragraf. t. ex. systemdokumentation för registeranvändningen eller annan dokumentation som följer av någon annan författning eller av myndighets beslut. För att en förteckning som har upprättats för något annat ändamål skall kunna godtas enligt 7 a % bör krävas att de uppgifter som anges i paragrafen är tydligt angivna. I flertalet fall torde det vara lämpligt att ha en särskild förteckning för att uppfylla kravet i denna paragraf.
Det bör tilläggas att en förteckning som finns upprättad enligt denna paragraf inte ersätter den mera fullständiga systemdokumcntation rörande personregister som datainspektionen kan begära med stöd av 17 å.
Enligt andra stycket skall förteckningen hållas tillgänglig för datainspek- tionen och på begäran av denna ges in till inspektionen. Någon rätt enligt denna bestämmelse för den registrerade att ta del av förteckningen finns inte. En annan sak är att förteckningar som förs hos registeransvariga myndighe- ter eller som har getts in till datainspektionen är allmänna handlingar och
Prop. 198l/82:189 61
därmed blir tillängliga för envar enligt tryckfrihetsförordningens bestämmel- ser, om de inte är föremål för sekretess.
Datainspektionen kan med stöd av bestämmelsen begära in en förteckning i ett särskilt tillsynsärende. men inspektionen har också möjlighet att begära in förteckningar Stickprovsvis eller samtidigt från ett flertal registeransvari- ga, t. ex. från alla registeransvariga i en viss bransch eller inom ett visst område. _
Enligt tredje stycket skall den registeransvarige. när han sänder en handling som innehåller personuppgifter ur ett personregister till den registrerade. samtidigt lämna upplysning om vem som är avsändare. Syftet med bestämmelsen är att den registrerade skall få veta varifrån uppgifter om honom härrör. bl. a. för att han skall kunna vidta åtgärder om uppgifterna skulle vara oriktiga eller innehålla otillåten information e. d. Upplysning om avsändare kan lämnas på olika sätt. Antingen kan det av försändelsens yttre framgå varifrån den kommer eller också kan uppgift om avsändare finnas på de handlingar som översänds eller i ett bifogat brev. Den registeransvarige kan också välja att lämna uppgifter om sitt licensnummer hos datainspek— tionen. se avsnitt 2.2.2 .
Av fjärde stycket framgår att personregister som förs av en enskild person uteslutande för personligt bruk har undantagits både från förteckningsskyl- digheten och från skyldigheten att lämna upplysning om avsändare. Även personregister som har mottagits för förvaring av arkivmyndighet undantas från dessa krav.
[0.5
Den registeransvarige skall på begäran av enskild så snart det kan ske underrätta denne. antingen om innehållet i personuppgift som ingår i personregistret och innefattar upplysning om honom eller om att sådan uppgift ej förekommer i registret. Sådan begäran skall framställas skriftligen och vara egenhändigt undertecknad av den enskilde. I-Iar underrättelse lämnats. behöver ny underrättelse icke lämnas till samme enskilde förrän tolv månader därefter.
Underrättelse enligt första stycket skall lämnas utan kostnad för den enskilde. Föreligger särskilda skäl. får dock datainspektionen i fråga om visst slag av personuppgifter eller i fråga om underrättelse om att personuppgift om enskild ej förekommer i registret medge att avgift tages ut.
Första stycket gäller inte uppgifter [ personregister som har tagits emot för förvaring av en arkivmyndighet och inte heller uppgifter som enligt lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning ej får lämnas ut till den registrerade.
Första stycket gäller icke heller. om det i fråga om visst slag av personuppgifter är uppenbart att underrättelse kan underlåtas på grund av att det inte föreligger någon risk för otillbörligt intrång i registrerads personliga integritet. Underrättelse får dock underlåtas endast efter medgi- vande från datainspektionen.
I fråga om motiven till den ändrade bestämmelsen hänvisas till avsnitt 2.3.1.
Prop. 1981/82:189 _ 62
115
Personuppgift som ingår i personregister får ej lämnas ut. om det finns anledning antaga att uppgiften skall användas för automatisk databehandling i strid med denna lag. Finns det anledning antaga att personuppgift skall användas för automatisk databehandling i utlandet, får uppgiften lämnas ut endast efter medgivande av datainspektionen. Sådant medgivande får lämnas endast om det kan antagas att_utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig integritet. Något medgivande behövs dock inte, om personuppgift skall användas för automatisk databe- handling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databe/mndling av personuppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i sekretess- lagen (1980:100).
F. n. krävs enligt 11 & datalagen och 7 kap. 16% sekretesslagen datain- spektionens medgivande till utlämnande av personuppgift. om det finns anledning anta att uppgiften skall användas för automatisk databehandling i utlandet. Enligt Europarådets dataskyddskonvention får emellertid en konventionspart inte. uteslutande i syfte att skydda den personliga integri- teten. förbjuda eller kräva särskilt bemyndigande för överföring av personuppgifter över gränsen till en annan parts territorium. För att tillgodose detta krav i konventionen hari 11 ådatalagen liksom i 7 kap. 16 & sekretesslagen förts in en bestämmelse om att datainspektionens medgivan- de inte behövs för utlämnande av personuppgift som skall användas för automatisk databehandling enbart i en stat som har anslutit sig till konventionen.
Av bestämmelsens utformning följer att datainspektionens medgivande kan undvaras bara om uppgifter skall lämnas ut för automatisk databehand- ling enbarti en konventionsstat. Om uppgifter skall föras via en konven- tionsstat till en stat som inte har anslutit sig till konventionen fordras alltså fortfarande medgivande av datainspektionen.
Nationella bestämmelser som begränsar registeransvarigas möjlighet att över huvud taget lämna ut personuppgifter från personregister berörs inte av åtagandena enligt konventionen och är därför tillämpliga även i fortsättning- en. Sådana begränsande bestämmelser finns i sekretesslagen. Begränsning i utlämnandet kan också följa av bestämmelsen i 7 55 eller av föreskrifter som datainspektionen med stöd av 6.5 datalagen har meddelat i ett särskilt tillståndsbeslut. Givetvis gäller också bestämmelserna om tillstånd i 25 andra stycket oavsett om automatisk databehandling skall utföras i Sverige eller i något annat land. Av ett tillstånd kan framgå att databehandlingen av ett register skall ske vid en viss anläggning inom landet. Uppgifterna får i sådant fall inte föras över till någon annan datoranläggning — vare sig denna ligger inom eller utom landet.
Det bör observeras att konventionen endast behandlar restriktioner som görs med hänvisning till skyddet för personlig integritet. Konventionen
Prop. 1981/82:189 63
hindrar alltså inte att lagbestämmelser av andra anledningar förbjuder att uppgifter förs över till utlandet, t. ex. av hänsyn till försvaret eller den nationella säkerheten.
Det bör anmärkas att 115 liksom hittills medför skyldighet för den registeransvarige att vid utlämnande av personuppgifter för automatisk databehandling hos mottagaren kontrollera att denne har licens eller särskilt tillstånd.
125
Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret.
Upp/rören registeransvarig att föra ett personregister för vilket datainspek- tionen har meddelat tillstånd. skall han anmäla detta till inspektionen. Detsamma gäller i fråga om sådant personregister som avses i 2 a 9" första stycket andra meningen.
Datainspektionen meddelar enligt 12 å i dess hittillsvarande lydelse särskilda beslut om hur det skall förfaras med personregister som register- ansvarig anmält att han upphör att föra. Motsvarande föreskrifter i form av generella regler har tagits in i första stycket. Dessa föreskrifter gäller alla personregister. I fortsättningen krävs därför inte några individuella beslut av datainspektionen rörande detta. De nya generella reglerna innebär att uppgifter i personregister som inte längre behövs för registerändamålet skall förstöras. om de inte skall bevaras på grund av bestämmelse i författning eller myndighets beslut som meddelats med stöd av författning. t. ex. arkivför- fattningar eller beslut av riksarkivet. Vidare gäller med samma förbehåll att personregistret som sådant skall förstöras när den registeransvarige upphör att föra registret.
Grundläggande föreskrifter om bevarande och gallring hos statliga myndigheter finns i allmänna arkivstadgan (l9ölt590). Där föreskrivs att utgallring endast får ske med stöd av stadgans bestämmelser eller med stöd av bestämmelser som har meddelats av regeringen eller riksarkivet. Komplet- terande bestämmelser finns i riksarkivets cirkulär (1968z473) om tillämp- ningen av allmänna arkivstadgan. Om gallring finns vidare allmänna bestämmelser i förordningen (19531716) angående utgallring av handlingar hos vissa statsmyndigheter samt i förordningen (l974:648) om utgallring ur upptagning för automatisk databehandling. Även i en rad andra författning- ar, t. ex. lagen (1963:197) om allmänt kriminalregister. finns särskilda bestämmelser om bevarande och gallring. För kommuner och landstings- kommuner finns bestämmelser om arkivvården i kommunallagen (l977:179). När det gäller myndigheterna kan alltså olika bestämmelser om
Prop. 1981/82:189 64
arkivvård föranleda en rad undantag från huvudregeln i första stycket.
Den nya bestämmelsen hindrar inte att datainspektionen i ett tillstånds- beslut med stöd av 6 % datalagen meddelar särskild föreskrift om bevarande och gallring av personuppgifter. Inspektionen kan också enligt 18 % ingripa med föreskrifter eller förbud att föra registret, om detta anses behövligt med anledning av tillsyn och vad som då kommit fram om registrets användning m. m.
Enligt andra stycket skall registeransvarig som upphör att föra personre- gister för vilket han har särskilt tillstånd anmäla detta till datainspektionen. Det har inte ansetts nödvändigt att föreskriva en motsvarande anmälnings- skyldighet då en registeransvarig som enbart har licens upphör att föra personregister. Anmälningsskyldigheten gäller också sådana register som inrättats genom beslut av riksdagen eller regeringen och för vilka gäller skyldighet enligt 2 a ta att inhämta yttrande från datainspektionen. För dessa register har inspektionen normalt meddelat föreskrifter enligt 5 och 6 55.
1855
Har förandet av personregister lett till otillbörligt intrång i personlig integritet eller finns anledning antaga att sådant intrång skall uppkomma, får datainspektionen i mån av behov meddela föreskrift i sådant avseende som anges i 5 eller 6.5 eller ändra föreskrift som tidigare meddelats. I fråga om sådant register som avses i 2 a 5 första stycket får datainspektionen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riksdagen.
Kan skydd mot otillbörligt intrång i personlig integritet ej åstadkommas på annat sätt, får datainspektionen förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket.
lförsta stycket har gjorts ett par redaktionella ändringar. I andra stycket har införts en bestämmelse om rätt för datainspektionen att förbjuda fortsatt förande av personregister. Denna möjlighet tar sikte på de register för vilka tillstånd inte behövs. För de register för vilka tillstånd har meddelats har inspektionen såsom tidigare istället att återkalla tillståndet. Från de nu angivna möjligheterna undantas dock register vars inrättande har beslutats av riksdagen eller regeringen.
20 9" Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet
]. inrättar eller för personregister utan licens eller tillstånd enligt denna lag. när detta erfordras. '
2. bryter mot föreskrift eller förbud som meddelats enligt 5. 6 eller 18 ä
3. lämnar ut personuppgift i strid mot 11 5.
4. bryter mot 12 .5.
Prop. 1981/82:189 65
5. lämnar osann uppgift vid fullgörande av skyldighet att lämna under- rättelse enligt 10 5. eller
6. lämnar osann uppgift i fall som avses i 17 5. Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot 7 a 5 första eller tredje stycket.
25
Har personregister inrättats eller förts utan licens eller tillstånd enligt denna lag. när licens eller tillstånd behövs, skall registret förklaras förverkat, om det ej är uppenbart obilligt. Detsamma gäller. om personregister har förts i strid mot förbud enligt 185 andra stycket.
245
Om registeransvarig eller den som för registeransvarigs räkning handhar personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 165 eller att lämna uppgift enligt 17 5, får datainspektionen förelägga vite. Detsamma gäller, om registeransvarig icke fullgör vad som åligger honom enligt 7a 5 andra stycket. 8. 9 eller 10 5.
I dessa paragrafer har gjorts vissa följdändringar till övriga nya regler i datalagen. Enligt den nya lydelsen av 20 5 första stycket I är det sålunda straffbart att föra personregister utan licens, när detta erfordras. Vidare är enligt andra stycket skyldigheten att ha en förteckning över personregister enligt 7 a 5 första stycket sanktionerad med böter. Detsamma gäller skyldigheten enligt 7 a 5 tredje stycket att ange avsändare i handlingar till den registrerade. I 22 5 har utöver vissa redaktionella ändringar införts en möjlighet att förverka även sådana personregister som förs utan licens enligt de nya reglerna. Slutligen har i 245 gjorts ett tillägg som innebär att skyldigheten att hålla förteckning tillgänglig och ge in denna till datainspek- tionen enligt 7 a 5 andra stycket omfattas av bestämmelserna om vite.
Ikraftträdande m. m.
Denna lag träder i kraft, såvitt avser 7 a 5 den 1 januari 1983. och i övrigt den 1 juli 1982.
Bestämmelserna i 25 gäller även personregister som har inrättats före ikraftträdandet. Om anmälan och ansökan om tillstånd, om sådant krävs, görs före den 1 januari 1983, får dock ett sådant register föras utan hinder av 25 tills ärendet har prövats slutligt. Nytt tillstånd behövs inte för sådana register som datainspektionen har gett tillstånd till före ikraftträdandet.
Enligt förslaget skall de nya bestämmelserna träda i kraft den 1 juli 1982. I fråga om skyldigheten att föra förteckningar över personregister föreslås dock, med hänsyn till att de nya reglerna i inledningsskedet medför ett visst arbete för de registeransvariga, att reglerna inte skall träda i kraft förrän den 1 januari 1983.
Enligt DALK:s förslag skall de nya bestämmelserna om anmälningsskyl- dighet enligt 25 vara tillämpliga även på registeransvariga som har fått
Prop. 1981/82:189 66
datainspektionens tillstånd att föra personregister före lagens ikraffträdan- de. Under remissbehandlingen har detta förslag kritiserats av en del remissinstanser, som menar att förslaget leder till onödig byråkrati och som därför förordar att övergångsbestämmelserna förenklas.
För min del vill jag understryka vikten av att det nya licens- och tillståndssystemet inte leder till någon försämring av integritetsskyddet. Det är önskvärt att datainspektionen även i fortsättningen så långt som möjligt har överblick över personregistreringen i landet. Från denna synpunkt är det angeläget att inspektionen har tillgång till uppgifter såväl om alla som är ansvariga för personregister som framför allt om de personregister som innehåller sådana ömtåliga uppgifter att det krävs tillstånd även enligt de nya reglerna.
Det är alltså viktigt att datainspektionen har tillgång till uppgifter även om sådana register som har fått tillstånd enligt de äldre bestämmelserna. I och för sig är det önskvärt att dessa uppgifter ställs samman av inspektionen själv så att inte de registeransvariga som redan har tillstånd behöver ge in någon anmälan eller någon ny ansökan om tillstånd.
Det har emellertid visat sig att det inte är möjligt för datainspektionen att med ledning av de uppgifter som inspektionen har tillgång till göra en tillförlitlig sammanställning över alla personregister som nu har tillstånd. Anledningen härtill är framför allt att inspektionen i många fall saknar aktuella uppgifter om vem som är registeransvarig och om den registeran- svariges adress. Ofta finns inte ens någon säker uppgift om huruvida ett register fortfarande är i bruk. Orsaken till dessa förhållanden är att de. registeransvariga i många fall har underlåtit att göra erforderliga anmälning- ar om adressändringar. om upphörande av register m. m.
Med hänsyn till det anförda anser jag att man inte kan undvika att låta bestämmelserna om anmälningsskyldighet vara tillämpliga även i sådana fall då tillstånd har meddelats före ikraftträdandet. Däremot finns det givetvis inte anledning att kräva någon ny ansökan om tillstånd beträffande personregister som har fått tillstånd enligt de äldre bestämmelserna.
Jag förutsätter att datainspektionen informerar de registeransvariga om innebörden av det nya systemet och om övergångsbestämmelserna och att inspektionen i den utsträckning det är möjligt bistår de registeransvariga t. ex. genom att skicka ut anmälningsblanketter till alla registeransvariga vilkas adress är känd.
Mot bakgrund av det anförda föreslås en bestämmelse om att 2.5 även gäller personregister som har inrättats före ikraftträdandet. I anslutning till kommitténs förslag föreslås dessutom en övergångsbestämmelse som inne- bär att sådana register tills vidare får föras utan hinder av 2 5, om anmälan och ansökan om tillstånd. om sådant krävs. görs före den 1 januari 1983. Denna rätt gäller tills ärendet slutligt har prövats av datainspektionen eller. om inspektionens beslut överklagas. av regeringen. Bestämmelsen är tillämplig såväl på register som redan har fått tillstånd som på register som
Prop. 1981/82:189 67
inte är tillståndspliktiga enligt de äldre bestämmelserna.
Slutligen föreslås för tydlighetens skull en uttrycklig bestämmelse om att nytt tillstånd inte behövs för sådana register som inspektionen har gett tillstånd till före ikraftträdandet. Övergångsbestämmelserna innebär att de föreskrifter som datainspektionen har meddelat före den 1 juli 1982 i samband med att tillstånd meddelats för ett visst register. eller i ett annat sammanhang, skall gälla tills vidare. Följden blir att de registeransvariga, som för sådana register som enligt de nya bestämmelserna inte skulle vara tillståndspliktiga. ändå har att följa beslutade föreskrifter. Det torde nämligen med hänsyn till ett flertal omständigheter inte vara lämpligt att lagstiftningsvägen generellt upphäva tidigare meddelade föreskrifter för dessa typer av register. En sådan ordning skulle för det första medföra icke helt överblickbara konsekvenser. Man bör inte heller lägga ansvaret på de registeransvariga att bedöma i vilken utsträckning tidigare meddelade föreskrifter inte längre skall anses gälla. Av administrativa skäl är det vidare inte möjligt att låta datainspektionen ompröva samtliga tidigare tillstånd. Jag vill slutligen framhålla att föreskrifterna regelmässigt materiellt överens- stämmer med hur registren bör användas även enligt den nya ordningen. Avsikten är ju inte att förändra innehållet i integritetsskyddet utan att genomföra effektivare rutiner hos datainspektionen m. m. Skulle deti något fall vara önskvärt att en tidigare föreskrift upphävs eller ändras, har den registeransvarige som tidigare möjlighet att göra framställning om detta hos datainspektionen.
Av ikraftträdandebestämmelserna följer att register som inrättas efter den 1 juli 1982 helt faller under de nya bestämmelserna. Detta gäller också för register för vilka ansökan om tillstånd dessförinnan har lämnats in till datainspektionen men där inspektionen inte har avgjort ansökningarna före den 1 juli 1982. Dessa ansökningar bör alltså handläggas enligt de nya reglerna. Licens bör dock kunna utfärdas utan särskild anmälan och tillstånd därutöver meddelas, om det behövs enligt de nya bestämmelserna. Skulle det visa sig att ett register inte faller under tillståndsplikten enligt de nya bestämmelserna. har inspektionen att avskriva ärendet från vidare handlägg- ning och underrätta sökanden om detta efter att ha meddelat licens när detta inte har skett i annat sammanhang (jfr specialmotiveringen till 2 5).
6.2 Förslaget till lag om ändring i sekretesslagen
7 kap. 16 #
Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289) . om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen .
Sekretess för uppgift som anges i första stycket gäller också. om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandlingi utlandet och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på
Prop. 1981/82:189 68
datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej. om uppgiften skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskildayid automatisk databehandling av personuppgifter.
Enligt artikel 15 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter skall tillbörligt sekretesskydd finnas i fråga om upplysningar i ärenden om bistånd enligt konventionen. Bestämmelsen i sekretesslagen om sekretess hos datainspektionen har därför kompletterats i detta avseende.
9kap. 6 #
Sekretess gäller hos datainspektionen i ärende om tillstånd eller tillsyn. som enligt lag ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden. om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekretessen också där.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio ar.
Bestämmelsen. som avser utlämnande av uppgifter i det allmännas verksamhet, motsvarari sak 11 ådatalagen. Beträffande ändringen hänvisas till vad som har anförts i specialmotiveringen till den paragrafen.
Hänvisningar till US7
7. Hemställan
Jag hemställer att regeringen föreslår riksdagen
dels att anta förslagen till
1. lag om ändring i datalagen (1973289),
2. lag om ändring i sekretesslagen (19811100). dels att godkänna konventionen den 28 januari 1981 till skydd för enskilda vid automatisk databehandling av personuppgifter. dels att bemyndiga regeringen att besluta om avgifter för datain- spektionens verksamhet i enlighet med de riktlinjer som jag har angett i det föregående.
8. Beslut
Regeringen ansluter sig till föredragandens överväganden och beslutar att genom proposition föreslå riksdagen att anta de förslag som föredraganden har lagt fram.
Prop. 1981/82:189 69
Kommitténs sammanfattning av sitt förslag
16.1 Tilläggsdirektiv m m
DALK utreder enligt tilläggsdirektiv i mars 1980 för närvarande om en generell personregisterlag, som inte i första hand är inriktad på ADB. på längre sikt bör ersätta datalagen . Under detta arbete har datainspektionen till regeringen anmält behovet av vissa åtgärder redan på kort sikt. DALK har därefter genom ytterligare tilläggsdirektiv i december 1980 fått i uppdrag att med förtur överväga sådana åtgärder. DALK skall enligt de nya direktiven i nära samråd med inspektionen så snabbt som möjligt undersöka vilka åtgärder som kan vidtas för att också på kort sikt rationalisera verksamheten hos inspektionen. DALK skall dessutom också kartlägga och analysera datalagens ekonomiska och administrativa konsekvenser för de registeransvariga. Uppdraget redovisas i denna promemoria.
Inom Europarådet har nyligen lagts fram en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Om riksdagen godkänner konventionen behövs vissa ändringar i bl a datalagen . DALK tar även upp denna i fråga i promemorian.
16.2 Faktainsamling
DALKs arbete har skett i nära samråd med datainspektionen. Inspektio- nen har därutöver efter hemställan från DALK i en promemoria till kommittén närmare belyst behovet av åtgärder på kort sikt m m och visat på olika negativa konsekvenser för inspektionen. för de registeransvariga och för de registrerade av att bibehålla datalagen oförändrad i ytterligare ett antal år. DALK har i sitt arbete dessutom haft tillgång till och utnyttjat datainspektionens diarium, som alltsedan verksamhetens början förts med hjälp av ADB.
DALK har under hand diskuterat olika effekter och erfarenheter av datalagen med företrädare för ett antal myndigheter. företag och organisa- tioner m fl i deras egenskap av registeransvariga i datalagens mening. Kommittén har också tagit särskild hänsyn till förslag och synpunkter när det gäller datalagens effekter m m. som i olika sammanhang förts fram under de är lagen hittills varit i kraft.
16.3 Översikt över datainspektionens verksamhet
Datainspektionen är en central förvaltningsmyndighet med uppgift att pröva frågor om tillstånd och utöva tillsyn enligt datalagen . kreditupplys- ningslagen och inkassolagen . Tyngdpunkten i verksamheten ligger i till- ståndsprövningen och tillsynen av personregister enligt datalagen .
Prop. 1981/82:189 70
Datainspektionen leds av en styrelse bestående av elva ledamöter. Kansliet är uppdelat på ett administrativt sekretariat och två enheter, en för tillståndsärenden och en för tillsynsärenden. Drygt ett trettiotal personer finns anställda.
Antalet inkomna ansökningar om tillstånd enligt datalagen till och med år 1980 är totalt cirka 29 000. Under samma tid har cirka 27 500 ärenden om tillstånd avgjorts. Härtill kommer cirka 1 300 diarieförda ärenden om tillsyn.
Kostnaderna för datainspektionens totala verksamhet till och med budgetårsskiftet 1979/80 i form av anslagna medel är cirka 28 miljoner kronor. Anslagna medel för budgetåret 1980/8] är cirka sex miljoner kronor. Intäkterna i form av avgifter till och med budgetårsskiftet 1979/80 är cirka 4,6 miljoner kronor.
16.4 Nuvarande undantag från tillståndskravet
För närvarande gäller som huvudregel enligt datalagen (2 5) att tillstånd av datainspektionen krävs för alla personregister. Tillståndskravet gäller dock inte personregister vars inrättande beslutats av regeringen eller riksdagen (2 & 2 st). Tillståndskravet gäller inte heller i fråga om personregister som förs med viss bestämd teknisk utrustning. om det med hänsyn till utrustningens art, till utförandet av den automatiska databehandlingen och till registrets utformning i övrigt framstår som uppenbart att otillbörligt intrång i _re- gistrerads personliga integritet inte skall uppkomma (2 5 3 st). De personregister som enligt 2 % tredje stycket datalagen är undantagna från tillståndskravet blir varken föremål för någon tillståndsprövning eller någon registrering hos datainspektionen.
16.5 Handläggningen av tillståndsärenden enligt datalagen Följande olika ärendegrupper enligt datalagen förekommer
— ansökan om principtillstånd (11) — ansökan om tillstånd (12) — ansökan om tillstånd enligt s k förenklat ansökningsförfarande (121) — anmälan av personregister vars inrättande beslutats av regeringen eller riksdagen (13) — ansökan om tillstånd att ändra eller utvidga personregister (14) — övriga tillståndsärenden (19).
Siffrorna inom parentes är beteckningen på ärendegrupperna i datainspek- tionens diarium.
Antalet ärenden om principtillstånd har varit mycket få. Totalt finns t o rn år 1980 ett femtiotal sådana ärenden diarieförda hos datainspektionen.
Regler om förfarandet vid ansökan om tillstånd finns i datakungörelscn och i särskilda föreskrifter och anvisningar till datalagen som datainspektio-
Prop. 1981/82:189 71
nen meddelat. Ansökan skall enligt 2 ådatakungörelsen innehålla uppgifter i fjorton olika hänseenden. Totalt har t o m år 1980 cirka 6 600 ärenden med fullständiga tillståndsansökningar diarieförts hos datainspektionen och cirka 6 100 avgjorts genom beslut.
Datainspektionen har. såsom förutsattes vid datalagens tillkomst. alltse- dan verksamhetens början tillämpat ett förenklat ansöknings- och tillstånds- förfarande i fråga om mindre integritetskänsliga register. Detta gäller vissa löne- och personalregister. vissa kund- och leverantörsregister. vissa hy- resregister och vissa medlemsregister. Sådana personregister underkastas inte någon individuell tillståndsprövning från fall till fall. Ansökningar om tillstånd enligt det förenklade förfarandet görs på en enkel blankett. Tillstånd meddelas i princip omgående i form av ett standardiserat beslut med olika föreskrifter m m (DIFS). Totalt har t o m är 1980 cirka 18 500 ärenden enligt det förenklade förfarandet diarieförts hos datainspektionen och cirka 18 000 avgjorts genom beslut.
Även personregister vars inrättande beslutats av regeringen eller riksda- gen skall prövas av datainspektionen. Myndighet som är registeransvarig skall därför snarast anmäla registret till inspektionen. Totalt har t o m är 1980 cirka 550 sådana anmälningar diarieförts hos datainspektionen och cirka 540 avgjorts genom beslut.
Härutöver har t o m år 1980 cirka 3 000 ansökningar om ändring eller utvidgning av personregister diarieförts hos datainspektionen och cirka 2 850 ansökningar avgjorts genom beslut.
Dessutom förekommer s k övriga tillståndsärenden. vilka t ex avser tillfälliga anslutningar av terminal till personregister och tillfälliga utlands- bearbetningar enligt 11 & datalagen m m. Totalt har t o m år 1980 cirka 270 sådana ärenden diarieförts hos datainspektionen och cirka 250 avgjorts genom beslut.
Upphör den registeransvarige att föra personregister. skall detta enligt 125 datalagen anmälas till datainspektionen. Inspektionen föreskriver då hur det skall förfaras med registret. Totalt har t o m är 1980 cirka 2 000 anmälningar om upphörande diarieförts hos datainspektionen.
Antalet ärenden som enligt diariet till och med år 1980 varit föremål för s k bevakning. t ex på grund av att tillståndsbesluten tidsbegränsats, är cirka 1600. Ungefär lika många ärenden är föremål för bevakning någon gång mellan år 1981 och 1990.
16.6 Registeransvariga och deras tillståndsansökningar
När det gäller antalet ärenden enligt förenklat förfarande svarar register- ansvariga inom den statliga sektorn för mindre än två procent. registeran- svariga inom den kommunala för cirka åtta procent och registeransvariga inom den privata för resten. cirka 90 procent. När det gäller antalet fullständiga ansökningar om tillstånd m rn svarar den statliga sektorn för
Prop. 1981/82:189 72
cirka 20 procent, den kommunala för cirka 45 procent och den privata för resten, cirka 35 procent.
Av debiterade avgifter. närmare fem miljoner kronor. avser cirka en miljon den statliga sektorn. ungefär lika mycket den kommunala och resten. cirka tre miljoner. den privata.
Väntetiderna på datainspektionens beslut har varierat. I fråga om större delen av de ärenden. vilka såväl kommit in som avgjorts åren 1975 —1980. har beslut meddelats inom två månader. I fråga om cirka 20 procent har beslut meddelats efter längre tid än tre månader.
I fråga om mer än 60 procent av antalet tillståndsansökningar har angetts att den registeransvarige anlitar utomstående datorinnehavare för bearbet- ningen av personregistren. Antalet datorinnehavare som bearbetar annans personregister är cirka 1 000.
16.7 Datainspektionens tillsynsverksamhet enligt datalagen
På grund av den stora mängden tillståndsärenden och nuvarande mycket resurskrävande prövningsförfarande har huvuddelen av datainspektionens personalresurser för verksamheten enligt datalagen hittills måst utnyttjas för tillståndsprövningen. Ett femtontal handläggare har arbetat med tillstånds- prövning och ungefär tre med tillsynsverksamhet; Antalet diarieförda tillsyns- och rådgivningsärenden enligt datalagen åren 1973 till och med 1980 är cirka. 1 300.
Tillsynsverksamheten omfattar dels utredningar m m med anledning av klagomål från allmänheten, dels inspektioner och andra åtgärder på datainspektionens eget initiativ. Förutom klagoärenden. som kräver särskild utredning, förekommer en omfattande brevväxling med allmänheten i olika frågor som rör ADB och integritetsskyddet. Det finns ett uppenbart behov av en "allmänhetens klagomur" när det gäller personregister.
Exempel på klagomål från enskilda registrerade är felaktig notering i bankkonto. otillåtna uppgifter (betyg) i personregister med tillstånd enligt 5 k förenklat förfarande. fel namn eller adress. obegripliga, ofullständiga eller uteblivna underrättelser enligt 10 & datalagen samt felregistreringar om dödsfall. Inspektioner eller andra åtgärder har medfört att förekommande fel rättats till.
16.8 Erfarenheter och effekter av datalagen
Erfarenheterna har visat att de personregister, som man redan från början trodde kunde bli föremål för enbart en summarisk tillståndsprövning, är fler än man ursprungligen räknat med. Den bedömning från fall till fall som. i brist på närmare överblick över personregistreringen. ansågs nödvändig då datalagen kom till har. efter hand som erfarenheter vunnits. av datainspek- tionen kunnat ersättas med generella normer för prövningen av allt fler
Prop. 1981/82:189 73
vanligen förekommande typer av personregister.
När det gäller de registrerade kan enligt DALKs mening sammanfattnings- vis konstateras att effekten av datalagen blivit den man strävade efter då lagen infördes. För denna slutsats talar bl a det förhållandet att antalet uppenbara fall av otillbörligt integritctsintrång varit mycket begränsat. För samma slutsats talar också det förhållandet att inga betydande krav på skärpningar av regelsystemet på senare tid rests från de registrerade eller från de organisationer och sammanslutningar som företräder dem i olika sammanhang.
Beträffande de registeransvariga kan enligt DALKs mening sammanfatt- ningsvis konstateras att datalagen under de år som gått medfört olika administrativa och ekonomiska konsekvenser men också en bättre medve- tenhet än tidigare rörande riskerna för otillbörligt intrång i personlig integritet. Dessutom kan konstateras att de registeransvariga inte fört fram några krav på betydande ändringar på kort sikt i de grundläggande skyldigheter för dem som datalagen ställer upp. Detta torde betyda att datalagens konsekvenser av de registeransvariga i stort sett anses vara godtagbara. Vissa invändningar mot det nuvarande tillståndskravet finns dock från företrädare för forskningen och direktreklamverksamheten.
Vad gäller datainspektionen har inspektionen bl a framhållit att arbetsbe- lastningen på personalen under lång tid varit oroväckande hög. Någon minskning i antalet prövningsärenden kan inte väntas. Datainspektionen anser att nuvarande ordning med tillståndsprövning av varje enskilt ärende leder till ett "stelbent" utnyttjande av tillgängliga resurser. Det finns anledning att ifrågasätta om inspektionens nuvarande och framför allt framtida utnyttjande av de knappa personalresurserna verkligen ger det maximala bidrag till integritetsskyddet som bör eftersträvas. En anpassning till den växande arbetsbördan kan enligt inspektionen bara ske genom lagändring.
För egen del anmärker DALK att en av datainspektionen. i enlighet med statsmakternas intentioner vid datalagens tillkomst, sedan flera år planerad väsentlig förskjutning av verksamheten från tillståndsprövning till tillsyns- verksamhet ännu inte kunnat ske.
DALK har inte funnit anledning ifrågasätta datainspektionens uppfattning att nuvarande tillståndsförfarande leder till ett stelbent resursutnyttjande. till ryck i arbetsplaneringen och till ett i vissa delar ineffektivt arbete. eftersom större arbetsinsatser ofta måste läggas ned än som motsvaras av per- sonregistrens känslighet från integritetssynpunkt. DALK delar också datainspektionens uppfattning att man med oförändrad lagstiftning sannolikt inte kan räkna med någon väsentlig minskning av antalet tillståndsärenden de närmaste åren. Snarare kan man av flera olika skäl förvänta sig en ytterligare ökning. Särskilt torde detta gälla ärenden om ändring/utvidgning av personregister.
Effekterna för datainspektionens del av datalagen i hittillsvarande lydelse
Prop. 1981/82:189 74
kan därför enligt DALKs mening. särskilt på grundval av de senaste årens erfarenheter. sammanfattas på följande sätt:
Antalet tillståndspliktiga personregister har visat sig vara betydligt större än man ursprungligen räknat med och kommer sannolikt utan lagändring att öka de närmaste åren. Nuvarande tillståndskrav har lett till ett stelbent och delvis ineffektivt utnyttjande av tillgängliga personalresurser och gjort planeringen av arbetet besvärlig. Tillsynsverksamheten. vilken från integri- tetssynpunkt får anses vara lika viktig som tillståndsverksamheten. har på grund av att största delen av tillgängliga personalresurser måst användas för tillståndsverksamheten. inte kunnat bedrivas i tillnärmelsevis den om- fattning som var avsikten då datalagen kom till. Ett oförändrat regelsystem innebär att de nämnda effekterna kommer att förstärkas ytterligare de närmaste åren.
16.9 Behovet av åtgärder på kort sikt
Datainspektionen anser att ytterligare en stor del av det formella tillståndskravet snarast möjligt bör upphöra. [ en förändrad datalag bör enligt inspektionen en förskjutning ske till förmån för tillsynsverksamheten. Med oförändrade personella resurser skulle inspektionen då kunna upprätt- hålla det integritetsskydd som statsmakterna avsett med nuvarande lag- stiftning.
Om den lagändring datainspektionen förordat inte vidtas blir resultatet enligt inspektionen att rutinärenden inom tillståndsverksamheten kommer att ta resurser i anspråk som begränsar möjligheten att tillfredsställande pröva personregister. vilka innebär allvarliga integritetshot. Balansen tillsynsärenden kommer att växa. Samtidigt kommer antalet initiativinspek- tioner att begränsas ytterligare. Långa väntetider kan leda till att de registeransvariga hellre åsidosätter tillståndsplikten än avvaktar datainspek- tionens prövning. För lojala registeransvariga kommer övergången till rationell och ekonomisk registrering att försenas. De registrerade riskerar att få ett sämre integritetsskydd. dels genom att register kan komma att föras utan tillstånd. dels genom att många särskilt integritetshotande personregis- ter inte kan prövas tillräckligt ingående. dels genom att klagoärenden inte kan handläggas i tid.
Enligt DALKs mening bör man undvika ofta återkommande ändringar i datalagen . särskilt med tanke på att lagen innehåller regler av mycket stor betydelse för alla enskilda medborgare och för hela den offentliga och den enskilda sektorn. Trots detta måste man emellertid beakta att datainspek- tionen, rnot bakgrund av mer än sju års erfarenheter av datalagen i dess hittills gällande lydelse. starkt förordat en väsentlig förskjutning av verksamheten från tillståndsprövning till tillsyn och betonat att DALKs överväganden om en generell personregisterlag inte kan avvaktas. Den omständigheten att det är datainspektionen som här är initiativtagare talar
Prop. 1981/82:189 75
självfallet starkt för att det redan på kort sikt finns ett behov av att förändra verksamheten.
DALK har inte funnit anledning ifrågasätta datainspektionens uppfattning att konsekvenserna utan förändring av verksamheten skulle bli ett allt sämre integritetsskydd för de registrerade, alltmer ökade kostnader och andra olägenheter för de registeransvariga och en alltmer ineffektiv och pressande arbetssituation för datainspektionen. Bl a mot denna bakgrund kan DALK ansluta sig till uppfattningen att det finns ett så starkt behov av att redan på kort sikt vidta någon form av åtgärder att en eventuell framtida generell personregisterlag inte bör avvaktas.
16.10 Alternativa åtgärder på kort sikt
Enligt datainspektionen kan ytterligare rationalisering av tillståndsförfa- randet inom ramen för gällande regelsystem endast leda till marginella vinster. DALK har ändå prövat vilka effekterna skulle bli. Detta alternativ kallas här nollalternativet. Nollalternativet blir det referensalternativ mot vilket andra alternativ får vägas.
DALKs undersökningar har visat att möjliga åtgärder inom ramen för nollalternativet är att dels låta ett par nya grupper av ärenden, nämligen vissa register för vetenskapliga undersökningar och vissa direktreklamregister. omfattas av s k förenklat ansökningsförfarande, dels systematisera och standardisera ansökningshandlingarna i de ärenden som även därefter blir föremål för tillståndsprövning från fall till fall. Såsom datainspektionen förutskickat skulle dock effekterna för inspektionen och de registeransvariga bli förhållandevis obetydliga. Även när det gäller de registrerade skulle i stort de negativa konsekvenser av att inte göra några ändringar i regelsystemet kvarstå. som datainspektionen pekat på. De registrerade skulle riskera att få ett sämre integritetsskydd, bl a genom att många särskilt integritetshotande personregister inte kan prövas tillräckligt ingående och genom att klago- ärenden inte kan handläggas i tid.
En metod att göra tillsynsverksamheten vid datainspektionen effektivare är givetvis att öka personalen. För att nå den fördelning mellan tillstånds— och tillsynsverksamhet, som var avsedd då datalagen trädde i kraft och som datainspektionen alltsedan dess strävat efter. skulle sex eller sju nya band- läggartjänster behövas. liksom förstärkt personaladministration och större lokaler. De sammanlagda kostnaderna för detta skulle översiktligt beräknat bli närmare två miljoner kronor per år i dagens penningvärde.
Trots väsentligt ökade kostnader skulle dock nuvarande stelbenta och enligt datainspektionen delvis ineffektiva tillståndsverksamhet kvarstå. Dessutom bör framhållas att en förskjutning av den nuvarande tillstånds- verksamheten till förmån för tillsynsverksamheten enligt vad datainspektio- nen uttalat skulle innebära att inspektionen med oförändrade personella resurser kan upprätthålla det integritetsskydd som statsmakterna avsett med
Prop. 1981/82:189 76
nuvarande lagstiftning. Detta talar för att det som behövs inte är mer personal utan en förändring av verksamheten.
Datainspektionen har betonat att en godtagbar tillsynsverksamhet förut- sätter en radikal förändring av den nuvarande handläggningen av tillstånds- ärenden. En åtgärd kan enligt inspektionen vara att göra ytterligare undantag från nuvarande tillståndskrav. kombinerat med någon form av anmälningsförfarande och ökad tillsyn.
DALK har närmare prövat ett alternativ vilket bygger på datalagens nuvarande konstruktion med tillståndskravet som huvudregel men med vissa undantag. för närvarande angivna i 2 & andra och tredje stycket datalagen . DALK har undersökt om det inom ramen för denna konstruktion går att utvidga undantagen och om de avgränsningsproblem som hittills ansetts utgöra hinder mot ett sådant alternativ nu kan bemästras.
De nya ärendegrupper som kan komma i fråga för undantag från tillståndskravet är dels löne- och personalregister. kund- och leverantörsre- gister. hyresregister och medlemsregister som nu_ omfattas av det förenklade förfarandet. dels vissa vetenskapliga register och direktreklamregister.
Detta innebär att man i datalagen måste föra in ytterligare ett antal regler om undantag från tillståndskravet. utöver de undantagsregler som redan finns i nuvarande 2 5 andra och tredje stycket. Det förutsätter att man i lagen på ett tillräckligt tydligt och uttömmande sätt kan avgränsa de nya un- dantagen. Sådana försök gjordes redan av OSK. Då ansågs att undantags- reglerna blev både krångliga och svårtolkade. Liknande synpunkter fram- fördes med anledning av DALKs förslag är 1978 till nya undantag från tillståndskravet. Ett anmälningsförfarande förutsätter också kompletterande och uttömmande anvisningar. Dessutom måste regler finnas för hur an— mälningarna skall hanteras av datainspektionen. Om det skall vara någon mening med ett anmälningsförfarande bör det leda till en enklare hantering hos datainspektionen än nuvarande tillståndsförfarande.
Alternativet skulle. under nyss angivna förutsättningar, medföra vissa positiva effekter för datainspektionen och de registeransvariga. Som DALK och datainspektionen antog redan år 1978 skulle effekterna dock bli marginella. Ytterligare en tydlig negativ effekt är att datalagen blir betydligt mer omfattande och därmed svårare att tolka och överblicka. Alltjämt kvarstår det alltsedan datalagens tillkomst kända problemet att genom olika undantagsregler för skilda typer av personregister på ett något så när enkelt och överskådligt sätt precisera vilka register som kräver tillstånd och vilka som bara kräver anmälan.
Med hänsyn till de begränsade effekterna skulle i stort sett samma successiva försärnringar för datainspektionen, de registeransvariga och de registrerade som vid nollalternativet bli en följd också av det nu diskuterade alternativet.
Nollalternativet och ett alternativ som innebär ytterligare undantag från det nuvarande tillståndskravet medför alltså enligt DALKs bedömning
Prop. 1981/82:189 77
betydande negativa effekter för datainspektionen. de registeransvariga och de registrerade. Effekterna är enligt DALKs mening sådana att inte något av dessa båda alternativ kan godtas.
Mot alternativet personalökningar måste invändas att det innebär betydande kostnadsökningar Och bibehållande av en tillståndsverksamhet som enligt datainspektionen dels är stelbent. dels innebär ett utnyttjande av personalresurser som inte ger ett maximalt bidrag till integritetsskyddet. Dessutom innebär personalökningar hos datainspektionen att kostnaderna och andra konsekvenser av datalagen inte alls kan hållas tillbaka. Effekten
blir i stället den motsatta. . Med hänsyn till det anförda måste man på annat sätt söka komma tillrätta
med de negativa effekter som nollalternativet innebär för de registrerade, datainspektionen och de registeransvariga. Detta förutsätter mer omfattan- de ändringar i nuvarande regelsystem.
Vid överväganden om den lämpligaste vägen att tillgodose behovet av åtgärder på kort sikt har DALK bl a tagit fasta på datainspektionens uppfattning att tillståndsverksamheten bör ändras på sådant sätt att den resurskrävande tillståndsprövningen av varje enskilt personregister kan koncentreras till fall som innebär särskild risk för otillbörligt intrång i personlig integritet. Dessa fall måste då genom lagändring avgränsas tillräckligt uttömmande i datalagen . Lagändringen måste dessutom utformas under särskilt beaktande av de olika fördelar från integritetssynpunkt, som det hittillsvarande i princip heltäckande tillståndskravet inneburit. Man bör sålunda. i vart fall inte genom åtgärder på kort sikt. avhända sig den överblick över personregistreringen. den dokumentering och offentlighet beträffande personregistreringen och den normgivning när det gäller personregistrens närmare utformning. som det hittillsvarande tillståndkravet inneburit. Om tillståndskravet genom åtgärder på kort sikt begränsas måste därför de nämnda effekterna tills vidare bibehållas på annat sätt.
Avgränsningssvårigheterna kan bemästras genom att i lagen definiera och avgränsa vilka personregister som bör vara föremål för tillståndsprövning i stället för att, såsom hittills, försöka definiera och avgränsa vilka personre- gister som bör vara undantagna från tillståndskravet. Ledning för en sådan ny definition kan bl a hämtas från nuvarande tillståndsbestämmelseri 3. 3 a och 4 åå datalagen. Dessa bestämmelser anger vilka faktorer som är av särskild betydelse vid prövningen av risken för otillbörligt intrång i personlig inte- gritet.
Ett tillståndskrav formulerat enligt denna nya modell skulle medföra att den resurskrävande tillståndsprövningen kan koncentreras till fall då detta verkligen behövs och därmed märkbart minska resursbehovet för tillstånds- prövningen. Detta kan kombineras med vissa ytterligare nya lagregler som medför bibehållen överblick över och offentlighet beträffande personregi- streringen samt tillräcklig dokumentation och tillräcklig styrning även när det gäller personregister som kommer att falla utanför det nya tillståndskravet.
Prop. 1981/82:189 78
En ny licens- och registreringsplikt samt vissa nya och generella lagregler för personregistrens utformning, riktade direkt mot alla registeransvariga, skulle tillgodose kraven i dessa hänseenden.
Det nu skisserade alternativet, som här kallas licens- och tillståndsförfa- randet. tillgodoser utan personalökningar behovet av åtgärder på kort sikt och innebär ett jämfört med nollalternativet bättre integritetsskydd. Det skisserade alternativet ligger också i linje med diskussionerna om tänkbar konstruktion av en generell personregisterlag i DALKs delbetänkande år 1978 och i tilläggsdirektiven om en generell personregisterlag. Det bör därför inte innebära några oönskade bindningar med hänsyn till DALKs fortsatta arbete i den delen.
DALK förordar att åtgärder på kort sikt genomförs i form av det här översiktligt beskrivna nya licens- och tillståndsförfarandet.
16.11 Närmare innebörd av DALKs förslag
Det nya licens- och tillståndsförfarandet innebär jämfört med nu gällande datalag följande principiella ändringar:
]) Ett registrerings- och licensförfarande införs för alla registeransvariga med undantag endast för enskilda registeransvariga som inrättar person- register uteslutande för personligt bruk. 2) Tillståndskravet behålls för sådana typer av personregister som generellt sett innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet. 3) De registeransvariga åläggs, med det undantag som sagts under 1, dels att i kontakterna med de registrerade ange att man har licens att föra personregister, dels att ge in en förteckning över registren till datainspek- tionen.
4) De registeransvarigas nuvarande skyldigheter enligt datalagen komplet- teras med vissa generella normer för personregisters utformning; normer som bygger på 3 &, 3 aå och 4å datalagen.
Licensen berättigar den registeransvarige att föra personregister, som inte omfattas av den nya tillståndsplikten. Om den registeransvarige dessutom vill inrätta och föra tillståndspliktigt personregister skall han eller hon, vid sidan av licensen, också ha tillstånd i vanlig ordning.
Det nya licensförfarandet innebär vidare att datainspektionen, då licens utfärdas för den registeransvarige. skall tilldela denne ett licensnummer. [ samband därmed bör den registeransvarige, på motsvarande sätt som hittills, också få skriftliga råd och anvisningar från datainspektionen om innebörden av datalagen . Licensnumret skall alltid anges på meddelanden. registerbe- sked och andra 5 k utdata, som sänds till de registrerade från personregister. Därigenom underlättas kontakten mellan datainspektionen. de registeran- svariga och de registrerade. Därigenom får de registrerade också bekräftelse
Prop. 1981/82:189 79
på att den registeransvarige har licens och står under datainspektionens tillsyn.
De registeransvariga skall dessutom till datainspektionen ge in en förteckning över de personregister, som han eller hon för och som inte kräver särskilt tillstånd. Det medför bl a att man bibehåller den överblick och offentlighet beträffande personregistreringen som det nuvarande s k förenklade förfarandet innebär.
Det bör betonas att det inte är meningen att licensansökningen eller förteckningen över personregister formellt eller materiellt skall bli föremål för någon närmare prövning av datainspektionen. Med de syften som ligger bakom licens— och förteckningsskyldigheten bör den registeransvariges uppgifter kunna godtas utan någon närmare granskning. Kontrollen bör i stället i huvudsak ske genom stickprov i samband med tillsynsverksamheten eller eljest när särskilda omständigheter föranleder närmare granskning.
Enskild registeransvarig. som för personregister uteslutande för personligt bruk, bör undantas från den nya licens- och förteckningsskyldigheten. För tydlighetens skull bör nämnas att sådana registeransvariga. på motsvarande sätt som hittills. skall vara underkastade reglerna om den registeransvariges skyldigheter och om datainspektionens tillsyn m m även i fortsättningen.
Det nya tillståndskravet innebär att man i datalagen definierar och avgränsar vilka typer av personregister som bör vara föremål för särskild tillståndsprövning. i stället för att definiera och avgränsa vilka personregister som bör vara undantagna från tillståndskravet.
Detta leder till att personregister. vilka kännetecknas av en eller flera av följande särskilt integritetskänsliga faktorer, från fall till fall bör vara föremål för tillståndsprövning också i fortsättningen:
a) personregister innehållande särskilt integritetskänsliga uppgifter enligt 4 5 datalagen eller uppgifter som har karaktären av s k mjukdata.
b) personregister omfattande personer som saknar en naturlig anknytning till den registeransvarige i egenskap av anställda, kunder, medlemmar. hyresgäster eller annan därmed jämförlig anknytning.
c) personregister innehållande uppgifter eller personkategorier som inte stämmer överens med registerändamålct eller uppgifter som eljest kan vara olämpliga emedan de samlats in för annat ändamål.
Det nuvarande tillståndskravet i 2 % datalagen bör alltså ändrasi enlighet med detta.
Vissa undantag måste dock göras om inte det nya tillståndskravet skall leda till en omotiverad skärpning jämfört med nuläget. Det gäller register vars inrättande beslutats av regeringen eller riksdagen, register som förs av enskild uteslutande för personligt bruk. register innehållande uppgift om någons politiska eller religiösa uppfattning och som sammanslutning avser att föra beträffande sina egna medlemmar samt vissa register som förs av myndigheter m fl rörande sjuk- och hälsovården och socialomsorgen. De nu
Prop. 1981/822189 80
nämnda undantagen bör samlas i en ny paragrafi datalagen .
Om tillståndsplikten begränsas upphör i viss mån den styrning av personregistrens närmare utformning som nuvarande tillståndsbeslut inne- bär. En liknande styrning behövs dock även i fortsättningen. Det bör ske genom att man i datalagen i form av nya generella regler, riktade direkt mot de. registeransvariga, för in de viktigaste av de styrande effekter som nu åstadkoms genom tillståndsbesluten. Tyngdpunkten i de nya reglerna bör vara att alla registeransvariga är skyldiga att beakta. att inrättande och förande av personregister alltid skall ske för visst bestämt ändamål under tillbörligt hänsynstagande till registrerads personliga integritet.
Vad nu sagts innebär att det behövs en ny bestämmelse i datalagen om den registeransvariges skyldigheter. Datainspektionen bör utöva tillsyn över att även den nya bestämmelsen efterlevs. Det blir alltså datainspektionen som genom tillsyn i det enskilda fallet får avgöra om den registeransvarige brutit mot den nya bestämmelsen och'ingripa med särskilda åtgärder enligt 185 datalagen om det behövs.
Hittills har cirka 2 000 anmälningar om upphörande av personregister enligt 12 & datalagen getts in till datainspektionen. Datainspektionen meddelar nu enligt 125 särskilda beslut om hur det skall förfaras med registren. Motsvarande föreskrifter bör i form av generella regler tas in i datalagen och göras tillämpliga på alla personregister. Då behövs i fortsättningen inte några individuella beslut av datainspektionen rörande detta.
Vilka effekterna blir av DALKs förslag. mätt i antalet ärenden som i fortsättningen kan antas komma in till datainspektionen. beror bl a på hur användningen av ADB utvecklas de närmaste åren. DALKs förslag torde dock med säkerhet leda till betydligt färre antal ärenden än enligt nollalterna- tivet.
