Propositionens huvudsakliga innehåll

I propositionen föreslås ändrade regler om datainspektionens prövning av ärenden som rör rätten att föra personregister med hjälp av ADB. Reformen har till syfte att rationalisera verksamheten vid datainspektionen så att inspektionen kan koncentrera sina resurser på sådana personregister som är särskilt känsliga från integritetsskyddssynpunkt.

Ändringarna i datalagen innebär att det nuvarande kravet på tillstånd för att föra personregister begränsas till register som innehåller ömtåliga uppgifter. t. ex. uppgifter om sjukdomar. brott. politisk uppfattning och religiös tro eller uppgifter som innehåller omdömen om den registrerade. För andra personregister skall krävas att den registeransvarige har anmält sig hos datainspektionen och att denna på grund av anmälan har utfärdat en licens. Vidare föreslås bl. a. att alla registeransvariga skall vara skyldiga att föra en förteckning över sina personregister.

I propositionen föreslås också att Sverige ansluter sig till den Europeiska dataskyddskonventionen. Med anledning härav föreslås vissa ändringar i datalagen och sekretesslagen.

Slutligen föreslås att kostnaderna för datainspektionens verksamhet helt skall täckas genom avgifter från bl. a. de registeransvariga enligt datala- gen.

Lagändringarna föreslås träda i kraft den 1 juli 1982. De registeransvarigas skyldighet att föra förteckning över sina personregister inträder dock först den 1 januari 1983.

• Sida 2
•  Original

Prop. l981/82:189

1. Förslag till Lag om ändring i datalagen (1973z289)

Härigenom föreskrivs i fråga om datalagen (1973z289)1 dels att nuvarande 75 skall betecknas 6 a &. dels att 2, 4—6 a, 10—12. 18. 20. 22 och 24 åå skall ha nedan angivna lydelse,

dels att i lagen skall införas tre nya paragrafer. 2 a. 7 och 7 a 55. av nedan

angivna lydelse,

dels att rubriken före 8 5 skall sättas närmast före nya 7 %.

Nuvarande lydelse

Personregister får icke inrättas eller föras utan tillstånd av datain- spektionen. Med inrättande av per- sonregister förstås även insamling av uppgifter som skall ingå i registret.

Första stycket gäller icke ifråga om personregister vars inrättande be- slutas av regeringen eller riksdagen. Före sådant beslut skall dock yttran- de inhämtas från datainspektionen.

Första stycket gäller icke heller i fråga om personregister som förs med viss bestämd teknisk utrustning, om det med hänsyn till utrustningens art, till utförandet av den automatiska databehandlingen och till registrets utformning i övrigt framstår som uppenbart att otillbörligt intrång i registrerads personliga integritet icke skall uppkomma.

Närmare föreskrifter rörande till- lämpningen av tredje stycket medde- las av regeringen eller av den myndig- het som regeringen bestämmer.

Föreslagen lydelse

2.5

Personregister får inrättas och föras endast av den som har anmält sig hos datainspektionen och fått bevis om detta av inspektionen (li- cens).

Utöver licens behövs tillstånd av datainspektionen för att inrätta och föra personregister som skall inne- hålla .

I . uppgifter som anges i 4 5.

2. uppgifter som anges i 6 5 andra stycket.

3. uppgifter om personer som sak- nar sådan anknytning till den regis- teransvarige som följer av medlems- kap, anställning, kundförhållande eller något därmed jämförligt förhål- lande,

4. personuppgifter som inhämtas från något annat personregister. om inte registreringen av uppgifterna sker med stöd av författning eller med den registrerades medgivande.

Första och andra stycket gäller inte personregister som en enskild person inrättar eller för uteslutande för per- sonligt bruk.

Med inrättande av personregister förstås även insamling av uppgifter som skall ingå i registret.

Zaå

1 Lagen omtryckt 19792334.

Tillstånd av datainspektionen be- hövs inte för personregister vars

• Sida 3
•  Original

Prop. 1981/82:189 3

Nuvarande lydelse Föreslagen lydelse

inrättande beslutas av riksdagen eller regeringen. Imran sådant beslut fattas skall dock yttrande inhämtas från datainspektionen i fråga om register som skall innehålla uppgifter som avses i 2 å" andra stycket.

Tillstånd behövs inte heller för personregistersom har tagits emot för förvaring av en arkivmyndighet.

Utan hinder av 2 .5 andra stycket 1 får

]. sammanslutningar inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning. religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sam- manslutningen,

2. myndigheter inom hälso- och sjukvården för vård— eller behand- lingsändamål inrätta och föra per- sonregister som innehåller uppgifter om någons sjukdom eller hälsotill— stånd i övrigt.

3. myndigheter inom socialtjäns— ten inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten.

4. läkare och tandläkare inrätta och föra personregister som innehål- ler sådana uppgifter om någons sjuk- dom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksam- het.

4 53

Tillstånd att inrätta och föra personregister som innehåller uppgift om att någon misstänkes eller dömts för brott eller avtjänat straff eller undergått annan påföljd för brott eller varit föremål för tvångsingripande enligt lagen ( 1980:621 ) med särskilda bestämmelser om vård av unga, lagen ( 1981:1243 ) om vård av missbrukare i vissa fall. lagen ( 1966:293 ) om beredande av sluten psykiatrisk vård i vissa fall. lagen ( 1967:940 ) angående omsorger om vissa psykiskt utvecklingsstörda eller utlänningslagen (19802376) får endast om synnerliga skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.

Tillstånd att inrätta och föra per- Tillstånd att inrätta och föra per- sonregister som i övrigt innehåller sonregistcr som i övrigt innehåller uppgift om någons sjukdom eller uppgift om någons sjukdom. hälso-

: Senaste lydelse 198111260.

• Sida 4
•  Original

Prop. 1981/82:189

Nuvarande lydelse

hälsotillstånd eller uppgift att någon erhållit ekonomisk hjälp enligt 6 .é' socialtjänstlagen (1980-620) eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlännings- lagen får endast om särskilda skäl föreligger meddelas annan än myn- dighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.

Tillstånd att inrätta och föra per- sonregister som innehåller uppgift om någons politiska eller religiösa uppfattning får meddelas endast om särskilda skäl föreligger. Vad som sagts nu gäller dock ej personregister som sammanslutning avser att föra beträffande sina egna medlemmar.

Föreslagen lydelse

tillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlän- ningslagen får endast om särskilda skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.

Tillstånd att inrätta och föra per- sonregister som innehåller uppgift om någons ras. politiska uppfatt- ning. religiösa tro eller övertygelse i övrigt får meddelas endast om sär- skilda skäl föreligger.

55

I samband med att tillstånd läm- nas till inrättande och förande av personregister. skall datainspektio- nen meddela föreskrift om dels ändamålet med registret, dels vilka personuppgifter som får ingå i detta. Föreligger särskilda skäl. får tillstån- det begränsas till viss tid.

I samband med att tillstånd läm- nas till inrättande och förande av personregister, skall datainspektio- nen meddela föreskrift om ändamå- let med registret. Föreligger särskil- da skäl, får tillståndet begränsas till viss tid.

6 &

Lämnas tillstånd till inrättande och förande av personregister, skall datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet. meddela föreskrift om

]. inhämtande av uppgifter för personregistret,

2. utförandet av den automatiska databehandlingen,

3. den tekniska utrustningen,

4. de bearbetningar av person- uppgifterna i registret som får göras med automatisk databehandling.

5. underrättelse till berörda per- soner.

6. de personuppgifter som får göras tillgängliga,

7. utlämnande och annan an- vändning av personuppgift.

8. bevarande och gallring av per- sonuppgifter.

9. kontroll och säkerhet.

2. vilka personuppgifter som får ingå i personregistret,

3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen,

5. de bearbetningar av person- uppgifterna i registret som får göras med automatisk databehandling,

6. underrättelse till berörda per— soner,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan an- vändning av personuppgift.

9. bevarande och gallring av per- sonuppgifter.

10. kontroll och säkerhet.

Vid bedömandet av om föreskrift behövs skall särskilt beaktas huruvida

• Sida 5
•  Original

Prop. 1981/82zl89

Nuvarande lydelse Föreslagen lydelse

registret innehåller personuppgift som utgör omdöme eller annan värderan- de upplysning om den registrerade.

Föreskrift rörande utlämnande av personuppgift får icke inskränka myndighets skyldigheter enligt tryckfrihetsförordningen .

7 9"

Bestämmelserna i 5 och 6 55 om skyldighet för datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2 5 andra stycket, i den mån icke rege- ringen eller riksdagen har meddelat föreskrift i samma hänseende.

7a

6 a &?

Bestämmelserna i 5 och 6 55 om skyldighet för datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2 a 5 första stycket andra meningen, i den mån icke regeringen eller riksdagen har meddelat föreskrift i samma hänseende.

75

Personregister skall inrättas och föras så att inte otillbörligt intrång i registrerads personliga integritet upp- kommer. Därvid skall särskilt iakt- tas

I . att registret förs för ett bestämt ändamål.

2. att inte andra uppgifter registre- ras än som står i överensstämmelse med registrets ändamål,

3. att uppgifter inte samlas in. lämnas ut eller används annat än i överensstämmelse med registrets än- damål eller vad som gäller enligt lag eller annan författning eller i enlighet med den registrerades medgivande.

4. att uppgifterna i registret skyd- das mot oavsiktlig eller otillåten för- störelse eller mot otillåten ändring eller spridning.

ä'

Hos den registeransvarige skall finnas en aktuell förteckning över de personregister som han är ansvarig för. Förteckningen skall innehålla uppgift om

I . registrets benämning,

2. registrets ändamål,

3. lokalen där den automatiska databehandlingen huvudsakligen ut- förs.

4. numret på den registeransvari- ges licens hos datainspektionen,

5. i vad mån personuppgifter läm-

• Sida 6
•  Original

Prop. 1981/82:189 6

Nuvarande lydelse Föreslagen lydelse

nas utför automatisk databehandling i utlandet.

Förteckningen skall hållas tillgäng- lig för datainspektionen och på begä- ran av denna ges in till inspektio- nen.

När en registeransvarig sänder en handling som innehåller personupp- gifter ur ett personregister till den registrerade, skall upplysning samti- digt lämnas om vem sotn är avsända- re eller om den registeransvariges licensnummer hos datainspektio- nen.

Bestämmelserna i denna paragraf gäller inte personregister som en enskild person för uteslutande för personligt bruk eller som en arkiv- myndighet har tagit emot för förva- ring.

10 53 Den registeransvarige skall på begäran av enskild så snart det kan ske underrätta denne antingen om innehållet i personuppgift som ingår i personregistret och innefattar upplysning om honom eller om att sådan uppgift ej förekommer i registret. Sådan begäran skall framställas skriftligen och vara egenhändigt undertecknad av den enskilde-. Har underrättelse lämnats. behöver ny underrättelse icke lämnas till samme enskilde förrän tolv månader därefter.

Underrättelse enligt första stycket skall lämnas utan kostnad för den enskilde. Föreligger särskilda skäl, får dock datainspektionen i fråga om visst slag av personuppgifter eller i fråga om underrättelse om att personuppgift om enskild ej förekommer i registret medge att avgift tages ut.

Första stycket gäller icke uppgift Första stycket gäller inte uppgifter som enligt lag eller annan författning i personregister som har tagits emot eller enligt myndighets beslut som för förvaring av en arkivmyndighet meddelats med stöd av författning ej och inte heller uppgifter som enligt får lämnas ut till den registrerade. lag eller annan författning eller

enligt myndighets beslut som med- delats med stöd av författning ej får

- lämnas ut till den registrerade.

Första stycket gäller icke heller. om det i fråga om visst slag av personuppgifter är uppenbart att underrättelse kan underlåtas på grund av att det inte föreligger någon risk för otillbörligt intrång i registrerads personliga integritet. Underrättelse får dock underlåtas endast efter medgi- vande från datainspektionen.

1154. Personuppgift som ingår i person- Personuppgift som ingår i person- register får ej lämnas ut, om det finns register får ej lämnas ut. om det finns

3 Senaste lydelse 1980le25. 4 Senaste lydelse l980:216.

• Sida 7
•  Original

Prop. 1981/82:189

Nuvarande lydelse

anledning antaga att uppgiften skall användas för automatisk databe— handlingi strid med denna lag. Finns det anledning antaga att personupp- gift skall användas för automatisk databehandling i utlandet. får upp- giften lämnas ut endast efter medgi- vande av datainspektionen. Sådant medgivande får lämnas endast om det kan antagas att utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig inte- gritet.

Föreslagen lydelse

anledning antaga att uppgiften skall användas för automatisk databe- handlingi strid med denna lag. Finns det anledning antaga att personupp- gift skall användas för automatisk databehandling i utlandet, får upp- giften lämnas ut endast efter medgi- vande av datainspektionen. Sådant medgivande får lämnas endast om det kan antagas att utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig inte- gritet. Något medgivande behövs dock inte. om personuppgift skall användas för automatisk databe- handling enbart i en stat som har anslutit sig till Europarådets konven- tion om skydd för enskilda vid auto- matisk databehandling av person-

uppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i sekretess-

lagen ( 1980:100 ).

17

Upphör registeransvarig att föra personregister, skall han anmäla det- ta till datainspektionen. Inspektionen föreskriver i sådant fall hur det skall förfaras med registret.

Första stycket gäller icke ifråga om personregister som avses i 2 55 tredje stycket.

%

Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndig- hets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret.

Upphör en registeransvarig att föra ett personregister för vilket datain- spektionen har meddelat tillstånd, skall han anmäla detta till inspektio- nen/Detsamma gäller i fråga om sådant personregister som avses i 2 a ä' första stycket andra tneningen.

185

Har förandet av personregister lett till otillbörligt intrång i personlig integritet eller finns anledning anta- ga att sådant intrång skall uppkom- ma. får datainspektionen i mån av behov ändra föreskrift som tidigare

Har förandet av personregister lett till otillbörligt intrång i personlig integritet eller finns anledning anta- ga att sådant intrång skall uppkom- ma. får datainspektionen i mån av behov meddela föreskrift i sådant

• Sida 8
•  Original

Prop. 1981/82:189

Nuvarande lydelse

meddelats eller meddela ny före- skrift i sådant avseende som anges i 5 eller 6 &. I fråga om register som avses i 2 5 andra stycket får datain- spektionen vidtaga åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riksdagen.

Kan skydd mot otillbörligt intrång i personlig integritet cj åstadkom- mas på annat sätt. får datainspektio- nen återkalla meddelat tillstånd.

Har förandet av personregister som avses i 2 € tredje stycket lett till otillbörligt intrång i personlig integri- tet eller finns anledning antaga att sådant intrång skall uppkomma. får datainspektionen förbjuda fortsatt förande av registret.

Föreslagen lydelse

avseende som anges i 5 eller 6 5 eller ändra föreskrift som tidigare medde- lats. I fråga om register som avses i 2 a 5 första stycket får datainspektio- nen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riks- dagen. .

Kan skydd mot otillbörligt intrång i personlig integritet ej åstadkom- mas på annat sätt, får datainspektio- nen förbjuda fortsatl förande av per- sonregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket.

20%

Till böter eller fängelse i högst ett år dömes den som uppsåtligen eller av oaktsamhet

1. inrättar eller för personregister utan tillstånd enligt denna lag. när sådant erfordras,

Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet

1. inrättar eller för personregister utan licens eller tillstånd enligt denna lag, när detta erfordras.

2. bryter mot föreskrift eller förbud som meddelats enligt 5. 6 eller 18 5,

3. lämnar ut personuppgift i strid mot 11 ä,

4. bryter mot 12 5,

5. lämnar osann uppgift vid fullgörande av skyldighet att lämna under- rättelse enligt 10 5, eller

6. lämnar osann uppgift i fall som avses i 17 &.

Till böter döms den som uppsåtli- gen eller av oaktsamhet bryter mot 7a .é' första eller tredje stycket.

. 225

Har personregister inrättats e'ller förts utan tillstånd enligt denna lag. när sådant tillstånd erfordras, skall registret förklaras förverkat. om det ej är uppenbart obilligt. Detsamma gäller, om personregister har förts i strid mot förbud enligt 18%? tredje stycket.

Har personregister inrättats eller förts utan licens eller tillstånd enligt denna lag, när licens eller tillstånd behövs. skall registret förklaras för- vcrkat, om det ej är uppenbart obilligt. Detsamma gäller. om per- sonregister har förts i strid mot förbud enligt 18.5 andra stycket.

ut

Om registeransvarig eller den som för registeransvarigs räkning hand-

Om registeransvarig eller den som för registeransvarigs räkning hand-

• Sida 9
•  Original

Prop. 198l/82zl89

Nuvarande lydelse

har personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 165 eller att lämna uppgift enligt 17 5, får datainspektionen förelägga vite. Detsamma gäller, om registeransva- rig icke fullgör vad som åligger honom enligt 8. 9 eller 10 5.

9

Föreslagen lydelse

har personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 165 eller att lämna uppgift enligt 17 5. får datainspektionen förelägga vite. Detsamma gäller, om registeransva- rig icke fullgör vad som åligger honom enligt 7 a .5 andra stycket, 8. 9 eller 10 5.

Denna lag träderi kraft. såvitt avser 7 a 5 den 1 januari 1983. och i övrigt den 1 juli 1982.

Bestämmelserna i 25 gäller även personregister som har inrättats före ikraftträdandet. Om anmälan och ansökan om tillstånd. om sådant krävs. görs före den 1 januari 1983. får dock ett sådant register föras utan hinder av 25 tills ärendet har prövats slutligt. Nytt tillstånd behövs inte för sådana register som datainspektionen har gett tillstånd till före ikraftträdandet.

2 Förslag till Lag om ändring i sekretesslagen (l980:100) Härigenom föreskrivs att 7 kap. 165 och 9 kap. 65 sekretesslagen (1980:100)l skall ha nedan angivna lydelse.

7 kap. 16 5 Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289). om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen.

Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan- det och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande.

] Lagen omtryckt 198t):88().

Sekretess för uppgift som anges i första stycket gäller också. om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlan- det och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgifter: skall användas för automatisk databehandling en- bart i en stat som har anslutit sig till Europarådets konvention Om skydd för enskilda vid automatisk databe- handling av personuppgifter.

• Sida 10
•  Original

Prop. 1981/82: 189

Nuvarande lydelse

10

Föreslagen lydelse

9 kap.

Sekretess gäller hos datainspek- tionen i ärende om tillstånd eller tillsyn. som enligt lag ankommer på inspektionen, för uppgift om en- skilds personliga eller ekonomiska förhållanden. om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift. för vil- ken gäller sekretess enligt vad nu har sagts. lämnats till regeringen eller justitiekanslern. gäller sekretessen också där.

Sekretess gäller hos datainspek- tionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och iärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. för uppgift om enskilds personliga eller ekonom miska förhållanden. om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekre- tessen också där.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 juli 1982.

• Sida 11
•  Original

Prop. l981/82:189 11

Utdrag JUSTITIEDEPARTEMENTET PROTOKOLL

vid regeringssammanträde 1982-03-25

Närvarande: statsministern Fälldin, ordförande. och statsråden Wikström. Friggebo. Dahlgren, Åsling, Söder, Johansson. Wirtén, Andersson. Boo, Petri. Eliasson. Gustafsson. Elmstedt. Ahrland. Molin

Föredragande: statsrådet Petri

Proposition om ändring i datalagen ( 1973:289 ) m. m.

2. Allmän motivering

2.1. Reformbehovet

Datalagen. som antogs år 1973. syftar till att skydda den enskilde mot sådant intrång i den personliga integriteten som kan bli följden av registrering av personuppgifter med hjälp av ADB. Det bakomliggande motivet är att ' den enskilde — med de begränsningar som följer av samhällsgemenskapens krav — bör ha tillgång till en fredad sektor. inom vilken han skall kunna avvisa otillbörlig inblandning från det allmänna eller från andra. Lagens regelsystem innebär i huvudsak att personregister som förs med hjälp av ADB i princip inte får inrättas eller föras utan tillstånd av datainspektionen. För register som inrättas genom beslut av riksdagen eller regeringen krävs dock inte tillstånd.

Den grundläggande regeln i 3 & datalagen innebär att datainspektionen skall meddela tillstånd till inrättande och förande av personregister, om det saknas anledning anta att. med iakttagande av de föreskrifter som inspektionen meddelar. otillbörligt intrång i registrerads personliga integri- tet skall uppkomma. I lagen finns vidare bestämmelser om särskilda villkor för tillstånd att föra vissa slag av register. om skyldigheter för de registeransvariga i fråga om användningen av personregister och om datainspektionens befogenheter som tillsynsmyndighct.

DALK har tidigare avlämnat delbetänkandena (SOU l978z54) Personre- gister—Datorer—Integritet och (SOU 198031") Offentlighctsprincipen och ADB samt promemorian (Ds Ju 1979119) Författningsreglering av SPAR

• Sida 13
•  Original

Prop. 1981/82:189 13

m.m. På grundval av de förslag som DALK där har lämnat har vissa ändringari datalagen beslutats. De grundläggande principerna för tillstånds- förfarandet kvarstår dock oförändrade.

[ mars 1980 fick DALK genom tilläggsdirektiv i uppdrag att utreda om en generell personregisterlagstiftning. som inte i första hand är inriktad på registreringstekniken, bör ersätta datalagen på längre sikt. Mycket snart därefter visade det sig emellertid att det fanns behov av att vidta vissa åtgärder för att reformera datainspektionens verksamhet på kort sikt. Detta påpekades bl. a. av inspektionen själv i olika sammanhang. Genom tilläggsdirektiv i december 1980 fick DALK. som jag förut har nämnt, i uppdrag att med förtur undersöka möjligheterna att vidta sådana åtgär- der.

Behovet av. en reform av datalagen bör ses mot bakgrund av att utvecklingen av datainspektionens verksamhet har blivit annorlunda än vad man räknade med vid lagens tillkomst. Man antog då att det fanns ca 4 000 datasystem som innehöll personuppgifter och att det årliga tillflödet av tillståndspliktiga personregister skulle bli ca 500. Man räknade vidare med att det skulle behövas sju tjänster för handläggningen av tillståndsärenden hos inspektionen och nio tjänster för tillsynsverksamheten.

Det har emellertid visat sig att tillströmningen av tillståndsärenden har blivit betydligt större än man räknade med. Antalet tillståndsärenden per år har alltsedan datainspektionen började sin verksamhet legat över 2 000 och uppgick 1980 till ca 3 600. F. n. är 15 handläggare sysselsatta med tillståndsärenden och bara tre avdelade för tillsynsverksamheten.

Att datainspektionens verksamhet har utvecklats på det angivna sättet hänger i stor utsträckning samman med utformningen av datalagens' tillståndsbestämmelser. Dessa innebär att i princip inga register som innehåller personuppgifter har kunnat inrättas eller föras utan tillstånd av datainspektionen. Vissa förenklingar av tillståndsförfarandet gjordes visser- ligen år 1979, men dessa innebar inte någon mera genomgripande förändring av de grundläggande principerna.

De angivna omständigheterna har alltså medfört att datainspektionen har kommit att koncentrera sin verksamhet på tillståndsärendena. Inspektionen har måst lägga ner mycket arbete på tillståndsprövning av register som är relativt ofarliga från integritetsskyddssynpunkt. Detta har lett till att inspektionen i allt för liten omfattning har kunnat ägna sig åt tillsynsverk- samhet.

Mot den angivna bakgrunden har DALK föreslagit att man redan nu skall vidta åtgärder för att göra datainspektionens verksamhet effektivare. En minoritet inom kommittén har emellertid reserverat sig mot förslaget. Enligt minoritetens mening bör man avvakta kommitténs kommande förslag om en allmän personregisterlagstiftning innan man gör någon mer ingripande ändring i datalagen .

Under remissbehandlingen har flertalet remissinstanser i princip tillstyrkt

• Sida 14
•  Original

Prop. l981/82:189 14

DALK:s förslag medan ett mindre antal har avstyrkt förslaget eller uttalat tveksamhet om detta.

Enligt min mening är det uppenbart att det föreligger ett behov av att vidta åtgärder för att rationalisera verksamheten hos datainspektionen. DALK:s undersökningar. inspektionens egna upplysningar liksom vad som har kommit fram under remissbehandlingen visar att inspektionens verksamhet i dag alltför mycket är inriktad på frågor som är mindre viktiga från integritetsskyddssynpunkt. Det är enligt min åsikt angeläget att förutsätt- ningar skapas för att inspektionen skall kunna förskjuta tyngdpunkten i sin verksamhet mot sådana frågor som är särskilt betydelsefulla för integritets- skyddet.

Jag anser att det är viktigt att man så snart som möjligt vidtar åtgärder för att komma till rätta med de problem som nu föreligger för inspektionen. Att avvakta DALK:s förslag om en allmän personregisterlagstiftning skulle innebära ett avsevärt dröjsmål. DALK beräknas avge ett betänkande i den frågan hösten 1983. Betänkandet skall sedan remissbehandlas och överar- betas inom departementet innan ett förslag kan behandlas av riksdagen. Det betyder att en ny lagstiftningi ämnet knappast kommer att kunna träda i kraft före den 1 januari 1985. En sådan tidsutdräkt är enligt min mening inte acceptabel.

Jag anser därför att man redan nu bör vidta åtgärder för att inspektionens resurser skall kunna användas mer effektivt och därigenom skapa möjlighet till en omprioritering av verksamheten. Jag skall i följande avsnitt diskutera de olika åtgärder som kan komma '.3 fråga.

Innan jag går närmare in på principerna för en reform vill jag framhålla att datalagen på det hela taget väl har fyllt sin uppgift som ett instrument för skyddet för den personliga integriteten vid automatisk databehandling. Lagen, som var ett förstlingsverk. har många förtjänster och har också i flera avseenden stått som förebild för utländsk datalagstiftning.

Det är emellertid naturligt att man då och då ser över en sådan lag som datalagen vilket också framhölls vid lagens tillkomst. Den snabba tekniska utvecklingen på informationsområdet liksom samhällets utveckling i övrigt kan medföra att lösningar som var lämpliga vid lagens tillkomst inte står sig ett decennium senare.

Jag vill dock understryka att en ändring av datalagen inte får leda till att man försämrar det grundläggande skydd mot otillbörligt intrång i den personliga integriteten som lagen ger. En förändring av ramarna för datainspektionens verksamhet får givetvis inte göras på ett sådant sätt att integritetsskyddet urholkas. Strävan måste i stället vara att åstadkomma ett bättre integritetsskydd. Just därför är det angeläget att inspektionen befrias från uppgifter som är av underordnad betydelse så att inspektionen kan koncentrera sina resurser på sådant som verkligen är betydelsefullt från integritetsskyddssynpunkt.

• Sida 15
•  Original

Prop. 1981/82:189 15

2.2. Åtgärder för att rationalisera datainspektionens verksamhet 2.2.1 De allmänna principerna för en reform Datainspektionens uppgifter enligt datalagen

Datainspektionen har till uppgift att pröva frågor om tillstånd och att utöva tillsyn enligt datalagen . kreditupplysningslagen (1973:1173) och inkassolagen (1974:182) . Inspektionen leds av en styrelse. Inspektionens kansli är uppdelat på ett sekretariat för administration och två enheter, en för tillståndsärenden och en för tillsynsärenden. För vardera enheten och för sekretariatet finns en chef. Härutöver finns ca 30 personer anställda.

Inspektionens verksamhet är indelad i programmen tillståndsverksamhct, tillsynsverksamhet och information. Inspektionens anslag för budgetåret 1981/82 är ca 6,5 milj. kr. Tillståndsverksamheten skall finansieras genom avgifter från de sökande. Sedan datalagens tillkomst har myndigheten t. o. m. 1980 prövat ca 27 500 tillståndsärenden enligt datalagen och 1 300 diarieförda ärenden om tillsyn enligt datalagen.

I datalagen finns de grundläggande bestämmelser som reglerar skyldighe- ten att hos datainspektionen ansöka om tillstånd att föra personregister. I datakungörelscn ( 1973z289) finns närmare bestämmelser om förfarandet vid denna tillståndsprövning. Inspektionen meddelar därutöver föreskrifter som publiceras i Datainspektionens författningssamling (DIFS).

Skyldigheten att hos inspektionen ansöka om tillstånd att föra personre- gister framgår av 25 datalagen . Undantag görs för sådana register som inrättas genom beslut av regering eller riksdag. Före ett sådant beslut skall emellertid yttrande inhämtas från inspektionen. Vidare kan undantag från tillståndsplikten föreskrivas med stöd av 25 tredje stycket datalagen för personregister som förs med viss bestämd teknisk utrustning, om det med hänsyn till närmare angivna omständigheter framstår som uppenbart att otillbörligt intrång i registrerads personliga integritet inte skall uppkomma. De register som undantas från tillståndskravet blir varken föremål för någon tillståndsprövning eller någon registrering hos datainspektionen.

Inspektionen skall vid sin prövning av en ansökan om tillstånd ta ställning till frågan om registret kan medföra otillbörligt intrång i registrerads personliga integritet. I fråga om vissa register krävs särskilda. eller i vissa fall synnerliga, skäl för att tillstånd skall beviljas (3 a och 4 55 datalagen). Om tillstånd meddelas. skall inspektionen meddela föreskrifter om bl. a. ändamålet med registret och vilka uppgifter som får ingå i detta.

Närmare regler om förfarandet vid ansökan om tillstånd finns, som nämnts, i datakungörelscn och datainspektionens föreskrifter. E_n ansökan skall enligt 2å datakungörelscn normalt innehålla uppgifter i 14 olika hänseenden. Totalt har t. 0. m. år 1980 ca 6 600 ärenden med fullständiga tillståndsansökningar diarieförts hos datainspektionen.

Datainspektionen har. såsom förutsattes vid datalagens tillkomst. alltse-

• Sida 16
•  Original

Prop. 1981/82:l89 16

dan verksamhetens början tillämpat ett förenklat ansöknings- och tillstånds- förfarandc i fråga om mindre integritetskänsliga register. Det gäller vissa löne- och personalregister. vissa kund— och leverantörsregister, vissa hyresregister och vissa medlemsregister. Sådana personregister underkastas inte någon individuell tillståndsprövning.

Ansökningar om tillstånd enligt det förenklade förfarandet görs på en enkel blankett. Tillstånd meddelas i princip omgående i form av ett standardiserat beslut med olika föreskrifter m. m. Totalt har t. o. m. är 1980 ca 18000 ärenden enligt det förenklade förfarandet prövats av inspektio- nen. _

Även personregister vars inrättande beslutats av regeringen eller riksda- gen skall till viss del prövas av datainspektionen. Den myndighet som är registeransvarig skall sålunda snarast anmäla registret till inspektionen för att inspektionen skall kunna meddela erforderliga föreskrifter enligt 5 och 6 åå datalagen. Totalt har t. o. m. är 1980 ca 550 sådana anmälningar diarieförts hos inspektionen.

Härutöver har t. o. m. är 1980 ca 3 000 ansökningar om ändring eller utvidgning av personregister diarieförts hos datainspektionen. Dessutom förekommer vissa andra tillståndsärenden, t. ex. ärenden om anslutningar av terminaler till personregister eller om utlandsbearbetningar för vilka medgivande krävs enligt 11 & datalagen. Totalt har t. o. m. är 1980 ca 250 sådana ärenden prövats av inspektionen.

Upphör den registeransvarige att föra personregister, skall detta enligt 12?” datalagen anmälas till datainspektionen. Inspektionen föreskriver då hur det skall förfaras med registret. Totalt har t. o. m. är 1980 ca 2 000 anmälningar om upphörande diarieförts hos datainspektionen.

Bestämmelser om inspektionens tillsynsverksamhet finns i 15—18 åå datalagen. I 15 & föreskrivs att inspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i personlig integritet. Inspektionen har rätt att tillgripa vissa tvångsåtgärder för sin tillsyn liksom att ändra eller komplettera ett tidigare fattat beslut med nya föreskrifter. Den kan också i sista hand återkalla ett meddelat tillstånd.

Tillsynsverksamheten omfattar i praktiken dels utredningar med anled- ning av klagomål från allmänheten, dels inspektioner och andra åtgärder på datainspektionens eget initiativ. Förutom klagoärenden. som kräver särskild utredning. förekommer en omfattande brevväxling med allmänheten i olika frågor som rör ADB och integritetsskyddet.

Kommittéförslaget

DALK har som utgångspunkt för sina överväganden och förslag med anledning av rationaliseringsuppdraget i nära samråd med datainspektionen inhämtat faktiska uppgifter om inspektionens tillämpning av datalagens tillstånds- och tillsynsregler. När det gäller redovisningen av detta material

• Sida 17
•  Original

Prop. l981/82:189 17

får jag i första hand hänvisa till promemorian, avsnitt 5 . DALK har också undersökt datalagens effekter för de registrerade och de registeransvariga. Också när det gäller det närmare utfallet av dessa undersökningar får jag hänvisa till promemorian. avsnitt 6 .

DALK:s sammanfattande bedömning av dessa undersökningar är att effekten av datalagen för de registrerade i huvudsak har blivit den man strävade efter då lagen infördes. Beträffande de registeransvariga konstate- rar DALK att datalagen sannolikt har medfört en helt annan medvetenhet än tidigare rörande riskerna för otillbörligt intrång i den personliga integriteten. Enligt DALK har datalagens effekter i stort sett varit godtagbara också för de registeransvariga.

När det däremot gäller datainspektionens verksamhet konstaterar DALK att utvecklingen har blivit en annan än man räknade med vid lagens tillkomst. Det har visat sig att antalet tillståndsärenden har blivit betydligt större än man då trodde och att inspektionens verksamhet har måst koncentreras på tillståndsverksamheten på bekostnad av tillsynsverksamheten.

DALK antar att antalet ärenden sannolikt kommer att öka också de närmaste åren och menar att det nuvarande tillståndskravet innebär att betydande arbete måste läggas ned på personregister som är relativt ofarliga från integritetsskyddssynpunkt. Enligt DALK är detta orsaken till att tillsynsverksamheten inte har kunnat bedrivas i den omfattning som avsetts.

DALK anser att det är angeläget att datainspektionens verksamhet förskjuts i riktning mot ökad tillsynsverksamhet. Det är också önskvärt att man förenklar förfarandet för de registeransvariga. Med hänvisning till framför allt dessa skäl anser DALK att man snarast bör vidta åtgärder för att rationalisera inspektionens verksamhet.

DALK diskuterar först tre olika uppslag för att komma till rätta med problemen i inspektionens verksamhet utan att ändra det grundläggande regelsystemet. Uppslagen är följande:

a) nollalternativet, som innebär att datainspektionen med oförändrade personalresurser gör den ytterligare rationalisering av tillståndsförfa- randet som är möjlig utan lagändringar,

b) ett alternativ som innebär betydande personalökningar hos datainspek- tionen,

c) ett alternativ som innebär att man med oförändrade personalresurser behåller tillståndskravet som huvudregel men i lag anger nya grupper av personregister som undantas från tillståndskravet och i stället görs till föremål för någon form av anmälningsskyldighet.

Enligt DALK medför alternativen a och c betydande negativa effekter för datainspektionen, de registeransvariga och de registrerade. Båda alternati- ven innebär att endast begränsade resurser kan föras över från tillstånds- verksamhet till tillsynsverksamhet och att tillståndsprövningen av känsliga

• Sida 18
•  Original

Prop. 1981/82:189 18

register förblir otillräcklig. Ansökningsförfarandet blir i stort sett oförändrat och handläggningstiderna kan väntas bli oacceptabelt länga. Alternativ c innebär dessutom att datalagen skulle behöva belastas med omfattande undantagsbestämmelser och därmed bli svårare att tolka och överblicka.

Alternativ b kan enligt DALK i och för sig antas leda till en rimlig avvägning mellan tillstånds- och tillsynsverksamheten men det innebär betydande kostnadsökningar och medför samtidigt att man behåller en tillståndsverksamhet som är stelbent och orationell. Dessutom innebär detta alternativ att datalagens ekonomiska och administrativa konsekvenser inte alls kan begränsas.

Sammanfattningsvis anser DALK att inget av de tre Skisserade uppslagen är godtagbart. I stället förordar DALK ett fjärde förslag som bygger på att tillståndsplikten begränsas till särskilt integritetsfarliga register och att det för övriga register skall räcka med en_anmälan från den registeransvarige om att denne för personregister. Dessutom föreslås vissa allmänna regler om hur personregister skall föras m. m.

Förslaget innefattar sammanfattningsvis följande lagstiftningsåtgärder:

1. Ett registrerings- och licensförfarande införs för alla registeransvariga med undantag för enskilda som inrättar personregister uteslutande för personligt bruk.

2. Tillståndskravet behålls för personregister som innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet.

3. De registeransvariga åläggs med det undantag som anges under 1 dels att i kontakterna med de registrerade visa att man har licens att föra personregister genom att ange licensnumret, dels att ge in en förteckning över registren till datainspektionen.

4. De registeransvarigas nuvarande skyldigheter enligt datalagen kom- pletteras med vissa allmänna bestämmelser om utformningen av personregister.

Som jag förut har nämnt har en minoritet inom DALK reserverat sig mot majoritetens förslag till åtgärder. Minoriteten erinrar bl. a. om att datalagen ändrades år 1979 och att den enligt DALK:s dåvarande uppfattning därefter ansågs kunna ge ett ändamålsenligt integritetsskydd till dess den kunde ersättas med en mer generell personregisterlag. Inspektionens förslag om åtgärder på kort sikt bör ses mot bakgrund av att inspektionen inte har fått gehör för sina framställningar om resursförstärkningar. Det finns inte skäl att nu vidta några stora och principiellt viktiga ändringar i datalagen. Det bör räcka att inspektionen rationaliserar sin verksamhet enligt nollalternativet. Minoriteten föreslår att datainspektionen ges de resurser som behövs för att inspektionen utan lagändringar skall kunna fullgöra sina uppgifter i avvaktan på en generell personregisterlag.

• Sida 19
•  Original

Prop. l981/82:189 19

Remissutfallet

En stor grupp remissinstanser ansluter sig helt elleri huvudsak till DALK:s förslag till åtgärder för att rationalisera datainspektionens verksamhet. Till denna grupp hör bl. a. JK. riksåklagaren. datainspektionen (styrelsens majoritet). samarbetsorganet för rättsväsendets informationssystem. riks- skatteverket. två länsstyrelser. JO. Svenska kommunförbundet. Landstings- förbundet. SAF. Sveriges industriförbund. Kooperativa förbundet och Lantbrukarnas riksförbund. Dessa remissinstanser betonar behovet av omedelbara åtgärder för att flytta över datainspektionens resurser till prövning av mer känsliga register och tillsynsverksamhet. Från flera håll betonas att förslaget kommer att medföra en förstärkning av integritetsskyd- det utan att betydande resurser behöver tillföras datainspektionen. Några menar också att förslaget kommer att innebära värdefulla förenklingar för de registeransvariga.

Det framhålls också som väsentligt att datainspektionen själv anser att de föreslagna åtgärderna är nödvändiga. Vissa remissinstanser menar att det föreslagna anmälningssystemet endast från formell synpunkt kan ses som en nyhet. eftersom det 5. k. förenklade förfarandet redan i dag snarast innebär ett anmälningsförfarande.

En något mindre grupp remissinstanser avstyrker eller ställer sig tveksam- ma till förslaget. Bland dessa remissinstanser kan nämnas hovrätten för Västra Sverige. kammarrätten i Sundsvall, en minoritet inom datainspektio- n'ens styrelse. riksrevisionsverket. LO. TCO och Sveriges advokatsamfund. Flera av dessa remissinstanser ansluter sig till de skäl mot DALK:s förslag som reservanterna i kommittén har fört fram, nämligen att man bör avvakta resultatet av DALK:s arbete på en generell personregisterlag' och att man bör beakta behovet av stabilitet i lagstiftningen. Några ifrågasätter om DALK:s förslag är ägnat att lösa problemen för datainspektionen och om det inte kommer att medföra en försämring av integritetsskyddet. Man pekar också på att genomförandet av det nya regelsystemet kommer att kräva stora resurser och ställa stora krav på både datainspektionen och de registeran— svariga. Några remissinstanser anser att datainspektionen i stället bör ges de resurser som krävs. Man pekar i detta sammanhang på att riksdagen har bemyndigat regeringen att totalfinansiera verksamheten vid datainspektio— nen genom avgifter från de registeransvariga.

Det finns också remissinstanser som förordar något av de övriga alternativ som DALK har diskuterat eller kombinationer av dessa.

Överväganden

Som jag förut har sagt har datalagen på det hela taget väl fyllt sin uppgift att ge skydd mot otillbörligt intrångi den personliga integriteten i samband med automatisk databehandling av personuppgifter. För datainspektionen har

• Sida 20
•  Original

Prop. 1981/82:189 20

det emellertid uppkommit kännbara olägenheter genom att inspektionen har måst satsa huvuddelen av sina resurser på tillståndsverksamheten och inte har kunnat ägna tillräcklig uppmärksamhet åt tillsynsfrågorna.

Den främsta orsaken till denna utveckling är att antalet tillståndsärenden vida har överstigit det antal som man räknade med vid lagens tillkomst och som låg till grund för dimensioneringen av datainspektionen. Detta förhållande har tidigare uppmärksammats av statsmakterna. och åtgärder har vidtagits för att man skall komma till rätta med problemen. Inspektionen har under årens lopp tilldelats betydande resurser utöver dem som en gång beräknades gå åt för att klara ärendemängden. Bl. a. har antalet anställda vid inspektionen ökat betydligt. Vidare har inspektionen själv vidtagit åtgärder för att underlätta arbetet. Allt fler ärenden har kommit att handläggas enligt det 5. k. förenklade förfarandet, samtidigt som den formella handläggning- en, beslutsskrivning o. d. har rationaliserats. Därtill kommer att vissa typer av register genom en lagändring år 1979 helt har undantagits från tillståndsprövningen.

De åtgärder som har vidtagits har emellertid inte varit tillräckliga. Datainspektionen har fortfarande otillräckliga möjligheter att ägna sig åt tillsynsverksamheten. Någon tendens till minskning av antalet tillstånds- ärenden har inte kunnat konstateras. Snarare talar vissa omständigheter för att ärendemängden kommer att fortsätta att öka.

Som jag tidigare har sagt anser jag att det är viktigt att man så snart som möjligt vidtar åtgärder för att komma till rätta med problemen hos inspektionen. DALK har diskuterat fyra olika alternativ för att förbättra situationen. Tre av dem innebär inga eller begränsade ändringar i datalagen , medan det fjärde går ut på att man ändrar de grundläggande bestämmelserna om tillståndsförfarandet.

Vad först gäller det s.k. nollalternativet, ytterligare rationalisering av tillståndsförfarandet. kan jag ansluta mig till DALK:s uppfattning att detta endast skulle medföra begränsade förbättringar i fråga om datainspektionens arbetssituation. Av det material som har presenterats av DALK framgår att inspektionen redan har rationaliserat verksamheten i betydande grad främst genom det s.k. förenklade förfarandet men också genom standardiserad beslutsskrivning, fasta handläggningsrutiner m. m. Förfarandet kan inte förenklas och schabloniseras mer än till en viss gräns. Datalagen förutsätter fortfarande att datainspektionen skall underkasta flertalet personregister en materiell prövning. Liksom DALK ser jag därför inga möjligheter att nå ett tillfredsställande resultat med denna metod.

Också när det gäller alternativ c. ytterligare undantag från tillståndsplikten genom ändringar i datalagen . är jag ense med DALK. Det är svårt att nå några väsentliga förbättringar med denna metod. Vill man uppnå en större minskning av antalet tillståndsärenden hos inspektionen, krävs det omfat- tande undäntag från tillståndsplikten. Som DALK påpekar torde detta förutsätta en reglering som blir svåröverskådlig och tekniskt komplicerad.

• Sida 21
•  Original

Prop. 1981/82:189 21

Ifråga om alternativ b. som innebär att inspektionen tillförs ökade resurser men att lagstiftningen behålls oförändrad. vill jag framhålla att det statsfinansiella lägetinte medger att inspektionen tillförs ökade resurser över statsbudgeten. Jag anser det inte heller lämpligt att ytterligare belasta de registeransvariga med ökade avgifter till bestridande av kostnaderna för datainspektionens verksamhet. Jag erinrar om att riksdagen tidigare har bemyndigat regeringen att ta ut avgifter för handläggningen vid datainspek- tionen så att full kostnadstäckning nås. Av avgörande betydelse är emellertid- att personalökningar inte undanröjer de grundläggande problemen med den nuvarande tillståndsprövningen. som av DALK och även av datainspektio- nen har bedömts som stelbent och delvis ineffektiv. Liksom DALK anser jag alltså att inte heller alternativ b är någon framkomlig väg.

Vad jag nu har sagt leder fram till att jag ansluter mig till DALK:s uppfattning att mer genomgripande förändringar i regelsystemet måste vidtas. om man vill komma till rätta med problemen.

Jag delar emellertid också uppfattningen att alltför täta ändringar av regelsystemet bör undvikas. Stabiliteten i rättsreglerna har stor betydelse såväl för de registeransvariga som för de myndigheter. i detta fall främst datainspektionen. som skall tillämpa reglerna. Man bör också beakta att nya bestämmelser kräver nya administrativa rutiner o. d.. som till en början kan medföra olägenheter för dem som är berörda. Det är därför väsentligt att de lagändringar som föreslås nu utformas på ett sådant sätt att man kan räkna med att de passar i det system som man kan skönja i en ev. framtida generell personregisterlag. '

I detta avseende vill jag erinra om vad jag har anfört i tilläggsdirektiven till DALK i fråga om en generell personregisterlag (1981 års kommittéberättel- se, Del II, 5. 16). Jag uttalade där att man kunde tänka sig olika kontrollnivåer för olika register beroende på vilka risker för integritetsin- trång som föreligger. Jag bedömde det som sannolikt att man finner att det för vissa register fortfarande bör krävas tillstånd på förhand. dvs. innan registret inrättas. Det bör troligen gälla t. ex. register som skall innehålla känsliga uppgifter. Det är möjligt att också det tilltänkta registrets omfattning eller tekniska utförande kan vara skäl till förhandsgranskning. Kontrollnivån närmast därunder skulle kunna bestå i skyldighet att anmäla förekomsten av vissa typer av register för tillsynsmyndighete'n. Ytterligare en nivå kan utgöras av register som är underkastade vissa allmänna krav i lagstiftningen och som också får bli föremål för tillsyn och kontroll. även om något krav på förhandsgranskning eller anmälan inte ställs upp.

I likhet med DALK anser jag att de lagändringar som nu bör vidtas för att lösa de tidigare nämnda problemen bör ansluta till den modell för integritetsskyddets utformning i framtiden som skisserats i DALK:s tilläggs- direktiv. Härigenom bör man kunna räkna med att det finns goda förutsättningar för att bestämmelserna åtminstone i stora drag blir bestående även inom ramen för en generell personregisterlag.

• Sida 22
•  Original

Prop. 1981/82:189

lx.) lx)

På grund av det anförda tillstyrker jag att bestämmelserna om tillstånds- förfarandet ändras enligt de riktlinjer som DALK har föreslagit. Sådana personregister som är särskilt integritetskänsliga bör sålunda fortfarande falla under tillståndsplikten. men för övriga bör det vara till fyllest med en anmälningsskyldighet. Med detta system kan datainspektionen koncentrera tillståndsverksamheten till de särskilt känsliga registren. Samtidigt bör en väsentlig del av inspektionens resurser kunna frigöras och föras över på tillsynsverksamheten.

Sammanfattningsvis anser jag alltså att den lösning som DALK har valt bör ligga till grund för en reform av datalagen .

2.2.2. Utformningen av licenssystemet m. m. DALK:s förslag

Som jag förut har nämnt föreslår DALK att begränsningen av tillstånds- plikten kombineras med en anmälningsskyldighet för alla som vill inrätta och föra personregister. Systemet innebär att en registeransvarig skall vara skyldig att ansöka om licens hos datainspektionen innan han första gången inrättar ett personregister. En sådan licens berättigar den registeransvarige att föra ett eller flera personregister som inte omfattas av tillståndsplikt. En ansökan om licens skall vara av enkel beskaffenhet och skall inte bli föremål för någon materiell prövning hos inspektionen. Huvudpunkterna i licenssys- temet skall enligt DALK:s förslag tas in i 2 % datalagen.'som därmed får ett helt nytt innehåll. Inspektionen skall samtidigt som anmälan registreras tilldela den register- ansvarige ett licensnummer. Detta nummer skall enligt förslaget alltid anges på meddelanden. registerbesked och andra s. k. utdata som sänds till en registrerad. Därigenom kommer enligt kommittén kontakterna mellan de registrerade. de registeransvariga och datainspektionen att underlättas. De registrerade kan på det sättet kontrollera att avsändaren av sådana handlingar har licens och står under inspektionens tillsyn.

DALK föreslår vidare att alla registeransvariga skall vara skyldiga att till datainspektionen ge in en förteckning över de personregister som de för och som inte kräver särskilt tillstånd. Syftet med en sådan förteckningsskyldighet är framför allt att skapa förutsättningar för att man även i fortsättningen skall ha överblick över personregistreringens omfattning. Dessutom gör förteck- ningsskyldigheten det möjligt att följa utvecklingen inför överväganden om en generell personregisterlagstiftning. Den underlättar också planeringen av inspektionens tillsyn och handläggningen av förfrågningar och klagomål från allmänheten. En sådan förteckning skall enligt förslaget innehålla uppgift om

a) benämningen på förekommande personregister. b) ändamålet med registren.

• Sida 23
•  Original

Prop. l981/82zl89 23

c) bearbetningsställe, d) datainspektionens licensnummer för den registeransvarige.

Förteckningen behöver inte innehålla uppgift om sådana personregister som kräver särskilt tillstånd. eftersom dessa ändå kommer till datainspek- tionens kännedom. Inte heller behöver förteckningen omfatta sådana personregister för vilka tillstånd har meddelats enligt hittills gällande regler. Enligt förslaget skall de registeransvariga vara skyldiga att en gång om året ge in en ny förteckning till datainspektionen. om de tidigare uppgifterna har ändrats.

DALK har också övervägt i vad mån man bör göra undantag från anmälningsskyldigheten. DALK erinrar om att vissa register med stöd av 2 & tredje stycket datalagen nu undantas från tillståndsplikten. Det gäller bl. a. register som används för privat bruk under vissa närmare angivna förutsätt- ningar. Register som omfattas av undantagsregeln ärinte föremål för någon form av registrering hos datainspektionen. Enligt DA LK behövs ett liknande undantag även med det nya licenssystemet om inte detta skall medföra en omotiverad skärpning.

Vid sina överväganden rörande avgränsningen av ett sådant undantag hänvisar DALK till vissa uttalanden i tilläggsdirektiven för den generella personregisterlagstiftningen. Där uttalas bl. a. att det inte kan komma i fråga att reglera alla de former av användning av personuppgifter som normalt förekommer i det dagliga umgänget mellan människor. t. ex. i privata anteckningar. adress- eller telefonnummerförteckningar. brev m. m. På detta område får brottsbalkens allmänna regler om skydd för den personliga integriteten alltjämt anses vara till fyllest. En lämplig avgränsning av det område som skall falla under den nya generella personregisterlagstiftningen kan troligen uppnås. om man skiljer mellan användning av personuppgifter för personligt bruk'och annan användning. Användningen av personuppgif- ter för personligt bruk i en omfattning som får betecknas som normal med hänsyn till användarens förhållanden bör alltså inte omfattas av en ev. framtida personregisterlag.

Mot bakgrund bl. a. av dessa uttalanden i direktiven föreslår DALK att enskilda som för personregister uteslutande för personligt bruk helt skall undantas från anmälningsskyldigheten liksom från förteckningsskyldighe- ten. Även sådana registeransvariga skall dock liksom hittills vara underkas- tade datalagens övriga regler om de registeransvarigas skyldigheter och om datainspektionens tillsyn m. m.

Några undantag föreslås däremot inte för andra register som nu omfattas av undantagsregeln i 2å tredje stycket datalagen . DALK konstaterar att detta innebär en skärpning beträffande vissa kundregister och patientregister som nu är undantagna från tillståndsplikt med stöd av det angivna lagrummet. DALK anser emellertid detta motiverat med hänsyn till att all personregistrering som sker som ett led i yrkesmässig verksamhet bör vara

• Sida 24
•  Original

Prop. 1981/82zl89 24

föremål för överblick och offentlighet. Vad gäller de närmare praktiska konsekvenserna för de registeransvariga erinrar DALK om att undantags— regeln huvudsakligen är tillämplig på sådan enklare datateknisk utrustning som i första hand används för annat än personregistrering. t. ex. skrivaut- omater och kontorsdatorer. I den utsträckning sådan utrustning används för att föra personregister i datalagens mening torde den registeransvarige också ha andra register som förutsätter licens. De praktiska konsekvenserna av en licensplikt i de angivna fallen kan därför antas bli förhållandevis begrän- sade.

Remissutfallet

Som jag förut har nämnt tillstyrker en stor grupp remissinstanser DALK:s förslag till åtgärder på kort sikt. Ett mindre antal remissinstanser uttalar särskilt sitt stöd för det föreslagna licenssystemet. Dessa instanser ansluter sig också till DALK:s uppfattning att ett sådant system utgör en förutsättning för att man skall kunna behålla överblick och kontroll över personregistre- ringen. Flera remissinstanser ställer sig dock tveksamma till den föreslagna ordningen eller avstyrker att ett licenssystem införs enligt DALK:s förslag. De framhåller att systemet är resurskrävande både för datainspektionen och för de registeransvariga utan att detta motsvaras av några egentliga vinster ur integritetsskyddssynpunkt.

Remissopinionen är i huvudsak negativ beträffande förslaget om skyldig- het att ge in förteckningar över register till datainspektionen. Denna skyldighet bedöms av de flesta remissinstanserna medföra kostnader som inte motsvaras av några vinster från integritetsskyddssynpunkt. Man menar också att den rationalisering av datainspektionens verksamhet som åsyftas med reformen i viss mån går förlorad. om den delen av förslaget genomförs. Till de kritiska remissinstanserna hör datainspektionen som menar att ingivandet av förteckningar inte fyller någon uppgift som utgångspunkt för inspektionens tillsynsverksamhet. Hanteringen av förteckningarna skulle belasta inspektionens resurser och ge upphov till onödiga kostnader. Inspektionen föreslår att förteckningsskyldigheten begränsas till en skyldig- het för de registeransvariga att upprätta förteckningar och att hålla dem tillgängliga på inspektionens begäran. På det sättet kan enligt inspektionens mening den erforderliga överblicken över personregistreringcn bibehållas utan resurskrävande administrativa åtgärder.

Även när det gäller skyldigheten att ange licensnummer på utdata- produkter är de flesta remissinstanserna negativa till kommitténs förslag. Flera remissinstanser hävdar att förslaget kräver omfattande system- och programändringar utan att åtgärderna egentligen är motiverade från integritetsskyddssynpunkt. Några anser att DALK närmare borde ha undersökt de ekonomiska konsekvenserna för de registeransvariga. Ett flertal remissinstanser påpekar att förslaget medför negativa konsekvenser

• Sida 25
•  Original

Prop. ]981/82:189

r.: 'JI

när det gäller utdataprodukter som framställs i stor omfattning ur register som är relativt ofarliga från integritetsskyddssynpunkt. t. ex. folkbokförings- uppgifter. röstkort. fakturor och räkningar. Flera myndigheter anser att deti varje fall bör föreskrivas undantag för vissa typer av handlingar eller att regeln bör modifieras på något annat sätt. SCB menar t. ex. att det bör vara tillräckligt att licensnumret framgår av varje försändelse till den registrerade och inte. som förslaget är utformat. på varje handling. RSV anser att det är mer ändamålsenligt att föreskriva att det i klartext skall framgå från vem en utdataprodukt kommer.

Överväganden

I likhet med kommittén och ett flertal remissinstanser anser jag att det föreslagna tillståndssystemet bör kombineras med ett anmälningssystem som i första hand tar sikte på de register som faller utanför tillståndsplikten. Från allmän synpunkt är det angeläget att datainspektionen även i fortsättningen kan få den överblick över användningen av personregister som en anmälningsskyldighet för de registeransvariga ger. En sådan ordning utgör också en viktig grund för datainspektionens tillsynsverksamhet.

Man kan överväga olika metoder när det gäller den närmare utformningen av ett licenssystem. En metod som DALK inte närmare har diskuterat är en anmälningsplikt som är kopplad till resp. register. En sådan ordning har också skisserats i direktiven för en generell personregisterlagstiftning. Det är emellertid tydligt att ett sådant förfarande medför en relativt omfattande administration hos datainspektionen som motverkar de rationaliseringsvins- ter som är ett av syftena med den föreslagna reformen. Jag anser därför att det alternativet inte bör väljas.

Enligt min mening utgör den ordning som DALK har föreslagit en lämpligare lösning. Jag förordar följaktligen att det i datalagen föreskrivs att en förutsättning för att någon över huvud taget skall få föra personregister skall vara att den som enligt lagen blir registeransvarig har anmält sig hos datainspektionen och att denna har utfärdat en licens. Licensen berättigar därefter den registeransvarige att föra ett eller flera icke tillståndspliktiga register. Inspektionen bör inte göra någon materiell prövning av anmälning- en utan endast registrera de uppgifter som lämnas av den registeransvari- ge.

Som jag nyss har nämnt är det viktigt att man har kvar en möjlighet att skaffa sig överblick över användningen av personregister i landet. Ett medel att underlätta detta är att införa en förteckningsskyldighet av det slag som kommittén har föreslagit. Jag tillstyrker för min del förslaget att de registeransvariga skall vara skyldiga att föra en förteckning över sina register och hålla förteckningen aktuell.

Däremot kan jag inte ansluta mig till förslaget att det skall införas en skyldighet att ge in förteckningarna till datainspektionen. En bestämmelse

• Sida 26
•  Original

Prop. l981/82:189 26

med detta innehåll skulle — enligt vad inspektionen själv har framhållit — medföra en omfattande administration hos denna för att hantera den ingivna dokumentationen utan att detta skulle vara till någon nämnvärd nytta för inspektionens omedelbara verksamhet eller för att tillgodose integritetsin- tressena i övrigt.

Jag föreslår sålunda att det införs bestämmelser om att det hos den registeransvarige Skall finnas en aktuell förteckning över de personregister som han är ansvarig för och att förteckningen skall hållas tillgänglig för datainspektionen och på begäran ges in till denna. På detta sätt tillgodoses kraven på överblickbarhet och kontroll utan att inspektionen och de registeransvariga belastas i onödan.

Jag vill emellertid betona att detta ståndpunktstagande inte innebär att jag helt avvisar tanken på att föreskriva en skyldighet för de registeransvariga att rutinmässigt sända in förteckningar till datainspektionen. Skulle det visa sig att den av mig förordade lösningen leder till olägenheter. är jag självfallet beredd att ompröva min ståndpunkt. .

Förteckningen bör enligt vad DALK föreslagit endast uppta vissa basfakta om registren såsom uppgift om registrets benämning och ändamål. uppgift om lokalen där den automatiska databehandlingen huvudsakligen utförs samt uppgift om numret på den registeransvariges licens hos datainspektio- nen. Jag återkommer längre fram med ett förslag som innebär att det inte längre skall fordras datainspektionens medgivande för att lämna ut uppgifter till ett land som har bundit sig vid den Europeiska dataskyddskonventionen. Enligt min mening är det emellertid viktigt att man fortsättningsvis behåller kunskapen om i vad mån personuppgifter lämnas ut för automatisk databehandling i utlandet. Med hänsyn härtill förordar jag att också uppgift i detta hänseende skall tas upp i förteckningen. Det ankommer på regeringen att meddela närmare föreskrifter om hur förteckningsskyldigheten skall fullgöras.

Till skillnad från DALK anser jag att dokumentationsskyldigheten bör omfatta såväl register som är underkastade tillståndsplikt som övriga register. Enligt min mening är det önskvärt att förteckningarna innehåller uppgifter om samtliga de register som den registeransvarige för. Detta är särskilt motiverat om förteckningarna inte skall ges in till inspektionen. och det torde inte innebära något större besvär för de registeransvariga.

När det gäller förslaget om skyldighet att ange licensnummer på utdataprodukter har jag förståelse för den kritik som har framförts under remissbehandlingen av ett flertal remissinstanser. En sådan skyldighet skulle i många fall inte fylla någon meningsfull uppgift utan snarast te sig som en onödig byråkratisk belastning. Dessutom skulle den i varje fall på kort sikt medföra kostnader för många registeransvariga. Jag vill också peka på att någon motsvarande bestämmelse inte har funnits tidigare och att detta sävitt känt inte har inneburit några olägenheter.

• Sida 27
•  Original

Prop. l981/82:189 27

En skyldighet att ange licensnummer förefaller onödig också av den anledningen att den registeransvariges namn och adress i de flesta fall framgår av de handlingar som sänds till den registrerade. Därigenom uppnås i stor utsträckning det syfte som ligger bakom DALK:s förslag om licensnummer. Enligt min mening måste det från den registrerades synpunkt vara bättre att avsändarens nanm anges i klartext på handlingarna än att de innehåller uppgift om ett licensnummer hos datainspektionen. Jag föreslår därför att en bestämmelse om skyldighet för den registeransvarige att lämna upplysning om avsändare till den registrerade tas in i datalagen i stället för den regel som DALK har föreslagit. Man kan räkna med att flertalet registeransvariga redan nu uppfyller detta krav. varför endast mycket begränsade kostnader torde åsamkas de registeransvariga med anledning av bestämmelsen.

Man kan emellertid inte utesluta att det i vissa fall kan vara lämpligare att den registeransvarige på sina utdataproduker anger licensnumret hos datainspektionen i stället för nanm och adress. Jag anser därför att den registeransvarige bör ha möjlighet att i stället för uppgift om vem som är avsändare ange sitt licensnummer.

I detta sammanhang vill jag ta upp en annan fråga som jag anser mera angelägen än den huruvida licensnummer skall anges på utdataprodukter. Enligt min erfarenhet är det ett ständigt återkommande klagomål från enskilda som anser sig ha blivit utsatta för ”fel i datorn" att de har svårt att kommai kontakt med rätt person hos den myndighet eller det företag som för ADB-registret. Det borde därför vara av stort värde. om det på utdatapro- dukter av olika slag anges telefonnumret till den enhet eller den tjänsteman som handlägger frågan eller som annars kan lämna upplysningar i saken. Jag är inte främmande för att man på sikt bör införa en skyldighet för de registeransvariga att på detta sätt lämna uppgift om telefonnummer till den berörda handläggaren. I avsaknad av uppgifter om konsekvenserna för de registeransvariga av ett sådant förslag — remissbehandling torde vara erforderlig — anser jag mig emellertid inte ha tillräcklig grund för att nu föreslå regler om en sådan skyldighet. Man kan emellertid utgå ifrån att DALK uppmärksammar denna fråga inom ramen för sina direktiv.

Jag ansluter mig till DALK:s förslag att register som förs uteslutande av enskilda för personligt bruk bör undantas från anmälningsskyldigheten liksom från tillståndsplikten. i enlighet med de överväganden som har redovisats i direktiven om den generella personregisterlagstiftningen. Inte minst av praktiska skäl är det olämpligt att föreskriva licensskyldighct för sådana register. De torde knappast medföra några större integritetsrisker. Om integritetskränkningar i något fall skulle uppkomma. bör man kunna komma till rätta med dem med stöd av datalagens regler i övrigt. Jag tillstyrker alltså förslaget att datainspektionen också fortsättningsvis skall ha tillsyn även över dessa register och vid behov kunna ingripa med föreskrifter o. d.

• Sida 28
•  Original

Prop. l981/82: l89 28

2.2.3 Det nya tillståndskrm'et DALK:s förslag

Jag har tidigare redovisat de allmänna principerna för en reform av datalagen . En väsentlig beståndsdel i det nya system som DALK har förordat är att endast de register som på olika grunder kan anses som särskilt känsliga ur integritetsskyddssynpunkt bör bli föremål för tillståndsprövning av datainspektionen. Jag har förklarat att jag i princip ansluter mig till denna lösning. Detta förutsätter emellertid att man i datalagen på ett ändamålsen- ligt sätt kan avgränsa de register som fortfarande bör prövas. Om denna gräns dras för snävt. uppkommer otvivelaktigt risker för intrång i den personliga integriteten. Om å andra sidan området för tillståndsprövning blir för omfattande. kommer de effektivitetsvinster som är ett viktigt syfte med reformen att gå förlorade. Detta kan också medföra att integritetsskyddet i praktiken försvagas. .

Vid sin bedömning av vilka personregister som i fortsättningen bör vara underkastade krav på tillstånd har DALK utgått från de nuvarande tillståndsbestämmelserna i datalagen. framför allt bestämmelserna i 3. 3 a. 4 och ess. där det anges vilka faktorer som är av särskild betydelse vid prövningen av om det föreligger risk för integritetsintrång. Enligt DALK är följande faktorer av särskild betydelse.

En viktig faktor är arten av information. Det kan av den enskilde uppfattas som ett påtagligt intrång att uppgifter registreras om sådant som begångna brott eller misstankar om brott. ådömda påföljder eller tvångsåtgärder inom nykterhetsvärdens. barnavårdens eller den psykiatriska vårdens ram. Detsamma gäller ofta uppgifter om genomgångna sjukdomar. mottagen socialhjälp och liknande. Det är här fråga om fakta eller misstankar som det är ofrånkomligt att framför allt vissa myndigheter måste registrera för att kunna fylla sina uppgifter men som från den enskildes synpunkt uppfattas som så ömtåliga att särskilda åtgärder är påkallade för att informationen inte skall spridas i vidare kretsar. Andra exempel på ömtåliga uppgifter är uppgifter om åsikter i politiska och religiösa frågor samt värderingar i form av betyg 0. d. Det är här. enligt DALK:s mening. fråga om uppgifter som nu omfattas av bestämmelserna i 45 och () å andra stycket datalagen .

DALK framhåller att också andra uppgifter än de nu nämnda kan vara ömtåliga. t. ex. uppgifter om medlemskap i en viss grupp eller om en persons ekonomiska ställning. Registrering av sådana uppgifter kan dock. anser kommittén, vara godtagbar. om den utgör ett naturligt led inom ramen för en normal kontakt mellan den registeransvarige och den registrerade. t. ex. i ett kundförhållande.

DALK påpekar vidare att det ofta kan uppfattas som otillbörligt att uppgifter används i ett helt annat sammanhang än som varit avsikten från början. Uppgifter som har samlats in för ett visst bestämt ändamål bör enligt DALK i princip inte få utnyttjas för andra syften.

• Sida 29
•  Original

Prop. l981/82:189 29

Enligt kommittén är det också av särskild betydelse hur stor mängd information som samlas på ett ställe. Varje enskild person bör med fog kunna kräva att ingen myndighet eller annan har en fullständig kunskap om honom. Detta kan också uttryckas på det sättet att personregister inte bör innehålla uppgifter om andra personer än sådana som har en naturlig anknytning till den registeransvarige i egenskap av medlemmar. anställda. kunde-r e. d. Avgörande för graden av känslighet är alltså även här huruvida uppgifterna registreras som ett ledi ett naturligt förhållande mellan den registeransvarige och den registrerade eller inte. dvs. i vad mån den registrerade har rimliga möjligheter att förutse registreringen. Om den registeransvarige avser att registrera fler personer eller fler uppgifter om varje person än som behövs för registerändamålet. måste det enligt DALK anses innebära risk för otillbör- ligt intrång i personlig integritet.

En annan faktor som bör beaktas är den enskildes uttalade eller förmodade inställning till en registrering. Man kan av olika skäl inte ställa upp krav på medgivande från den enskildes sida i varje särskilt fall. Man får utgå från att den enskilde är beredd att godta t. ex. sådan registrering som sker i enlighet med beslut av regeringen eller riksdagen. Detsamma gäller annan registrering som sker med stöd av lag eller annan författning eller som utgör en naturlig del av den enskildes mellanhavanden med den registeran- svarige. t. ex. i ett kundförhållande. ett hyresförhållande eller ett medlems- förhållande, dvs. i sådana fall där registreringen är förutsebar och överblickbar för den enskilde.