Förslaget innebär administrativa förenklingar även för de registeransvari- ga. Väntetiderna på beslut minskas avsevärt. Å andra sidan får de registeransvariga räkna med ökad tillsynsverksamhet, vilket är ett av syftena med DALKs förslag. Totalt sett är det därför svårt att bedöma effekterna för de registeransvariga. Det är dock rimligt att anta att olika lättnader uppstår för flertalet registeransvariga. Framför allt undviker man den alltmer ökade administration och byråkrati som år från år skulle följa av att inte nu göra några ändringar i datalagen.
Särskilt vid bedömningen av om integritetsskyddet genom DALKs förslag blir bättre. sämre eller oförändrat för de registrerade måste man utgå från effekterna av nollalternativet. Utan lagändringar blir alltså, som datainspek- tionen redovisat närmare. integritetsskyddet allt sämre. DALKs förslag innebär att man reducerar den för datainspektionen resurskrävande in- dividuella tillståndsprövningen till fall. då en sådan prövning kan antas ha störst betydelse för integritetsskyddet. Man utnyttjar de resurser som frigörs för effektivare tillståndsprövning från fall till fall. då sådan prövning verk-
Prop. 1981/82:189 81
ligen är motiverad samt för effektivare tillsyn, information och rådgivning — både till de registeransvariga och till de registrerade. Man får då. utan personalökningar, den fördelning i stort mellan tillstånds- och tillsynsverk- samhet, som redan när datalagen kom till ansågs vara lämplig. Allt detta medför. särskilti kombination med övriga åtgärder enligt DALKs förslag, ett bättre integritetsskydd än nollalternativet.
I samband med genomförandet av DALKs förslag krävs informa- tionsinsatser från datainspektionens sida; riktade såväl till registeransvariga som till registrerade. Det ärinte uteslutet att särskilda medel behöver anslås för detta.
16.12 Datainspektionens skrivelse till regeringen den 20 november 1980
Datainspektionen har i en särskild skrivelse till regeringen den 20 november 1980 diskuterat vissa ytterligare ändringar i datalagen. Dessa gäller dels tillämpningen av lagen på personregister som överlämnats till arkivmyndighet för förvaring, dels rätten för datainspektionen att undanta personregister från tillståndskravet, dels möjligheterna för inspektionen att underlåta att i vissa tillståndsärenden meddela föreskrift om registerinnehål- let enligt 5 Ö datalagen.
DALK har tagit upp också de tre nyss nämnda frågorna 'i denna promemoria. Datainspektionen har väckt frågorna mot bakgrund av datalagen i dess hittills gällande lydelse. DALKs förslag till nytt licens- och tillståndsförfarande m m medför dock att behovet av åtgärder minskar eller helt bortfaller.
DALK delar datainspektionens uppfattning att personregister som mottagits av arkivmyndighet för förvaring knappast. sålänge de förvaras hos arkivmyndigheten enbart för arkivändamål, kan antas innebära risk för otillbörligt intrång i personlig integritet. Sådana personregister behöver därför, oavsett registerinnehållet, inte vara underkastade det nya till- ståndskrav eller den förteckningsskyldighet DALK har föreslagit. Det räcker med den nya registrerings- och licensplikten. Man löser då, utan att integritetsskyddet försämras. flera praktiska problem som datainspektionen pekat på, samtidigt som datalagen på den nu angivna punkten blir klarare än hittills.
De åtgärder på kort sikt som DALK föreslagit innebär bl a att tillståndskravet begränsas till personregister som kan antas vara av särskilt intresse från integritetssynpunkt och att nuvarande 25 tredje stycket datalagen kan upphöra att gälla. Därmed tillgodoses i allt väsentligt datainspektionens önskemål på den punkt som gäller rätt för inspektionen att undanta personregister från tillståndskravet.
Vad slutligen gäller nuvarande 55 datalagen motsätter sig DALK inte datainspektionens förslag att regeln bör mjukas upp om det kan ske utan att integritetsskyddet försämras. DALK anser att det nuvarande obligatoriska
Prop. 1981/82:189 82
kravet i 5 5 datalagen på föreskrift om registerinnehållet i stället kan göras fakultativt och flyttas över till 6ä datalagen. Bestämmelsen blir då mer flexibel utan att integritetsskyddet. med de förutsättningari övrigt som gäller för tillämpningen av 6 &. försämras.
16.13 Internationella överenskommelser m m
Europarådet har numera antagit en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter.
DALK har i denna promemoria förordat att riksdagen godkänner konventionen och bl a tagit upp behovet av ändringar i datalagen vid ett sådant godkännande.
Det är enligt DALKs mening av stort värde att arbetet med internationella överenskommelser angående dataflödet över gränserna nu lett fram till överenskommelser i form av Europarådets konvention. Även OECD har lagt fast liknande riktlinjer som redan antagits från svensk sida men som inte föranleder några ändringar i svensk lagstiftning. Särskilt betydelsefullt är att Europarådets konvention följer samma mönster som datalagen . Huvudprin— ciperna i datalagen återfinns i konventionen, vilket underlättar ett godta- gande från svensk sida.
Konventionens syfte är att stärka dataskyddet, dvs att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Konventionens centrala del är kapitel 11 (artiklarna 4 — 11), i vilket de grundläggande principerna för dataskydd tagits in. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla denna s k gemensamma kärna. Detta skall göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.
Enligt konventionen får vissa särskilda slags uppgifter inte undergå automatisk databehandling, såvida inte nationell lag ger ett ändamålsenligt skydd. Konventionens uppräkning av vilka dessa uppgifter är stämmer i huvudsak överens med uppräkningen i 45 datalagen . Vissa uppgifter som anges i konventionen saknas dock i 45 datalagen . Detta gäller person- uppgifter som avslöjar ras. annan övertygelse än religiös tro samt person- uppgifter som rör sexualliv. 45 datalagen bör därför kompletteras med sådana personuppgifter.
Härutöver behövs sådan ändring av 11 & datalagen och 7 kap 16 % sekretesslagen att datainspektionens medgivande inte behövs för utlämnan- de av personuppgift till länder som anslutit sig till konventionen. Konven- tionens bestämmelser om ömsesidigt bistånd slutligen kräver att en eller flera myndigheter utses att lämna sådant bistånd. Det naturliga för svenskt vidkommande är att datainspektionen anförtros dessa uppgifter. Detta bör då framgå av instruktionen för inspektionen.
Prop. 1981/82:189 83
Enligt konventionen skall tillbörligt sekretesskydd finnas i fråga om upplysningar i biståndsärenden. Regeln i 9 kap oå sekretesslagen om sekretess hos datainspektionen bör därför kompletteras i detta avseende.
I övrigt kräver konventionen enligt DALKs mening inga svenska lagstiftningsåtgärder inför ett godtagande.
16.14 Specialmotivering
l specialmotiveringen tar DALK bl a närmare upp innebörden av de faktorer. som enligt kommitténs förslag bör föranleda särskilt tillstånd. DALK tar också upp den närmare innebörden av det undantag från såväl licens- som tillståndsplikten som bör gälla i fråga om enskild registeransvarig, vilken inrättar personregister uteslutande för personligt bruk.
16.15 Bestämmelser om ikraftträdande
De förslag till åtgärder på kort sikt som DALK lagt fram i denna promemoria innebär ändringar i datalagen på ett antal punkter. Ikraftträ- dandet av de nya bestämmelserna måste ordnas på sådant sätt att redan avgjorda ärenden påverkas i minsta möjliga mån. I annat fall finns risk för att de positiva effekterna av åtgärder på kort sikt delvis går förlorade. De nya bestämmelserna bör därför i princip göras tillämpliga i fråga om personre- gister som inrättas efter ikraftträdandet. DALK föreslår att de nya bestämmelserna, med vissa undantag bl a för redan tillståndsprövade personregister, träder i kraft den 1 juli 1982. Föreslagna ändringar i sekre- tesslagen och i instruktionen för datainspektionen bör också träda i kraft då.
Prop. 1981/82:189 84
Kommitténs lagförslag
1 Förslag till
Lag om ändring i datalagen (1973z289) utfärdad den
Enligt riksdagens beslut föreskrivs att 2, 4, 5, 6, 11, 12, 18, 20, 22 och 24 55 skall ha nedan angiven lydelse samt att i lagen skall in— föras tre nya paragrafer, 2 a 5, 7 a 5 och 7 b 5 av nedan angiven ly— delse. Till följd härav kommer lagen att ha följande lydelse från och med den dag då denna lag träder i kraft.
Nuvarande lydelse
Inledande bestämmelser
15
I denna lag avses med
Föreslagen lydelse
register, förteckning eller andra anteckningar som föres med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den
enskild person beträffande vilken förekommer person—
personuppgift: upplysning som avser enskild person, personregister:
som avses med uppgiften, registrerad:
uppgift i personregister, registeransvarig:
den för vars verksamhet personregister föres, om han
förfogar över registret.
Tillstånd m m
&
Personregister får icke inrättas eller föras utan tillstånd av da— tainspektionen. Med inrättande av personregister förstås även insam— ling av uppgifter som skall ingå i registret.
Första stycket gäller icke i fråga om personregister vars inrättande beslutas av regeringen eller riks— dagen. Före sådant beslut skall dock yttrande inhämtas från data—
inspektionen.
Licens och tillstånd m m
Lå Den som blivit registrerad hos
datainspektionen och erhållit be— vis om detta (licens) får inrätta eller föra personregister enligt bestämmelserna i denna lag.
Utöver licens krävs särskilt till— stånd av datainspektionen till inrättande och förande av sådant personregister som skall innehålla
1. uppgift som anges i 4 5 2. uppgift som anges i 6 5 andra
"stycket
Prop. 1981/82:189
Nuvarande lydelse
Första stycket gäller icke heller i fråga om personregister som förs med viSS bestämd teknisk utrust— ning, om det med hänsyn till ut— rustningens art, till utförandet av den automatiska databehand— lingen och till registrets utform— ning i övrigt framstår som uppen— bart att otillbörligt intrång i registrerads personliga integritet icke skall uppkomma.
Närmare föreskrifter rörande till— lämpningen av tredje stycket med— delas av regeringen eller av den myndighet som regeringen bestäm—
mer .
85
Föreslagen lydelse
3. uppgift om någon som saknar så— dan naturlig anknytning till den registeransvarige som utmärks av medlemskap, anställning, kundför— hållande eller därmed jämförligt förhållande till denne
4. uppgift som, utan stöd i lag, annan författning, myndighets be— slut som meddelats med stöd av för— fattning eller utan den registrera- des medgivande, inhämtas från annan än denne eller som inhämtats för annat än registrets ändamål.
Första och andra stycket gäller icke personregister som inrättas
eller förs av enskild uteslutande för personligt bruk.
Med inrättande av personregister förstås även insamling av uppgifter som skall ingå i registret.
2 a 5
Tillstånd enligt 2 5 krävs ej i fråga om personregister vars inrät— tande beslutats av regeringen eller riksdagen. Före sådant beslut skall dock yttrande inhämtas från datain— spektionen.
Tillstånd enligt 2 5 krävs icke heller i fråga om personregister som mottagits för förvaring av arkivmyndighet som anges i allmänna arkivstadgan (1961:590).
Sammanslutning får utan tillstånd enligt 2 S 1. beträffande sina egna medlemmar inrätta och föra person— register som innehåller uppgift om dessas politiska uppfattning, reli— giösa tro eller övertygelse i övrigt.
Tillstånd enligt 2 S 1. krävs icke heller i fråga om personregister som på grund av myndighets verksam— het enligt lag eller förordning
Prop. 1981/82:189
Nuvarande lydelse
35
86
Föreslagen lydelse
eller på grund av verksamhet enligt behörighet att utöva läkaryrket eller tandläkaryrket innehåller uppgift om någons sjukdom eller hälsotillstånd eller uppgift att någon erhållit ekonomisk hjälp en— ligt 6 5 socialtjänstlagen (1980z620) eller vård inom social— tjänsten.
Datainspektionen skall meddela tillstånd till inrättande och förande av personregister, om det saknas anledning antaga att, med iakttagande av de föreskrifter som meddelas enligt 5 och 6 SS, otillbörligt intrång i registrerads personliga integritet skall uppkomma.
Vid bedömandet av om otillbörligt intrång kan uppkomma skall särskilt beaktas arten och mängden av de personuppgifter som skall ingå i re— gistret, hur och från vem uppgifterna skall inhämtas samt den inställ- ning till registret som föreligger eller kan antagas föreligga hos dem som kan komma att registreras. Vidare skall särskilt beaktas att inte andra uppgifter eller andra personer registreras än som står i överens— stämmelse med ändamålet med registret.
3 a 5
Tillstånd att inrätta och föra personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller per— soner som har annan därmed jämställd anknytning till denne får meddelas endast om särskilda skäl föreligger.
4_5*)
Tillstånd att inrätta och föra personregister som innehåller upp— gift om att någon misstänkes eller dömts för brott eller avtjänat straff eller undergått annan på— följd för brott eller varit före— mål för tvångsingripande enligt lagen (l980:621) med särskilda be— stämmelser om vård av unga, lagen (1966:293) om beredande av sluten psykiatrisk vård i vissa fall, lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstör— da eller utlänningslagen
4 5
Tillstånd att inrätta och föra personregister som innehåller upp— gift om att någon misstänkes eller dömts för brott eller avtjänat straff eller undergått annan på— följd för brott eller varit föremål för tvångsingripande enligt lagen (l980:62l) med särskilda bestäm— melser om vård av unga, lagen (1966:293) om beredande av sluten psykiatrisk vård i vissa fall, lagen (1967:940) angående omsorger om vissa psykiskt utecklingsstörda eller utlänningslagen (1954zl93)
*) i dess lydelse enligt SFS 1981:36, som träder i kraft den 1 januari
1982
Prop. 1981/82:189
Nuvarande lydelse
(l954:193) får endast om synner— liga skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana upp— gifter.
Tillstånd att inrätta och föra personregister som i övrigt inne— håller uppgift om någons sjukdom eller hälsotillstånd eller uppgift att någon erhållit ekonomisk hjälp enligt 6 S socialtjänstlagen (1980:620) eller vård inom social— tjänsten eller varit föremål för åtgärd enligt utlänningslagen får endast om särskilda skäl förelig— ger meddelas annan än myndighet som enligt lag eller annan för— fattning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra personregister som innehåller uppgift om någons politiska eller religiösa uppfattning får meddelas endast om särskilda skäl förelig— ger. Vad som sagts nu gäller dock ej personregister som sammanslut- ning avser att föra beträffande sina egna medlemmar.
E_5
I samband med att tillstånd läm— nas till inrättande och förande av personregister, skall data— inspektionen meddela föreskrift om dels ändamålet med registret, dels vilka personuppgifter som får ingå i detta. Föreligger särskilda skäl, får tillståndet begränsas till viss tid.
6 5
Lämnas tillstånd till inrättande och förande av personregister, skall datainspektionen, i den mån det behövs för att förebygga risk
87
Föreslagen lydelse
får endast om synnerliga skäl före— ligger meddelas annan än myndighet som enligt lag eller annan författ- ning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra per— sonregister som i övrigt innehåller uppgift om någons sjukdom, hälso— tillstånd eller sexualliv eller uppgift att någon erhållit ekono— misk hjälp enligt 6 5 socialtjänst— lagen (1980:620) eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får endast om särskilda skäl före— ligger meddelas annan än myndighet som enligt lag eller annan författ— ning har att föra förteckning över sådana uppgifter.
Tillstånd att inrätta och föra per— sonregister som innehåller uppgift om någons ras olitiska u fatt— ning, religiösa tro eller över— tygelse i övrigt får meddelas en— dast om särskilda skäl föreligger.
55 I samband med att tillstånd lämnas
till inrättande och förande av per— sonregister, skall datainspektionen meddela föreskrift om ändamålet med re istret. Föreligger särskilda skäl, far tillståndet begränsas till viss tid.
65
Lämnas tillstånd till inrättande och förande av personregister, skall datainspektionen, i den mån det behövs för att förebygga risk
Prop. 1981/82:189
Nuvarande lydelse
för otillbörligt intrång 1 per— sonlig integritet, meddela före— skrift om
1. inhämtande av uppgifter för personregistret,
2. utförandet av den automatiska databehandlingen,
3. den tekniska utrustningen,
4. de bearbetningar av person— uppgifterna i registret som får göras med automatisk databehand— ling,
5. underrättelse till berörda personer,
6. de personuppgifter som får göras tillgängliga,
7. utlämnande och annan använd— ning av personuppgift,
8. bevarande och gallring av personuppgifter,
9. kontroll och säkerhet.
88
Föreslagen lydelse
för otillbörligt intrång i person— lig integritet, meddela föreskrift om
1. inhämtande av uppgifter för personregistret,
2. vilka ersonu ifter som får inga i personregistret.
3. utförandet av den automatiska databehandlingen,
4. den tekniska utrustningen,
5. de bearbetningar av personupp— gifterna i registret som får göras med automatisk databehandling,
6. underrättelse till berörda personer,
7. de personuppgifter som får göras tillgängliga,
8. utlämnande och annan användning av personuppgift,
9. bevarande och gallring av per— sonuppgifter, 10. kontroll och säkerhet.
Vid bedömandet av om föreskrift behövs skall särskilt beaktas huruvida registret innehåller personuppgift som utgör omdöme eller annan värde— rande upplysning om den registrerade.
Föreskrift rörande utlämnande av personuppgift får icke inskränka myn— dighets skyldigheter enligt tryckfrihetsförordningen .
75
Bestämmelserna i 5 och 6 55 om skyldighet för datainspektionen att med— dela föreskrift gäller även i fråga om personregister som avses i 2 a 5 första stycket, i den mån icke regeringen eller riksdagen har meddelat föreskrift i samma hänseende.
Den registeransvariges skyldigheter 7 a 5
Den registeransvarige skall iaktta— ga att inrättande eller förande av personregister sker för visst be— stämt ändamål under tillbörligt hänsynstagande till registrerads personliga integritet. Särskilt skall, i den mån tillstånd av datainspektionen icke föranleder annat, iakttagas att icke andra
Prop. 1981/82:189
Nuvarande lydelse
89
Föreslagen lydelse
personuppgifter eller andra perso- ner registreras än som står i öve— rensstämmelse med registrets ända— mål samt att inhämtande och utläm— nande eller annan användning av personuppgift endast sker i öve— rensstämmelse med detta ändamål, lag eller annan författning, myn— dighets beslut som meddelats med stöd av författning eller den re—
gistrerades medgivande.
7 b 5
Den registeransvarige skall till datainspektionen ge in en förteck— ning över de personregister som förs av honom och för vilka till— stånd enligt 2 5 icke krävs. För— teckningen skall innehålla uppgift om benämningen på och ändamålet med förekommande personregister, lokal där den automatiska databehand— lingen i huvudsak utförs, numret på datainspektionens licens för den registeransvarige samt uppgift hu— ruvida den registeransvarige även för personregister för vilket till- stånd krävs enligt 2 5.
Den registeransvarige skall, om uppgift i förteckningen ändras, en gång varje år ge in en ny förteck— ning, som.innehåller då aktuella uppgifter.
Licensnumret skall framgå av hand— ling som sänds av den registeran— svarige till registrerad och som innehåller personuppgift om denne från personregister.
Första, andra och tredje stycket gäller icke personregister som förs av enskild uteslutande för person- ligt bruk eller som mottagits för förvaring av arkivmyndighet som anges i allmänna arkivstadgan.
Prop. 1981/82:189 90
Nuvarande lydelse Föreslagen lydelse 85
Förekommer anledning till misstanke att personuppgift som ingår 1 per— sonregister är oriktig, skall den registeransvarige utan dröjsmål vid— taga skäliga åtgärder för att utröna uppgiftens riktighet och, om skäl föreligger, rätta den eller utesluta den ur registret.
Har uppgift, som rättas eller uteslutes, lämnats ut till annan än den registrerade, skall den registeransvarige på begäran av den registrera— de underrätta mottagaren om rättelsen eller uteslutningen. Föreligger särskilda skäl, får dock datainspektionen befria den registeransvarige från sådan underrättelseskyldighet.
95
Om personregister innehåller personuppgift som med hänsyn till regist— rets ändamål måste anses ofullständig eller om det i personregister som utgör förteckning över personer saknas någon som med hänsyn till re— gistrets ändamål måste förväntas ingå däri, bör den registeransvarige vidtaga den komplettering som behövs. Sådan komplettering skall alltid göras, om ofullständigheten kan antagas medföra otillbörligt intrång i personlig integritet eller fara för rättsförlust.
10 5
Den registeransvarige skall på begäran av enskild så snart det kan ske underrätta denne antingen om innehållet i personuppgift som ingår i personregistret och innefattar upplysning om honom eller om att sådan uppgift ej förekommer i registret. Sådan begäran skall framställas skriftligen och vara egenhändigt undertecknad av den enskilde. Har un— derrättelse lämnats, behöver ny underrättelse icke lämnas till samme enskilde förrän tolv månader därefter.
Underrättelse enligt första stycket skall lämnas utan kostnad för den enskilde. Föreligger särskilda skäl, får dock datainspektionen i fråga om visst slag av personuppgifter eller 1 fråga om underrättelse om att personuppgift om enskild ej förekommer i registret medge att avgift tages ut.
Första stycket gäller icke uppgift som enligt lag eller annan författ— ning eller enligt myndighets beslut som meddelats med stöd av författ— ning ej får lämnas ut till den registrerade.
Första stycket gäller icke heller, om det i fråga om visst slag av per- sonuppgifter är uppenbart att underrättelse kan underlåtas på grund av att det inte föreligger någon risk för otillbörligt intrång i registre— rads personliga integritet. Underrättelse får dock underlåtas endast efter medgivande från datainspektionen.
Prop. 1981/82:189
Nuvarande lydelse 11 5
Personuppgift som ingår i person— register får ej lämnas ut, om det finns anledning antaga att uppgif— ten skall användas för automatisk databehandling i strid med denna lag. Finns det anledning antaga att personuppgift skall användas för automatisk databehandling i utlandet, får uppgiften lämnas ut endast efter medgivande av datain— spektionen. Sådant medgivande får lämnas endast om det kan antagas att utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig integritet.
91
Föreslagen lydelse 11 S
Personuppgift som ingår i person— register får ej lämnas ut, om det finns anledning antaga att uppgif— ten skall användas för automatisk databehandling i strid med denna lag. Finns det anledning antaga att personuppgift skall användas för automatisk databehandling i utlan— det, får uppgiften lämnas ut endast efter medgivande av datainspektio— nen. Sådant medgivande får lämnas endast om det kan antagas att ut— lämnandet av uppgiften icke kommer att medföra otillbörligt intrång i
personlig integritet. Medgivande som nu sa ts behövs dock icke om personuppgift skall anvandas for automatisk databehandling enbart i stat som anslutit si till Euro 3—
radets konvention om skydd för en— skilda vid automatisk databehand—
ling av personuppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i
sekretesslagen ( 1980:100 ).
12 5
Upphör registeransvarig att föra personregister, skall han anmäla detta till datainspektionen. In— spektionen föreskriver i sådant fall hur det skall förfaras med registret.
Första stycket gäller icke i fråga
om personregister som avses i 2 5 tredje stycket.
'125
Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregister då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall beva— ras på grund av bestämmelse i lag eller annan författning eller en— ligt myndighets beslut som medde— lats med stöd av författning. Det— samma gäller då den registeransva— rige upphör att föra personregist— ret.
Upphör registeransvarig att föra personregister för vilket datain— spektionen meddelat tillstånd eller som avses i 2 a 5 första stycket skall detta anmälas till datain— Spektionen.
Prop. 1981/82:189 92
Nuvarande lydelse . Föreslagen lydelse 135
Registeransvarig eller annan som tagit befattning med personregister eller med uppgifter som samlats in för att ingå i sådant register får inte obehörigen röja vad han till följd därav fått veta om enskilds personliga förhållanden. I det allmännas verksamhet tillämpas i stället för vad som nu har sagts bestämmelserna i sekretesslagen (1980:100).
Har personuppgift i enlighet med föreskrift, meddelad enligt 6 eller 18 5, lämnats ut på villkor som inskränker enskild mottagares rätt att vidarebefordra uppgiften, får mottagaren eller den som i hans verksam— het tagit befattning med uppgiften inte obehörigen röja vad han däri— genom fått veta om enskilds personliga förhållanden.
145
Om myndighet för handläggning av mål eller ärende använder sig av upp— tagning för automatisk databehandling, skall upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om ej särskilda skäl föranleder annat.
Tillsyn m m 155
Datainspektionen utövar tillsyn över att automatisk databehandling icke medför otillbörligt intrång i personlig integritet.
Tillsynen skall utövas så, att den icke vållar större kostnad eller olägenhet än som är nödvändig.
165
Datainspektionen har rätt att för tillsynen erhålla tillträde till lokal där automatisk databehandling utföres eller där datamaskin eller utrustning eller upptagning för automatisk datbehandling förvaras. In— spektionen har vidare rätt att få tillgång till handling som rör auto— matisk databehandling samt föranstalta om körning av datamaskin.
175
Den registeransvarige skall lämna datainspektionen de uppgifter rörande den automatiska databehandlingen som inspektionen begär för sin till— syn. Vad som sagts nu gäller även den som för registeransvarigs räkning handhar personregister.
185 ' 185
Har förandet av personregister Har förandet av personregister lett lett till otillbörligt intrång i till otillbörligt intrång i person-
Prop. 1981/82:189
Nuvarande lydelse
personlig integritet eller finns anledning antaga att sådant in- trång skall uppkomma, får datain— spektionen i mån av behov ändra föreskrift som tidigare meddelats eller meddela ny föreskrift i så— dant avseende som anges i 5 eller 6 5. I fråga om register som avses i 2 5 andra stycket får datain— spektionen vidtaga åtgärd som nu
Föreslagen lydelse
lig integritet eller finns anled— ning antaga att sådant intrång skall uppkomma, får datainspektio— nen i mån av behov ändra föreskrift som tidigare meddelats eller medde— la ny föreskrift i sådant avseende som anges i 5 eller 6 5. I fråga om register som avses i 2 a 5 första st cket får datainspektionen vidta- ga atgärd som nu nämnts endast i
nämnts endast i den mån den ej står den mån den ej står i strid med be— i strid med beslut av regeringen eller riksdagen.
Kan skydd mot otillbörligt intrång i personlig integritet ej åstad— kommas på annat sätt, får datain— spektionen återkalla meddelat tillstånd.
Har förandet av personregister som avses i 2 S tredje stycket lett till otillbörligt intrång 1 per- sonlig integritet eller finns an— ledning antaga att sådant intrång skall uppkomma, får datainspektio— nen förbjuda fortsatt förande av registret.
195
(Upphävd genom SFS 1980:216.) Straff och skadestånd m m
20 5
Till böter eller fängelse i högst ett år dömes den som uppsåtligen eller av oaktsamhet
1. inrättar eller för personregis— ter utan tillstånd enligt denna lag, när sådant erfordras,
2. bryter mot föreskrift eller förbud som meddelats-enligt 5, 6 eller 18 5,
3. lämnar ut personuppgift i strid mot 11 S,
slut av regeringen eller riksda— gen.
Kan skydd mot otillbörligt intrång i personlig integritet ej åstadkom— mas på annat sätt, får datainspek— tionen förbjuda fortsatt förande av personregister. Vad nu sagts gäller
dock icke ersonre ister som avses i 2 a 5 första stycket.
20 5
Till böter eller fängelse i högst ett år dömes den som uppsåtligen eller av oaktsamhet
1. inrättar eller för personregis— ter utan licens eller tillstånd enligt denna lag, när detta erford— ras, 2T_bryter mot föreskrift eller för— bud som meddelats enligt 5, 6 eller 18 5,
3. lämnar ut personuppgift i strid mot 11 5,
Prop. 1981/82:189
Nuvarande lydelse
4. bryter mot 12 S,
5. lämnar osann uppgift vid fullgö— rande av skyldighet att lämna un— derrättelse enligt 10 5, eller
6. lämnar osann uppgift i fall som avses i 17 5.
21 S
94
Föreslagen lydelse
4. bryter mot 12 5,
5. lämnar osann uppgift vid full— görande av skyldighetvatt lämna underrättelse enligt 10 5, eller 6. lämnar osann uppgift i fall som avses i 17 5.
Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning dömes för dataintrång till böter eller fängelse i högst två år, om ej gärningen är belagd med straff i brottsbalken .
För försök eller förberedelse till brott som avses i första stycket dömes till ansvar enligt 23 kap brottsbalken. Skulle brottet, om det hade fullbordats, ha varit att anse ansvar enligt vad som nu har sagts.
22 5
Har personregister inrättats eller förts utan tillstånd enligt denna lag, när detta erfordras, skall re— gistret förklaras förverkat, om det ej är uppenbart obilligt. Detsamma gäller, om personregister har förts i strid mot förbud enligt 18 5 and— ra stycket.
23 5
som ringa, får dock ej dömas till
22 5
Har personregister inrättats eller förts utan licens eller tillstånd enligt denna lag, när detta erford- ras, skall registret förklaras för— verkat, om det ej är uppenbart obilligt. Detsamma gäller, om per— sonregister har förts i strid mot förbud enligt 18 5 andra stycket.
Om registrerad tillfogas skada genom att personregister innehåller oriktig uppgift om honom, skall den registeransvarige ersätta skadan. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk bety— delse.
24 5
Om registeransvarig eller den som för registeransvarigs räkning hand— har personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 16 5 eller att lämna upp— gift enligt 17 5 får datainspek— tionen förelägga vite. Detsamma gäller, om registeransvarig icke fullgör vad som åligger honom en— ligt 8, 9 eller 10 S.
245
Om registeransvarig eller den som för registeransvarigs räkning hand— har personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 16 5 eller att lämna upp— gift enligt 17 5 får datainspek— tionen förelägga vite. Detsamma gäller, om registeransvarig icke fullgör vad som åligger honom en— ligt Z_E, 8, 9 eller 10 S.
Prop. 1981/82:189 95
Nuvarande lydelse . Föreslagen lydelse 25 5
Talan mot datainspektionens beslut föres hos regeringen genom besvär. Justitiekanslern får föra talan för att tillvarataga allmänna intres— sen.
Det statliga person— och adressregistret 26 S
För de ändamål som anges i denna paragraf finns ett statligt person— och adressregister (SPAR). Registret förs med hjälp av automatisk data— behandling.
Uppgifterna i SPAR används för
1. aktualisering, komplettering och kontroll av uppgifter i andra per— sonregister,
2. komplettering och kontroll av personuppgifter i övrigt,
3. uttag av urval av personuppgifter (urvalsdragning).
SPAR får användas av myndigheter och enskilda.
27 S
Uppgifterna i SPAR hämtas från de statliga personregister som används för folkbokföring, inkomsttaxering och fastighetstaxering. Till dessa uppgifter får fogas anteckning om att en enskild person inte önskar adresserad direktreklam.
Regeringen får föreskriva att uppgifter om adresser hämtas från post— verket.
285
Den som begär att få uppgifter ur en myndighets personregister för ett sådant ändamål som avses i 26 5 andra stycket 1 och 3 och som kan till— godoses genom SPAR skall hänvisas till detta register.
Första stycket hindrar inte att en länsstyrelse låter myndigheter vars verksamhet är begränsad till länet utnyttja länsstyrelsens personre— gister i stället för SPAR.
Regeringen eller, efter regeringens bestämmande, datainspektionen får föreskriva att en statlig myndighets personregister får utnyttjas av en annan myndighet för de ändamål som avses i 26 5 andra stycket 1.
Föreskrifterna i denna paragraf inskränker inte myndigheternas skyldig— heter enligt reglerna om allmänna handlingars offentlighet i tryckfri— hetsförordningen.
Prop. 1981/82:189
Nuvarande lydelse
96
Föreslagen lydelse
Overgångsbestämmelser
Denna lag träder i kraft den 1 juli 1982. Bestämmelsen i 7 b 5 första stycket gäller dock först från och med den 1 januari 1983 och bestäm— melsen i 7 b 5 andra stycket först från och med den 1 juli 1983. Be— stämmelsen i 7 b 5 första stycket gäller icke personregister för vilka tillstånd meddelats före ikraftträdandet. Vad nu sagts äger motsvarande tillämpning i fråga om personregister som avses i 1 5
andra stycket datakungörelscn ( 1973:291 ).
Denna lag äger tillämpning på ären— den om tillstånd som kommit in till datainspektionen före den 1 juli 1982, men som då ännu inte slutligt prövats.
Registeransvarig, som före den 1 juli 1982 erhållit tillstånd att inrätta och föra personregis— ter, skall före den 1 januari 1983 ansöka om licens hos datain— spektionen. Har sådan ansökan gjorts får personregister, i vän" tan på att licens utfärdas, inrät— tas och föras utan hinder av be— stämmelsen i 2 5 första stycket. Vad nu sagts äger motsvarande till— lämpning i fråga om myndighet som avses i 1 5 andra stycket datakun— görelsen.
Prop. 1981/82:189
2 Förslag till
97
Lag om ändring i sekretesslagen (1980:100) utfärdad den,
Enligt riksdagens beslut föreskrivs i fråga om sekretesslagen att 7 kap 16 S och 9 kap 6 5 skall ha nedan angiven lydelse.
Nuvarande lydelse 7 KAP
16 5
Föreslagen lydelse
Sekretess gäller för personuppgift i personregister som avses i data— lagen ( 1973:289 ), om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen .
Sekretess för uppgift som anges i första stycket gäller också, om det kan antagas att utlämnande skulle medföra att uppgiften an— vänds för automatisk databehand— ling i utlandet och att detta med— för otillbörligt intrång i person— lig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainSpektionen att pröva fråga om utlämnande.
7 Rikvdagen l98I/82. I saml. Nr 189
Sekretess för uppgift som anges i första stycket gäller också, om det kan antagas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan— det och att detta medför otillbör— ligt intrång i personlig integri— tet. Vid tillämpning av denna be— stähmelse ankommer det på data— inspektionen att pröva fråga om utlämnande. Sekretess som nu sagts äller'dock e om u iften skall användas för automatisk databe—
handlin enbart i stat som anslutit
_______iL________,____________._____. sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
Prop. 1981/82:189
Nuvarande lydelse 9 KAP
6 S
Sekretess gäller hos datainspek— tionen i ärende om tillstånd eller tillsyn, som enligt lag an— kommer på inpektionen, för upp— gift om enskilds personliga eller ekonomiska förhållanden, om den enskilde eller någon honom när— stående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu sagts, lämnats till rege— ringen eller justitiekanslern, gäller sekretessen också där.
98
Föreslagen lydelse
Sekretess gäller hos datainspek— tionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, eller i ärende om sådant bistånd som avses i Euro a— radets konvention om skydd för en— skilda vid automatisk databehand— ling av personuppgifter, för upp— gift om enskilds personliga eller ekonomiska förhållanden, om det kan antagas att den enskilde lider ska— da eller men om uppgiften röjs. Har uppgift, för vilken gäller sekre— tess enligt vad nu sagts, lämnats till regeringen eller justitie— kanslern, gäller sekretessen också där.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio
ar.
Denna lag träder i kraft den 1 juli 1982.
Prop. 1981/82zl89 99
3 Förslag till
Förordning om ändring i instruktionen (1973:292) för datainspektionen utfärdad den
Regeringen föreskriver att 2 5 instruktionen (l973:292) för datainspek— tionen skall ha nedan angiven lydelse.
Nuvarande lydelse Föreslagen lydelse
Uppgifter
2 S Inspektionen har som central för— Inspektionen har som central för— valtningsmyndighet till uppgift valtningsmyndighet till uppgift att att pröva frågor om tillstånd och pröva frågor om licens och till— utöva tillsyn enligt datalagen stånd samt utöva tillsyn enligt (1973:289), kreditupplysnings— datalagen (19732289), kreditupplys— lagen (1973:ll73) och inkasso— ningslagen (1973zll73) och inkasso— lagen (l974:182). ' lagen (1974:182)- Ins ektionen har
därutöver att lämna sadant bistand som avses i Europarådets konvention om skydd för enskilda vid automa— tisk databehandling av personuppf 5153-
Denna förordning träder i kraft den 1 juli 1982.
Prop. 1981/82:189 100
Sammanställning av remissyttranden över datalag- stiftningskommitténs (DALK) promemoria (Ds Ju 1981:15—16) Tillstånd och tillsyn enligt datalagen
] Remissinstanser m. m.
Över DALK:s promemoria (Ds Ju 1981:15—16) Tillstånd och tillsyn enligt datalagen har remissyttranden avgetts av justitiekanslern (JK), riksåklaga- ren. hovrätten för Västra Sverige, kammarrätten i Sundsvall, rikspolissty- relsen. kriminalvårdsstyrelsen, datainspektionen. samarbetsorganet (Ju 1968259) för rättsväsendets informationssystem (SARI). värnpliktsverket, riksförsäkringsverket. postverket, televerket, trafiksäkerhetsverket. statis- tiska centralbyrån, bankinspektionen, försäkringsinspektionen, statskonto- ret, datamaskincentralen för administrativ databehandling (DAFA). riksre- visionsverket. riksskatteverket. riksarkivet, universitets- och högskoleämbe- tet (UHÄ), delegationen för vetenskaplig och teknisk informationsförsörj- ning, arbetsmarknadsstyrelsen, länsstyrelsen iIStockholms län, länsstyrelsen i Malmöhus län. länsstyrelsernas organisationsnämnd. justitieombudsman- nen Per-Erik Nilsson (JO). Svenska kommunförbundet, Malmö kommun. Landstingsförbundet, Svenska arbetsgivareföreningen, Sveriges industriför- bund, Landsorganisationen i Sverige (LO). Tjänstemännens centralorgani- sation (TCO), Centralorganisationen SACO-SR (SACO/SR). Sveriges advokatsamfund. Riksdataförbundet. Svenska föreningen för ADB och juridik, Kooperativa förbundet. Lantbrukarnas riksförbund, Svenska bank- föreningen, Svenska sparbanksföreningen. Svenska försäkringsbolags riks- förbund, Folksam, Forskningsrådsnämnden. Statens humanistiskt-samhälls- vetenskapliga forskningsråd. Statens medicinska forskningsråd, Dagligvaru- leverantörers Förbund. Direktförsäljningsföretagens Förening. Svenska Annonsörers Förening, Svenska Bokförläggareföreningen. Svenska Postor- derföreningen, Svenska Reklambyråförbundet. Sveriges Direktreklamföre— ning, Servicebyråernas branschorganisation (SEBRO), Kommun-Data AB. Datema AB och Sparbankernas Datacentraler AB.
Riksåklagaren har överlämnat yttranden från överåklagaren i Stockholms åklagardistrikt samt från cheferna för länsåklagarmyndigheterna i Värm- lands och i Kalmar län.
UHÄ har remitterat DALK:s promemoria till universitetet i Stockholm. tekniska högskolan i Stockholm. Karolinska institutet. universiteten i Uppsala, Lund och Göteborg samt till Chalmers tekniska högskola. UHÄ har bifogat inkomna remissyttranden.
SACO/SR har, utan eget ställningstagande. bifogat yttranden från DIK-förbundet och SACO/SR-föreningen vid datainspektionen.
Prop. 1981/82:189 101
Kriminalvårdsstyrelscn har anslutit sig till det yttrande som SARl har avgett.
Sveriges industriförbund och Svenska arbetsgivareföreningen har i ett gemensamt yttrande förklarat att de beträffande enskildheter i förslaget hänvisar till det yttrande som har avgctts av Svenska föreningen för ADB och juridik.
Svenska Bankföreningen ansluter sig till Riksdataförbundets yttrande. PK-banken ansluter sig till bankföreningens uppfattning.
Svenska Annonsörers Förening, Dagligvarulevcrantörers förbund, Direktförsäljningsföretagcns förening. Svenska bokförläggareföreningen, Sveriges Direktreklamförening och Sveriges reklambyråförbund har avgett ett gemensamt yttrande.
Datema AB ansluter sig till SEBRO:s yttrande.
2 Allmänna synpunkter på betänkandet
Ett mindre antal remissinstanser ansluter sig uttryckligen helt eller i princip till DALK:s överväganden och . förslag. Några remissinstanser betonar särskilt att de förslag DALK nu lägger fram har betydelse för arbetet på en generell personregisterlagstiftning. Bland de frågor som tas upp av remissinstanserna men som inte har behandlats av DALK kan främst nämnas avgifterna för datainspektionens verksamhet.
2.1 Helhetsomdömen m. m.
De remissinstanser som uttryckligen helt eller i princip ansluter sig till DALK:s förslag är värnpliktsverket. postverket, arbetsmarknadssrvrelsen, Chalmers tekniska högskola och tekniska högskolan i Stockholm. (Se vidare avsnitt 4.1 i remissammanställningen.)
Några remissinstanser tar i detta sammanhang upp DALK:s arbete med en generell personregisterlagstiftning.
UHÄ framhåller sålunda att DALK:s förslag innefattar åtskilliga beakt- ansvärda överväganden och ställningstaganden, vilka väl förtjänar att omsorgsfullt prövas i det större sammanhang som kommitténs mera vidsträckta lagstiftningsuppdrag representerar. Samma synpunkter förs fram av juridiska fakultetsnämnden vid Uppsala universitet. Nämnden anser också att dylik samordning och inarbetning i ett vidgat perspektiv framstår som angelägen. i synnerhet som förslaget rymmer frågeställningar av betydande principiellt och teoretiskt intresse.
Riksåklagaren yttrar:
l yttrande över DALK:s betänkande (SOU 1978:54) Personregister- Datorer-lntegritet framförde riksåklagaren vissa synpunkter angående avvägningen mellan allmänintresset och intresset av skydd för den enskildes personliga integritet vid tillståndsgivning. Därvid anfördes att denna
Prop. 1981/82:189 102
awägning blir särskilt aktuell vid samkörning av olika register. Det förtjänar här att upprepas att det är av vikt att samhällets resurser till fullo utnyttjas bl. å. när det gäller brottsbekämpning samt kontroller av uppgifter lämnade under sanningsförsäkran för taxering och behovsprövade förmåner. [ nämnda yttrande påpekades lämpligheten av att i anslutning till den då föreslagna bestämmelsen i 3 % datalagen uttala att även det 5. k. allmänin- tresset skulle beaktas. Frågor av hithörande slag syns dock vara mindre lämpade för överväganden i samband med införandet av sådana provisoriska åtgärder. varom nu är fråga, utan bör i stället tas upp i det vidare sammanhang som frågan om en generell personregisterlagstiftning utgör. Pcrsomegistrens betydelse för bekämpningen av främst den grövre ekono- miska brottsligheten har utförligt belysts i yttrandet av chefen för länsåkla- garmyndigheten i Kalmar län.
Länsstyrelsen i Stockholms län konstaterar också att DALK nu arbetar med frågan om en generell personregisterlag och anför:
I likhet med ett stort antal myndigheter för länsstyrelsen vid sidan om ADB-registren ett flertal länsomfattande register på medier som inte hänförs till ADB-medier. Dessa register är i regel baserade på information i ADB-registren och framställs med ADB. Det är enligt länsstyrelsens erfarenhet en brist. att det i dag inte finns en gemensam och samordnad lagstiftning för alla personregister. vare sig de förs med ADB eller inte. Länsstyrelsen konstaterar därför med tillfredsställelse, att arbetet med en generell personregisterlagstiftning pågår.
Huntanistiskt-samhällsvetenskapliga forskningsrådet framhåller önskvärd- heten av att DALK i sitt fortsatta arbete mer precist definierar begreppet "personlig integritet" och betonar dess djupare innebörd. Det är till stor del en alltför slapp tolkning av detta värdeladdade begrepp, som medfört den ökande belastningen för datainspektionen. Genom att få mer tid för tillsynsverksamheten skulle den enligt rådet bättre kunna tillvarata medbor- garnas intressen.
Datainspektionen yttrar:
Stora delar av det arbete som DALK nu redovisar har — i enlighet med tilläggsdirektiven — bedrivits i nära samråd med datainspektionens kansli. De synpunkter inspektionen framfört under utredningsarbetets gång har i stor utsträckning beaktats. Detta framgår även av datainspektionens samrådsytt- rande den 18 augusti 1981. Endast i ett viktigt avseende har datainspektionen en avvikande uppfattning. nämligen beträffande den föreslagna förteck- ningsskyldigheten. varom mera nedan. (Se avsnitt 5.3 i remissammanfatt- ningen.)
SAR! begränsar sitt yttrande till frågor som gäller ekonomiska och administrativa konsekvenser av förslaget.
Svenska kommtmförbundets styrelse erinrar om att datalagens grundläg- gande syfte är att skapa garantier för skydd av den personliga integriteten. Vid bedömning av nu föreliggande förslag måste prövas om åtgärderna äventyrar detta grundläggande syfte. Kommunförbundets styrelse anser sig dock inte ha anledning att göra en sådan övergripande prövning utan begränsar sig till de synpunkter som anknyter till kommunernas intressen som ansvariga för dataregister.
Prop. 1981/82:189 103
Länsåklagaren i Kalmar län yttrar i detta sammanhang:
[ promemorian. s. 91. framhålles att en viktig uppgift för datainspektionen är att hjälpa enskilda till rätta i ett alltmera datoriserat och komplicerat samhälle. Kommittén menar vidare. att det finns ett uppenbart behov av en ”allmänhetens klagomur" när det gäller personregister. Jag kan instämma i dessa påståenden. Åklagaren har för sin del under förundersökning i brottmål att från personregister av skilda slag ta fram uppgifter om misstänktas ekonomiska eller andra förhållanden. Det är då fråga om mycket integritetskänsliga personregister. t. ex. kriminal- och polisregister samt socialregister (s. 102 i promemorian). Åklagaren är skyldig att se till att det inte förekommer otillbörligt intrång i den personliga integriteten. Detta torde kunna härledas ur bestämmelsen i 23 kap. 4 5 första st. rättegångsbal- ken om att åklagaren på ett objektivt sätt skall utreda misstanken om brott. Denna princip följer med åklagaren till huvudförhandling i målet. Med hänsyn till vad som således åligger åklagaren i sin brottsbekämpande verksamhet har jag inskränkt min granskning av kommitténs promemoria till de allmänna partierna och de avsnitt som rör åklagarens kontakt med frågor om den personliga integriteten.
Humanistiskt-samhällsvetenskapliga forskningsrådet framför vissa gene- rella synpunkter på integritetsskyddet. Forskningsrådet (HSFR) yttrar:
Den datatekniska utvecklingen och i samband därmed det ökande antalet ADB-baserade personregister har aktualiserat viktiga problem rörande den personliga integriteten. Särskilt samkörningar av olika register kan leda till otillbörligt intrång i den enskilde medborgarens personliga integritet. Det är därför väsentligt att medborgarna genom lagstiftning tillförsäkras ett reellt integritetsskydd i ordets verkliga betydelse. Samtidigt vill dock HSFR framhålla att integritetsdebatten i vissa fall undanskymt andra mycket viktiga problem. som uppstått eller kan komma att uppstå genom den datatekniska utvecklingen. Att så blivit fallet beror till stor del på att debatten beklagligtvis tämligen ofta mer kommit att handla om registertekniken än innehållet.
2.2 Av DALK ej behandlade frågor
Flera remissinstanser tar i sina remissyttranden upp frågor som inte närmare har behandlats av DALK i de nu aktuella promemoriorna.
Riksåklagaren och överäklagaren i Stockholm berör utformningen av straffbestämmelsen, 21 &. i' datalagen . Riksåklagaren yttrar:
Utformningen av straffbestämmelsen i 21 & föranledde riksåklagaren att i berörda yttrande anföra kritik i vissa hänseenden. [ det föreliggande förslaget till ändringar på kort sikt har ifrågavarande ansvarsbestämmelse bibehållit sin lydelse. förmodligen beroende på departementschefens förslag att straffbestämmelserna skall ses över i samband med att frågan om en generell personregisterlagstiftning utreds. Med hänsyn till att nu föreslagna ändringar i datalagen är så omfattande och utredningen om generell personregisterlagstiftning inte kan förväntas bli slutförd inom överskådlig tid. anser jag i likhet med överåklagaren i Stockhoms åklagardistrikt att man redan i nu aktuellt sammanhang bör försöka eliminera de icke önskvärda konsekvenser. som nuvarande lydelse av 21 5 kan ge upphov till.
Prop. 1981/82:18!) 104
Överåklagaren i Stockholm har motsvarande synpunkter. Statskontoret berör handläggningsordning för ADB-investeringar och anför:
Vid handläggningen av frågor om investeringar i ADB-system skall myndigheterna iakttaga de föreskrifter som finns i SFS 1981:266. Enligt denna förordning prövar statsmakterna vid olika beslutspunkter alla förslag till medelstora eller större ADB-system. Det är ofrånkomligt att man vid en sådan prövning även måste beakta integritetsaspekterna. Statskontoret förutsätter att datainspektionen regelmässigt bereds tillfälle att yttra sig i samband med att beslut fattas rörande utformningen av personregister inom den statliga förvaltningen som faller under handläggningsfrågan.
För ADB-system inom offentlig förvaltning har utredningens förslag till ändring av datalagen (t. ex. 2 5 punkt 4) särskild betydelse. Enligt denna punkt kommer många — kanske flertalet — av de statliga systemen att undantas från tillståndsplikt så länge registeruppgifterna har "stöd i lag. annan författning. eller myndighets beslut som meddelats med stöd av författning". Vid samkörning eller samutnyttjande av data erfordras antingen författningsstöd eller tillstånd enligt datalagen.
Intresset för att via särskild författning reglera olika ADB-system kommer säkert att öka genom förslagets utformning. Detta kan dock knappast vara till nackdel för integritetsskyddet. Möjligtvis kan man hysa farhågor för den tilltagande byråkratiseringen av ADB-frågorna.
Kommun-Data A B upplyser att vid en intervju som DALK genomförde i maj 1981 med företrädare för Kommun-Data framfördes synpunkter på vissa effekter som nu gällande bestämmelser har i fråga om personregister som innehåller uppgifter om ett fåtal personer. DALK:s promemoria berör inte närmare dessa effekter och föreslår inte heller några särskilda åtgärder i detta avseende. Kommun-Data AB yttrar i denna del vidare:
Ett särskilt förhållande som har stark anknytning till registeransvariga med små personregister är följande.
I många fall köper t. ex. en kommunal stiftelse administrativa tjänster från kommunkansliet. Löneadministration och ekonomiadministration är frek- venta exempel. Kommunen använder i sin egen verksamhet ADB- bearbetning och gör därför detsamma för stiftelsen. Kommunens personal administrerar stiftelsens personregister och utför all rapportering till registren. Kommunens och stiftelsens register är fysiskt samordnade i ADB-bearbetningen. De extremfall som nämns ovan. i vilka personregistret omfattar en person eller ett fåtal personer, är i regel organiserade på detta sätt.
Datalagens definition av personregister och registeransvar medför att stiftelsen måste ansöka om tillstånd hos Datainspektionen samt betala avgift för tillståndet. Enligt DALK:s förslag måste stiftelsen ansöka om licens och betala licensavgift samt anmäla registret till Datainspektionen. I de fall där personregister omfattar en person eller ett fåtal personer borde licens. tillstånd. registeransvar och avgifter samt Datainspektionens tillsyn kunna samordnas. eftersom registren är fysiskt samordnade.
Den ovan beskrivna samordningen förekommer frekvent både ilandsting och primärkommuner. Kommunens samarbetspartner kan vara stiftelse. bolag, kyrkoförvaltning. församling. ekonomisk förening m. rn.
Prop. 1981/82:189 105
Styrelsen anser av anförda skäl att DALK bör ges uppdraget att närmare utreda datalagens tillämpning på små personregister och på registersamord- ning enligt ovan.
I fråga om avgifter för datainspektionens verksamhet. som redovisas i DALK:s promemoria (Ds Ju 1981:123) Nya avgifter för datainspektionens verksamhet har följande synpunkter kommit fram med anledning av de nu aktuella promemoriorna.
Styrelsen för Svenska kommunförbundet yttrar:
Enligt kungörelsen (1973:1209) om avgift hos datainspektionen utgår avgift för ansökan eller anmälan av personregister med ett visst belopp för varje påbörjad handläggningstimme. Om DALK:s förslag genomförs torde ett nytt avgiftssystem behöva konstrueras. DALK som haft regeringens uppdrag att komma med ett förslag till ett nytt avgiftssystem som innebär att datainspektionens verksamhet i dess helhet skall täckas av avgifter har först i dagarna presenterat ett sådant förslag. Eftersom styrelsen under remissar- betet inte haft tillgång till detta förslag har styrelsen inte haft möjlighet att bedöma vilka kostnaderi form av avgifter till datainspektionen som kommer att drabba kommunerna.