Med utgångspunkt från de angivna faktorerna föreslår DALK att tillståndsplikten skall omfatta register som innehåller uppgifter av följande slag:

1. uppgifter som anges i 4 ? datalagen. dvs. uppgifter om brott. sjukdomar. politisk eller religiös uppfattning m. m..

2. uppgifter som anges i 6 & andra stycket datalagen. dvs. uppgifter som innefattar värdeomdömen c. d. (5. k. mjukdata).

3. uppgifter om någon som saknar sådan naturlig anknytning till den registeransvarige som utmärks av medlemskap. anställning. kundför- hållande eller något därmed jämförligt förhållande.

4. uppgifter som utan stöd i lag. förordning. myndighets beslut som meddelats med stöd av författning eller den registrerades medgivande inhämtas från annan än denne eller som har samlats in för annat än registrets ändamål.

Från det föreslagna tillståndskravet måste enligt DALK göras vissa undantag. För det första behövs undantag för de register som redan nu är befriade från tillståndsplikt enligt 2 & datalagen . I annat fall skulle den nya regleringen kunna leda till en omotiverad skärpning. DALK syftar här på register som inrättas genom beslut av regeringen eller riksdagen. Det gäller också register som förs av enskilda uteslutande för personligt bruk.

• Sida 30
•  Original

Prop. 1981/82:189 30

Härutöver behövs enligt kommittén undantag för register som innehåller uppgifter om någons politiska eller religiösa uppfattning och som en sammanslutning avser att föra beträffande sina egna medlemmar.

DALK föreslår vidare att undantag från tillståndskravet skall göras beträffande sådana statliga och kommunala register. vilka som ett led i en myndighets normala verksamhet innehåller sjukvårds- och hälsouppgifter och uppgifter om social omsorg enligt 4 få. Detsamma gäller patientregister som förs av läkare och tandläkare och som redan nu i viss mån är undantagna från tillståndsplikt med stöd av 2 % tredje stycket datalagen och föreskrifter av datainspektionen (.DIFS 1980:4).

DALK föreslår dessutom att register som har överlämnats till arkivmyn- digheter skall falla utanför tillståndsplikten. Jag återkommer till den frågan i ett senare avsnitt.

DALK konstaterar att vetenskapliga register och direktreklamregister med de föreslagna undantagen kommer att falla under tillståndskravet. Enligt DALK är det främst av lagtekniska skäl inte lämpligt att i datalagen föreskriva undantag för dessa register. DALK förutsätter emellertid att datainspektionen kommer att tillämpa ett förenklat tillståndsförfarande för vissa sådana register.

Remissutfallet

Under remissbehandlingen har endast ett mindre antal remissinstanser framfört synpunkter på frågan om avgränsningen av tillståndsplikten. Dessa remissinstanser är i huvudsak positiva till DALK:s överväganden och förslag i detta avseende. Det förekommer emellertid en del kritik mot den redaktionella utformningen av bestämmelserna.

Även när det gäller de föreslagna undantagen från tillståndsplikten har en del remissinstanser framfört synpunkter på bestämmelsernas närmare utformning. Bl. a. förordar några remissinstanser ett enklare förfarande beträffande register som inrättas genom beslut av regeringen eller riksdagen. Vidare anser ett par remissinstanser, bl. a. JK. att det föreslagna undantaget för registrering av uppgifter om åsikter hos sammanslutningar är alltför vidsträckt. '

Mer omfattande kritik förekommer i detta sammanhang främst från de remissinstanser som företräder forsknings- och statistikintressen. De uppre- par i stor utsträckning den kritik som tidigare har riktats mot att datalagen inte undantar register inom dessa verksamhetsgrenar från tillståndsplikt. De hävdar att lagen utgör ett hinder för den fria forskningen och att något lagfäst skydd för den personliga integriteten inte behövs på detta område eller att det kan utformas på ett annat sätt. Dessa remissinstanser anser att forsknings- och statistikregister bör undantas från kravet på tillstånd.

• Sida 31
•  Original

Prop. 198'l/82zl89 31

Överväganden

Den avgränsning av kravet på tillstånd som DALK har föreslagit har alltså överlag tillstyrkts eller lämnats utan erinran under remissbehandlingen. Även jag kan i allt väsentligt ansluta mig till kommitténs överväganden i denna del. De föreslagna bestämmelserna anknyter till gällande rätt. Såvitt man kan bedöma är bestämmelserna praktiskt tillämpbara och uppfyller de krav man kan ställa från integritetsskyddssynpunkt. Jag tillstyrker alltså i huvudsak den avgränsning av tillståndsplikten som DALK har föreslagit. Jag återkommer i specialmotiveringen till den närmare utformningen av bestämmelserna.

Som jag tidigare har förordat bör ett generellt undantag från tillstånds- plikten och licenssystemet göras för register som förs av enskilda uteslutande för personligt bruk. Också när det gäller de undantag från tillståndsplikten som DALK därutöver har föreslagit kan jag i huvudsak ansluta mig till förslagen. På några punkter finner jag dock skäl att gå ifrån förslagen i promemorian.-

I likhet med kommittén anser jag att register som inrättas genom beslut av riksdag och regering liksom hittills inte skall behöva något tillstånd av datainspektionen. DALK:s förslag innebär emellertid att yttrande från inspektionen alltid skall inhämtas innan beslut fattas om att inrätta ett sådant register. Som några remissinstanser har påpekat kan detta inte vara motiverat för sådana typer av register som i och för sig inte faller under tillståndsplikten. Skyldigheten att inhämta datainspektionens yttrande bör därför enligt min mening begränsas till de register som innehåller så känsliga personuppgifter att de skulle ha varit tillståndspliktiga om de hade inrättats av en myndighet eller en enskild person. I enlighet härmed bör inspektionens kompetens att med stöd av 7 & datalagen meddela föreskrifter inskränkas på motsvarande sätt. Detta kan föranleda vissa ändringar i datakungörelsen. Beträffande den frågan avser jag att återkomma till regeringen i ett annat sammanhang.

När det gäller rätten för sammanslutningar att föra register över sina medlemmar med uppgift om deras politiska uppfattning. religiösa tro eller övertygelse i övrigt delar jag åsikten att förslaget i promemorian såsom det kommit till uttryck i lagtexten går alltför långt och kan medföra oönskade konsekvenser. Rätten att föra sådana register utan tillstånd bör naturligen begränsas till att avse uppgifter som utgör grunden för medlemskapet i sammanslutningen. Om undantagsbestämmelsen begränsas på det sättet. finns det inte anledning att befara integritetsintrång.

Med anledning av vad som under remissbehandlingen har anförts om register som används i forskning och statistikverksamhet vill jag erinra om att hithörande frågor har samband med de frågor som DALK kommer att behandla i sitt arbete på en generell personregisterlagstiftning. DALK:s förslag i den delen bör därför avvaktas innan man tar ställning till hur sådana

• Sida 32
•  Original

Prop. l98l/82zl89 32

register skall behandlas. Som DALK har påpekat bör det emellertid redan nu finnas utrymme för att pröva frågor om tillstånd till sådana register genom ett förenklat förfarande. Jag kan dessutom upplysa att det inom bl. a. Europarådet pågår ett internationellt samarbete med sikte på att utarbeta en rekommendation om integritetsskyddet vid forskning och statistikverksam- het. Detta arbete kan väntas leda till resultat inom en relativt snar framtid. Också detta talar för att man inte nu bör göra några ändringar i fråga om behandlingen av dessa register.

2.2.4. De registeransvarigas skyldigheter DALK:s förslag

Enligt 5 & datalagen skall datainspektionen i samband med att den lämnar tillstånd att inrätta och föra ett personregister också meddela föreskrifter om ändamålet med registret och om vilka personuppgifter som får ingå i detta. Dessutom kan inspektionen med stöd av 6 & meddela ytterligare föreskrifter om hur registret skall föras. När det gäller register som prövas genom 5. k. förenklat förfarande blir datainspektionens föreskrifter i DIFS normgivande för registret.

DALK påpekar att en begränsning av tillståndsplikten till vissa särskilt känsliga register i viss mån medför att den styrning av registrens utformning som nu sker genom tillståndsbesluten kommer att upphöra. Enligt DALK behövs sannolikt en liknande styrning även i fortsättningen. DALK anser därför att man i lagen bör ta in nya generella regler som riktas till de registeransvariga.

Av sådana nya handlingsregler för de registeransvariga bör enligt DALK först och främst framgå att alla registeransvariga är skyldiga att beakta att inrättande och förande av personregister alltid skall ske för ett visst bestämt ändamål under tillbörligt hänsynstagande till de registrerades personliga integritet. .

DALK anser att ytterligare generella normer. riktade till de registeran- svariga behövs. dels för att ge den registeransvarige närmare ledning för bedömningen av vad som skall anses vara tillbörligt hänsynstagande till registrerads personliga integritet. dels för att ytterligare styra den närmare utformningen av personregistren. Sådana kompletterande normer bör innebära att endast sådana personuppgifter får registreras som står i överensstämmelse med ett personregisters ändamål. Dessutom bör anges att personuppgifter får inhämtas. utlämnas eller användas på annat sätt endast om det sker i överensstämmelse med rcgisterändamålet eller i enlighet med lag eller annan författning. myndighets beslut som meddelats med stöd av författning eller efter (len registrerades medgivande.

DALK föreslår att en ny bestämmelse med det angivna innehållet införs i 7 a & datalagen . Bestämmelsen föreslås gälla för alla personregister oavsett

• Sida 33
•  Original

Prop. 1981/82zl89 33

om de omfattas av krav på licens resp. tillstånd eller ej.

DALK anser vidare att datainspektionen bör utöva tillsyn över att den nya bestämmelsen efterlevs. Det bör alltså vara inspektionen som i det enskilda fallet får avgöra om den registeransvarige har brutit mot bestämmelsen. Enligt DALK blir det i princip fråga om samma bedömning som inspektionen redan nu måste göra vid prövningen av tillståndsärenden elleri samband med tillsyn av att den registeransvarige följer ett meddelat tillståndsbeslut. Kommittén föreslår att inspektionen liksom nu med stöd av 18 & datalagen vid behov skall kunna ingripa med särskilda föreskrifter enligt 6 & datalagen eller. i sista hand. förbjuda fortsatt förande av ett register.

Remissutfallet

Remissinstanserna har överlag godtagit den föreslagna bestämmelsen eller lämnat den utan erinran.

Överväganden

För min del anser jag att en bestämmelse av det angivna slaget utgör ett värdefullt komplement till de bestämmelser som kommittén föreslår i övrigt. Särskilt när det gäller register som undantas från tillståndsplikten är det önskvärt att det i datalagen finns en särskild bestämmelse som direkt ålägger de registeransvariga att föra registren på ett sätt som är godtagbart från integritetsskyddssynpunkt. En bestämmelse med den innebörden behövs som ersättning för de föreskrifter som med den nuvarande ordningen meddelas för varje särskilt register. En sådan bestämmelse får dessutom den väsentliga funktionen att den ger datainspektionen ett underlag för att vid behov ingripa enligt tillsynsreglerna även mot register som inte omfattas av tillståndsplikten. Jag delar alltså kommitténs uppfattning att en bestämmelse av det angivna slaget bör införas i datalagen .

När det gäller utformningen av bestämmelsen anser jag att DALK:s förslag utgör en lämplig utgångspunkt men att vissa justeringar bör göras i detta. I bestämmelsen bör enligt min mening först slås fast att personregister skall inrättas och föras så att inte otillbörligt intrångi registrerads personliga integritet uppkommer. En sådan bestämmelse får ett mera konkret innehåll i första hand genom datalagens övriga bestämmelser om de registeransvarigas skyldigheter. t. ex. bestämmelserna om rättelse av felaktiga uppgifter i 8 5 och om skyldighet att lämna registerutdrag i 10 &.

Liksom kommittén anser jag emellertid att det är värdefullt om man i den allmänna bestämmelsen anger några faktorer som har särskild betydelse för integritetsskyddet. En sådan precisering är av betydelse inte bara från de registrerades synpunkt utan också för de registeransvariga. som därigenom får vissa grundläggande riktlinjer för hur personregister bör inrättas och föras. Genom en så utformad bestämmelse uppnår man också den fördelen

• Sida 34
•  Original

Prop. 1981/82:189 34

att vissa av de särskilda krav som till följd av våra internationella åtaganden skall ställas på persondataskyddet kommer till klarare uttryck i lagtexten (se avsnitt 2.4 ).

I anslutning till DALK:s förslag förordar jag därför att det i den allmänna bestämmelsen anges att personregister skall föras för ett bestämt ändamål och att inte andra uppgifter får registreras än som står i överensstämmelse med registrets ändamål. Insamling. användning och utlämnande av person- uppgifter bör i princip endast ske i överensstämmelse med registrets ändamål. Det kan emellertid förekomma fall där avsteg från denna princip är motiverat. såsom när den registrerade själv samtyckt till detta. Om det i lag eller förordning förekommer föreskrifter som i något avseende reglerar användningen etc av uppgifterna i registret bör sådana bestämmelser vidare ta över det ändamål som gäller för registret. Det bör i bestämmelsen därför också anges att uppgifter inte får samlas in. lämnas ut eller användas annat än i överensstämmelse med registrets ändamål eller vad som gäller enligt lag eller annan författning eller i enlighet med den registrerades medgivande. Som en ytterligare punkt bör tas upp att uppgifterna i registret skall skyddas mot oavsiktlig eller otillåten förstörelse eller mot otillåten ändring eller spridning.

I praktiken får det i första hand ankomma på de registeransvariga själva att bedöma vilka konsekvenser den föreslagna bestämmelsen fåri det särskilda fallet. Man kan dock förutsätta att datainspektionen även i fortsättningen på olika sätt och i skilda sammanhang kommer att lämna råd om tillämpningen av lagens bestämmelser. När det gäller tillståndspliktiga register bör inspektionen även i framtiden ha möjlighet att meddela föreskrifter i samband med att tillstånd meddelas. Som jag förut har nämnt bör inspektionen vidare kunna ingripa med föreskrifter enligt 18% både mot tillståndspliktiga och andra register, om det visar sig nödvändigt.

2.2.5. Upphörande av personregister

Enligt 12 & datalagen skall en registeransvarig som upphör att föra personregister anmäla detta till datainspektionen. Inspektionen föreskriver i sådant fall hur den registeransvarige skall förfara med registret. Bestämmel- sen gäller inte register som faller utanför tillståndsplikten enligt 2 & tredje stycket. Datainspektionen har hittills prövat ca 2 000 anmälningar enligt denna bestämmelse.

DALK föreslår att en registeransvarig som upphör att föra ett register för vilket tillstånd har meddelats även i fortsättningen skall vara skyldig att anmäla detta till datainspektionen. Däremot anser kommittén inte att det är motiverat att behålla en sådan skyldighet beträffande andra register.

DALK anser vidare att de föreskrifter som datainspektionen meddelar när ett register enligt den nuvarande ordningen avanmäls kan ges generell form och tas in i datalagen . Några särskilda beslut blir med denna ordning inte

• Sida 35
•  Original

Prop. 1981/82:189 35

längre nödvändiga. Innehållet i dessa generella regler bör innebära dels att uppgifter som inte längre behövs skall förstöras. om inte särskilda omständigheter föranleder annat. dels — med samma förbehåll — att personregistret som sådant skall förstöras när den registeransvarige upphör att föra registret. Som särskilda omständigheter pekar kommittén bl. a. på att det kan följa av en författningsföreskrift att ett register skall bevaras. Sådana bestämelser finns t. ex. i arkivförfattningarna för den offentliga förvaltningen.

DALK:s förslag har i allt väsentligt godtagits av de få remissinstanser som har kommenterat det. Även jag tillstyrker kommittéförslaget på denna punkt. Jag anser emellertid att också de register som har inrättats genom beslut av regeringen eller riksdagen skall anmälas till inspektionen när de upphör att föras i den mån de innehåller sådana uppgifter som i och för sig skulle ha medfört tillståndsplikt. Detta bör komma till uttryck i lagtexten.

2.3. Åtgärder med anledning av datainspektionens skrivelse den 20 november 1980

2.3.1. Register hos arkivmyndigheter

I en skrivelse den 20 november 1980 till regeringen har datainspektionen anmält behov av ändringar i datalagen bl. a. såvitt gäller förvaring av personregister eller del därav hos arkivmyndigheter. Inspektionen har i skrivelsen åberopat en promemoria som har upprättats av en arbetsgrupp med företrädare för inspektionen och riksarkivet.

Enligt allmänna arkivstadgan (19611590) är riksarkivet, krigsarkivet. landsarkiven samt Stockholms stadsarkiv och stadsarkivet i Malmö arkiv- myndigheter. Till dessa myndigheter överlämnas arkivhandlingar från andra myndigheter enligt föreskrifter i arkivstadgan. Arkivmyndigheterna kan ta emot arkiv också från kommuner och enskilda företag, organisationer och personer. Bestämmelser om arkiv hos de statliga myndigheterna finns vidare i 13 & allmänna verksstadgan (19651600). För kommunerna finns föreskrifter om arkiv i 2 kap. 27.5 kommunallagen (l977:179).

I den av datainspektionen åberopade promemorian nämns att riksarkivet f. n. förvarar cirka 800 magnetband, som har överlämnats från andra myndigheter. Under de närmaste åren väntas ytterligare flera tusen magnetband bli överlämnade till riksarkivet. Om ett personregister överläm- nas till en arkivmyndighet. innebär det enligt promemorian att den registeransvarige inte längre för registret och att meddelade tillstånd och föreskrifter för registret upphör att gälla. I promemorian ställs frågan om de bestämmelser som enligt datalagen gäller för en registeransvarig gäller för arkivmyndigheten. Varken datalagen eller dess förarbeten sägs ge någon ledning i denna fråga. Enligt promemorian kan problemet med arkivmyn-

• Sida 36
•  Original

Prop. 1981/82:189 _ 36

digheternas befattning med avlämnade personregister lösas genom ett tillägg till 1 & datalagen. Tillägget skulle innebära att personregister som har mottagits för förvaring av en arkivmyndighet som anges i allmänna arkivstadgan inte skulle omfattas av bestämmelserna i datalagen.

DALK erinrar om att enligt kommitténs tilläggsdirektiv rörande en generell personregisterlag hör gallring och bevarande av uppgifter med tanke på integritetsskyddet till de frågor som kan komma att reglerasi en sådan lag. DALK säger sig alltså få anledning att under det fortsatta arbetet närmare pröva denna fråga i hela dess vidd. dvs. inte bara när det gäller personregister som har överlämnats till en arkivmyndighet för förvaring utan även när det gäller personregister som den registeransvarige förvarar hos sig. säkerhets- kopior av personregister m. m. Åtgärder som inte är oundgängligen nöd— vändiga redan på kort sikt bör därför anstå tills en mer fullständig prövning av sådana frågor har gjorts.

DALK har emellertid uppfattningen att personregister som har överläm- nats till en arkivmyndighet för förvaring knappast. så länge de förvaras hos arkivmyndigheten enbart för arkivändamål. kan antas innebära risk för otillbörligt intrång i personlig integritet. Sådana personregister behöver därför enligt kommittén. oavsett registerinnehållet. inte vara underkastade det nya tillståndskrav eller den förteckningsskyldighet som DALK föreslår. Det räcker med den nya registrerings- och licensplikten. DALK anser att man då lö'ser flera praktiska problem utan att integritetsskyddet försämras. samtidigt som datalagen på den nu angivna punkten blir klarare än hittills.

För tydlighetens skull tillägger DALK att ett utlämnande på maskinellt läsbart medium av uppgifter från personregister, som har överlämnats till arkivmyndighet för förvaring, givetvis förutsätter att mottagaren har licens och därutöver tillstånd. om något av de nya villkor som skall gälla för tillståndsplikt föreligger. Även datalagens bestämmelser om den registeran- svariges skyldigheter och om datainspektionens tillsyn m. ni. blir tills vidare även i fortsättningen tillämpliga på personregister som överlämnats till en arkivmyndighet för förvaring. De särskilda tillämpningsfrågor som detta eventuellt föranleder kan enligt DALK lösas inom ramen för gällande bestämmelser.

Remissinstanserna har i allmänhet lämnat DALK:s överväganden i denna del utan erinran. Statistiska centralbyrån förklarar dock att det i praktiken skulle vara orealistiskt att låta skyldigheten enligt 10 & datalagen att lämna registerutdrag omfatta också långtidsarkiverade register hos SCB. Riksarki- vet förutsätter av liknande skäl att undantagsmöjligheten enligt 10 & fjärde stycket datalagen utnyttjas för att befria riksarkivet från underrättelseskyl- digheten. Dessutom ifrågasätter riksarkivet om 8. 9 och 23 åå datalagen bör vara tillämpliga på personregister som har överlämnats till arkivmyndighe- terna. Både statistiska centralbyrån och riksarkivet erinrar i sina remissyt- tranden om möjligheten att göra ett tillägg till l & datalagen i enlighet med

• Sida 37
•  Original

Prop. l981/82zl89 37

vad som har föreslagits i den av datainspektionen åberopade promemori- an.

För egen del vill jag erinra om att jag har behandlat frågan om arkivering och gallring av myndigheternas ADB-upptagningar från offentlighetssyn- punkt i propositionen 1981/82z37 om offentlighetsprincipen och ADB (s. 36 ff) som nyligen godtagits av riksdagen (KU 21. rskr 163). Idet sammanhanget berörde jag dock inte frågan om datalagens tillämpning på personregister som har överlämnats till en arkivmyndighet. I likhet med DALK vill jag vidare erinra om att frågan om arkivering av personregister kommer att tas upp i kommitténs fortsatta arbete på en generell personregisterlag. Också frågorna om rättelser av felaktiga personuppgifter m. m. och skadestånd (.8. 9 och 23 åå datalagen) skall behandlas i utredningsarbetet. Vad det nu gäller är att överväga vilka åtgärder som behövs på kort sikt för att lösa de problem som kan finnas i fråga om datalagens tillämpning på personregister som har överlämnats till en arkivmyndighet.

Jag delar DALK:s uppfattning, som har vunnit anslutning under remissbehandlingen. att enbart licens bör krävas för arkivmyndigheter som har personregister som har tagits emot för förvaring. Ett sådant undantag från tillståndsplikten löser ett viktigt problem i sammanhanget utan att det uppstår någon ökad risk för otillbörligt intrång i enskilds integritet.

[ 22—25 åå allmänna arkivstadgan finns bestämmelser om skyldighet att föra arkivförteckningar. Av 15 & cirkuläret (1968:473) om tillämpningen av allmänna arkivstadgan framgår vidare att upptagningar för ADB som lämnas för förvaring till arkiv skall åtföljas av tillhörande dokumentation. Enligt min mening finns det inte behov av någon ytterligare bestämmelse om skyldighet för arkivmyndigheter att föra förteckningar över personregister som har tagits emot för förvaring. Jag anser därför att arkivmyndigheterna bör undantas från den föreslagna förteckningsskyldigheten enligt datalagen. såvitt angår sådana register.

Jag kan också ansluta mig till riksarkivets inställning att de register som har överlämnats till en arkivmyndighet inte bör omfattas av insynsrätten enligt 10.5 datalagen . Jag vill peka på att dessa register. i den mån de i lagens mening förs. inte används för sitt ursprungliga ändamål utan för mer begränsade syften. Den registrerade har alltid möjlighet att med stöd av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlig- het ta del av uppgifterna och också. mot en viss avgift. få en utskrift av upptagningen. Härigenom tillgodoses kravet på insyn i rimlig utsträckning. Dessutom skulle en tillämpning av 10 & datalagen uppenbarligen få betydande negativa konsekvenser för arkivmyndigheternas verksamhet. Jag har därför kommit till den uppfattningen att man i avvaktan på DALK:s fortsatta arbete bör föreskriva ett undantag från underrättelseskyldigheten såvitt avser register som har överlämnats till en arkivmyndighet för förvaring. Jag anser att detta lämpligen bör lösas genom ett undantag i 10 å i fråga om dessa register.

• Sida 38
•  Original

Prop. 1981/82:189 38

Däremot är jag inte beredd att föreslå att datalagens bestämmelser i övrigt. t. ex. bestämmelserna om tillsyn, inte skall vara tillämpliga på sådana register. De tillämpningsproblem som har berörts under remissbehandlingen bör. som DALK har anfört. i allt väsentligt kunna lösas inom ramen för de nuvarande bestämmelserna. Jag vill emellertid framhålla att jag därmed inte har tagit ställning till frågan om och i vilken utsträckning register som har överlämnats till en arkivmyndighet faller under datalagens regelsystem. Detta får såsom hittills avgöras med ledning av bestämmelserna om registeransvaret enligt 1 & datalagen. Som jag nyss nämnt arbetar DALK med en översyn av reglerna inom dettapmråde. Undantagsbestämmelserna såsom jag nu föreslår tar sikte på de fall där en arkivmyndighet enligt lagens reglerför registret och alltså på den grunden skulle kunna vara skyldig att ha tillstånd, att upprätta förteckning eller att lämna uppgift enligt 10 5. Om registret inte förs. är undantagsbestämmelserna alltså inte tillämpliga. Givetvis är de inte heller tillämpliga i sådana fall då ett arkiverat register tas fram och används på ett sådant sätt att någon annan. t. ex. en utomstående forskare eller myndighet. blir registeransvarig.

2.3.2. Generella undantag från tillståndskravet

I datainspektionens skrivelse har anmälts ett behov av en ändring i datalagen också såvitt gäller undantag från kravet på tillstånd enligt lagen. Även i denna del har inspektionen åberopat en promemoria som har upprättats inom inspektionen.

Enligt Zå tredje stycket datalagen krävs f.n. inte tillstånd i fråga om personregister som förs med viss bestämd teknisk utrustning. om det med hänsyn till utrustningens art. till utförandet av den automatiska databehand- lingen och till registrets utformning i övrigt framstår som uppenbart att otillbörligt intrång i registrerads personliga integritet inte skall uppkom- ma.

I datainspektionens promemoria framhålls att den tekniska utrustningen genom denna bestämmelse ställs i centrum på ett sätt som är olyckligt från principiell och praktisk synpunkt. Enligt inspektionen bör avgörande vikt läggas vid ett personregisters omfattning och utnyttjande och inte vid vilken teknisk utrustning som används. Det bör enligt promemorian övervägas att ändra 2 & datalagen så att inspektionen får en generell rätt att medge undantag från tillståndskravet beträffande personregister med sådan utform- ning att det är uppenbart att otillbörligt intrång i registrerads personliga integritet inte skall uppkomma.

DALK anmärker att inspektionens förslag inte utan vidare torde vara förenligt med bestämmelserna om lagar och andra föreskrifter i 8 kap. regeringsformen. Bortsett härifrån innebär emellertid enligt DALK de åtgärder som kommittén föreslår bl.a. att tillståndskravet begränsas till personregister som kan antas vara av särskilt intresse från integritetssyn-

• Sida 39
•  Original

Prop. 1981/82:189 39

punkt. Åtgärderna innebär också att nuvarande 2 åtredje stycket datalagen upphör att gälla. Därmed tillgodoses i allt väsentligt datainspektionens önskemål på denna punkt. Ytterligare åtgärder på kort sikt anser DALK inte vara påkallade.

Ingen remissinstans har gjort någon invändning mot DALK:s synpunkter i denna del och också jag kan ansluta mig till dessa.

2.3.3. Föreskrifter om registerinnehållet

En tredje fråga som datainspektionen har tagit upp i sin skrivelse den 20 november 1980 är om ett tillstånd enligt datalagen att föra ett personregister liksom nu alltid skall vara förenat med föreskrifter om registerinnehållet (5 & datalagen). Frågan har behandlats i en promemoria som datainspektionen har åberopat i skrivelsen och som har upprättats inom inspektionen.

I promemorian påpekas att ADB-teknik numera används också som hjälpmedel vid författande. lagring. överföring och utskrift av brev. telegram. remisshandlingar inom sjukvården och liknande dokument. Eftersom namn eller personnummer på användare. mottagare, patient eller ' liknande oftast är sorterings- och sökbegrepp för dokumenten blir sådan användningi många fall att anse som personregistrering i datalagens mening. Enligt 5 & datalagen måste inspektionen i ett beslut om tillstånd för sådana personregister meddela en föreskrift om vilka uppgifter som får ingå i registren. Det kan dock enligt promemorian ofta vara svårt att tillämpa den obligatoriska regeln om föreskrifter i 5 & datalagen på nu beskrivna personregister eftersom man inte i detalj kan ange i förväg vilka personupp- gifter löpande text i olika dokument kan komma att innehålla.

DALK erinrar om att föreskrifterna enligt 5 % datalagen enligt förarbetena till datalagen i många fall måste utformas tämligen generellt (prop. 197333 5. 125 f). Särskilt svårt är det naturligtvis att på förhand ange vilka personuppgifter som skall få ingå i ett register. Här får enligt förarbetena beaktas bl. a. vilken allmän kategori av uppgifter det är fråga om. Gäller det uppgifter som får anses mindre känsliga från integritetssynpunkt. bör den registrerade ges ett tämligen stort spelrum. Om registreringen avser en mer ' ömtålig kategori av uppgifter. blir det däremot ofta nödvändigt att göra föreskrifterna mer detaljerade. Även ändamålet med registreringen bör kunna tillmätas betydelse när det gäller att ange vilka personuppgifter som skall få registreras. Sålunda bör enligt förarbetena tillstånd kunna ges inom en vidare ram. om registret skall användas för vetenskapliga eller statistiska ändamål.

Dessa uttalanden i datalagens förarbeten. som har lämnats utan erinran av riksdagen. bör enligt DALK:s mening redan nu ge möjligheter för datainspektionen att i det enskilda fallet komma till rätta med de svårigheter inspektionen har tagit upp. Vidare kommer antalet tillståndspliktiga personregister att minska. om DALK:s förslag om ett nytt licens- och

• Sida 40
•  Original

Prop. 1981/82:189 40

tillståndssystem genomförs. DALK ifrågasätter trots detta inte att det ibland ändå kan bli svårt att uppfylla det relativt stränga krav som 5 & datalagen och- förarbetena ställer när det gäller föreskrift om registerinnehållet i personre- gister. DALK kan därför tänka sig att regeln mjukas upp. om det kan ske utan att integritetsskyddet försämras.

DALK anser att det nuvarande obligatoriska kravet i 5 & datalagen på föreskrift om registerinnehållet i stället kan göras fakultativt och flyttas över till 6 &. Bestämmelsen blir då. utan att integritetsskyddet försämras. mer flexibel. För bedömning att detta inte försämrar integritetsskyddet talar enligt kommittén att en föreskrift enligt 6 & datalagen alltid skall meddelas i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet. En föreskrift om registerinnehållet måste således även efter den föreslagna ändringen meddelas. om det krävs med hänsyn härtill. Kan den registeransvarige i ett sådant fall inte ange registerinnehållet så detaljerat som datainspektionen anser nödvändigt. kan inspektionen i sista hand avslå tillståndsansökningen.

Att den föreslagna ändringen inte försämrar integritetsskyddet får enligt DALK stöd också av att datainspektionen även i fortsättningen på ett oförändrat sätt i tillståndsbesluten alltid enligt 5 5 skall meddela föreskrift om ändamålet med personregister. Detta verkar styrande även på person- registrets innehåll. Därutöver kan datainspektionen i fortsättningen liksom hittills också föreskriva att vissa personuppgifter inte får ingå i det aktuella registret. t. ex. uppgifter som anges i 45 datalagen.

DALK:s förslag i fråga om föreskrifter om registerinnehåll tillstyrks av de två remissinstanser som yttrar sig särskilt om det.

För min del vill jag liksom DALK peka på att redan nuvarande bestämmelser i 5 & datalagen ger ett visst utrymme för datainspektionen att uppfylla paragrafens krav på föreskrifter om registerinnehållet. även när det på förhand är svårt att ange vilka uppgifter som skall ingå i ett personregister. Men jag kan också hålla med om att man inte på denna väg kan komma till rätta med svårigheterna i alla situationer. Jag kan därför ansluta mig till DALK:s förslag att föreskrifter om registerinnehåll inte bör vara obligato- riska utan fakultativa. Jag delar också DALK:s uppfattning att en sådan ändring inte innebär någon försvagning av skyddet mot otillbörligt intrång i enskilds integritet. Lagtekniskt innebär mitt ställningstagande att bestäm- melser om föreskrifter om registerinnehåll bör tas in i 6 5 i stället för som nu i 5 & datalagen. Kvar i 5 % står då kravet att ett tillståndsbeslut skall förenas med en föreskrift om ändamålet med registret.

2.4. Internationella överenskommelser 2.4.1 Inledning

Den ökande användningen av ADB inom näringsliv och administration är en internationell företeelse. Det förekommer i stor utsträckning att

• Sida 41
•  Original

Prop. l981/82:189 41

ADB—baserad information förs från ett land till ett annat. Sådan överföring underlättas genom användning av telekommunikationer. Det internationella dataflödet ger upphov till vissa problem. När det gäller personuppgifter är det framför allt risken för s. k. dataflykt som har uppmärksammats. dvs. risken för att databehandling flyttas över från det egna landet till ett annat för att man skall undgå integritctsskyddslagstiftningen i hemlandet.

Från lagstiftarens synpunkt är det givetvis angeläget att vidta åtgärder för att hindra dataflykt. så att inte skyddet för den personliga integriteten försämras. Å andra sidan är det önskvärt att man inte försvårar sådan överföring av information som är ofarlig från integritetssynpunkt. Detta är viktigt inte minst med tanke på den betydelse som det internationella informationsutbytet har för ett land som Sverige.

Jag vill i detta sammanhang erinra om att datalagen har en spärr mot utlämnande av uppgifter ur personregister. om det finns anledning anta att uppgifterna skall användas för automatisk databehandling i utlandet. Enligt 11 % datalagen krävs i sådana fall särskilt medgivande av datainspektionen. Motsvarande bestämmelse för myndigheternas verksamhet finns i 7 kap. 16 å sekretesslagen. Av motiven till bestämmelserna (prop. l973z33 s. 101) framgår att syftet med dem är att hindra att tillståndssystemet kringgås genom att dataregister upprättas utomlands. Föredragande statsrådet framhöll att inskränkningen visserligen knappast skulle medföra något effektivt skydd mot att personregister upprättas obehörigen i utlandet. Detta ansågs emellertid vara en fråga som inte kunde lösas annat än genom internationella överenskommelser. [ avvaktan på sådana ansåg föredragan- den att ett förbud ändå kunde ha ett visst värde.