Riksdataförbundet (RDF) anför:
RDF vill tillfoga reflektionen att licenssystemet i själva verket föreslås för att möjliggöra för datainspektionen att ta ut avgift för samtliga personregis- ter. Om därvid emellertid tas ut mera än statsverkets självkostnad för beviljande av licens — vilken torde uppgå till ett ringa belopp. eftersom ingen prövning är avsedd — är det i själva verket fråga om en datorskatt. ehuru bara på personregister. Denna fråga skall självfallet inte avgöras i förevarande ärende.
Humanistiskt-samlzällsvetenskapliga forskningsrådet (HSFR) yttrar:
För närvarande gäller som huvudregel enligt datalagen2 & att tillstånd av datainspektionen krävs för alla personregister som förs med hjälp av automatisk databehandling. Vissa specificerade undantag medges. Vidare handläggs mindre integritetskänsliga register enligt förenklat förfarande. Med personregister menas i datalagen "register. förteckning eller andra anteckningar som innehåller personuppgift som kan hänföras till den som avses med uppgiften". HSFR vill påpeka att definitionen i l & datalagen inte hänför sig till ett fysiskt föremål utan till en logisk företeelse. som definierats av sitt angivna ändamål. Antalet levande register kan därför variera med hänsyn till ändamålsbeskrivningarna. vilket kan medföra stora problem vid en eventuell årlig avgiftsbeläggning som diskuterats inom datainspektionen i samband med förslag till nytt avgiftssystem.
Kommun-Data AB anför:
Regeringen har uppdragit åt DALK att utreda och föreslå ett nytt avgiftssystem som ansluter till DALK:s här behandlade förslag. Avgiftssys— temet skall syfta till totalfinansicring av Datainspektionens verksamhet genom avgiftsintäkter. Utgångspunkten skall i första hand vara årliga avgifter för registeransvariga som är underkastade tillstands- eller anmäl— ningsplikt enligt datalagen .
Prop. 1981/82:189 106
Styrelsens uppfattning är att nuvarande avgiftssystem ej är acceptabelt för den grupp registeransvariga som här avses. Nuvarande avgiftssystem avser att finansiera tillståndsverksamhetens kostnader. sammantaget ca 4.6 miljoner kronor 1973—80. Syftet i ett kommande avgiftssystem är att totalfinansiera Datainspektionens verksamhet. totalt ca 28 miljoner kronor l973—80. Styrelsen anser det befogat att föreslå att de här redovisade effekterna särskilt beaktas när ett nytt avgiftssystem utreds.
Bolaget anför vidare:
Kommuner och landsting utgör stora enheter för vilka avgifterna till Datainspektionen är små jämfört med övriga ADB-kostnader. Detta förhållande gäller inte för mindre kommunala bolag och stiftelser. kyrko- förvaltningar. församlingar m. fl.
Relationen mellan tillständsavgifter och övriga ADB—kostnader är med nu gällande bestämmelser orimlig för registeransvariga med mycket små personregister. Praktiska exempel'finns i Kommun-Datas verksamhet där tillstånd sökts för registrering av löneregister innehållande en person. Ett stort antal tillstånd avser register som innehåller ett fåtal personer. Datalagens tillämpning framstår i dessa extrema fall som alltför byråkra- tisk.
Sparbankernas Datacentraler AB berör regler om möjligheterna att meddela föreskrifter om säkerhet enligt 6 5 10 datalagen och anför:
Sådana föreskrifter är i många fall behövliga. Man bör dock ha i minnet att kontroll och säkerhet är vida begrepp som har eller borde ha påverkan på de allra flesta system och inte enbart är av betydelse för personregister. Man har också under senare år i företag och organisationer börjat lägga ner både intresse. tid och pengar på säkerhets- och kontrollproblemen.
Vi förerslår därför att Datainspektionen beträffande säkerhet och kontroll eftersträvar en samordning i säkerhetsfilosofi mellan andra organ och organisationer. av vilka Svenska Sparbanksföreningen. Bankföreningen, Bankinspektionen. FAR är några exempel. På detta sätt uppnås en normering av säkerhets- och kontrollfrågorna.
Sparbankernas Datacentral AB framhåller vidare att banksystemen totalt sett är tillfredsställande hanterade ur lagens synpunkt och att DI:s tillsyn därför vid prioritering borde sättas in på den övriga ADB-marknaden.
3 Erfarenheter och effekter av datalagen
Endast ett mindre antal remissinstanser har kommenterat DALK:s redovisning av datalagens effekter för de registeransvariga och för datain- spektionen. I fråga om effekterna för de registeransvariga framhålls att datalagen fungerat på ett tillfredsställande sätt. Däremot uppges från flera håll att arbetssituationen hos datainspektionen är otillfredsställande. Från de registeransvarigas sida pekas framför allt på vissa problem med långa handläggningstider. Inspektionen redovisar själv i ett längre yttrande hur verksamheten vid inspektionen organiserats såvitt gäller tillståndsprövning enligt datalagen. Inspektionen understryker DALK:s slutsatser om behovet av förändringar i regelsystemet.
Prop. 1981/82:189 107
3.l Effekter för de registeransvariga och de registrerade
Kammarrätten i Sundsvall finner att det av promemorian framgår att effekten av datalagen för de registrerades vidkommande blivit den man strävade efter då lagen infördes och att de registeransvariga inte krävt några betydande ändringar på kort sikt i de grundläggande skyldigheter för dem som datalagen ställer upp. Såsom DALK påpekar torde detta betyda att datalagens effekter av de registeransvariga i stort anses vara godtagbara.
Riksskatteverket uppger att verket inte delar DALK:s uppfattning att 10 & datalagen inte bör ändras på kort sikt. Verket yttrar:
Föredraganden i prop. 1980/81:20. som bland annat gällde den senaste förändringen av 10 & datalagen, ansåg att de problem som var förknippade med tillämpningen av 10 & datalagen borde undersökas närmare än vad som då kunnat ske och då lämpligen inom ramen för det arbete som bedrivs av DALK.
Enligt vad som framgår av förevarande promemoria (sid. 114) har DALK inte gjort någon närmare undersökning.
Under andra halvåret 1980 (halvåret före "den senaste förändringen av 10 &) inkom till RSV 5 600 förfrågningar om utdrag enligt 10 ådatalagen. Av dessa kom 75 % från ombudsföretag.
Under motsvarande tid 1981 har RSV mottagit 6 500 förfrågningar av vilka 90 % härrör från ombudsföretag.
RSV kan konstatera att antalet ombudsföretag har minskat från ett femtontal till i stort sett ett.
Däremot har förfrågningar från ombudsföretag ökat både antalsmässigt och procentuellt.
[ prop. 1980/81:20 anförde föredraganden följande. "Som har framhållits i olika sammanhang är regeln i 10 & datalagen en av de viktigaste bestämmelserna i denna lag. Det är av stor betydelse från integritetssynpunkt att den enskilde har rätt till insyn i de aktuella personregistren såvitt gäller uppgifter om honom själv. Samtidigt står det klart att insynsrätten medför betydande kostnader för de registeransvariga. Eftersom registren i stor utsträckning förs i statens eller kommunernas verksamhet. drabbar merparten av dessa kostnader det allmänna. Jag anser att det är angeläget att insynsrätten utnyttjas i endast sådana fall där den registrerade verkligen har ett intresse av att få uppgifterna. Så kan knappast alltid vara fallet vid de massbeställningar som f. n. utförs via ombudsföre— tagen. Beställningar av detta slag har inte i första hand sin grund i en önskan från den enskilde om att få uppgifter om sig själv ur ett visst eller vissa register utan är snarare en konsekvens av ombudsföretagens sätt att arbeta. Sådana beställningar bör därför undvikas."
Enligt RSV:s uppfattning har den målsättning som lagstiftaren åsyftade inte uppnåtts med förändringen av 10 få datalagen i prop. 1980/81:20. DALK menar att i den mån de nu återstående ombudsföretagens verksamhet anses leda till missförhållanden torde detta närmast böra åtgärdas på annat sätt än genom ytterligare ändringar i 10 å. '
Vad DALK åsyftar med ”annat sätt" framgår inte av promemorian men torde vara datainspektionens och konsumentverkets uppenbarligen verk- ningslösa agerande för att få rätsida på ifrågavarande verksamhet.
DALK:s förslag om förbättrad information till de registrerade torde inte
Prop. 1981/82:189 108
heller enligt RSV:s mening. innebära någon nämnvärd förbättring i detta avseende.
RSV anser sålunda att lagstiftningsåtgärder bör vidtagas på så sätt att ombudsföretagens verksamhet omöjliggörs.
SEBRO anser att datalagen hittills har fungerat bra och att den varit till nytta för den personliga integriteten.
Svenska Annonsörers Förening m.fl. organisationer tar upp DALK:s överväganden om direktreklamverksamhct och yttrar:
Innan organisationerna närmare går in på DALK:s förslag finner föreningen anledning att något behandla vad som på olika platser i betänkandet sägs om direktreklam.
På sid. 103 anges att det har sagts att adresserad direktreklam, baserad på personregister. kan innebära ett mått av otillbörligt integritetsintrång. Detta torde också vara riktigt — säger kommittén —i de fall reklamen träffar fel på grund av fel i registren. t. ex. på sådant sätt att föräldrar till barn som avlidit kort tid efter födelsen ändå får erbjudande om att köpa barnmat. Ett annat exempel är att urval görs på mycket personspecifika uppgifter.
Organisationerna finner här anledning att påpeka att påtalade exempel hänför sig till ett tidigare skede och har numera inte aktualitet; detta av följande skäl:
' Betr. "barnmatsfallet" gäller sedan en längre tid tillbaka särskilda regler vid uttag för angivet eller liknande ändamål som praktiskt taget helt och hållet eliminerat riskerna för fel. Enligt vad organisationerna känner till har det inte på mycket länge förekommit klagomål om fel. För ordningens skull skall påpekas att i den mån fel förekommer är detsamma i här angivet fall hänförligt till det statliga register från vilket urval göres. . Till skillnad från tidigare föreligger det i dag möjligheter för registrerade att till det personregister det är fråga om anmäla att direktreklam ej önskas. . Till skillnad från tidigare föreligger i dag skyldighet att uppge adresskälla på antingen adressetiketten eller försändelsen i övrigt. . Möjligheterna att göra urval på "mycket personspecifika uppgifter" föreligger ej. Vid urval erfordras i regel endast en del av de uppgifter som finns i SPAR. Namn. adress. personnummer. inkomst (dock endast i intervaller) och innehav av fastighet är de urvalskriterier som används. För särskilda ändamål kan urval ur andra register såsom bilregistret och fastighetsregistret komma i fråga.
Kommittén anger att invändningar emellertid främst har förekommit mot själva utformningen av och innehållet i reklambudskapen, vilket inte är en fråga som faller under datalagen .
l likhet med vad som är fallet för andra reklammedier kan utformning och innehåll bli föremål för bedömning med stöd av marknadsföringsla- gen. Det finns därvid skäl påpeka att det under senare år har varit ett mycket begränsat antal fall där direktreklam. vare sig den varit adresserad eller oadresserad. som prövats enligt marknadsföringslagcn. Enligt vad organisationerna känner till har det under samma tid inte förekommit något ärende varvid direktreklam prövats till utformning eller innehåll i fall som endast kan hänföras till direktreklam.
En omständighet som bidragit till att kritiken mot såväl adresserad som oadresserad direktreklam praktiskt taget helt har upphört under senare
Prop. 1981/82:189 109
år, har varit att SDRF systematiskt i kursutbildning. kursmaterial och litteratur och vid den årliga DR-dagcn. i förhållande till direktreklaman- vändare och medlemsföretag. har informerat om de regler. som gäller för — och de ärenden som avgjorts med stöd av — marknadsföringslagen eller datalagen.
Kommittén anger slutligen på sid. 103 att invändningarna mot direktreklam ofta har grundat sig på att information som lämnats av den enskilde till myndighet för ett speciellt ändamål — ofta som en lagstadgad skyldighet — används för annat ändamål.
Emellertid hänför sig denna kritik till tiden före SPAR:s inrättande. för vilket register riksdagen beslutat att personuppgifter skall få användas för urval i Och för bl. a. direktreklam.
Kommittén konstaterar också att under förutsättning av att personre- gistrering för direktreklamändamål görs på sådant sätt som datainspek- tionen godtagit innebär sådan personregistrering inte risk i registrerads personliga integritet.
Det finns här skäl att erinra om att möjligheten att avanmäla sig för direktreklam utnyttjas mycket sparsamt.
(Se vidare bl. a. avsnitt 5 i remissammanställningen.)
3.2 Effekter för datainspektionen
Datainspektionen redogör i detta sammanhang utförligt för bakgrunden till de föreslagna ändringarna i datalagen och anför:
Enligt förarbetena ("prop. 197333) till datalagen uppskattade offentlig- hets- och sekretesslagstiftningskommittén ( OSK) med bistånd av statskon- toret antalet register som innehöll personuppgifter till ca 4 000. Tillflödet av ärenden som rörde nytillkommande tillståndspliktiga register beräknades till inemot 500 om året. Ingen beräkning gjordes beträffande antalet register som skulle komma att ändras eller utvidgas och som därigenom erfordrade ny prövning hos datainspektionen. Mot bakgrund av den ovan uppskattade ärendetillströmningen och med hänsyn till datainspektionens tillsyns— och utredningsverksamhet beräknade OSK datainspektionens personalstyrka.
Genom ikraftträdande av inkassolagen och kreditupplysningslagen den 1 juli 1974 anförtroddes datainspektionen ytterligare arbetsuppgifter. Åt inspektionen uppdrogs nämligen dels att handha tillståndsprövningen. dels att utöva den fortlöpande tillsynsverksamhet. som reglerades enligt de båda ovan nämnda lagarna. I samband härmed fick datainspektionen två nya tjänster.
Den av OSK beräknade ärcndetillströmningen till datainspektionen har vida överskridits. Sedan datainspektionen inrättades har ca 35 000 ärenden av alla slag registrerats. Under de senaste åren har inspektionen mottagit över 4 000 ärenden per år. Den mycket kraftiga tillströmningen av ärenden medförde för datainspektionens del bland annat att balansen av oavslutade ärenden ständigt ökade. För närvarande har 33 900 ärenden avslutats. Den av DALK under åren 1976—1978 genomförda inledande översynen av datalagen ledde endast till att vissa av de förenklingar kommittén föreslog genomfördes.
Datainspektionen har på grund av den stora ärendetillströmningen redan på ett tidigt stadium insett nödvändigheten av att pröva olika vägar för att rationalisera verksamheten. (1975 väckte tillståndsenheten första gången i
Prop. 1981/82:189 110
styrelsen tanken på ett förslag av samma karaktär som DALK nu lämnat.) Vad som i övrigt prövats har i första hand varit att granska arbetsmetoderna. Granskningen har skett fortlöpande, men intensifierats allt eftersom ärendebalansen vuxit och arbetsbördan ökat. Självfallet har vid genomfö- randet av olika rationaliseringsåtgärder hela tiden beaktats att skyddet för den personliga integriteten inte skulle försämras. Således har datainspektio- nen. med början är 1974. utfärdat föreskrifter som bland annat reglerar de register som får inrättas och föras med hjälp av det 5. k. förenklade förfarandet. Under de senaste åren har särskilda föreskrifter meddelats i datainspektionens författningssamling (DIFS) för löne-. personal-. kund-. leverantörs-. medlems- och hyresregister. Inspektionen har även utfärdat DIFS som innebär dispens från tillståndstvånget för personregister i yrkesmässig verksamhet över kunder och patienter samt för personregister för privat bruk. Tillämpningen av "DIFS:arna” har inneburit en direkt rationalisering av datainspektionens verksamhet.
Vidare har datainspektionen utformat ett stort antal s. k. fasta skrivalter- nativ. som med hjälp av ordbehandlingsmaskiner används vid avfattandet av beslutsförslag. De fasta skrivalternativen har kommit till användning i stor utsträckning.
Datainspektionen tillämpar även en standardiserad handläggningsordning för ärenden som rör verksamheten inom bank- och försäkringssektorn samt vid prövningen av ansökningar som rör t. ex. marknadsundersökningar. direktreklamverksamhet. statistik ("SCB) och register för kommunal verk— samhet. Särskilt vid handläggningen av register för direktreklam har under de senaste åren stora rationaliseringsvinster gjorts.
Inför kravet på att handläggningen av tillståndsansökningar ytterligare måste rationaliseras har inspektionen företagit åtgärder som inneburit att vissa generella typbeslut med nödvändiga föreskrifter utformats. Typbeslu- ten kan med endast obetydlig ytterligare arbetsinsats användas vid vissa förutbestämda beslutssituationer som erfarenhetsmässigt inte innebär risk för integritetsintrång.
Datainspektionen har under det gångna verksamhetsåret genomfört ytterligare rationaliseringsåtgärder. Sålunda har handläggningen av det s. k. förenklade förfarandet ytterligare förenklats. innebärande att någon egentlig formell prövning inte längre sker. Därtill kommer att en ny blankett för ansökan om tillstånd tagits fram och numera tillämpas.
Trots genomförandet av ovan nämnda mycket omfattande rationalise- ringsåtgärdcr har datainspektionen kunnat klara sin uppgift endast på bekostnad av fortsatt eftersättande av tillsynsverksamheten. administratio- nen. personalutbildningen och informationsverksamheten. En sådan pressad situation kan endast klaras under en begränsad tidsperiod. Den fortsatta utvecklingen föranledde därför datainspektionen att dels i anslagsframställ- ningen för budgetåret 1981/82 belysa nödvändigheten av en rationalisering av tillståndsprövningen enligt datalagen. dels i skrivelse till regeringen den 20 november 1980 anhålla om att skyndsamt få utreda de behov av ändringar i lagstiftningen som bedömts som mest angelägna. Regeringen uppdrog den 4 december 1980i tilläggsdirektiv till DALK att med förtur och så snabbt som möjligt undersöka vilka åtgärder som kan vidtas för att på kort sikt rationalisera verksamheten hos datainspektionen genom att se över regel- systemet. Därefter anmälde inspektionen i särskild skrivelse till regeringen den 10 mars 1981 att situationen nu var sådan att en ytterligare omfördelning av personalresurserna mellan tillsyns- och tillståndsenheterna var nödvändig för att klara av tillståndsprövningen.
Prop. 1981/82:189 lll
Datainspektionen har i ovanstående skrivelser och i en promemoria (bilaga 3 till Ds Ju 1981:15/16) till DALK den 30 januari 1981 starkt betonat behovet av åtgärder på kort sikt för att effektivisera verksamheten. Inspektionen har därvid också belyst olika negativa konsekvenser av att bibehålla datalagen oförändrad i ytterligare ett antal år. De av DALK nu föreslagna åtgärderna och lagändringarna är enligt datainspektionens uppfattning en förutsättning för att inspektionen snarast möjligt — utan kraftiga personalförstärkningar— skall nå upp till och på ett tillfredsställande sätt uppfylla de mål statsmakterna lagt fast för verksamheten.
Enligt tilläggsdirektiven har DALK att i nära samråd med datainspektio- nen göra den utredning om rationalisering av tillståndsprövningen enligt datalagen som inspektionen tidigare hemställt om. Så har också skett. Från datainspektionens sida har särskilda personalresurser avdelats för detta ändamål. Således bildades inledningsvis en intern projektgrupp inom datainspektionen för att bereda frågor rörande DALK:s utredning. Det ansågs nödvändigt att bilda en relativt stor projektgrupp för att kunna förse den med sakkunskap som omfattade utredningsuppdragets två huvudområ- den. nämligen för det första administration. statistik och ekonomi och för det andra prövningsfrågor enligt ett ändrat regelsystem. Gruppen bestod av åtta personer representerande inspektionens båda enheter samt sekretariatet. I gruppen ingick också två representanter för personalorganisationerna. Chefen för tillståndsenheten har lett arbetet i gruppen.
Vid sidan av projektgruppen bildades en särskild arbetsgrupp tillsammans med DALK:s sekretariat. Gruppens uppgift var att ta fram underlag till ledning för DALK:s nu föreliggande rapport. Gruppen bestod från datainspektionens sida av två medlemmar från projektgruppen. nämligen chefen för tillståndsenheten och chefen för sekretariatet.
Riksförsäkringsverket konstaterar att DALK:s förslag till ingående förändringar i regleringen av personregister i huvudsak anges syfta till att underlätta datainspektionens arbetsbörda. Verket uppger att den långa handläggningstiden för vissa ärenden hos datainspektionen har medfört problem även för riksförsäkringsverkets verksamhet. Som exempel nämns att en dispensansökan enligt 10 ä 4 datalagen som ingavs till datainspektio- nen i januari 1980 ännu inte'i december 1981 avgjorts. Riksförsäkringsverket tillstyrker därför att åtgärder vidtas för att förkorta handläggningstiden vid inspektionen.
Länsstyrelsen i Stockholms län yttrar:
Av promemorian framgår, att datainspektionen har allvarliga problem att klara tillsyn och kontroll över den stora mängd personregister som förs med ADB enligt datalagen . Detta är inte bra.
De registrerade måste kunna lita på. att integritetsskyddet i ADB- registren upprätthålls på det sätt datalagen avser. Det åligger datainspektio- nen att vaka över att de registeransvariga för personregister. som förs med ADB. iakttar datalagens krav på säkerhet och hänsyn till den personliga integriteten. Detta är en mycket viktig uppgift.
Datainspektionen har tilldelats erforderliga personella resurser för tillsyn och kontroll över ADB—registren. Det är nödvändigt att dessa resurser verkligen utnyttjas på avsett sätt.
JO anför:
Prop. 1981/82:189 112
Datalagstiftningskommittén konstaterar även denna gång att de hittillsva- rande erfarenheterna av datalagen är goda. Effekten av lagen har. för de registrerade blivit den man strävade efter. lnga betydande krav på skärpning av bestämmelserna har rests från de registrerade eller från organisationer eller sammanslutningar som företräder dem i olika sammanhang. I JO:s verksamhet har inte heller kommit fram något som säger emot uppfattningen att de hittillsvarande erfarenheterna av datalagen är goda. Anmälningar till JO mot datainspektionen och rörande tillämpningen av datalagen har varit få. Vid inspektioner av datainspektionen har inte framkommit något som givit anledning till särskilt uttalande än mindre något ingripande.
Sveriges indtutriförbund och Svenska arbetsgivareföreningen yttrar:
Det är vid det här laget väl omvittnat att antalet tillståndspliktiga ärenden enligt datalagen vida överträffar det av sakkunniga på sin tid uppskattade antalet. Tillströmningen av sådana ärenden har fått den icke önskvärda konsekvensen att datainspektionens (DI) resurser i allt större utsträckning tagits i anspråk för handläggningen av sådana personalregister. som från integritetssynpunkt varit harmlösa. Resursanvändningen har därvid påver- kat den viktiga tillsynsverksamheten. som måst eftersättas.
Efterhand som erfarenheter vunnits. har datainspektionen visserligen sökt och i viss mån också lyckats motverka denna ogynnsamma utveckling genom att införa särskilda rutiner för prövningen av vissa grupper av "integritets- lätta" personregister.
Enligt inspektionens egen uppfattning har emellertid någon omprioritc- ring av de tillgängliga resurserna icke kunnat ske så länge den nuvarande ordningen gäller. som innebär tillståndsprövning av varje enskilt ärende. Organisationerna. som varit i tillfälle att på nära håll följa inspektionens arbete. finner ingen anledning att ifrågasätta datainspektionens .bedöm- ning.
Kommun-Data AB uppger att egna erfarenheter och DALK:s nu behandlade promemoria påvisar att handläggningstiderna för tillståndsären- den hos datainspektionen är oacceptabelt långa och tenderar att öka. Tidsutdräkten och svårigheten att planera handläggningstiden är mycket besvärande för den registeransvarige vid inrättande eller förändring av personregister. Bolagen har därför uppfattningen att innan utredningen om en allmän personregisterlag slutförs. måste tiden för erhållande av tillstånd nedbringas genom mer kortsiktiga åtgärder.
Statens Izumanistiskt-samhällsvetenskapliga forskningsråd (HSRF) anser att datainspektionens verksamhet till följd av bl. a. ett kraftigt ökat antal ansökningar om tillstånd. har fått en inte önskad inriktning. Framför allt har tillsynsärendena inte kunnat skötas på ett tillfredsställande sätt. Vidare har väntetiderna på tillstånd blivit oacceptabelt långa i vissa fall. Detta har enligt rådet tyvärr drabbat ett flertal forskare. som därigenom blivit fördröjda i sitt forskningsarbete och även fått ekonomiska problem till följd därav.
HSRF yttrar vidare:
DALK anser att förslaget innebär administrativa förbättringar även för de registeransvariga genom att tiden för väntan på beslut kommer att minska. HSFR anser det vara ett krav att väntetiderna väsentligt nedbringas. ty under
Prop. 1981/82:189 113
de senaste åren har den genomsnittliga handläggningstiden för närmare 30 % av ärendena enligt förenklat förfarande (ärendegrupp 121) varit mer än tre månader. Totalt sett är handläggningstiden betydligt över en månad för flertalet ärenden och mer än tre månader för fjärdedelen av samtliga ärenden. För forskare med forskningsanslag innebär sådana handläggnings- tider stora problem.. i synnerhet som en forskare inte får börja insamlingen av material före datainspektionens beslut. HSFR hyser därför förhoppningen att de föreslagna förändringarna även ger möjlighet till att förkorta handläggningstiden för de forskningsregister som även framgent behöver tillståndsprövning.
4 Den allmänna inställningen till DALK:s överväganden rörande åtgärder på kort sikt
4. 1 Dalkzs förslag
När det gäller DALK:s förslag till åtgärder på kort sikt ansluter sig en stor grupp remissinstanser till DALK:s förslag till åtgärder. Dessa remissinstan- ser betonar behovet av omedelbara åtgärder för att åstadkomma en överflyttning av datainspektionens resurser till prövning av mer känsliga register och tillsynsverksamhet. Från flera håll betonas att förslaget kommer att medföra en förstärkning av integritetsskyddet.
En något mindre grupp remissinstanser avstyrker eller ställer sig tveksam- ma till förslaget. Flera av dessa remissinstanser ansluter sig också till de skäl mot DALK:s förslag som reservanterna i kommittén fört fram. nämligen att man bör avvakta reSultatet av DALK:s arbete på en generell personregis- terlag och att man bör beakta behovet av stabilitet i lagstiftningen.
Några ifrågasätter vidare om DALK:s förslag är ägnat att lösa problemen för datainspektionen. Dessa. och också andra. pekar på att genomförandet
av det nya regelsystemet kommer att kräva stora resurser och ställa krav både på datainspektionen och de registeransvariga. Man anser också att integri- tetsskyddet kommer att försämras och förordar att datainspektionen i stället ges de resurser som krävs för tillämpningen av datalagen . Man pekar i detta sammanhang på att riksdagen bemyndigat regeringen att totalfinansiera verksamheten vid datainspektionen genom avgifter från de registeransvari- ga.
De remissinstanser som helt eller i princip & n sl ute r sig till D A L K : 5 r e fo r m fö r sla g eller uttalar sig positivt om detta ärJK, RÅ, överåklagareni Stockholm, länsåklagarna [ Värmlands län och i Kalmar län, datainspektionen. SARI, statskontoret. riksförsäkringsverket, bankinspektio- nen. försäkringsinspektionen, riksskatteverket, juridiska fakultetsnämnden vid Stockholms universitet, medicinskafakultetsnämnden vid Uppsala univer- sitet, länsstyrelsen i Stockholms län, länsstyrelsen i Malmöhus län, JO. styrelsen för Svenska kommunförbundet, reservanter till Malmö kommuns yttrande, styrelsen för landstingsförbundet. SAF, Sveriges industriförbund. Lantbrukarnas riksförbund, Kooperativa förbunden Riksdataförbundet.
Prop. 1981/82:189 114
Svenska sparbanksföreningen. Folksam, Svenska försäkringsbolags riksför- bund, statens humanistiskt-samhällsvetenskapliga forskningsråd. Svenska pastorderföreningen, SEBRO, Sparbankernas datacentraler'AB och Kom- mun-Data AB.
JK anför:
I promemoriorna föreslår datalagstiftningskommittén att endast den som registrerats hos datainspektionen och erhållit bevis om detta får inrätta eller föra personregister. Därutöver skall särskilt tillstånd krävas för vissa slags register. Kommittén anser (Ds Ju 1981 : 15 sidan 148) att förslaget kommer att medföra att den resurskrävande tillståndsprövningen kan koncentreras till fall då detta verkligen behövs och därmed märkbart minska resursbehovet för tillståndsprövningen. Bärkraften i detta argument undandrager sig min bedömning. Redan nuvarande regelsystem torde ge möjlighet för datain- spektionen att koncentrera sitt arbete på sådana personregister som bedöms vara av intresse ur integritetssynpunkt. Avsikten med förslaget är att endast sådana personregister som kan kränka den personliga integriteten skall vara tillståndspliktiga. Eftersom detta enligt min mening är uttryck för en riktig princip och då jag inte kan finna annat än att kommittén på ett i huvudsak godtagbart sätt har dragit gränsen mellan tillståndspliktiga och icke tillståndspliktiga personregister ställer jag mig bakom förslaget.
Riksåklagaren finner, att det mot bakgrund av datainspektionens och DALK:s bedömningar. som det med ett visst undantag inte finns anledning att ifrågasätta riktigheten av. inte föreligger anledning till erinran mot de förslag till provisoriska ändringar i datalagen som DALK framfört.
Riksåklagaren yttrar vidare:
De i föreliggande promemoria föreslagna ändringarna i datalagen är, som DALK anfört. att anse som provisoriska. motiverade av behovet av åtgärder på kort sikt. Förslaget ligger dock. enligt vad som utsågs. i linje med åtgärder som på längre sikt sannolikt måste vidtas inom ramen för en generell personregisterlag. Med hänsyn till att DALK har att utreda förutsättning- arna för en generell personregisterlagstiftning, som skall ersätta datalagen. uppstår fråga om föreslagna ändringar i datalagen är erforderliga i nuläget. Som framgår av promemorian har datainspektionen i sin anslagsframställ- ning för budgetåret 1981/82 och i skrivelse till regeringen den 20 november 1980 tagit upp vissa frågor rörande inspektionens verksamhet. som enligt inspektionens bedömning inte kan avvakta DALK:s pågående arbete utan kräver en snabbare lösning för att inte skyddet för enskilds personliga integritet skall äventyras. Därvid pekas främst på det förhållandet att tillståndsverksamheten tar alltför stor del av datainspektionens samlade resurseri anspråk med påföljd att tillsynsverksamheten blir eftersatt. Det har bedömts att det statsfinansiella läget knappast medger att datainspektionen tillförs ekonomiska resurser av sådan omfattning att inspektionens påtalade problem kan lösas härigenom. Ej heller finns anledning ifrågasätta inspek- tionens uppfattning att DALK:s utredning om förutsättningarna för en generell personregisterlagstiftning inte kan avvaktas. Med hänsyn härtill och till den stora vikten av att det personliga integritetsskyddet kontinuerligt vidmakthålls och om möjligt förstärks finner jag skäl tala för att införa sådana
Prop. 1981/82:189 115
prövisoriska ändringar i datalagen som får till följd att verksamheten vid datainspektionen kan rationaliseras så att tillstånds—. tillsyns- och informa- tionsverksamheten effektiviseras. Angelägenheten av att hålla tillbaka datalagens ekonomiska och administrativa konsekvenser för de registeran- svariga talar även härför.
Överåklagaren i Stockholm finner att det med hänsyn till att DALK nu utreder frågan om en generell personregisterlagstiftning kan ifrågasättas om ändringar i datalagen över huvud taget nu skall företas. Överåklagaren fortsätter:
Det är å andra sidan av stor vikt att datainspektionen får möjligheter till effektiv tillsynsverksamhet. Om ökade ekonomiska resurser inte kan ställas till inspektionens förfogande. finns det därför enligt min mening inte något att erinra mot DALK:s förslag att tillstånd endast skall krävas till inrättande och förande av integritetskänsliga register. särskilt med beaktande av att den tillståndsprövning som nu sker vad avser mindre integritetskänsliga register är summarisk.
Länsäklagaren i Värmlands län finner inte heller anledning att betvivla riktigheten av datainspektionens bedömning att sådana åtgärder är nödvän- diga för att inspektionens resurser i önskvärd omfattning skall kunna föras över från tillständsverksamhet till tillsynsverksamhet. Länsåklagaren fort— sätter:
Om de föreslagna åtgärderna skall vidtas eller inte beror i hög grad på en bedömning av frågan hur åtgärderna kan antas inverka på integritetsskyddet i samband med ADB. Det finns enligt min mening inte någon anledning att ifrågasätta riktigheten av inspektionens och DALK:s bedömningar att de förslag som läggs fram i promemorian inte medför någon försämring utan snarare en förbättring av datalagens integritetsskydd. Det synes mig som om kommittén har lyckats tillgodose kravet på bibehållet integritetsskydd och enkelhet och smidighet i prövningsförfarandet på ett tillfredsställande sätt genom förslaget till licens- och tillståndsförfarande.
Länsäklagaren [ Kalmar län redovisar utförligt varför han tillstyrker DALK:s förslag. Han yttrar:
Det kan konstateras. att datainspektionens viktiga tillsynsverksamhet tvingats stå tillbaka för handläggning av mängden av tillståndsprövningar enligt datalagen. Självklart medför detta konsekvenser för kontroll och säkerhet vid ADB (s. 92). Kommittén slår fast att när det gäller verksamheten inom den offentliga sektorn erfarenheterna av datalagen från snäv integritetssynpunkt inte helt och hållet är gynnsamma. Det har gällt stora statliga personregister och möjligheterna att genomföra olika kontroll- åtgärder med hjälp av ADB. Man pekar särskilt på kontrollen av bostadsbidrag genom samkörning av inkomstuppgifter som den enskilde lämnat i det sammanhanget med uppgifter som i annat sammanhang lämnats om sjukpenninggrundande inkomst (s. 102'). Datainspektionen. som yttrar sig innan regering och riksdag fattar beslut. har genomgående varit kritisk mot mycket stora statliga personregister och mot samkörningar av person- register för kontrolländamål (s. 102). Samtidigt redovisar kommittén att — enligt datainspektionens uppfattning — den nya ansträngda ekonomiska
Prop. 1981/82:189 116
situationen innebär att den fortsatta datoriseringen på den offentliga sektorn och den privata sektorn kommer att ske i allt snabbare takt. Vidare kommer i syfte att komma åt den s. k. ekonomiska brottsligheten kraven att öka på ytterligare samkörningar av sagda slag. En anpassning till den nya ekonomiska situationen kan enligt datainspektionen bara ske genom en lagändring (5. 119). Kommittén synes ansluta sig till denna uppfattning — i varje fall på kort sikt (s. 127 och 253).
Låt mig anföra några exempel. Fortfarande florerar i praxis fall där företagsledare (företrädare för fåmansbolag och andra) tillverkar eller låter tillverka falska eller osanna leverantörsfakturor för att därigenom skaffa sig bokföringsmässigt underlag för att betala "svarta" löner eller kräva återbetalning av mervärdeskatt. Till det oriktiga materialet fogas följesedlar, varav en del avsiktligt tas undan för att försvåra kontrollen av de påstådda leveranserna. I förundersökningarna kan det röra sig om tusentals sådana följesedlar och leveransfakturor. Givetvis kan i sådana fall kontrollen inte ske manuellt. ADB-teknik måste användas.
I utredningar angående misstänkta gäldenärsbrott och skattebrott samt valutabrott möter polis och åklagare svåra problem rörande bulvanförhål- landen. Detta gäller både fysiska och juridiska personers inblandning. I sådana fall används personregister av utredande personal för att söka kartlägga vem som i varje fall har det dominerande faktiska inflytandet i bolagen ifråga. Det är en uppgift för undersökningsledaren att se till att endast sådana registerbesked från t. ex. länsstyrelsens register används i en omfattning som ligger inom vederbörande enhets normala arbetsområde. Undersökningsledaren har dessutom att övervaka att riskerna för otillbörligt intrång i den personliga integriteten undanröjs. Jag tänker särskilt på de fastighetstransaktioner som förekommer med s. k. O—taxerare inblandade. Här krävs en samkörning mellan exempelvis inkomstregister för aktieägare och fastighetsregister.
Dessa integritetshotande samkörningar synes förutsätta att rutinerna för samarbete mellan polis. åklagare, skattesidan. tull och kronofogde rn. fl. myndigheter läggs fast från början. Ett exempel på sådana rutiner för denna region bifogas.
Datalagens bestämmelser i hithörande sammanhang blir således av stor betydelse för den offentliga sektorn (s. 126). Från åklagarsynpunkt synes det därför vara välgrundat att datalagen utformas så. att datainspektionens tillsynsverksamhet intensifieras. Jag delar emellertid kommitténs uppfatt- ning att ändringarna i lagen inte får sådan omfattning att stabiliteten i lagstiftningen äventyras (s. 126). Förutsebarhet är ett betydelsefullt begrepp. särskilt inom datalagstiftningen.
Förundersökningar angående de kvalificerade ekonomiska brotten — dvs. utredningar som är juridiskt komplicerade eller av omfattande natur — är i dag tids- och personalkrävande. Likafullt måste målet vara att snabbt komma fram till åtal och dom. Åtgärder för detta har föreslagits bl. a. i Promemorian Översyn av utredningsförfarandeti brottmål (Ds Ju 1977115) särskilt s. 1 17 ff. Det torde kunna hävdas att ökade personalinsatser inte kan komma ifråga för att utreda aktuell ekonomisk brottslighet. I stället får prioritering och inre spaning i register ingå som en del i modellen för utredningarna av ekonomisk brottslighet.
Jag finner det därför välgrundat av kommittén att tillståndskravet enligt datalagen behålls för personregister av sådan typ som innebär särskilda risker
Prop. 1981/82:189 117
för otillbörligt intrång i enskilds personliga integritet. Likaledes tillstyrkes från de synpunkter jag företräder förslaget om ett registrerings- och licensförfarande.
Länsåklagaren bifogar vidare en promemoria över handläggningsrutiner angående utredningen av kvalificerade ekonomiska brott i Kalmar län.
Datainspektionen förklarar sig vara övertygad om att ett fullgott och i vissa avseenden bättre integritetsskydd kan uppnås i framtiden om de föreslagna ändringarna i datalagen kommer till stånd. Inspektionen upplyser att förslaget innebär att inspektionens verksamhet kan förskjutas till förmån för tillsynsverksamheten.
SARI anför:
Samarbetsorganet finner helt allmänt att förslagen till ändringar i datalagen är ägnade att leda till förenklingar, och de bör om de genomförs kunna minska kostnaderna för den kontroll som bör upprätthållas när det gäller personregistrering med ADB. SARI anser därför att den föreslagna lagstiftningen bör genomföras till den del den innebär att kravet på tillstånd för personregister begränsas till sådana som är särskilt känsliga.
Riksförsäkringsverket förklarar sig dela DALK:s uppfattning att risken för intrång i den personliga integriteten inte ökar nämnvärt av att personregister med mindre känsligt innehåll undantas från tillståndsskyldighet.
Bankinspektionen anför:
Lämpligheten av alltför täta ändringar av väsentliga delar i datalagen kan naturligtvis ifrågasättas. särskilt när detta sker under övervägande om en mer avgörande förändring av personregisterlagstiftningen. Det föreliggande besparingssyftet är emellertid värt att stödja. Utan föreslagna lagändringar skulle en relativt betydande resursförstärkning vara nödvändig för att datalagens syfte i fråga om integritetsskydd skall uppfyllas. Förslaget bör därför enligt inspektionens uppfattning tillstyrkas. Det bör ge en god grund för lagstiftningen.
Statskontoret. som sammanfattningsvis förklarar att myndigheten tillstyr- ker förslaget yttrar i fråga om behovet av åtgärder:
Ökningen av antalet tillståndsärenden har medfört att en oproportioner- ligt stor del av datainspektionens resurser används för prövning av olika typer av tillståndsärenden. Man har problem med långa behandlingstider, stor arbetsbörda för personalen och trots detta otillräcklig prövning av vissa tillståndsärenden. Inspektionens tillsynsverksamhet har vidare under flera år blivit eftersatt.
Det torde vara svårt för datainspektionen att genom interna åtgärder lösa dessa problem. Statskontoret instämmer därför i att läget motiverar att särskilda åtgärder vidtas för att på kort sikt förbättra förutsättningarna för datainspektionens verksamhet. Med hänsyn till att åtgärderna måste genomföras snabbt och att ny lagstiftning om personregister kan komma om några år bör man dock undvika att göra några genomgripande förändringar av nuvarande lagstiftning.
Det finns inget i utredningens material som tyder på att integritetsskyddet i dag är bristfälligt. Antalet anmälningar till datainspektionen från allmänhet — rörande felaktigheter i datasystem, misstänkta överträdelser av datalagen
Prop. 1981/82:189 118
m. m. — ger inte anledning att dra andra slutsatser än att integritetsskyddet i stort svarar mot allmänhetens krav. Oron över datoriseringen tycks numera främst gälla dess effekter på sysselsättning och arbetsmiljö. Även detta talar för att relativt begränsade åtgärder nu vidtas.
Statskontoret förklarar vidare att man biträder DALK:s förslag att begränsa det nuvarande tillståndstvånget (se vidare avsnitt 4.2 ).
Riksskatteverket delar DALK:s uppfattning att den nuvarande tillstånds- verksamheten bör ändras på något sätt. Såsom DALK uttalat bör det enligt verket i lagen anges vilka personregister som bör vara föremål för tillståndsprövning och inte som hittills vilka personregister som bör vara undantagna från tillståndskravet. Verket har dock invändningar mot vissa delar av det system som DALK föreslår.
Juridiska fakultetsnämnden vid Stockholms universitet redovisar i ett yttrande utförligt argument för och emot DALK:s förslag. Nämnden anför bl. a.
2. Mot en ändring av tillståndskravet kan invändas. att man bör avvakta till dess frågan har avgjorts om en generell personregisterlag bör ersätta datalagen . Reservanterna i DALK anför också att det är tveksamt om man bör anförtro ett väsentligt ökat ansvar för lagens tillämpning åt de registeransvariga. att det rör sig om en principiell fråga som inte bör lösas på kort sikt och att önskemålet om stabilitet i lagstiftningen måste gå främst.
3. Betänkandet ger flera belägg för att en insnävning av tillståndskravet är motiverad. Argumentationen har emellertid också svagheter. Man kan bl. a. fråga sig vilka effekterna är för resursfördelningen inom myndigheten av de ändringar av handläggningen av ansökningar enligt det 5. k. förenklade förfarandet som genomförts år 1981 (sid. 70). Man kan vidare fråga sig om detär möjligt att utan vidare omfördela handläggarresurser mellan tillstånds- och tillsynsverksamhet på det sätt DALK räknar med. Kvalifikationskraven är inte identiska utan kan tvärtom skilja sig åt avsevärt. En illustration får man av en jämförelse mellan handläggning av en tillståndsansökan enligt det förenklade förfarandet och en utredning på fältet om t. ex. säkerheten i on-line system. DALK uppmärksammar inte denna fråga och betänkandet lämnar därför ingen vägledning om problemen vid en omfördelning av nuvarande resurser från tillståndssidan till tillsynssidan. Krävs nyrekrytering av personal även om antalet tillståndsärenden minskar? Man saknar också en närmare granskning och diskussion av de typer av register som hittills varit föremål för tillståndstvång med krav på fullständig ansökan. men som enligt förslaget kommer att gå in endast under licenskravet (jfr tabeller på sid. 58 och 173). Detta innebär vissa svårigheter då man tar ställning till effekterna av förslaget för de registeransvariga och till riskerna för en försvagning av integritetsskyddet.
4. Vid en samlad bedömning av behovet av en ändring av tillståndskravet bör följande omständigheter vara utslagsgivande. (a) Datainspektionen själv finner att en ändring är nödvändig för att effektivera tillsyns- och informationsverksamheten. som nu inte motsvarar de krav datalagen ställer. Framför allt är initiativärendcna nu helt eftersatta. Det är över huvud taget betänkligt att myndigheten har svårigheter med utredningsverksamhct och
Prop. 1981/82:189 119
kompetensuppbyggnad inom ett verksamhetsfält som är i snabb utveckling. Datainspektionens roll som expert på ADB av persondata måste säkerstäl- las. Den omfattar långt fler aspekter än de som gäller privatlivsskydd i snäv mening — bl. a. rättssäkerhetsaspekter. konsumentskyddsaspekter. arbets— livsaspekter och informationsfrihetsaspekter. Även om inte myndigheten har det direkta. uteslutande och slutliga ansvaret i alla dessa frågor fyller den en viktig funktion genom att ha samlad överblick och möjligheter att ta initiativ till utredningar och åtgärder. I framtida lagstiftning — eventuellt i anslutning till en generell personregisterlag — kan det bli aktuellt att markera detta breda ansvarsområde för datainspektionen. (b) Ändringen av till- ståndskravet kan endast från formell synpunkt uppfattas som en principiell nyhet. I praktiken innebär det 5. k. förenklade förfarandet för tillståndsan- sökningar redan i dag snarast ett anmälningsförfarande. Från den synpunk- ten möter således knappast några betänkligheter mot att snäva in tillstånds— kravet enligt DALK:s förslag. (c) Genom kombinationen av licenskrav och krav på ingivande av förteckningar över personregister kommer datainspek- tionen att också fortsättningsvis ha överblick över ADB av persondata. Samtidigt kommer ökade resurser att kunna tilldelas tillsynsverksamheten (ett angeläget objekt förefaller vara dataservicebyråerna — jfr sid. 87). Riskerna för att skyddet av den personliga integriteten försvagas får därför bedömas som små. Bördan på de registeransvariga är å andra sidan knappast överväldigande: ADB-verksamheten måste ändå dokumenteras för en mångfald syften (jfr bl. a. bokföringslagen . avtalsförhållanden, försäkrings- bestämmelser. arbetsrättsliga förhållanden). Det är givetvis angeläget att licens- och anmälningsförfarandet utformas enkelt och på ett sätt som besparar de registeransvariga onödigt arbete.
Medicinska fakultetsnämnden vid Uppsala universitet anför:
Även om fakultetsnämnden kan konstatera att DALK:s förslag innebär möjlighet till vissa förenklingar av tillståndsförfarandet — vilket nämnden tidigare efterlyst när det gäller personregister för forskningsändamål — måste nämnden med beklagande konstatera att lättnaderna knappast gäller den medicinska forskningen. Från de synpunkter medicinska fakultetsnämnden har att ta särskild hänsyn till finns det emellertid ingen anledning att motsätta sig den föreslagna ändringen av regelsystemet.
Länsstyrelsen iStockholms län delar DALK:s uppfattning att förenklingar i tillståndsreglerna bör göra det möjligt för datainspektionen att utan resursförstärkningar utöva tillsynsverksamheten enligt datalagen på ett tillfredsställande sätt och att detta kan ske utan att skyddet för den personliga integriteten och kravet på kvalitet i registerinformationen behöver eftersät- tas eller försämras. Länsstyrelsen tillstyrker därför DALK:s förslag till förenklingar på kort sikt.
Länsstyrelsen i Malmöhus län delar datalagstiftningskommitténs uppfatt- ning att ett licens- och tillståndsförfarande så som det skisserats i promemorian är den lämpligaste vägen att komma tillrätta med de negativa konsekvenser nuvarande generella tillståndsregler medför. Också kommit- téns förslag i övriga delar anser länsstyrelsen väl grundade.
JO anför att han inte har några invändningar mot den bedömning av olika handlingsalternativ som kommittén har gjort och fortsätter:
Prop. 1981/82:189 120
Jag kan följaktligen ställa mig bakom det förslag till licens- och tillståndsförfarande som kommittén — för övrigt i nära samråd med datainspektionen— har arbetat fram. Det förslaget ligger ju också väl i linje med diskussionerna om en tänkbar konstruktion av en generell personregis- terlag. Datainspektionens huvuduppgift måste rimligen vara att bevaka integritetsfrågorna. För att inspektionen skall kunna lösa denna uppgift måste — när nämnvärda resursförstärkningar knappast kan påräknas — som jag ser det tillsynsverksamheten prioriteras.
En minoritet (reservation) inom Malmö kommunstyrelse yttrar följan- de:
På grund av den snabba tekniska utvecklingen inom dataområdet kan man förvänta sig att inom en nära framtid antalet personregister kommer att öka avsevärt. Inom kommunen planerar man att såsom terminal använda en mikrodator med lokal möjlighet att lagra avsevärda mängder av information (personregister). Inom en period av 3—4 år kommer Malmö kommun troligen att ha ca 500 sådana terminaler (datorer) utplacerade hos de olika förvaltningarna. Kommunen anser därför att det är nödvändigt med en lättare och effektivare administration av gällande lag och förordar därför DALK:s förslag till ett nytt licens- och tillståndsförfarande.
Kommunen anser emellertid i likhet med reservationen av ledamöterna Stig Gustafsson. Kurt Hugosson och Britt Wickum att ett ändamålsenligt integritetsskydd svårligen kan upprätthållas vid den alltmer ökande ADB- användningen om inte datainspektionens resurser förstärkes. Trots detta är det knappast möjligt att från centralt håll utöva en tillsyn som innebär att automatisk databehandling inte medför otillbörligt intrång i personlig integritet. Hos den lokala myndigheten bör det därför finnas kontaktmän vid ADB-enheten som utför en viss tillsyn över verksamheten vid myndighetens datorer.
Styrelser: för landstingsförbundet yttrar:
Datalagstiftningens grundläggande syfte är att skapa garantier för skydd av den personliga integriteten. Vid bedömningen av nu föreliggande förslag måste prövas om föreslagna åtgärder påverkar detta syfte. Landstingsför- bundets styrelse anser sig dock inte ha anledning att göra en sådan övergripande bedömning utan begränsar sig till att föra fram de synpunkter som anknyter till landstingens intressen som ansvariga för olika dataregis- ter.
Utifrån dessa utgångspunkter har förbundsstyrelsen inget att erinra mot DALK:s förslag att tillståndsplikten endast skall behållas för speciellt integritetskänsliga register och att det för övriga register endast skall krävas att den registeransvarige har licens och i övrigt följer de krav som lagen ställer på förandet av personregister.
SAF och Sveriges industriförbund finner att det finns anledning att förmoda att ett oförändrat regelsystem kommer att försämra förutsättning- arna för en ändamålsenlig inriktning av datainspektionens verksamhet. Organisationerna anför vidare:
Organisationerna finner mot denna bakgrund att skäl kan anföras för en mera vidsträckt avreglering av tillståndstvånget än som DALK nu förordat.
Prop. 1981/82:189 . 121
Med hänsyn till att vi, liksom kommittén, ser det föreliggande förslaget som en interimistisk lösning i avvaktan på en mera genomgripande omarbetning av datalagen . motsätter vi oss emellertid inte ett genomförande av det nu framlagda förslaget till ändring av datalagen .
Riksdataf'o'rbundet anför:
DALK:s förslag medför att endast en mindre del av det totala antalet ADB-register underkastas tillståndsprövning. RDF biträder uppfattningen att detta inte utgör risk för försvagat integritetsskydd. Skälen härtill är två. Tillsynsverksamheten förutsätts blir effektivare. Vidare skall den i 7 aå datalagen föreslagna grundläggande regeln om vissa skyldigheter för den registeransvarige att ta hänsyn till integritetsskyddet gälla alla register; sanktionsmöjlighet finns i form av föreskrifter eller förbud enligt 18 5. Den av reservanterna i detta sammanhang (sid. 271. andra stycket) uttryckta farhågan att de registeransvariga får ett väsentligt ökat ansvar för lagens efterlevnad synes ej väga tungt. Datalagen har nu gällt och datainspektionen varit i verksamhet så länge att viss kännedom om lagens existens numera får anses föreligga hos flertalet registeransvariga. Och. som sagt. någon straffsanktion kan här inte förekomma.
Kooperativa förbundet yttrar:
KF noterar med tillfredsställelse att det nu framlagda förslaget är präglat av samma anda som låg till grund för KF:s yttrande redan över DALK:s betänkande "Personregister—Datorer—Integritet" (SOU 1978254), nämligen att lagstiftningen borde inriktas så. att datainspektionens arbete med tillståndsgivning minimeras och i stället kan inriktas på tillsynsverksamhe- ten.