Inom flera internationella organisationer har man under det senaste decenniet bedrivit arbete för att utveckla principer för dataflödet över gränserna och skyddct för den personliga integriteten vid överföring av uppgifter mellan länderna. Det internationella arbetet har ägt rum mot bakgrund av att skyddet för den personliga integriteten vid användningen av ADB anses kunna härledas från överenskommelser om mänskliga rättighe- ter. Inom Europarådet antog således rådets ministerkommitté 1973 och 1974 två resolutioner om dataskydd. I den första. resolution (7.3)22. gavs vissa riktlinjer för databanker på den enskilda sektorn och i den andra. resolution (74')29. gavs motsvarande riktlinjer för den offentliga sektorn. I dessa resolutioner åberopades artikel 8 i den Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt denna artikel har envar rätt till skydd för sitt privat- och familjeliv. sitt hem och sin korrespondens.

Det internationella samarbetet på dataskyddsområdet inom Europarådet har senare resulterat i en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter. Inom OECD har man utarbetat vissa riktlinjer beträffande integritetsSkyddet och pcrsondatatlödct över gränser- na.

• Sida 42
•  Original

Prop. 1981/82:189 42

2.4.2. Europarådskonvenrionen

Som jag inledningsvis har nämnt antog Europarådets ministerkommitté år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Vid konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som har utarbetat konventionstexten.

Konventionen har öppnats för undertecknande i januari 1981. Den har hittills undertecknats av Sverige samt av Danmark. Frankrike. Förbundsre- publiken Tyskland. Luxemburg. Norge. Portugal. Spanien. Storbritannien, Turkiet och Österrike.

Konventionen har ännu inte trätt i kraft. För att den skall träda i kraft fordras att fem medlemsländer har tillträtt konventionen. För att den skall bli bindande för Sverige krävs riksdagens godkännande.

Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter. särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Enligt expertgruppens förklarande rapport är utgångspunkten att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information. oberoende av gränser. som finns inskriven i internationella överenskommelser om mänskliga rättigheter.

Konventionens tillämpningsområde är enligt huvudregeln (artikel 3) automatiserade personregister och automatisk databehandling av person- uppgifter i allmän och enskild vcrksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Därutöver finns (artikel 9) viss möjlighet till undantag från några enskilda bestämmelser. Reservationer mot bestämmel- serna i övrigt fär inte göras (artikel 25). Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen ("artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel 11. (artiklarna 4—1 1) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla denna s. k. gemensamma kärna. Åtgärderna skall vara vidtagna senast vid den tidpunkt då konventionen träder i kraft för parten (artikel 4). Den gemensamma kärnan skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra det möjligt för kom-'entionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna. På så sätt undviker man enligt expertgruppen att principen om fritt informationsflöde äventyras genom olika former av protektionism.

Kapitel 11 innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl. a. att

• Sida 43
•  Original

Prop. l981/82:189 43

uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling. om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras. politiska åsikter. religiös tro eller annan övertygelse. hälsa. sexualliv samt brott. Vidare föreskrivs bl. a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet o. d. (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning. dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet e. (1. eller för att skydda den registrerade personen eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m. m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål.

Kapitel III. som rör dataflödet över gränserna. syftar till att förena kraven på fritt informationsflöde och dataskydd. Det är enligt expertgruppen viktigt att man ser bestämmelserna i kapitel III i samband med den gemensamma k'ärnani kapitel II. som garanterar att databehandlingen av personuppgifteri alla berörda länder är föremål för samma grundläggande reglering. Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna (artikel 12). Bestämmelserna gäller. oavsett vilket 'medium som används. vid överföring över nationsgränser av person- uppgifter som undergår eller skall undergå automatisk databehandling eller som samlas in för det ändamålet. Huvudregeln är att överföring mellan konventionsstater skall vara fri. Det är inte tillåtet att ställa upp vare sig förbud eller krav på särskilt medgivande uteslutande i syfte att skydda den personliga integriteten.

I två fall är det emellertid tillåtet att göra undantag från huvudregeln. Den ena grunden för undantag är att avsändarlandets lagstiftning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter men motta- garlandets lagstiftning inte ger ett likvärdigt skydd. Den andra grunden är att det egentliga mottagarlandet står utanför konventionen men överföringen dit sker via en konventionsstat. [ ett sådant fall är det alltså möjligt för avsändarlandet'att. för att undvika att dess lagstiftning kringgås. t. ex. kräva särskilt tillstånd för överföringen.

Kapitel IV och V reglerar formerna för samarbetet mellan konventions- staterna. Genom konstruktionen av konventionen har det blivit möjligt att begränsa innehållet i konventionen till de grundläggande principerna och att lita till samarbete mellan konventitmsstaterna. bl.a. inom ramen för en rådgivande kommitté. när det gäller att införa och harmonisera dessa principer i de olika staternas lagstiftning.

[ kapitel IV finns bestämmelser om att varje konventionspart skall utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje

• Sida 44
•  Original

Prop. 1981/82:189 44

myndighets behörighet (artikel 13). De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstiftning och administrativt förfarande på dataskyddsområdct m. m. Vidare behandlas frågor om bistånd till registrerade personer som är bosatta utomlands (artikel 14). Den myndighet som utses i ett visst land skall hjälpa personer i utlandet med att utöva sina rättigheter till insyn och rättelse m. m. Sådan hjälp skall lämnas oavsett om personen är bosatt i en annan konventionsstat eller i ett land som står utanför konventionen.

I kapitel V finns bestämmelser om den rådgivande kommitten. dess sammansättning (artikel 18) och uppgifter (artikel 19) m. m.

DALK:s förslag

DALK har funnit att de begrepp som används i konventionen väl stämmer överens med datalagens definitioner. Enligt DALK finns det inte något behov av att inskränka kom-'entionens tillärnpningsområde för svenskt vidkommande. Inte heller finns det f. n. någon anledning att utvidga dess tillämpningsområde. En utvidgning kan emellertid tänkas bli aktuell i samband med ("övervägandena om en generell personregisterlagstiftning.

DALK anser att de grundläggande krav för dataskydd som konventionen föreskriver i huvudsak är tillgodosedda för svensk del genom datalagen . Detta gäller också om de åtgärder genomförs som DALK har föreslagit i sin promemoria. För att uppfylla konventionens krav föreslår DALK emellertid vissa mindre ändringar i datalagen och sekretesslagen .

Enligt konventionen får vissa angivna slag av uppgifter inte undergå automatisk databehandling. såvida inte nationell lag ger ett ändamålsenligt skydd. DALK framhåller att konventionens uppräkning av dessa uppgifter i huvudsak stämmer överens med uppräkningen i 4? datalagen om vilka uppgifter som enligt datalagen skall anses vara särskilt känsliga och som därför inte får ingå i personregister. om inte synnerliga eller särskilda skäl föreligger. Vissa uppgifter som anges i artikel 6 i kcmventionen saknas dock i 4.6 datalagen. Det gäller uppgifter som avslöjar ras. annan övertygelse än religiös tro samt uppgifter som rör sexualliv. Kommittén förslår därför att 4 & datalagen kompletteras så att paragrafen omfattar även sådana uppgifter.

När det gäller dataflödet över gränserna påpekar DALK att det enligt 11 å datalagen och 7 kap. 16 & sekretesslagen krävs datainspektionens medgivan- de föratt personuppgifter skall få lämnas ut. om det finns anledning anta att de skall användas för automatisk databehandling i utlandet. Enligt konven- tionen får emellertid en part inte. uteslutande i syfte att skydda den personliga integriteten. förbjuda eller kräva särskilt bemyndigande för överft'fning av personuppgifter över gränsen till en annan parts territorium. För att detta krav skall tillgodoses föreslar DALK att 11 & datalagen och 7 kap. 16% sekretesslagen ändras så att datainspektionens medgivande inte behövs för utlämnande till länder som har anslutit sig till konventionen.

• Sida 45
•  Original

Prop. 1981/82:1894 'JI

DALK framhåller att man i de flesta länder i Europa. som har antagit eller håller på att utarbeta nationella datalagar. har bestämmelser med helt eller delvis samma innebörd som 11 å i den svenska datalagen . Detta innebär enligt DALK att personuppgifter. som i enlighet med konventionen utan särskilt medgivande enligt 11 ådatalagen lämnas ut från Sverige till en annan konventionsstat. inte obehindrat får lämnas vidare från den mottagande staten till en stat som inte är ansluten till konventionen. DALK föreslår att detta skall komma till uttryck i lagtexten.

Med hänvisning till konventionens bestämmelser om ömsesidigt bistånd föreslår DALK att datainspektionen anförtros uppgiften att lämna sådant bistånd och att en föreskrift härom tas in i instruktionen (1973:292) för datainspektionen. Dessutom föreslår kommittén en komplettering av bestämmelserna i 9 kap. 6 & sekretesslagen om sekretess hos datainspektio- nen.

I övrigt krävs enligt DALK inga lagstiftningsåtgärder för att Sverige skall kunna godta konventionen.

Remissutfallet

Endast ett mindre antal remissinstanser har kommenterat DALK:s överväganden rörande konventionen. Dessa har genomgående godtagit DALK:s förslag i denna del.

Överväganden

För egen del vill jag understryka att det är av stort värde att överlägg- ningarna om dataskyddsfrågor inom Europarådet har lett fram till en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. För svenskt vidkommande är det betydelsefullt att konven— tionen följer samma mönstcr som den svenska datalagen . Det materiella innehållet i konventionens bestämmelser överensstämmer i stor utsträckning med datalagens regler till skydd för den enskildes integritet. För att Sverige skall kunna tillträda konventionen krävs endast några smärre ändringar i datalagen och sekretesslagen .

På grund av det anförda förordar jag liksom DALK att riksdagen beslutar att Sverige skall ansluta sig till konventionen. Jag tillstyrker också kommitténs förslag till ändringar i 4 och 11 åå datalagen och 7 kap. 16.5 sekretesslagen.

Jag avser att i ett senare sammanhang återkomma till regeringen med förslag som gäller konventionens bestämmelser om ömsesidigt bistånd m. m. Detta är nämligen frågor som det i första hand ankommer på regeringen att besluta om. Jag vill emellertid redan nu ange att jag ser det som naturligt att datainspektionen anförtros dessa uppgifter. Som DALK har föreslagit bör därför den bestämmelse i sekretesslagen som avser sekretess hos datainspek-

• Sida 46
•  Original

Prop. 1981/82:l89 46

tionen. 9 kap. 6 %. kompletteras så att sekretess gäller även i ärenden om bistånd enligt konventionen.

2.4.3. OECD:s riktlinjer

Inom OECD har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna (Guidelines gover- ning the protection of privacy and transborder flows of personal data). Riktlinjerna har är 1980 antagits av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlin- jerna i nationell lagstiftning. Ett 20-tal medlemsländer. däribland Sverige. har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t. ex. ratifikation av medlemsländerna krävs inte. Riktlinjerna har alltså trätt i kraft. Någon preciserad tidpunkt för när kraven enligt riktlinjerna fullt ut skall vara genomförda finns dock inte.

Rekommendationen från OECD:s råd innehåller utöver vad som nämndes nyss att medlemsländerna skall

— sträva efter att ta bort eller undvika att skapa —i integritetsskyddets namn — opåkallade hinder för persondataflödet över gränserna. — samarbeta för genomförandet av riktlinjerna samt

— komma överens så snart som möjligt om speciella former för samråd och samarbete vid tillämpningen av riktlinjerna.

Riktlinjerna består av fem avdelningar. Iden första avdelningen finns ett antal definitioner och en precisering av riktlinjernas tillämpningsområdc. Den andra avdelningen. som utgör kärnan i riktlinjerna. innehåller åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet. I den tredje avdelningen behandlas principerna för internationell tillämpning av riktlinjerna. dvs. principer som huvudsakligen avser förhållandet mellan medlemsländerna. De fjärde och femte avdelning- arna innehåller regler om ömsesidigt bistånd mellan medlemsländerna m. m.

Av första avdelningen framgår att riktlinjerna är tillämpliga på person- uppgifter såväl inom den offentliga som inom den enskilda sektorn och oavsett om de lagras automatiskt eller manuellt. Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens friheter som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas. på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används (punkt 2).

Enligt punkt 3 finns det inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av persondata. att man från riktlinjernas tillämpning undantar persondata som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter.

• Sida 47
•  Original

Prop. 1981/82:189 47

1 den andra avdelningen anges följande grundläggande principer för den nationella tillämpningen av riktlinjerna:

1. Begränsning av insamlingen: Insamlingen av personuppgifter skall vara begränsad. och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt. när det är skäligt. med den registrerades kännedom eller samtycke (punkt 7). Damkvaliret: Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och. i den utsträckning det behövs för dessa ändamål. vara riktiga och fullständiga samt hållas aktuella (punkt 8). lx)

3. Precisering av ändamål: De ändamål för vilka personuppgifter samlas in skall vara preciserade senast vid insamlingen. Den efterföljande använd- ningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (punkt 9).

4. Begränsning :" användningen: Personuppgifter får inte röjas. göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade. om det inte sker med den registrerades medgivande eller med stöd av författning (punkt 10).

5. Säkerhetsåtgärder: Personuppgifter skall genom rimliga säkerhetsåtgär- der skyddas mot risker för förlust eller otillåten tillgång. förstörelse. användning. förändring eller otillåtet röjande (punkt 11).

6. Öppenhet: Beträffande personuppgifter skall råda en hållning av öppen- het i fråga om utveckling. tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudän- damålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (punkt 12).

7. Den enskildes deltagande: Den enskilde skall ha rätt att — av den registeransvarige. eller annan. få reda på om denne har personuppgifter om hOnom/henne eller inte. — få sig tillsänt eventuella personuppgifter inom rimlig tid. utan alltför stor kostnad, på rimligt sätt och i begriplig form. — vid avslag på en begäran om uppgifter få veta skälen och ha möjlighet att överklaga och — ifrågasätta uppgifter som gäller honom eller henne och. om så är nödvändigt. få dessa utraderade. rättade eller kompletterade (punkt 13).

8. Ansvarighet: Den registeransvarige skall ha ansvaret för att de lagstift- ningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (punkt 14).

I tredje avdelningen finns riktlinjer för dataflödet över gränserna. Här föreskrivs bl. a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra

• Sida 48
•  Original

Prop. 1981/82:l89 48

inskränkningar i fråga om flöde av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land. om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlems- land får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritctslagstiftningcn innehåller särskilda skyddsregler. om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet (punkt 17).

DALK har i sin bedömning av riktlinjerna funnit att den svenska lagstiftningen. inkluderat de ändringar som DALK föreslår. tillgodoser de grundläggande principerna i riktlinjerna. Bl.a. konstaterar DALK att riktlinjerna inte hindrar att svensk lag ställer krav på särskilt tillstånd för att föra över personuppgifter till andra länder. DALK anser att det även i fortsättningen bör ankomma på datainspektionen att göra en sådan prövning som nu föreskrivs i 11 & datalagen och 7 kap. 16.5 sekretesslagen . bortsett från sådana fall då det är fråga om överföring av uppgifter till ett land som har anslutit sig till Europarådskonventionen. Enligt DALK är det möjligt för inspektionen att inom ramen för sin prövning i ett visst fall ta hänsyn till att riktlinjerna har godtagits av ett land till vilket någon önskar föra över information. DALK menar dock att det på sikt kan visa sig möjligt att ta bort kravet på särskilt medgivande till att lämna ut uppgifter till OECD- länderna.

Remissinstanserna har överlag godtagit vad kommittén har anfört beträffande OECD:s riktlinjer.

Jag kan för egen del instämma i DALK:s synpunkter på behovet av eventuella åtgärder från svensk sida med anledning av riktlinjerna. Datalagen uppfyller även enligt min mening de krav som angcsi riktlinjerna beträffande innehållet i personuppgifter och utformningen av integritets- skyddet i övrigt. Någon lagändring med anledning av riktlinjerna behövs alltså inte.

3. Avgifter för datainspektionens verksamhet

Enligt kungörelsen ( 1973: 1209) om avgift hos datainspektionen skall avgift utgå för handläggning hos datainspektionen av ansökan eller anmälan som avses i 1 så datakungörelscn. 1 5 kreditupplysningsförordningen (1981:955) och 1 & inkassoförordningen (1981z956) samt av ansökan om medgivande enligt 1.1. & datalagen . Avgifterna är avsedda att i princip täcka kostnaderna för datainspektionens tillståndsverksamhet. Avgiften tas ut med ett visst belopp för varje påbörjad handläggningstimmc. Föreligger särskilda skäl. får avgiften sättas ned eller efterges. Denim möjlighet tillämpas bl. a. så att avgift för sådana tillstånd enligt datalagen som handläggs enligt det s. k. förenklade förfarandet regelmässigt tas ut i form av en enhetsavgift.

• Sida 49
•  Original

Prop. 1981/82:189 49

Riksdagen har bemyndigat regeringen att besluta om ett nytt system för avgifter för handläggningen vid datainspektionen (prop. 1980/81:20 bil. 1 s. 11. KU 1980/8lz9. rskr 1980/81:58). Enligt systemet skall kostnaderna för datainspektionens verksamhet i dess helhet täckas med avgifter. Avgiftssy- stemet avsågs bli infört den 1 juli 1981 (prop. 1980/81:100 bil. 5 s. 88. KU 1980/81:18. rskr 1980/81:189).

DALK anmälde i samband med beredningen i regeringskansliet av frågan om ett nytt avgiftssystem att kommittén planerade att i september 1981 lämna förslag till åtgärder på kort sikt när det gällde datainspektionens verksamhet. Enligt kommitténs uppfattning borde därför ett nytt avgiftssy- stem inte träda i kraft redan den 1 juli 1981.

Med hänsyn till vad som upplystes om arbetet i DALK fann regeringen i ett beslut den 7 maj 1981 att frågan om ett nytt avgiftssystem vid datainspek- tionen borde prövasi anslutning till de förslag till ändringari datalagen som DALK kunde komma att lägga fram. I beslutet uppdrogs åt DALK att efter samråd med riksrevisionsverket och datainspektionen utreda och till regeringen komma in med förslag till ett nytt avgiftssystem för verksamheten vid datainspektionen. Förslaget skulle ansluta till de ändringar av regelsy— stemet som DALK kunde komma att föreslå.

DALK har i promemorian (Ds Ju 198123) Nya avgifter för datainspek- tionens verksamhet redovisat det nämnda utredningsuppdraget. I promemo— rian föreslås ett nytt avgiftssystem som ansluter till de ändringar i datalagen . som DALK föreslagit i promemorian (Ds Ju 1981 :15—16) Tillstånd och tillsyn enligt datalagen . DALK:s avgiftssystem förutsätter alltså att reglerna för tillståndsverksamheten enligt datalagen ändras och kombineras med en ny registrerings- och licensplikt.

Enligt DALK:s förslag till nytt avgiftssystem skall kostnaderna för datainspektionens verksamhet helt täckas genom avgifter. För handläggning av ärenden om tillstånd enligt datalagen . kreditupplysningslagen och inkassolagen skall även i fortsättningen tas ut en avgift med visst belopp per handläggningstimme. Detsamma skall gälla ärenden om anmälan av personregister som inrättats av regering eller riksdag samt ärenden om medgivande enligt 11 & datalagen . Möjlighet skall finnas att sätta ned eller efterge avgiften. om särskilda skäl föreligger. För licens enligt datalagen skall betalas en årlig avgift. Enligt kommitténs förslag skall beslut om avgifter fattas av datainspektionen. Inspektionens beslut skall kunna överklagas hos regeriågen.

Som framgått av vad jag tidigare har anfört godtar jag i huvudsak DALK:s förslag till ändringar i datalagen . DALK:s förslag till nytt avgiftssystem ansluter till dessa ändringar. Jag finner mot denna bakgrund att jag kan godta även DALK:s förslag till nytt avgiftssystem. Enligt mjn mening bör därför ett system med avgifter för datainspektionens verksamhet införas i huvudsaklig överensstämmelse med DALK:s förslag. Avgiftssystemet bör tillämpas från och med den tidpunkt då de föreslagna ändringarna i datalagen träder i kraft.

• Sida 50
•  Original

Prop. 1981/82:189 50

den 1 juli 1982. Regeringen bör hos riksdagen begära bemyndigande att besluta om avgifter för datainspektionens verksamhet i enlighet med vad jag nu har anfört.

4. Sammanfattande bedömning av reformens effekter

Enligt DALK kan antalet årliga ärenden hos inspektionen. om kommit- téns förslag genomförs, beräknas uppgå till ca 1 260. DALK jämför detta antal med den förväntade ärendemängden. om det 5. k. nollalternativet (se avsnitt 2.2.1) genomförs. ca 4 610 ärenden per år. Man måste emellertid enligt DALK beakta att närmare hälften av antalet ärenden enligt nollalternativet är ärenden enligt det förenklade förfarandet. Till det av DALK beräknade antalet ärenden. 1 260 per år. skall läggas licensansök- ningarna. DALK uppskattar dessa till ca 1 500 per år.

DALK konstaterar med ledning av dessa beräkningar att det inte innebär några större personalbesparingar att avskaffa det formella tillståndskravet för de register som nu omfattas av det förenklade förfarandet. De största besparingarna uppkommer enligt DALK genom att ärendena om utvidgning eller ändring av tillstånd kommer att minska. DALK menar att resursbeho- vet för tillståndsprövningen kan antas minska med en tredjedel eller med fyra till fem handläggare. Å andra sidan uppkommer ett visst behov av ökade resurser för att utarbeta nya anvisningar och för att handlägga licensansök- ningar m. m.

DALK framhåller vidare att den föreslagna reformen kommer att innebära administrativa förenklingar för de registeransvariga samtidigt som den får positiva effekter för de registrerade genom att datainspektionen kommer att kunna koncentrera sina resurser till sådan_verksamhet som är särskilt betydelsefull från integritctsskyddssynpunkt.

De beräknade effekterna av den föreslagna reformen har under remiss- behandlingen berörts framför allt av datainspektionen. som i sitt remissvar utförligt har redovisat sin uppfattning om de konsekvenser som DALK:s förslag medför för inspektionens egen verksamhet. Sammanfattningsvis bekräftar inspektionen att tillståndsprövningen. om förslaget genomförs. kommer att kräva mindre resurser i framtiden. Inspektionen framhåller emellertid att de resurser som frigörs i stor utsträckning behövs för andra ändamål. Inspektionen understryker att särskilda informationsinsatser kommer att krävas av inspektionen i samband med att reformen genomförs. Vidare pekar inspektionen på att den kommer att få vissa nya arbetsuppgifter och att reformen sannolikt gör det nödvändigt att också genomföra förändringar av inspektionens organisation.

För egen del vill jag till en början understryka att de föreslagna ändringarna i datalagen bör kunna leda till avsevärda lättnader i inspektio- nens arbete med prövningen av tillståndsärenden. Som jag förut har framhållit bör icke obetydliga resurser kunna frigöras så att inspektionen kan

• Sida 51
•  Original

Prop. 1981/82:189 51

koncentrera sin verksamhet dels på prövning av mer ömtåliga register. dels på tillsynsverksamhet. Det är emellertid svårt att närmare precisera hur fördelningen på olika slag av ärenden kommer att bli i fortsättningen. Enligt min mening finns det inte heller något behov av att i detta sammanhang göra någon mera exakt beräkning av ärendefördelningen.

Den föreslagna reformen påverkar givetvis användningen av de resurser som finns tillgängliga för datainspektionens verksamhet. Inspektionen har påpekat att det kan visa sig erforderligt med en viss omorganisation av dess verksamhet. Jag skall emellertid inte nu gå närmare in på dessa frågor utan avser att senare återkomma till regeringen med förslagi dessa avseenden. om behov uppkommer.

Som DALK har framhållit får reformen konsekvenser även för de registeransvariga. Förändringen från krav på tillstånd för varje personregis- ter till licensplikt innebär administrativa förenklingar för de registeransva- riga. Vidare bör väntetiderna hos inspektionen kunna minska betydligt. Den föreslagna skyldigheten att föra förteckningar över personregister utgör visserligen ett nytt åliggande för de registeransvariga. men detta torde knappast kunna betraktas som betungande. Man bör beakta att uppgifterna i förteckningarna utan större arbete regelmässigt bör kunna hämtas från den registeransvariges egen systemdokumcntation.

Från de registrerades synpunkt torde reformen medföra enbart positiva konsekvenser. Genom att datainspektionens verksamhet kan koncentreras till tillståndsprövning av särskilt integritetskänsliga register och till tillsyns- verksamhet skapas förutsättningar för en förbättring av integritetsskyd- det.

5. Upprättade lagförslag

I enlighet med vad jag nu har anfört har inom justitiedepartementet upprättats förslag till

1. lag om ändring i datalagen (1973:289) . 2. lag om ändring i sekretesslagen (19801100).

Min avsikt var ursprungligen att de nu framlagda lagförslagen skulle remitteras till lagrådet. Enligt planerna skulle lagrådsremiss ha beslutats vid månadsskiftet februari/mars. Lagrådet. som då arbetade på fyra avdelningar. dvs. det högsta tillåtna antalet. hade emellertid ett utomordentligt ansträngt program. Alla de lagförslag som var av det slaget att lagrådet enligt 8 kap. 18.5 andra stycket regeringsformen borde höras över dem kunde inte granskas i tillräckligt god tid för att förslagen skulle kunna föreläggas riksdagen före den tidpunkt som anges i 3 kap. 3.5 riksdagsordningen. Lagrådsgranskning fick därför underlåtas i flera fall med stöd av den nyss nämnda paragrafen i regeringsformen. där det bl. a. föreskrivs att lagrådets granskning kan underlåtas. om det skulle fördröja lagstiftningsfrågans

• Sida 52
•  Original

Prop. 1981/82:189 52

behandling så att avsevärt men skulle uppkomma. I förevarande fall skulle någon lagrådsgranskning inte ha kunnat ske med hänsyn till lagrådet program.

De lagförslag som jag lägger fram i detta ärende går ut på att förenkla förfarandet vid datainspektionens handläggning av ärenden enligt datalagen . Det främsta syftet med reformen är att förstärka och effektivisera integritetsskyddet. Reformen är angelägen för att datainspektionen skall kunna rationalisera sin verksamhet och koncentrera sina resurser på sådana personregister som är särskilt känsliga från integritctsskyddssynpunkt. lnte minst med hänsyn till arbetssituationen vid datainspektionen är det önskvärt att de nya bestämmelserna kan träda i kraft så snart som möjligt.

På grund av det anförda anser jag att remiss till lagrådet kan underlåtas i förevarande ärende.

6. Specialmotivering 6.1 Förslaget till lag om ändring i datalagen

2.5

Personregister får inrättas och föras endast av den som har anmält sig hos datainspektionen och fått bevis om detta av inspektionen (licens).

Utöver licens behövs tillstånd av datainspektionen för att inrätta och föra personregister som skall innehålla

I. uppgifter som anges i 4 5.

2. uppgifter som anges i 65 andra stycket,

3. uppgifter om personer som saknar sådan anknytning till den registeran- svarige som följer av medlemskap. anställning, kundförhållande eller något därmed jämförligtförhållande,

4. personuppgifter som inhämtas från något annat personregister. om inte registreringen av uppgifterna sker med stöd av författning eller med den registrerades medgivande.

Första och andra stycket gäller inte personregister som en enskild person inrättar eller för uteslutande för personligt bruk.

Med inrättande av personregister förstås även insamling av uppgifter som skall ingå i registret.

I denna paragraf finns de grundläggande bestämmelserna om det nya licens- och tillståndssystemet. Beträffande de allmänna övervägandena hänvisas till avsnitt 2.2.1—3.

Enligt första stycket får personregister inrättas och föras endast av den som har anmält sig hos datainspektionen och fått bevis om detta av inspektionen. Detta bevis kallas licens. En sådan licens berättigar den registeransvarige att föra ett eller flera icke tillståndspliktiga register. Paragrafen innehåller inte några bestämmelser om vilka uppgifter en anmälan skall innehålla. Bestämmelser härom kan meddelas av regeringen. Datainspektionen skall inte göra någon materiell prövning av en anmälan utan endast på grundval av denna utfärda bevis och föra in erforderliga uppgifter i det register som inspektionen skall föra över de registeransvariga.

• Sida 53
•  Original

Prop. 1981/82:189 53

Enligt andra stycket behövs utöver licens i vissa angivna fall särskilt tillstånd av datainspektionen för att inrätta och föra personregister. Det gäller personregister sotn skall innehålla uppgifter som generellt sett kan antas medföra särskild risk för otillbörligt intrång i enskilds personliga integritet. Det nya tillståndskravet har angetts i fyra olika punkter. Tillståndskravet gäller alltså i fråga om personregister som skall innehålla uppgifter av ett eller flera av de slag som anges i dessa punkter.

I undantagsfall kan det uppstå fråga om ett visst register, för vilket tillstånd har sökts. faller under tillståndsplikten eller inte. Skulle datainspektionens prövning utmynna i bedömningen att tillstånd inte fordras. bör ansökningen avskrivas under angivande av det skälet och sökanden underrättas härom. Någon särskild föreskrift om detta behövs inte. eftersom det torde följa av allmänna förvaltningsrättsliga principer.

I fråga om punkt] och 2 hänvisas till vad som har anförts i den allmänna motiveringen. Bakom kravet på tillstånd enligt punkt 3 ligger samma grunduppfattning som har utgjort motiv för 3 a &, nämligen att personregister inte utan ett angeläget behov bör få innehålla uppgifter om andra personer än sådana som har en naturlig anknytning till den registeransvariges verksam— het.

När det gäller att dra gränsen mellan sådan registrering som bara omfattas av kravet på licens och sådan. som därutöver kräver särskilt tillstånd enligt punkt 3. är alltså sambandet mellan den registeransvarige och den registrerade avgörande. Särskilt tillstånd krävs. om det saknas en naturlig anknytning. Lagtexten innehåller tre exempel på när sådan anknytning anses föreligga. nämligen medlemskap. anställning och kundförhållande. Andra exempel är förhållandet hyresvärd—hyresgäster. skola—elever. hotell—gäster. konferensarrangör—deltagare. Som ytterligare exempel kan nämnas förhål- landet mellan en kommunal myndighet och sökande av bostäder eller daghemsplatser. Av väsentlig betydelse är alltså om registreringen grundar sig på en ömsesidig kontakt mellan den registeransvarige och den registerade och om registret används för att administrera denna kontakt.

En allmänt godtagen grundsats när det gäller personregistreringen är att personuppgifter som har samlats in för ett visst register i princip inte bör få utnyttjas för andra register. Enligt punkt 4 krävs därför i princip tillstånd för register som skall innehålla personuppgifter som inhämtas från något annat personregister. Bestämmelsen innebär att det normalt krävs tillstånd för s. k. samkörning. Med begreppet samkörning avses maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig. Även annan direkt överföring av uppgifter från ett personregister till ett annat omfattas av bestämmelsen.

Kravet på tillstånd enligt punkt 4 gäller inte om det finns stöd i författning för en samkörning av register och inte heller om de registrerade har lämnat sitt medgivande. En registeransvarig får alltså utan särskilt tillstånd inhämta

• Sida 54
•  Original

'JI .P—

Prop. 1981/82:189

uppgifter på ADB—medium från ett personregister hos en annan registeran- svarig. om han har rätt att inhämta och registrera uppgifterna enligt bestämmelse i en författning. I detta innefattas även att sådan registrering sker efter tillstånd av datainspektionen. Det bör framhållas att författnings- stödet skall avse inhämtande av uppgifter för det aktuella registret. Även om det kan finnas sådant stöd för att lämna ut uppgifter från ett visst register på ADB-medium gäller tillståndsplikten ändå för det register till vilket uppgifterna inhämtas. Den som önskar göra en samkörning mellan sitt eget register och det statliga person- och adressregistret (SPAR) för att aktualisera uppgifter i det egna registret får sålunda inte göra detta om inte tillstånd har meddelts av datainspektionen för detta eller det kan grundas på annat författningsstöd (jfr prop. 1980/81:62. s. 16).

Av punkt 4 följer vidare att möjligheterna är begränsade att ändra ändamålet med ett personregister som innehåller uppgifter som har inhämtats genom samkörning med ett annat personregister. När datainspek- tionen ger tillstånd till ett sådant register. skall inspektionen enligt 55 meddela föreskrifter om ändamålet med registret. vilket innebär att ändamålet inte får ändras utan inspektionens tillstånd. Även i de fall då något tillstånd inte behövs för att föra ett sådant register, därför att registreringen sker med stöd av författning eller med de registrerades medgivande, föreligger det normalt hinder mot att ändra ändamålet med registret. I dessa fall är det nämligen som regel en förutsättning för samkörningen att de införskaffade uppgifterna skall användas för ett visst ändamål. Med hänsyn härtill har det inte ansetts nödvändigt att föreskriva en särskild tilståndsplikt för de övriga fall när ett byte av ändamål för registret sker. Av 75 följer emellertid att ett register skall föras för ett bestämt ändamål. Datainspek- tionen har dessutom möjlighet att. när det anses behövligt. meddela en föreskrift om ändamålet med stöd av 18 5. Enligt tredje stycket undantas från licens- och tillståndsplikt personregister som inrättas och förs av en enskild person uteslutande för personligt bruk. Bestämmelserna om den registeransvariges skyldigheter. om datainspektio- nens tillsyn m. m. gäller dock även dessa register. Undantaget enligt tredje stycket gäller endast fysiska personer och avser alltså inte juridiska personer som bolag. föreningar. stiftelser eller organisationer och inte heller myndigheter.

Undantaget gäller vidare endast personregister som inrättas och förs uteslutande för personligt bruk. Som typexempel kan nämnas adress- och telefonförteckningar över vänner och bekanta. Hit hör också register sotn rör den egna familjens ekonomi.