Automatisk databehandling av sådana register. som nu enligt förslaget skulle befrias från särskild tillståndsplikt. är sedan länge allmänt förekom- mande inom företag och organisationer. KF anser att det inte finns anledning att befara att det ökade ansvar för de registeransvariga. som förslaget innebär, kommer att medföra några nackdelar. KF vill därföri allt väsentligt ställa sig bakom DALK:s förslag.
Lantbrukarnas riksförbund (LRF) anför:
LRF delar DALK:s uppfattning att den nya utformningen av datalagen bör ta sikte på en koncentration av Datainspektionens arbete på de mycket integritetskänsliga registren. Nuvarande krav på tillstånd för alla register som kan betecknas som personregister utgör en belastning för både företagen och datainspektionen. För de vanligaste registren — kund-, reskontra—. anställnings- och medlemsregistren — utgör den formella proceduren med tillståndsansökan en onödig process. Förslaget att ge en generell licens till företagen för denna typ av register är därför ett steg i rätt riktning.
Behovet av och värdet av denna licensgivning har emellertid enligt LRF:s uppfattning ej dokumenterats på ett övertygande sätt. men LRF kan trots detta acceptera förslaget härom.
Statens hurnanistiskt-samh('i/[svetenskapliga forskningsråd förklarar att man tillstyrker att det nuvarande tillståndskravet enligt 2 %$ datalagen endast kommer att omfatta register som innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet.
Prop. 1981/82:189 122
Svenska postorderföreningen konstaterar att förslagen till åtgärder bl. a. syftar till att förenkla det administrativa arbetet med ansökan om tillstånd från datainspektionen då förändringar skall göras i kundregister. Detta är enligt föreningen en positiv förändring som föreningen stöder.
SEBRO påminner att proceduren med ansökan för varje enskilt register har ifrågasatts av SEB RO vid upprepade tillfällen när det gäller området för förenklat förfarande. SEBRO välkomnar DALK:s förslag om slopande av ansökningsförfarande för register inom detta område.
Svenska sparbanksfr'jreningen anför:
Utgångspunkten för ändringsförslaget är dels att rationalisera verksamhe- ten vid datainspektioncn. dels att i datalagen inarbeta vissa bestämmelser föranledda av internationella konventioner.
För sparbankernas del är det främst de lagändringar som föreslås för att åstadkomma rationaliseringar hos datainspektionen som tilldrar sig intresse. Sparbanksföreningen — som därför inskränker sig till att endast yttra sig över denna del av promemorieförslaget — konstaterar mcd tillfredsställelse att det föreslagna nya licens- och tillståndsförfarandet vid datainspektionen innebär en klar förenkling för avnämarna — de registeransvariga. Det torde nämligen för sparbankernas/SPADAst del medföra att det mer sällan blir nödvändigt att inhämta särskilt tillstånd att få inrätta och föra personregister.
Sparbanksföreningen tillstyrker därför ändringsförslaget i den nu berörda delen.
Kommun-Data AB uppger: Styrelsen tillstyrker det tredje alternativet, licensalternativet. som DALK själv valt. Licensalternativet innebär administrativa förenklingar för kom- muner och landsting.
De remissinstanser som avstyrker eller åberopar skäl mot DA L K : s förslag är hovrätten för Västra Sverige, kammarrätten i Sundsvall. ledamöterna Lennart Petterson. Kurt-Ove Johansson och Kerstin Gustafsson i datainspektionens styrelse ( reservation). trafiksäkerhetsverket. ledamoten av bankinspektionens styrelse Evert Hedberg (reservation). riksrevisionsverket. UHÄ. juridiska fakultetsnämnderna vid Uppsala och Lunds univensitet. tekniska högskolan i Stockholm. Malmö kommun. LO. TCO och Sveriges advokatsamfund.
Hovrätten för Västra Sverige anger sammanfattningsvis att hovrätten avstyrker de framlagda förslagen till författningsändringar utom vad avser anpassningen till de internationella överenskommelserna. Hovrätten föror- dar i andra hand en grundlig överarbetning av de föreslagna författningstex— terna innan de antas. Som skäl för sitt ställningstagande anför hovrätten:
Hovrätten ifrågasätter om det av kommittén föreslagna licens- och tillståndsförl'arandet är ägnat att ens på kort sikt avhjälpa de svårigheter som uppkommit för datainspektionen vid fullgörandet av dess huvuduppgifter. I promemorian demonstreras tydligt vilken omfattande verksamhet som blivit följden av de stora ambitionerna. Mot bakgrund härav kan det befaras att även de nu föreslagna åtgärderna. som ändock får anses som provisoriska.
Prop. 1981/82:189 123
blir alltför resurskrävande. Hanteringen av licensansökningar från redan existerande registeransvariga. utarbetandet av nya tillämpningsföreskrifter (DIFS) och nya rutiner för registrerings- och licensförfarandet samt arbetet med att informera registeransvariga och registrerade kommer sannolikt att under förhållandevis lång tid kräva avsevärda arbetsinsatser. Den egentliga tillståndsprövningen och tillsynsverksamheten kan därför ej heller i fortsätt- ningen antagas bli tillräckligt effektiv.
Hovrätten ifrågasätter även värdet överhuvudtaget av det föreslagna licensförfarandet som inte innefattar vare sig prövning eller tillsyn utan endast en registrering av registeransvariga. Den snabba utvecklingen inom datatekniken kan fi.")rväntas medföra en stark ökning av antalet personregis- ter. Det stora flertalet av dem. i huvudsak inrättade inom den enskilda sektorn. kommer inte att innehålla känsliga personuppgifter. Möjligheterna för datainspektionen att på detta område hindra lagstridig registrering av personuppgifter och illojal användning i övrigt av sådana uppgifter torde i realiteten vara mycket små. Hovrätten anser det därför mest ändamålsenligt att koncentrera verksamheten till särskilt känsliga register och helt slopa registrering av övriga personregister. Att motivera en heltäckande registre- ring med allmänna översikts- eller statistikskäl torde ej vara tillfyllest. Behovet av tillsyn över de typiskt sett mindre känsliga registertyperna torde kunna inskränkas till de fall där klagomål anföres.
Den mer ingripande ändring av datalagens systematik. som hovrätten sålunda förordar. bör emellertid inte göras innan kommittén lagt fram sitt förslag angående en generell personregisterlag. Det framstår inte heller som oundgängligen nödvändigt att nu tillgripa kortsiktiga ändringar i datalagen föratt förbättra arbetssituationen hos datainspektionen. De lättnader som år 1981 införts vid handläggningen i det förenklade ansökningsförfarandct bör redan ha lett till att viss handläggningskapacitet frigjorts. Motsvarande gäller andra redan införda eller prövade rationaliseringsrutiner. Även om vissa ärenden på grund av balanserna måste tas med förtur — vilket påpekats inverka negativt på arbetssituationen i övrigt — torde ett sådant arbetssäft tills vidare få accepteras. Om prioriteringen sköts på rätt sätt. torde någon större skada från integritetssynpunkt ej heller uppkomma.
Kammarrätten iSundsva/l delar uppfattningen att det är otillfredsställan- de att datainspektionens tillsynsverksamhet på grund av bristande personal- resurser alltsedan datalagens tillkomst inte kunnat bedrivas i den omfattning som förutsattes då lagen kom till. Kammarrätten anser dock att man helst bör avvakta tillkomsten av en generell personregisterlag innan sådana omfattan- de ändringar som de av DALK föreslagna vidtas på kort sikt i det nuvarande tillståndstvånget och att man i vart fall inte bör genomföra dessa åtgärder innan DALK skyndsamt utrett frågan om inte en utökad tillsynsverksamhet skulle kunna finansieras genom höjda avgifter. Om det skulle visa sig att en utökad tillsynsverksamhet kan finansieras på detta sätt förutsätter kammar- rätten att den ytterligare rationalisering av tillståndsverksamheten genom- förs. som — enligt vad DALK visat — är möjlig.
Kammarrätten yttrar vidare: Om förslaget att upphäva den nuvarande huvudregeln om tillståndstvång för personregister genomförs och det skulle bli så att icke tillståndspliktiga personregister inrättas som innebär risk för otillbörligt intrång i personlig
Prop. 1981/82:189 124
integritet är enligt kammarrättens mening faran stor att detta inte kommer till datainspektionens kännedom. eftersom dess tillsynsverksamhet ändå inte kan få karaktären av annat än stickprovskontroll i kombination med prövning av klagomål som riktas mot ett register. Härtill kommer att tillståndsprövningen och de kontakter med registeransvariga. som den medför, innefattar även ett visst mått av tillsyn samt information och rådgivning. Någon skarp gräns mellan den ena och den andra verksamheten är alltså inte möjligt att dra. Såsom DALK påpekar (sid. 101) har man anledning utgå från att datalagen och datainspektionens verksamhet haft stor betydelse för att antalet fall av integritetsintrång hittills varit begränsat. Att i en sådan situation på kort sikt upphäva huvudregeln om tillståndstvång för personregister som förs med ADB för att frigöra personalresurser förefaller enligt kammarrättens mening betänkligt.
Lennart Persson och Kurt-Ove Johansson anför i sin reservation till datainspektionens yttrande följande:
Vi delar inte majoritetens uppfattning att åtgärder på kort sikt bör genomföras i enlighet med alternativet licens- och tillståndsförfarande som DALK:s majoritet föreslår i sitt delbetänkande. DS Ju 1981:15. Vi anser vidare att den bakgrundsbeskrivning som redovisas i majoritetens förslag till remissvar inte är rättvisande utan tillrättalagt för att svara upp mot arbetsgruppens intentioner. '
Så sent som den 1 juli 1979 ändrades datalagen efter förslag från DALK. förslag som var väl förankrade i datainspektionens styrelse och svarade mot de önskemål som inspektionen framfört såväl till kommittén som till justitiedepartementet. Något väsentligt nytt som föranleder förändringar i datalagen har enligt vårt förmenande icke inträffat sedan förra riksdagsbe- slutet. Däremot har DALK av regeringen fått tilläggsdirektiv för att utreda möjligheterna av en mera generell personregister]agstiftning. Detta arbete pågår nu och beräknas avslutas inom de närmaste två åren. Att i detta läge kortsiktigt göra stora förändringar i datalagen synes mindre välbetänkt. Det är möjligt att man i framtiden ska ersätta det generella tillståndssystemet som är grunden i nuvarande datalag men sådana principiella frågor bör enligt vår mening övervägas i anslutning till arbetet inom DÅLK med en generell personregisterlagstiftning.
Vi vill vidare erinra om att den framställning inspektionen gjorde 1980 om förändringar i datalagen ska ses mot bakgrund av att inspektionen inte tilldelats de ekonomiska och personella resurser som den kraftiga ökningen av tillståndsärendena uppvisat under senare år. Det är därför nödvändigt att inspektionen får de resurser som erfordras för att fullgöra sina åliggande enligt gällande lagstiftning och att tillsyns- och informationssidan förstärks med ett antal handläggare. I detta sammanhang bör vidare erinras om att riksdagen beslutat att datainspektionens verksamhet skall totalfinansieras genom ett heltäckande avgiftssystem. Någon belastning på statsbudgeten kommer därför inspektionens verksamhet icke direkt att innebära i ' framtiden. DALK har nyligen presenterat ett avgiftssystem som enkelt kan anpassas till nuvarande datalag.
Kerstin Gustafsson anför i sin reservation till inspektionens yttrande:
Jag anser att DALK. innan några ytterligare förändringar görs i datalagen . bör få avsluta sitt arbete med att undersöka förutsättningarna att på sikt ersätta nuvarande datalag med en personregisterlag. En sådan lag skulle
- Prop. 1981/82:189 125
kunna medföra att integriteten bedömdes med hänsyn till registreringen som sådan utan avseende vid den teknik med vilken registreringen sker. Innan arbetet med en personregisterlag slutförts är det enligt min mening helt olämpligt att genomföra de fundamentala förändringar av datalagen som föreslagits.
Trafiksäkerhetsverket ställer sig kritiskt till kommitténs förslag i huvudsa- ken. Enligt verkets mening är det olämpligt att på kort sikt införa ett komplicerat system med licensskyldighet som enligt verket med största sannolikhet kommer att behöva ändras om en generell lag om personregister införs.
Ledamoten i bankinspektionens styrelse Evert Hedberg anför i sin reservation till bankinspektionens yttrande:
Antalet ärenden vid datainspektionen har ökat kraftigt under senare år. Huvudparten av handläggarresurserna har därför fått tas i anspråk för tillståndsärendena och som en följd härav har tillsynssidan fått minskade resurser. Datainspektionen har därför under flera år krävt resursförstärkning men har icke fått detta. Det är mot denna bakgrund man ska se datainspektionens skrivelse till regeringen, i vilken man krävt förändringar i gällande lagstiftning. eftersom inspektionen ej nu kan fullgöra av lagstift- ningen föreskrivna uppgifter.
Datalagens skydd för den personliga integriteten får ej eftersättas. Detta skulle bli följden om grundvalen för datalagen . nämligen den individuella tillståndsgivningen skulle upphöra. Även ur psykologisk synpunkt torde det vara svårt att få förståelse för en sådan åtgärd bland allmänheten. vars oro för dataregistren enligt en nyligen genomförd utredning av statistiska central- byrån ökat under senare år. Till detta kommer att lagen nyligen ändrats och riksdagen då fastslagit att den fungerat bra. Att i nuvarande läge på nytt göra en förändring när utredning pågår om en generell personregisterlagstiftning synes icke motiverad.
Beträffande den kostnadsbesparing majoritetens förslag skulle innebära bör det noteras att riksdagen beslutat om att verksamheten vid datainspek- tionen skall totalfinansieras via avgifter. Ett förslag till avgiftssystem kommer att presenteras av DALK under hösten. Den föreslagna "bespa- ringen" påverkar således icke statsbudgeten utan endast avgiftsstorleken.
Under hänvisning till vad som ovan anförts anser jag att bankinspektionen i sitt yttrande bör avvisa DALK:s förslag och ansluta sig till den uppfattning som återfinns i den reservation som fogats till DALK:s förslag.
Riksrevisionsverket (RRV) instämmer i DALK:s bedömning att en rationalisering av tillståndsprövningen bör ske och att ökade resurser förs över till tillsynsverksamheten. RRV ifrågasätter dock om inte DALK:s förslag i allt väsentligt kan tillgodoses inom ramen för nuvarande lagstiftning och tilldelade resurser (nollalternativet). Verket föreslår ett "utvecklat" nollalternativ (se avsnitt 4.2 ). Verket fortsätter:
Skulle det visa sig vid den fortsatta beredningen av ärendet att hinder föreligger att genomföra ett utvecklat nollalternativ vill RRV inte motsätta sig att datalagen ändras nu. DALK:s förslag innebär dock inte bara åtgärder
Prop. l981/82:189 126
på kort sikt, utan ett genomförande av förslaget innebär att man binder sig för de grundläggande principerna i en framtida lagstiftning. RRV har emellertid ingen erinran mot att det framlagda förslagets huvudlinjer läggs till grund för ny lagstiftning. Men RRV anser att vissa delar i förslaget måste belysas mera utförligt.
] fortsatt beredning av ärendet måste bl. a. följande frågor klarläggas: Tillsynsverksamhetcns omfattning i samband med kontroll av inkomna förteckningar
—i vilken utsträckning skall DI pröva om de register som upptagits i förteckningen borde vara tillståndspliktiga —i vilken mån skall DI kontrollera om förteckningarna-är fullständiga och innehåller korrekt information.
Prövningen av licensansökan
— vilka närmare kriterier skall gälla vid prövning av licensansökningar. Innebörden av den föreslagna 18.5
— under vilka förutsättningar skall licensen kunna dras in.
Genom att licenshavare får föra personregister som inte är tillståndsplik- tiga kommer registeransvariga att på eget ansvar pröva om ett personregister är tillståndspliktigt och därigenom få ett ökat ansvar för lagens efterlev- nad
— är detta rimligt från rättssäkerhetssynpunkt. Ekonomiska konsekvenser
—vilka indirekta kostnader har nuvarande datalag medfört — i DALK:s nuvarande kartläggning saknas en samlad bedömning av datalagens ekonomiska konsekvenser — i sitt kommande betänkande med förslag till ny datalagstiftning bör DALK redovisa vilka direkta och indirekta kostnader som den nya lagstiftningen beräknas medföra.
UHÄ anför:
Med beaktande av att DAI K enligt tilläggsdirektiv erhållit uppdraget att pröva huruvida datalagen| ett längre perspektiv bör ersättas av en generell personregisterlag är det UHÄ: s uppfattning att ur såväl principiell som praktisk synpunkt, revision av datalagens tillståndssystem och allmänna konstruktion bör undvikas i avvaktan på att frågan har avgjorts om en generell personregisterlag ska ersätta datalagen.
UHÄ erinrar om att reservanterna i DALK har anfört. att det är tveksamt om man bör anförtro ett väsentligt ökat ansvar för lagens tillämpning åt de registeransvariga. UHÄ delar denna uppfattning och understryker. att det självklart ligger i sakens natur att datainspektionen i stället förstärker sin karaktär av tillsynsmyndighet och reellt och effektivt bevakar integritets- aspekterna.
Även om ändringarnai datalagen är att betrakta som åtgärder på kort sikt ställer sig dock UHÄ tveksamt till denna metod att söka möjliggöra för
Prop. 1981/82:189 127
datainspektionen att inom ramen för sina nuvarande personella resurser fullgöra sina uppgifter på ett tillfredsställande sätt. Som reservanterna noterat, berör DALK:s promemoria och förslag ytterst ömtåliga partier av personlighetsrätten. vilka föga lämpar sig för besparingsåtgärder med hjälp av författningsreformer.
Juridiska fakultetsnämnden vid Uppsala universitet. finner anledning att hysa betänkligheter mot ett förverkligande av kommittémajoritetens inten- tioner åtminstone i dagsläget. I yttrandet anförs till skäl för denna ståndpunkt:
För det första har i skilda sammanhang fastslagits. att datalagen i dess nuvarande gestaltning i stort sett har befunnits fungera tillfredsställande. (Jfr Promemorian s. 98 ff. s. 115 f, 5. 269 och passim.) Vissa justeringar av densamma har vidtagits med ikraftträdande den 1 juli 1979. Det rör sig följaktligen om en relativt färsk lagstiftningsprodukt, som inom den närmaste tiden ej utan tvingande skäl bör underkastas förnyade ingrepp. De av datainspektionen förebragta och av DALK accepterade argumenten torde härvidlag näppeligen framstå som fullt övertygande. (Se närmare a. a. s. 123 ff. 249 ff.)
För det andra har DALK enligt tilläggsdirektiv i mars 1980 erhållit uppdraget att pröva. huruvida datalagen i ett längre perspektiv bör ersättas av en generell personregisterlag. (A. a. s. 35.) Det förefaller ur såväl principiell som praktisk synvinkel äventyrligt att i ett dylikt läge vilja rekommendera revision av datalagen ”på kort sikt" i ett flertal betydelsefulla hänseenden. Betänkligheter reser sig mot ett sådant förfaringssätt. icke minst med hänsyn till stabilitetssynpunkten.
För det tredje synes den svenska datalagens tillståndssystem och allmänna konstruktion ha varit förebildliga vid utformning av datalagar i andra länder (jfr s. 271) samt synes även i huvudsak stå i god överensstämmelse med en av Europarådet numera antagen konvention till skydd för enskilda vid automatisk databehandling av personuppgifter. (Jfr s. 206 ff och 266 ff.) Givetvis bör den svenska lagstiftningen bringas i fullgod harmoni med konventionen i fråga om de detaljer. där bristande överensstämmelse f. 11. kan konstateras föreligga. (Jfr a. a. s. 208 och 266 f.) I övrigt bör emellertid försiktighet och återhållsamhet iakttagas samt revisioner i görligaste mån undvikas i avvaktan på förslaget till generell personregisterlag.
I—"ör detfjärde kan ytterligare spörsmål av lagskrivningsteknisk natur vara föremål för delade meningar och följaktligen förtjäna ytterligare övervägan- den. Från datainspektionens och DALK:s sida göres gällande. att ett bibehållande av den nuvarande huvudregeln (tillstånd) i kombination med införande av ytterligare undantag från densamma skulle medföra avgräns- nings- och tolkningssvårigheter. (Jfr s. 143 och 147 f.) Det torde dock kunna ifrågasättas. huruvida icke motsvarande problem inställer sig även med den av DALK förordade konstruktionen. enligt vilken. som i det föregående antytts. kravet på tillstånd reserveras för vissa (stundom tämligen vagt beskrivna) typer av känsliga register. (Jfr s. 214 ff och 261.)
För det femte innebär DALK:s förslag. allmänt betraktat. att ansvaret för den sålunda reformerade lagstiftningens efterlevnad i ökad omfattning övervältras på de registeransvariga. (Se 5. 167 ff samt sammanfattningen å s. 262.) Skall icke integritetsskyddet äventyras till följd av de sistnämndas
Prop. 1981/82:189 128
måhända bristfälliga författningskännedom, måste kontroll- och tillsyns- verksamheten i väsentlig mån vidgas och intensifieras; enstaka ”stickprov" torde knappast kunna anses erbjuda tillräcklig kompensation. Det gives anledning till dubier huruvida genom DALK:s ifrågavarande förslag några egentliga vinster står att inhösta i fråga om rättssäkerhet och effektivitet.
För det sjätte skall förvisso icke bestridas kostnadsaspektens vikt i det rådande statsfinansiella läget. DALK:s promemoria och förslag berör emellertid. som reservanterna noterat, väl att besinna ytterst ömtåliga partier av personlighetsrätten. som föga lämpar sig för besparingsåtgärder med hjälp av författningsreformer av en i vissa avseenden diskutabel natur. (Jfr s. 270 f.)
Sammanfattningsvis avstyrkes på de ovan redovisade grunderna kommit- témajoritetens förslag till ändringar i datalagen.
Juridiska fakultetsnämnden vid Lunds universitet hänför sig till DALK:s uttalande "Med de syften som ligger bakom licens- och förteckningsskyldig- heten bör den registeransvariges uppgifter kunna godtas utan någon närmare granskning. Kontrollen bör i stället i huvudsak ske genom stickprov i samband med tillsynsverksamheten eller eljest när särskilda omständigheter föranleder närmare granskning” och anför:
Fakultetsnämnden ställer sig tveksam till om en sådan radikal förändring av datalagens kontrollsystem bör införas på nuvarande stadium. när utredningen om införande av en särskild personregisterlag pågår. Fakultets- nämnden befarar. att den enskildes nuvarande integritetsskydd kan komma att äventyras. om den föreslagna reformen genomföres. Tydligt är, att kommittén varit mycket splittrad i frågan. Således har hälften av antalet ledamöter reserverat sig mot det i promemorian framlagda förslaget. Reservanterna tycks mena. att man bör avvakta med att genomföra reformen. Fakultetsnämnden anser, att en så viktig lagändring som det här är fråga om helst bör ha en bred förankring. inte minst bland kommitténs egna ledamöter.
Tekniska högskolan i Stockholm finner det otillfredsställande med kortsiktiga lagändringar. Högskolan hade hellre sett en totallösning i samband med lagstiftningen om personregister.
Malmö kommun yttrar:
Erfarenheter från kommunens egen ökande verksamhet inom dataområ- det talar för önskvärdheten av enklare och effektivare administrativt förfarande i samband med prövning av tillstånd för dataanläggningar. Till följd av den snabba tekniska utvecklingen inom dataområdet kan man förvänta sig att inom en nära framtid antalet personregister kommer att öka avsevärt. Inom kommunen planerar man att såsom terminal använda en mikrodator med lokal möjlighet att lagra avsevärda mängder av information (personregister). Inom en period av 3—4 år kommer Malmö kommun troligen att ha ca 500 sådana terminaler (datorer) utplacerade hos de olika förvaltningarna.
Kommunstyrelsen anser emellertid. i enlighet med vad Stig Gustavsson m. fl. framhåller i reservation i utredningen. att starka skäl finns för att i avbidan på arbetet med en generell personregisterlag inte nu skall göras stora och principiellt viktiga ändringar i datalagen . I väntan på den nya
Prop. 1981/82:189 129
lagstiftningen är det då av vikt att, såsom reservanterna även uttalar. datainspektionen tilldelas ökade resurser för att med oförändrade regler tills vidare kunna fullgöra sina uppgifter på ett tillfredsställande sätt.
Sveriges advokatsamfund anför:
Mot bakgrund av att datalagen skall ersättas av en generell personregis- terlag ifrågasätter samfundet lämpligheten av att på kort sikt genomföra principiella ändringar i datalagen. Ett licens- och tillståndsförfarande i enlighet med förslaget kommer enligt samfundets mening — trots den tveksamhet DALK uttrycker på denna punkt — att innebära en bindning för DALK:s fortsatta arbete med utformande av en generell personregister- lag. '
Det är också av vikt att man undviker ofta återkommande ändringar i datalagen. på sätt DALK också framhåller i promemorian med tanke på att lagen innehåller regler av mycket stor betydelse för alla enskilda medborgare och för hela den enskilda och offentliga sektorn. Att i avvaktan på en ny generell personregisterlag genomföra omfattande ändringar i datalagen— i förening med tämligen svåröverskådliga övergångsbestämmelser — väcker betänkligheter och torde på inget sätt främja registrerades och registeran- svarigas berättigade krav på kontinuitet i lagstiftningen och ett lättöverskåd- ligt regelsystem. Från de registrerades och re gisteransvarigas synvinkel torde för övrigt datalagen i den nuvarande utformningen fungera fullt tillfredsstäl- lande.
LO yttrar:
Datalagstiftningskommittén tillsattes 1976 och har bl. a. till uppgift att utreda möjligheterna att förändra den nuvarande datalagen till en generell personregisterlag. Detta arbete anser sig kommittén kunna fullfölja inom de närmaste två åren.
Trots detta kommer kommittén nu med ett förslag om en grundläggande ändringi datalagen från nuvarande tillståndsförfarande till ett licenssystem. De företag eller organisationer som i dag önskar föra personuppgifter på ADB måste först söka tillstånd hos datainspektionen. I ansökningen ska anges syfte med och innehåll i det önskade registret. För löne- och personalregister finns speciella anvisningar som innebär att MBL-protokoll bifogas till ansökningshandlingarna. Detta förfaringssätt skulle enligt förslaget ändras till att inspektionen beviljade licenser som berättigade till att lägga upp personuppgifter på ADB och bearbeta och sprida dessa uppgifter.
Datalagstiftningskommittén anser att man under de två åren det gäller skulle kunna göra en vinst på ca 2 miljoner kronor genom att inte tillsätta de tjänster som krävs på datainspektionen för att inspektionen ska kunna utföra de arbetsuppgifter den är ålagd enligt nuvarande datalag.
För att inte skapa onödig oro anser Landsorganisationen att det skulle krävas avsevärt med arbete för att på ett korrekt sätt informera om denna ändring av lagskyddet för den personliga integriteten i Sverige. Det kan därför finnas anledning att befara att den mycket måttliga beräknade vinsten på 2 miljoner kronor kan minska ytterligare.
Landsorganisationen anser att integritetsfrågorna är alltför angelägna för att för en kortare tidsperiod genomföra en grundläggande ändring av datalagen för att uppnå en ev. vinst på 2 miljoner kronor. Landsorganisa-
Prop. 1981/82:189 130
tionen anser det dessutom anmärkningsvärt att Data]agstiftningskommittén inte föreslår någon ersättning för det skydd för löntagarnas integritet som anvisningarna till den nuvarande datalagen innebär.
Landsorganisationen anser därför inte att den föreslagna ändringen av datalagen bör genomföras under nuvarande omständigheter.
TCO anser att DALK bör avsluta sitt arbete med att i enlighet med sina tilläggsdirektiv undersöka förutsättningarna att på sikt ersätta nuvarande datalag med en personregisterlag. En personregisterlag skulle enligt TCO kunna medföra att integriteten bedömdes med hänsyn till registreringen som sådan utan avseende vid den teknik med vilken registreringen sker. TCO anser det olämpligt att innan detta arbete slutförts genomföra de fundamen- tala förändringar av datalagen som DALK föreslår. Mot denna bakgrund avstyrker TCO DALK:s förslag till förändring av datalagen .
Några remissinstanser tar inte uttrycklig ställning för eller e m ot D A L K : s fö r sla g utan redovisar mer allmänna synpunkter på lämpliga åtgärder.
Rikspolisstyrelsen yttrar:
Rikspolisstyrelsen delar datalagstiftningskommitténs (DALK) uppfatt- ning att ofta återkommande ändringar i datalagen bör undvikas särskilt med hänsyn till att lagen innehåller regler av mycket stor betydelse för alla enskilda medborgare och för hela den offentliga sektorn. Ytterligare ett starkt skäl att noggrant pröva behovet och lämpligheten av att nu göra ändringar är att DALK enligt tilläggsdirektiv den 6 mars 1980 har att utreda frågan. huruvida en generell personregisterlagstiftning. som inte i första hand är inriktad på registreringstekniken, på sikt bör ersätta datalagen. Ett genomförande av de nu föreslagna förhållandevis omfattande ändringarna skulle kunna medföra inte önskvärda bindningar i arbetet på en sådan lagstiftning.
Med anledning härav anser styrelsen att på kort sikt inte bör vidtas mera omfattande ändringar och åtgärder än vad som oundgängligen krävs för att lösa de aktuella problemen.
Självfallet bör disponibla resurser vid datainspektionen i första hand nyttjas för prövning av personregister som generellt sett innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet. Styrelsen har därför inte något att erinra mot DALK:s förslag till avgränsning av tillståndskravet att avse sådana register.
Samlzällsvetenskapliga fakultetsnämnden vid Stockholms universitet anser att regeringen bör låta en utredning förutsättningslöst pröva om och i vad mån datalagens tillstånds- och ansökningsförfarande kan ersättas med en lag som straffbelägger vissa specificerade integritetsintrång i datasammanhang. Nämnden erinrar om att den framfört samma uppfattning i ett tidigare remissyttrande över DALK:s arbete.
Svenska Annonsörers Förening m. fl. organisationer redovisar i ett längre yttrande olika synpunkter på integritetsskyddets utformning. Organisatio— nerna anför:
Prop. 1981/82:189 131
l . Allmänna synpunkter
Som påpekas i betänkandet har bl. a. organisationerna tidigare pekat på vissa negativa effekter av datalagen . Den allvarligaste effekten var att tillämpningen av datalagen förhindrade innovation och utveckling på personregisterområdet. Man menade vidare att vissa föreskrifter onödigt försvårade och fördyrade registerinnehavarnas verksamhet. Tillämpningen eller föreskrifterna motiverades ej av påvisbara obehöriga intrång i den personliga integriteten. utan på förmodanden om sådana intrång förmedlade av konkurrerande medier främst i återkommande dagspressannonsering med stöd av ofullständig redovisning från olika undersökningar.
Organisationerna var därför av den uppfattningen att tillämpningen och föreskrifterna kunde ha ersatts av en tillsynsverksamhet. Därigenom hade samma resultat kunnat uppnås. utan att påtalade negativa effekter hade uppstått. Resultatet hade också blivit att lagstiftarens intentioner att, vid sidan av integritetsskyddet, de ”positiva effekterna av ADB så långt som möjligt tas till vara" (prop. 1973:33 sid. 90). och att en reglering inte nödvändigtvis skulle "leda till hinder eller olägenheter i . . . enskild verksamhet" (pr0p. 1976/77:27 sid. 17).
Det finns skäl att betona att kritik mot datalagens tillämpning riktats även från andra håll där man —i likhet med vad som är fallet för marknadsföring — är beroende av utvecklingsmöjligheter. Negativa effekter har således påtalats av organ med anknytning till forskningen inom universitetsväsendet, Riksdataförbundet. Svenska Dataföreningen. Svenska Civilekonomför- eningen och Civilekonomernas Riksförbund.
Föreliggande förslag syftar visserligen till förenklingar av datalagen och rutinerna i datainspektionens hantering. Emellertid innebär förslagen ej att de av organisationerna påtalade negativa effekterna förändras.
3. "'9 Behovet av åtgärder på kort sikt"
I betänkandet sägs att tillsynsverksamheten, vilken från integritetssyn- punkt får anses vara lika viktig som tillståndsverksamheten. har. på grund av att största delen av tillgängliga personalresurser måst användas för tillstånds- verksamheten. inte kunnat bedrivas i den omfattning som var avsikten då datalagen kom till.
I betänkandet anges att kostnaderna i tkr för datainspektionens verksam- het för budgetåret 1979/1980 fördelade sig enligt följande:
0 Tillstånd 3 505 . Tillsyn 2 089 0 Information 122
Det förefaller således trots allt vara betydande resurser som använts för tillsynsverksamheten. Vidare bör datainspektionens tillståndsverksamhet leda till att erfarenheter vinnes, som kan tillämpas i förhållande till de register där tillstånd redan erhållits. Från de personregister som SDRF:s medlemsföretag och även övriga organisationers medlemsföretag har erfarenheter, nämligen personregister över kunder. vissa kund- och leve- rantörsregister m. fl., medlemsregister och marknadsföringsregister. har denna metod tillämpats.
I förening med de utförliga DIFS (Datainspektionens föreskrifter) som idag har utarbetats för flertalet olika typer av register. kan organisationerna från medlemsföretagens erfarenhetsområden. inte finna annat än att
Prop. 1981/82:189 132
nuvarande tillsynsverksamhet är tillfyllest. Ej heller kan organisationerna finna att ”en klar försämring av integritetsskyddet" inträtt samtidigt som "hoten mot den personliga integriteten ökas". vilken uppfattning återredo- visas i promemorian.
Genom de DIFS som utarbetats har berörda medlemsföretag kunnat förmärka en ökning av insikterna på datalagens område. Utöver DIFS saknas emellertid helt kunskaper om datainspektionens praxis enär denna ej dokumenterats vid andra tillfällen än när registeransvariga berörs och gör detta bekant i en vidare krets. Organisationerna anser att det är av den yttersta vikt att tillståndsverksamheten och tillsynsverksamheten förenas med en informationsverksamhet i vilken ingår en fortlöpande dokumenta- tion av de viktigaste ärenden som avgöres av datainspektionen och av de ärenden som överklagas till regeringen.
Därmed ernäs en kunskap om den praxis som utbildas och i följd därav ökad kännedom om datalagens funktionssätt. En ändring i datalagen som skulle bidra till en ökad dokumentation. vore om datainspektionens beslut genom besvär kunde föras hos regeringsrätten i stället för hos regeringen. Därigenom skulle ärendena dokumenteras i regeringsrättens årsbok. Sam- tidigt Skulle de fördelarna vinnas att regeringen avlastades från prövning av överklagade ärenden samt att datalagsärenden prövades av den instans som jämväl prövar sådana sekretessärenden som är hänförliga till personregistre- ringsfrågor.
Organisationerna har i och för sig inga invändningar mot en minskad tillståndsverksamhet men anser från sina utgångspunkter ej att denna minskning odelat skall användas för en ökad tillsynsverksamhet, som leder till en ökad belastning för de registeransvariga. Minskningen bör i stället användas till en ökad informationsverksamhet på föreslaget sätt.
Organisationerna har visserligen i och för sig ej heller några invändningar mot en ökad tillsynsverksamhet, men menar vid sådant förhållande att detaljregleringen i föreskrifter då bör kunna minskas samt att vidare möjligheter för inrättande och förande av personregister i enlighet med vad organisationerna i tidigare remissvar förordat bör kunna bli möjligt. (Se SDRF:s m. fl. organisationers remissvar över kommitténs betänkande SOU 1978:54 .) Därigenom kan innovationer i högre grad, än vad som nu är möjligt, tillvaratagas. Betr. direktreklamens plats i marknadsföringssyste- met, var god se sid. 165 ffi prop. 1978/79:109 .
Som illustration till vad föreningen avser vill föreningen anföra följande exempel.
På sid. 131 ges exempel på direktreklamregister som får inrättas tillfälligt och under en tid av tre månader och som kommittén menar hör till en typ av register som skulle kunna inrättas efter ett förenklat ansökningsförfarande. vilket idag ej är fallet. Intill helt nyligen har inrättandet av sådana register medgetts och under marknadsföringstiden har de urvalskriterier som legat till grund för urvalet jämväl kunnat registreras. Urvalskriterierna behövs som underlag för sortering av svarskuponger , statistik och dokumentation av erfarenheter att användas vid senare urval. Utöver det egna kundregistret används här i regel ett urval från SPAR.
Under året har emellertid datainspektionen fattat ett beslut, som rör en bokklubb, av innebörd att inkomstintervaller visserligen får användas som urvalskriterier vid beställning av urval från SPAR. men intervallerna får ej ens — till skillnad från vad som hittills gällt — registreras i kodform i marknadsföringsregistret under dess korta "livstid".
Prop. 1981/82:189 133
Genom inspektionens förändrade praxis har villkoren för adresserad direktreklam väsentligt ändrats.
Organisationerna anser att detta fall är ett illustrativt exempel på där en ökad inskränkning i möjligheterna mycket väl hade kunnat ersättas med en ökad tillsyn om så hade ansetts vara erforderligt eller att inskränkningen hade ersatts av en föreskrift av innebörd att urvalskriterierna endast skulle registreras i kod och att innebörden av denna endast skulle kännas av några få tjänstemän hos den registeransvarige. Organisationerna finner det olyckligt att möjligheterna att använda SPAR. som inrättats bl. a. för direktreklam- ändamål. fortlöpande begränsas bl. a. på angivet sätt.
Det angivna exemplet har överklagats till regeringen, men ännu ej avgjorts.
4.2 De alternativa åtgärder som DALK har övervägt
I fråga om de alternativ som DALK har diskuterat framhåller vissa remissinstanser att DALK inte tillräckligt har analyserat det 5. k. nollalter- nativet, dvs. ytterligare rationaliseringar av tillståndsförfarandet. Några redovisar i anslutning härtill vissa förslag till åtgärder inom detta alterna- tiv.
Flera remissinstanser förordar att inspektionen ges ökade resurser, bl. a. reservanterna i datainspektionens styrelse. Det påpekas också att detta bör kunna finansieras genom ökade avgifter för handläggning hos inspektio- nen.
Endast några få remissinstanser förordar att tillståndskravet inskränks med utgångspunkt från gällande datalag.
-Kammarrätten[Sundsvalldiskuterar alternativet a (s. 144). nollalternativet och anför:
När det gäller valet av åtgärder på kort sikt bör man därför såsom DALK påpekar, först pröva vilka åtgärder som utan lagändringar kan vidtas för att komma till rätta med de problem datainspektionen redovisat. Det första alternativet är då en ytterligare rationalisering av tillståndsförfarandet utan lagändring, det s. k. nollalternativet. Erfarenheterna har visat att de personregister, som kan bli föremål för enbart en summarisk tillståndspröv— ning. är betydligt fler än man ursprungligen räknat med. Ungefär två tredjedelar av samtliga tillståndsärenden t. o. m. 1980, eller cirka 18 000. har handlagts enligt det förenklade tillståndsförfarandet. Under våren 1981 har datainspektionen förenklat handläggningsrutinerna ytterligare så att till- ståndsbeslut numera i regel kan expedieras samma dag som ansökan om tillstånd enligt förenklat förfarande kommer in Även beträffande övriga tillståndsärenden har förfarandet rationaliserats och inom inspektionen pågår projekt för att ytterligare standardisera själva ansökningsförfarandet när det gäller tillståndsärenden som inte omfattas av det förenklade förfarandet. Kammarrätten delar DALK:s uppfattning (s. 130 ff) att det är möjligt att vidta vissa ytterligare åtgärder inom ramen för det 5. k. nollalternativet men att de samlade effekterna av de i promemorian diskuterade åtgärderna skulle bli alltför begränsade för att öppna möjlighe- ter att omfördela resurserna och därigenom åstadkomma en personalför- stärkning i datainspektionens tillsynsverksamhet.
Prop. 1981/82:189 134
Statens lrumanistiskt-samhällsvetenskapliga forskningsråd finner DALK:s argumentering övertygande i fråga om effekterna av nollalternativet. Också Kommun-Data AB anser att detta alterantiv ger för liten effekt.
Det finns emellertid några remissinstanser som förordar lösningar som ansluter till nollalternativet.
DAFA. som framhåller att om de föreslagna ändringarna i datalagen genomförs så bör dessa ingå i det förslag till generell personregisterlag som DALK skall lägga fram. På detta sätt uppnås stabilitet i lagstiftningen. DAFA anser att under övergångsperioden fram till dess att DALK framlägger sitt förslag till generell pesonregisterlag så kan ett modifierat nollalternativ eventuellt tillämpas vid datainspektionen. I avvaktan på en generell personregisterlag ger detta alternativ en god överblick över arten och omfattningen av personregistreringen. Personregistrcn dokumenteras på ett sätt som är anpassat till integritetsskyddsintresset och offentlighet åt de personregister som förekommer medges.
DAFA stöder den ytterligare förenkling av handläggningen vid datain- spektionen enligt det 5. k. förenklade ansöksförfarandet vilket datainspek- tionen tillämpat under 1981. DALK konstaterar även att integritetsskyddet inte har nämnvärt försvagats. DAFA stöder vidare förslaget att låta nya grupper av ärenden omfattas av dets. k. förenklade förfarandet. exempelvis enkla terminalanslutningar till SPAR i enlighet med regeringens beslut den 30 december 1976 om inrättande av SPAR. samt att ansökningshandlingarna ytterligare standardiseras och systematiseras.
Riksrevisionsverket anser att DALK inte tillräckligt har analyserat nollalternativets möjligheter. Verket förordar ett utvecklat nollalternativ som enligt verket skulle kunna innebära följande:
— DI gör för sin prövning en klassificering av registren med utgångspunkt i integritetskänslighet på samma sätt som förutsätts ske enligt DALK:s förslag till förändrad datalag — de typer av register som generellt sett innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet prövas som nu - för övriga register utformar DI generella kriterier för sin prövning och allmänna föreskrifter till den registeransvarige för dennes utformning och handhavande av registret (jfr punkt 4 s. 259 i promemorian) — tillståndsansökningarna för dessa register sehablonprövas, dvs. prövas om de står i överenstämmelse med de generella kriterierna. och de allmänna föreskrifterna bifogas beslutet. En differentiering av tillståndsprövningen på sätt som redovisats borde enligt RRV:s mening kunna medge en överföring av resurser från tillstånds- till tillsynsverksamheten iden omfattning som krävs för att integritetsskyddet för enskild person inte på kort sikt skall försämras.
Juridiska fakultetsnämnden vid Uppsala universitet förordar en viss rationalisering av tillståndsförfarandet liksom av verksamheten i övrigt inom ramen för nollalternativet. därest inspektionen inte förmår att vinna statsmakternas gehör för erforderliga resursökningar.
Prop. 1981/82:189 135
Riksdataförbundet biträder DALK:s uppfattning att man inte bör välja alternativet oförändrad lagstiftning och personalök- ni 11 g a r . Det av reservanterna åberopade skälet för detta alternativ — nämligen önskemålet om stabilitet i lagstiftningen — gör sig enligt förbundets mening knappast gällande när det alternativ som i stället väljs innebär minskade krav på och regleringar av den berörda allmänheten. i detta fall de registeransvariga. Förbundet (RDF) anför vidare:
Vid datalagens tillkomst räknade man med att både tillstånds- och tillsynsverksamheten skulle kunna upprätthållas i erforderlig utsträckning. Av DALK:s PM framgår nu klart att detta inte är möjligt och att det huvudsakliga skälet härtill är att tillståndsverksamheten till följd av branschens tillväxt ökat i oförutsedd omfattning. Den ansvariga myndighe- ten. datainspektionen. konstaterar att det inte är lämpligt att söka komma till rätta med situationen genom personalökningar; det är i stället möjligt och önskvärt att göra sådana lagändringar att befintliga resurser kan sättas in där de gör bäst nytta. Denna myndighetens inställning, till vilken DALK:s majoritet anslutit sig, är enligt RDF förtjänt av uppskatting. Den vittnar om förståelse för det kärva statsfinansiella läget och för nödvändigheten att ompröva en lagstiftning som vid sin tillkomst av statsmakterna uppfattades som en försöksverksamhet. '
Med hänsyn till att utredningen inte påvisat några större brister i nuvarande integritetsskydd anser statskontoret att kostnadskrävande åtgär- der i form av personalökningar bör undvikas.
Kommun-Data AB yttrar:
Det andra alternativet. personalökningar hos datainspektionen. bedöms ge tillräcklig effekt men medför kostnadsökningar som kommer att belasta de registeransvariga i form av höjda avgifter. Vissa grupper registeransvariga är som framgår nedan mycket känsliga för avgiftens storlek. Styrelsen avstyrker därför även detta åtgärdsalternativ.
Kammarrätten i Sundsvall är mer positiv till detta alternativ och anför:
Det andra alternativet som DALK undersökt är att öka personalen. vilket givetvis är en metod att göra tillsynsverksamheten vid datainspektionen effektivare. För att nå den fördelning mellan tillstånds- och tillsynsverksam— heten som var avsedd då datalagen trädde i kraft och som datainspektionen strävat efter skulle sex eller sju nya tjänster behövas utöver en till två årsarbetskrafter som skulle kunna frigöras från tillståndsprövningen vid diskuterade åtgärder enligt nollalternativet ovan. Eftersom det är fråga om att finna en lösning på kort sikt hade det enligt kammarrättens mening legat nära till hands att fråga sig om en pcrsonalökning kunde finansieras genom avgiftshöjningar. Ät DALK har också uppdragits att utreda ett nytt avgiftssystem. där datainspektionens verksamhet i dess helhet avses täckas genom avgifter. Förslaget till nytt avgiftssystem borde ha redovisats samtidigt med det nu aktuella förslaget. DALK har emellertid under åberopande av kravet på skyndsarnhet när det gäller åtgärder på kort sikt inte tagit upp frågan om ett nytt avgiftssystem i denna promemoria. Detta är enligt kammarrättens mening en klar brist.
Prop. 1981/82:189 , 136
Ledamöterna Lennart Pettersson och Kurt-Ove Johansson i datainspektio- nens styrelse förordar det förslag som Kurt Hugosson. Stig Gustafsson och Britt Wickum i DALK har lämnat och anför:
Vi förordar mot bakgrund av vad vi anfört att datainspektionen ges möjligheter till att utöka sina personalresurser som behövs för att inspek- tionen med oförändrad lagstiftning skall kunna fullgöra sina tillstånds-, tillsyns- och informationsuppgifter på ett tillfredsställande sätt inom ramen för nuvarande lagstiftning. Vi förutsätter vidare att inspektionen vidtar den ytterligare rationalisering av tillståndsförfarandet som visat sig möjligt enligt det i DALK:s promemoria redovisade nollalternativet. Skyddet för den personliga integriteten är för oss av fundamental betydelse i datasamhället och därför kan vi icke acceptera en försämring som skulle bli följden om majoritetsförslaget i DALK:s promemoria genomföres.
Också Malmö kommun ansluter sig till reservanternas i_ DALK uppfatt- ning och understryker angelägenheten av att datainspektionen erhåller erforderliga ökade resurser samt att arbetet med lagstiftning med vidare lösningar i dessa frågor ej fördröjs.
Några remissinstanser tar upp DALK:s alternativ c — 0 f ö r ä n d r a d e personalresurser men vidgade undantag från till- ståndskravet.
Kammarrätten i Sundsvall avstyrker uttryckligen en sådan lösning. Trafiksäkerhetsverket är mer positivt till ett sådant alternativ och anför:
Mot bakgrund av de skäl som föranleder kommitténs förslag borde det i stället för ett system som bygger på licenser och förteckningar övervägas en ändring av datalagen på så sätt att dess tillämpningsområde inte längre omfattar personregister av en sådan typ som inte erfarenhetsmässig't innebär från allmän synpunkt egentliga risker för otillbörligt intrång i enskildas personliga integritet. Avgränsningen av vilka personregister som skulle omfattas av lagen skulle då i stort kunna följa kommitténs förslag om vilka register som är tillståndspliktiga.
En sådan ändring i tillståndsplikten medför att resurser hos datainspek- tionen kan frigöras och användas på ett effektivare sätt för att hävda integritetsskyddet ifråga om sådana personregister där övervakning i verkligheten behövs. Datainspektionens verksamhet bör således enligt verkets mening inriktas på tillståndsprövning enligt lagförslagets 2 & punk- terna 1—4 samt tillsynsverksamhet gentemot sådana register som skall ha tillstånd.
Ändringen för dessutom med sig en önskvärd förenkling och ett slopande av onödig byråkrati inom ADB-området. inslagen av självändamål i tillståndsprövningen läggs åt sidan till förmån för en byråkrati som är nödvändig och nyttig och lättare att förstå för dem som använder ADB i sin verksamhet.
Statskontoret anför i fråga om en begränsning av den nuvarande tillstånds- plikten följande:
Det är emellertid inte heller rimligt att datainspektionen inom ramen för nuvarande omfattande formella tillståndstvång ytterligare minskar sin faktiska prövning av tillståndsärenden. Effekten skulle i sådana fall bli att
Prop. 1981/82:189 137
staten begär in uppgifter som sedan aldrig blir föremål för en reell prövning.
Statskontoret biträder därför DALK:s förslag till begränsning av det nuvarande tillståndstvånget. Om man lyckas begränsa antalet tillståndsären- den bör resursbehovet för sådana ärenden minska hos såväl datainspektio- nen som de registeransvariga. Det bör efter åtta års erfarenheter av datalagens tillämpning vara möjligt att begränsa tillståndsplikten till de områden där man erfarenhetsmässigt vet att integritetsrisker föreligger.
En lagändring som innebär att kravet på tillståndsprövning begränsas till fall. vilka utgör särskild risk för otillbörligt intrång i personlig integritet. förutsätter emellertid att dessa fall kan avgränsas tillräckligt uttömmande. En oklar gränsdragning kan medföra merarbete i stället för minskat arbete.
Sveriges adl-'okatsamftutd förordar en kombination av nollalternativet och det alternativ som innebär inskränkning i tillståndsplikten. Samfundet anför:
Mot bakgrund av ovanstående är det samfundets mening att eventuella ändringar på kort sikt bör företas i huvudsak inom ramen för nu gällande regelsystem. Sålunda skulle ett ökat antal register kunna omfattas av ett förenklat ansökningsförfarande. i princip de register som enligt DALK:s förslag enbart skulle vara underkastade licensförfarande. Ansökningshand- lingarna och handläggningen hos datainspektionen skulle troligen kunna systematiseras och standardiseras ytterligare. Vidare skulle. på sätt DALK föreslår. datainspektionens skyldighet att meddela föreskrifter om vilka personuppgifter som får ingå i personregistret kunna överföras till 6? och därmed vara fakultativa. Eventuellt skulle också datainspektionen kunna medges rätt att undanta vissa typer av register från tillståndskravet.
5 Synpunkter på regelsystemets närmare utformning enligt DALK:s förslag till åtgärder på kort sikt
5. 1 Licensförfarandet
En mindre grupp remissinstanser uttalar sitt stöd för det föreslagna licenssystemet. En annan relativt liten grupp av remissinstanser avstyrker 'emellertid DALK:s förslag och menar att den omfattande registrering hos datainspektionen som föreslås inte motsvaras av några egentliga vinster ur integritetsskyddssynpunkt. Några remissinstanser pekar på att inspektionen även utan ifrågavarande uppgifter eller med ledning av annan information om de registeransvariga kan värna om integritetsskyddet såvitt avser de icke tillståndspliktiga registren.
Riksförsäkringsverket hör till dem som är positivt: och yttrar att eftersom förslaget till licensförfarande måste innebära förenkling för en stor grupp registeransvariga och samtidigt medför en avlastning för datainspektionen vill riksförsäkringsverket inte motsätta sig att ett sådant förfarande införs.
Prop. l98l/82zl89 138
Bankinspektionen anför:
Att datainspektionen genom licensförfarandet får kännedom om alla personregister på ADB. vilka därmed kan omfattas av tillsyn. är positivt. Licensförfarandct är närmast jämförligt med en generell anmälningsplikt och liksom en sådan ägnat att avlasta den registeransvarige från ansvar såvitt gäller bedömningen huruvida tillståndsplikt föreligger eller ej. Detta kan med de regler som infördes 1979-07-01 vara svårt att avgöra. vilket bankinspektionen också framhöll i sitt yttrande över dessa regler. Licensen är att se som bevis om att anmälan skett.
Riksarkivet anför:
Enligt 6 & datalagen (i dess nuvarande lydelse) skall datainspektionen. i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet. meddela föreskrift bl. a. om bevarande och gallring av person- uppgifter i datorbaserade register (personregister). Frågor härom avgörs enligt 5 & datakungörelscn efter samråd med riksarkivet.
Som en följd härav har riksarkivet under senare år handlagt ett betydande antal ärenden angående samråd med datainspektionen i tillståndsärenden enligt datalagen. Antalet ärenden av detta slag har visat en stigande tendens: innevarande år torde de komma att uppgå till omkring 150. Sammanlagt har riksarkivet sedan 1974 behandlat inemot 600 sådana ärenden.