Avgörande för om undantagsbestämmelsen blir tillämplig är bl.a. om användningen av ett personregister till någon del hänger samman med näringsverksamhet. Med näringsidkare avses varje person som yrkesmässigt driver verksamhet av ekonomisk art. Till näringsidkare räknas t. ex. fria yrkesutövare som advokater. arkitekter. fotografer. journalister m .fl. Även

• Sida 55
•  Original

Prop. 1981/82:189 55

den som driver verksamhet i mindre skala anses som näringsidkare. om det yrkesmässiga momentet är uppfyllt. Något vinstsyfte krävs inte.

Om en person helt eller delvis använder ett personregister i sin näringsverksamhet. kan det aldrig vara fråga om att registret används uteslutande för personligt bruk. Undantagsregcln är då inte tillämplig. Detsamma gäller om någon inrättar eller för ett personregister som till någon del skall användas för hans yrkesverksamhet såsom anställd.

Personregister som används för forskning kan som regel inte anses avsedda uteslutande för personligt bruk. Om ansvaret för ett visst forskningsprojekt åvilar en universitetsinstitution. är det fråga om verksamhet inom den offentliga sektorn. Undantagsbestämmelsen blir då inte tillämplig. Ofta finansieras forskningsprojekt av näringslivet eller av stiftelser c. d. I sådana fall förväntas i regel någon form av resultat som kan användas för publicering eller på annat sätt. Det är då heller inte fråga om något renodlat personligt bruk. I undantagsfall förekommer det dock att forskning bedrivs mera som hobbyverksamhet och finansieras med egna medel. Ett exempel är släkt- forskning. I sådana fall kan man tala om användning av personuppgifter uteslutande för personligt bruk. Villkoret för detta är dock att det inte till någon del är fråga om yrkes- eller näringsverksamhet.

Iden mån ett register har ändamål som kan hänföras både till personligt bruk och till annat blir undantagsregeln inte tillämplig. Det är då inte fråga om uteslutande personligt bruk. Om exempelvis en affärsidkare eller advokat för register över kunder eller klienter som samtidigt hör till bekantskapskretsen. blir undantagsregeln inte tillämplig.

l fjärde stycket finns i oförändrad lydelse det förtydligande av vad som förstås med inrättande av personregister som år 1979 infördes i 25 första stycket.

2 a .5

Tillstånd av datainspektionen behövs inte för personregister vars inrättande beslutas av riksdagen eller regeringen. Innan sådant beslut fattas skall dock yttrande inhämtas från datainspektionen, [ fråga om register som skall innehålla uppgifter sotn avses i .? 5 andra stycket.

Tillstånd behövs inte heller för personregister som har tagits emot för förvaring av en arkivmyndighet.

Utan hinder av 2 5 andra stycket 1 får ]. sammans/utningar inrätta och föra pem'onregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning. religiösa tro eller överty- gelse i övrigt som utgör grunden för medlemskapet i sammansliitningen.

2. myndigheter inom hälso- och sjukvården för vård- eller behandlingsän- damål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt.

3. myndigheter inom socialtjänsten inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten.

4. läkare och tandläkare inrätta och föra personregister som innehåller

• Sida 56
•  Original

Prop. 1981/82:189 56

sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet.

Denna paragraf innehåller bestämmelser om undantag från tillståndsplik- ten för vissa slag av personregister. Registeransvariga som inrättar eller för sådana register måste dock ha licens enligt huvudregeln i 2 5 första stycket. I fråga om den allmänna motiveringen till bestämmelserna hänvisas till avsnitt 2.2.3 och 2.3.1.

Enligt första stycket är liksom hittills personregister vars inrättande beslutas av riksdagen eller regeringen undantagna från kravet på särskilt tillstånd. Innan beslut om att inrätta ett sådant register fattas skall dock yttrande inhämtas från datainspektionen. om registret innehåller uppgifter som i annat fall skulle ha medfört tillståndstvång. dvs. uppgifter som anges i 2 5 andra stycket. Av nya 6 a 5 följer att inspektionen också skall besluta om föreskrifter för dessa register.

Bakgrunden till undantaget i andra stycket är. såsom angetts i avsnitt 2.3. 1 i den allmänna motiveringen. datainspektionens skrivelse till regeringen i november 1980 och uppfattningen att enbart förvaring av personregister hos en arkivmyndighet inte kan anses vara speciellt känslig från integritetssyn- punkt. Reglerna om licensskyldighet liksom datalagens övriga regler. bl. a. om de registeransvarigas förpliktelser. är dock tillämpliga även på sådana rcgisteri den mån arkivmyndigheten enligt 1 5 datalagen är registeransvarig för dessa.

Undantaget i andra stycket avser sådana arkivmyndigheter som anges i allmänna arkivstadgan. Om uppgifter lämnas ut på medium för automatisk databehandling eller eljest för automatisk databehandling till någon annan. följer av lagens bestämmelser i övrigt att mottagaren blir skyldig att ha licens och. i vissa fall. tillstånd av datainspektionen. _

I tredje stycket föreskrivs undantag för vissa registeransvariga från kravet på tillstånd enligt 2 5 andra stycket 1.

Enligt tredje stycket punkt 1 undantas sådana personregister som innehåller uppgifter om någons politiska uppfattning. religiösa tro eller övertygelse i övrigt och som en sammanslutning för beträffande sina egna medlemmar.

En förutsättning för att tillstånd inte skall krävas i detta fall är att de uppgifter som registreras utgör grunden för medlemskapet i sammanslut- ningen. Vad som åsyftas är t. ex. att en politisk förening registrerar sina medlemmar och att det därigenom direkt eller indirekt framgår att medlemmen delar föreningens politiska mål. Bestämmelserna medger således inte registrering av andra uppgifter om politisk eller religiös uppfattning än sådana som avser grunden för medlemskapet. En facklig sammanslutning får således inte utan tillstånd registrera medlemmarnas politiska uppfattning. Inte heller får en sammanslutning registrera uppgift om att en viss person tidigare har tillhört en annan politisk sammanslutning eller har varit medlem i ett annat religiöst samfund. Med hänsyn till att de

• Sida 57
•  Original

Prop. 1981/82:189 57

uppgifter som avses med bestämmelsen genomgående är mycket känsliga från integritetsskyddssynpunkt bör utrymmet för befrielse från tillstånds- plikten vara mycket begränsat.

Bestämmelsen i punkt 2 är tillämplig på både statliga och kommunala myndigheter som för register angående sjuk- och hälsovård. Undantaget från tillståndsplikten avser endast uppgifter om någons sjukdom eller hälsotill- stånd. Om registret kommer att innehålla sådana uppgifter som avses i 6 5. omdömen och värderingar. följer av 25 andra stycket 2 att tillstånd för registret behövs. Undantaget omfattar endast sådana register som förs för vård- eller behandlingsändamål. Andra register som förs inom hälso- och sjukvården, såsom forskningsregister. omfattas inte av bestämmelsen.

Bestämmelsen ipunkt 3 är tillämplig på de kommunala myndigheter som för register inom socialtjänstens ram. I dessa register kan finnas uppgifter som behövs för de verksamheter som regleras av socialtjänstlagcn (l980:620). lagen (1980:621) med särskilda bestämmelser om vård av unga och lagen (19811343) om vård av missbrukare i vissa fall.

Enligt punkt 4 görs undantag från tillståndskravet för läkare och tandläkare som för patientregister. Med stöd av 2 5 tredje stycket datalagen och DIFS 198014 faller flertalet av dessa register nu utanför tillståndsplikten. Undantaget har utvidgats till att gälla utan de förbehåll som f. n. anges i DIFS 1980:4. Personregister, vilka som ett normalt led i den yrkesmässiga verksamheten inrättas av läkare och tandläkare. får alltså i fortsättningen föras utan tillstånd oavsett vilken ADB-teknisk utrustning som används.

4 .5

Tillstånd att inrätta och föra personregister som innehåller uppgift om att någon misstänkes eller dömts för brott eller avtjänat straff eller undergått annan påföljd för brott eller varit föremål för tvångsingripande enligt lagen (1980:621) med särskilda bestämmelser om vård av unga. lagen (1981:1243) om vård av missbrukare i vissa fall. lagen (1966:293) om beredande av sluten psykiatrisk vård i vissa fall. lagen (1967:940) angående omsorger om vissa psykiskt utvecklingsstörda eller utlänningslagen (19801376) får endast om synnerliga skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.

Tillstånd att inrätta och föra personregister sotn i övrigt innehåller uppgift om någons Sjukdom. hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får endast om särskilda skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter.

Tillstånd att inrätta och föra personregister som innehåller uppgift om någons ras. politiska uppfattning. religiösa tro eller övertygelse i övrigt får meddelas endast om särskilda skäl föreligger.

Som framgår av avsnitt "2.4.2 i den allmänna motiveringen kräver en svensk anslutning till Europarådets dataskyddskonvention vissa kompletteringar av 4 5. Denna paragraf innehåller en uppräkning av uppgifter som har ansetts

• Sida 58
•  Original

Prop. l981/82:189 58

vara särskilt känsliga och som därför inte får ingå i personregister. om inte synnerliga eller särskilda skäl föreligger. De personuppgifter som nämns i konventionen men som saknas i uppräkningen i4 & i dess nuvarande lydelse är uppgifter som rör sexualliv, uppgifter som avslöjar ras och uppgifter om annan övertygelse än religiös tro.

Uppgifter om sexualliv anges i uppräkningen i andra Stycket. Enligt denna bestämmelse krävs det — för annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter — särskilda skäl för att få tillstånd att inrätta och föra personregister som innehåller uppgifter om sexualliv. Härmed avses i detta sammanhang uppgift såväl om rent medicinska förhållanden som om sexualvanor o. d.

Uppgifter om ras och om annan övertygelse än religiös tro har tagits med i uppräkningen i tredje stycket. Enligt denna bestämmelse krävs särskilda skäl för att få tillstånd att inrätta och föra personregister som innehåller sådana uppgifter. Bakgrunden till att begreppet annan övertygelse än religiös tro har förts in i bestämmelsen är att man i konventionen har tagit hänsyn till att övertygelser som inte är av religiös art kan vara lika skyddsvärda som religiösa uppfattningar. Med det nya begreppet avses bl. &. uppgift om att någon omfattar en filosofisk lära eller är ateist.

5 ä'

I samband med att tillstånd lämnas till inrättande och förande av personregister. skall datainspektionen meddela föreskrift om ändamålet med registret. Föreligger särskilda skäl. får tillståndet begränsas till viss tid.

6 .é'

Lämnas tillstånd till inrättande och förande av personregister. skall datainspektionen. i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet. meddela föreskrift om

inhämtande av uppgifter för personregistret. vilka personuppgifter som får ingå i personregistret. utförandet av den automatiska databehandlingen. den tekniska utrustningen.

5. de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling.

6. underrättelse till berörda personer.

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning av personuppgift. 9. bevarande och gallring av personuppgifter. IO. kontroll och säkerhet.

Vid bedömandet av om föreskrift behövs skall särskilt beaktas huruvida registret innehåller personuppgift som utgör omdöme eller annan värderan- de upplysning om den registrerade.

Föreskrift rörande utlämnande av personuppgift får icke inskränka myndighets skyldigheter enligt tryckfrihetsförordningen .

ulaf-ak)»—

• Sida 59
•  Original

Prop. 1981/82:189 59

Som framgår av avsnitt 2.3.3 i den allmänna motiveringen föreslås att det hittillsvarande obligatoriska kravet i 5 5 på föreskrift om registerinnehållet skall göras fakultativt. En bestämmelse om möjlighet för inspektionen att meddela en sådan föreskrift har därför tagits in som punkt 2 i 6 %. Den enda föreskrift som inspektionen härefter alltid skall besluta enligt 5 % i samband med ett tillstånd avser registrets ändamål.

6 a >>” Bestämmelserna i 5 och 6 åå om skyldighet för datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2115 första stycket andra meningen. i den mån icke regeringen eller riksdagen har meddelat föreskrift i samma hänseende. !

I paragrafen. som i sak överensstämmer med den tidigare 7 &. har endast gjorts en redaktionell ändring.

7.5

Personregister skall inrättas och- föras så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. Därvid skall särskilt iakttas

]. att registret förs för ett bestämt ('indamäl.

2. att inte andra uppgifter registreras än som står i överensstämmelse med registrets ändamål.

3. att uppgifter inte samlas in. lämnas ut eller används annat än i överensstämmelse med registrets ändamål eller vad som gäller enligt lag eller annan författning eller i enlig/let med den registrerades medgivande.

4. att uppgifterna i registret skyddas mot oavsiktlig eller otillåten förstörelse eller mot otillåten ändring eller spridning.

Denna bestämmelse. som är ny. är tillämplig på alla slag av personregister. oavsett om de kräver tillstånd eller ej. Den gäller också sådana personre- gister som får föras utan licens, dvs. sådana som förs uteslutande för personligt bruk.

Föreskrifterna i punkt 1—4 anger en minimistandard för persondataskyd- det. Datainspektionen är oförhindrad att besluta om föreskrifter som innebär ytterligare skyldigheter för de registeransvariga ide avseenden som nämns i bestämmelsen. Sådana föreskrifter kan beslutas såväl med stöd av 5 och 6 åå i samband med att tillstånd meddelas för ett tillståndspliktigt register som med stöd av 18 &.

I övrigt hänvisas till avsnitt 2.2.4 i den allmänna motiveringen.

7 (1 S*

Hos den registeransvarige skall finnas en aktuell ft'irteckning över de personregister som han är ansvarig för. Förteckningen skall innehålla uppgift om:

• Sida 60
•  Original

Prop. 1981/82:189 60

I. registrets benämning,

2. registrets ändamål,

3. lokalen där den automatiska databehandlingen huvudsakligen utförs.

4. numret på den registeransvariges licens hos datainspektionen.

5. i vad mån personuppgifter lämnas utför automatisk databehandling i utlandet.

Förteckningen skall hållas tillgänglig för datainspektionen och på begäran av denna ges in till inspektionen.

När en registeransvarig sönder en handling som innehåller personuppgifter ur ett personregister till den registrerade. skall upplysning samtidigt lämnas om vem som är avsändare eller om den registeransvariges licensnummer ltos datainspektionen.

Bestämmelserna i denna paragraf gäller inte personregister som en enskild person för uteslutande för personligt bruk eller som en arkivmyndighet har tagit emot för förvaring.

I denna paragraf har tagits in de nya bestämmelserna om förtecknings- skyldighet. I fråga om de allmänna övervägandena hänvisas till avsnitt 2.2.2 i den allmänna motiveringen.

Enligt första stycket skall hos varje registeransvarig finnas en förteckning över de register han är ansvarig för. Bestämmelsen gäller alla registeransva- riga och alla former av register oavsett om dessa omfattas av licens- eller tillståndsplikt eller faller utanför dessa kategorier. Av kravet på att förteckningen skall vara aktuell följer att ändringar beträffande sådana uppgifter som skall finnas i förteckningen genast skall föras in i denna.

Paragrafen innehåller inte några närmare föreskrifter om utformningen av förteckningen. Det får ankomma på den registeransvarige själv att bestämma utformningen. men det kan antas att datainspektionen finner det lämpligt att tillhandahålla särskilda formulär för ändamålet.

Det förekommer normalt att en registeransvarig har upprättat dokumen- tation över sin ADB-användning för något annat ändamål än för att uppfylla vad som krävs enligt denna paragraf. t. ex. systemdokumentation för registeranvändningen eller annan dokumentation som följer av någon annan författning eller av myndighets beslut. För att en förteckning som har upprättats för något annat ändamål skall kunna godtas enligt 7 a % bör krävas att de uppgifter som anges i paragrafen är tydligt angivna. I flertalet fall torde det vara lämpligt att ha en särskild förteckning för att uppfylla kravet i denna paragraf.

Det bör tilläggas att en förteckning som finns upprättad enligt denna paragraf inte ersätter den mera fullständiga systemdokumcntation rörande personregister som datainspektionen kan begära med stöd av 17 å.

Enligt andra stycket skall förteckningen hållas tillgänglig för datainspek- tionen och på begäran av denna ges in till inspektionen. Någon rätt enligt denna bestämmelse för den registrerade att ta del av förteckningen finns inte. En annan sak är att förteckningar som förs hos registeransvariga myndighe- ter eller som har getts in till datainspektionen är allmänna handlingar och

• Sida 61
•  Original

Prop. 198l/82:189 61

därmed blir tillängliga för envar enligt tryckfrihetsförordningens bestämmel- ser, om de inte är föremål för sekretess.

Datainspektionen kan med stöd av bestämmelsen begära in en förteckning i ett särskilt tillsynsärende. men inspektionen har också möjlighet att begära in förteckningar Stickprovsvis eller samtidigt från ett flertal registeransvari- ga, t. ex. från alla registeransvariga i en viss bransch eller inom ett visst område. _

Enligt tredje stycket skall den registeransvarige. när han sänder en handling som innehåller personuppgifter ur ett personregister till den registrerade. samtidigt lämna upplysning om vem som är avsändare. Syftet med bestämmelsen är att den registrerade skall få veta varifrån uppgifter om honom härrör. bl. a. för att han skall kunna vidta åtgärder om uppgifterna skulle vara oriktiga eller innehålla otillåten information e. d. Upplysning om avsändare kan lämnas på olika sätt. Antingen kan det av försändelsens yttre framgå varifrån den kommer eller också kan uppgift om avsändare finnas på de handlingar som översänds eller i ett bifogat brev. Den registeransvarige kan också välja att lämna uppgifter om sitt licensnummer hos datainspek— tionen. se avsnitt 2.2.2 .

Av fjärde stycket framgår att personregister som förs av en enskild person uteslutande för personligt bruk har undantagits både från förteckningsskyl- digheten och från skyldigheten att lämna upplysning om avsändare. Även personregister som har mottagits för förvaring av arkivmyndighet undantas från dessa krav.

[0.5

Den registeransvarige skall på begäran av enskild så snart det kan ske underrätta denne. antingen om innehållet i personuppgift som ingår i personregistret och innefattar upplysning om honom eller om att sådan uppgift ej förekommer i registret. Sådan begäran skall framställas skriftligen och vara egenhändigt undertecknad av den enskilde. I-Iar underrättelse lämnats. behöver ny underrättelse icke lämnas till samme enskilde förrän tolv månader därefter.

Underrättelse enligt första stycket skall lämnas utan kostnad för den enskilde. Föreligger särskilda skäl. får dock datainspektionen i fråga om visst slag av personuppgifter eller i fråga om underrättelse om att personuppgift om enskild ej förekommer i registret medge att avgift tages ut.

Första stycket gäller inte uppgifter [ personregister som har tagits emot för förvaring av en arkivmyndighet och inte heller uppgifter som enligt lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning ej får lämnas ut till den registrerade.

Första stycket gäller icke heller. om det i fråga om visst slag av personuppgifter är uppenbart att underrättelse kan underlåtas på grund av att det inte föreligger någon risk för otillbörligt intrång i registrerads personliga integritet. Underrättelse får dock underlåtas endast efter medgi- vande från datainspektionen.

I fråga om motiven till den ändrade bestämmelsen hänvisas till avsnitt 2.3.1.

• Sida 62
•  Original

Prop. 1981/82:189 _ 62

115

Personuppgift som ingår i personregister får ej lämnas ut. om det finns anledning antaga att uppgiften skall användas för automatisk databehandling i strid med denna lag. Finns det anledning antaga att personuppgift skall användas för automatisk databehandling i utlandet, får uppgiften lämnas ut endast efter medgivande av datainspektionen. Sådant medgivande får lämnas endast om det kan antagas att_utlämnandet av uppgiften icke kommer att medföra otillbörligt intrång i personlig integritet. Något medgivande behövs dock inte, om personuppgift skall användas för automatisk databe- handling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databe/mndling av personuppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i sekretess- lagen (1980:100).

F. n. krävs enligt 11 & datalagen och 7 kap. 16% sekretesslagen datain- spektionens medgivande till utlämnande av personuppgift. om det finns anledning anta att uppgiften skall användas för automatisk databehandling i utlandet. Enligt Europarådets dataskyddskonvention får emellertid en konventionspart inte. uteslutande i syfte att skydda den personliga integri- teten. förbjuda eller kräva särskilt bemyndigande för överföring av personuppgifter över gränsen till en annan parts territorium. För att tillgodose detta krav i konventionen hari 11 ådatalagen liksom i 7 kap. 16 & sekretesslagen förts in en bestämmelse om att datainspektionens medgivan- de inte behövs för utlämnande av personuppgift som skall användas för automatisk databehandling enbart i en stat som har anslutit sig till konventionen.

Av bestämmelsens utformning följer att datainspektionens medgivande kan undvaras bara om uppgifter skall lämnas ut för automatisk databehand- ling enbarti en konventionsstat. Om uppgifter skall föras via en konven- tionsstat till en stat som inte har anslutit sig till konventionen fordras alltså fortfarande medgivande av datainspektionen.

Nationella bestämmelser som begränsar registeransvarigas möjlighet att över huvud taget lämna ut personuppgifter från personregister berörs inte av åtagandena enligt konventionen och är därför tillämpliga även i fortsättning- en. Sådana begränsande bestämmelser finns i sekretesslagen. Begränsning i utlämnandet kan också följa av bestämmelsen i 7 55 eller av föreskrifter som datainspektionen med stöd av 6.5 datalagen har meddelat i ett särskilt tillståndsbeslut. Givetvis gäller också bestämmelserna om tillstånd i 25 andra stycket oavsett om automatisk databehandling skall utföras i Sverige eller i något annat land. Av ett tillstånd kan framgå att databehandlingen av ett register skall ske vid en viss anläggning inom landet. Uppgifterna får i sådant fall inte föras över till någon annan datoranläggning — vare sig denna ligger inom eller utom landet.

Det bör observeras att konventionen endast behandlar restriktioner som görs med hänvisning till skyddet för personlig integritet. Konventionen

• Sida 63
•  Original

Prop. 1981/82:189 63

hindrar alltså inte att lagbestämmelser av andra anledningar förbjuder att uppgifter förs över till utlandet, t. ex. av hänsyn till försvaret eller den nationella säkerheten.

Det bör anmärkas att 115 liksom hittills medför skyldighet för den registeransvarige att vid utlämnande av personuppgifter för automatisk databehandling hos mottagaren kontrollera att denne har licens eller särskilt tillstånd.

125

Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret.

Upp/rören registeransvarig att föra ett personregister för vilket datainspek- tionen har meddelat tillstånd. skall han anmäla detta till inspektionen. Detsamma gäller i fråga om sådant personregister som avses i 2 a 9" första stycket andra meningen.

Datainspektionen meddelar enligt 12 å i dess hittillsvarande lydelse särskilda beslut om hur det skall förfaras med personregister som register- ansvarig anmält att han upphör att föra. Motsvarande föreskrifter i form av generella regler har tagits in i första stycket. Dessa föreskrifter gäller alla personregister. I fortsättningen krävs därför inte några individuella beslut av datainspektionen rörande detta. De nya generella reglerna innebär att uppgifter i personregister som inte längre behövs för registerändamålet skall förstöras. om de inte skall bevaras på grund av bestämmelse i författning eller myndighets beslut som meddelats med stöd av författning. t. ex. arkivför- fattningar eller beslut av riksarkivet. Vidare gäller med samma förbehåll att personregistret som sådant skall förstöras när den registeransvarige upphör att föra registret.

Grundläggande föreskrifter om bevarande och gallring hos statliga myndigheter finns i allmänna arkivstadgan (l9ölt590). Där föreskrivs att utgallring endast får ske med stöd av stadgans bestämmelser eller med stöd av bestämmelser som har meddelats av regeringen eller riksarkivet. Komplet- terande bestämmelser finns i riksarkivets cirkulär (1968z473) om tillämp- ningen av allmänna arkivstadgan. Om gallring finns vidare allmänna bestämmelser i förordningen (19531716) angående utgallring av handlingar hos vissa statsmyndigheter samt i förordningen (l974:648) om utgallring ur upptagning för automatisk databehandling. Även i en rad andra författning- ar, t. ex. lagen (1963:197) om allmänt kriminalregister. finns särskilda bestämmelser om bevarande och gallring. För kommuner och landstings- kommuner finns bestämmelser om arkivvården i kommunallagen (l977:179). När det gäller myndigheterna kan alltså olika bestämmelser om

• Sida 64
•  Original

Prop. 1981/82:189 64

arkivvård föranleda en rad undantag från huvudregeln i första stycket.

Den nya bestämmelsen hindrar inte att datainspektionen i ett tillstånds- beslut med stöd av 6 % datalagen meddelar särskild föreskrift om bevarande och gallring av personuppgifter. Inspektionen kan också enligt 18 % ingripa med föreskrifter eller förbud att föra registret, om detta anses behövligt med anledning av tillsyn och vad som då kommit fram om registrets användning m. m.

Enligt andra stycket skall registeransvarig som upphör att föra personre- gister för vilket han har särskilt tillstånd anmäla detta till datainspektionen. Det har inte ansetts nödvändigt att föreskriva en motsvarande anmälnings- skyldighet då en registeransvarig som enbart har licens upphör att föra personregister. Anmälningsskyldigheten gäller också sådana register som inrättats genom beslut av riksdagen eller regeringen och för vilka gäller skyldighet enligt 2 a ta att inhämta yttrande från datainspektionen. För dessa register har inspektionen normalt meddelat föreskrifter enligt 5 och 6 55.

1855

Har förandet av personregister lett till otillbörligt intrång i personlig integritet eller finns anledning antaga att sådant intrång skall uppkomma, får datainspektionen i mån av behov meddela föreskrift i sådant avseende som anges i 5 eller 6.5 eller ändra föreskrift som tidigare meddelats. I fråga om sådant register som avses i 2 a 5 första stycket får datainspektionen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riksdagen.

Kan skydd mot otillbörligt intrång i personlig integritet ej åstadkommas på annat sätt, får datainspektionen förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket.

lförsta stycket har gjorts ett par redaktionella ändringar. I andra stycket har införts en bestämmelse om rätt för datainspektionen att förbjuda fortsatt förande av personregister. Denna möjlighet tar sikte på de register för vilka tillstånd inte behövs. För de register för vilka tillstånd har meddelats har inspektionen såsom tidigare istället att återkalla tillståndet. Från de nu angivna möjligheterna undantas dock register vars inrättande har beslutats av riksdagen eller regeringen.

20 9" Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet

]. inrättar eller för personregister utan licens eller tillstånd enligt denna lag. när detta erfordras. '

2. bryter mot föreskrift eller förbud som meddelats enligt 5. 6 eller 18 ä

3. lämnar ut personuppgift i strid mot 11 5.

4. bryter mot 12 .5.

• Sida 65
•  Original

Prop. 1981/82:189 65

5. lämnar osann uppgift vid fullgörande av skyldighet att lämna under- rättelse enligt 10 5. eller

6. lämnar osann uppgift i fall som avses i 17 5. Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot 7 a 5 första eller tredje stycket.

25

Har personregister inrättats eller förts utan licens eller tillstånd enligt denna lag. när licens eller tillstånd behövs, skall registret förklaras förverkat, om det ej är uppenbart obilligt. Detsamma gäller. om personregister har förts i strid mot förbud enligt 185 andra stycket.

245

Om registeransvarig eller den som för registeransvarigs räkning handhar personregister underlåter att lämna tillträde till lokal eller tillgång till handling i fall som avses i 165 eller att lämna uppgift enligt 17 5, får datainspektionen förelägga vite. Detsamma gäller, om registeransvarig icke fullgör vad som åligger honom enligt 7a 5 andra stycket. 8. 9 eller 10 5.

I dessa paragrafer har gjorts vissa följdändringar till övriga nya regler i datalagen. Enligt den nya lydelsen av 20 5 första stycket I är det sålunda straffbart att föra personregister utan licens, när detta erfordras. Vidare är enligt andra stycket skyldigheten att ha en förteckning över personregister enligt 7 a 5 första stycket sanktionerad med böter. Detsamma gäller skyldigheten enligt 7 a 5 tredje stycket att ange avsändare i handlingar till den registrerade. I 22 5 har utöver vissa redaktionella ändringar införts en möjlighet att förverka även sådana personregister som förs utan licens enligt de nya reglerna. Slutligen har i 245 gjorts ett tillägg som innebär att skyldigheten att hålla förteckning tillgänglig och ge in denna till datainspek- tionen enligt 7 a 5 andra stycket omfattas av bestämmelserna om vite.

Ikraftträdande m. m.

Denna lag träder i kraft, såvitt avser 7 a 5 den 1 januari 1983. och i övrigt den 1 juli 1982.

Bestämmelserna i 25 gäller även personregister som har inrättats före ikraftträdandet. Om anmälan och ansökan om tillstånd, om sådant krävs, görs före den 1 januari 1983, får dock ett sådant register föras utan hinder av 25 tills ärendet har prövats slutligt. Nytt tillstånd behövs inte för sådana register som datainspektionen har gett tillstånd till före ikraftträdandet.

Enligt förslaget skall de nya bestämmelserna träda i kraft den 1 juli 1982. I fråga om skyldigheten att föra förteckningar över personregister föreslås dock, med hänsyn till att de nya reglerna i inledningsskedet medför ett visst arbete för de registeransvariga, att reglerna inte skall träda i kraft förrän den 1 januari 1983.

Enligt DALK:s förslag skall de nya bestämmelserna om anmälningsskyl- dighet enligt 25 vara tillämpliga även på registeransvariga som har fått

• Sida 66
•  Original

Prop. 1981/82:189 66

datainspektionens tillstånd att föra personregister före lagens ikraffträdan- de. Under remissbehandlingen har detta förslag kritiserats av en del remissinstanser, som menar att förslaget leder till onödig byråkrati och som därför förordar att övergångsbestämmelserna förenklas.

För min del vill jag understryka vikten av att det nya licens- och tillståndssystemet inte leder till någon försämring av integritetsskyddet. Det är önskvärt att datainspektionen även i fortsättningen så långt som möjligt har överblick över personregistreringen i landet. Från denna synpunkt är det angeläget att inspektionen har tillgång till uppgifter såväl om alla som är ansvariga för personregister som framför allt om de personregister som innehåller sådana ömtåliga uppgifter att det krävs tillstånd även enligt de nya reglerna.

Det är alltså viktigt att datainspektionen har tillgång till uppgifter även om sådana register som har fått tillstånd enligt de äldre bestämmelserna. I och för sig är det önskvärt att dessa uppgifter ställs samman av inspektionen själv så att inte de registeransvariga som redan har tillstånd behöver ge in någon anmälan eller någon ny ansökan om tillstånd.

Det har emellertid visat sig att det inte är möjligt för datainspektionen att med ledning av de uppgifter som inspektionen har tillgång till göra en tillförlitlig sammanställning över alla personregister som nu har tillstånd. Anledningen härtill är framför allt att inspektionen i många fall saknar aktuella uppgifter om vem som är registeransvarig och om den registeran- svariges adress. Ofta finns inte ens någon säker uppgift om huruvida ett register fortfarande är i bruk. Orsaken till dessa förhållanden är att de. registeransvariga i många fall har underlåtit att göra erforderliga anmälning- ar om adressändringar. om upphörande av register m. m.

Med hänsyn till det anförda anser jag att man inte kan undvika att låta bestämmelserna om anmälningsskyldighet vara tillämpliga även i sådana fall då tillstånd har meddelats före ikraftträdandet. Däremot finns det givetvis inte anledning att kräva någon ny ansökan om tillstånd beträffande personregister som har fått tillstånd enligt de äldre bestämmelserna.

Jag förutsätter att datainspektionen informerar de registeransvariga om innebörden av det nya systemet och om övergångsbestämmelserna och att inspektionen i den utsträckning det är möjligt bistår de registeransvariga t. ex. genom att skicka ut anmälningsblanketter till alla registeransvariga vilkas adress är känd.

Mot bakgrund av det anförda föreslås en bestämmelse om att 2.5 även gäller personregister som har inrättats före ikraftträdandet. I anslutning till kommitténs förslag föreslås dessutom en övergångsbestämmelse som inne- bär att sådana register tills vidare får föras utan hinder av 2 5, om anmälan och ansökan om tillstånd. om sådant krävs. görs före den 1 januari 1983. Denna rätt gäller tills ärendet slutligt har prövats av datainspektionen eller. om inspektionens beslut överklagas. av regeringen. Bestämmelsen är tillämplig såväl på register som redan har fått tillstånd som på register som

• Sida 67
•  Original

Prop. 1981/82:189 67

inte är tillståndspliktiga enligt de äldre bestämmelserna.

Slutligen föreslås för tydlighetens skull en uttrycklig bestämmelse om att nytt tillstånd inte behövs för sådana register som inspektionen har gett tillstånd till före ikraftträdandet. Övergångsbestämmelserna innebär att de föreskrifter som datainspektionen har meddelat före den 1 juli 1982 i samband med att tillstånd meddelats för ett visst register. eller i ett annat sammanhang, skall gälla tills vidare. Följden blir att de registeransvariga, som för sådana register som enligt de nya bestämmelserna inte skulle vara tillståndspliktiga. ändå har att följa beslutade föreskrifter. Det torde nämligen med hänsyn till ett flertal omständigheter inte vara lämpligt att lagstiftningsvägen generellt upphäva tidigare meddelade föreskrifter för dessa typer av register. En sådan ordning skulle för det första medföra icke helt överblickbara konsekvenser. Man bör inte heller lägga ansvaret på de registeransvariga att bedöma i vilken utsträckning tidigare meddelade föreskrifter inte längre skall anses gälla. Av administrativa skäl är det vidare inte möjligt att låta datainspektionen ompröva samtliga tidigare tillstånd. Jag vill slutligen framhålla att föreskrifterna regelmässigt materiellt överens- stämmer med hur registren bör användas även enligt den nya ordningen. Avsikten är ju inte att förändra innehållet i integritetsskyddet utan att genomföra effektivare rutiner hos datainspektionen m. m. Skulle deti något fall vara önskvärt att en tidigare föreskrift upphävs eller ändras, har den registeransvarige som tidigare möjlighet att göra framställning om detta hos datainspektionen.

Av ikraftträdandebestämmelserna följer att register som inrättas efter den 1 juli 1982 helt faller under de nya bestämmelserna. Detta gäller också för register för vilka ansökan om tillstånd dessförinnan har lämnats in till datainspektionen men där inspektionen inte har avgjort ansökningarna före den 1 juli 1982. Dessa ansökningar bör alltså handläggas enligt de nya reglerna. Licens bör dock kunna utfärdas utan särskild anmälan och tillstånd därutöver meddelas, om det behövs enligt de nya bestämmelserna. Skulle det visa sig att ett register inte faller under tillståndsplikten enligt de nya bestämmelserna. har inspektionen att avskriva ärendet från vidare handlägg- ning och underrätta sökanden om detta efter att ha meddelat licens när detta inte har skett i annat sammanhang (jfr specialmotiveringen till 2 5).

6.2 Förslaget till lag om ändring i sekretesslagen

7 kap. 16 #

Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289) . om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen .

Sekretess för uppgift som anges i första stycket gäller också. om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandlingi utlandet och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på

• Sida 68
•  Original

Prop. 1981/82:189 68

datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej. om uppgiften skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskildayid automatisk databehandling av personuppgifter.

Enligt artikel 15 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter skall tillbörligt sekretesskydd finnas i fråga om upplysningar i ärenden om bistånd enligt konventionen. Bestämmelsen i sekretesslagen om sekretess hos datainspektionen har därför kompletterats i detta avseende.

9kap. 6 #

Sekretess gäller hos datainspektionen i ärende om tillstånd eller tillsyn. som enligt lag ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden. om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekretessen också där.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio ar.

Bestämmelsen. som avser utlämnande av uppgifter i det allmännas verksamhet, motsvarari sak 11 ådatalagen. Beträffande ändringen hänvisas till vad som har anförts i specialmotiveringen till den paragrafen.

7. Hemställan

Jag hemställer att regeringen föreslår riksdagen

dels att anta förslagen till

1. lag om ändring i datalagen (1973289),

2. lag om ändring i sekretesslagen (19811100). dels att godkänna konventionen den 28 januari 1981 till skydd för enskilda vid automatisk databehandling av personuppgifter. dels att bemyndiga regeringen att besluta om avgifter för datain- spektionens verksamhet i enlighet med de riktlinjer som jag har angett i det föregående.

8. Beslut

Regeringen ansluter sig till föredragandens överväganden och beslutar att genom proposition föreslå riksdagen att anta de förslag som föredraganden har lagt fram.

• Sida 69
•  Original

Sammanfattningsvis avstyrkes på de ovan redovisade grunderna kommit- témajoritetens förslag till ändringar i datalagen.

Juridiska fakultetsnämnden vid Lunds universitet hänför sig till DALK:s uttalande "Med de syften som ligger bakom licens- och förteckningsskyldig- heten bör den registeransvariges uppgifter kunna godtas utan någon närmare granskning. Kontrollen bör i stället i huvudsak ske genom stickprov i samband med tillsynsverksamheten eller eljest när särskilda omständigheter föranleder närmare granskning” och anför:

Fakultetsnämnden ställer sig tveksam till om en sådan radikal förändring av datalagens kontrollsystem bör införas på nuvarande stadium. när utredningen om införande av en särskild personregisterlag pågår. Fakultets- nämnden befarar. att den enskildes nuvarande integritetsskydd kan komma att äventyras. om den föreslagna reformen genomföres. Tydligt är, att kommittén varit mycket splittrad i frågan. Således har hälften av antalet ledamöter reserverat sig mot det i promemorian framlagda förslaget. Reservanterna tycks mena. att man bör avvakta med att genomföra reformen. Fakultetsnämnden anser, att en så viktig lagändring som det här är fråga om helst bör ha en bred förankring. inte minst bland kommitténs egna ledamöter.

Tekniska högskolan i Stockholm finner det otillfredsställande med kortsiktiga lagändringar. Högskolan hade hellre sett en totallösning i samband med lagstiftningen om personregister.

Malmö kommun yttrar:

Erfarenheter från kommunens egen ökande verksamhet inom dataområ- det talar för önskvärdheten av enklare och effektivare administrativt förfarande i samband med prövning av tillstånd för dataanläggningar. Till följd av den snabba tekniska utvecklingen inom dataområdet kan man förvänta sig att inom en nära framtid antalet personregister kommer att öka avsevärt. Inom kommunen planerar man att såsom terminal använda en mikrodator med lokal möjlighet att lagra avsevärda mängder av information (personregister). Inom en period av 3—4 år kommer Malmö kommun troligen att ha ca 500 sådana terminaler (datorer) utplacerade hos de olika förvaltningarna.

Kommunstyrelsen anser emellertid. i enlighet med vad Stig Gustavsson m. fl. framhåller i reservation i utredningen. att starka skäl finns för att i avbidan på arbetet med en generell personregisterlag inte nu skall göras stora och principiellt viktiga ändringar i datalagen . I väntan på den nya

• Sida 129
•  Original

Prop. 1981/82:189 129

lagstiftningen är det då av vikt att, såsom reservanterna även uttalar. datainspektionen tilldelas ökade resurser för att med oförändrade regler tills vidare kunna fullgöra sina uppgifter på ett tillfredsställande sätt.

Sveriges advokatsamfund anför:

Mot bakgrund av att datalagen skall ersättas av en generell personregis- terlag ifrågasätter samfundet lämpligheten av att på kort sikt genomföra principiella ändringar i datalagen. Ett licens- och tillståndsförfarande i enlighet med förslaget kommer enligt samfundets mening — trots den tveksamhet DALK uttrycker på denna punkt — att innebära en bindning för DALK:s fortsatta arbete med utformande av en generell personregister- lag. '

Det är också av vikt att man undviker ofta återkommande ändringar i datalagen. på sätt DALK också framhåller i promemorian med tanke på att lagen innehåller regler av mycket stor betydelse för alla enskilda medborgare och för hela den enskilda och offentliga sektorn. Att i avvaktan på en ny generell personregisterlag genomföra omfattande ändringar i datalagen— i förening med tämligen svåröverskådliga övergångsbestämmelser — väcker betänkligheter och torde på inget sätt främja registrerades och registeran- svarigas berättigade krav på kontinuitet i lagstiftningen och ett lättöverskåd- ligt regelsystem. Från de registrerades och re gisteransvarigas synvinkel torde för övrigt datalagen i den nuvarande utformningen fungera fullt tillfredsstäl- lande.

LO yttrar:

Datalagstiftningskommittén tillsattes 1976 och har bl. a. till uppgift att utreda möjligheterna att förändra den nuvarande datalagen till en generell personregisterlag. Detta arbete anser sig kommittén kunna fullfölja inom de närmaste två åren.

Trots detta kommer kommittén nu med ett förslag om en grundläggande ändringi datalagen från nuvarande tillståndsförfarande till ett licenssystem. De företag eller organisationer som i dag önskar föra personuppgifter på ADB måste först söka tillstånd hos datainspektionen. I ansökningen ska anges syfte med och innehåll i det önskade registret. För löne- och personalregister finns speciella anvisningar som innebär att MBL-protokoll bifogas till ansökningshandlingarna. Detta förfaringssätt skulle enligt förslaget ändras till att inspektionen beviljade licenser som berättigade till att lägga upp personuppgifter på ADB och bearbeta och sprida dessa uppgifter.

Datalagstiftningskommittén anser att man under de två åren det gäller skulle kunna göra en vinst på ca 2 miljoner kronor genom att inte tillsätta de tjänster som krävs på datainspektionen för att inspektionen ska kunna utföra de arbetsuppgifter den är ålagd enligt nuvarande datalag.

För att inte skapa onödig oro anser Landsorganisationen att det skulle krävas avsevärt med arbete för att på ett korrekt sätt informera om denna ändring av lagskyddet för den personliga integriteten i Sverige. Det kan därför finnas anledning att befara att den mycket måttliga beräknade vinsten på 2 miljoner kronor kan minska ytterligare.

Landsorganisationen anser att integritetsfrågorna är alltför angelägna för att för en kortare tidsperiod genomföra en grundläggande ändring av datalagen för att uppnå en ev. vinst på 2 miljoner kronor. Landsorganisa-

• Sida 130
•  Original

Prop. 1981/82:189 130

tionen anser det dessutom anmärkningsvärt att Data]agstiftningskommittén inte föreslår någon ersättning för det skydd för löntagarnas integritet som anvisningarna till den nuvarande datalagen innebär.

Landsorganisationen anser därför inte att den föreslagna ändringen av datalagen bör genomföras under nuvarande omständigheter.

TCO anser att DALK bör avsluta sitt arbete med att i enlighet med sina tilläggsdirektiv undersöka förutsättningarna att på sikt ersätta nuvarande datalag med en personregisterlag. En personregisterlag skulle enligt TCO kunna medföra att integriteten bedömdes med hänsyn till registreringen som sådan utan avseende vid den teknik med vilken registreringen sker. TCO anser det olämpligt att innan detta arbete slutförts genomföra de fundamen- tala förändringar av datalagen som DALK föreslår. Mot denna bakgrund avstyrker TCO DALK:s förslag till förändring av datalagen .

Några remissinstanser tar inte uttrycklig ställning för eller e m ot D A L K : s fö r sla g utan redovisar mer allmänna synpunkter på lämpliga åtgärder.

Rikspolisstyrelsen yttrar:

Rikspolisstyrelsen delar datalagstiftningskommitténs (DALK) uppfatt- ning att ofta återkommande ändringar i datalagen bör undvikas särskilt med hänsyn till att lagen innehåller regler av mycket stor betydelse för alla enskilda medborgare och för hela den offentliga sektorn. Ytterligare ett starkt skäl att noggrant pröva behovet och lämpligheten av att nu göra ändringar är att DALK enligt tilläggsdirektiv den 6 mars 1980 har att utreda frågan. huruvida en generell personregisterlagstiftning. som inte i första hand är inriktad på registreringstekniken, på sikt bör ersätta datalagen. Ett genomförande av de nu föreslagna förhållandevis omfattande ändringarna skulle kunna medföra inte önskvärda bindningar i arbetet på en sådan lagstiftning.

Med anledning härav anser styrelsen att på kort sikt inte bör vidtas mera omfattande ändringar och åtgärder än vad som oundgängligen krävs för att lösa de aktuella problemen.

Självfallet bör disponibla resurser vid datainspektionen i första hand nyttjas för prövning av personregister som generellt sett innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet. Styrelsen har därför inte något att erinra mot DALK:s förslag till avgränsning av tillståndskravet att avse sådana register.

Samlzällsvetenskapliga fakultetsnämnden vid Stockholms universitet anser att regeringen bör låta en utredning förutsättningslöst pröva om och i vad mån datalagens tillstånds- och ansökningsförfarande kan ersättas med en lag som straffbelägger vissa specificerade integritetsintrång i datasammanhang. Nämnden erinrar om att den framfört samma uppfattning i ett tidigare remissyttrande över DALK:s arbete.

Svenska Annonsörers Förening m. fl. organisationer redovisar i ett längre yttrande olika synpunkter på integritetsskyddets utformning. Organisatio— nerna anför:

• Sida 131
•  Original

Prop. 1981/82:189 131

l . Allmänna synpunkter

Som påpekas i betänkandet har bl. a. organisationerna tidigare pekat på vissa negativa effekter av datalagen . Den allvarligaste effekten var att tillämpningen av datalagen förhindrade innovation och utveckling på personregisterområdet. Man menade vidare att vissa föreskrifter onödigt försvårade och fördyrade registerinnehavarnas verksamhet. Tillämpningen eller föreskrifterna motiverades ej av påvisbara obehöriga intrång i den personliga integriteten. utan på förmodanden om sådana intrång förmedlade av konkurrerande medier främst i återkommande dagspressannonsering med stöd av ofullständig redovisning från olika undersökningar.

Organisationerna var därför av den uppfattningen att tillämpningen och föreskrifterna kunde ha ersatts av en tillsynsverksamhet. Därigenom hade samma resultat kunnat uppnås. utan att påtalade negativa effekter hade uppstått. Resultatet hade också blivit att lagstiftarens intentioner att, vid sidan av integritetsskyddet, de ”positiva effekterna av ADB så långt som möjligt tas till vara" (prop. 1973:33 sid. 90). och att en reglering inte nödvändigtvis skulle "leda till hinder eller olägenheter i . . . enskild verksamhet" (pr0p. 1976/77:27 sid. 17).

Det finns skäl att betona att kritik mot datalagens tillämpning riktats även från andra håll där man —i likhet med vad som är fallet för marknadsföring — är beroende av utvecklingsmöjligheter. Negativa effekter har således påtalats av organ med anknytning till forskningen inom universitetsväsendet, Riksdataförbundet. Svenska Dataföreningen. Svenska Civilekonomför- eningen och Civilekonomernas Riksförbund.

Föreliggande förslag syftar visserligen till förenklingar av datalagen och rutinerna i datainspektionens hantering. Emellertid innebär förslagen ej att de av organisationerna påtalade negativa effekterna förändras.

3. "'9 Behovet av åtgärder på kort sikt"

I betänkandet sägs att tillsynsverksamheten, vilken från integritetssyn- punkt får anses vara lika viktig som tillståndsverksamheten. har. på grund av att största delen av tillgängliga personalresurser måst användas för tillstånds- verksamheten. inte kunnat bedrivas i den omfattning som var avsikten då datalagen kom till.

I betänkandet anges att kostnaderna i tkr för datainspektionens verksam- het för budgetåret 1979/1980 fördelade sig enligt följande:

0 Tillstånd 3 505 . Tillsyn 2 089 0 Information 122

Det förefaller således trots allt vara betydande resurser som använts för tillsynsverksamheten. Vidare bör datainspektionens tillståndsverksamhet leda till att erfarenheter vinnes, som kan tillämpas i förhållande till de register där tillstånd redan erhållits. Från de personregister som SDRF:s medlemsföretag och även övriga organisationers medlemsföretag har erfarenheter, nämligen personregister över kunder. vissa kund- och leve- rantörsregister m. fl., medlemsregister och marknadsföringsregister. har denna metod tillämpats.

I förening med de utförliga DIFS (Datainspektionens föreskrifter) som idag har utarbetats för flertalet olika typer av register. kan organisationerna från medlemsföretagens erfarenhetsområden. inte finna annat än att

• Sida 132
•  Original

Prop. 1981/82:189 132

nuvarande tillsynsverksamhet är tillfyllest. Ej heller kan organisationerna finna att ”en klar försämring av integritetsskyddet" inträtt samtidigt som "hoten mot den personliga integriteten ökas". vilken uppfattning återredo- visas i promemorian.

Genom de DIFS som utarbetats har berörda medlemsföretag kunnat förmärka en ökning av insikterna på datalagens område. Utöver DIFS saknas emellertid helt kunskaper om datainspektionens praxis enär denna ej dokumenterats vid andra tillfällen än när registeransvariga berörs och gör detta bekant i en vidare krets. Organisationerna anser att det är av den yttersta vikt att tillståndsverksamheten och tillsynsverksamheten förenas med en informationsverksamhet i vilken ingår en fortlöpande dokumenta- tion av de viktigaste ärenden som avgöres av datainspektionen och av de ärenden som överklagas till regeringen.

Därmed ernäs en kunskap om den praxis som utbildas och i följd därav ökad kännedom om datalagens funktionssätt. En ändring i datalagen som skulle bidra till en ökad dokumentation. vore om datainspektionens beslut genom besvär kunde föras hos regeringsrätten i stället för hos regeringen. Därigenom skulle ärendena dokumenteras i regeringsrättens årsbok. Sam- tidigt Skulle de fördelarna vinnas att regeringen avlastades från prövning av överklagade ärenden samt att datalagsärenden prövades av den instans som jämväl prövar sådana sekretessärenden som är hänförliga till personregistre- ringsfrågor.

Organisationerna har i och för sig inga invändningar mot en minskad tillståndsverksamhet men anser från sina utgångspunkter ej att denna minskning odelat skall användas för en ökad tillsynsverksamhet, som leder till en ökad belastning för de registeransvariga. Minskningen bör i stället användas till en ökad informationsverksamhet på föreslaget sätt.

Organisationerna har visserligen i och för sig ej heller några invändningar mot en ökad tillsynsverksamhet, men menar vid sådant förhållande att detaljregleringen i föreskrifter då bör kunna minskas samt att vidare möjligheter för inrättande och förande av personregister i enlighet med vad organisationerna i tidigare remissvar förordat bör kunna bli möjligt. (Se SDRF:s m. fl. organisationers remissvar över kommitténs betänkande SOU 1978:54 .) Därigenom kan innovationer i högre grad, än vad som nu är möjligt, tillvaratagas. Betr. direktreklamens plats i marknadsföringssyste- met, var god se sid. 165 ffi prop. 1978/79:109 .

Som illustration till vad föreningen avser vill föreningen anföra följande exempel.

På sid. 131 ges exempel på direktreklamregister som får inrättas tillfälligt och under en tid av tre månader och som kommittén menar hör till en typ av register som skulle kunna inrättas efter ett förenklat ansökningsförfarande. vilket idag ej är fallet. Intill helt nyligen har inrättandet av sådana register medgetts och under marknadsföringstiden har de urvalskriterier som legat till grund för urvalet jämväl kunnat registreras. Urvalskriterierna behövs som underlag för sortering av svarskuponger , statistik och dokumentation av erfarenheter att användas vid senare urval. Utöver det egna kundregistret används här i regel ett urval från SPAR.

Under året har emellertid datainspektionen fattat ett beslut, som rör en bokklubb, av innebörd att inkomstintervaller visserligen får användas som urvalskriterier vid beställning av urval från SPAR. men intervallerna får ej ens — till skillnad från vad som hittills gällt — registreras i kodform i marknadsföringsregistret under dess korta "livstid".

• Sida 133
•  Original

Prop. 1981/82:189 133

Genom inspektionens förändrade praxis har villkoren för adresserad direktreklam väsentligt ändrats.

Organisationerna anser att detta fall är ett illustrativt exempel på där en ökad inskränkning i möjligheterna mycket väl hade kunnat ersättas med en ökad tillsyn om så hade ansetts vara erforderligt eller att inskränkningen hade ersatts av en föreskrift av innebörd att urvalskriterierna endast skulle registreras i kod och att innebörden av denna endast skulle kännas av några få tjänstemän hos den registeransvarige. Organisationerna finner det olyckligt att möjligheterna att använda SPAR. som inrättats bl. a. för direktreklam- ändamål. fortlöpande begränsas bl. a. på angivet sätt.

Det angivna exemplet har överklagats till regeringen, men ännu ej avgjorts.

4.2 De alternativa åtgärder som DALK har övervägt

I fråga om de alternativ som DALK har diskuterat framhåller vissa remissinstanser att DALK inte tillräckligt har analyserat det 5. k. nollalter- nativet, dvs. ytterligare rationaliseringar av tillståndsförfarandet. Några redovisar i anslutning härtill vissa förslag till åtgärder inom detta alterna- tiv.

Flera remissinstanser förordar att inspektionen ges ökade resurser, bl. a. reservanterna i datainspektionens styrelse. Det påpekas också att detta bör kunna finansieras genom ökade avgifter för handläggning hos inspektio- nen.

Endast några få remissinstanser förordar att tillståndskravet inskränks med utgångspunkt från gällande datalag.

-Kammarrätten[Sundsvalldiskuterar alternativet a (s. 144). nollalternativet och anför:

När det gäller valet av åtgärder på kort sikt bör man därför såsom DALK påpekar, först pröva vilka åtgärder som utan lagändringar kan vidtas för att komma till rätta med de problem datainspektionen redovisat. Det första alternativet är då en ytterligare rationalisering av tillståndsförfarandet utan lagändring, det s. k. nollalternativet. Erfarenheterna har visat att de personregister, som kan bli föremål för enbart en summarisk tillståndspröv— ning. är betydligt fler än man ursprungligen räknat med. Ungefär två tredjedelar av samtliga tillståndsärenden t. o. m. 1980, eller cirka 18 000. har handlagts enligt det förenklade tillståndsförfarandet. Under våren 1981 har datainspektionen förenklat handläggningsrutinerna ytterligare så att till- ståndsbeslut numera i regel kan expedieras samma dag som ansökan om tillstånd enligt förenklat förfarande kommer in Även beträffande övriga tillståndsärenden har förfarandet rationaliserats och inom inspektionen pågår projekt för att ytterligare standardisera själva ansökningsförfarandet när det gäller tillståndsärenden som inte omfattas av det förenklade förfarandet. Kammarrätten delar DALK:s uppfattning (s. 130 ff) att det är möjligt att vidta vissa ytterligare åtgärder inom ramen för det 5. k. nollalternativet men att de samlade effekterna av de i promemorian diskuterade åtgärderna skulle bli alltför begränsade för att öppna möjlighe- ter att omfördela resurserna och därigenom åstadkomma en personalför- stärkning i datainspektionens tillsynsverksamhet.

• Sida 134
•  Original

Prop. 1981/82:189 134

Statens lrumanistiskt-samhällsvetenskapliga forskningsråd finner DALK:s argumentering övertygande i fråga om effekterna av nollalternativet. Också Kommun-Data AB anser att detta alterantiv ger för liten effekt.

Det finns emellertid några remissinstanser som förordar lösningar som ansluter till nollalternativet.

DAFA. som framhåller att om de föreslagna ändringarna i datalagen genomförs så bör dessa ingå i det förslag till generell personregisterlag som DALK skall lägga fram. På detta sätt uppnås stabilitet i lagstiftningen. DAFA anser att under övergångsperioden fram till dess att DALK framlägger sitt förslag till generell pesonregisterlag så kan ett modifierat nollalternativ eventuellt tillämpas vid datainspektionen. I avvaktan på en generell personregisterlag ger detta alternativ en god överblick över arten och omfattningen av personregistreringen. Personregistrcn dokumenteras på ett sätt som är anpassat till integritetsskyddsintresset och offentlighet åt de personregister som förekommer medges.

DAFA stöder den ytterligare förenkling av handläggningen vid datain- spektionen enligt det 5. k. förenklade ansöksförfarandet vilket datainspek- tionen tillämpat under 1981. DALK konstaterar även att integritetsskyddet inte har nämnvärt försvagats. DAFA stöder vidare förslaget att låta nya grupper av ärenden omfattas av dets. k. förenklade förfarandet. exempelvis enkla terminalanslutningar till SPAR i enlighet med regeringens beslut den 30 december 1976 om inrättande av SPAR. samt att ansökningshandlingarna ytterligare standardiseras och systematiseras.

Riksrevisionsverket anser att DALK inte tillräckligt har analyserat nollalternativets möjligheter. Verket förordar ett utvecklat nollalternativ som enligt verket skulle kunna innebära följande:

— DI gör för sin prövning en klassificering av registren med utgångspunkt i integritetskänslighet på samma sätt som förutsätts ske enligt DALK:s förslag till förändrad datalag — de typer av register som generellt sett innebär särskilda risker för otillbörligt intrång i enskilds personliga integritet prövas som nu - för övriga register utformar DI generella kriterier för sin prövning och allmänna föreskrifter till den registeransvarige för dennes utformning och handhavande av registret (jfr punkt 4 s. 259 i promemorian) — tillståndsansökningarna för dessa register sehablonprövas, dvs. prövas om de står i överenstämmelse med de generella kriterierna. och de allmänna föreskrifterna bifogas beslutet. En differentiering av tillståndsprövningen på sätt som redovisats borde enligt RRV:s mening kunna medge en överföring av resurser från tillstånds- till tillsynsverksamheten iden omfattning som krävs för att integritetsskyddet för enskild person inte på kort sikt skall försämras.

Juridiska fakultetsnämnden vid Uppsala universitet förordar en viss rationalisering av tillståndsförfarandet liksom av verksamheten i övrigt inom ramen för nollalternativet. därest inspektionen inte förmår att vinna statsmakternas gehör för erforderliga resursökningar.

• Sida 135
•  Original

Prop. 1981/82:189 135

Riksdataförbundet biträder DALK:s uppfattning att man inte bör välja alternativet oförändrad lagstiftning och personalök- ni 11 g a r . Det av reservanterna åberopade skälet för detta alternativ — nämligen önskemålet om stabilitet i lagstiftningen — gör sig enligt förbundets mening knappast gällande när det alternativ som i stället väljs innebär minskade krav på och regleringar av den berörda allmänheten. i detta fall de registeransvariga. Förbundet (RDF) anför vidare:

Vid datalagens tillkomst räknade man med att både tillstånds- och tillsynsverksamheten skulle kunna upprätthållas i erforderlig utsträckning. Av DALK:s PM framgår nu klart att detta inte är möjligt och att det huvudsakliga skälet härtill är att tillståndsverksamheten till följd av branschens tillväxt ökat i oförutsedd omfattning. Den ansvariga myndighe- ten. datainspektionen. konstaterar att det inte är lämpligt att söka komma till rätta med situationen genom personalökningar; det är i stället möjligt och önskvärt att göra sådana lagändringar att befintliga resurser kan sättas in där de gör bäst nytta. Denna myndighetens inställning, till vilken DALK:s majoritet anslutit sig, är enligt RDF förtjänt av uppskatting. Den vittnar om förståelse för det kärva statsfinansiella läget och för nödvändigheten att ompröva en lagstiftning som vid sin tillkomst av statsmakterna uppfattades som en försöksverksamhet. '

Med hänsyn till att utredningen inte påvisat några större brister i nuvarande integritetsskydd anser statskontoret att kostnadskrävande åtgär- der i form av personalökningar bör undvikas.

Kommun-Data AB yttrar:

Det andra alternativet. personalökningar hos datainspektionen. bedöms ge tillräcklig effekt men medför kostnadsökningar som kommer att belasta de registeransvariga i form av höjda avgifter. Vissa grupper registeransvariga är som framgår nedan mycket känsliga för avgiftens storlek. Styrelsen avstyrker därför även detta åtgärdsalternativ.

Kammarrätten i Sundsvall är mer positiv till detta alternativ och anför:

Det andra alternativet som DALK undersökt är att öka personalen. vilket givetvis är en metod att göra tillsynsverksamheten vid datainspektionen effektivare. För att nå den fördelning mellan tillstånds- och tillsynsverksam— heten som var avsedd då datalagen trädde i kraft och som datainspektionen strävat efter skulle sex eller sju nya tjänster behövas utöver en till två årsarbetskrafter som skulle kunna frigöras från tillståndsprövningen vid diskuterade åtgärder enligt nollalternativet ovan. Eftersom det är fråga om att finna en lösning på kort sikt hade det enligt kammarrättens mening legat nära till hands att fråga sig om en pcrsonalökning kunde finansieras genom avgiftshöjningar. Ät DALK har också uppdragits att utreda ett nytt avgiftssystem. där datainspektionens verksamhet i dess helhet avses täckas genom avgifter. Förslaget till nytt avgiftssystem borde ha redovisats samtidigt med det nu aktuella förslaget. DALK har emellertid under åberopande av kravet på skyndsarnhet när det gäller åtgärder på kort sikt inte tagit upp frågan om ett nytt avgiftssystem i denna promemoria. Detta är enligt kammarrättens mening en klar brist.

• Sida 136
•  Original

Prop. 1981/82:189 , 136

Ledamöterna Lennart Pettersson och Kurt-Ove Johansson i datainspektio- nens styrelse förordar det förslag som Kurt Hugosson. Stig Gustafsson och Britt Wickum i DALK har lämnat och anför:

Vi förordar mot bakgrund av vad vi anfört att datainspektionen ges möjligheter till att utöka sina personalresurser som behövs för att inspek- tionen med oförändrad lagstiftning skall kunna fullgöra sina tillstånds-, tillsyns- och informationsuppgifter på ett tillfredsställande sätt inom ramen för nuvarande lagstiftning. Vi förutsätter vidare att inspektionen vidtar den ytterligare rationalisering av tillståndsförfarandet som visat sig möjligt enligt det i DALK:s promemoria redovisade nollalternativet. Skyddet för den personliga integriteten är för oss av fundamental betydelse i datasamhället och därför kan vi icke acceptera en försämring som skulle bli följden om majoritetsförslaget i DALK:s promemoria genomföres.

Också Malmö kommun ansluter sig till reservanternas i_ DALK uppfatt- ning och understryker angelägenheten av att datainspektionen erhåller erforderliga ökade resurser samt att arbetet med lagstiftning med vidare lösningar i dessa frågor ej fördröjs.

Några remissinstanser tar upp DALK:s alternativ c — 0 f ö r ä n d r a d e personalresurser men vidgade undantag från till- ståndskravet.

Kammarrätten i Sundsvall avstyrker uttryckligen en sådan lösning. Trafiksäkerhetsverket är mer positivt till ett sådant alternativ och anför:

Mot bakgrund av de skäl som föranleder kommitténs förslag borde det i stället för ett system som bygger på licenser och förteckningar övervägas en ändring av datalagen på så sätt att dess tillämpningsområde inte längre omfattar personregister av en sådan typ som inte erfarenhetsmässig't innebär från allmän synpunkt egentliga risker för otillbörligt intrång i enskildas personliga integritet. Avgränsningen av vilka personregister som skulle omfattas av lagen skulle då i stort kunna följa kommitténs förslag om vilka register som är tillståndspliktiga.

En sådan ändring i tillståndsplikten medför att resurser hos datainspek- tionen kan frigöras och användas på ett effektivare sätt för att hävda integritetsskyddet ifråga om sådana personregister där övervakning i verkligheten behövs. Datainspektionens verksamhet bör således enligt verkets mening inriktas på tillståndsprövning enligt lagförslagets 2 & punk- terna 1—4 samt tillsynsverksamhet gentemot sådana register som skall ha tillstånd.

Ändringen för dessutom med sig en önskvärd förenkling och ett slopande av onödig byråkrati inom ADB-området. inslagen av självändamål i tillståndsprövningen läggs åt sidan till förmån för en byråkrati som är nödvändig och nyttig och lättare att förstå för dem som använder ADB i sin verksamhet.

Statskontoret anför i fråga om en begränsning av den nuvarande tillstånds- plikten följande:

Det är emellertid inte heller rimligt att datainspektionen inom ramen för nuvarande omfattande formella tillståndstvång ytterligare minskar sin faktiska prövning av tillståndsärenden. Effekten skulle i sådana fall bli att

• Sida 137
•  Original

Prop. 1981/82:189 137

staten begär in uppgifter som sedan aldrig blir föremål för en reell prövning.

Statskontoret biträder därför DALK:s förslag till begränsning av det nuvarande tillståndstvånget. Om man lyckas begränsa antalet tillståndsären- den bör resursbehovet för sådana ärenden minska hos såväl datainspektio- nen som de registeransvariga. Det bör efter åtta års erfarenheter av datalagens tillämpning vara möjligt att begränsa tillståndsplikten till de områden där man erfarenhetsmässigt vet att integritetsrisker föreligger.

En lagändring som innebär att kravet på tillståndsprövning begränsas till fall. vilka utgör särskild risk för otillbörligt intrång i personlig integritet. förutsätter emellertid att dessa fall kan avgränsas tillräckligt uttömmande. En oklar gränsdragning kan medföra merarbete i stället för minskat arbete.

Sveriges adl-'okatsamftutd förordar en kombination av nollalternativet och det alternativ som innebär inskränkning i tillståndsplikten. Samfundet anför:

Mot bakgrund av ovanstående är det samfundets mening att eventuella ändringar på kort sikt bör företas i huvudsak inom ramen för nu gällande regelsystem. Sålunda skulle ett ökat antal register kunna omfattas av ett förenklat ansökningsförfarande. i princip de register som enligt DALK:s förslag enbart skulle vara underkastade licensförfarande. Ansökningshand- lingarna och handläggningen hos datainspektionen skulle troligen kunna systematiseras och standardiseras ytterligare. Vidare skulle. på sätt DALK föreslår. datainspektionens skyldighet att meddela föreskrifter om vilka personuppgifter som får ingå i personregistret kunna överföras till 6? och därmed vara fakultativa. Eventuellt skulle också datainspektionen kunna medges rätt att undanta vissa typer av register från tillståndskravet.

5.2. Det nya tillståndskravet

Endast några få remissinstanser kommenterar DALK:s förslag till avgränsning av det nya tillståndskravet. Flertalet av dessa ansluter sig dock

• Sida 141
•  Original

Prop. 1981/82:189 141

till de allmänna principer som legat till grund för DALK:s förslag. På enskilda punkter förekommer emellertid kritik. framför allt mot avgräns- ningen av undantag från tillståndsplikten. ! detta sammanhang kritiseras den Ordning som gäller för inrättande av register som beslutats av regeringen eller riksdagen. Denna bedöms som onödigt komplicerad och resurskrävande.

Mer omfattande kritik förekommer i detta sammanhang från främst de remissinstanser som företräder forsknings- och statistikintressen. Man upprepar i stor utsträckning den kritik som tidigare riktats mot datalagens regelsystem. vilket inte undantar register inom dessa verksamhetsgrenar från tillståndsplikt. Man menar att lagen utgör ett hinder för den fria forskningen och att något lagfäst skydd för den personliga integriteten inte behövs på detta område eller att det kan utformas på ett annat sätt. Man menar vidare att DALK närmare borde ha analyserat de problem som gäller förande av forsknings- och statistikregister och att dessa borde ha inordnats bland de register som inte kräver tillstånd.

Vissa remissinstanser uttalar sig ur mer allmän synpunkt posi- tivt om grunderna för avgränsning av tillståndspliktiga register.

SARI har inte något att erinra mot den avgränsning som DALK har gjort.

Trafiksäkerhetsverket tillstyrker utredningens förslag om gränsdragning mellan tillståndspliktiga och icke tillståndspliktiga personregister. Lagförsla- gets utformning på denna punkt är också sådant att några egentliga gränsdragningsproblem inte borde uppstå. framhåller verket.

Juridiska fakultetsnämnden vid Stockholms universitet anser att ändringen av tillståndskravet bör genomföras enligt DALK:s förslag.

Statens humanistiskt-samhällsvetenskapliga forskningsråd pekar på att datainspektionen. som har sju års erfarenhet av verksamheten. nu bör kunna bedöma vilka typer av personregister som verkligen behöver en grundlig tillståndsprövning för att datalagens intentioner skall vara uppfyllda.