Enligt DALK:s förslag skall bestämmelser om bevarande och gallring enligt 6 & datalagen begränsas till de fall. då tillstånd alltjämt skall fordras. Huvuddelen av personregistren skall i framtiden kunna upprättas med stöd av ett licensförfarande, och i dessa fall behöver gallringsföreskrift ej utfärdas i samband med inrättandet av ett register. För riksarkivet innebär detta ett minskat antal samrådsärenden och ett ökat rådrum för ställningstagande i gallringsfrågorna. Att fatta beslut om gallring redan i samband med inrättandet av ett register har visat sig medföra svårigheter: bedömningen av registrets betydelse på längre sikt måste grundas mera på antaganden än på erfarenhet. och hänsyn till systemets in- och utdata hinner ofta cj tas. I flera fall har därför beslutet i gallringsfrågan måst uppskjutas till en senare tidpunkt. Den av DALK föreslagna ordningen torde därför för riksarkivets vidkommande innebära en jämnare fördelad arbetsbelastning och därmed ökade möjligheter till planmässighet. I vissa fall öppnar det möjligheter för en säkrare grundad bedömning.
Såväl med hänsyn härtill som av tnera allmänna skäl tillstyrker riksarkivet därför DALK:s förslag om införande av ett licensförfarande för personre- gister.
Statskontoret har inget att invända mot principerna för licensförfaran- det.
SEBRO anför:
Införandet av licens anser SEBRO också bra men denna licens borde kopplas till något minimikrav på säkerhet och tillförlitlighet hos den som licensen gäller. Att få licens innebär att någon form av bemyndigande gjorts. annars går trovärdigheten av ett licensförfarande förlorat. Ett sådant bemyndigande behöver inte i varje enskilt fall kontrolleras utan uppställda krav för en licens kontrolleras av datainspektionen vid de tillsynskontroller
Prop. 1981/82:189 139
som utförs. SEBRO medverkar gärna till framtagning av de krav för som bör gälla för erhållande av licens.
Rikspolisstvrelsen. hör till den grupp av remissinstanserna som a vs ty r - k e r D A L K : 5 för sl a g om ett licenssystem. Styrelsen yttrar:
När det gäller datainspektionens behov av att få kännedom även om inte tillståndspliktiga personregister och om ansvariga för sådana register anser styrelsen att detta kan tillgodoses genom att tillståndskravet kombineras enbart med den föreslagna förteckningsskyldigheten. De uppgifter som genom dessa båda förfaranden lämnas till datainspektionen torde vara tillfyllest för att där läggas till grund för erforderlig registrering av registeransvariga och för bibehållande av överblicken och kontrollen över förekommande personregistrering.
SARI anför:
SARI har förståelse för de övergripande skäl som har föranlett förslagen om krav på licens och på ingivande av förteckning över tillståndsfria personregister m. m. Utifrån de synpunkter som SARI har att företräda vill vi likväl ifrågasätta det lämpliga i den härvidlag föreslagna ordningen.
Det är då att märka att mikrodatortekniken utvecklas snabbt och att denna teknik i form av lokala datorer kommer att vinna alltmer insteg för skilda uppgifter inom kontorsarbetet under 1980-talet. Det hade i och för sig varit önskvärt om man i datalagen hade kunnat närmare precisera den teknik som skall omfattas av lagen. eftersom det nu använda begreppet automatisk databehandling inte torde vara helt entydigt. sett i relation till den nyaste tekniken. Detta torde emellertid vara en uppgift som får anstå i avvaktan på att en helt ny personregisterlagstiftning utarbetas.
De av DALK föreslagna reglerna om licens och förteckningar kan. med datalagens nuvarande avgränsning. alltså komma att leda till att snart sagt alla företag och myndigheter måste skaffa sig licens enligt datalagen och anmäla ett stort antal register till datainspektionen.
Den registrering av licenshavare och personregister som DALK förutsät- ter är tydligen avsedd att bilda underlag för den tillsyn som datainspektionen skall ha. SARI ifrågasätter om inte denna i stället kan grundas på företagsregistren och på register över myndigheter. Det hör i detta sammanhang erinras om att arbete pågår med att datorisera företagsregi- stren.
Antalet licensfall torde under det första året ändringen i lagen är tänkt att träda i kraft medföra omkring 20000 registreringar. Antalet fall därefter torde med den utveckling som SARI har antytt ovan bli inte obetydligt. Kan man undvika den registrering som licenstvånget för med sig kan man spara utgifter för staten. kommuner och enskilda. SARI vill här särskilt framhålla att DALK inte närmare har utrett de ekonomiska och administrativa konsekvenserna avxen registrering för licenser.
Riksdataförbandet (RDF) anför:
Emellertid föreslår DALK att de register. för vilka tillstånd inte krävs. skall bli föremål för licens— och registreringsplikt samt att alla registeransva— riga skall till datainspektionen ge in förteckningar över sina personregister. Skälen härför anges vara följande. Datainspektionen anses behöva känne— dom om samtliga personregister för att ha "överblick" över dem. och för att
Prop. 1981/82:189 140
vid behov kunna nå alla registeransvariga med information. Överblicken sägs behövas för de fortsatta övervägandena om en generell personregisterlag och för planering och genomförande av tillsyn. Slutligen anses registrering av alla register bibehålla offentligheten när det gäller personregistreringen.
RDF ställer sig tveksamt till dessa skäl. Tillsynsresurserna — om än ökade — kommer att tas i anspråk för dels de tillständskrävande registren. dels klagomälsärcndena. Den föreslagna omfattande "registreringen" synes därför inte kunna motiveras med tillsynsplanläggning. Att de fortsatta övervägandena om en generell personregisterlag skulle vara beroende av denna omfattande registrering — utöver den kännedom om förhållandena som numera finns hos datainspektionen — har inte gjorts sannolikt. Inte heller argumentet att registrering behövs för att möjliggöra information till alla registeransvariga synes hållbart: det skulle innebära utsändande av meddel- anden till tiotusentals mottagare. något som förefaller ekonomiskt och praktiskt föga realistiskt. Offentlighetsskälet slutligen innebär att allmänhe- ten hos datainspektionen kan få besked om alla existerande personregister. Detta är emellertid inte ett intresse för allmänheten. Vad som däremot behövs är att en klagande kan få hjälp av datainspektionen om han misstänker att han är registrerad i något register; för sådana fall har datainspektionen enligt datalagen alla möjligheter att bistå allmänheten utan det föreslagna licens- och registreringssystemet.
RDF kommer därför till slutsatsen att de av DALK anförda skälen för detta system inte är tillräckligt starka för att motivera den omfattande registrering och administration av tiotusentals register som det kan bli fråga om. Förslaget har i denna del drag av de s.k. bra-att-ha-uppgifter som datainspektionen alltid varit emot. Förslaget medför avsevärda kostnader och står i strid mot strävandena att motverka onödig byråkrati. strävanden vilka statsmakterna givit uttryck för genom inrättande av delegationen för företagens uppgiftslämnande.
RDF vill i detta sammanhang erinra om att en stor mängd ADB- personregister. som förs med små datorer. av datainspektionen undantagits från datalagens tillämpning. Till följd av den tekniska utvecklingen kommer antalet s. k. persondatorer att möjliggöra förandet av ett ökat antal personregister. Den gränsdragning, som datainspektionen av praktiska skäl här nödgats göra och som inte är förutsatt i datalagen , måste beaktas. om man vill införa ett licenssystem. De problem som därvid aktualiseras är ytterligare skäl mot det av DALK föreslagna licens- och registreringssyste- met.
RDF avstyrker på grund av det anförda förslaget om licens och förteckningar. lntegritetsskyddet för de personregister. som inte omfattas av tillståndskravet. tillgodoses enligt RDF tillräckligt genom datainspektionens tillsyn.
Motsvarande synpunkter förs fram också av Svenska bankföreningen. Se vidare avsnitt 5.3 i remissammanställningen i fråga om förtecknings- skyldigheten.
5.2. Det nya tillståndskravet
Endast några få remissinstanser kommenterar DALK:s förslag till avgränsning av det nya tillståndskravet. Flertalet av dessa ansluter sig dock
Prop. 1981/82:189 141
till de allmänna principer som legat till grund för DALK:s förslag. På enskilda punkter förekommer emellertid kritik. framför allt mot avgräns- ningen av undantag från tillståndsplikten. ! detta sammanhang kritiseras den Ordning som gäller för inrättande av register som beslutats av regeringen eller riksdagen. Denna bedöms som onödigt komplicerad och resurskrävande.
Mer omfattande kritik förekommer i detta sammanhang från främst de remissinstanser som företräder forsknings- och statistikintressen. Man upprepar i stor utsträckning den kritik som tidigare riktats mot datalagens regelsystem. vilket inte undantar register inom dessa verksamhetsgrenar från tillståndsplikt. Man menar att lagen utgör ett hinder för den fria forskningen och att något lagfäst skydd för den personliga integriteten inte behövs på detta område eller att det kan utformas på ett annat sätt. Man menar vidare att DALK närmare borde ha analyserat de problem som gäller förande av forsknings- och statistikregister och att dessa borde ha inordnats bland de register som inte kräver tillstånd.
Vissa remissinstanser uttalar sig ur mer allmän synpunkt posi- tivt om grunderna för avgränsning av tillståndspliktiga register.
SARI har inte något att erinra mot den avgränsning som DALK har gjort.
Trafiksäkerhetsverket tillstyrker utredningens förslag om gränsdragning mellan tillståndspliktiga och icke tillståndspliktiga personregister. Lagförsla- gets utformning på denna punkt är också sådant att några egentliga gränsdragningsproblem inte borde uppstå. framhåller verket.
Juridiska fakultetsnämnden vid Stockholms universitet anser att ändringen av tillståndskravet bör genomföras enligt DALK:s förslag.
Statens humanistiskt-samhällsvetenskapliga forskningsråd pekar på att datainspektionen. som har sju års erfarenhet av verksamheten. nu bör kunna bedöma vilka typer av personregister som verkligen behöver en grundlig tillståndsprövning för att datalagens intentioner skall vara uppfyllda.
Riksdataförbundet (RDF) förklarar att förbundet i princip tillstyrker DALK:s förslag att tillståndssystemet skall bygga på att i lagen definieras och avgränsas vilka personregister som skall vara tillståndspliktiga. En sådan ordning innebär tillämpning av principen att "allt som inte är förbjudet är tillåtet". vilken enligt förbundet är att föredra framför den omvända ordningen med formellt total tillståndsplikt i förening med en rad undantag, dvs. att "allt är förbjudet (dvs. underkastat tillståndskrav) som inte är tillåtet". Den sistnämnda principen för lagstiftning bör här som eljest undvikas.
Lantbrukarnas riksförbund (LRF) anför:
När det gäller tillståndsgivning för de integritetskänsliga registren anser LRF att föreliggande förslag kan ligga som grund för lagstiftning. Det är dessa register som främst bör engagera datainspektionens resurser.
Stora svårigheter uppstår. när lagstiftning riktar sig mot speciell teknik. i detta fall ADB—tekniken. Inte minst gäller detta i det aktuella fallet för
Prop. 1981/82:189 142
gränsdragning mellan ADB och annan likartad teknik. typ ordbehandlings- utrustning. l nuvarandc lagstiftning rörande personregister har ordbehand- lingsutrustning och liknande exkluderats från lagstiftningen genom en undantagsregel i 2 & tredje stycket. 1 det nya förslaget tas denna undantags- regel bort. vilket för företagen innebär än större svårigheter att bedöma vad som skall anses som personregister enligt datalagens mening. Om man tillämpar tekniken med enbart licens. uppstår mycket få gränsdragningspro- blem för företagen. Men införs tekniken med förteckningar kommer ständigt gränsdragningsproblem att uppstå för vad som är att betrakta som personregister eller ej. I de tillämpningsanvisningar som utges i anslutning till lagstiftningen måste mycket klarare anges. dels vad som är att betrakta som personregister. dels vilken teknik som faller under beteckningen automatisk databehandling. Att detta kommer att bereda vissa svårigheter inom en teknik under stark utveckling. är fullt klart. men bristen på klarläggande i DALK:s utredningsförslag övervältrar hela bedömnings- och beslutsfunktio- nen på en registeransvarig. som många gånger har svårigheter att göra riktiga avväganden.
DAFA hör till dem som redovisar en mer kritisk inställning till DALK:s förslag och yttrar:
DAFA anser att DALK:s förslag till nytt tillståndskrav i 2 & datalagen kan medföra tolkningsproblem för de registeransvariga vid avgörandet huruvida ett register kräver särskilt tillstånd av datainspektionen eller ej. Tolknings- problem kan dock undanröjas genom utfärdande av anvisningar. I övrigt stöder DAFA en konstruktion som medför att man "definierar och avgränsar vilka typer av personregister som bör vara föremål för särskild tillstånds- prövning". i stället för att som är fallet i dag definiera och avgränsa vilka personregister som bör vara undantagna från tillståndskravet.
Det finns också synpunkter på utformningen av och inneh ål- let i de särskilda bestämmelserna.
I fråga om det föreslagna innehållet i 2 5 a n (1 r a sty c k et 4 (samkörning) anmärker länsåklagaren i Kalmar (än att sådan samkörning som åsyftas i denna bestämmelse enligt hans mening också torde gå in under begreppet registerforskning. Länsåklagaren fortsätter:
De nya reglerna enligt utsökningsbalken om upplysningsplikt för gäldenär och tredje man skapar för kronofogdemyndigheten bättre möjligheter än f. 11. att skaffa uppgifter om gäldenärens tillgångar. Emellertid framstår det som angeläget att kronofogden snarast får en uppfattning om gäldenärens ekonomiska situation. Att kunna söka i olika register synes därför vara av stor betydelse för kronofogden.
En jämförelse med åklagarens verksamhet visar enligt min mening att det är angeläget även för vår del att tillgång till ett antal register ges. De register det gäller är exempelvis fastighetsregister. bilregister. vapenregister. bostadsbidragsregister. försäkringskassans register. Bank och postgiro ska inte heller bortses ifrån.
Tillstånd till samkörning med registren ifråga bör i praktiken leda till att åklagare på ett mycket tidigt stadium kan rikta in och styra förunderst'ik- ningarna ang. i synnerhet kvalificerad ekonomisk brottslighet. Ärendena blir förhoppningsvis inte liggande i balans på polissidan.
Prop. 1981/82:189 143
Informationen från registren. som ej får handhas så att risk för otillbörligt intrång i registrerads personliga integritet uppkommer. synes även kunna begränsa utredningarnas för närvarande allt för stora omfattning.
DALK:s förslag om en undantagsregel från tillståndsplikten i fråga om register för pe rsonligt bruk kommenteras av några remissin- stanser.
Länsåklagaren i Kalmar län anför:
Kommitténs förslag till licensförfarande innebär att datainspektionen får tillgång till aktuella uppgifter om alla registeransvariga. med undantag endast för enskild registeransvarig som för personregister enbart för personligt bruk (s. 156). Samtidigt anges att en skiljelinje går mellan personregistrering för personligt bruk och personregistrering som på ett eller annat sätt utgör ett led i yrkesmässig verksamhet (5. 157).
Hur tolkas då personligt bruk? Svaret ges i specialmotiveringen (s. 220). Det gäller användningen av uppgifter som normalt förekommer i det dagliga umgänget mellan människor. Som exempel anför kommittén privata anteckningar. adress- eller telefonnummerförteckningar. brev m.m. Ur åklagarsynpunkt är detta värdefullt bevismaterial vid förundersökningar angående skatte- och valutabrott samt narkotikabrott. Undantaget i 25 tredje stycket i förslaget till ändring i datalagen omfattar inte bolag. föreningar. stiftelser eller organisationer och inte heller myndigheter. Om någon använder pcrsonregisteri sin egenskap av näringsidkare kan det enligt kommitten aldrig bli tal om användning uteslutande för personligt bruk. — Jfr upphovsrättslagens & 11.
Kammarrätten i Sundsvall kritiserar förslaget bl.a. på den punkten och anför:
Genom att i 2.5 tredje stycket och 7bå i förslaget från licens och registreringsplikt undanta personregister som inrättas och förs av enskild uteslutande för personligt bruk har undantaget i nuvarande 2 & tredje stycket beträffande privata register utvidgats. eftersom det inte längre skulle vara begränsat till sådana register som förs med enklare teknisk utrustning. Å andra sidan har konsekvensen av det föreslagna tredje stycket blivit en skärpning beträffande registeransvariga som för kundregister eller patient- register. vilka för närvarande omfattas av undantagsregeln i 2 5 tredje stycket datalagen. — Enligt kammarrättens mening är motiveringen för dessa ändringar inte helt övertygande. Förutom att det föreslagna undantaget kommer att omfatta avsevärt fler privata register än vad fallet är i dag blir datainspektionens kontroll och överblick över dessa register sämre. eftersom de enligt 7 b & föreslås bli undantagna även från registrering hos inspektio- nen. Enligt kammarrättens mening bör de i vart fall inte genom de provisoriska lösningar som föreslås i den nu aktuella promemorian undantas från registreringsplikten i 7 b &.
Samlziillsvetenskapliga fakultetsnämnden vid Stockholms universitet ytt- rar:
Fakultetsnämnden har full förståelse för att dataregister som upprättas för privat bruk undantas från datalagen . liksom att register som används i ordbehandlingsmaskiner blir undantagna från datalagen . Fakultetsnämnden ser det också som ett stort framsteg att
Prop. 1981/82:189 144
"Personregister. vilka som ett normalt led i den yrkesmässiga verksamhe- ten inrättas av läkare och tandläkare samt av därmed jämförliga registeran- svariga får i fortsättningen föras utan tillstånd oavsett vilken ADB-teknisk utrustning som används." (5. 224).
Nämnden vill dock påpeka att skillnaden mellan en dator och en ordbehandlingsmaskin ur den personliga integritetens synpunkt kan vara svår att upprätthålla.
Vissa remissinstanser har synpunkter på ordningen för att inrätta och föra register som beslutats av regeringen eller riksdagen.
Kammarrätten i Sundsvall pekar på att förslaget innebär att personregister som beslutas av regeringen och riksdagen undantas från det i 2å andra stycket uppställda tillståndskravet. Däremot innefattar det inte att sådana register kan inrättas eller föras utan sådan licens som avses i 2.5 första stycket. Inte heller görs beträffande av statsmakterna beslutade register undantag från de skyldigheter som enligt de föreslagna 7 a och 7 b åå åvilar registeransvarig. Enligt kammarrättens mening bör bestämmelserna utfor- mas så att det klart framgår att av regering och riksdag beslutade register får inrättas och föras utan att vare sig licens eller tillstånds krävs.
Riksförsäkringsverket konstaterar att DALK:s förslag innebär att i de fall regeringen eller riksdagen beslutat och att register skall föras. så skall anmälan även i fortsättningen göras till datainspektionen enligt 1 5 andra stycket datakungörelscn. Verket kritiserar den föreslagna ordningen och yttrar:
Detta medför också att ansökningar skall inges om förändringar i sådana register och att avanmälan skall göras enligt 12 ådatalagen etc. Register med motsvarande innehåll kan emellertid också komma att falla under de föreslagna bestämmelsernai 2 a & 4 st. Exempelvis kan register behövas, som regering eller riksdag inte tagit ställning till. för att riksförsäkringsverket och försäkringskassorna skall kunna fullgöra sin verksamhet enligt lag om allmän försäkring. För sådana register skulle enligt förslaget inget tillståndsförfa- rande krävas. inga ansökningar behöva göras vid förändringar och ingen avanmälan behöva ske.
Följden blir att register enligt 2 a 5 1 st. i förslaget. som varit föremål för viss prövning av regering eller riksdag. underkastas omfattande anmälnings- förfarande. medan register enligt 2 a 5 4 st.. som inte varit föremål för sådan prövning. inte underkastas något tillståndsförfarande alls.
I denna del finner riksförsäkringsverket DALK:s förslag inkonsekvent och avstyrker därför att det genomförs. Ändringarna i lagen bör i stället utformas så att register som beslutats av regering och riksdag inte underkastas anmälningsförfarande. Då sådana register. som påpekats. redan varit föremål för viss prövning bör de i stället falla under enbart licensförfarandet. Datainspektionens tillsynsbefogenheter ger möjlighet för inspektionen att infordra förtydligande om så skulle anses vara befogat. Datainspektionen får vidare vetskap om besluten genom att regering och riksdag skall inhämta yttrande från inspektionen innan beslut om inrättande av personregister fattas.
Rikspolisstyrelsen erinrar om att den i ett tidigare yttrande över DALK:s betänkande Personregister—Datorer—Integritet påtalat den omständliga och
Prop. 1981/82:189 145
tidskrävande procedur som gäller vid inrättande av personregister. som beslutats av regeringen eller riksdagen. Ett bibehållande av denna procedur är enligt styrelsens förmenande än mindre motiverat om de föreslagna ändringarna genomförs.
Också krimina/vårdsstvrelsen kritiserar gällande ordning på denna punkt och yttrar:
Härutöver vill KVS föreslå ändringar i nuvarande praxis vad avser myndigheters anmälan till och yttrande/beslut från datainspektionen angå- ende personregister vars inrättande beslutats av regeringen eller riksda- gen.
Följande uppställning är en nulägesbeskrivning över ärendegången.
Från Innehåll Till
]. Myndighet Hemställan om yttrande Datainspektionen angående planerat infö- (DI) rande av personregister
2. DI Avgivet yttrande (godkän- Myndighet nande) . 3. Myndighet Hemställan om införande Regeringen/Riks-
av ny lag/förordning eller dagen ändring i lag/förordning
4. Regeringen Ny SFS Riksdagen 5. Myndighet Anmälan att _personregis- DI
ter inrättats. Overlämning av dokumentation 6. DI Meddelande om beslut. Myndighet ev. särskilda föreskrifter. påpekanden etc. Förslag om ändring innebär att punkterna 2 och 5 ovan ges följande innehåll och att punkt 6 utgår. 2. DI Avgivet yttrande (godkän- Myndighet nande) åtföljs av struktu- rerade föreskrifter jämte enkla och klara normer för dokumentation 5. Myndighet Anmäler att personregis- DI ter inrättats och förs i enlighet med de av DI givna föreskrifterna. Vidare att dokumentation upprättats enligt fastställ- da normer och finns till- gänglig hos myndigheten
Nuvarande rutiner och handläggningstider är enligt KVS mening klart otillfredsställande. Införda personregister har t. ex. varit i bruk under mycket lång tid innan DI hunnit meddela sitt beslut med ev. särskilda föreskrifter. påpekanden etc.
Prop. 1981/82:189 146
Enligt punkt 5 i förslaget garanterar myndighetens anmälan att de av DI utfärdade villkoren och föreskrifterna för personregistrets förande är uppfyllda. Vidare att fullständig dokumentation finns att tillgå hos myndig- heten då DI utövar sin tillsyns- och inspektionsverksamhet. '
Kriminalvårdsstyrelsen finner därför inte att föreslagna regeländringar åsidosätter det skydd för otillbörligt intrångi personlig integritet som DI har att tillse.
När det gäller förslaget i 2 a 5 tredje stycket om undantag från tillståndsplikten för s a m m a n sl u t n in g a r s personregister yttrar JK:
Undantaget motiveras endast med ett uttalande att register av detta slag enligt 45 datalagen i dess nuvarande lydelse inte anses vara särskilt integritetskänsliga och att det inte nu finns anledning till någon annan bedömning. Det anförda kan enligt min mening inte anses utgöra skäl-för att helt undanta åsiktsregistrering inom sammanslutningar från förhandskon- troll. Genom det föreslagna vidsträckta undantaget möjliggöres sådan registrering inom föreningar med mycket stor medlemskader. t. ex. fackliga sammanslutningar. vilka ingalunda behöver sammanhållas av gemenskap i de hänseenden som föreningen enligt förslaget kan registrera utan att tillstånd därtill krävs. Förslaget bör inte genomföras.
Bankinspektionen menar att förslaget i den delen bör uppfattas så att det skall vara uppgift om politisk uppfattning m.m. som i sig konstituerar medlemskapet i sammanslutningen.
I fråga om 2 a & f j ä rd e s tyc ket yttrar styrelsen för Svenska kommunförbundet:
..
Som skäl för att undanta kommunerna från tillståndsplikt såvitt avser bl. a. uppgift om att någon erhållit ekonomisk hjälp enligt 6 & socialtjänstlagen (1980:620) eller vård inom socialtjänsten har DALK angett att ifrågavarande uppgifter förekommer i en verksamhet som kommunerna enligt lag eller författning är skyldiga att ombesörja (promemorian s. 164 f). Det angivna skälet talar enligt styrelsens uppfattning för att undanta även sådana register från tillståndsplikten som innehåller uppgift om att någon erhållit vård enligt lagen (1980:621) med särskilda bestämmelser om vård av unga (LVU) och lagen om vård av missbrukare i vissa fall (LVM; se prop. 1981/828). Styrelsen anser därför att ett tillägg bör göras till 2 a & fjärde stycket så att även register som innehåller uppgift om vård enligt LVU och LVM kan föras utan särskilt tillstånd.
I detta sammanhang kan ifrågasättas om inte uppgift om att någon erhållit tvångsvård enligt LVM bör fogas till den uppräkning av integritetskänsliga uppgifter som förekommer i den föreslagna lydelsen av 4 5. '
Ifråga om ytterligare undantag från tillståndsskyldig- h e t e n föreslår Sparbankernas datacentral A B att det för sparbankerna skall räcka med ett licensförfarande för register som förs av banker. Man pekar på att få ADB-system och rutiner i övrigt är så övervakade av det allmänna och revisorer som banksystemen. Risk för avsteg från datalagen är därigenom mycket ringa. '
Prop. 1981/82:189 147
Svenska Annonsörers Förening m. fl. organisationer, som förklarar att de i och för sig inte har några erinringar mot förslaget under avsnitt 11 i DALK:s promemoria. menar att vissa marknadsföringsregister bör kunna bli föremål för den föreslagna förenklingen. Man anför:
Organisationerna avser här den typ av direktreklamregister som enligt nollalternativet på sid. 131 anges kunna omfattas av det förenklade ansökningsförfarandet. Avsikten med kommitténs förslag är ju att de register som kan inrättas efter förenklat ansökningsförfarande skall ersättas ' med ett licensförfarande. Det skulle därvid underlätta för den registeran- svarige om licens för inrättande av ett tillfälligt direktreklamregister kunde innefatta en generell licens att inrätta liknande register med de urvalskrite- rier som tillhandahålles ur SPAR. Orgnaisationerna kan inte se några olägenheter med en sådan möjlighet. Som framgår av promemorian har nämligen datainspektionen möjligheter att ge ev. erforderliga föreskrifter till SPAR. vilka kan ersätta ev. föreskrifter för tillstånd betr. tillfälliga direktreklamregister. Enligt vad organisationerna tidigare angivit är det erforderligt att i det tillfälliga registret få införa de kriterier, efter vilka urval begärts. under användningstiden för sortering. bearbetning och statistiksam- manställning. '
På sid. 164 påstås att inom reklam- och marknadsföring används speciellt känsliga faktorer i likhet med sjuk- och hälsovård, socialomsorgen m. fl. Organisationerna finner det angeläget betona att en sådan jämförelse måste bygga på ett missförstånd. Som organisationerna tidigare pekat på är det' ytterst grunda uppgifter. nämligen personnamn. personnummer. adress och inkomstintervaller samt ev. fastighets- och bilinnehav som används. Som redan påpekats anser också kommittén i nollalternativet att ett sådant direktreklamregister bör kunna inrättas efter ett förenklat ansökningsförfa- ' rande (se sid. 131).
Organisationerna anser vidare att det är möjligt att införa licensförfarande i vad gäller s.k. näringslivsregister av den typ postens Adressregister inrättat. I registret ingår större delen av antalet företag inom svenskt näringsliv. De uppgifter som registreras är företagets namn. adress, organisationsnummer. antal anställda och andra företagsspecifika uppgifter. ' 20—30 % av registret innehåller personnamn på befattningshavare, men inga andra uppgifter.
Organisationerna kan inte se någon olägenhet från integritetssynpunkt med ett licensförfarande för sådana register.
DIK-förbundet inom SACO/SR har uppmärksammat en särskild ef- fekt av att tillståndskravet inskränks:
Enligt förslaget skall tillståndskravet i vissa fall ersättas av ett licenstvång. En registeransvarig får efter ansökan licens att föra personregister. För vissa i lagen definierade kategorier av personregister, som bedöms innebära risker för den personliga integriteten . krävs även i fortsättningen datainspektionens (DI) tillstånd.
Enligt 6 & datalagen skall DI, när tillstånd ges. i den mån det behövs för att förebygga risk för otillbörligt intrångi den personliga integriteten. meddela föreskrift om bl. a. bevarande och gallring av personregister. Sådant beslut rörande personregister hos myndighet (Statlig eller kommunal) skall enligt 5 & datakungörelscn (1973z291) ske efter samråd med riksarkivet (RA).
Prop. 1981/82:189 148
Sedan datalagen tillkom har RA därför handlagt ett stort antal samråds— ärenden för sådana personregister. Detta har inneburit väsentligt ökade arbetsuppgifter för RA, vilket i första hand har drabbat den handläggande personalen vid RA:s andra byrå. Samrådsförfarandet har dock inneburit fördelar för RA. Det har givit ökad kunskap om befintliga personregister inom statlig och kommunal sektor. Detta har bl. a. medfört möjligheter att mer effektivt bevaka att in- och utdata bevaras på ett rationellt sätt. bl. a. med hänsyn till forskningens behov. Det har också inneburit möjligheter att påverka DI:s gallringsbeslut. så att även den maskinläsbara informationen kan bevaras för framtida forskning. Om DALK:s förslag genomförs. medför detta att ett stort antal register undantas från dessa bestämmelser. vilket för RA:s del innebär att antalet samrådsärenden minskar. Eftersom de föreslagna bestämmelserna innebär att DI i många fall inte längre skall meddela föreskrift om gallring torde detta för register hos statliga myndig- heter innebära att allmänna arkivstadgans (1961:590) bestämmelser blir tillämpliga. Enligt dessa skall RA besluta om gallring om inte regeringen utfärdar generella gallringsbestämmelser. För att inte RA:s möjligheter att överblicka förekomsten av personregister på den offentliga sektorn skall minska måste RA få del av de förteckningar över personregister som - licensinnehavarna enligt förslaget skall inge till DI.
Flera remissinstanser redovisar en kritisk inställning till DALK:s förslag särskilt såvitt avser effekterna för register inom forskning och statistikverksamhet.
Statistiska centralbyrån (SCB). som förklarar att den inte tar ställning till det lämpliga i att nu göra ändringar i datalagen yttrar:
SCB kan dock i detta sammanhang inte underlåta att peka på den risk för SCB:s del som ligger i att det framtida lagstiftningsarbetet binds upp av de principer som nu lagfästs, detta utan att området för statistik och forskning särskilt regleras eller har varit föremål för någon mer ingående analys i samband med de nu föreslagna ändringarna.
SCB har redan i sitt tidigare yttrande över "DALK:s delbetänkande Personregister— datorer—integritet ( SOU 1978:54 ) understrukit vikten av att det långsiktiga utrednings- och förberedelsearbetet för en generell person- registerlagstiftning snarast påbörjas. SCB framhöll i yttrandet att verket i olika sammanhang förordat en särskild reglering för register inom området för statistik och forskning under hänsynstagande till kraven på ett fullgott integritetsskydd men med beaktande av statistikens och forskningens speciella karaktär att inte rikta sig mot en enskild individ utan ge generella resultat.
DALK:s förslag rörande bestämmelserna för förande av register för forskningsändamål innebär enligt UHÄ bl. a. att för vissa av dessa register någon form av förenklad tillståndsansökan skall genomföras. Därmed torde åsyftas. att forskningsverksamhet bör särbehandlas — ett förfarande som för övrigt stämmer överens med Europarådets konvention. UHÄ anser dock att förevarande förslag inte utgör någon nöjaktig reglering av hithörande problem och förordar därför. att nämnda slag av register ägnas fortsatt uppmärksamhet av kommittén. För universiteten och forskningen i samhäl- let torde frågan vara av sådan vikt att den får en särskild reglering.
Juridiska fakultetsnämnden vid Stockholms universitet yttrar:
Prop. 1981/82:189 149
Ändringen av tillståndskravet bör genomföras enligt DALK:s förslag. På en punkt kan dock utformningen av detta sättas i fråga. Det gäller register som förs uteslutande för forskningsändamå'l. För vissa av dessa tänker sig DALK att någon form av förenklad tillståndsansökan skall genomföras och markerar därmed att forskningsverksamhet bör särbehandlas. Det finns emellertid skäl att gå längre i detta hänseende och generellt undanta register som är avsedda att användas uteslutande för forskningsändamål från tillståndskravet. Riskerna och olägenheterna med att låta datainspektionens tillståndsprövning omfatta också forskningsregister har många gånger framhållits. De består inte minst i att prövningen kan innebära förhandscen- sur av forskningsprojekt. risk för ovidkommande styrning av forskningspro- jekt och hämmande av vissa slag av forskning — t. ex. sådan som ter sig obekväm från någon viss intressentgruppssynpunkt. Det bör vara fullt tillräckligt om de personregister som används uteslutande för forskningsän- damål är föremål för licens- och redovisningsplikt. Datainspektionen har ju möjlighet att genom sin (intensifierade) tillsynsverksamhet ägna uppmärk- samhet åt denna typ av register och dessutom finns styrinstrument i de etiska krav som ställs av olika anslagsgivare och den öppenhet som definitionsmäs- sigt kännetecknar forskningsverksamhet. Framför allt bör understrykas att forskning som innebär användning av personregister inte är inriktad på beslut som rör enskilda individer (jfr t. ex. samkörning av personregister i kontrollsyfte) och överhuvudtaget till övervägande del handlar om aggrege- rade data där inga individuppgifter är av intresse eller behöver redovisas. Det kan i sammanhanget noteras att t. ex. Europarådets konvention om persondata ger möjlighet att särbehandla forskningsregister. Detta är också vanligt i utländsk lagstiftning om hantering av persondata.
Sanz/1ällsvetenskapliga fakultetsnämnden vid Stockholms universitet an- för:
"Tillstånd och tillsyn enligt datalagen ” innehåller en utvärdering av hittillsvarande erfarenheter av datalagen och dess tillämpning. varav följer vissa förslag till ändringar av datalagen på kort sikt. Bl. a. skall en licens att föra personregister införas. och vissa personregister skall kunna föras utan tillstånd.
Nämnden finner att den inledande översikten över datalagens hittillsva- rande verkan väsentligen har karaktär av utvärdering av egen verksamhet. Framställningen ger också föga utrymme åt kritiska synpunkter. Utom i diskussionen av det 5. k. nollalternativet (främst s. 130—133). vilket kommittén avvisar. berörs forskningens situation endast i förbigående. lnvändningar och förslag från forskningens företrädare omnämns i bagatel- liserande ordalag. exempelvis när kommittén anser sig kunna konstatera
”att de registeransvariga inte fört fram några krav på betydande ändringar på kort sikt i de grundläggande skyldigheter för dem som datalagen ställer upp. Detta torde betyda att datalagens effekter av de registeransvariga i stort sett anses vara godtagbara. Vissa invändningar mot det nuvarande tillstånds- kravet finns dock från företrädare för forskningen och direktreklamverk- samheten (s. 115 f)".
Att nämndens yrkande på en radikal ändring av datalagen vad gäller forskningsregister går längre än ändringar på kort sikt synes här ha förbigått kommittén.
Kommittén framhåller. liksom tidigare fakultetsnämnden och andra
Prop. 1981/82:189 . 150
kritiker av datalagen . "att antalet fall av medvetet otillbörligt intrång i enskilds personliga integritet såvitt känt hittills varit begränsat" (s. 100 f.). Kommittén anser sig ha "anledning utgå från att datalagen och datainspek- tionens verksamhet haft stor betydelse för att antalet fall av integritetsintrång hittills varit begränsat" (s. 101). trots att kommittén strax före noterat: ”Det var för övrigt redan då datalagen kom till svårt att peka på några uppenbara sådana fall". Åtminstone för samhällsforskningens del är kommitténs slutsats också här föga övertygande.
Det bör också påpekas att någon beräkning av datalagens totala kostnader för samhället inte görs. Kostnaderna är självfallet betydligt större än de 6 miljoner kronor per år som datainspektionen drar.
Nämnden ser för forskningen inga stora fördelar med det föreslagna licenssystemet. Enligt kommittén kan dock ansökan om licens "göras enkel och behöver i huvudsak bara innehålla den registeransvariges namn, adress. organisationsnummer eller personnummer. telefonnummer och uppgift om kontaktman" (s. 153). Om så är fallet, föreslår nämnden att en eventuell licens automatiskt tilldelas alla forskare som nu har datainspektionens tillstånd att föra sina personregister. Nämnden ställer sig frågande till förslaget att licensinnehavare till datainspektionen skulle ”ge in en förteck- ning över de personregister som förs av honom och för vilka tillstånd enligt 2 & icke krävs" (föreslagen lydelse. 7 b & datalagen, s. 22) och årligen ange förändringar i förteckningen.
Juridiska fakultetsnämnden vid Uppsala universitet anser att. om det 5. k. nollalternativet väljs så bör övervägas om inte det förenklade förfarandet skulle kunna utsträckas till bl. a. vissa register för vetenskapliga undersök- ningar.
Rektorsämbetet vid Karolinska institutet (KI) yttrar:
Den medicinska forskningen arbetar i viss utsträckning med personregis- ter. Enligt vad nu gäller skall forskaren inhämta datainspektionens tillstånd att vid sidan av de uppgifter som datorbehandlas ha tillgängligt en manuell nyckel som gör det möjligt att följa upp olika individer och därmed hålla databasen aktuell. Risken för spridning av personrelaterade uppgifter är vid en sådan hantering ringa. Det vore från KI:s synvinkel därför motiverat att den forskare som blivit registrerad hos datainspektionen och erhållit rätt att inrätta eller föra ett personregister enligt bestämmelserna i datalagen också finge ett generellt medgivande att i forskningssammanhang registrera personer på det sätt som beskrivits.
Rektorsämbetet föreslår att ett sådant medgivande inskrivs i den nya lagtexten. I övrigt finns intet att yttra.
Rektorsämbetet vid Lunds universitet understryker vikten av att möjlighe- terna till fri forskning i största möjliga utsträckning bibehålls. Medicinska fakultetsnämnden vid Lunds universitet anför:
En alltmer utbyggd forskning kring befolkningens hälsa. utvärderings- forskning kring socialpolitiska reformer och liknande måste utgå från befolkningsdata som hämtas från flera olika samhällssektorer. Hälsa/' sjukdom kan endast rätt förstås i ett perspektiv som innefattar andra levnadsniväkomponenter som yrke/sysselsättning. familjeförhållanden och migration. För att kunna utvärdera data om hälsa och sjukdom framstår de
Prop. 1981/82:189 151
longitudinella befolkningsundersökningarna allt väsentligare för samhället. Detta medför att miljödata och historiska befolkningsdata från hälso- och sjukvård. socialtjänst. kriminalvård m. m. har kommit att ingå i angelägna medicinska forskningsuppgifter.
Vad gäller studier av delsystem och delpopulationer är individuella data en absolut förutsättning.
Utredningen har inte berört de särskilda svårigheter som en befolknings- orienterad forskning har att få tillstånd att utnyttja registerdata av känslig" natur i samanalys med egna data. Den tar endast i förbigående upp de särskilda problem som tillståndsgivningen att föra personregister och att samköra olika personregister medför beträffande vetenskaplig forskning.
Sammanfattningsvis vill fakulteten framhålla. att det stora flertalet data som kommer ifråga vid vetenskapliga undersökningar inom medicinska fakulteten icke är kontroversiella. För dessa bör det räcka med ett så enkelt tillståndsförfarande och en så enkel inspektion som möjligt.
Detta bör göra det möjligt att frigöra resurser för en ökad satsning på inspektion och rådgivning till den befolkningsorienterade medicinska forskningen som växer fram och är en ur samhällets synpunkt högst angelägen forskning som syftar mot en aktiv. förebyggande medicin.
De krav på tillgång till registerdata och de svårigheter som diskuterats ovan bör bli föremål för en särskild reglering.
Samhallsvetenskapliga fakultetsnämnden vid Lunds universitet anför:
Datalagens införande och utvecklingen av praxis kring tillståndsgivning enligt densamma medförde allvarliga problem för seriös forskning. Synpunk- ter på detta har tidigare. utvecklats i fakultetsnämndens yttrande över datalagstiftningskommitténs tidigare delbetänkande ”Personregister-Dato- rer-Integritet. Översyn av datalagen " ( SOU 1978:54 ). Kopia av detta yttrande bifogas. De invändningar mot datalagens tillämpning på register för forskningsändamål som därvid framfördes kvarstår med oförändrad styrka. särskilt mot bakgrund av datateknikens utveckling sedan datalagens tillkomst.
Det i nu ifrågavarande betänkande skisserade ”förenklade förfarandet" torde härvidlag vara att betrakta som ett minimialternativ vad gäller förenkling av ev. tillståndsgivningför förande av register för forskningsän— damål. I vart fall torde för forskningsregister som förs. hålls och bearbetas uteslutande vid eller under överinseende av offentlig myndighet det "förenklade förfarandet" kunna förenklas ytterligare till att vara uteslutande ett anmälnings— eller licensförfarande. .
Den synnerligen korta remisstiden har ej medgivit en fullständig beredning inom nämnden av detta ärende. Yttrandet har av dessa anledningar måst inskränkas till att åter framföra och ytterligare understryka de synpunkter på datalagen , som tidigare framförts. Då nu föreliggande betänkande emeller— tid fortfarande i stor utsträckning lämnar den seriösa forskningens problem olösta. torde dessa synpunkter emellertid fortfarande ha minst lika hög angelägenhetsgrad som-tidigare.
Medicinska fakultetsnt'imnden vid Göteborgs universitet anför:
Medicinska fakultetsnämnden -välkomnar rubricerade remiss som ett värdefullt tillfälle att kunna till statsmakterna kanalisera sina erfarenheter rörande bl. a. offentlighet och sekretess kring myndighetsutövningi dataål— dern.
Prop. 1981/82:189 152
Fakultetsnämnden har genom sin sjukvårdsanknytning omfattande erfa- renhet av arkivhållningen av sjukjournaler och den principiella motsättning som råder mellan å ena sidan den ursprungliga grundlagsbestämmelsen om allmänna handlingars offentlighet och å andra sidan skyddet av enskilds integritet.
Fakultetsnämnden är väl förtrogen med den komplicerade såväl juridiska och administrativa som allmänmänskliga problematik som förknippas med det fåtal tragiska fall där människor upplever sig som offer för missriktad sådan myndighetsutövning. Med all respekt för dessa problem och för berörda människor måste fakultetsnämnden dock beklaga att denna problematik samtidigt kommit att ges ett dominerande utrymme i PM:ans och datalagstiftningens tänkande kring bruk och missbruk av offentliga register och arkiv. Det vore tacknämligt om lagstiftaren fortsättningsvis kunde frigöra sig från farhågan för informationsmissbruk när man reglerar ett samhällsområde. där forskningens roll är särdeles kritisk för att vi skall få bukt med olika vårdpolitiska och socialpolitiska problem. som är av stor betydelse för samhället. Man måste kunna lita på forskningens utövare. både på deras ärliga redovisningar och deras ärliga uppsåt. Det kan tilläggas att om den medicinske forskaren som använder datateknik och register/arkiv ifrågasättes härvidlag, torde hans brister endast i ringa mån kompenseras genom att datainspektionen ges vidgade möjligheter till faktiska inspektio- ner.
Databaserad medicinsk forskning i Sverige öppnar möjligheter till att studera medicinska och biologiska fenomen inte endast på enskilda människor utan på mycket stora grupper i en befolkning. De som inte kommit i närmare beröring med sådan forskning upplever naturligt nog heller inte. att vi här står i en språngartad utveckling. besläktad med den som följde under 1500-talet när man började företa liköppning och anatomiska undersökningar. Analogin håller även för en jämförelse rörande konfronta- tionen mellan ny teknik och gamla konventioner. Därtill visar analogin att vår etik är bunden till våra över tiden föränderliga föreställningar om människans natur och hennes plats eller roll i universum. Inför de perspektiv som den databaserade medicinska forskningen öppnar. är den väsentligaste frågan om integritetsintrång inte knuten till människan som enskild individ utan till människan som grupp.
Sammanfattningsvis önskar fakultetsnämnden framhålla att den remitte- rade promemorian ensidigt uppehåller sig kring den enskildes intresse kring motsatsparet offentlighet/sekretess. medan samhällets intresse av att dra nytta av bl. a. den medicinska forskningens möjligheter inte tillfredsställan- de diskuteras i anslutning till nu aktuell översyn av datalagstiftningen.
Samhällsvetenskapliga fakultetsnämnden vid Göteborgs universitet konsta- terar att förslaget endast innebär smärre förändringar vad forskningsregister beträffar.
Humanistiskt-samhällsvetenskapliga forskningsrådet (HSFR ) anmärker att det i DALK:s promemoria föreslås att även vissa vetenskapliga register skall komma i fråga för undantag från tillståndskravet. Vilka dessa register är framgår emellertid inte. HSFR framhåller önskvärdheten av att DALK och datainspektionen tar största möjliga hänsyn till forskningens behov vad gäller dels kort handläggningstid dels undantag från tillståndskravet. Det
Prop. 1981/82:189 153
senare bör underlättas ytterligare genom tillkomsten av rådets nya etikreg- lcr. som också tar tillvara den personliga integriteten för undersökningsper- sonerna.
Medicinska forskningsrådet anför:
De områden som är aktuella för databaserade personregister inom medicinsk forskning är framför allt bedömning av hälso- och sjukvårdens funktioner och effekter samt epidemiologisk forskning framför allt för att utröna miljöbetingad orsak till sjukdom samt sjukdomars sociala konsekven- ser av olika slag. Till detta kommer utvärderingar av behandling riktad mot vissa sjukdomar.
Denna typ av forskning har ofta mött de problem som beskrivs i utredningen i form av långa handläggningstider samt stora avgifter till datainspektionen. Dessa problem har bl. a. redovisats i en konferens om datalagen och den medicinska forskningen anordnad av MFR år 1976. MFR har dessutom nyligen tillsatt en arbetsgrupp bl. a. för att belysa problemen med de långa handläggningstiderna och de stora kostnaderna för tillstånd vid samkörning av register inom epidemiologisk forskning.
Mot denna bakgrund är förslaget till förenklad handläggning av ett stort antal ärenden inom datainspektionen tillfredsställande framför allt för att detta bör minska handläggningstiderna avsevärt.
l förslaget till rationalisering av handläggningen av vetenskapliga person- register anges att det förenklade förfarandet endast kan utvidgas till register. där uppgifterna inhämtas i huvudsak direkt från de registrerade själva och där de registrerade har samtyckt till registreringen efter att från den registeransvarige fått detaljerade upplysningar om registrets målsättning och innehåll. Det är emellertid väsentligt att den principiella rationaliseringen av tillståndsprövningen som redovisas på sidan 175 även omfattar de medicinska forskningsregistren även om dessa oftast ej kan räknas till den kategori som kan bli föremål för "förenklad" handläggning.
Många av de personregister som upprättas inom medicinsk forskning hämtar information från existerande register inom i första hand sjukvården men även från försäkringskassan. register för läkemedelsutköp samt register med information om olika typer av miljöförhållanden. Ett rutinmässigt inhämtande av tillstånd från de registrerade individerna innebär i dessa fall att undersökningen ej kan genomföras i praktiken.
Undersökningar inom ovan redovisade områden har vidare bedömts ha stor samhällsangelägenhet i en rad policydokument från socialdepartement. socialstyrelse samt landsting.
Projekt av denna typ granskas dessutom numera obligatoriskt av en etisk kommitté. som utöver målsättning och vetenskapligt värde även beaktar integritetsaspekterna.
Det hade vidare varit av värde om DALK i sina överväganden tagit del av erfarenheterna inom datainspektionen från handläggningen av denna grupp av ansökningar och bedömt den faktiska risken för integritetsintrång mot bakgrund av handläggningsresultaten och redovisat lämpliga rationalisering- ar av handläggningen.
MFR anser att mot bakgrund av de generella principer för förenklingar av tillståndsförfarandet som DALK skisserar och det utökade tillsynsförfaran- det bör finnas möjligheter till större standardisering och rutinhandläggning
Prop. 1981/82:189 154
även av de personregister som upprättas av forskningsinstitutioner vid medicinsk fakultet.
Delegationen för vetenskaplig och teknisk informationsförsörjning ( DFI ) yttrar:
DFI har det övergripande ansvaret för planering, samordning och utveckling i fråga om samhällets försörjning med vetenskaplig och teknisk information. Detta medför ansvar för och befattning med bl. a. databaser av olika slag. I detta sammanhang är främst bibliografiska register aktuella. dvs. förteckningar över publikationer. vilka därmed också i allmänhet innehåller uppgifter om författarna. Aktuella för DFI är också andra register. t. ex. projektregister. vilka oftast anger namn på projektansvariga och i projekten sysselsatta personer och faktadatabaser av olika slag. Sådana databaser och register torde f. n. falla under datalagens bestämmelser. men innehåller knappast egentligen integritetshotande uppgifter.
DFI förordar att man överväger möjligheterna att utforma lagen så att register av angiven typ helt faller utanför dess område. Om detta inte är möjligt f. n.. tillstyrker DFI ett snabbt och smidigt registerhanteringsförfa- rande med ett minimum av omstäridliga rutiner. Tillåter sedan systemet god överblick över existerande register vinns ett dubbelt syfte. DFI välkomnar således den reform som ligger i en övergång till det föreslagna licens- och tillståndsförfarandet beträffande personregister.
En remissinstans. juridiska fakultetsnämnden vid Lunds universitet, är me r po s i t i v tillDALKzs arbete i denna del och anför:
Av DALK:s promemoria framgår. att ett av de reformalternativ man övervägt men till sist inte fört fram som kommitténs förslag inneburit. att vissa grupper av personregister. bl. a. register för vetenskapliga undersök- ningar. skulle omfattas av ett förenklat ansökningsförfarande. Enligt DALK skulle det från forskarhåll ha framförts särskilt önskemål därom. Det förslag som framlägges i promemorian innebär dock inte någon särbehandling av register för forskningsändamål. Tvärtom kan många sådana register komma att hänföras till den speciella grupp. vilkas inrättande förutsätter tillstånd enligt förslaget. Fakultetsnämnden finner DALK:s förslag vara välmotiverat på denna punkt. Det är viktigt att känsliga personuppgifter tillerkännes erforderligt skydd. varhelst de finns upptagna. Ur den enskildes synpunkt är det lika angeläget att uppgifter i vetenskapliga register som att de i kommersiella register omgärdas med sekretess. Fakultetsnämnden kan inte heller tänka sig. att en forskare skulle vilja undvika att underkasta sig en noggrann kontroll från datainspektionens sida. Mestadels har forskaren och inspektionen samma intresse av att värna om den enskildes integritet. Vad som däremot skulle kunna gagna forskningen är. att man slopade avgifts- skyldigheten för forskningsregister. DALK behandlar vissa avgiftsfrågor i promemorian men berör inte frågan om eventuell avgiftsbefrielse för vissa typer av register. Avgiften uttages efter antalet handläggningstimmar hos inspektionen och kan således för ett forskningsregister komma att uppgå till ett betydande belopp. Fakultetsnämnden anser det vara rimligt. att register som används inom forskningen — som ju ofta kan ha stor samhällelig betydelse — befrias från avgiftsskyldighet. Dagens forskning bedrives med knappa ekonomiska resurser. och varje extra kostnad kan få negativa återverkningar på dess bedrivande. Forskaren har inte heller såsom
Prop. 1981/82:1891 L)! UI
innehavaren av kommersiella register möjlighet att övervältra sina kostnader på konsumenter eller någon annan tredje man.
5.3. Den registeransvariges skyldigheter (.7 a och 7 b åå)
Flertalet av de remissinstanser som yttrar sig över förslaget om skyldighet att ge in en förteckning över personregistret avvisar förslaget. Man åberopar att en sådan ordning medför kostnader och onödigt arbete utan att medföra någon positiv effekt för integritetsskyddet.
Förslaget att licensnummer skall anges på utdataprodukter mottas väl av ett mindre antal remissinstnser. Ett stort antal avstyrker dock förslaget och menar att det saknas skäl för en så omfattande och kostnadskrävande ordning.