Riksdataförbundet (RDF) förklarar att förbundet i princip tillstyrker DALK:s förslag att tillståndssystemet skall bygga på att i lagen definieras och avgränsas vilka personregister som skall vara tillståndspliktiga. En sådan ordning innebär tillämpning av principen att "allt som inte är förbjudet är tillåtet". vilken enligt förbundet är att föredra framför den omvända ordningen med formellt total tillståndsplikt i förening med en rad undantag, dvs. att "allt är förbjudet (dvs. underkastat tillståndskrav) som inte är tillåtet". Den sistnämnda principen för lagstiftning bör här som eljest undvikas.

Lantbrukarnas riksförbund (LRF) anför:

När det gäller tillståndsgivning för de integritetskänsliga registren anser LRF att föreliggande förslag kan ligga som grund för lagstiftning. Det är dessa register som främst bör engagera datainspektionens resurser.

Stora svårigheter uppstår. när lagstiftning riktar sig mot speciell teknik. i detta fall ADB—tekniken. Inte minst gäller detta i det aktuella fallet för

• Sida 142
•  Original

Prop. 1981/82:189 142

gränsdragning mellan ADB och annan likartad teknik. typ ordbehandlings- utrustning. l nuvarandc lagstiftning rörande personregister har ordbehand- lingsutrustning och liknande exkluderats från lagstiftningen genom en undantagsregel i 2 & tredje stycket. 1 det nya förslaget tas denna undantags- regel bort. vilket för företagen innebär än större svårigheter att bedöma vad som skall anses som personregister enligt datalagens mening. Om man tillämpar tekniken med enbart licens. uppstår mycket få gränsdragningspro- blem för företagen. Men införs tekniken med förteckningar kommer ständigt gränsdragningsproblem att uppstå för vad som är att betrakta som personregister eller ej. I de tillämpningsanvisningar som utges i anslutning till lagstiftningen måste mycket klarare anges. dels vad som är att betrakta som personregister. dels vilken teknik som faller under beteckningen automatisk databehandling. Att detta kommer att bereda vissa svårigheter inom en teknik under stark utveckling. är fullt klart. men bristen på klarläggande i DALK:s utredningsförslag övervältrar hela bedömnings- och beslutsfunktio- nen på en registeransvarig. som många gånger har svårigheter att göra riktiga avväganden.

DAFA hör till dem som redovisar en mer kritisk inställning till DALK:s förslag och yttrar:

DAFA anser att DALK:s förslag till nytt tillståndskrav i 2 & datalagen kan medföra tolkningsproblem för de registeransvariga vid avgörandet huruvida ett register kräver särskilt tillstånd av datainspektionen eller ej. Tolknings- problem kan dock undanröjas genom utfärdande av anvisningar. I övrigt stöder DAFA en konstruktion som medför att man "definierar och avgränsar vilka typer av personregister som bör vara föremål för särskild tillstånds- prövning". i stället för att som är fallet i dag definiera och avgränsa vilka personregister som bör vara undantagna från tillståndskravet.

Det finns också synpunkter på utformningen av och inneh ål- let i de särskilda bestämmelserna.

I fråga om det föreslagna innehållet i 2 5 a n (1 r a sty c k et 4 (samkörning) anmärker länsåklagaren i Kalmar (än att sådan samkörning som åsyftas i denna bestämmelse enligt hans mening också torde gå in under begreppet registerforskning. Länsåklagaren fortsätter:

De nya reglerna enligt utsökningsbalken om upplysningsplikt för gäldenär och tredje man skapar för kronofogdemyndigheten bättre möjligheter än f. 11. att skaffa uppgifter om gäldenärens tillgångar. Emellertid framstår det som angeläget att kronofogden snarast får en uppfattning om gäldenärens ekonomiska situation. Att kunna söka i olika register synes därför vara av stor betydelse för kronofogden.

En jämförelse med åklagarens verksamhet visar enligt min mening att det är angeläget även för vår del att tillgång till ett antal register ges. De register det gäller är exempelvis fastighetsregister. bilregister. vapenregister. bostadsbidragsregister. försäkringskassans register. Bank och postgiro ska inte heller bortses ifrån.

Tillstånd till samkörning med registren ifråga bör i praktiken leda till att åklagare på ett mycket tidigt stadium kan rikta in och styra förunderst'ik- ningarna ang. i synnerhet kvalificerad ekonomisk brottslighet. Ärendena blir förhoppningsvis inte liggande i balans på polissidan.

• Sida 143
•  Original

Prop. 1981/82:189 143

Informationen från registren. som ej får handhas så att risk för otillbörligt intrång i registrerads personliga integritet uppkommer. synes även kunna begränsa utredningarnas för närvarande allt för stora omfattning.

DALK:s förslag om en undantagsregel från tillståndsplikten i fråga om register för pe rsonligt bruk kommenteras av några remissin- stanser.

Länsåklagaren i Kalmar län anför:

Kommitténs förslag till licensförfarande innebär att datainspektionen får tillgång till aktuella uppgifter om alla registeransvariga. med undantag endast för enskild registeransvarig som för personregister enbart för personligt bruk (s. 156). Samtidigt anges att en skiljelinje går mellan personregistrering för personligt bruk och personregistrering som på ett eller annat sätt utgör ett led i yrkesmässig verksamhet (5. 157).

Hur tolkas då personligt bruk? Svaret ges i specialmotiveringen (s. 220). Det gäller användningen av uppgifter som normalt förekommer i det dagliga umgänget mellan människor. Som exempel anför kommittén privata anteckningar. adress- eller telefonnummerförteckningar. brev m.m. Ur åklagarsynpunkt är detta värdefullt bevismaterial vid förundersökningar angående skatte- och valutabrott samt narkotikabrott. Undantaget i 25 tredje stycket i förslaget till ändring i datalagen omfattar inte bolag. föreningar. stiftelser eller organisationer och inte heller myndigheter. Om någon använder pcrsonregisteri sin egenskap av näringsidkare kan det enligt kommitten aldrig bli tal om användning uteslutande för personligt bruk. — Jfr upphovsrättslagens & 11.

Kammarrätten i Sundsvall kritiserar förslaget bl.a. på den punkten och anför:

Genom att i 2.5 tredje stycket och 7bå i förslaget från licens och registreringsplikt undanta personregister som inrättas och förs av enskild uteslutande för personligt bruk har undantaget i nuvarande 2 & tredje stycket beträffande privata register utvidgats. eftersom det inte längre skulle vara begränsat till sådana register som förs med enklare teknisk utrustning. Å andra sidan har konsekvensen av det föreslagna tredje stycket blivit en skärpning beträffande registeransvariga som för kundregister eller patient- register. vilka för närvarande omfattas av undantagsregeln i 2 5 tredje stycket datalagen. — Enligt kammarrättens mening är motiveringen för dessa ändringar inte helt övertygande. Förutom att det föreslagna undantaget kommer att omfatta avsevärt fler privata register än vad fallet är i dag blir datainspektionens kontroll och överblick över dessa register sämre. eftersom de enligt 7 b & föreslås bli undantagna även från registrering hos inspektio- nen. Enligt kammarrättens mening bör de i vart fall inte genom de provisoriska lösningar som föreslås i den nu aktuella promemorian undantas från registreringsplikten i 7 b &.

Samlziillsvetenskapliga fakultetsnämnden vid Stockholms universitet ytt- rar:

Fakultetsnämnden har full förståelse för att dataregister som upprättas för privat bruk undantas från datalagen . liksom att register som används i ordbehandlingsmaskiner blir undantagna från datalagen . Fakultetsnämnden ser det också som ett stort framsteg att

• Sida 144
•  Original

Prop. 1981/82:189 144

"Personregister. vilka som ett normalt led i den yrkesmässiga verksamhe- ten inrättas av läkare och tandläkare samt av därmed jämförliga registeran- svariga får i fortsättningen föras utan tillstånd oavsett vilken ADB-teknisk utrustning som används." (5. 224).

Nämnden vill dock påpeka att skillnaden mellan en dator och en ordbehandlingsmaskin ur den personliga integritetens synpunkt kan vara svår att upprätthålla.

Vissa remissinstanser har synpunkter på ordningen för att inrätta och föra register som beslutats av regeringen eller riksdagen.

Kammarrätten i Sundsvall pekar på att förslaget innebär att personregister som beslutas av regeringen och riksdagen undantas från det i 2å andra stycket uppställda tillståndskravet. Däremot innefattar det inte att sådana register kan inrättas eller föras utan sådan licens som avses i 2.5 första stycket. Inte heller görs beträffande av statsmakterna beslutade register undantag från de skyldigheter som enligt de föreslagna 7 a och 7 b åå åvilar registeransvarig. Enligt kammarrättens mening bör bestämmelserna utfor- mas så att det klart framgår att av regering och riksdag beslutade register får inrättas och föras utan att vare sig licens eller tillstånds krävs.

Riksförsäkringsverket konstaterar att DALK:s förslag innebär att i de fall regeringen eller riksdagen beslutat och att register skall föras. så skall anmälan även i fortsättningen göras till datainspektionen enligt 1 5 andra stycket datakungörelscn. Verket kritiserar den föreslagna ordningen och yttrar:

Detta medför också att ansökningar skall inges om förändringar i sådana register och att avanmälan skall göras enligt 12 ådatalagen etc. Register med motsvarande innehåll kan emellertid också komma att falla under de föreslagna bestämmelsernai 2 a & 4 st. Exempelvis kan register behövas, som regering eller riksdag inte tagit ställning till. för att riksförsäkringsverket och försäkringskassorna skall kunna fullgöra sin verksamhet enligt lag om allmän försäkring. För sådana register skulle enligt förslaget inget tillståndsförfa- rande krävas. inga ansökningar behöva göras vid förändringar och ingen avanmälan behöva ske.

Följden blir att register enligt 2 a 5 1 st. i förslaget. som varit föremål för viss prövning av regering eller riksdag. underkastas omfattande anmälnings- förfarande. medan register enligt 2 a 5 4 st.. som inte varit föremål för sådan prövning. inte underkastas något tillståndsförfarande alls.

I denna del finner riksförsäkringsverket DALK:s förslag inkonsekvent och avstyrker därför att det genomförs. Ändringarna i lagen bör i stället utformas så att register som beslutats av regering och riksdag inte underkastas anmälningsförfarande. Då sådana register. som påpekats. redan varit föremål för viss prövning bör de i stället falla under enbart licensförfarandet. Datainspektionens tillsynsbefogenheter ger möjlighet för inspektionen att infordra förtydligande om så skulle anses vara befogat. Datainspektionen får vidare vetskap om besluten genom att regering och riksdag skall inhämta yttrande från inspektionen innan beslut om inrättande av personregister fattas.

Rikspolisstyrelsen erinrar om att den i ett tidigare yttrande över DALK:s betänkande Personregister—Datorer—Integritet påtalat den omständliga och

• Sida 145
•  Original

Prop. 1981/82:189 145

tidskrävande procedur som gäller vid inrättande av personregister. som beslutats av regeringen eller riksdagen. Ett bibehållande av denna procedur är enligt styrelsens förmenande än mindre motiverat om de föreslagna ändringarna genomförs.

Också krimina/vårdsstvrelsen kritiserar gällande ordning på denna punkt och yttrar:

Härutöver vill KVS föreslå ändringar i nuvarande praxis vad avser myndigheters anmälan till och yttrande/beslut från datainspektionen angå- ende personregister vars inrättande beslutats av regeringen eller riksda- gen.

Följande uppställning är en nulägesbeskrivning över ärendegången.

Från Innehåll Till

]. Myndighet Hemställan om yttrande Datainspektionen angående planerat infö- (DI) rande av personregister

2. DI Avgivet yttrande (godkän- Myndighet nande) . 3. Myndighet Hemställan om införande Regeringen/Riks-

av ny lag/förordning eller dagen ändring i lag/förordning

5.3. Den registeransvariges skyldigheter (.7 a och 7 b åå)

Flertalet av de remissinstanser som yttrar sig över förslaget om skyldighet att ge in en förteckning över personregistret avvisar förslaget. Man åberopar att en sådan ordning medför kostnader och onödigt arbete utan att medföra någon positiv effekt för integritetsskyddet.

Förslaget att licensnummer skall anges på utdataprodukter mottas väl av ett mindre antal remissinstnser. Ett stort antal avstyrker dock förslaget och menar att det saknas skäl för en så omfattande och kostnadskrävande ordning.

De remissinstanser som inte motsätter sig DALK:s förslag om s k y 1 d i g - het att ge in en förteckning över de personregister som förs av resp. registeransvarig till datainspektionen är JK och televerket.

JK yttrar:

Enligt 7 b 5 första stycket skall den registeransvarige till datainspektionen ge in en förteckning över de icke tillståndspliktiga personregister som föres av honom. Enligt min mening förtjänar det övervägas om inte sådan skyldighet bör föreligga så snart personregister inrättas. det vill säga redan i det skede då personuppgifterna insamlas. Det torde nämligen kunna förutses att. i kanske inte så få fall. den registeransvarige tolkar tillståndsplikten för snävt. I sådana fall är det betydelsefullt att datainspektionen ges möjlighet att utöva tillsyn så tidigt som möjligt.

Den föreslagna avfattningen av 7 bä andra stycket gör det i realiteten möjligt för den registeransvarige att dröja nära två år med att inge ny förteckning. Med hänsyn till bland annat vad jag anfört i nästföregående stycke är detta inte lämpligt. Enligt min uppfattning bör i stället den registeransvarige ha att ge in ny förteckning så snart tidigare ingiven förteckning mist aktualitet. Jag vill tillika peka på att inrättandet och förandet av personregister ofta tar mindre tid än ett år i anspråk. En blott årlig underrättelseskyldighet skulle således inte komma att innefatta alla personregister.

Televerket menar att förteckningen bör omfatta samtliga register hos den registeransvarige. dvs. såväl äldre som nya tillståndspliktiga register samt de register som förs inom licensen. Förteckningen kommer då att ge en helhetsbild av myndighetens/företagets personregister och tjäna som infor- mationskälla i syfte att förbättra överblick och offentlighet rörande personregistrering. '

Flera remissinstanser har emellertid olika invändningar mot DALK:s förslag i denna del. Till denna grupp hör datainspektionen. riksförsäkrings- verket. trafiksäkerhetsverket. länsstyrelsernas organisationsnärnnd. JO. SACO/SR. lantbrukarnas riksförbund. Svenska försäkringsbolags riksför- bund och Folksam.

• Sida 156
•  Original

Prop. 1981/82:189 156

Datainspektionen avvisar förslaget såvitt avser skyldigheten att ge in förteckningen till datainspektionen. Inspektionen redovisar ett flertal skäl mot DALK:s förslag på den punkten och anför:

I DALK:s förslag betonas att förteckningen inte får betraktas som någon ersättning för den mera fullständiga systemdokumcntationen om personre- gistren som erfordras med hänsyn bland annat till datainspektionens tillsynsverksamhet. Inte minst från integritetssynpunkt är det viktigt att registeransvariga genom dokumentation har fullständig kontroll och över- blick över förda personregister.

Syftct med förteckningsskyldigheten synes vara dels att inte försämra den överblick och offentlighet rörande personregistreringen som följer av nuvarande tillståndsförfarande. dels att göra det möjligt att följa utveckling- en inför överväganden otn en generell personregisterlag. Förteckningsskyl- digheten skulle därutöver underlätta planeringen av tillsynsverksamheten samt handläggning av förfrågningar och klagomål från allmänheten. anser DALK.

Datainspektionen delar DALK:s åsikt att den föreslagna lagändringen måste utformas under särskilt beaktande av de olika fördelar från integri- tetssynpunkt. som det hittillsvarande tillståndskravet inneburit. Datainspek- tionen ställer sig även bakom förslaget att nämnda fördelar kan bibehållas genom att det diskuterade nya tillståndskravet kombineras med en ny licens- och förteckningsskyldighet samt att ytterligare vissa ändringar görs i datalagen . Datainspektionen vill emellertid kraftigt motsätta sig förslaget i den del det omfattar skyldighet för så gott som samtliga registeransvariga att ge in förteckningarna till inspektionen. Inspektionen föreslår i stället att förteckningsskyldigheten begränsas till en skyldighet för de registeransvariga att upprätta en förteckning över ifrågavarande personregister. men att förteckningen behöver ges in endast på begäran av datainspektionen.

Beträffande överblicken över och utvecklingen av personregistreringen kan datainspektionen inte se att några större. avgörande fördelar från integritetssynpunkt uppnås genom att förteckningarna i samtliga fall ges in. Enligt datainspektionens mening kan i stället nödvändig överblick uppnås genom att inspektionen vid behov begär in de förteckningar man anser önskvärda. Det måste framhållas att inspektionen i dag inte anser sig ha någon fullständig överblick över personregisterhanteringen. vilket DALK synes ha utgått ifrån. En mängd personregister kommer nämligen inte till datainspektionens kännedom genom de regler om dispens och undantag från tillståndsplikten som redan nu tillämpas. Detta upplevs emellertid inte som någon besvärande brist. Inspektionen har nämligen av erfarenhet en ganska klar bild över vilka register som typiskt sett förs i skilda verksamheter. Från integritetssynpunkt är det därför väsentligare att kunna hålla ett aktuellt register över licensinnehavare.

Enligt DALK:s förslag skulle ingivandet av förteckningar bland annat borga för en fortsatt offentlighet rörande personregistreringen. Datainspek- tionen anser att detta kan uppnås utan att förteckningarna behöver ges in. Beträffande register hos myndigheter stadgas enligt tryckfrihetsförordning- en (TF) rätt för allmänheten att ta del av de allmänna handlingar. t. ex. en registcrförteckning. som finns hos myndigheten. I propositionen 1981/82:37 om offcntlighetsprineipen och ADB föreslås en rad olika åtgärder för att förstärka tillämpningen av denna princip. Bland annat föreslås omfattande tilläggi 15 kap. sekretesslagen(1980:100) innebärande detaljerade regler för

• Sida 157
•  Original

Prop. 1981/82:189 157

förhållandet mellan myndighet. som i sin verksamhet använder automatisk databehandling (ADB-). och enskild person. Enligt propositionen skall myndighet för allmänheten hålla tillgänglig beskrivning av bland annat register som förs med hjälp av ADB. Beskrivningen skall bland annat ge upplysning om ADB-registrets benämning och ändamål. vilka typer av uppgifter i ADB-registret som myndigheten har tillgång till samt vem som hos myndigheten kan lämna närmare upplysningar om ADB-registret och dess användning i myndighetens verksamhet. Under förutsättning att ovan nämnda förslag i propositionen antages innebär detta ett bättre och naturligare sätt för allmänheten att informera sig om myndigheternas register än om en relativt innehållsfattig förteckning över dessa skulle förvaras hos datainspektionen.

För bibehållande av offentligheten skall enligt DALK:s förslag även personregister som förs av privata juridiska eller fysiska personer. med undantag av personregister som förs av enskild uteslutande för personligt bruk. förtecknas och ges in till datainspektionen. Någon lagstadgad rätt. liknande reglerna i TF. finns nämligen inte för allmänheten att få ta del av dessa förteckningar (s.k. enskilda handlingar). Enligt datainspektionens uppfattning kan emellertid nödvändig tillgång till och insyn över förteck- ningarna uppnås genom den av datainspektionen föreslagna rätten för inspektionen att i varje enskilt fall begära in dessa. I och med att förteckningarna på detta sätt inkommer till och förvaras hos datainspektio- nen blir också dessa att anse som allmänna handlingar som möjliggör bibehållande av ovan nämnda offentlighet. Datainspektionen vill här också peka på möjligheten för enskild att med stöd av 105? datalagen begära underrättelse från registeransvarig om dennes personregister innehåller upplysning om den enskilde eller inte. Registeransvarig är enligt datalagen skyldig att efterkomma sådan begäran.

Enligt förslaget från DALK skulle slutligen skyldigheten att upprätta förteckningar och ge in dessa till datainspektionen underlätta tillsynsplane- ringen samt handläggningen av inspektionens verksamhet som "dataom- budsman”. Sistnämnda verksamhet omfattar bland annat förfrågningar och klagomål från allmänheten rörande registeransvariga och deras personregis- ter. Datainspektionen finner emellertid inte att insända förteckningar skulle ge inspektionen några betydelsefulla upplysningar för besvarandet av frågor och undersökning av klagomål. Som ovan nämnts innehåller nämligen den föeslagna förteckningen en alltför ytlig och intetsägande information. Förmodligen skulle huvudparten av de ingivna förteckningarna aldrig ens komma till användning. Minst lika god hjälp vid ifrågavarande verksamhet anser sig datainspektionen i stället få av det föreslagna registret över licensinnehavare i kombination med möjligheten att från dessa. efter behov. begära in förteckningar.

Även den registrering som föreslås av särskilda tillståndsärenden torde i detta fall vara till stor nytta. Man kan nämligen räkna med att många frågor. förmodligen flertalet. riktas mot de register som anses vara särskilt integritetskänsliga och som därmed omfattas av tillståndsplikten.

Av ovanstående förstås att insända förteckningar inte heller är tillräckliga som underlag för tillsynsverksamheten. Även här anser inspektionen att licensinnehavarregistret. möjligheten att begära in förteckningar samt registreringen över särskilda tillståndsärenden i lika hög grad fyller syftet att underlätta tillsynsplaneringen.

För att kunna planera och genomföra den tillsynsverksamhet som åligger

• Sida 158
•  Original

Prop. 1981/82:189 158

datainspektionen enligt 15 ädatalagen erfordras ett betydligt bättre uppgifts- underlag än vad innehållet i förteckningarna utgör. Datainspektionen har visserligen möjlighet att med stöd av 17 & datalagen begära ytterligare uppgifter för sin tillsyn. men för att förenkla detta förfarande och skapa enhetliga regler borde övervägas att i datalagen inta en föreskrift om att varje registeransvarig är skyldig att inneha en utförligare beskrivning över de register som han för med hjälp av ADB. Lagen bör emellertid inte innehålla några detaljerade regler om beskrivningens innehåll utan i stället bör datainspektionen ges befogenhet att i sin författningssamling (DIFS) utfärda särskilda verkställighetsföreskrifter i dessa avseenden.

I sammanhanget måste även uppmärksammas att förteckningarna endast innehåller uppgifter om personregister som enligt den föreslagna ändringen av datalagen inte är integritetskänsliga. Att avsätta stora resurser till administrationen av förteckningarna torde därför av många upplevas som en icke meningsfull byråkrati. Då man inte med säkerhet kan säga att inspektionens nu befintliga resurser räcker till i framtiden finns därför all anledning att noga överväga var datainspektionens resurser skall sättas in för att största möjliga genomslagskraft skall uppnås i skyddet av den personliga integriteten.

Enligt datainspektionens åsikt bör därvid föreskrivas att i beskrivningen — åtminstone beträffande de register som är relevanta att bevaka från integritetssynpunkt — skall ingå bland annat systemdokumcntation. Sådan dokumentation, som fortlöpande hålls aktuell. utgör nämligen en nödvändig del av behandlingshistoriken och är en förutsättning för att. exempelvis i klagoärenden. belägga registrets användning i enlighet med dess ändamål liksom även de uppgifter som vid varje tidpunkt ingått i registret. Dokumentationen är också nödvändig för att hålla kontroll över datakvali- teten.

En sådan beskrivning utgör till skillnad från den föregående nämnda förteckningen ett nödvändigt underlag för datainspektionens tillsynsverk- samhet. Beskrivningen skall sålunda i samband med tillsynsförrättningar av olika slag kunna presenteras för datainspektionen och utgöra underlag för datainspektionens ställningstagande.

Datainspektionen är emellertid inte nu beredd att slutgiltigt ta ställning till frågan om kravet på utförligare beskrivningar. Enligt inspektionens åsikt bör erfarenheterna av den av DALK föreslagna förteckningsskyldigheten och förslaget enligt prop. 1981/82:37 först utvärderas. Först därefter kan avgöras om den framtida verksamheten hos datainspektionen kräver mer omfattande beskrivningar av register. I samband med detta får också avgörande fattas om beskrivningarnas innehåll och omfattning.

Datainspektionen avvisar således tanken på att förteckningarna skall ges in till datainspektionen. Inspektionen kan inte finna att nyttan med detta står i rimlig proportion till de kostnader och resurser som måste tas i anspråk vid handhavandet av dessa. Datainspektionen vill i detta sammanhang erinra om de slutsatser Delegationen för företagens uppgiftslämnande (DEFU) kom- mit fram till och redovisat under år 1981. DEFU har konstaterat och understrukit att man inom de statliga myndigheterna har stora kostnader för alla uppgiftsinsamlingar och att man ibland är tämligen tveksam till nyttan av alla uppgiftskrav. DEFU har under tre år prövat de uppgiftskrav som staten riktar mot företag och kommuner.

SACO/SR-föreningen vid datainspektionen ansluter sig till inspektionens yttrande och anför:

• Sida 159
•  Original

Prop. 1981/82:189 15.9

Liksom datainspektionen gjort i myndighetens remissvar vill SACO/ SR-föreningen kraftigt avstyrka att förteckningsskyldigheten utformnas så som DALK föreslagit. De ändamål förteckningen avses användas för kan väl tillgodoses utan att förteckning behöver inges till datainspektionen. Det räcker att varje registerförare förvarar sådan förteckning hos sig. DALK:s förslag kommer om det genomförs i den delen att innebära onödigt merarbete och extra byråkrati som kommer att drabba även SACO! SR-medlemmarna.

Folksam och Svenska försäkringsbolags riksförbund framför motsvarande invändningar. Riksförsäkringsverket anför:

Riksförsäkringsverket för sedan några år tillbaka en förteckning över sina register för att alla som är intresserade skall kunna få information om registren och deras innehåll. I DALK:s betänkande SOU 1980:31 föreslår kommittén att registeransvarig dels skall föra förteckning över register och system och dels systembeskrivningar. Nu föreslår DALK. utan någon koppling mellan förslagen. att registeransvarig skall föra speciell förteckning över register som omfattas av licensförfarandet.

Riksförsäkringsverket delar DALK:s uppfattning om att alla personregis- ter i datalagens mening bör finnas i förteckning så att den som så önskar kan få vetskap om vilka register som finns. Däremot ställer sig verket tveksamt till om speciell förteckning bör upprättas över register som faller under enbart licensförfarandet. Verket anser det lämpligare. bl. a. ur offentlighets- synpunkt. att ha en förteckning över alla personregister i datalagens mening. Skulle förslaget genomföras i denna del måste riksförsäkringsverket föra dubbla förteckningar över personregistren. Verket vill också framhålla vikten av att samordning sker mellan nu framförda förslag om förteckningar och förslag om sådana som förts fram i propositionen (1981/82:37) Offentlighetsprincipen och ADB och som kan komma att föras fram i det fortsatta arbetet rörande Offentlighetsprincipen och ADB.

Trafiksäkerhetsverket menar att det inte finns någon anledning att ta in uppgifter om personregister som inte omfattas av tillståndplikt. En förteckning över sådana register har inte något värde i sig. Först när uppgifterna används för meningsfulla ändamål och bearbetas med hänsyn till ändamålet blir uppgiftsinhämtandet nyttigt. Något sådant användande synes dock inte föreslaget. anför verket.

Länsstyrelsernas organisationsnämnd yttrar:

LON avstyrker även förslaget om att registeransvariga skall ge in förteckning över personregister som inte kräver särskilt tillstånd. Ett sådant system. uppges det i utredningen. bibehåller den överblick och offentlighet över personregistreringen som det nuvarande s. k. förenklade förfarandet innebär. Samtidigt framhålls att det inte är meningen att förteckningen formellt eller materiellt skall bli föremål för någon närmare prövning av datainspektionen. Det sägs vidare att materialet kan användas för stickprovs- kontroller.

Enligt LON:s mening bör man inte samla in material utan att det finns ett särskilt syfte med insamlingen. dvs. att materialet på något sätt blir föremål för hantering hos den insamlande myndigheten.

• Sida 160
•  Original

Prop. 1981/82:189 160

JO ifrågasätter också DALK:s förslag i denna del och anför:

Förslaget i denna del torde medföra att viss del av den rationalisering av datainspektionens verksamhet som man söker åstadkomma går förlorad. Datainspektionen påpekar också att ingivandet av förteckningarna torde ha sitt främsta värde som ett instrument att följa utvecklingen inför övervägan- dena om en eventuell generell personregisterlagstiftning. Förslaget kan godtas endast under den självklara förutsättningen att det inte medför stora personella arbetsinsatser.

Lantbrukarnas riksförbund menar att förslaget är tveksamt. Datainspek- tionens möjligheter att utifrån dylika förteckningar utföra ett aktivt arbete har inte på ett tillfredsställande sätt dokumenterats i utredningen. Förbundet anser därför att denna förteckningsskyldighet icke bör medtagas i datalagen . Under de kommande åren kommer helt nya gränsdragningsproblem att uppstå. eftersom olika tekniker integreras med varandra. vilket enligt förbundet ytterligare talar mot att företagen skall inlämna en förteckning över upprättade personregister.

De som uttryckligen tillstyrker DALK:s förslag om sk yld i ghe t att ange licensnummer enligt 7 b % tredje stycket datala- ge n är samhällwetenskapliga fakultetsnämnden vid Göteborgs universitet. styrelsen för Svenska kormnunförbundet, styrelsen för Landstingsförbundet, Kommun-Data AB och Sparbankernas Dataeentraler A B.

SamIz("il/svetenskapliga fakultetsnämnden vid Göteborgs universitet anför:

Förslaget att varje form av utdata med uppgift ur registret. således exempelvis en adressetikett. förses med uppgift om Datainspektionens licensnummer bör bidraga till ökade kontrollmöjligheter för såväl registrerad som tillsynsmyndighet. En sådan ordning skulle för övrigt ge Datainspek— tionen mera personella resurser för stickprovskontroller. resurser som, om förslaget genomförs oförändrat. skulle få ägnas åt att upprätta och hålla ett allmänt centralregister vid Datainspektionen.

Det måste anses _vtterst viktigt att Datainspektionen mera får karaktär av tillsynsmyndighet och reellt kan bevaka integritetsaspekterna.

Styrelsen för [andstingsförbundet instämmer i att förslaget innebär att kontakten främst mellan datainspektionen och den registrerade underlättas samt att den registrerade kan kontrollera att den registeransvarige har licens. Förslaget medför dock kostnader — huvudsakligen av engångskaraktär — för landstingen.

Förslaget atti utdata till registrerad alltid redovisa licensnummer innebär enligt Kommun-Data AB:s mening förstärkt kontroll över registerföringen och därför också ett bättre integritetsskydd. Förslaget överensstämmer väl med tanken att datainspektionens verksamhet mer skall inriktas på tillsynsverksamhet.

De remissinstanser som avstyrker eller riktar kritik mot förslaget är rikspolisstvrelsen. SA RI. riksförsäkringsverket. postverket. televerket. statis- tiska centralbyrån. statskontoret. DA FA. rik.sskatteL-'erket. länsstyrelsernas

• Sida 161
•  Original

Prop. 1981/82:189 161

organisationsnämnd. länsstyrelsen i Stockholms län. länsstyrelsen i Malmö- hus län. kooperativa förbundet. Svenska försäkringsbolags riksförbund. Folksam. Svenska annonsörers förening m. fl. organisationer. Svenska postorderföreningen. SEBRO och Sparbankernas dataeentraler AB.

Rikspolisstyrelsen anser det inte motiverat och inte förenligt med strävandena att åstadkomma förenklingar att införa den föreslagna skyldig- heten.

SARI ifrågasätter om fördelarna uppväger de kostnader som förslaget åsamkar många ADB-användare. SARI pekar på andra framtida möjlighe- ter till kontroll. bl. a. det datoriserade företagsregistret.

Riksförsäkringsverket anför:

Riksförsäkringsverket har förståelse för att registrerade kan ha önskemål om att mer eller mindre anonyma registeransvariga bestyrker i utdata att tillstånd till ADB-registrering finns. Verket kan dock inte inse att något sådant behov finns för myndigheter. exempelvis riksförsäkringsverket. som på alla handlingar anger att handlingen kommer antingen från riksförsäk- ringsverket eller från allmän försäkringskassa.

Riksförsäkringsverket avstyrker därför med skärpa att bestämmelsen görs gällande för myndigheter. Om så bedöms nödvändigt kan i stället föreskrivas att myndighetens namn skall finnas med på utdata. Om förslaget skulle genomföras i denna del skulle myndigheterna åsamkas kostnader till ingen nytta.

Under avsnittet "den registeansvariges skyldigheter”. — 15.1.4 — sägs att bestämmelsen om att ange licensnummer på utdata bör träda i kraft 1983-07-01. I förslaget till övergångsbestämmelser har dock inte något undantag gjorts för 7 b 5 3 st. Om. mot riksförsäkringsverkets avstyrkan. denna bestämmelse skulle göras gällande även för myndigheter är det viktigt att ikraftträdandet inte sker tidigare. Exempelvis bör myndigheter få göra slut på inneliggande lager av blanketter innan kravet på licensnummer träder i kraft.

Postverket upplyser att det från postverkets löneregister regelbundet sänds lönebesked och i vissa fall även utbetalningskort till de anställda. Det förefaller enligt verket vara mindre nödvändigt att licensnummer anges på sådana handlingar. Förhållandet är detsamma för gireringskort, utbetal- ningskort. fakturor och liknande som adresseras med hjälp av leverantörs- eller kundregister.

Postverket påpekar vidare att det i specialmotiveringen till bestämmelsen bl. a. sägs att åtgärderna med licensnummer innebär möjlighet för den registrerade att kontrollera att den registeransvarige har licens hos datain- spektionen och står under inspektionens tillsyn. Enligt postverkets uppfatt- ning kan dessa synpunkter tillgodoses genom att licensnumer anges i de fall en registrerad begär utdrag ur registret eligt lOå datalagen .

Televerket föreslår att regeln inte bör omfatta utdata av så standardiserad karaktär som teleräkningar. påminnelser. bekräftelser etc.

Statistiska centralbyrån anser med hänsyn till syftet med den nu föreslagna regeln att det bör vara tillräckligt att licens anges i varje försändelse till de registrerade. Om regeln alltså tillämpas så att inte varje handling måste åsättas licensnummer kan centralbyrån klara den här avsedda skyldigheten

• Sida 162
•  Original

Prop. 1981/82:189 162

utan omfattande och kostnadskrävande ändringar i dataprogrammen.