De remissinstanser som inte motsätter sig DALK:s förslag om s k y 1 d i g - het att ge in en förteckning över de personregister som förs av resp. registeransvarig till datainspektionen är JK och televerket.
JK yttrar:
Enligt 7 b 5 första stycket skall den registeransvarige till datainspektionen ge in en förteckning över de icke tillståndspliktiga personregister som föres av honom. Enligt min mening förtjänar det övervägas om inte sådan skyldighet bör föreligga så snart personregister inrättas. det vill säga redan i det skede då personuppgifterna insamlas. Det torde nämligen kunna förutses att. i kanske inte så få fall. den registeransvarige tolkar tillståndsplikten för snävt. I sådana fall är det betydelsefullt att datainspektionen ges möjlighet att utöva tillsyn så tidigt som möjligt.
Den föreslagna avfattningen av 7 bä andra stycket gör det i realiteten möjligt för den registeransvarige att dröja nära två år med att inge ny förteckning. Med hänsyn till bland annat vad jag anfört i nästföregående stycke är detta inte lämpligt. Enligt min uppfattning bör i stället den registeransvarige ha att ge in ny förteckning så snart tidigare ingiven förteckning mist aktualitet. Jag vill tillika peka på att inrättandet och förandet av personregister ofta tar mindre tid än ett år i anspråk. En blott årlig underrättelseskyldighet skulle således inte komma att innefatta alla personregister.
Televerket menar att förteckningen bör omfatta samtliga register hos den registeransvarige. dvs. såväl äldre som nya tillståndspliktiga register samt de register som förs inom licensen. Förteckningen kommer då att ge en helhetsbild av myndighetens/företagets personregister och tjäna som infor- mationskälla i syfte att förbättra överblick och offentlighet rörande personregistrering. '
Flera remissinstanser har emellertid olika invändningar mot DALK:s förslag i denna del. Till denna grupp hör datainspektionen. riksförsäkrings- verket. trafiksäkerhetsverket. länsstyrelsernas organisationsnärnnd. JO. SACO/SR. lantbrukarnas riksförbund. Svenska försäkringsbolags riksför- bund och Folksam.
Prop. 1981/82:189 156
Datainspektionen avvisar förslaget såvitt avser skyldigheten att ge in förteckningen till datainspektionen. Inspektionen redovisar ett flertal skäl mot DALK:s förslag på den punkten och anför:
I DALK:s förslag betonas att förteckningen inte får betraktas som någon ersättning för den mera fullständiga systemdokumcntationen om personre- gistren som erfordras med hänsyn bland annat till datainspektionens tillsynsverksamhet. Inte minst från integritetssynpunkt är det viktigt att registeransvariga genom dokumentation har fullständig kontroll och över- blick över förda personregister.
Syftct med förteckningsskyldigheten synes vara dels att inte försämra den överblick och offentlighet rörande personregistreringen som följer av nuvarande tillståndsförfarande. dels att göra det möjligt att följa utveckling- en inför överväganden otn en generell personregisterlag. Förteckningsskyl- digheten skulle därutöver underlätta planeringen av tillsynsverksamheten samt handläggning av förfrågningar och klagomål från allmänheten. anser DALK.
Datainspektionen delar DALK:s åsikt att den föreslagna lagändringen måste utformas under särskilt beaktande av de olika fördelar från integri- tetssynpunkt. som det hittillsvarande tillståndskravet inneburit. Datainspek- tionen ställer sig även bakom förslaget att nämnda fördelar kan bibehållas genom att det diskuterade nya tillståndskravet kombineras med en ny licens- och förteckningsskyldighet samt att ytterligare vissa ändringar görs i datalagen . Datainspektionen vill emellertid kraftigt motsätta sig förslaget i den del det omfattar skyldighet för så gott som samtliga registeransvariga att ge in förteckningarna till inspektionen. Inspektionen föreslår i stället att förteckningsskyldigheten begränsas till en skyldighet för de registeransvariga att upprätta en förteckning över ifrågavarande personregister. men att förteckningen behöver ges in endast på begäran av datainspektionen.
Beträffande överblicken över och utvecklingen av personregistreringen kan datainspektionen inte se att några större. avgörande fördelar från integritetssynpunkt uppnås genom att förteckningarna i samtliga fall ges in. Enligt datainspektionens mening kan i stället nödvändig överblick uppnås genom att inspektionen vid behov begär in de förteckningar man anser önskvärda. Det måste framhållas att inspektionen i dag inte anser sig ha någon fullständig överblick över personregisterhanteringen. vilket DALK synes ha utgått ifrån. En mängd personregister kommer nämligen inte till datainspektionens kännedom genom de regler om dispens och undantag från tillståndsplikten som redan nu tillämpas. Detta upplevs emellertid inte som någon besvärande brist. Inspektionen har nämligen av erfarenhet en ganska klar bild över vilka register som typiskt sett förs i skilda verksamheter. Från integritetssynpunkt är det därför väsentligare att kunna hålla ett aktuellt register över licensinnehavare.
Enligt DALK:s förslag skulle ingivandet av förteckningar bland annat borga för en fortsatt offentlighet rörande personregistreringen. Datainspek- tionen anser att detta kan uppnås utan att förteckningarna behöver ges in. Beträffande register hos myndigheter stadgas enligt tryckfrihetsförordning- en (TF) rätt för allmänheten att ta del av de allmänna handlingar. t. ex. en registcrförteckning. som finns hos myndigheten. I propositionen 1981/82:37 om offcntlighetsprineipen och ADB föreslås en rad olika åtgärder för att förstärka tillämpningen av denna princip. Bland annat föreslås omfattande tilläggi 15 kap. sekretesslagen(1980:100) innebärande detaljerade regler för
Prop. 1981/82:189 157
förhållandet mellan myndighet. som i sin verksamhet använder automatisk databehandling (ADB-). och enskild person. Enligt propositionen skall myndighet för allmänheten hålla tillgänglig beskrivning av bland annat register som förs med hjälp av ADB. Beskrivningen skall bland annat ge upplysning om ADB-registrets benämning och ändamål. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång till samt vem som hos myndigheten kan lämna närmare upplysningar om ADB-registret och dess användning i myndighetens verksamhet. Under förutsättning att ovan nämnda förslag i propositionen antages innebär detta ett bättre och naturligare sätt för allmänheten att informera sig om myndigheternas register än om en relativt innehållsfattig förteckning över dessa skulle förvaras hos datainspektionen.
För bibehållande av offentligheten skall enligt DALK:s förslag även personregister som förs av privata juridiska eller fysiska personer. med undantag av personregister som förs av enskild uteslutande för personligt bruk. förtecknas och ges in till datainspektionen. Någon lagstadgad rätt. liknande reglerna i TF. finns nämligen inte för allmänheten att få ta del av dessa förteckningar (s.k. enskilda handlingar). Enligt datainspektionens uppfattning kan emellertid nödvändig tillgång till och insyn över förteck- ningarna uppnås genom den av datainspektionen föreslagna rätten för inspektionen att i varje enskilt fall begära in dessa. I och med att förteckningarna på detta sätt inkommer till och förvaras hos datainspektio- nen blir också dessa att anse som allmänna handlingar som möjliggör bibehållande av ovan nämnda offentlighet. Datainspektionen vill här också peka på möjligheten för enskild att med stöd av 105? datalagen begära underrättelse från registeransvarig om dennes personregister innehåller upplysning om den enskilde eller inte. Registeransvarig är enligt datalagen skyldig att efterkomma sådan begäran.
Enligt förslaget från DALK skulle slutligen skyldigheten att upprätta förteckningar och ge in dessa till datainspektionen underlätta tillsynsplane- ringen samt handläggningen av inspektionens verksamhet som "dataom- budsman”. Sistnämnda verksamhet omfattar bland annat förfrågningar och klagomål från allmänheten rörande registeransvariga och deras personregis- ter. Datainspektionen finner emellertid inte att insända förteckningar skulle ge inspektionen några betydelsefulla upplysningar för besvarandet av frågor och undersökning av klagomål. Som ovan nämnts innehåller nämligen den föeslagna förteckningen en alltför ytlig och intetsägande information. Förmodligen skulle huvudparten av de ingivna förteckningarna aldrig ens komma till användning. Minst lika god hjälp vid ifrågavarande verksamhet anser sig datainspektionen i stället få av det föreslagna registret över licensinnehavare i kombination med möjligheten att från dessa. efter behov. begära in förteckningar.
Även den registrering som föreslås av särskilda tillståndsärenden torde i detta fall vara till stor nytta. Man kan nämligen räkna med att många frågor. förmodligen flertalet. riktas mot de register som anses vara särskilt integritetskänsliga och som därmed omfattas av tillståndsplikten.
Av ovanstående förstås att insända förteckningar inte heller är tillräckliga som underlag för tillsynsverksamheten. Även här anser inspektionen att licensinnehavarregistret. möjligheten att begära in förteckningar samt registreringen över särskilda tillståndsärenden i lika hög grad fyller syftet att underlätta tillsynsplaneringen.
För att kunna planera och genomföra den tillsynsverksamhet som åligger
Prop. 1981/82:189 158
datainspektionen enligt 15 ädatalagen erfordras ett betydligt bättre uppgifts- underlag än vad innehållet i förteckningarna utgör. Datainspektionen har visserligen möjlighet att med stöd av 17 & datalagen begära ytterligare uppgifter för sin tillsyn. men för att förenkla detta förfarande och skapa enhetliga regler borde övervägas att i datalagen inta en föreskrift om att varje registeransvarig är skyldig att inneha en utförligare beskrivning över de register som han för med hjälp av ADB. Lagen bör emellertid inte innehålla några detaljerade regler om beskrivningens innehåll utan i stället bör datainspektionen ges befogenhet att i sin författningssamling (DIFS) utfärda särskilda verkställighetsföreskrifter i dessa avseenden.
I sammanhanget måste även uppmärksammas att förteckningarna endast innehåller uppgifter om personregister som enligt den föreslagna ändringen av datalagen inte är integritetskänsliga. Att avsätta stora resurser till administrationen av förteckningarna torde därför av många upplevas som en icke meningsfull byråkrati. Då man inte med säkerhet kan säga att inspektionens nu befintliga resurser räcker till i framtiden finns därför all anledning att noga överväga var datainspektionens resurser skall sättas in för att största möjliga genomslagskraft skall uppnås i skyddet av den personliga integriteten.
Enligt datainspektionens åsikt bör därvid föreskrivas att i beskrivningen — åtminstone beträffande de register som är relevanta att bevaka från integritetssynpunkt — skall ingå bland annat systemdokumcntation. Sådan dokumentation, som fortlöpande hålls aktuell. utgör nämligen en nödvändig del av behandlingshistoriken och är en förutsättning för att. exempelvis i klagoärenden. belägga registrets användning i enlighet med dess ändamål liksom även de uppgifter som vid varje tidpunkt ingått i registret. Dokumentationen är också nödvändig för att hålla kontroll över datakvali- teten.
En sådan beskrivning utgör till skillnad från den föregående nämnda förteckningen ett nödvändigt underlag för datainspektionens tillsynsverk- samhet. Beskrivningen skall sålunda i samband med tillsynsförrättningar av olika slag kunna presenteras för datainspektionen och utgöra underlag för datainspektionens ställningstagande.
Datainspektionen är emellertid inte nu beredd att slutgiltigt ta ställning till frågan om kravet på utförligare beskrivningar. Enligt inspektionens åsikt bör erfarenheterna av den av DALK föreslagna förteckningsskyldigheten och förslaget enligt prop. 1981/82:37 först utvärderas. Först därefter kan avgöras om den framtida verksamheten hos datainspektionen kräver mer omfattande beskrivningar av register. I samband med detta får också avgörande fattas om beskrivningarnas innehåll och omfattning.
Datainspektionen avvisar således tanken på att förteckningarna skall ges in till datainspektionen. Inspektionen kan inte finna att nyttan med detta står i rimlig proportion till de kostnader och resurser som måste tas i anspråk vid handhavandet av dessa. Datainspektionen vill i detta sammanhang erinra om de slutsatser Delegationen för företagens uppgiftslämnande (DEFU) kom- mit fram till och redovisat under år 1981. DEFU har konstaterat och understrukit att man inom de statliga myndigheterna har stora kostnader för alla uppgiftsinsamlingar och att man ibland är tämligen tveksam till nyttan av alla uppgiftskrav. DEFU har under tre år prövat de uppgiftskrav som staten riktar mot företag och kommuner.
SACO/SR-föreningen vid datainspektionen ansluter sig till inspektionens yttrande och anför:
Prop. 1981/82:189 15.9
Liksom datainspektionen gjort i myndighetens remissvar vill SACO/ SR-föreningen kraftigt avstyrka att förteckningsskyldigheten utformnas så som DALK föreslagit. De ändamål förteckningen avses användas för kan väl tillgodoses utan att förteckning behöver inges till datainspektionen. Det räcker att varje registerförare förvarar sådan förteckning hos sig. DALK:s förslag kommer om det genomförs i den delen att innebära onödigt merarbete och extra byråkrati som kommer att drabba även SACO! SR-medlemmarna.
Folksam och Svenska försäkringsbolags riksförbund framför motsvarande invändningar. Riksförsäkringsverket anför:
Riksförsäkringsverket för sedan några år tillbaka en förteckning över sina register för att alla som är intresserade skall kunna få information om registren och deras innehåll. I DALK:s betänkande SOU 1980:31 föreslår kommittén att registeransvarig dels skall föra förteckning över register och system och dels systembeskrivningar. Nu föreslår DALK. utan någon koppling mellan förslagen. att registeransvarig skall föra speciell förteckning över register som omfattas av licensförfarandet.
Riksförsäkringsverket delar DALK:s uppfattning om att alla personregis- ter i datalagens mening bör finnas i förteckning så att den som så önskar kan få vetskap om vilka register som finns. Däremot ställer sig verket tveksamt till om speciell förteckning bör upprättas över register som faller under enbart licensförfarandet. Verket anser det lämpligare. bl. a. ur offentlighets- synpunkt. att ha en förteckning över alla personregister i datalagens mening. Skulle förslaget genomföras i denna del måste riksförsäkringsverket föra dubbla förteckningar över personregistren. Verket vill också framhålla vikten av att samordning sker mellan nu framförda förslag om förteckningar och förslag om sådana som förts fram i propositionen (1981/82:37) Offentlighetsprincipen och ADB och som kan komma att föras fram i det fortsatta arbetet rörande Offentlighetsprincipen och ADB.
Trafiksäkerhetsverket menar att det inte finns någon anledning att ta in uppgifter om personregister som inte omfattas av tillståndplikt. En förteckning över sådana register har inte något värde i sig. Först när uppgifterna används för meningsfulla ändamål och bearbetas med hänsyn till ändamålet blir uppgiftsinhämtandet nyttigt. Något sådant användande synes dock inte föreslaget. anför verket.
Länsstyrelsernas organisationsnämnd yttrar:
LON avstyrker även förslaget om att registeransvariga skall ge in förteckning över personregister som inte kräver särskilt tillstånd. Ett sådant system. uppges det i utredningen. bibehåller den överblick och offentlighet över personregistreringen som det nuvarande s. k. förenklade förfarandet innebär. Samtidigt framhålls att det inte är meningen att förteckningen formellt eller materiellt skall bli föremål för någon närmare prövning av datainspektionen. Det sägs vidare att materialet kan användas för stickprovs- kontroller.
Enligt LON:s mening bör man inte samla in material utan att det finns ett särskilt syfte med insamlingen. dvs. att materialet på något sätt blir föremål för hantering hos den insamlande myndigheten.
Prop. 1981/82:189 160
JO ifrågasätter också DALK:s förslag i denna del och anför:
Förslaget i denna del torde medföra att viss del av den rationalisering av datainspektionens verksamhet som man söker åstadkomma går förlorad. Datainspektionen påpekar också att ingivandet av förteckningarna torde ha sitt främsta värde som ett instrument att följa utvecklingen inför övervägan- dena om en eventuell generell personregisterlagstiftning. Förslaget kan godtas endast under den självklara förutsättningen att det inte medför stora personella arbetsinsatser.
Lantbrukarnas riksförbund menar att förslaget är tveksamt. Datainspek- tionens möjligheter att utifrån dylika förteckningar utföra ett aktivt arbete har inte på ett tillfredsställande sätt dokumenterats i utredningen. Förbundet anser därför att denna förteckningsskyldighet icke bör medtagas i datalagen . Under de kommande åren kommer helt nya gränsdragningsproblem att uppstå. eftersom olika tekniker integreras med varandra. vilket enligt förbundet ytterligare talar mot att företagen skall inlämna en förteckning över upprättade personregister.
De som uttryckligen tillstyrker DALK:s förslag om sk yld i ghe t att ange licensnummer enligt 7 b % tredje stycket datala- ge n är samhällwetenskapliga fakultetsnämnden vid Göteborgs universitet. styrelsen för Svenska kormnunförbundet, styrelsen för Landstingsförbundet, Kommun-Data AB och Sparbankernas Dataeentraler A B.
SamIz("il/svetenskapliga fakultetsnämnden vid Göteborgs universitet anför:
Förslaget att varje form av utdata med uppgift ur registret. således exempelvis en adressetikett. förses med uppgift om Datainspektionens licensnummer bör bidraga till ökade kontrollmöjligheter för såväl registrerad som tillsynsmyndighet. En sådan ordning skulle för övrigt ge Datainspek— tionen mera personella resurser för stickprovskontroller. resurser som, om förslaget genomförs oförändrat. skulle få ägnas åt att upprätta och hålla ett allmänt centralregister vid Datainspektionen.
Det måste anses _vtterst viktigt att Datainspektionen mera får karaktär av tillsynsmyndighet och reellt kan bevaka integritetsaspekterna.
Styrelsen för [andstingsförbundet instämmer i att förslaget innebär att kontakten främst mellan datainspektionen och den registrerade underlättas samt att den registrerade kan kontrollera att den registeransvarige har licens. Förslaget medför dock kostnader — huvudsakligen av engångskaraktär — för landstingen.
Förslaget atti utdata till registrerad alltid redovisa licensnummer innebär enligt Kommun-Data AB:s mening förstärkt kontroll över registerföringen och därför också ett bättre integritetsskydd. Förslaget överensstämmer väl med tanken att datainspektionens verksamhet mer skall inriktas på tillsynsverksamhet.
De remissinstanser som avstyrker eller riktar kritik mot förslaget är rikspolisstvrelsen. SA RI. riksförsäkringsverket. postverket. televerket. statis- tiska centralbyrån. statskontoret. DA FA. rik.sskatteL-'erket. länsstyrelsernas
Prop. 1981/82:189 161
organisationsnämnd. länsstyrelsen i Stockholms län. länsstyrelsen i Malmö- hus län. kooperativa förbundet. Svenska försäkringsbolags riksförbund. Folksam. Svenska annonsörers förening m. fl. organisationer. Svenska postorderföreningen. SEBRO och Sparbankernas dataeentraler AB.
Rikspolisstyrelsen anser det inte motiverat och inte förenligt med strävandena att åstadkomma förenklingar att införa den föreslagna skyldig- heten.
SARI ifrågasätter om fördelarna uppväger de kostnader som förslaget åsamkar många ADB-användare. SARI pekar på andra framtida möjlighe- ter till kontroll. bl. a. det datoriserade företagsregistret.
Riksförsäkringsverket anför:
Riksförsäkringsverket har förståelse för att registrerade kan ha önskemål om att mer eller mindre anonyma registeransvariga bestyrker i utdata att tillstånd till ADB-registrering finns. Verket kan dock inte inse att något sådant behov finns för myndigheter. exempelvis riksförsäkringsverket. som på alla handlingar anger att handlingen kommer antingen från riksförsäk- ringsverket eller från allmän försäkringskassa.
Riksförsäkringsverket avstyrker därför med skärpa att bestämmelsen görs gällande för myndigheter. Om så bedöms nödvändigt kan i stället föreskrivas att myndighetens namn skall finnas med på utdata. Om förslaget skulle genomföras i denna del skulle myndigheterna åsamkas kostnader till ingen nytta.
Under avsnittet "den registeansvariges skyldigheter”. — 15.1.4 — sägs att bestämmelsen om att ange licensnummer på utdata bör träda i kraft 1983-07-01. I förslaget till övergångsbestämmelser har dock inte något undantag gjorts för 7 b 5 3 st. Om. mot riksförsäkringsverkets avstyrkan. denna bestämmelse skulle göras gällande även för myndigheter är det viktigt att ikraftträdandet inte sker tidigare. Exempelvis bör myndigheter få göra slut på inneliggande lager av blanketter innan kravet på licensnummer träder i kraft.
Postverket upplyser att det från postverkets löneregister regelbundet sänds lönebesked och i vissa fall även utbetalningskort till de anställda. Det förefaller enligt verket vara mindre nödvändigt att licensnummer anges på sådana handlingar. Förhållandet är detsamma för gireringskort, utbetal- ningskort. fakturor och liknande som adresseras med hjälp av leverantörs- eller kundregister.
Postverket påpekar vidare att det i specialmotiveringen till bestämmelsen bl. a. sägs att åtgärderna med licensnummer innebär möjlighet för den registrerade att kontrollera att den registeransvarige har licens hos datain- spektionen och står under inspektionens tillsyn. Enligt postverkets uppfatt- ning kan dessa synpunkter tillgodoses genom att licensnumer anges i de fall en registrerad begär utdrag ur registret eligt lOå datalagen .
Televerket föreslår att regeln inte bör omfatta utdata av så standardiserad karaktär som teleräkningar. påminnelser. bekräftelser etc.
Statistiska centralbyrån anser med hänsyn till syftet med den nu föreslagna regeln att det bör vara tillräckligt att licens anges i varje försändelse till de registrerade. Om regeln alltså tillämpas så att inte varje handling måste åsättas licensnummer kan centralbyrån klara den här avsedda skyldigheten
Prop. 1981/82:189 162
utan omfattande och kostnadskrävande ändringar i dataprogrammen.
Statskontoret menar att förutom de praktiska svårigheterna — att ändra program och blanketter — så torde behovet av den föreslagna skyldigheten inte vara tillräckligt styrkt.
DA FA anser att en anpassning till skyldigheten att alltid ange licensnum- mer i skriftliga utdata medför betydande kostnader för de registeransvariga på grund av kraven på omfattande system- och programändringar. Enligt DAFAzs mening skulle de registrerades möjligheter att kontrollera att en registeransvarig har licens eller tillstånd hos datainspektion och står under datainspektionens tillsyn kunna tillgodoses på ett likvärdigt sätt genom ökade informationsinsatser från datainspektionen till bl. a. de registre— rade.
Riksskatteverket (RSV) pekar på att DALK i sin promemoria nämner att den föreslagna regeln kan få den största negativa effekten för de register- ansvariga. Verket förklarar sig dela denna uppfattning och anför:
RSV:s mening är att DALK inte i tillräcklig omfattning redovisat de konsekvenser införandet av ett licensnummer i utdata får.
Kommittén har angett att fördelarna med föreslaget förfarande skulle vara att:
1. kontakten mellan datainspektionen. de registeransvariga och de registrerade skulle underlättas.
2. de registrerade kunde kontrollera att den registeransvarige hade licens och stod under datainspektionens tillsyn.
De negativa effekterna utgörs enligt DALK av krav på vissa program- och systemändringar samt ändring av förekommande blanketter m. m.
Enligt RSV:s uppfattning är de fördelar DALK angivit av marginell betydelse. Mer ändamålsenligt är om det i klartext framgår från vem utdata kommer Och till vem man skall vända sig för att få ytterligare information. RSV är av den uppfattningen att ovanstående framgår i de flesta utdatapro- dukter och att det enbart skulle vara förvillande med ett licensnummer. Detta gäller många av de dokument som används inom skatteadministratio- nen som t. ex. förtryckta deklarationsblanketter. preliniinär- och slutskatt- sedlar, kontrolluppgifter m. m.
I promemorian föreslås att varje registeransvarig skall få ett licensnum- mer. Inom skatteadministrationen är RSV. länsstyrelserna och lokala skattemyndigheterna registeransvariga för hela eller delar av centrala skatteregistret, dvs. ett delat registeransvar föreligger. Vid delat registeran- svar kan det bli svårt att avgöra vilket licensnummer som skall anges i en utdataprodukt. Informationen kan till exempel hämtas från RSV och centrala skatteregistret och vidarebefordras med magnetband till länsstyrel- serna som redigerar och trycker materialet. som därefter skickas till de registrerade. Eventuella frågor avseende utdata skall sedan i regel besvaras av de lokala skattemyndigheterna.
Ett införande av en regel som säger att licensnummer alltid skall anges i utdata till de registrerade skulle för RSV:s del medföra krav på betydande system- och programändringar samt ändring av blanketter m.m. vilket innebär stora kostnader.
Prop. 1981/82:189 163
Länsstyrelsernas organisationsnämnd anför:
LON avstyrker förslaget om att licensnummer alltid skall anges i s. k. utdata till de registrerade. Konsekvenserna av detta förslag blir för länsstyrelsernas del att bl. a. varje skattsedel. röstkort. datautskriven blankett och avvikelse från självdeklaration måste förses med licensnummer. Även de 5. k. längderna som t. ex. skattelängder och mantalslängder måste förses med licensnummer. Detta medför i sin tur krav på systemtekniska ändringar och kostnader. Enligt LOst mening kan dessa bli så betydande att man bör överväga att slopa licenstvånget eller undersöka möjligheterna att förenkla förslaget.
Länsstyrelsen i Stockholms län anför:
Länsstyrelserna hör till de största utdataproducenterna inom ADB- området. En mycket stor mängd utdata med folkbokförings-, taxerings- och skatteuppgifter distribueras årligen till allmänheten. t. ex. skattsedlar. förtryckta blanketter (deklarationer. kontrolluppgifter. inbetalningskort för skatt etc). Vid allmänna val utsänds röstkort till alla röstberättigade. För underrättelser. meddelanden och förfrågningar till skattskyldiga i samband med granskning av deklarationer m. m. kommer datorutskrivna blanketter i ökad utsträckning till användning.
Så vitt länsstyrelsen kan bedöma. kommer ett licensuppgiftstvång enligt förslaget att kräva betydande systemtekniska åtgärder i ADB-systemet för folkbokföring och beskattning (AFB-systemet). Det kan ifrågasättas om värdet för de registrerade att få uppgift om de registeransvariga skattemyn- digheternas licensnummer på handlingar som skattemyndigheterna enligt lag är skyldiga att skicka ut står i proportion till de åtgärder och kostnader detta medför. Det bör därför enligt länsstyrelsens mening övervägas om inte sådana utdata som de nämnda bör vara undantagna från en Uppgiftsskyldig- het på det sätt förslaget avser. Om licensuppgiftsskyldigheten med hänsyn till de registrerade måste gälla, bör denna kunna fullgöras fullt betryggande i förenklad form. t. ex. i någon av de informationsbroschyrer, som i regel medföljer försändelserna.
Utöver de nämnda exemplen på utdata i AFB-systemet framställer länsstyrelserna utdata i form av skattelängder. röstlängder. mantalslängder, fastighetslängdcr etc. samt register på mikrofiche m. m. Dessa handlingar delges de registrerade genom att de är offentliga och finns tillgängliga för allmänheten hos myndigheterna inom skatteförvaltningen. Det bör klarläg- gas om licensuppgiftsskyldigheten skall omfatta även sådana utdata. Uppgiftsskyldigheten bör i så fall kunna fullgöras enligt förenklade regler.
Länsstyrelsen yttrar vidare:
Uppgiftsskyldigheten ifråga om licensnumret kan inte genomföras utan omfattande systemtekniska ändringar. Inom AFB-systemet kommer ansvaret för och arbetet med dessa ändringar att helt åvila riksskatteverket. Det bör därför ankomma på riksskatteverket att närmare bedöma kostnads- effekterna.
Länsstyrelsen i Malmöhus län yttrar:
Den registeransvariges licensnummer skall enligt DALK:s förslag anges på varje meddelande som sänds ut från dataregistret. Länsstyrelserna har
Prop. 1981/82:189 164
som registeransvariga att sända ut miljontals försändelser varje år i form av skattsedlar. deklarationsblanketter. uppbördshandlingar m. m. För motta- gare av sådan försändelse torde ursprunget stå klart. Berörda blankettupp- lagor framställs för samtliga länsstyrelser gemensamt. Licensnumret måste därför som regel åsättas i samband med framställningen av försändelsen. Detta kan betyda avsevärd kostnadsfördyring. Oaktat värdet av ett generellt krav på angivande av licensnummer anser länsstyrelsen att nämnda slags myndighetshandlingar inte bör innehålla licensnumret.
Kooperativa förbundet ifrågasätter om det verkligen är nödvändigt att ett tilldelat licensnummer alltid skall anges på utdata. Kontakterna mellan datainspektion. de registeransvariga och de registrerade borde kunna fungera fullt tillfredsställande ändå. förutsatt att den registeransvarige kan identifieras med hjälp av t. ex. namn, adress, telefonnummer och uppgift om kontaktman. .
Svenska försäkringsbolags riksförbund upplyser att lagförslaget för försäkringsbolagens del innebär att dessa måste ange licensnumret vid all kontakt med försäkringstagarna där handling utsänds som innehåller uppgifter ur personregistren. dvs. vid premicavisering. utfärdande av försäkringsbrev osv. Riksförbundet ifrågasätter om det verkligen från integritetsskyddssynpunkt föreligger behov av att betunga alla utdata från registren med licensnummer och den förklarande text om dess innebörd som torde vara nödvändig. Vad gäller underlättande av kontakten mellan datainspektionen och de registrerade understryker riksförbundet att det enligt försäkringsbölagens egen erfarenhet bara har förekommit ett fåtal fall där registrerade anfört besvär hos datainspektionen över sin registrering hos bolagen. Förbundet fortsätter:
Av förteckningen på sid. 91 framgår att under 1973—1980 mindre än 1 000 ärenden totalt förekommit hos datainspektionen som kan ha haft sin grund i klagomål från allmänheten. Denna ringa ärendemängd kan inte enligt riksförbundets mening motivera kravet att licensnummer skall anges på alla utdata.
Härutöver vill riksförbundet anföra att skyldigheten att ange licensnum- mer på alla utdata också kommer orsaka besvär i försäkringskoncerner där man i dag använder gemensamma blanketter för hela koncernen vari ingår flera registeransvariga (t. ex. livbolag resp. sakbolag). Tryckningen av blanketter kommer att kompliceras genom att olika licensnummer måste anges beroende på från vilket register uppgifterna hämtas.
Riksförbundet anser således att kravet att alltid ange licensnummer på utdata är onödigt betungande och bör kunna slopas helt eller i vart fall begränsas till att avse endast sådan kontakt med de registrerade som innebär direktreklam. I sådana fall kan det enligt riksförbundets mening möjligen vara befogat att det direkt framgår att licens att föra dataregister finns hos den registeransvarige.
Om angivande av licensnummer ändå anses nödvändigt utgår riksförbun- det från att detta nummer skall utgöras av den registeransvariges organisa- tions- eller personnummer, vilket är det nummer som enligt gällande regler skall anges i ansökan om tillstånd till datainspektionen. Det är enligt
Prop. 1981/82:189 165
riksförbundets mening angeläget att inga nya nummerserier för beteckning av juridiska och fysiska personer skapas.
Motsvarande synpunkter förs fram av Folksam. Svenska annonsörers förening m. fl. organisationer upplyser att införandet av licensnummer i sig kommer att innebära vissa avigsidor och kostnader på det sätt som DA LK anger på sid. 175 och 176. Det är därför nödvändigt med övergångsbestämmelser. Organisationen yttrar vidare:
För direktreklamregister och näringslivsregister kommer licensnumret innebära att detsamma i regel måste införas på adressetiketter. som med dagens krav därmed kommer att innehålla person- och/eller företagsnamn. adress och ett unikt nummer som skydd mot kopiering och för hantering av inkomna svar samt uppgift om adresskälla och licensnummer. Därigenom blir etiketten överbelastad och risk för missförstånd i posthantering m. rn. kommer att föreligga. Enär licensnumret bl. a. avser uppfylla samma funktion som uppgifter om adresskälla. synes åtminstone denna uppgift kunna utgå.
Svenska postorderföreningen föredrar att ange licensnumret i sina allmän- na villkor i stället för att behöva trycka eller printa licensnummer på varje enskild adressbärare.
SEBRO yttrar:
SEBRO ifrågasätter också nödvändigheten av angivande av licensnummer på meddelanden till registrerade. Denna procedur kommer i ett inlednings- skede att medföra mycket stora kostnader i form av program- och system-tillägg till redan befintliga register. storleksordning 50—100 miljoner för de idag existerande 30000 register. Då registrerad behöver vända sig till DI i ärende angående visst register är det med modern datateknik lika enkelt att söka på företagsnamn som licensnummer.
Sparbankernas datacentraler AB anser det sakna betydelse att t. ex. på varje kontoutdrag som utsändes — miljontals exemplar/år — sätta ut Sparbankernas licensnummer. Den som önskar kontrollera personuppgifter som registrerats kan lätt hos datainspektionen förvissa sig om att den registeransvarige har licens för att få föra personregister.
Bankinspektionen är tv e ks a m ti ll förslaget och anför:
Uttrycket licens är i och för sig knappast adekvat i sammanhanget, eftersom ”licensen” endast innebär att en anmälningsplikt fullgjorts. Det kan dock av praktsika skäl till nöds accepteras. Under sådana förhållanden kan det också godtagas att licensnummer skall anges på skriftliga utdata.
Ifråga om begreppet licens. se vidare avsnitt 9.2 i remissammanställning- en.
Hänvisningar till S5-3
- Prop. 1981/82:189: Avsnitt om ändring i datalagen (1973:289) m.m., 3, 10
5.4. Övriga lagförslag
[ fråga om förslaget till ändring av 12 $ d a t a l a g e n yttrar statistiska centralbyrån:
Prop. 1981/82:189 166
DALK framhåller när det gäller myndigheterna att olika bestämmelser om arkivvård föranleder en rad undantag från huvudregeln om gallring i 12 &. Statliga myndigheter blir enligt DALK därför även i fortsättningen skyldiga att söka gallringstillstånd hos riksarkivet. SCB vill i detta sammanhang framhålla de viktiga arkiveringsintressen som SCB har att bevaka och att tillämpningen av den nya regeln i 125 inte får inverka menligt på dessa intressen.
I anslutning till "20 & datalagen ifrågasätter kammarrätten i Sundsvall om inte även de nya reglerna om den registeransvariges skyldigheter enligt 7 a och 7 b 55 bör vara straffsanktionerade.
6 Beräknade effekter av DALK:s förslag
Såvitt avser de beräknade effekterna av de föreslagna ändringarna i datalagen uppger datainspektionen att resurser skulle kunna föras över till mer angelägna ändamål i enlighet med DALK:s syfte. Man betonar emellertid att det under en övergångsperiod kommer att krävas särskilda insatser för att genomföra licenssystemet och att informera om det nya systemet. Inspektionen pekar också på behovet av en omorganisation av myndigheten för att anpassa denna till det nya regelsystemets tillämpning: En hel del remissinstanser menar att förslagen inte kommer att medföra några konsekvenser alls för de registeransvariga. varken positiva eller negativa. Det finns emellertid de som anser att inskränkningen i till- ståndsplikter kommer att medföra lättnader. Det hävdas också att förslaget i viss mån innebär att arbetet hos datainspektionen övervältras på registeran- svariga och att dessa i det nya systemet ofta kommer att behöva ta ställning till svåra gränsdragningsproblem. såsom om ett register är tillståndspliktigt eller ej.
Några remissinstanser diskuterar vilka k 0 n s e k v e n s e r ett genomfö- rande av DALK:s förslag kan medföra för d at a i n 5 p e k t io n e n s v e r k 5 a rn h e t . Datainspektionen redovisar utförligt hur inspektionen ser på dessa frågor och anför:
Datainspektionen hari Sin anslagsframställning för budgetåret 1981/82 och i promemorian (bilaga 3 till Ds Ju 1981:15/16) till DALK av den 30 januari 1981 ingående belyst inspektionens arbetssituation. Av skrivelserna framgår att arbetsbelastningen på personalen under en lång tid varit mycket hög och att någon minskning i antalet prövningsärenden inte var att vänta. Datainspektionen har därför sökt möta ökningarna av arbetsbördan med rationaliseringsåtgärdcr. så långt detta varit möjligt. samt med en flexibel personalfördelning. Med hjälp av dessa åtgärder har inspektionen i någon mån lyckats minska ärendebalansen. Detta har emellertid skett på bekostnad av fortsatt eftersättande av tillsynsverksamheten, av administrativa insatser. av personalens vidareutbildning och av informationsinsatser riktade mot registeransvariga och allmänheten. Inom datainspektionen finns därför ett stort uppdämt behov av insatser inom dessa områden.
Det finns i detta sammanhang anledning att crinara om att lagförslagets
Prop. 1981/82:189 167
konstruktion — där huvudregeln är licensplikt. kompletterad med krav på särskilt tillstånd i vissa fall — allmänt sett kräver betydande informationsin— satser från datainspektionens sida. Enligt inspektionens mening kan emellertid sådana insatser förväntas undanröja betydande kostnader hos myndigheter och företag.
Enligt datainspektionens uppfattning kan ytterligare rationaliseringsåtgär- der inom ramen för gällande lagstiftning endast leda till marginella vinster. En oförändrad handläggningsordning torde därför i framtiden innebära risk för försämring av integritetsskyddet. För att undvika detta och i stället skapa förutsättningar för inspektionen att på ett godtagbart sätt kunna fullgöra sina skyldigheter återstår endast att genomföra en ändring av datalagen . I en förändrad datalag bör således balansen mellan tillstånds- och tillsynsverk- samheterna vara sådan att inspektionen på ett tillfredsställande sätt kan upprätthålla det integritetsskydd som statsmakterna avsett.
Enligt DALK blir de beräknade effekterna av förslaget att resursbehovet för tillståndsprövningen minskar med fyra till fem handläggare. Resurser torde även frigöras genom att det förenklade förfarandet och handläggning- en av upphörandeanmälningar i huvudsak upphör. DALK föreslår att de frigjorda resurserna utnyttjas dels för tillsynsverksamhet. dels för informa- tion till de registeransvariga och till de registrerade.
Genomförs föreslagna ändringar i datalagen skall emellertid följande beaktas beträffande inspektionens framtida resursbehov.
Datainspektionen har tidigare i andra sammanhang pekat på att tillsyns- verksamheten fortlöpande begränsats på grund av ständigt ökat antal ansökningar om tillstånd. Ett tillfredsställande integritetsskydd kräver emellertid ett relativt stort antal inspektioner. Resurser behöver därför främst tillföras tillsynsverksamheten i och med att ökade krav kommer att ställas på denna verksamhet inför den kommande utveckligen.
Föreslagna ändringar innebär emellertid också att den framtida tillstånds- prövningen kommer att kräva delvis nya arbetsmetoder. Genom DALK:s förslag koncentreras prövningen till fall som kan antas ha störst betydelse för integritetsskyddet. Detta innebär förmodligen att allt fler prövningar under de närmaste åren kommer att avse databehandlingssystem med hög integrering samt med externt beroende av andra liknande system. För handläggning av sådana ärenden kommer att krävas resurser av helt andra mått än vad man i dag talar om. Exempelvis kan det bli nödvändigt att fler handläggare gemensamt handlägger sådana ärenden. som förutom känne- dom om sakområdet, även kräver juridiska och tekniska kunskaper.
Enligt instruktionen åligger det datainspektionen bland annat att inom sitt verksamhetsområde lämna myndigheter. organisationer och enskilda råd och upplysningar. Detta innebär bland annat att inspektionen skall upplysa allmänheten och andra berörda om datalagens innehåll och dess tillämpning. Denna rådgivande verksamhet har under alla de år inspektionen funnits till varit mycket stor, inte minst till de personer som ansökt om tillstånd att inrätta och föra personregister. Genom föreslagna ändringar i datalagen kommer behovet av rådgivande och upplysande verksamhet att kraftigt öka. Normalt svarar både tillstånds- och tillsynsenheten för den rådgivande verksamheten. Under förutsättning att denna verksamhet ökar, såsom inspektionen förutspår. måste således resurser tas från andra aktiviteter inom de båda enheterna.
Som framgår av promemorian kommer särskilda informationsinsatser att krävas av datainspektionen i samband med genomförandet av DALK:s
Prop. l981/82:189 168
förslag. Inspektionens uppfattning är att mycket stora resurser måste avsättas för att ge informationen tillräcklig genomslagskraft. Inspektionen har tidigare anmärkt att externinformationen under lång tid varit eftersatt. Även detta bör därför beaktas vid beräkning av informationsresurserna. Föreslagna ändringar i datalagen kräver enligt inspektionen en detaljrik. förklarande information som under övergångsskedet i första hand bör riktas mot de registeransvariga. Informationen bör innehålla upplysning om bland annat följande:
— licens- och tillståndsförfarandet enligt 2 5 — innebörden av Za 5 — effekterna enligt 7a & — förteckningsskyldigheten och de nya utdatarutinerna (licensnummer) enligt 7b & — de nya generella reglerna om upphörande enligt 12 å — påföljder enligt 20 och 22 55 — de ändringar i 4 och 11 åå som föranleds av internationella överenskom- melser — de övergångsbestämmelser som föreslås — de avgifter som kommer att tillämpas.
För att komma till rätta med svårigheten att nå ut med information till alla licens- och tillståndspliktiga erfordras planmässigt genomförda informations- insatser. Analys av målgrupper och media kan vara nödvändigt. Upprepning av budskapet torde vara en förutsättning för att på sikt nå alla berörda.
Datainspektionens mål är alltså att fortlöpande kunna informera licens— och tillståndspliktiga om datalagens regler. Minst lika viktigt är dock att tillfredsställande information fortlöpande lämnas allmänheten. d. v. s. till dem som är registrerade. Detta har hittills varit en mycket eftersatt arbetsuppgift. Inspektionen räknar med att genom lagändringarna få möjlighet att uppfylla de krav inom detta område som statsmakterna gett uttryck för.
Hantering och handhavande av licensansökningar och förteckningar är arbetsuppgifter för vilka behovet av resurser för närvarande är svårt att uppskatta. Beträffande licensansökningarna framgår inte av förslaget om dessa är tidsbegränsade eller meddelas för obegränsad tid. Självfallet innebär ett system där licensinnehavet periodiskt måste förnyas att större resurser måste avsättas för detta.
Resursbehovet för handhavande och registrering av licenser kommer under alla omständigheter att inledningsvis och under en relativt lång övergångsperiod att vara mycket stort. Datainspektionen räknar med att mellan 15 000 — 20 000 existerande registeransvariga berörs av licensplikten under det första året. Dessa skall senast den 1. januari 1983 ansöka om licens. Situationen kan liknas vid tidpunkten (1975-01-01) då enligt datalagens övergångsbestämmelser ansökan om tillstånd senast skulle göras för vissa personregister. Då inkom ungefär 13000 ansökningar (mot beräknade 4 000).
När det gäller handhavandet av förteckningarna är resursbehovet också svårbedömt. Genomförs förslaget om förteckningsskyldigheten i sin helhet innebär detta att resurser måste avsättas för hantering av ingivna förteck- ningar. Rutiner måste utarbetas för mottagande av förteckningarna och förvaringen av dessa. Sannolikt kommer resursbehovet för denna hantering att öka efter hand. Som framgått ovan motsätter sig emellertid datainspek-
Prop. 1981/82:189 169
tionen förslaget om att förteckningarna skall inges till inspektionen.
Datainspektionen förutsätter mot bakgrund av vad som redovisats ovan samt med hänvisning till de förmodade ärendemängder av olika slag som beräknats i DALK:s förslag och som skall handhas av datainspektionen. att den arbetsmängd inspektionen kommer att få och de resursbehov inspektio- nen har inte behöver bli föremål för någon underskattning.
Ytterligare arbetsområden som tar datainspektionens resurser i anspråk är genomförande och handhavande av ett nytt avgiftssystem som regeringen i maj 1980 gett DALK i uppdrag att utreda och föreslå. Avgiftssystemet skall ansluta till de ändringar av regelsystemet som nu föreslagits av DALK. Det nya avgiftssystemet skall innebära att inspektionens verksamhet i dess helhet täcks genom avgifter. DALK har i promemorian "Nya avgifter för datainspektionens verksamhet" (Ds Ju 198123) föreslagit att avgifter skall utgå bland annat i form av en enhetlig årlig avgift för alla licenshavare. Genomförs förslaget innebär detta att omfattande arbetsuppgifter måste utföras. Grovt uppskattat måste varje månad 2 000 — 3 000 licenser klaras av med avseende på fakturering och mottagande/bokföring av avgifter. I arbetsuppgifterna ingår emellertid även påminnelser. inkassokrav. dom- stolsansökan och ansökan till kronofogdemyndigheten m. m.
DALK förutsätter i förslaget att datainspektionen utformar ett nytt förenklat förfarande för register som inrättas och förs för vetenskapliga ändamål eller för direktreklam. En förutsättning för detta är dock att det visar sig möjligt att genom DIFS avgränsa och närmare beskriva registren. Effekten av detta blir enligt DALK ungefär densamma som om i datalagen skulle anges regler om undantag från tillståndsplikten för dessa register. Datainspektionen har redan avsatt vissa konsultresurser för arbetet med dessa DIFS:ar i syfte att de skall kunna tas i bruk snarast. Resultatet av arbetet visar emellertid att den rationaliseringsvinst som kan göras inte är så omfattande som tidigare beräknats.
Härtill kommer att inspektionen måste avsätta resurser till de uppgifter som åligger biståndslämnande myndighet enligt Europarådets konvention. enligt vad som angivits i det föregående.
Inspektionen kommer således att få vissa nya arbetsuppgifter och andra arbetsuppgifter kommer att förändras till sin karaktär. Genomförandet av DALK:s förslag är därför. enligt inspektionens mening. av den omfattningen att det sannolikt blir nödvändigt att också genomföra förändringar av datainspektionens nuvarande organisation. Det finns nämligen grundad anledning att förmoda att inspektionen inte kan tillgodogöra sig de fördelar som DALK:s förslag i många avseenden innebär utan att en omorganisation genomförs.
Av ovanstående redogörelse torde framgå att övergångsperioden är det avsnitt som kommer att ta mest resurser i anspråk. Särskilda medel för bland annat informations- och konsultinsatser kommer därför att bli nödvändiga. Datainspektionen återkommer. som angivits i senaste anslagsframställning. till dessa frågor i en särskild skrivelse. [ samband härmed kommer datainspektionen också att redogöra för de åtgärder inspektionen planerar att vidta för att uppfylla de skyldigheter som. om förslaget i prop. 1981/82:37 antas. kommer att åläggas myndigheter.
I detta sammanhang måste också beaktas myndighetens målsättning att ta sig an de sedan länge eftersatta frågorna om personalutbildning och intern administration. Genomgripande åtgärder måste snarast vidtas för att komma till rätta med föreliggande brister. För att förhindra att liknande problem
Prop. 1981/82:189 170
uppstår i framtiden måste större resurser avsättas för att dels möjliggöra en fortlöpande personalutbildning. dels skapa förutsättningar för att se över och genomföra administrativa insatser.
Riksförsäkringsverket menar att inspektionens arbetsbelastning avsevärt bör lättas genom begränsningen av tillståndsskyldigheten.
Några remissinstanser diskuterar också b e h 0 v e t a v in fo r m a t i o n om gällande regler m.m.
Riksförsäkringsverket framhåller att så omfattande ändringar i tillämp- ningen av datalagen . som förslaget medför. kommer att kräva avsevärda insatser för information och utbildning. Det är enligt verket angeläget att informations- och utbildningsmateriel arbetas fram centralt. så att inte varje myndighet behöver avdela resurser för sådant arbete.
Televerket yttrar:
De resurser som genom detta förslag kan friställas inom datainspektionens tillståndsenhet bör enligt DALK tas i anspråk för att förstärka den fortsatta verksamheten inom tillstånds- och tillsynsenheterna samt inom informa- tionsområdet.
Inte minst förslaget om förstärkning av resurserna för information tillstyrkes av televerket. En förbättrad information från DI anser televerket inte enbart som önskvärd utan som absolut nödvändig.
Informationen till de registeransvariga bör utformas så att den på ett avgörande sätt underlättar det arbete som följer med registeransvaret enligt datalagen .
Informationen till de registrerade bör rätt utformad bl. a. bidra till minskad oro för de vanligaste personregistren och därmed minska antalet % 10-ärenden.
Också DAFA stöder DALK:s resonemang att en satsning på en förbättrad information och rådgivning till bl. a. de registrerade kan undanröja missförstånd om datalagens innebörd och ge goda resultat från integritets- synpunkt. Informationens betydelse har. yttrar DAFA. aktualiserats inte minst med tanke på de s. k. ombudsföretagen och 10 å-uttag som begärts och förmedlats via dem.
Bland de remissinstanser som i 6 v r i gt yttrar sig om förslagets effekter på datainspektionens verksamhet finns kammar- rätten i Sundsvall som anför:
Om det formella tillståndskravet avskaffas i fråga om register som nu omfattas av det förenklade förfarandet — cirka två tredjedelar av samtliga tillståndsärenden — kan detta inte antagas medföra några större effekter i form av personalbesparingar (jfr s. 173 i promemorian). Den främsta effekten av en sådan reform i form av personalbesparingar skulle sannolikt komma att gälla ärenden om ändring eller utvidgning av befintliga personregister. vilka f. n. inte handläggs enligt något förenklat förfarande. Frågan uppkommer då om inte något sådant förfarande vore möjligt beträffande vissa av dessa ärenden. Detta har emellertid inte diskuterats i promemorian.
Prop. 1981/82:189 171
SA CO/SR-föreningen vid datainspektionen bedömer att arbetssituationen framdeles kommer att förbättras för SACO-medlemmarna.
När det gäller frågan om vilka e ffc k t e r DALK:s förslag kan beräknas medföra fö r d e r e gi ste r a n s v a ri g a menar vissa remissinstanser att förslaget inte får några effekter alls eller endast begränsade.
Riksförsäkringsverket yttrar:
Riksförsäkringsverket för emellertid också andra register och skulle sannolikt behöva tillämpa de flesta av de föreslagna alternativa bestämmel— serna rörande licens. tillstånd och undantag från tillstånd, om de införs. Då den föreslagna regleringen är komplicerad bedöms den personal som arbetar med problemorienterad systemutveckling komma att behöva hjälp med juridisk tolkning i avsevärt större omfattning än som nu är fallet. Den resursvinst som verket eventuellt kan komma att göra genom att vissa av verkets register kan undantas från tillståndstvånget beräknas ätas upp av ökade svårigheter med juridisk tolkning av bestämmelserna.
Ban/(inspektionen anför:
Kreditinstitutens reskontror och andra personregister avseende kunder och deras förhållanden behöver i allmänhet inte särskilt tillstånd enligt förslaget. Till denna typ av register torde dock inte kunna föras register med personupplysningar. om inte registreringen har grund i ett kundförhållande. En sådan grund kan inte anses vara för handen hos Upplysningseentralen UC AB. medan den som regel föreligger hos bankerna. Föreslagna ändringar beträffande tillståndskrav får emellertid relativt liten betydelse för kreditin- stituten. eftersom deras registerbehov i nuläget väsentligen är täckt och tillstånd lämnade enligt hittills gällande ordning.
Statistiska centralbyrån anför:
Den av DALK nu föreslagna principen för avgränsning av tillståndstvång- et innebär emellertid för SCB:s vidkommande i huvudsak inga förändringari vad avser omfattningen av tillståndspliktiga register. I allmänhet torde något av de rekvisit som konstituerar tillståndstvång enligt 2 5 p. 1—4 vara uppfyllt i fråga om sådana register som förs vid SCB.
Även fortsättningsvis kommer således personregister som förs av SCB att omfattas av tillståndstvånget enligt 2 & datalagen i de fall då undantag inte gäller enligt 2 af) 1 st. dvs. för personregister vars inrättande beslutats av regeringen eller riksdagen.
När det gäller uppgifter som inhämtas från andra myndigheter noterar SCB emellertid att enligt promemorian kan DI med stöd av 2 a' 4 p. datalagen ge särskilt tillstånd till andra myndigheter att lämna ut uppgifter och därigenom kan antalet tillståndsärenden hållas nere. DI bör i detta sammanhang vara oförhindrad att meddela sådana tillstånd i fråga om uppgiftslämnande till SCB för statistikändamål.
Försäkringsinspektianen finner att de av DALK föreslagna ändringarna i datalagen rn. m. inte torde innebära någon menlig inverkan för försäkrings- bolagens möjlighet att föra de för deras verksamhet nödvändiga personre— gistren. Med nu gällande lagstiftning förs huvuddelen av dessa med tillstånd
Prop. 1981/82:189 172
efter ansökan om tillstånd enligt 5. k. förenklat ansökningsförfarande varför de föreslagna ändringarna i praktiken enligt inspektionen inte torde medföra annat än en viss förenkling.
Länsstyrelsen i Stockholms län uppger att DALK:s förslag förutsätts kunna genomföras utan ökade kostnader för verksamheterna för länsstyrelserna.
SlyrelsenförSvenska kommunförbundetdelar DALK:s uppfattning att det nya registrerings- och licensförfarandet knappast blir särskilt betungande för de registeransvariga. _
Flera remissinstanser serlättnader för de re gisteransvariga p.g.a. DALK:s förslag.
Riksförsäkringsverket finner att för registeransvariga som enbart för register som kommer att omfattas av licensförfarandet torde övergången till det föreslagna förfarandet medföra förenkling i handläggningen av datalags- ärenden.
Statskontoret yttrar: .
Det är inte möjligt att utan en ganska omfattande analys pröva huruvida föreslagna formuleringar kan medföra tolkningsbekymmer. För flertalet enklare system inom offentlig förvaltning borde dock formuleringarna inte ge några större tolkningsproblem.
Licensförfarandet måste — för att någon större rationaliseringseffekt skall uppstå — vara tillämpligt på fler register än vad som gäller för nuvarande förenklade ansökningsförfarande. Redan i dag behandlas 3/4 av tillstånden enligt det förenklade ansökningsförfarandet.
Inom den offentliga sektorn har man tidigare endast i begränsad utsträckning kunnat utnyttja förenklat ansökningsförfarande.
Statskontorets bedömning är dock att ett betydande antal system inom den offentliga sektorn kommer att undantas från tillståndsplikten om DALK:s förslag genomförs. Statliga och kommunala registerförare svarar i dag för mer än hälften av alla tillståndsansökningar.
Enligt styrelsens för Svenska kommunförbundet mening kommer DALK:s förslag att innebära administrativa förenklingar för kommunerna. Samman- taget betyder ändringarna att kommunerna sällan kommer att behöva ansöka om särskilt tillstånd att inrätta och föra personregister. Av icke oväsentlig betydelse i detta sammanhang är. framhåller styrelsen. den föreslagna bestämmelsen i 2 a & fjärde stycket datalagen som ger kommu- nerna möjlighet att föra register inom det sociala området utan särskilt tillstånd.
Svenska försäkringsbolags riksförbund. som uppger att man tillstyrker ett förenklat förfarande. upplyser att för försäkringsbolagens del kommer förenklingen att medföra att personregister av det slag som bolagen huvudsakligen har icke blir tillståndspliktiga och faller under licensförfaran- det. Förbundet påpekar dock att sådana försäkringsregister som innehåller uppgifter enligt 4.5 datalagen även i fortsättningen blir tillståndspliktiga. Folksam framför motsvarande synpunkter.
Stvre/sen för landstingsjörhumlet upplyser att en stor del av de register som
Prop. 1981/82:189 173
landstingen för inte kommer att omfattas av tillståndskravet. Förslaget innebär därför lättnader för landstingen.
Sparbankernas datacentraler uppger att förslaget innebär kostnadsbespa- rande effekter genom att inga beskrivningar behöver sändas till datainspek- tionen.
Några remissinstanser redovisar ol i k a n e g a t i v a effe k t e r av DALK:s förslag.
UHÄ påpekar att det ökade administrativa arbetet för de registreringsan- svariga kan bli betydande och dessutom medföra ökade kostnader. Tekniska högskolan iStockha/m har förståelse för de fördelar förslaget skulle innebära för datainspektionen. Högskolan framhåller dock att det kommer att medföra att högskolan får överta delar av datainspektionens kontrolluppgif- ter. Man förutsätter därför att klara och enkla direktiv och anvisningar utarbetas vid datainspektionen för att förenkla arbetet för de registeransva- riga.
Samhällsvetenskapliga fakultetsnämnden vid Göteborgs universitet ytt- rar:
Man kan på denna punkt konstatera att DALK:s lösning på datainspek- tionens resursproblem innebär en övervältring av administrativt arbete på de registeransvariga. För en myndighet som ett universitet kommer denna övervältring att bli mycket betungande på grund av att varje institution håller sig med en rad olika adressregister över studerande på olika nivåer. forskare och lärare. Därtill kommer universitetsförvaltningens olika register för löner och anställningsförhållanden. DALK:s förslag ålägger registeransvarig att inge en förteckning över alla personregister samt. i den mån ändringar i dessa görs, årligen rapportera om de aktuella uppgifterna.
Det är ingen tvekan om att den föreslagna ordningen kommer att lägga betydande bördor på universitetet som myndighet och medföra avsevärda administrativa kostnader. Det rimliga vore. att förslaget ändrades i denna del, så att rapporteringsskyldighcten borttogs. Denna inställning till förslaget har också Datainspektionen. En förutsättning är dock. att tydliga handlings- regler utformas för den registeransvarige och att dessa knytes till licenstill- ståndet.
Kommun-Data AB yttrar i detta sammanhang:
Den förenkling av administrationen som DALK:s förslag medför för kommuner och landsting gäller inte heller för registeransvariga med små personregister.
I flertalet fall för den registeransvarige ett eller två enkla personregister. Med nu gällande bestämmelser sker tillståndsansökan enligt förenklat förfarande. Detta innebär i praktiken en enkel anmälan till Datainspektio- nen som registrerar ett tillstånd. Det av DALK föreslagna licensalternativet är i stort sett jämförbart och medför inga påtagliga fördelar.
Riksarkivet anför:
Vad beträffar förslagets återverkningar bör det dock betonas. att en begränsning av tillståndskravet knappast kan väntas leda till en minskad arbetsbelastning på arkivsidan. Det av DALK föreslagna tillägget till 12 å
Prop. 1981/82:189 174
datalagen . innebärande att personuppgift som ej längre behövs för sitt ändamål skall utgallras. om ej annat sägs, torde komma att kräva en omfattande upplysningsverksamhet och en fortlöpande bevakning från arkivmyndigheternas sida. De statliga arkivförfattningarnas bestämmelser på den punkten torde ej stå klara för alla registeransvariga. Huruvida kommunallagens stadganden om arkivvård i allmänhet tolkas som ett hinder mot gallring av personregister kan synas tveksamt.
Om gallringen i kommunernas och landstingens personregister ej skall bli alltför omfattande och därigenom tillfoga forskningen skador. krävs det därför att riksarkivet och landsarkiven bedriver en upplysningsverksamhet även på kommunalt håll. Här bör särskilt framhållas. att registren i ökande omfattning får betydelse för sökning i aktscrier och andra pappershandling- ar. En ogenomtänkt utgallring exempelvis av datorstödda diarier kan snabbt göra stora delar av arkiven praktiskt taget otillgängliga. Den praktiska tillämpningen av Offentlighetsprincipen kan härigenom äventyras.
Sveriges advokatsamfund anför:
Det kan ifrågasättas huruvida man verkligen kommer att uppnå de rationaliseringsvinster hos datainspektionen och den förskjutning av verk- samheten hos datainspektionen från tillståndsprövning till tillsyn. som utgjort de huvudsakliga anledningarna till DALK:s förslag. En omläggning till licens- och tillståndsförfarande kommer oundvikligen att leda till att rutinerna hos datainspektionen måste omarbetas och att — som framgår av DALK:s promemoria — informationsinsatser kommer att krävas från datainspektionens sida riktade såväl till de registeransvariga som till de registrerade. Det kan på goda grunder antagasatt de resurser som DALK förutsätter kommer att frigöras för tillsynsverksamhet istället i stor utsträckning kommer att behöva tagas i anspråk för omläggning av rutinerna hos datainspektionen samt för handläggning av licensärenden enligt den föreslagna & 7b och tillsyn av licensärenden. Huruvida det skulle ges utrymme för någon ökad tillsynsverksamhet beträffande särskilt integritcts- känsliga register ställer sig samfundet sålunda tveksamt till.
DAFA menar att e ff e k t e r n a på kort sikt av de föreslagna åtgärderna kan vara 5 v å r a a tt u r s k i 1 j & . speciellt med hänsyn till de förändringar av administrativ karaktär förslaget innebär för datainspektionen.
Riksåklagaren yttrar i detta sammanhang:
De nu föreslagna bestämmelserna om åtgärder på kort sikt torde i den utsträckning de blir föremål för lagstiftning bli gällande till dess en eventuell personregisterlagstiftning kommer att ersätta datalagen . Med hänsyn härtill och då DALK:s nu föreliggande förslag innehåller omfattande ändringar i gällande datalag. föreligger det enligt min mening starka skäl för att DALK under det pågående och framtida utredningsarbetet noggrant studerar de effekter, som de föreslagna ändringarna medför för datainspektionens verksamhet. de registeransvariga och de registrerade. Ett sådant studium bör ske i samarbete med datainspektionen och utmynna i en dokumenterad utvärdering. Utredningsmaterialet. som skall ligga till grund för bedömning- en av om en generell personregisterlag skall ersätta datalagen . skulle därigenom enligt min mening få ett- värdefullt tillskott. Arbetet med den sålunda föreslagna utvärderingen torde inrymmas under de direktiv som DALK redan erhållit.
Prop. 1981/82:189 175
7 Förslag med anledning av datainspektionens skrivelse till regeringen den 20 november 1980
Av de frågor som behandlas i datainspektionens skrivelse har endast DALK:s förslag om undantag från tillståndsplikten för register som överlämnats till arkivmyndighet föranlett några mer ingående kommentarer under remissbehandlingen. Förslaget i den delen får ett positivt mottagande, bl. a. av riksarkivet. Arkivet lämnar i anslutning härtill även andra synpunkter på datalagens regelsystem och effekterna av DALK:s förslag.
DALK:s slutsats om möjligheterna att bemyndiga datain- spektionen att medge generella undantag från till- stå n d 5 pli k t e n biträds av kammarrätten i Sundsvall. Kammarrätten framhåller sålunda att detta inte torde vara förenligt med 8 kap. RF.
Endast statistiska centralbyrån och DAFA yttrar sig över D A L K : s överväganden rörande den obligatoriska föreskriften om registerinnehållet i 5 ådatalagen . Statistiskacentralbyrån anser att starka praktiska skäl talar för att den av DALK föreslagna tillämpningen bör kunna komma i fråga för såväl forsknings- som statistik- register. Dessa register innehåller nämligen ofta en mängd variabler som kan kategoriseras efter arten av uppgifter och ofta kan ett register även behöva utökas med härledda variabler som är av samma art som de ursprungliga.
DAFA stöder DALK:s uppfattning att det hittillsvarande obligatoriska kraveti 5 ådatalagen på föreskrift om registerinnehållet kan göras fakultativt och flyttas över till 6 & datalagen. Bestämmelsen blir då mer flexibel. utan att integritetsskyddet försämras.
Vissa remissinstanser kommenterar DALK:s förslag om u n d a n ta g från tillståndsplikten för register som mottagits för förvaring av arkivmyndighet, 2 a å andra stycket datalagen.
Kammarrätten i Sundsvall delar uppfattningen att enbart förvaring av personregister hos arkivmyndighet inte kan anses vara speciellt känslig från integritetssynpunkt.
Statistiska centralbyrån (SCB) yttrar i anslutning till den föreslagna- bestämmelsen:
SCB vill i anslutning till 2 st i denna paragraf fästa uppmärksamheten på att regeln i 10.5 datalagen om skyldighet att lämna registerutdrag till de registrerade för närvarande inte tillämpas i avseende på visst hos SCB arkiverat material. SCB har. i enlighet med överenskommelse som träffats med riksarkivet (RA) och som godkänts av DI. till RA överlämnat ett betydande registerbestånd för långtidsarkivering. Av praktiska skäl har SCB enligt överenskommelsen åtagit sig att förvara detta långtidsarkiverade material.
Beträffande register som mottagits för förvaring av arkivmyndighet gäller enligt 2 % 2 st i DALK:s förslag att något tillstånd inte krävs. Enligt 7 b & 4 st gäller inte heller reglerna om skyldigheten att inge förteckning över personregister till DI respektive angivande av licensnummer i utdata till den registrerade. I övrigt gäller emellertid enligt DALK datalagens bestämmel-
Prop. 1981/82:189 176
ser om den registeransvariges skyldigheter "även i fortsättningen" för personregister som överlämnats till arkivmyndighet för förvaring (prome- morian s. 185).
Avses härmed att skyldigheten enligt 105 datalagen efter genomförande av DALK:s förslag även skall omfatta långtidsarkiverade register anser SCB för sin del att denna förändring är helt orealistisk att genomföra. Till följd av den nyss nämnda överenskommelsen skulle det ankomma på SCB. om DALK:s förslag genomförs i förevarande avseende. att handha administra- tionen av registerutdragen. SCB vill med eftertryck framhålla att verket för närvarande vare sig har ekonomiska eller tekniska resurser att uppfylla ett sådant krav varom här är fråga. Härför skulle SCB behöva en avsevärd utökning av sin datorkapacitet. sannolikt skulle en ny dator behöva anskaffas. Initialt skulle också med förslaget uppstående administrativt merarbete medföra en omfördelning av betydande personella resurser.
I detta sammanhang kan också erinras om det förslag som framlagts av Gruppen för Arkivfrågor Riksarkivet Datainspektionen (GARD) enligt vilket personregister som mottagits för förvaring av arkivmyndighet som avses i allmänna arkivstadgan inte skall omfattas av datalagens bestämmel- scr. Se DALK:s promemoria Ds Ju 1981:16 (bilagorna) s. 43 ff.
Riksarkivet yttrar i denna del:
1 kap. 12 behandlar DALK förutsättningarna för ett bevarande hos arkivmyndigheterna av register. som inte längre behövs för sitt ursprungliga ändamål men som ändock måste bevaras av hänsyn till forskningen (sid. 181 ff). Enligt kommitténs förslag skall hos arkivmyndigheterna förvarade personregister av detta slag vara undantagna från tillståndsplikt (2 a & 2 st. förslaget till datalag). Däremot kommer de att vara underkastade de bestämmelser. som sammanhänger med licensplikten. Arkivmyndigheten skall dock ej vara skyldig att till datainspektionen inge i 7 b & föreskriven förteckning över registren. ([ sistnämnda hänseende bör påpekas att arkivmyndigheterna i enlighet med sina speciella uppgifter för omfattande förteckningar av särskilt slag över sina bestånd. bl.a. för att tillgodose forskningens behov av tillgång och överblick.)
Riksarkivet hälsar de föreslagna undantagen med tillfredsställelse. De utgör en förutsättning för att register skall kunna mottagas för mera långsiktig förvaring. Härutöver måste dock förutsättas, att datainspektionen enligt 10 ä 4 st. förslaget till datalag befriar riksarkivet från skyldigheten att lämna utdrag till enskild enligt samma paragraf (s. k. 10 å-utdrag). DALK:s uttalande (sid. 184—185) att de hos arkivmyndigheter förvarade registren ej utgör en fara i integritetshänseende torde kunna ses som ett starkt stöd för dispens (enligt 10% 4 st.). Utan en sådan befrielse kommer förvaringen i praktiken att omöjliggöras.
Riksarkivet ifrågasätter. huruvida arkivmyndigheterna inte härutöver borde undantas från den i 8 och 9 åå föreslagna skyldigheten att rätta. utesluta eller komplettera uppgifter. Skälet härtill är ej främst de praktiska svårigheterna. även om de med tiden kan bli betydande. utan de principiella betänkligheter. som måste göra sig gällande. Hittills har det varit en för arkivmyndigheterna främmande uppgift att vidta ändringen i det historiska källmaterial. som mottagits för förvaring.
Den i 235 datalagen föreskrivna ersättningsskyldigheten på grund av felaktighctcri register kan likaså bli alltför betungande för arkivmyndighe- terna och torde av lagstiftarna ha avsetts att tillämpas på den. som upplägger register.
Prop. 1981/82:189 177
Det bör betonas. att de föreslagna specialreglcrna för arkivmyndigheter (2 a & 2 st.. 7 b &) måste ses mot bakgrunden av dessa myndigheters särskilda uppgifter och deras ställning som opartiska vårdare av samhällets minnes- förråd. Grunden för den föreslagna eller ovan ifrågasatta specialregleringen skulle undanryckas. om undantagen utsträcktes till andra myndigheter eller institutioner än de i 7—11 %% allmänna arkivstadgan (-l961:590) angivna. dvs. riksarkivet. krigsarkivet och landsarkiven (inklusive stadsarkiven i Stock- holm och Malmö). .
Allt större delar av det nyare vetenskapliga källmaterialet lagras i vår tid på ADB-medier eller på mikrofilmer. i vilka sökningen sker med hjälp av datorbaserade register. Inom en inte alltför avlägsen framtid torde detta komma att gälla också delar av det äldre arkivmaterialet. Att de långsiktiga arkivfrågorna på ADB-området måste få en tillfredsställande lösning ter sig därför som ofrånkomligt.
Från den synpunkten beklagar riksarkivet, att DALK ej ansett sig redan nu kunna ta ställning till den mera långtgående lösning. som diskuterats i datainspektionens skrivelse till kommittén den 20 nov. 1980 angående till arkivmyndighet överlämnade personregister. Riksarkivet mottar nu i ökande omfattning leveranser av magnetband och förbereder tillskapandet av en särskild enhet för de nya mediernas vård. De krav. som i arkivhänseende bör ställas på maskinläsbara medier har preciserats. främst av dataarkiveringskommitte'n i dess betänkande (SOU 1976:68). och de har därefter vunnit statsmakternas bifall. bl. a. av hänsyn till beräknade kostnadsbesparingar inom arkivvården. I dagens läge är det därför angelä- get. att frågan om bevarandet av datorbaserade register och förutsättning- arna härför snart löses. Detta är så mycket mera angeläget. som Europarå- dets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter kan få vittgående konsekvenser för gallring och arkivvård. Sveriges anslutning till konventionen har ägt rum utan att svensk arkivex- pertis beretts tillfälle att anlägga synpunkter på regelsystemet.
Samhällsvetenskapliga fakultetsnämnden vid Göteborgs universitet anser att DALK:s förslag i denna del är positivt ur forskningssynpunkt. DlK-förbundet inom SA CO/SR anför:
Ett annat av DALK:s förslag. som innebär konsekvenser för personalen inom arkivväsendet. är förslaget att personregister som överlämnas till arkivmyndighet skall undantas från tillståndstvång. Förslaget har tillkommit efter förslag från DI. Bakom förslaget ligger arbete i en arbetsgrupp med representanter för DI och'RA. Förslaget har föranletts av att RA sedan några år tagit emot ett allt större antal magnetband från i första hand statliga myndigheter. Det är av stor betydelse för arkivväsendet och dess personal att RA ges möjlighet att ta emot maskinläsbar information (upptagningar för ADB) utan hinder av bestämmelser i datalagen . Det måste dock inskärpas. att detta innebär krav på lokaler. maskinell utrustning och personal för hantering av denna typ av material. I dagens kärva ekonomiska klimat kan detta innebära att RA tvingas flytta över resurser från andra arbetsuppgifter. Detta kan innebära problem för berörd personal. eftersom mängden av annat arkivmaterial och därmed övriga arbetsuppgifter inte samtidigt sjunker. utan tvärtom också ökar. Enligt DIKzs uppfattning bör därför ett . genomförande av DALK:s förslag kombineras med ökade resurser till RA
Prop. 1981/82:189 178
för dess verksamhet med att ta emot. förvara och vårda ADB-material från den offentliga sektorn.
Statens lzurnanistiskt-samhällsvetenskapliga forskningsråd yttrar:
Enligt DALK:s förslag till ändring skall inte krävas tillstånd enligt 2 % datalagen i fråga om personregister som mottagits till förvaring av arkivmyndighet som anges i allmänna arkivstadgan (1961:59()). DALK går dock inte närmare in på konsekvenserna av de bestämmelser som reglerar den situation som uppträder. när forskare vill låna sådant material från arkiven. Hithörande frågor bör på ett smidigt sätt kunna handläggas av arbetsgruppen GARD (Gruppen för Arkivfrågor Riksarkivet Datainspek- tionen). Det vore olyckligt om forskarna skulle behöva kommunicera med två olika myndigheter för att få ta del av sådant forskningsmaterial bl. a. med hänsyn till förväntad handläggningstid vid respektive myndighet.
8 DALK:s förslag med anledning av internationella överenskom- melser
De remissinstanser som yttrar sig över DALK:s överväganden och förslag med anledning av internationella överenskommelser, är i huvudsak positi- va. .
Hovrätten för Västra Sverige har inte funnit att innehållet i Europarådets konvention och OECD:s riktlinjer på någon avgörande punkt strider mot svenska rättsprinciper. Mot de föreslagna lagstiftningsåtgärderna i denna del har hovrätten ingen erinran.
Kammarrätten i Sundsvall har inga erinringar mot de förslag till ändringar i och tillägg till datalagen och sekretesslagen som DALK funnit påkallade av hänsyn till internationella överenskommelser. Ändringarna och tilläggen bör enligt kammarrätten kunna genomföras även om DALK:s förslag i övrigt inte följs.
Datainspektionen yttrar:
Flera internationella organisationer har sökt utveckla principer för den internationella datatrafiken. Inom Europarådet har arbetet numera resulte- rat i en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter. Konventionen har hittills undertecknats av Sverige och ett 10-tal andra länder. För svensk del krävs härutöver riksdagens godkännande för att den skall bli bindande för Sverige. Europeiska gemenskapen (EG) har rekommenderat sina medlemsländer att ratificera konventionen. Arbetet inom OECD har lett fram till vissa riktlinjer i fråga om integritetsskydd och om persondataflödet över gränserna. Beträffande dessa riktlinjer har OECD rekommenderat medlemsländernas regeringar bland annat att beakta riktlinjerna i nationell lagstiftning. Sverige har tillsammans med 20 andra medlemsländer godtagit rekommendationen och därmed åtagit sig att följa riktlinjerna. Ytterligare åtgärd från svensk sida krävs inte utan riktlinjerna har härigenom trätt i kraft. '
Antagandet av OECD:s riktlinjer föranleder inte några ändringar i gällande svensk lagstiftning, då denna i stort uppfyller riktlinjernas krav i olika avseenden.
Prop. 1981/82:189 179 -
När det gäller flödet av personuppgifter över gränserna bör dock följande anmärkas. Enligt riktlinjerna skall OECD:s medlemsländer undvika att inskränka sådant flöde. (Inskränkning får dock ske i vissa fall.) Flera av OECD:s medlemmar är emellertid medlemmar även i Europarådet. I förhållande till dessa länder kommer därför också rådets konvention att gälla, varför förbud eller krav på särskilt tillstånd för flödet av personupp- gifter över gränserna inte får förekomma. ,
I förhållande till OECD:s övriga medlemmar gäller däremot riktlinjernas mindre abosluta bestämmelser. vilka inte hindrar att svensk lag ställer krav på särskilt tillstånd till överföring av personuppgifter över gränserna. DALK föreslår därför dels att kravet på datainspektionens medgivande tills vidare bibehålls med avseende på dessa länder, dels att inspektionen följer utvecklingen inom OECD-området när det gäller genomförandet av de grundläggande principer som riktlinjerna innehåller. Avsikten är att utröna om det senare kan visa sig möjligt och lämpligt att ta bort kravet på särskilt medgivande till utlämnande även till dessa länder. .
Datainspektionen stöder förslagen och ansluter sig till de skäl som står bakom dessa.
Beträffande Europarådskonventionen yttrar inspektionen:
Datainspektionen konstaterar att de grundläggande principerna för data- skydd som tagits in i konventionen innebär att registrerade personer i alla länder. där konventionen trätt i kraft. garanteras ett visst minimiskydd i samband med ADB av personuppgifterna. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla denna s. k. gemensamma kärna. Detta skall därefter göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna och på så sätt underlätta det internationella samarbetet. Enligt datainspektionens mening kan konventionens syften uppnås endast genom att parterna uppfyller de krav som enligt konventionen åläggs dem. Datainspektionen biträde-r därför de av DALK föreslagna ändringarna i datalagen .
Datainspektionen förklarar sig beredd att åtaga sig uppgiften som biståndslämnande myndighet. Inspektionen har inget att erinra mot de ändringar som därvid måste göras i instruktionen för datainspektionen ochi sekretesslagen .
Ledamoten i datainspektionens styrelse, Kerstin Gustafsson, yttrar:
Rutinmässig och från integritetssynpunkt ofarlig datatransmission över gränserna bör enligt min mening inte hindras eller försvåras. Däremot kan det fortfarande finnas skäl att hindra att speciellt känsliga uppgifter utan någon som helst myndighetsprövning överförs till utlandet. Det är därför väsentligt att det även i fortsättningen kommer att finnas möjlighet att förena tillståndsbeslut med en föreskrift om att uppgifterna får överföras till utlandet först efter tillstånd av Datainspektionen.
DAFA stöder DALK:s uppfattning att man bör se positivt på Europarå- dets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. speciellt med tanke på att konventionen följer samma mönster som den svenska datalagen .
Medicinskafakultetsnämnden vid Uppsala universitet finner inte anledning
Prop. 1981/82:189- 180
att motsätta sig de föreslagna ändringarna i datalagen och sekretesslagen - med anledning av Europarådskonventionen. Samma uppfattning redovisar Svenska försäkringsbolags riksförbund.
Humanistiskt — samlzällsvetenskapliga forskningsrådet anser det självklart att det internationella forskningsutbytet skall ske på likartade villkor och instämmer i DALK:s rekommendation att riksdagen godkänner konventio- nen och därvid tar upp behovet av eventuella ändringar i datalagen vid ett sådant godkännande.
9. Specialmotivering
9.1. Allmänna synpunkter på lagtextens utformning
Hovrätten för Västra Sverige anser att terminologiska och lagtekniska förbättringar behövs för att göra innehållet mera lättförståeligt och entydigt. Datainspektionen framhåller också att den föreslagna lagtexten från juridisk- tcknisk synpunkt kan behöva överarbetas. Lagtexten är enligt datainspek- tionen i vissa fall svårtillgänglig och kan leda till missförstånd.
SA C O/SR-föreningen vid datainspektionen framför motsvarande synpunk- ter, och yttrar att en mindre god lagprodukt kommer att slå tillbaka på juristerna vid datainspektionen. varav flertalet är SACO/SR-mcdlemmar.
Juridiska fakultetsnämnden vid Stockholms universitet anför:
I fråga om detaljer i lagförslaget märks framför allt att den nya texten i datalagen är svåröverskådlig. Det kan bli ett problem att nå ut till den stora kretsen av registeransvariga med information om krav och föreskrifter. Generellt kan man ifrågasätta om datalagen bör vara tillämplig annat än i vissa delar för registeransvariga som för personregister uteslutande för personligt bruk och för arkivmyndigheter. Beträffande de senare gäller att de knappast kan likställas med registeransvariga i sedvanlig mening.
Svenska föreningen för ADB och juridik, som i vissa avseenden kritiserar lagtexten. menar att en del av de oklarheter som berörs av föreningen torde kunna lösas genom råd och anvisningar. Oklarheterna torde enligt förening- en till stor del bero på att DALK koncentrerat sitt arbete på utarbetande av ett lagförslag och inte lämnat närmare förslag till råd och anvisningar m. m. angående tillämpningen.
Svenska föreningen för ADB. och juridik har också en mer generell = kommentar när det gäller utformningen av regelsystemet. Föreningen ' vttrar:
DALK:s förslag synes alltså innebära att alla regleri DL i princip skall gälla licensregistert. ex. rättelseskyldighetä 10.5 11. ("export").tillsyn..straff och skadestånd rn. m. DALK förutsätter (s. l69) att DI genom tillsynsverksam- het skall kunna ingripa även beträffande icke tillståndspliktiga register. Om så bör vara fallet bör detta tydligt anges samt eventuella undantag härifrån. Det är f. n. oklart bl. a. hur registeransvarigs generella skyldigheter enligt (i 7 a förhåller sig till $ 11 ("export"). Lagförslaget kan tolkas sa att-
Prop. 1981/82:189 181
licensregister ej omfattas av så 11, d. v. s. exporten är fri för sådana register. Enligt DALK skall bl. a. löneregister, vissa religiösa och politiska register och läkarregister endast kräva licens. Lagtexten synes ej ge något utrymme för generella föreskrifter för licensregister. Det bör övervägas om man i licensen eller i till licensen fogade "DIFS" eller på annat sätt bör ge generella föreskrifter i frågor om t. ex. säkerhet. bevarande och gallring. utlämnande, export m.m. 55 5 —7 reglerar endast förutsättningar och föreskrifter för tillståndsregister.
I sammanhanget bör anmärkas att de registeransvariga som nämns i & 2 a 3:e och 4:e st. och som endast behöver licens torde för sin verksamhet föra register med vissa av i & 4 mycket känsliga uppgifter som kräver särSkilda och synnerliga skäl (ibland endast för vissa registeransvariga). l ä 4 har också tillagts vissa känsliga uppgifter p. g. a. Europarådskonventionen. Som exempel kan nämnas att enligt 5 2 a får läkare föra licensregister. Sådana register kan innehålla uppgifter om såväl fysiskt som psykiskt hälsotillstånd och hos vissa läkare säsom t. ex. gynekologer ibland i vart fall indirekt uppgifter om sexualliv. För angivna uppgifter krävs enligt 5 4 tillstånd samt särskilda skäl om det är fråga om annan än myndighet.
Motsvarande diskrepans mellan åå 2 a och 4 föreligger beträffande religiösa och politiska uppgifter. Känsligheten av sådana register hos sammanslutning torde dock bero på huruvida det är fråga om "djup" information och omdömen. Det kan finnas skäl att överväga om samman— slutning enligt .5 2 a utan tillstånd bör kunna föra register över medlemmar med sådan information och utan tidsbegränsning.
9.2. De särskilda bestämmelserna 2 55 första stycket
Flera remissinstanser kritiserar begreppet ”licens”. Riksåklagaren ifråga- sätter om inte begreppet i detta sammanhang språkligt sett är missvisande, eftersom någon prövning enligt förslaget inte skall ske. Registreringsbevis syns enligt riksåklagarens mening vara en mer adekvat beteckning. Samma uppfattning har JK.
Överåklagaren i Stockholm har samma synpunkter och föreslår att förfarandet betecknas som registrering och att numret på utdata anges utan förbeteckning. Hovrätten för Västra Sverige pekar på att licens enligt allmänt språkbruk betyder tillåtelse eller tillstånd (sbevis). Vad som åsyftas är ett anmälningsförfarande med kvittens från myndighetens sida. Detta bör enligt hovrätten bättre komma till uttryck i lagtexten.
Bankinspektionen är också kritisk mot begreppet men. anser att det till nöds kan godtas. . .
Riksdataförbundet. som framför liknande synpunkter som hovrätten för västra Sverige menar att begreppet licens i förening med skyldighet för den registeransvarige att ange sin licens i körtespondens med de registrerade. är ägnat att inge allmänheten oriktiga föreställningar om det verkliga förhål- landet. Kooperativaförhundet framför också liknande synpunkter och menar att beteckningen kan uppfattas så att registret och dess innehåll är granskat och godkänt av datainspektionen.
Prop. 1981/82:189 182
Länsstyrelsen i Malmöhus län anser att ansökan om licens bör komplet- teras med en försäkran att fråga inte är om tillståndspliktiga register.
Hovrätten för Västra Sverige menar att det finns risk för missförstånd av lagtexten. Detta belyses enligt hovrätten genom förslaget till 2 & 1 st. av ordet ”r e g i s t r e r a d'".— som här avser en registeransvarig. Enligt definitionen i 1 & avses emellertid med "registrerad" en enskild person beträffande vilken personuppgift i personregister förekommer.
2 5 andra stycket
JK anser att ordet "naturlig" bör utgå ur 2 5 andra stycket 3. Datainspektionen anser att formuleringen i 2 5 andra stycket 4 bör förtydligas. Stadgandet reglerar samkörning och samutnyttjande och torde därigenom få stor betydelse i framtiden. Det är därför väsentligt att svårigheter inte uppstår vid tolkningen av stadgandet.
Svenska föreningen för ADB och juridik yttrar:
Av DALK:s motivering (s. 218 ff) framgår att samkörning och samutnytt- jande av personregister regleras i & 2 p. 4. Paragrafen är svårtillgänglig i sig och dessutom krävs att 55 2 a — 7 a också beaktas för att bedöma huruvida tillstånd erfordras. Konstruktionen av det nya tillståndsförfarandet synes enligt DALK (s. 185, 219 och 223) innebära att ställning bör tas till utlämnandefrågan redan i "ursprungsärendet" för att undvika att den nye registeransvarige som vill samköra eller samutnyttja data blir underkastad en tillståndsprövning. Detta bör inte vara något större problem när det ursprungliga registret är ett tillståndsregister och det är känt vilka andra registeransvariga som avser samköra eller utnyttja personregister. I många fall är det svårt eller omöjligt att förutse samkörningen och samutnyttjande. Särskilt beträffande licensregister. t. ex. arkivregister, om möjligheter att ge föreskrifter saknas. är innebörden av DALK:s förslag oklar. .
Det är önskvärt att villkoren för licens respektive licens och tillstånd angående. samköring och samutnyttjande av personregister noga övervägs från integritetssynpunkt samt utformas klarare i lagtexten och på annat sätt.
2 & tredje stycket Svenska föreningen för ADB och juridik yttrar:
Register som förs för ”personligt bruk" kräver enligt 5 2 varken licens eller tillstånd. Ej heller behöver förteckning enligt & 7 b inges till datainspektio- nen. Enligt DALK (s. 158) skall sådan registeransvarig vara underkastad DL:s regler om registeransvarigs skyldigheter. tillsyn rn. m. Registeransva- rigs skyldigheter omfattar också bl. a. 5 11 DL (export). Det ärinte självklart att "registeransvarig" som varken behöver licens eller licens och tillstånd skall anses som registeransvarig enligt DL och omfattas av samtliga bestämmelseri lagen t. ex. åå 10 och 11. Reglerna om straff och skadestånd i DL berörs ej av DALK. Det bör övervägas om reglerna i DL helt eller delvis bör vara tillämpliga på personregister för personligt bruk. Det bör framgå klart av lagtexten om och i så fall vilka regler som gäller för dessa register.
Prop. 1981/82:189 183
2 5 fjärde stycket
Svenska föreningen för ADB och juridik anser att definitionen bör föras in under 1 % datalagen.
2 a 5 andra stycket Svenska föreningen för ADB och juridik anför:
Enligt 5 2 a krävs inte tillstånd i fråga om personregister som mottagits för förvaring av arkivmyndighet. Enligt & 7 behöver förteckning ej inges till DI. För dessa register krävs licens enligt DALK och reglerna om registeransva— rigs skyldigheter och Dlzs tillsyn m. m. skall tillämpas (s. 184 f). Det bör klart anges i lagtexten att licens krävs. Register för personligt bruk som ej kräver licens och arkivregister behandlas i samma stycke i % 7 b beträffande undantag från förteckningsskyldighet m. m. Det kan starkt ifrågasättas om det är lämpligt att låta arkiverade register omfattas av alla bestämmelser i DL t. ex. rättelseskyldighet och & IO-utdrag. Syftet med arkivering torde vara att bevara möjlighet att ta del av uppgifter relevanta vid den tid då registret "aktivt” fördes. Om arkivregister bör behandlas som andra register är det svårförståeligt att arkivregister undantas från förteckningsskyldighet och uppgivande av licensnummer enligt 5 7 b.
2 a 55 tredje stycket
Datainspektionen anser att det finns skäl att förtydliga 2 a % tredje stycket så att det klart framgår vilken sammanslutning som får registrera resp.
uppgift.
2 a 5 fjärde stycket
Datainspektionen anser att 2aå fjärde stycket bör förtydligas så att omfattningen av vad läkare och tandläkare får registrera klarare anges.
2—7 5.5
Svenska föreningen för ADB och juridik har en mer generell kommentar till regelsystemet:
& 2 1 st. reglerar licens. 55 2 2 st. reglerar ”undantag" från huvudregeln dvs. fall när både licens och tillstånd krävs. ] 52 a reglerar "undantag" från "undantaget" dvs. när tillstånd ej krävs. "Rekvisiten'" för tillstånd respektive undantag från tillstånd är en tämligen ostrukturerad blandning av bl.a. uppgifter som sådana. uppgifter för visst ändamål och olika "kvalitet" på. registeransvariga.
Ytterligare förutsättningar för tillstånd anges i 55 3—7 och är delvis desamma som redovisas i & 2. Det synes därför nödvändigt för den som avser att inrätta ett register inte bara att söka ledning i första hand i 5 2 och undantagen i 5 2 a utan även studera åå 3—7 för att bedöma om tillstånd erfordras och om och på . vilka villkor ett sådant kan komma att ges. Vidare kan enligt DALK ett
Prop. 1981/82:189 184
förenklat förfarande i tillståndsärenden bli aktuellt (s. 167). Det ärangeläget att "rekvisiten" för licens respektive licens och tillstånd klargörs.
4.6
Riksåklagaren menar att uppgifter om härkomst kan vara av minst lika känslig natur som uppgifter av det slag DALK anger. Ilan anser därför att registrering av uppgifter om härkomst skall få ske endast om särskilda skäl föreligger.
7 a & Statistiska centralbyrån anför:
Den föreslagna regeln i 7 å 5 har till syfte att vara normgivande för de registeransvariga. Frågan är om inte denna regel borde preciseras ytterligare eller i vart fall närmare utvecklas och exemplifieras i lagmotiven för undvikande av osäkerhet hos de registeransvariga om reglernas tillämpning och risken att nya eller ändrade föreskrifter med stöd av 185 datalagen meddelas av Dl i efterhand. De registeransvariga bör således någorlunda kunna förutse och bedöma konsekvenserna av ett nytt register och inte riskera ändringar av registret till följd av lagtolkningssvårigheter.
7 b .5 Svenska föreningen för ADB och juridik yttrar:
Ingivande av förteckning enligt # 7b synes vara en relativt enkel och praktisk procedur för att ge överblick liksom angivande av licensnummer vid kommunikation. DALK synes avse att licensnummer skall anges även vid kontakter med D]. Detta förefaller praktiskt men framgår ej av lagtexten. & 7 b. En praktisk fråga som är oklar. är om varje registeransvarig skall ha ett licensnummer för samtliga licens och tillståndsregister. gamla som nya. Om så är fallet kan övervägas om det inte är enklare att låta alla registeransva- rigas register ingå i förteckningen. Det är något oklart varför enligt övergångsbestämmelserna registeransvarig skall söka licens. Licensnummer kan eventuellt övergångsvis ges på grundval av den första till Dl ingivna förteckningen över olika sorters register.
11—12 555 Svenska föreningen för ADB och juridik anför:
Tidigare har pekats på oklarheter beträffande tillämpningen av 511 beträffande bl. a. licensregister. % ll synes i föreslagen lydelse såvitt avser hänvisningen till Europarådskonventionen innebära . att de möjligheter artikel 12 i konventionen ger till undantag i vissa särskilt angivna fall — mycket känsliga data och re-export — från utlämnande av uppgifter ej skall tillämpas. Föreslaget tillägg till 7 kap. 16 & sekretesslagen är formulerat på samma sätt som 5 11 DL och synes innebära generellt undantag från sekretess.
Prop. 1981/82:189 ISS
Register kan upphöra att föras genom förstöring eller arkivering. [ det senare fallet uppkommer fråga om registeransvar för arkivmyndighet. & 12 2 st. innebär'att tillståndsregister och register enligt 5 2 a 1 st. skall anniälas för Dl. Möjligen bör s*" 12 förtydligas med att anmälan skall ske innan registeransvarig upphör att föra registret. Om DI eller regering/riksdag tidigare meddelat föreskrifter om bevarande. gallring etc. synes det inte vara några problem. Däremot framgår inte av föreslagna & 12 hur skall förfaras med registret om sådana föreskrifter saknas. Syftet med licensförfarandet avses vara att flertalet register. också myndighetsregister. inte skall vara tillståndspliktiga. Det är givetvis en fördel om register och uppgifter som inte "behövs" förstörs utan att Dl behöver belastas med anmälningari klara fall. DALK anför dock bl.a. (s. 231) "När det gäller myndigheter är även arkivintresset en sådan särskild omständighet som kan föranleda undantag". DI:s roll i förhållande till myndighets licensregister är oklar. Frågan sammanhänger också med vad som ovan anförts om eventuella generella föreskrifter för licensregister.
Som framgår av det tidigare anförda är det av vikt rent allmänt att det för registeransvarig framgår vilka regler som är tillämpliga för honom men särskilt med hänsyn till reglerna om straffoch skadestånd t. ex. underlätclsc att tillämpa # 10 DL.
25 .f Svenska föreningen för ADB och juridik anför:
Besvärsbestämmelsen i .é' 25 berörs inte av DALK. Besvärsrätt får förutsättas föreligga för registeransvarig och JK också i fråga om DI:s beslut att registrera och meddela licens. Ett praktiskt fall kan vara gränsdragning mellan licens respektive licens och tillstånd vilket kan vara av intresse också från kostnadssynpunkt. En förtydligande motivering beträffande besvärsrätt kan övervägas.
Hänvisningar till S9-2
- Prop. 1981/82:189: Avsnitt 5.3
10. Ikraftträdande och övergångsbestämmelser
De föreslagna övergångsbestämmelserna har kritiserats på två punkter — tidpunkten för ikraftträdande av skyldigheten att ange licensnummer enligt 7 bä tredje stycket samt skyldigheten för nuvarande tillståndshavare att ansöka om licens. Flera remissinstanser förordar således längre övergångs- tider och undantag från anmälningsskyldigheten för tidigare meddelade tillstånd.
Styrelsen för Svenska kommunförhundet. Landsliugsförbundet och Kom- mun-Data AB anser att tidpunkten för skyldighet att ange licensnummer bör senareläggas om den föreslagna tiden är för kort. Några remissinstanser påpekar att hänvisningen i första stycket i övergångsbestämmelserna till 7 b 5 är felaktig. [ lagtexten har angetts andra stycket men det skall rätteligen vara tredje stycket. '
Bankinspektionen understryker behovet av att anpassningsperioden blir tillräckligt lång. Enligt inspektionens uppfattning gäller detta i hög grad kreditinstitut. fondbolag och andra som 'står under bankinspektionens
Prop. 1981/82:189 186
tillsyn. En alltför snar övergång kommer att föranleda betydande kostnader. Bankinspektionen föreslår att bestämmelsen i 1 b & träder i kraft först den 1 juli 1983 och att en regel införs enligt vilken datainspektionen kan medge förlängt uppskov med bcstämtnelsens iakttagande när skäl finns för det. (Se vidare avsnitt 5.3 i remissammanställningen.)
Skyldigheten för nuvarande tillståndshavare att ansöka om licens kritiseras av hovrätten för Västra Sverige. rikspolisstyrelsen, SA RI, juridiska fakultets- nämnden vid Stockholms universitet, bankinspektionen. statskontoret. Sven- ska försäkringsbolags riksförbund och Folksam.
SARI anför:
Om statsmakterna ändock stannar för ett system med licenser av det slag som DALK förordar. vill SARI starkt ifrågasätta förslaget att alla de myndigheter och företag m. ut. som nu finns registrerade hos datainspektio- nen skall behöva på nytt anmäla sin avsikt att använda ADB. De uppgifter som redan finns borde vara tillfyllest för inspektionen. På grundval av dem bör inspektionen kunna utfärda licenser. Härigenom slipper man från det merarbete som omkring 20000 licensansökningar skulle medföra för dem som använder ADB och datainspektionen behöver inte registrera dem.
Bankinspektionen anför:
Förslaget innebär emellertid att licens måste meddelas även i fall då tillstånd redan lämnats. Förslaget innebär enligt bankinspektionens mening en onödig byråkratisering. Såvitt bankinspektionen kan förstå borde det kunna föreskrivas. att redan lämnat tillstånd automatiskt skall medföra att licens meddelats. För datainspektionen skulle då endast återstå att tilldela tillståndshavaren licensnummer.
Statskontoret anser också att man utan större olägenheter kan undanta alla registerförare (ca 15 000) som har tillstånd enligt äldre bestämmelser och som inte inrättar nya register. Därigenom kan merarbete hos datainspektio- nen och de registeransvariga undvikas.
Juridiska fakultetsnämnden vid Lunds universitet yttrar:
Den av DALK föreslagna reformen innebär. att ett stort antal nuvarande tillståndsinnehavare (omkring 15 000) endast skulle komma att behöva licens för sina register. Naturligast vore, om dessa registeransvariga automatiskt erhöll den nya licensen från datainspektionen. DALK föreslår emellertid. att de — fastän tillstånd beviljats dem efter den nuvarande ingående granskning- en skall ansöka om licens och registreras på nytt hos datainspektionen. Anledningen härtill är. att datainspektionens register inte "utgör en helt aktuell och tillförlitlig källa för identifiering av varje registeransvarig" (s. 236). Fakultetsnämnden. som finner oroväckande att den högsta tillsyns- myndighetens register är av nyssnämnda beskaffenhet, anser. att alla nuvarande tillståndsinnehavare. för vilka tillståndskravet kommer att bortfall-a och som kan spåras med hjälp av registret. automatiskt skall få licens. om den föreslagna reformen genomföres. Endast de som inte inom viss tid får bevis om utfärdad licens skulle behöva göra anmälan hos inspektionen. Under alla omständigheter skulle det vara orimigt att ta ut nya avgifter av tillståndsinnehavarna. när kravet på förnyade ansökningar är föranledda av datainspektionens otillräckliga registreringsrutiner.
Prop. 1981/82:189 187
Svenska försäkringsbolags riksförbund och Folksam anser att ett effekti- vare sätt att klara övergången vore att datainspektionen med utgångspunkt från sitt diarium över registeransvariga själv utfärdar licens utan en ansökan som underlag. Ett sådant förfarande är enklare såväl för de registeransvariga som för datainspektionen och garanterar samtidigt att de registeransvariga inte fortsättningsvis av förbiseende för personregister utan nödvändig licens. Ett alternativ är att inspektionen med ledning av sitt register över tillstånd sänder ut en blankett för ansökan om licens till de registeransvariga som ifyller och återsänder blanketten. Valet av administrativ lösning är enligt förbundet och Folksam viktigt, eftersom det enligt beräkningarna i promemorian är fråga om så stort antal som 15 000 registeransvariga som kommer att beröras av förändringen.
Prop. 1981/82:189
Convention for the protection of individu- als with regard to automatic processing of personal data
Preamble
The member States of. the Council of Euro- pc. signatory hereto,
Considering that the aim of the Council of Europe is to achieve greater unity between its members. based in particular on respect for the rule of law. as well as human rights and fundamental freedoms;
Considering that it is desirable to extend the safeguards for everyone's rights and funda— mental frccdoms, and in particular the right to the respect for privacy, taking account of the increasing flow across frontiers of personal data undergoing automatic processing;
Reaffirming at the same time their commit- ment to freedom of information regardless of frontiers:
Recognising that it is necessary to reconcile the fundamental values of the respect for privacy and the free flow of information between peoples.
Have agreed as follows:
Chapter I — General provisions
Article ] Object and purpose
The purpose of this convention is to secure in the territory of each Party for every indi- vidual. whatever his nationality or residence. respect for his rights and fundamental free- doms. and in particular his right to privacy, with regard to automatic processing of perso- nal data relating to him ("data protection").
A rticle 2
Hänvisningar till S10
Definitions
For the purposes of this convention: a. "personal data" means any information
188
Convention pour la protection des person- nes a Pégard du traitement automatisé des données å caractére personnel
Préambule
Les Etats membres du Conseil de l'Europe, signataires de la presente Convention,
Considérant que le but du Conseil de l"Europe est de réaliser une union plus e'troite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l'homme et des libertés fondamentales ;
Considérant qu'il est souhaitable d”étendre la protection des droits et des libertés fonda- mentales de chacun. notamment le droit au respect de la vie prive'e, eu égard ä [”intensifi- cation de la circulation å travers les frontieres des données ä caracterc personnel faisant l'objet de traitements automatisés :
Réaffirmant en méme temps leur engage- ment en faveur de la liberté d”inf0rmation sans consideration de frontieres ;
Reconnaissant la nécessite' de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l'information entre les peuples,
Sont convenus de ce qui suit :
Chapitre I — Dispositions générales Article I" Ohjet et but
Le but de la présente Convention est de garantir, sur le tern'toire de ehaque Partie. ä toute personne physique. quelles que soicnt sa nationalité ou sa residence. le respect de ses droits et de ses libertés fondamentales. ct notamment de son droit a la vie privée. ä l'égard du traitement automatisé des données å caractere personnel la concernant ((( protec- tion des données »).
Article 2 Définitions
Aux fins de la présente Convention : a. adonnées ä caraetere personnel » signific :
Prop. 1981/82:189 189
Inledning
Konvention om skydd för enskilda vid automatisk databehandling av personuppgifter
Signatärmakterna, medlemmar av Europa- rådet.
vilka beaktar att syftet med Europarådet är att åstadkomma en fastare enhet mellan dess medlemmar. byggd särskilt på respekt för lagen liksom för mänskliga rättigheter och grundläggande friheter;
vilka anser att det är önskvärt att utsträcka skyddet för enskildas grundläggande fri- och rättigheter. särskilt vad gäller rätten till per- sonlig integritet. och att därvid beakta det ökande flödet över gränser av personuppgifter som undergår automatisk databehandling;
vilka samtidigt åter bekräftar sin förpliktelse att upprätthålla informationsfriheten utan hänSyn till nationsgränser:
vilka erkänner att det är nödvändigt att förena de grundläggande värden som ligger i skyddet för den personliga integriteten och i ett fritt utbyte av information mellan folken;
har överenskommit om följande:
Kapitel 1 — Allmänna bestämmelser
Artikel I
Syfte och ändamål
Denna konventions ändamål" är att inom varje parts territorium för var och en. oavsett nationalitet eller hemvist. säkerställa respek- ten för grundläggande fri- och rättigheter. särskilt rätten till personlig integritet i sam- band med automatisk databehandling av per- sonuppgifter som gäller honom ("data- skydd").
Artikel 2
Definitioner
] denna konvention avses med: a) "personuppgifter" all slags information
Prop. 1981/82:189
relating to an identified or identifiable indi- vidual (”data subject”) ;
b. "automated data file" means any set of data undergoing automatic processing ;
c. ”automatic processing" includes the follo- wing operations if carried out in whole or in part by automated means: storage of data. carrying out of logical and/or arithmetical operations on those data, their alteration, erasure, retrieval or dissemination;
d. "controller of the file” means the natural or legal person. public authority, agency or any other body who is competent according to the national law to decide what should be the purpose of the automated data file, which categories of personal data should be stored and which operations should be applied to them.
Article 3
Scope
]. The Parties undertake to apply this convention to automated personal data files and automatic processing of personal data in the public and private sectors.
2. Any State may. at the time ofsignature or when depositing its instrument of ratification. acceptance. approval or accession, or at any later time. give notice by a declaration addres- sed to the Secretary General of the Council of Europe:
a. that it will not apply this convention to certain categories of automated personal data files. a list of which will be deposited. In this list it shall not include. however, categories of automated data files subject under its domestic law to data protection provisions. Consequent- ly. it shall amend this list by a new declaration whenever additional categories of automated personal data files are subjected to data protection provisions under its domestic law;
b. that it will also apply this convention to information relating to groups of persons, associations. foundations. companies. corpo-
1 90
toute information concernant une personne physique idcntifiée ou identifiable ((( personne concernée ») '.
b. (( fichier automatisé » signific : tout ensemble d'informations faisant l'objet d'un traitement automatisé ;
c. :( traitement automatisé » s'entend des opérations suivantes effectuées en totalité ou en partie ä l'aide de procéde's automatisés : enregistrement des données. application ä ces données d'opérations logiqucs et/ou arithméti- ques. leur modification, effacement, extrac- tion ou diffusion ;
d. umaitre du fichier » signifie : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui est compé- tent selon la loi nationale. pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données a caractere personnel doivent étre enregistrées et quelles opérations leur seront appliquées.
Article 3
Champ d”application
l. Les Parties s”engagent a appliquer la présente Convention aux fichiers et aux traite- ments automatisés de données å caractere personnel dans les sectcurs public et privé.
2. Tout Etat peut, lors de la signature ou du depot de son instrument de ratification, d'ac- ceptation. d'approbation ou d'adésion. ou a tout moment ultérieur. faire connaitre par declaration adressée au Secrétaire Général du Conseil de l'Europe :
a. qu'il n'appliquera pas la présente Conven- tion a certaines catégories de fichiers automa- tisés de données a caractere personnel dont une liste sera de'posée. Il ne devra toutefois pas inclure dans cette liste des catégories de fichiers automatisés assujetties selon son droit interne a des dispositions de protection des données. En conséquencc. il devra amendcr cette liste par une nouvelle declaration lorsque des catégories supplémentaires de fichiers automatisés de données a caractere personnel seront assujetties är son regime de protection des données ;
b. qu'il appliquera la présente Convention également a des informations afférentes ä des groupements. associations. fondations. socié-
Prop. 1981/82:189
som kan hänföras till en bestämd eller bestäm- bar enskild person ("registrerad person");
b) "automatiserat register" varje samling av uppgifter som undergår automatisk databe- handling:
c) "automatisk databehandling” följande åtgärder om de helt eller delvis utförs på automatisk väg: lagring av uppgifter, utföran- de av logisk och/eller aritmetisk behandling av dessa uppgifter samt ändring. utplåning, åter- vinning eller spridning av uppgifterna;
d) "registeransvarig" den fysiska eller juri- diska person. offentliga myndighet. byrå eller annat organ som enligt nationell lag är behörig att besluta om ändamålet med registret, vilket slags personuppgifter som skall lagras och vilken behandling dessa skall genomgå.
Artikel 3
Tillämpningsområde
1. Parterna åtar sig att tillämpa denna konvention på automatiserade personregister och automatisk databehandling av personupp- gifter i allmän och enskild verksamhet.
2. Varje stat får. vid tiden för underteck- nandet av denna konvention eller vid deposi- tion av sitt instrument rörande ratifikation. godtagande. godkännande eller anslutning till konventionen eller vid en senare tidpunkt. avge förklaring till Europarådets generalsek- reterare: &) att den inte kommer att tillämpa denna konvention på vissa kategorier av automatise- rade personregister. över vilka en förteckning kommer att deponeras. I denna förteckning skall emellertid inte tas upp sådana kategorier av dataregister som enligt bestämmelse i natio- nell lagstiftning gcs dataskydd. Följaktligen skall denna förteckning ändras genom en ny förklaring så snart ytterligare kategorier av automatiserade personregister ges dataskydd enligt bestämmelser i den nationella lagstift- ningen:
b) att den skall tillämpa denna konvention även på uppgifter som rör grupper av perso- ner. föreningar. stiftelser. bolag. sammanslut-
191
Prop. l981/82:189
rations and any other bodies consisting directly or indirectly of individuals. whether or not such bodies possess legal personality :
c. that it will also apply this convention to personal data files which are not processed automatically.
3. Any State which has extended the scope of this convention by any of the declarations provided for in sub-paragraph 2.b or (' above may give notice in the said declaration that such extensions shall apply only to certain categories of personal data files, a list of which will be deposited.
4. Any Party which has excluded certain categories of automated personal data files by a declaration provided for in sub-paragraph 2.a above may not claim the application of this convention to such categories by a Party which has not excluded them.
5. Likewise. a Party which has not made one or other of the extensions provided for in subparagraphs 2.b and c above may not claim the application of this convention on these points with respect to a Party which has made such extensions. 6”. The declarations provided for in para- graph "2 above shall take effect from the moment of the entry into force of the conven- tion with regard to the State which has made them if they have been made at the time of signature or deposit of its instrument of ratification. acceptance. approval or acces- sion. or three months after their receipt by the Secretary General of the Council of Europe if they have been made at any later time. These declarations may be withdrawn. in whole or in part. by a notification addressed to the Secre- tary General of the Council of Europe. Such withdrawals shall take effect three months after the date of receipt of such notification.
Chapter ll — Basic Principles for Data Protection
Article 4 Duties of the Parties
]. Each Party shall take the necessary measures in its domestic law to give effect to
192
te's. corporations ou a tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalite' juridique :
c. qu'il appliquera la présente Convention également aux fichiers de données a caractere personnel ne faisant pas l”objet de traitements automatisés.
3. Tout Etat qui a étendu le champ d'appli- cation de la présente Convention par l'une des declarations visées aux alinéas 2.b ou c ci- dessus peut. dans ladite declaration, indiquer que les extensions ne s'appliqueront qu'a certaines catégories de fichiers ä caractere personnel dont la liste sera déposée.
4. Toutc Partie qui a exclu certaines catégo- ries de fichiers automatisés de données a caractere personnel par la declaration prévue å Palinéa 2.a ci-dessus ne peut pas prétendre a l'application de la présente Convention å de tclles catégories par une Partie qui ne les a pas exclues.
5. De méme. une Partie qui n'a pas procédé a l'une ou a l'autre des extensions prévues aux paragraphes 2.b et c du présent article ne peut se prévaloir de l'application de la présente Convention sur ces points å l'égard d'une Partie qui a procédé å de telles extensions.
6. Les declarations prévues au paragraphe 2 du présent article prendront effet au moment de l”entrec en vigueur de la Convention ä liégard de l'Etat qui les a formulées. si cet Etat les a faites lors de la signature ou du dépöt de son intrument de ratification. d'acceptation. d'approbation ou d'adhésion, ou trois mois apres leur reception par le Secrétaire Général du Conseil de l'Europe si elles ont été formu- le'es å un moment ultén'eur. Ces declarations pourront étre retirées en tout ou en partie par notification adressée au Secrétaire General du Conseil de l'Europe. Le retrait prendra effet trois mois apres la date de réception d'une telle notification.
Chapitre [[ — Principes de base pour la protection des données
Article 4 Engagements des Parties
]. Chaque Partie prend. dans son droit interne. les mesures nécessaires pour donner
Prop. 1981/82:189
ningar eller andra organ som direkt eller indirekt består av enskilda personer, oavsett om dessa organ har rättskapacitet eller inte;
e) att den skall tillämpa denna konvention '
även på personregister som inte behandlas automatiskt.
3. Varje stat som har utvidgat konventio- nens tillämpningsområde genom någon av de förklaringar som avses i punkt 2 (b) eller (c) ovan får i förklaringen ange att sådan utvidg- ning skall gälla endast vissa kategorier av personregister. över vilka en förteckning kom- mer att deponeras.
4. Varje part som har undantagit vissa kategorier av personregister genom en sådan förklaring som avses i punkt 2 (a) ovan får inte gentemot en part som inte har undantagit dem åberopa att denna konvention skall gälla sådana kategorier.
5. På motsvarande sätt får inte en part. som inte har gjort den ena eller den andra av de utvidgningar som avses i punkt 2 (b) ovan. gentemot en fördragsslutande part som har gjort sådana utvidgningar kräva att konventio- nen skall tillämpas i dessa avseenden.
6. De förklaringar som avses i punkt 2 ovan skall. för den stat som har avgett dem vid tidpunkten för undertecknandet eller vid depositionen av sitt instrument rörande ratifi- kation. godtagande. godkännande eller anslut- ning. gälla från den tidpunkt då konventionen träder i kraft för den staten eller. om de har avgetts vid en senare tidpunkt. tre månader efter det att förklaringarna har kommit Euro- parådets generalsekreterare till handa. Förkla- ringarna får återkallas. helt eller delvis. genom en underrättelse till Europarådets generalsek- reterare. Sådana återkallelser skall börja gälla tre månader efter det att underrättelsen har kommit generalsekreteraren till handa.
Kapitel II — Grundläggande principer för dataskydd
Artikel 4
Parternas åligganden
1. Varje part skall vidta nödvändiga åtgär- deri sin nationella lagstiftning för att genom-
193
Prop. 1981/82:189
the basic principles for data protection set out in this chapter.
2. These measures shall be taken at the latest at the time of entry into force of this conven- tion in respect of that Party.
Article 5 Quality of data
Personal data undergoing automatic proces- sing shall be:
a. obtained and processed fairly and lawful- ly;
b. stored for specified and legitimate purpo- ses and not used in a way incompatible with those purposes;
c. adequate, relevant and not excessive in relation to the purposes for which they are stored;
d. accurate and, where necessary, kept up to date;
e. preserved in a form which permits identi- fication of the data subjects for no longer than is required for the purpose for which those data are stored.
Article 6
Special categories of data
Personal data revealing racial origin, politi- cal opinions or religious or other beliefs, as well as personal data concerning health or sexual life, may not be processed automatically unless domestic law provides appropriate safe- guards. The same shall apply to personal data relating to criminal convictions.
Article 7
Data security
Appropriate security measures shall be taken for the protection of personal data stored in automated data files against acciden- tal or unauthorised destruction or accidental
194
effet aux principes de base pour la protection des données énoncés dans le présent chapit- re.
2. Ces mesures doivent étre prises au plus tard au moment de l'entrée en vigueur de la présente Convention å son égard.
Article 5
Qualité des données
Les données å caractere personnel faisant l'objet d'un traitement automatisé sont :
a. obtenues et traitées loyalement et licite- ment :
b. enregistre'es pour des finalités determine- es et légitimes et ne sont pas utilisées de maniere incompatible avec ces finalités ;
c. adéquates. pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ;
d. exactes et si nécessaire mises a jour ;
e. conservées sous une forme permettant l'identification des personnes concernées pen- dant une durée n'exce'dant pas celle nécessaire aux finalités pour lesquelles elles sont enregi- strées.
Article 6
Categories particulieres de données
Les données å caractére personnel révélant l'origine raciale, les opinions politiques. les convictions religieuses ou autres convictions, ainsi que les données å caractére personnel relatives a la santé ou a la vie sexuelle. ne peuvent étre traitées automatiquement å moins que le droit interne ne prévoie des garanties appropriées. Il en est de méme des données å caractere personnel concernant des condamnations pénales.
Article 7
Sécurité des données
Des mesures de sécun'té appropriées sont prises pour la protection des données å carac- tere personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle
Prop. 1981/82:189
föra de grundläggande principer för dataskydd som anges i detta kapitel.
2. Dessa åtgärder skall vidtas senast vid den tidpunkt då denna konvention träder i kraft för parten.
A rtikel 5 Uppgifter/ms beskaffenhet
Personuppgifter som undergår automatisk databehandling skall:
a) ha erhållits och skall behandlas på et korrekt och lagligt sätt; '
b) lagras för särskilt angivna och lagliga ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål:
c) vara ändamålsenliga. relevanta och inte onödiga för de ändamål för vilka de lagras;'
(1) vara riktiga och. om nödvändigt, hållas aktuella: -_
e) bevaras på ett sådant sätt att de registre- rade personerna inte kan identifieras under längre tid än vad som är nödvändigt med hänsyn till det ändamål för vilket dessa uppgif- ter lagras.
Artikel 6 Särskilda slags uppgifter
Personuppgifter som avslöjar rasursprung. politiska åsikter liksom personuppgifter som rör hälsa eller sexualliv får inte undergå automatisk databehandling såvida inte natio- nell lag ger ett ändamålsenligt skydd. Detsam- ma gäller personuppgifter som hänför sig till att någon dömts för brott.
Artikel 7
Datasäkerhet
Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter som lagras i auto- matiserade register gentemot oavsiktlig eller otillåten förstörelse eller oavsiktlig förlust
195
Prop. l98l/82:189
loss as well as against unauthorised access, alteration or dissemination.
Article 8
Additional safeguards for the data subject
Any person shall be enabled: a. to establish the existence of an automated personal data file. its main purposes. as well as the identity and habitual residence or principal place of business of the controller of the file; _
b. to obtain at reasonable intervals and without excessive delay or expense confirma- tion of whether personal data relating to him are stored in the automated data file as well as communication to him of such data in an intelligible form:
c. to obtain. as the case may be. rectification or erasure of such data if these have been processed contrary to the provisions of domes- tic law giving effect to the basic principles set out in Articles 5 and 6 of this convention:
a'. to have a remedy if a request for confirmation or. as the case may be. commu- nication, rectification or erasure as referred to in paragraphs b and c of this article is not complied with.
Article 9
Exceptions ttnd restrictions
1. No exception to the provisions of Articles 5, 6 and 8 of this convention shall be allowed except within the limits defined in this artic- le.
2. Derogation from the provisions of Artic- les 5. 6 and 8 of this convention shall be allowed when such_derogation is provided for by the law of the Party and constitutes a necessary measure in a democratic society in the interests of: a. protecting State security, public safety. the monetary interests of the State or the suppression of criminal offences:
b. protecting the data subject or the rights and freedoms of others.
196
ou non autoriséc, ou la perte accidentelle, ainsi que contre l'acces, la modification ou la diffusion non autorisés.
Article 8
Garanties complémentaires pour la personne concernée
Toute personne doit pouvoir : a. connaitre l'existencc d'un fichier automa- tisé de données å caractere personnel. ses finalités principales. ainsi que l'identité et la residence habituelle ou le principal etablisse- ment du maitre du fichier ',
b. obtcnir å des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l'existencc ou non dans le fichier automatisé. de données å caractere personnel la concer- nant ainsi que la communication de ces don- nées sous une forme intelligible ;
c. obtcnir, le cas écheant. la rectification de ces données ou leur effacement lorsqu'elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base e'noncés dans les articles 5 et 6 de la présente Convention :
d. disposer d'un recours s'il n'est pas donne suite ä une demande de confirmation ou, le cas éche'ant, de communication, de rectification ou d'effacement. vise'e aux paragraphes b et c du présent article.
Article 9
Exceptions et restrictions
1. Aucune exception aux dispositions des articles 5, 6 et 8 le la présente Convention n'est admise. sauf dans les limites définies au pre'sent article.
2. Il est possible de déroger aux dispositions des articles 5. 6 et 8 de la présente Convention lorsqu'une telle dérogation. prévue par la loi de la Partie, constitue une mesure nécessaire dans une socie'té démocratique :
a. a la protection de la Sécurité dc l'Etat. åla surete' publique. aux intéréts mone'taires de l'Etat ou a la repression des infractions péna- les:
b. a la protection de la personne concernée et des droits et libertés d'autrui.
Prop. l98l/82:189
liksom gentemot otillåten tillgång, ändring eller spridning.
Artikel 8
Ytterligare skyddsåtgärder för registrerade personer
Var och en skall ha möjlighet att:
a) få veta huruvida ett automatiserat per- sonregister finns, dess huvudsakliga ändamål, liksom uppgift om vem som är registeransvarig samt dennes hemvist eller säte:
b) med rimliga mellanrum och utan alltför lång tidsutdräkt eller kostnad få bekräftat huruvida personuppgifter rörande honom finns lagrade i registret liksom att få sig tillsända sådana uppgifter i begriplig form;
e) i förekommande fall få sådana uppgifter rättade eller utraderade som har behandlats i strid mot de bestämmelser i nationell lag genom vilka de grundläggande principerna i artiklarna 5 och 6 i denna konvention genom- förs;
d) överklaga ett beslut som innebär att någon inte efterkommer en begäran om en sådan bekräftelse eller. i förekommande fall, meddelande, rättelse eller utradering som avses i punkterna (b) och (e) i denna artikel.
Artikel 9
Undantag och inskränkningar
1. Undantag från bestämmelserna i artik- larna 5. 6 och 8 i denna konvention får göras endast i den utsträckning som anges i denna artikel.
2. Avvikelse från bestämmelserna i artik- larna 5. 6 och 8 i denna konvention får göras endast om sådan avvikelse medges i partens nationella lagstiftning och den är nödvändig i ett demokratiskt samhälle för att:
a) skydda statens säkerhet, den allmänna säkerheten, statens penningintressen eller brottsbekämpning:
b) skydda den registrerade personen eller andra personers fri- och rättigheter.
197
Prop. 1981/82:189
3. Restrictions on the exercise of the rights specified in Article 8, paragraphs b, (: and d, may be provided by law with respect to automated personal data files used for statis- tics or for scientific research purposes when there is obviously no risk of an infringement of the privacy of the data subjects.
Article IO
Sanctions and remedies
Each Party undertakes to establish appro- priate sanctions and remedies for violations of provisions of domestic law giving effect to the basic principles for data protection set out in this chapter.
Article ] I
Extended protection
None of the provisions of this chapter shall be interpreted as limiting or otherwise affec- ting the possibility for a Party to grant data subjects a wider measure of protection than that stipulated in this convention.
Chapter III — Transborder Data Flows
Article 12
Transborder flows of personal data and domes- tic law
1. The following provisions shall apply to the tranSfer across national borders, by what- ever medium, of personal data undergoing automatic processing or collected with a view to their being automatically processed.
2. A Party shall not. for the sole purpose of the protection of privacy, prohibit or subject to special authorisation transborder flows of per- sonal data going to the territory of another Party.
198
3. Des restrictions a l'exercice des droits visés aux paragraphes b, (: et (] de l'article 8 peuvent étre prévues par la loi pour les fichiers automatisés de données å caractére personnel utilisés å des fins de statistiques ou de recher- ches scientifiques. lorsqu'il n'existe manifeste- ment pas de risques d'atteinte a la vie privée des personnes concernées.
Article 10
Sanctions et recours
Chaque Partie s'engage å étahlir des sanc- tions et recours appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de base pour la protection des données énonce's dans le present chapitre.
Article ]]
Protection plus étendue
Aucune des dispositions du présent chapitre ne sera interprétée comme limitant ou portant atteinte a la faculté pour chaque Partie d'ac- corder aux personnes concernées une protec- tion plus étendue que celle prévue par la présente Convention.
Chapitre lll — Flux transfrontieres de données
Article 12
Flux transfrontiéres de données & caractére personnel et droit interne
l. Les dispositions suivantes s'appliquent aux transferts å travers les frontiéres nationa- les, quel que soit le support utilisé. de données å caractére personnel faisant l'objet d'un traitement automatisé ou rassemblées dans le but de les soumettre a un tel traitement.
2. Une Partie ne peut pas, aux seules fins de la protection de la vie privée. interdire ou soumettre å une autorisation spéciale les flux transfrontieres de données å caractére person- nel å destination du tcrritoire d'une autre Partie.
Prop. 1981/82:189
3. Inskränkningari utövandet av de rättig- heter som anges i artikel 8 (b). (c) och (d) får göras i lag när det gäller automatiserade personregister som används för statistikända- mål eller för vetenskapliga forskningsända- mål, om det uppenbarligen inte föreligger någon risk för intrång i de registrerades personliga integritet.
Artikel 10
Sanktioner och rättsmedel
Varje part åtar sig att införa lämpliga sanktioner och rättsmedel för överträdelser av sådana bestämmelser i den nationella lagen genom vilka de grundläggande principer för dataskydd som har angetts i detta kapitel genomförs.
Artikel ]] Utsträckt skydd
Ingen bestämmelse i detta kapitel skall ges den tolkningen att den begränsar eller på annat sätt påverkar möjligheten för en part att tillerkänna registrerade personer ett mer omfattande skydd än som föreskrivs i denna konvention.
Kapitel Ill — Dataflöde över gränserna
Artikel 12
Flödet av personuppgifter över gränserna och nationell lag
1. Följande bestämmelser skall, oavsett vil- ket medium som används, gälla vid överföring över nationsgränser av personuppgifter som undergår automatisk databehandling eller som samlas in i avsikt att de skall undergå sådan behandling.
2. En part får inte. uteslutande i syfte att skydda den personliga integriteten. förbjuda eller kräva särskilt bemyndigande för överfö- ring av personuppgifter över gränsen till en annan parts territorium.
199
Prop. 1981/82:189
3. Nevertheless, each Party shall be entitled to derogatc from the provisions of paragraph 2: a. insofar as its legislation includes specific regulations for certain categories of personal data or of automated personal data files, because of the nature of those data or those files, except where the regulations of the other Party provide an equivalent protection;
b. when the transfer is made from its territory to the territory of a non-Contracting State through the intermediary of the territory of another Party, in order to avoid such transfers resulting in circumvention of the legislation of the Party referred to at the beginning of this paragraph.
Chapter IV — Mutual assistance Article 13
Co-operation between Parties
1. The Parties agree to render each other mutual assistance in order to implement this convention .
2. For that purpose: a. each Party shall designate one or more authorities, the name and address of each of which it shall communicate to the Secretary General of the Council of Europe; b. each Party which has designated more than one authority shall specify in its commu- nication referred to in the previous sub- paragraph the competence of each authority.
3. An authority designated by a Party shall at the request of an authority designated by another Party;
a. furnish information on its law and admi- nistrative practice in the field of data protec- tion:
b. take, in conformity with its domestic law and for the sole purpose of protection of privacy, all appropriate measures for furnish- ing factual information relating to specific automatic processing carried out in its territo- ry, with the exception however of the personal data being processed.
200
3. Toutefois, toute Partie a la faculté de déroger aux dispositions du paragraphe 2 :
a. dans la mesure ou sa legislation prévoit une reglementation spécifique pour certaines catégories de données å caractére personnel ou de fichiers automatisés de données å caractere personnel, en raison de la nature de ces données ou de ces fichiers, sauf si la reglemen- tation de l'autre Partie apporte une protection équivalente ;
b. lorsque le transfert cst effectué ä partir de son territoire vers le territoire d'un Etat non contractant par l'intermédiaire du territoire d'une autre Partie. afin d'éviter que de tels transferts n'aboutissent å contourner la legisla- tion de la Partie visée au début du present paragraphe.
Chapitre IV — Entraide Article 13
Coopération entre les Parties
1. Les Parties s'engagent å s'accorder mutu- ellement assistance pour la mise en muvre de la présente Convention.
2. .A cette fin. a. chaque Partie désignc une ou plusieurs autorite's dont elle communique la dénomina- tion et l'adresse au Secrétaire Général du Conseil de l'Europe '.
b. chaque Partie qui a désigné plusieurs autorités indique dans la communication visée ä l'alinéa précédent la competence de chacune de ces autorités.
3. Une autorité désignée par une Partie, åla demande d'une autorité désignée par une autre Partie :
a. fournira des informations sur son droit et sur sa pratique administrative en matiere de protection des données ;
b. prendra, conformément å son droit inter- ne et aux seules fins de la protection de la vie privée, toutes mesures appropriées pour four- nir des informations de fait concernant un traitement automatisé déterminé effectue' sur son territoire å l'exception toutefois des don- nées a caractére personnel faisant l'objet de ce traitement.
Prop. 1981/82:189
3. Varje part har emellertid rätt att göra avvikelser från bestämmelserna i punkt 2:
a) om dess lagstiftning innehåller särskilda bestämmelser för vissa kategorier av person- uppgifter eller automatiserade personregister på grund av uppgifternas eller registrens natur, utom när den andra partens föreskrifter ger ett likvärdigt skydd;
b) när överföringen sker från dess territori- um till en icke fördragsslutande stats territori- um via en annan parts territorium. för att undvika att sådana överföringar medför att den i bestämmelsens inledning nämnda par- tens lagstiftning kringgås.
Kapitel IV — Ömsesidigt bistånd Artikel 13
Samarbete mellan parter
1. Parterna är ense om att lämna varandra ömsesidigt bistånd för att genomföra denna konvention.
2. För detta ändamål skall:
a) varje part utse en eller flera myndigheter vars namn och adress den skall meddela Europarådets generalsekreterare;
b) varje part, som har utsett mer än en myndighet. i det meddelande som anges i föregående punkt närmare ange varje myndig- hets behörighet.
3. En myndighet som har utsetts av en part skall på begäran av en myndighet som har utsetts av en annan part:
a) tillhandahålla upplysningar om lagstift- ningen och det administrativa förfarandet på dataskyddsområdct;
b) i överensstämmelse med sin nationella lag och uteslutande i syfte att skydda den personliga integriteten vidta alla lämpliga åtgärder för att tillhandahålla upplysningar angående viss bestämd automatisk databe- handling som utförs inom dess territorium, de behandlade personuppgifterna dock undan- tagna.
20]
Prop. 1981/82:189
Article I 4
Assistance to data subjets resident abroad
1. Each Party shall assist any person resi- dent abroad to excercise the rights conferred by its domestic law giving effect to the princip- les set out in Article 8 of this convention.
2. When such a person resides in the terri- tory of another Party he shall be given the option of submitting his request through the intermediary of the authority designated by that Party. — '
3. The request for assistance shall contain all the necessary particulars, relating inter alia to: a. the name. address and any other relevant particulars identifying the person making the request; b. the automated personal data file to which the request pertains. or its controller;
c. the purpose of the request.
Article 15
Safeguards concerning assistance rendered by designated authorities
1. An authority designated by a Party which has received information from an authority designated by another Party either accomp- anying a request for assistance or in reply to its own request for assistance shall not use that information for purposes other than those specified in the request for assistance.
2. Each Party shall see to it that the persons belonging to or acting on behalf of the desig- nated authority shall be bound by appropriate obligations of secrecy or confidentiality with regard to that information.
3. In no case may a designated authority be allowed to make under Article 14. paragraph 2, a request for assistance on behalf of a data subject resident abroad, of its own accord and without the express consent of the person concerned.
202
A rticle 14
Assistance aux personnes concernées ayant leur residence & l'étranger
1. Chaque Partie préte assistance ä toute personne ayant sa résidence å l'étranger pour l'exercic des droits pre'vus par son droit interne donnant effet aux principes énoncés å l'article 8 de la présente Convention.
2. Si une telle personne réside sur le" territoire d'une autre Partie, elle doit avoir la faculté de présenter sa demande par l'inter- médiaire de l'autorité désignée par cette Par- tie.
3. La demande d'assistance doit contenir toutes les indications nécessaires concernant notamment: a. le nom. l'adresse et tous autres éléments pertinents d'identification concernant le re- quérant; b. le fichier automatisé de données å carac- tére personnel auquel la demande se réfere ou le maitre de ee fichier : c. le but de la demande.
Article 15
Garanties concernant l'assistance fournie par les autorités désignées
]. Une autorité désignée par une Partie qui a recu des informations d'une autorité désig- née par une autre Partie, soit å l'appui d'une demande d'assistance, soit en réponse å une demande d'assistance qu'elle a formulée elle— méme, ne pourra faire usage de ces informa- tions a des fins autres que celles spécifiées dans la demande d'assistance.
2. Chaque Partie veillera å ce que les personnes appartenant ou agissant au nom de l'autorité désignée soient liées par des obliga- tions appropriées de secret ou de confidentia- lité a l'égard de ces informations.
3. En aucun cas, une autorité désignée ne sera autorise'e å faire, aux termes de l'article 14, paragraphe 2, une demande d'assistance au nom' d'une personne concernée résidant å l'étranger, de sa propre initiative et sans le consentement expres de cette personne.
Prop. 1981/82:189
Artikel I 4
Bistånd till registrerade personer som är bosatta utomlands
1. Varje part skall bistå personer som är . bosatta utomlands att utöva de rättigheter som tillerkänns dem i partens nationella lag i de delar den genomför de principer som anges i artikel 8 i denna konvention.
2. När en sådan person är bosatt inom en annan parts territorium, skall han ha möjlighet att göra sin framställning genom förmedling av den myndighet som har utsetts av den par- ten. _
3. Framställningen om bistånd skall inne- hålla alla nödvändiga uppgifter såsom:
a) namn, adress och andra uppgifter som behövs för att identifiera den person som gör framställningen;
b) det automatiserade personregister som framställningen avser eller den registeransva- rige;
c) ändamålet med framställningen.
Artikel 15
Skydd vid bistånd som lämnas av särskilt utsedda myndigheter
1. En myndighet som har utsetts av en part och som från en myndighet som har utsetts av en annan part har erhållit upplysningar anting- en i anslutning till en framställning om bistånd eller som svar på en egen framställning därom får inte använda dessa upplysningar för andra ändamål än de som anges i framställningen om bistånd.
2. Varje part skall se till att de personer som tillhör den särskilt utsedda myndigheten eller som handlar på dess vägnar skall vara bundna av tillbörliga förpliktelser att iaktta sekretess i fråga om dessa upplysningar.
3. En utsedd myndighet får inte i något fall på eget initiativ göra en framställning om bistånd enligt artikel 14, punkt 2, åt en registrerad person som är bosatt utomlands utan dennes uttryckliga medgivande.
203
Prop. 1981/82:189
Article 16
Refusal of requests for assistance
A designated authority to which a request for assistance is addressed under Articles 13 or 14 of this convention may not refuse to comply with it unless:
a. the request is not compatible with the powers in the field of data protection of the authorities responsible for replying;
b. the request does not comply with the provisions of this convention;
c. compliance with the request would be incompatible with the sovereignty, security or public policy (ordre public) of" the Party by which it was designated, or with the rights and fundamental freedoms of persons under the jurisdiction of that Party.
Article I 7
Costs and procedures of assistance
1. Mutual assistance which the Parties ren- der each other under Article 13 and assistance they render to data Subjects abroad under Article 14 shall not give rise to the payment of any costs or fees other than those incurred for experts and interpreters. The latter costs or fees shall be borne bylthe Party which has designated the authority making the request for assistance.
2. The data subject may not be charged costs or fees in connection with the steps taken on his behalf in the territory of another Party other than those lawfully payable by residents of that Party.
3. Other details concerning the assistance relating in particular to thelforms and proce- dures and the languages to be used, shall be established directly between the Parties con- cerned.
204
Article 16
Refus des demandes d'assistance
Une autorité désignée, saisie d'une deman- de d'assistance aux termes des articles 13 ou 14 de la présente Convention, ne peut refuser d'y donner suite que si :
a. la demande est incompatible avec les compétences. dans le domaine de la protection des données, des autorités habilitées a répond- re ;
b. la demande n'est pas conforme aux dispositions de la présente Convention ;
c. l'exécution de la demande scrait incompa- tible avec la souveraineté. la Sécurité ou l'ordre public de la Partie qui l'a désignée, ou avec les droits et libertés foundamentales des person- nes relevant de la juridiction de cette Partie,
Article 1 7
Frais et procedures de l'assistance
]. L'entraide que les Parties s'accordent aux termes de l'article 13. ainsi que l'assistance qu'elles prétent aux personnes concernées résidant å l'étranger aux termes de l'article 14, ne donnera pas lieu au paiement des frais et droits autres que ceux afférents aux experts et aux interpretes. Ces frais et droits seront a la charge de la Partie qui a désigné l'autorité qui a fait la demande d'assistance.
2. La personne concernée ne peut étre tenue de payer, en liaison avec les démarches entreprises pour son compte sur le territoire d'une autre Partie, des frais et droits autres que ceux exigibles des personnes résidant sur le territoire de cette Partie.
3. Les autres modalités relatives ä l'assis- tance concernant notamment les formes ct procedures ainsi que les langues a utiliser seront établics directement entre les Parties concernées.
Prop. 1981/82:189
A rtikel 16
Vägran att lämna bistånd N
En utsedd myndighet som har tagit emot en framställning om bistånd i enlighet med artikel 13 eller 14 i denna konvention får inte vägra att efterkomma framställningen såvida inte:
a) framställningen faller utanför den an- svariga myndighetens behörighet på data- Skyddsområdet:
b) framställningen inte uppfyller bestäm- melserna i denna konvention;
c) bifall till framställningen skulle strida mot suveräniteten. säkerheten eller ordre public hos den part som har utsett myndighe- ten.'eller mot grundläggande fri- och rättighe- ter för personer under den partens jurisdik- tion.
Artikel 17
Kostnader och förfarandet vid bistånd
1. Ömsesidigt bistånd som parter lämnar varandra i enlighet med artikel 13 och bistånd som de i enlighet med artikel 14 lämnar till registrerade personer som är bosatta utom- lands skall inte medföra betalningsskyldighet för andra kostnader eller avgifter än sådana som har uppkommit vid anlitande av experter och tolkar. De senare kostnaderna eller avgif- terna skall bäras av den part som har utsett den myndighet som har gjort framställningen om bistånd.
2. En registrerad person får inte i anledning av att åtgärder vidtas för hans räkning inom en annan parts territorium åläggas att betala andra kostnader eller avgifter än sådana som en person bosatt inom den partens territorium lagligen kan åläggas att betala.
3. I andra frågor rörande bistånd, särskilt vad gäller former och förfaranden samt vilka språk som skall användas. skall överenskom- melse träffas direkt mellan berörda parter.
205
Prop. 1981/82:189
Chapter V — Consultative committee
Article 18
Composition of the committee
1. A Consultative Committee shall be set up after the entry into force of this convention.
2. Each Party shall appoint a representative to the committee and a deputy representative. Any member State of the Council of Europe which is not a Party to the convention shall have the right to be represented on the committee by an Observer.
3. The Consultative Committee may, by unanimous decision. invite any non-member State of the Council of Europe which is not a Party to the convention to be represented by an Observer at a given meeting.
Article 19
Functions of the committee
The Consultative Committee: a. may make proposals with a view to facilitating or improving the application of the convention;
b. may make proposals for amendment of this convention in accordance with Article 21;
c. shall formulate its opinion on any propo- sal for amendment of this convention which is referred to it in accordance with Article 21, paragraph 3;
d. may, at the request of a Party, express an opinion on any question concerning the appli- cation of this convention.
Article 20
Procedure
]. The Consultative Committee shall be convened by the Secretary General of the Council of Europe. Its first meeting shall be held within twelve months of the entry into force of this convention. It shall subsequently meet at least once every two years and in any case when onethird of the representatives of the Parties request its convocation.
206
Chapitre V — Comité consultatif Article 18
Composition du Comité
1. Un Comité consultatif est constitue apres l'entrée en vigueur de la présente Conven- tion.
2. Toute Partie désigne un representant et un suppléant å ce Comité. Tout Etat membre du Conseil de l'Europe qui n'est pas Partie a la Convention a le droit du se faire représenter au Comité par un observateur.
3. Le Comité consultatif peut, par une décision prise a l'unanimité. inviter tout Etat non membre du Conseil de l'Europe qui n'est pas Partie åla Convention å se faire représen- ter par un observateur ä l'une de ses réu- nions.
Article I 9
Fonctions du Comité
Le Comité consultatif : a. peut faire des propositions en vue de facilitier ou d'améliorer l'application de la Convention ;
b. peut faire des propositions d'amende— ment a la présente Convention conformément å l'article 21 ;
c. formule un avis sur toute proposition d'amendement a la présente Convention qui lui est soumis conformément å l'article 21, paragraphe 3 ;
d. peut, åla demande d'une Partie, exprimer un avis sur toute question relative a l'applica- tion de la présente Convention.
Article 20
Procédure
1. Le Comité consultatif est convoqué par le Secrétaire Général du Conseil de l'Europe. Il tient sa premiere reunion dans les douze mois qui suivent l'entrée en vigueur de la présente Convention. ll se réunit par la suite au moins une fois tous les deux ans et, en tout cas. chaque fois qu'un tiers des representants des Parties demande sa convocation.
Prop. 1981/82:189
Kapitel V — Rådgivande kommitté Artikel 18
Kommitténs sammansättning
1. En rådgivande kommitté skall bildas sedan denna konvention har trätt i kraft.
2. Varje part skall utse en företrädare i kommittén och en ersättare för denne. Varje medlemsstat i Europarådet som inte är part i denna konvention har rätt att företrädas i kommittén genom en observatör.
3. Den rådgivande kommittén får, genom enhälligt beslut. inbjuda en stat som inte är medlem i Europarådet och som inte är part i denna konvention att låta sig företrädas genom en observatör vid ett bestämt möte.
Artikel 19
Kommitténs uppgifter
Den rådgivande kommittén: a) får lägga fram förslag i syfte att förenkla eller förbättra konventionens tillämpning;
b) får föreslå ändringar i denna konvention i enlighet med artikel 21;
c) skall avge yttrande över de förslag till ändringar i denna konvention som i enlighet med artikel 21 , punkt 3, remitteras till den;
d) får på begäran av en part, yttra sig över varje fråga som rör konventionens tillämp- .ning.
Artikel 20 Förfarande
1. Den rådgivande kommittén skall sam- mankallas av Europarådets generalsekretera- re. Dess första möte skall hållas inom tolv månader efter det att denna konvention har trätt i kraft. Den skall därefter hålla mötc åtminstone en gång vartannat år och under alla förhållanden när en tredjedel av företrädarna för parterna begär att den skall sammankal— las.
Prop. 1981/82:189
2. A majority of representatives of the Parties shall constitute a quorum for a meeting of the Consultative Committee.
3. After each of its meetings. the Consulta- tive Committee shall submit to the Committee of Ministers of the Council of Europe a report on its work and on the functioning of the convention.
4. Subject to the provisions of this conven- tion, the Consultative Committee shall draw up its own Rules of Procedure.
Chapter VI — Amendments Article 21
Amendments
1. Amendments to this convention may be proposed by a Party. the Committee of Minis- ters of the Council of Europe or the Consulta- tive Committee.
2. Any proposal for amendment shall be communicated by the Secretary General of the Council of Europe to the member States of the Council of Europe and to every non-member State which has acceded to or has been invited to accede to this convention in accordance with the provisions of Article 23.
3. Moreover, any amendment proposed by a Party or the Committee of Ministers shall be communicated to the Consultative Commit- tee. which shall submit to the Committee of Ministers its opinion on that proposed amend- ment.
4. The Committee of Ministers shall consi- der the proposed amendment and any opinion submitted by the Consultative Committee and may approve the amendment. '
5. The text of any amendment approved by the Committee of Ministers in accordance with paragraph 4 of this article shall be forwarded to the Parties for acceptance.
6. Any amendment approved in accordance with paragraph 4 of this article shall come into force on the thirtieth day after all Parties have informed the Secretary General of their accep- tance thereof.
208
2. La majorité des representants des Parties constitue le quorum nécessaire pour tenir une réunion du Comité consultatif.
3. A l'issue de chacune de ses réunions, le Comité consultatif soumet au Comité des Ministres du Conseil de l'Europe un rapport sur ses travaux et sur le fonctionnement de la Convention.
4. Sous réserve des dispositions de la pré- sente Convention, le Comité consultatif établit son réglement intérieur.
Chapitre VI — Amendements Article 21
Amendements
1. Des amendements a la présente Conven- tion peuvent étre proposés par une Partie, par le Comité des Ministres du Conseil de l'Europe ou par le Comité consultatif.
2. Toute proposition d'amendement est communiquée par le Secrétaire Général du Conseil de l'Europe aux Etats membres du Conseil de l'Europe et å chaque Etat non membre qui a adhéré ou a été invite' ä adhérer a la présente Convention conformément aux dispositions de l'article 23.
3. En outre, tout amendement proposé par unc Partie ou par le Comité des Ministres est communiqué au Comité consultatif qui soumet au Comité des Ministres son avis sur l'amen- dement proposé.
4. Le Comité des Ministres examine l'amendement proposé et tout avis soumis par le Comité consultatif et peut approuver l'amendement.
5. . Le texte de tout amendement approuvé par le Comité des Ministres conformément au paragraphe 4 du present article est transmis aux Parties pour acceptation.
6. Tout amendement approuvé conformé-- ment au paragraphe 4 du present article entrera en vigueur le trentieme jour apres que toutes les Parties auront informé le Secrétaire Ge'néral qu'elles l'ont accepté.
Prop. 1981/82:189
2. Den rådgivande kommittén är beslutför när en majoritet av företrädarna för parterna är närvarande.
3. Efter varje möte skall den rådgivande kommittén avge en rapport till Europarådets ministerkommitté om sitt arbete och om hur konventionen fungerar.
4. Med iakttagande av bestämmelserna i denna konvention skall den rådgivande kom- mittén upprätta sitt eget reglemente.
Kapitel VI — Ändringar Artikel 21 Ändringar
'l. Ändringar i denna konvention får före- slås av en part. av Europarådets ministerkom- mitté eller av den rådgivande kommittén.
2. Varje ändringsförslag skall av Europarå- dets generalsekreterare sändas till Europarå- dets medlemsstater och till varje stat som inte är medlem av rådet men som har anslutit sig till eller har inbjudits att ansluta sig till denna konvention i enlighet med bestämmelserna i artikel 23.
3. Vidare skall varje ändringsförslag som har lagts fram av en part eller av ministerkom- mittén sändas till den rådgivande kommittén som skall avge yttrande till ministerkommittén över den föreslagna ändringen.
4. Ministerkommittén skall överväga den föreslagna ändringen och det yttrande som har avgetts av den rådgivande kommittén och får godkänna ändringen.
5. Texten till varje ändring som har god— känts av ministerkommittén i enlighet med punkt 4 i denna artikel skall vidarebefordras till parterna för godkännande.
6. Varje ändring som har godkänts i enlig- het med punkt 4 i denna artikel skall träda i kraft den trettionde dagen efter det att alla parter har underrättat generalsekreteraren om sitt godtagande av ändringen.
209
Prop. 1981/82:189
Chapter VII — Final clauses Article 22
Entry into force
1. This convention shall be open for signa- ture by the member States of the Council of Europe. It is subject to ratification, acceptance or approval. Instruments of ratification, accep- tance or approval shall be deposited with the Secretary General of the Council of Europe.
2. This convention shall enter into force on the first day of the month following the expiration of a pcriod of three months after the date on which five member States of the Council of Europe have expressed their con- sent to be bound by the convention in accor- dance with the provisions of the preceding paragraph.
3. In respect of any member State which subsequently expresses its consent to be bound by it. the convention shall enter into force on the first day of the month -following the expiration of a period of three months after the date of the deposit of the instrument of ratification, acceptance or approval.
Article 23
Accession by non-member States
l. After the entry into force of this conven- tion. the Committee of Ministers of the Coun- cil of Europe may invite any State not a member of the Council of Europe to accede to this convention by a decision taken by the majority provided for in Article 20.d of the Statute of the Council of Europe and by the unanimous vote of the representatives of the Contracting States entitled to sit on the Com- mittee.
2. In respect of any acceding State, the convention shall enter into force on the first day of the month following the expiration of a period of three months after the date of deposit of the instrument of accession with the Secre- tary General of the Council of Europe.
21.0
Chapitre VII — Clauses f'males Article 22
Entrée en vigueur
1. La présente Convention est ouverte a la signature des Etats membres du Conseil de l'Europe. Elle sera soumise å ratification, acceptation ou approbation. Les instruments de ratification, d'acceptation ou d'approbation seront déposés pres le Secrétaire Général du Conseil de l'Europe.
2. La présente Convention entrera en vigu- eur le premier jour du mois qui suit l'expiration d'une période de trois mois apres la date å laquelle cinq Etats membres du Conseil de l'Europe auront exprimé leur consentement ä etre liés par la Convention conformément aux dispositions du paragraphe précédent.
3. Pour tout Etat membre qui exprimera ultérieurement son consentement ä étre lié par la Convention, celle-ci entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois apres la date du dépöt de l'instrument de ratification, _d'accep- tation ou d'approbation.
Article 23
Adhésion d'Etats non membres
1. Aprés l'entrée en vigueur de la présente Convention, le Comité des Ministres du Con- seil de l'Europe pourra inviter tout Etat non membre du Conseil de l'Europe ä adhérer a la présente Convention par une décision prise å la majorité prévue ä l'article 20.d du Statut du Conseil de l'Europe et å l'unanimité des representants des Etats contractants ayant de droit de siéger au Comité.
2. Pour tout Etat adhérant, la Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois aprés la datc du dépöt de l'instrument d'adhé- sion pres le Secrétaire Général du Conseil de l'Europe.
Prop. 1981/82:189
Kapitel VII — Slutbestämmelser Artikel 22
Ikraftträdande
1. Denna konvention är öppen för under- tecknande av Europarådets medlemsstater. Den förutsätter ratifikation. godtagande eller godkännande. Instrument rörande ratifika- tion, godtagande eller godkännande skall deponeras hos Europarådets generalsekrete- rare.
2. Denna konvention träder i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter det att fem medlemsstater i Europarådet har uttryckt sin vilja att vara bundna av denna konvention i enlighet med bestämmelserna i föregående punkt.
3. I förhållande till en medlemsstat som därefter uttrycker sin vilja att vara bunden av konventionen skall denna träda i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter det att instrumentet rörande ratifikation, god- tagande eller godkännande har deponerats.
Artikel 23
Anslutning av icke-medlemsstater
1. Sedan denna konvention har trätt i kraft, får Europarådets ministerkommitté inbjuda stat, som inte är medlem av rådet. att ansluta sig till konventionen genom ett beslut med sådan majoritet som föreskrivs i artikel 20 (d) i Europarådets stadga och under förutsättning att samtliga företrädare för de fördragsslutan— de stater som är medlemmar i kommittén har röstat för beslutet.
2. I förhållande till varje anslutande stat skall denna konvention träda i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter det att anslutningsinstrumentet har deponerats hos Europarådets generalsekreterare.
211
Prop. 1981/82:189
Article 24
Territorial clause
l. Any State may at the time of signature or when depositing its instrument of ratification, acceptance, approval or accession. specify the territory or territories to which this convention shall apply.
2. Any State may at any later date, by a declaration addressed to the Secretary Gene- ral of the Council of Europe, extend the application of this convention to any other territory specified in the declaration. In respect of such territory thc convention shall enter into force on the first day of the month following the expiration of a period of three months after the date of receipt of such declaration by the Secretary General.
3. Any declaration made under the two preceding paragraphs may. in respect of any territory specified in such declaration, be withdrawn by a notification addressed to the Secretary General. The withdrawal shall beco- me effective on the first day of the month following the expiration of a period of six months after the date of receipt of such notification by the Secretary General.
Article 25
Reservations
No reservation may be made in respect of the provisions of this convention.
Article 26
Denunciation
1. Any Party may at any time denounce this convention by means of a notification addres- sed to the Secretary General of the Council of Europe.
2. Such denunciation shall become effective on the first day of the month following the expiration of a period of six months after the date of receipt of the notification by the Secretary General.
ro _. to
Article 24
C lause territoriale
l. Tout Etat peut. au moment de la signa- ture ou au moment du dé'pöt de son instrument de ratification, d'acceptation, d'approbation ou d'adhe'sion, designer le ou les territoires auxquels s'appliqucra la présente Conven- tion.
2. Tout Etat peut. ä tout autre moment par la suite, par une declaration adressée au Secrétaire Général du Conseil de l'Europe, étendre l'application de la présente Conven- tion å tout autre territoire désigné dans la declaration. La Convention entrera en vigueur å l'égard de ce territoire le premier jour du mois qui suit l'expiration d'une période de trois mois apres la date de reception de la déclara- tion par le Secrétaire Général.
3. Toute declaration faite en vertu des deux paragraphes précédents pourra étre retirée. en ce qui concerne tout territoire désigné dans cette declaration. par notification adressée au Secrétaire Général. Le retrait prendra effet le premier jour du mois qui suit l'expiration d'une période de six mois apres la date de réception de la notification par le Secrétaire Géneral.
A rticle 25 Réserves
Aucune reserve n'est admise aux disposi— tions de la présente Convention.
Article 26
Dénonciation
]. Toute Partie peut, å tout moment. dénoncer la présente Convention en adressant une notification au Secrétaire Général du Conseil de l'Europe. '
2. La dénonciation prendra effet le premier jour du mois qui suit l'expiration d'une période de six mois apres la date de reception de la notification par le Secrétaire General.
Prop. 1981/82:189
Artikel 24
Territoriell bestämmelse
1. En fördragsslutande stat kan vid under- tecknandet eller vid deponeringen av instru- ment rörande ratifikation. godtagande, god- kännande eller anslutning närmare ange det eller de områden beträffande vilka konventio- nen skall tillämpas.
2. En fördragsslutande stat kan vid vilken som helst senare tidpunkt genom en förklaring till Europarådets generalsekreterare utsträcka tillämpningen av denna konvention till annat område som angesi förklaringen. lförhållande till sådant område skall konventionen träda i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter det att generalsekreteraren har mottagit en sådan förklaring.
3. En förklaring som har avgivits enligt föregående två punkter kan beträffande varje i förklaringen angivet område återtas genom en underrättelse till generalsekreteraren. Återta- gandet skall gälla från och med den första dagen i den månad som följer på utgången av en period om sex månader efter det att generalsekreteraren har mottagit en sådan underrättelse.
Artikel 25
Reservationer
Reservationer mot bestämmelserna i denna konvention får inte göras.
A rtikel 26
Uppsägning 1. En part får när som helst säga upp denna
konvention genom en underrättelse till Euro- parådets generalsekreterare.
2. En sådan uppsägning skall gälla från och med den första dagen i den månad som följer på utgången av en period om sex månader efter det att generalsekreteraren har mottagit underrättelsen.
IQ
Prop. 1981/82:189
Article 27
Notifications
The Secretary General of the Council of Europe shall notify the member States of the Council and any State which has acceded to this convention of:
a. any signature; b. the deposit of any instrument of ratifica- tion, acceptance, approval or accession;
c. any date of entry into force of this convention in accordance with Articles 22, 23 and 24;
d. any other act. notification or communica- tion relating to this convention.
In witness whereof the undersigned, being duly authorised thereto, have signed this Convention.
Done at Strasbourg, the 28th day of January 1981, in English and in French, both texts being equally authoritative, in a single copy which shall remain deposited in the archives of the Council of Europe. The Secretary General of the Council of Europe shall transmit certi- fied copies to each member State of the Council of Europe and to any State invited to accede to this Convention.
Article 27
Notifications
Le Secrétaire Général du Conseil de l'Euro- pe notifiera aux Etats membres du Conseil et å tout Etat ayant adhéré å la présente Conven- tion :
a. toute signature ; b. le dépöt de tout instrument de ratifica- tion. d'acceptation, d'approbation ou d'adhé- sion ;
c. toute date d'entrée en vigueur de la présente Convention conformément å ses articles 22, 23 et 24 ;
d. tout autre acte, notification ou communi- cation ayant trait a la présente Convention.
En foi de quoi, les soussignés, dument autorisés a cet effet, out signé la présente Convention.
Fait å Strasbourg, le 28 janvier 1981, en francais et en anglais. les deux textes faisant également foi, en un seul exemplaire qui sera déposé dans les archives du Conseil de l'Euro- pe. Le Secrétaire Géneral du Conseil de l'Europe en communiquera copie certifiée conforme å chacun des Etats membres du Conseil de l'Europe et å tout Etat invité å adhérer å la présente Convention.
Prop. 1981/82:189
Artikel 27
Underrättelser
Europarådets generalsekreterare skall un- derrätta rådets medlemsstater och varje stat som har anslutit sig till denna konvention om:
a) undertecknanden;
b) deponerandet av instrument rörande ratifikation, godtagande, godkännande eller anslutning:
c) tidpunkter för ikraftträdande av denna konvention i enlighet med artiklarna 22,23 och 24:
d) varje annan handling, underrättelse eller meddelande som hänför sig till denna konven- tion.
Till bekräftelse varpå undertecknade, därtill vederbörligen bemyndigade, har underskrivit denna konvention.
Som skedde i Strasbourg den 28 januari 1981 på engelska och franska, vilka båda texter äger lika vitsord, i ett enda exemplar som skall förvaras i Europarådets arkiv. Europarådets generalsekreterare skall översända en bestyrkt avskrift därav till de stater som har underteck- nat konventionen och till de stater som har anslutit sig till den.
lx.) 'Jl
Prop. 1981/82:189 216
Innehåll Propositionens huvudsakliga innehåll .......................... 1 Lagförslag .................................................. 2 ] Lag om ändring i datalagen (1973z289) ....................... 2 2 Lag om ändring i sekretesslagen(1980:100) ................... 9 Utdrag av protokoll vid regeringssammanträde den 25 mars 1982. . 11 1 Inledning ............................................... 11 2 Allmän motivering ...................................... 12 2.1 Reformbehovet ................................... 12 2.2 Åtgärder för att rationalisera datainspektionens verksam- het .............................................. 15 2.2.1 De allmänna principerna för en reform ....... 15 2.2.2 Utformningen av licenssystemet .............. 22 2.2.3 Det nya tillståndskravet ..................... 28 2.2.4 Dc registeransvarigas skyldigheter ............ 32 2. 2.5 Upphörande av personregister ............... 34 2.3 Åtgärder med anledning av datainspektionens skrivelse den 20 november 1980 ............................. 35 2.3.1 Register hos arkivmyndigheter ............... 35 2.3.2 Generella undantag från tillståndskravet ...... 38 2.3.3 Föreskrifter om registerinnehållet ............ 39 2.4 Internationella överenskommelser ................... 40 2.4.1 Inledning .................................. 40 2.4.2 Europarådskonventionen .................... 42 2.4.3 OECD:s riktlinjer .......................... 46 3 Avgifter för datainspektionens verksamhet ................. 48 4 Sammanfattande bedömning av reformens effekter .......... 50 5 ""Upprättade lagförslag .......... " .......................... 51 6 Specialmotivering ....................................... 52 6.1 Förslaget till lag om ändring i datalagen .............. 52 6.2 Förslaget till lag om ändring i sekretesslagen .......... 67 7 Hemställan ............................................. 68 8 Beslut ................................................. 68 Bilagor Bilaga 1 Kommitténs sammanfattning av sitt förslag ............. 69 Bilaga 2 Kommitténs lagförslag ............................... 84 Bilaga 3 Sammanställning av remissyttranden ................... 100 Bilaga 4 Europeiska dataskyddskonventionen ................... 189
GUTAB 71076 Slnukhnlm l'lSZ