Statskontoret menar att förutom de praktiska svårigheterna — att ändra program och blanketter — så torde behovet av den föreslagna skyldigheten inte vara tillräckligt styrkt.

DA FA anser att en anpassning till skyldigheten att alltid ange licensnum- mer i skriftliga utdata medför betydande kostnader för de registeransvariga på grund av kraven på omfattande system- och programändringar. Enligt DAFAzs mening skulle de registrerades möjligheter att kontrollera att en registeransvarig har licens eller tillstånd hos datainspektion och står under datainspektionens tillsyn kunna tillgodoses på ett likvärdigt sätt genom ökade informationsinsatser från datainspektionen till bl. a. de registre— rade.

Riksskatteverket (RSV) pekar på att DALK i sin promemoria nämner att den föreslagna regeln kan få den största negativa effekten för de register- ansvariga. Verket förklarar sig dela denna uppfattning och anför:

RSV:s mening är att DALK inte i tillräcklig omfattning redovisat de konsekvenser införandet av ett licensnummer i utdata får.

Kommittén har angett att fördelarna med föreslaget förfarande skulle vara att:

1. kontakten mellan datainspektionen. de registeransvariga och de registrerade skulle underlättas.

2. de registrerade kunde kontrollera att den registeransvarige hade licens och stod under datainspektionens tillsyn.

De negativa effekterna utgörs enligt DALK av krav på vissa program- och systemändringar samt ändring av förekommande blanketter m. m.

Enligt RSV:s uppfattning är de fördelar DALK angivit av marginell betydelse. Mer ändamålsenligt är om det i klartext framgår från vem utdata kommer Och till vem man skall vända sig för att få ytterligare information. RSV är av den uppfattningen att ovanstående framgår i de flesta utdatapro- dukter och att det enbart skulle vara förvillande med ett licensnummer. Detta gäller många av de dokument som används inom skatteadministratio- nen som t. ex. förtryckta deklarationsblanketter. preliniinär- och slutskatt- sedlar, kontrolluppgifter m. m.

I promemorian föreslås att varje registeransvarig skall få ett licensnum- mer. Inom skatteadministrationen är RSV. länsstyrelserna och lokala skattemyndigheterna registeransvariga för hela eller delar av centrala skatteregistret, dvs. ett delat registeransvar föreligger. Vid delat registeran- svar kan det bli svårt att avgöra vilket licensnummer som skall anges i en utdataprodukt. Informationen kan till exempel hämtas från RSV och centrala skatteregistret och vidarebefordras med magnetband till länsstyrel- serna som redigerar och trycker materialet. som därefter skickas till de registrerade. Eventuella frågor avseende utdata skall sedan i regel besvaras av de lokala skattemyndigheterna.

Ett införande av en regel som säger att licensnummer alltid skall anges i utdata till de registrerade skulle för RSV:s del medföra krav på betydande system- och programändringar samt ändring av blanketter m.m. vilket innebär stora kostnader.

• Sida 163
•  Original

Prop. 1981/82:189 163

Länsstyrelsernas organisationsnämnd anför:

LON avstyrker förslaget om att licensnummer alltid skall anges i s. k. utdata till de registrerade. Konsekvenserna av detta förslag blir för länsstyrelsernas del att bl. a. varje skattsedel. röstkort. datautskriven blankett och avvikelse från självdeklaration måste förses med licensnummer. Även de 5. k. längderna som t. ex. skattelängder och mantalslängder måste förses med licensnummer. Detta medför i sin tur krav på systemtekniska ändringar och kostnader. Enligt LOst mening kan dessa bli så betydande att man bör överväga att slopa licenstvånget eller undersöka möjligheterna att förenkla förslaget.

Länsstyrelsen i Stockholms län anför:

Länsstyrelserna hör till de största utdataproducenterna inom ADB- området. En mycket stor mängd utdata med folkbokförings-, taxerings- och skatteuppgifter distribueras årligen till allmänheten. t. ex. skattsedlar. förtryckta blanketter (deklarationer. kontrolluppgifter. inbetalningskort för skatt etc). Vid allmänna val utsänds röstkort till alla röstberättigade. För underrättelser. meddelanden och förfrågningar till skattskyldiga i samband med granskning av deklarationer m. m. kommer datorutskrivna blanketter i ökad utsträckning till användning.

Så vitt länsstyrelsen kan bedöma. kommer ett licensuppgiftstvång enligt förslaget att kräva betydande systemtekniska åtgärder i ADB-systemet för folkbokföring och beskattning (AFB-systemet). Det kan ifrågasättas om värdet för de registrerade att få uppgift om de registeransvariga skattemyn- digheternas licensnummer på handlingar som skattemyndigheterna enligt lag är skyldiga att skicka ut står i proportion till de åtgärder och kostnader detta medför. Det bör därför enligt länsstyrelsens mening övervägas om inte sådana utdata som de nämnda bör vara undantagna från en Uppgiftsskyldig- het på det sätt förslaget avser. Om licensuppgiftsskyldigheten med hänsyn till de registrerade måste gälla, bör denna kunna fullgöras fullt betryggande i förenklad form. t. ex. i någon av de informationsbroschyrer, som i regel medföljer försändelserna.

Utöver de nämnda exemplen på utdata i AFB-systemet framställer länsstyrelserna utdata i form av skattelängder. röstlängder. mantalslängder, fastighetslängdcr etc. samt register på mikrofiche m. m. Dessa handlingar delges de registrerade genom att de är offentliga och finns tillgängliga för allmänheten hos myndigheterna inom skatteförvaltningen. Det bör klarläg- gas om licensuppgiftsskyldigheten skall omfatta även sådana utdata. Uppgiftsskyldigheten bör i så fall kunna fullgöras enligt förenklade regler.

Länsstyrelsen yttrar vidare:

Uppgiftsskyldigheten ifråga om licensnumret kan inte genomföras utan omfattande systemtekniska ändringar. Inom AFB-systemet kommer ansvaret för och arbetet med dessa ändringar att helt åvila riksskatteverket. Det bör därför ankomma på riksskatteverket att närmare bedöma kostnads- effekterna.

Länsstyrelsen i Malmöhus län yttrar:

Den registeransvariges licensnummer skall enligt DALK:s förslag anges på varje meddelande som sänds ut från dataregistret. Länsstyrelserna har

• Sida 164
•  Original

Prop. 1981/82:189 164

som registeransvariga att sända ut miljontals försändelser varje år i form av skattsedlar. deklarationsblanketter. uppbördshandlingar m. m. För motta- gare av sådan försändelse torde ursprunget stå klart. Berörda blankettupp- lagor framställs för samtliga länsstyrelser gemensamt. Licensnumret måste därför som regel åsättas i samband med framställningen av försändelsen. Detta kan betyda avsevärd kostnadsfördyring. Oaktat värdet av ett generellt krav på angivande av licensnummer anser länsstyrelsen att nämnda slags myndighetshandlingar inte bör innehålla licensnumret.

Kooperativa förbundet ifrågasätter om det verkligen är nödvändigt att ett tilldelat licensnummer alltid skall anges på utdata. Kontakterna mellan datainspektion. de registeransvariga och de registrerade borde kunna fungera fullt tillfredsställande ändå. förutsatt att den registeransvarige kan identifieras med hjälp av t. ex. namn, adress, telefonnummer och uppgift om kontaktman. .

Svenska försäkringsbolags riksförbund upplyser att lagförslaget för försäkringsbolagens del innebär att dessa måste ange licensnumret vid all kontakt med försäkringstagarna där handling utsänds som innehåller uppgifter ur personregistren. dvs. vid premicavisering. utfärdande av försäkringsbrev osv. Riksförbundet ifrågasätter om det verkligen från integritetsskyddssynpunkt föreligger behov av att betunga alla utdata från registren med licensnummer och den förklarande text om dess innebörd som torde vara nödvändig. Vad gäller underlättande av kontakten mellan datainspektionen och de registrerade understryker riksförbundet att det enligt försäkringsbölagens egen erfarenhet bara har förekommit ett fåtal fall där registrerade anfört besvär hos datainspektionen över sin registrering hos bolagen. Förbundet fortsätter:

Av förteckningen på sid. 91 framgår att under 1973—1980 mindre än 1 000 ärenden totalt förekommit hos datainspektionen som kan ha haft sin grund i klagomål från allmänheten. Denna ringa ärendemängd kan inte enligt riksförbundets mening motivera kravet att licensnummer skall anges på alla utdata.

Härutöver vill riksförbundet anföra att skyldigheten att ange licensnum- mer på alla utdata också kommer orsaka besvär i försäkringskoncerner där man i dag använder gemensamma blanketter för hela koncernen vari ingår flera registeransvariga (t. ex. livbolag resp. sakbolag). Tryckningen av blanketter kommer att kompliceras genom att olika licensnummer måste anges beroende på från vilket register uppgifterna hämtas.

Riksförbundet anser således att kravet att alltid ange licensnummer på utdata är onödigt betungande och bör kunna slopas helt eller i vart fall begränsas till att avse endast sådan kontakt med de registrerade som innebär direktreklam. I sådana fall kan det enligt riksförbundets mening möjligen vara befogat att det direkt framgår att licens att föra dataregister finns hos den registeransvarige.

Om angivande av licensnummer ändå anses nödvändigt utgår riksförbun- det från att detta nummer skall utgöras av den registeransvariges organisa- tions- eller personnummer, vilket är det nummer som enligt gällande regler skall anges i ansökan om tillstånd till datainspektionen. Det är enligt

• Sida 165
•  Original

Prop. 1981/82:189 165

riksförbundets mening angeläget att inga nya nummerserier för beteckning av juridiska och fysiska personer skapas.

Motsvarande synpunkter förs fram av Folksam. Svenska annonsörers förening m. fl. organisationer upplyser att införandet av licensnummer i sig kommer att innebära vissa avigsidor och kostnader på det sätt som DA LK anger på sid. 175 och 176. Det är därför nödvändigt med övergångsbestämmelser. Organisationen yttrar vidare:

För direktreklamregister och näringslivsregister kommer licensnumret innebära att detsamma i regel måste införas på adressetiketter. som med dagens krav därmed kommer att innehålla person- och/eller företagsnamn. adress och ett unikt nummer som skydd mot kopiering och för hantering av inkomna svar samt uppgift om adresskälla och licensnummer. Därigenom blir etiketten överbelastad och risk för missförstånd i posthantering m. rn. kommer att föreligga. Enär licensnumret bl. a. avser uppfylla samma funktion som uppgifter om adresskälla. synes åtminstone denna uppgift kunna utgå.

Svenska postorderföreningen föredrar att ange licensnumret i sina allmän- na villkor i stället för att behöva trycka eller printa licensnummer på varje enskild adressbärare.

SEBRO yttrar:

SEBRO ifrågasätter också nödvändigheten av angivande av licensnummer på meddelanden till registrerade. Denna procedur kommer i ett inlednings- skede att medföra mycket stora kostnader i form av program- och system-tillägg till redan befintliga register. storleksordning 50—100 miljoner för de idag existerande 30000 register. Då registrerad behöver vända sig till DI i ärende angående visst register är det med modern datateknik lika enkelt att söka på företagsnamn som licensnummer.

Sparbankernas datacentraler AB anser det sakna betydelse att t. ex. på varje kontoutdrag som utsändes — miljontals exemplar/år — sätta ut Sparbankernas licensnummer. Den som önskar kontrollera personuppgifter som registrerats kan lätt hos datainspektionen förvissa sig om att den registeransvarige har licens för att få föra personregister.

Bankinspektionen är tv e ks a m ti ll förslaget och anför:

Uttrycket licens är i och för sig knappast adekvat i sammanhanget, eftersom ”licensen” endast innebär att en anmälningsplikt fullgjorts. Det kan dock av praktsika skäl till nöds accepteras. Under sådana förhållanden kan det också godtagas att licensnummer skall anges på skriftliga utdata.

Ifråga om begreppet licens. se vidare avsnitt 9.2 i remissammanställning- en.

5.4. Övriga lagförslag

[ fråga om förslaget till ändring av 12 $ d a t a l a g e n yttrar statistiska centralbyrån:

• Sida 166
•  Original

Prop. 1981/82:189 166

DALK framhåller när det gäller myndigheterna att olika bestämmelser om arkivvård föranleder en rad undantag från huvudregeln om gallring i 12 &. Statliga myndigheter blir enligt DALK därför även i fortsättningen skyldiga att söka gallringstillstånd hos riksarkivet. SCB vill i detta sammanhang framhålla de viktiga arkiveringsintressen som SCB har att bevaka och att tillämpningen av den nya regeln i 125 inte får inverka menligt på dessa intressen.

I anslutning till "20 & datalagen ifrågasätter kammarrätten i Sundsvall om inte även de nya reglerna om den registeransvariges skyldigheter enligt 7 a och 7 b 55 bör vara straffsanktionerade.

9. Specialmotivering

9.1. Allmänna synpunkter på lagtextens utformning

Hovrätten för Västra Sverige anser att terminologiska och lagtekniska förbättringar behövs för att göra innehållet mera lättförståeligt och entydigt. Datainspektionen framhåller också att den föreslagna lagtexten från juridisk- tcknisk synpunkt kan behöva överarbetas. Lagtexten är enligt datainspek- tionen i vissa fall svårtillgänglig och kan leda till missförstånd.

SA C O/SR-föreningen vid datainspektionen framför motsvarande synpunk- ter, och yttrar att en mindre god lagprodukt kommer att slå tillbaka på juristerna vid datainspektionen. varav flertalet är SACO/SR-mcdlemmar.

Juridiska fakultetsnämnden vid Stockholms universitet anför:

I fråga om detaljer i lagförslaget märks framför allt att den nya texten i datalagen är svåröverskådlig. Det kan bli ett problem att nå ut till den stora kretsen av registeransvariga med information om krav och föreskrifter. Generellt kan man ifrågasätta om datalagen bör vara tillämplig annat än i vissa delar för registeransvariga som för personregister uteslutande för personligt bruk och för arkivmyndigheter. Beträffande de senare gäller att de knappast kan likställas med registeransvariga i sedvanlig mening.

Svenska föreningen för ADB och juridik, som i vissa avseenden kritiserar lagtexten. menar att en del av de oklarheter som berörs av föreningen torde kunna lösas genom råd och anvisningar. Oklarheterna torde enligt förening- en till stor del bero på att DALK koncentrerat sitt arbete på utarbetande av ett lagförslag och inte lämnat närmare förslag till råd och anvisningar m. m. angående tillämpningen.

Svenska föreningen för ADB. och juridik har också en mer generell = kommentar när det gäller utformningen av regelsystemet. Föreningen ' vttrar:

DALK:s förslag synes alltså innebära att alla regleri DL i princip skall gälla licensregistert. ex. rättelseskyldighetä 10.5 11. ("export").tillsyn..straff och skadestånd rn. m. DALK förutsätter (s. l69) att DI genom tillsynsverksam- het skall kunna ingripa även beträffande icke tillståndspliktiga register. Om så bör vara fallet bör detta tydligt anges samt eventuella undantag härifrån. Det är f. n. oklart bl. a. hur registeransvarigs generella skyldigheter enligt (i 7 a förhåller sig till $ 11 ("export"). Lagförslaget kan tolkas sa att-

• Sida 181
•  Original

Prop. 1981/82:189 181

licensregister ej omfattas av så 11, d. v. s. exporten är fri för sådana register. Enligt DALK skall bl. a. löneregister, vissa religiösa och politiska register och läkarregister endast kräva licens. Lagtexten synes ej ge något utrymme för generella föreskrifter för licensregister. Det bör övervägas om man i licensen eller i till licensen fogade "DIFS" eller på annat sätt bör ge generella föreskrifter i frågor om t. ex. säkerhet. bevarande och gallring. utlämnande, export m.m. 55 5 —7 reglerar endast förutsättningar och föreskrifter för tillståndsregister.

I sammanhanget bör anmärkas att de registeransvariga som nämns i & 2 a 3:e och 4:e st. och som endast behöver licens torde för sin verksamhet föra register med vissa av i & 4 mycket känsliga uppgifter som kräver särSkilda och synnerliga skäl (ibland endast för vissa registeransvariga). l ä 4 har också tillagts vissa känsliga uppgifter p. g. a. Europarådskonventionen. Som exempel kan nämnas att enligt 5 2 a får läkare föra licensregister. Sådana register kan innehålla uppgifter om såväl fysiskt som psykiskt hälsotillstånd och hos vissa läkare säsom t. ex. gynekologer ibland i vart fall indirekt uppgifter om sexualliv. För angivna uppgifter krävs enligt 5 4 tillstånd samt särskilda skäl om det är fråga om annan än myndighet.

Motsvarande diskrepans mellan åå 2 a och 4 föreligger beträffande religiösa och politiska uppgifter. Känsligheten av sådana register hos sammanslutning torde dock bero på huruvida det är fråga om "djup" information och omdömen. Det kan finnas skäl att överväga om samman— slutning enligt .5 2 a utan tillstånd bör kunna föra register över medlemmar med sådan information och utan tidsbegränsning.

9.2. De särskilda bestämmelserna 2 55 första stycket

Flera remissinstanser kritiserar begreppet ”licens”. Riksåklagaren ifråga- sätter om inte begreppet i detta sammanhang språkligt sett är missvisande, eftersom någon prövning enligt förslaget inte skall ske. Registreringsbevis syns enligt riksåklagarens mening vara en mer adekvat beteckning. Samma uppfattning har JK.

Överåklagaren i Stockholm har samma synpunkter och föreslår att förfarandet betecknas som registrering och att numret på utdata anges utan förbeteckning. Hovrätten för Västra Sverige pekar på att licens enligt allmänt språkbruk betyder tillåtelse eller tillstånd (sbevis). Vad som åsyftas är ett anmälningsförfarande med kvittens från myndighetens sida. Detta bör enligt hovrätten bättre komma till uttryck i lagtexten.

Bankinspektionen är också kritisk mot begreppet men. anser att det till nöds kan godtas. . .

Riksdataförbundet. som framför liknande synpunkter som hovrätten för västra Sverige menar att begreppet licens i förening med skyldighet för den registeransvarige att ange sin licens i körtespondens med de registrerade. är ägnat att inge allmänheten oriktiga föreställningar om det verkliga förhål- landet. Kooperativaförhundet framför också liknande synpunkter och menar att beteckningen kan uppfattas så att registret och dess innehåll är granskat och godkänt av datainspektionen.

• Sida 182
•  Original

Prop. 1981/82:189 182

Länsstyrelsen i Malmöhus län anser att ansökan om licens bör komplet- teras med en försäkran att fråga inte är om tillståndspliktiga register.

Hovrätten för Västra Sverige menar att det finns risk för missförstånd av lagtexten. Detta belyses enligt hovrätten genom förslaget till 2 & 1 st. av ordet ”r e g i s t r e r a d'".— som här avser en registeransvarig. Enligt definitionen i 1 & avses emellertid med "registrerad" en enskild person beträffande vilken personuppgift i personregister förekommer.

2 5 andra stycket

JK anser att ordet "naturlig" bör utgå ur 2 5 andra stycket 3. Datainspektionen anser att formuleringen i 2 5 andra stycket 4 bör förtydligas. Stadgandet reglerar samkörning och samutnyttjande och torde därigenom få stor betydelse i framtiden. Det är därför väsentligt att svårigheter inte uppstår vid tolkningen av stadgandet.

Svenska föreningen för ADB och juridik yttrar:

Av DALK:s motivering (s. 218 ff) framgår att samkörning och samutnytt- jande av personregister regleras i & 2 p. 4. Paragrafen är svårtillgänglig i sig och dessutom krävs att 55 2 a — 7 a också beaktas för att bedöma huruvida tillstånd erfordras. Konstruktionen av det nya tillståndsförfarandet synes enligt DALK (s. 185, 219 och 223) innebära att ställning bör tas till utlämnandefrågan redan i "ursprungsärendet" för att undvika att den nye registeransvarige som vill samköra eller samutnyttja data blir underkastad en tillståndsprövning. Detta bör inte vara något större problem när det ursprungliga registret är ett tillståndsregister och det är känt vilka andra registeransvariga som avser samköra eller utnyttja personregister. I många fall är det svårt eller omöjligt att förutse samkörningen och samutnyttjande. Särskilt beträffande licensregister. t. ex. arkivregister, om möjligheter att ge föreskrifter saknas. är innebörden av DALK:s förslag oklar. .

Det är önskvärt att villkoren för licens respektive licens och tillstånd angående. samköring och samutnyttjande av personregister noga övervägs från integritetssynpunkt samt utformas klarare i lagtexten och på annat sätt.

2 & tredje stycket Svenska föreningen för ADB och juridik yttrar:

Register som förs för ”personligt bruk" kräver enligt 5 2 varken licens eller tillstånd. Ej heller behöver förteckning enligt & 7 b inges till datainspektio- nen. Enligt DALK (s. 158) skall sådan registeransvarig vara underkastad DL:s regler om registeransvarigs skyldigheter. tillsyn rn. m. Registeransva- rigs skyldigheter omfattar också bl. a. 5 11 DL (export). Det ärinte självklart att "registeransvarig" som varken behöver licens eller licens och tillstånd skall anses som registeransvarig enligt DL och omfattas av samtliga bestämmelseri lagen t. ex. åå 10 och 11. Reglerna om straff och skadestånd i DL berörs ej av DALK. Det bör övervägas om reglerna i DL helt eller delvis bör vara tillämpliga på personregister för personligt bruk. Det bör framgå klart av lagtexten om och i så fall vilka regler som gäller för dessa register.

• Sida 183
•  Original

Prop. 1981/82:189 183

2 5 fjärde stycket

Svenska föreningen för ADB och juridik anser att definitionen bör föras in under 1 % datalagen.

2 a 5 andra stycket Svenska föreningen för ADB och juridik anför:

Enligt 5 2 a krävs inte tillstånd i fråga om personregister som mottagits för förvaring av arkivmyndighet. Enligt & 7 behöver förteckning ej inges till DI. För dessa register krävs licens enligt DALK och reglerna om registeransva— rigs skyldigheter och Dlzs tillsyn m. m. skall tillämpas (s. 184 f). Det bör klart anges i lagtexten att licens krävs. Register för personligt bruk som ej kräver licens och arkivregister behandlas i samma stycke i % 7 b beträffande undantag från förteckningsskyldighet m. m. Det kan starkt ifrågasättas om det är lämpligt att låta arkiverade register omfattas av alla bestämmelser i DL t. ex. rättelseskyldighet och & IO-utdrag. Syftet med arkivering torde vara att bevara möjlighet att ta del av uppgifter relevanta vid den tid då registret "aktivt” fördes. Om arkivregister bör behandlas som andra register är det svårförståeligt att arkivregister undantas från förteckningsskyldighet och uppgivande av licensnummer enligt 5 7 b.

2 a 55 tredje stycket

Datainspektionen anser att det finns skäl att förtydliga 2 a % tredje stycket så att det klart framgår vilken sammanslutning som får registrera resp.

uppgift.

2 a 5 fjärde stycket

Datainspektionen anser att 2aå fjärde stycket bör förtydligas så att omfattningen av vad läkare och tandläkare får registrera klarare anges.

2—7 5.5

Svenska föreningen för ADB och juridik har en mer generell kommentar till regelsystemet:

& 2 1 st. reglerar licens. 55 2 2 st. reglerar ”undantag" från huvudregeln dvs. fall när både licens och tillstånd krävs. ] 52 a reglerar "undantag" från "undantaget" dvs. när tillstånd ej krävs. "Rekvisiten'" för tillstånd respektive undantag från tillstånd är en tämligen ostrukturerad blandning av bl.a. uppgifter som sådana. uppgifter för visst ändamål och olika "kvalitet" på. registeransvariga.

Ytterligare förutsättningar för tillstånd anges i 55 3—7 och är delvis desamma som redovisas i & 2. Det synes därför nödvändigt för den som avser att inrätta ett register inte bara att söka ledning i första hand i 5 2 och undantagen i 5 2 a utan även studera åå 3—7 för att bedöma om tillstånd erfordras och om och på . vilka villkor ett sådant kan komma att ges. Vidare kan enligt DALK ett

• Sida 184
•  Original

Prop. 1981/82:189 184

förenklat förfarande i tillståndsärenden bli aktuellt (s. 167). Det ärangeläget att "rekvisiten" för licens respektive licens och tillstånd klargörs.

4.6

Riksåklagaren menar att uppgifter om härkomst kan vara av minst lika känslig natur som uppgifter av det slag DALK anger. Ilan anser därför att registrering av uppgifter om härkomst skall få ske endast om särskilda skäl föreligger.

7 a & Statistiska centralbyrån anför:

Den föreslagna regeln i 7 å 5 har till syfte att vara normgivande för de registeransvariga. Frågan är om inte denna regel borde preciseras ytterligare eller i vart fall närmare utvecklas och exemplifieras i lagmotiven för undvikande av osäkerhet hos de registeransvariga om reglernas tillämpning och risken att nya eller ändrade föreskrifter med stöd av 185 datalagen meddelas av Dl i efterhand. De registeransvariga bör således någorlunda kunna förutse och bedöma konsekvenserna av ett nytt register och inte riskera ändringar av registret till följd av lagtolkningssvårigheter.

7 b .5 Svenska föreningen för ADB och juridik yttrar:

Ingivande av förteckning enligt # 7b synes vara en relativt enkel och praktisk procedur för att ge överblick liksom angivande av licensnummer vid kommunikation. DALK synes avse att licensnummer skall anges även vid kontakter med D]. Detta förefaller praktiskt men framgår ej av lagtexten. & 7 b. En praktisk fråga som är oklar. är om varje registeransvarig skall ha ett licensnummer för samtliga licens och tillståndsregister. gamla som nya. Om så är fallet kan övervägas om det inte är enklare att låta alla registeransva- rigas register ingå i förteckningen. Det är något oklart varför enligt övergångsbestämmelserna registeransvarig skall söka licens. Licensnummer kan eventuellt övergångsvis ges på grundval av den första till Dl ingivna förteckningen över olika sorters register.

11—12 555 Svenska föreningen för ADB och juridik anför:

Tidigare har pekats på oklarheter beträffande tillämpningen av 511 beträffande bl. a. licensregister. % ll synes i föreslagen lydelse såvitt avser hänvisningen till Europarådskonventionen innebära . att de möjligheter artikel 12 i konventionen ger till undantag i vissa särskilt angivna fall — mycket känsliga data och re-export — från utlämnande av uppgifter ej skall tillämpas. Föreslaget tillägg till 7 kap. 16 & sekretesslagen är formulerat på samma sätt som 5 11 DL och synes innebära generellt undantag från sekretess.

• Sida 185
•  Original

Prop. 1981/82:189 ISS

Register kan upphöra att föras genom förstöring eller arkivering. [ det senare fallet uppkommer fråga om registeransvar för arkivmyndighet. & 12 2 st. innebär'att tillståndsregister och register enligt 5 2 a 1 st. skall anniälas för Dl. Möjligen bör s*" 12 förtydligas med att anmälan skall ske innan registeransvarig upphör att föra registret. Om DI eller regering/riksdag tidigare meddelat föreskrifter om bevarande. gallring etc. synes det inte vara några problem. Däremot framgår inte av föreslagna & 12 hur skall förfaras med registret om sådana föreskrifter saknas. Syftet med licensförfarandet avses vara att flertalet register. också myndighetsregister. inte skall vara tillståndspliktiga. Det är givetvis en fördel om register och uppgifter som inte "behövs" förstörs utan att Dl behöver belastas med anmälningari klara fall. DALK anför dock bl.a. (s. 231) "När det gäller myndigheter är även arkivintresset en sådan särskild omständighet som kan föranleda undantag". DI:s roll i förhållande till myndighets licensregister är oklar. Frågan sammanhänger också med vad som ovan anförts om eventuella generella föreskrifter för licensregister.

Som framgår av det tidigare anförda är det av vikt rent allmänt att det för registeransvarig framgår vilka regler som är tillämpliga för honom men särskilt med hänsyn till reglerna om straffoch skadestånd t. ex. underlätclsc att tillämpa # 10 DL.

25 .f Svenska föreningen för ADB och juridik anför:

Besvärsbestämmelsen i .é' 25 berörs inte av DALK. Besvärsrätt får förutsättas föreligga för registeransvarig och JK också i fråga om DI:s beslut att registrera och meddela licens. Ett praktiskt fall kan vara gränsdragning mellan licens respektive licens och tillstånd vilket kan vara av intresse också från kostnadssynpunkt. En förtydligande motivering beträffande besvärsrätt kan övervägas.

10. Ikraftträdande och övergångsbestämmelser

De föreslagna övergångsbestämmelserna har kritiserats på två punkter — tidpunkten för ikraftträdande av skyldigheten att ange licensnummer enligt 7 bä tredje stycket samt skyldigheten för nuvarande tillståndshavare att ansöka om licens. Flera remissinstanser förordar således längre övergångs- tider och undantag från anmälningsskyldigheten för tidigare meddelade tillstånd.

Styrelsen för Svenska kommunförhundet. Landsliugsförbundet och Kom- mun-Data AB anser att tidpunkten för skyldighet att ange licensnummer bör senareläggas om den föreslagna tiden är för kort. Några remissinstanser påpekar att hänvisningen i första stycket i övergångsbestämmelserna till 7 b 5 är felaktig. [ lagtexten har angetts andra stycket men det skall rätteligen vara tredje stycket. '

Bankinspektionen understryker behovet av att anpassningsperioden blir tillräckligt lång. Enligt inspektionens uppfattning gäller detta i hög grad kreditinstitut. fondbolag och andra som 'står under bankinspektionens

• Sida 186
•  Original

Prop. 1981/82:189 186

tillsyn. En alltför snar övergång kommer att föranleda betydande kostnader. Bankinspektionen föreslår att bestämmelsen i 1 b & träder i kraft först den 1 juli 1983 och att en regel införs enligt vilken datainspektionen kan medge förlängt uppskov med bcstämtnelsens iakttagande när skäl finns för det. (Se vidare avsnitt 5.3 i remissammanställningen.)

Skyldigheten för nuvarande tillståndshavare att ansöka om licens kritiseras av hovrätten för Västra Sverige. rikspolisstyrelsen, SA RI, juridiska fakultets- nämnden vid Stockholms universitet, bankinspektionen. statskontoret. Sven- ska försäkringsbolags riksförbund och Folksam.

SARI anför:

Om statsmakterna ändock stannar för ett system med licenser av det slag som DALK förordar. vill SARI starkt ifrågasätta förslaget att alla de myndigheter och företag m. ut. som nu finns registrerade hos datainspektio- nen skall behöva på nytt anmäla sin avsikt att använda ADB. De uppgifter som redan finns borde vara tillfyllest för inspektionen. På grundval av dem bör inspektionen kunna utfärda licenser. Härigenom slipper man från det merarbete som omkring 20000 licensansökningar skulle medföra för dem som använder ADB och datainspektionen behöver inte registrera dem.

Bankinspektionen anför:

Förslaget innebär emellertid att licens måste meddelas även i fall då tillstånd redan lämnats. Förslaget innebär enligt bankinspektionens mening en onödig byråkratisering. Såvitt bankinspektionen kan förstå borde det kunna föreskrivas. att redan lämnat tillstånd automatiskt skall medföra att licens meddelats. För datainspektionen skulle då endast återstå att tilldela tillståndshavaren licensnummer.

Statskontoret anser också att man utan större olägenheter kan undanta alla registerförare (ca 15 000) som har tillstånd enligt äldre bestämmelser och som inte inrättar nya register. Därigenom kan merarbete hos datainspektio- nen och de registeransvariga undvikas.

Juridiska fakultetsnämnden vid Lunds universitet yttrar:

Den av DALK föreslagna reformen innebär. att ett stort antal nuvarande tillståndsinnehavare (omkring 15 000) endast skulle komma att behöva licens för sina register. Naturligast vore, om dessa registeransvariga automatiskt erhöll den nya licensen från datainspektionen. DALK föreslår emellertid. att de — fastän tillstånd beviljats dem efter den nuvarande ingående granskning- en skall ansöka om licens och registreras på nytt hos datainspektionen. Anledningen härtill är. att datainspektionens register inte "utgör en helt aktuell och tillförlitlig källa för identifiering av varje registeransvarig" (s. 236). Fakultetsnämnden. som finner oroväckande att den högsta tillsyns- myndighetens register är av nyssnämnda beskaffenhet, anser. att alla nuvarande tillståndsinnehavare. för vilka tillståndskravet kommer att bortfall-a och som kan spåras med hjälp av registret. automatiskt skall få licens. om den föreslagna reformen genomföres. Endast de som inte inom viss tid får bevis om utfärdad licens skulle behöva göra anmälan hos inspektionen. Under alla omständigheter skulle det vara orimigt att ta ut nya avgifter av tillståndsinnehavarna. när kravet på förnyade ansökningar är föranledda av datainspektionens otillräckliga registreringsrutiner.

• Sida 187
•  Original

Prop. 1981/82:189 187

Svenska försäkringsbolags riksförbund och Folksam anser att ett effekti- vare sätt att klara övergången vore att datainspektionen med utgångspunkt från sitt diarium över registeransvariga själv utfärdar licens utan en ansökan som underlag. Ett sådant förfarande är enklare såväl för de registeransvariga som för datainspektionen och garanterar samtidigt att de registeransvariga inte fortsättningsvis av förbiseende för personregister utan nödvändig licens. Ett alternativ är att inspektionen med ledning av sitt register över tillstånd sänder ut en blankett för ansökan om licens till de registeransvariga som ifyller och återsänder blanketten. Valet av administrativ lösning är enligt förbundet och Folksam viktigt, eftersom det enligt beräkningarna i promemorian är fråga om så stort antal som 15 000 registeransvariga som kommer att beröras av förändringen.

• Sida 188
•  Original

Prop. 1981/82:189

Convention for the protection of individu- als with regard to automatic processing of personal data

Preamble

The member States of. the Council of Euro- pc. signatory hereto,

Considering that the aim of the Council of Europe is to achieve greater unity between its members. based in particular on respect for the rule of law. as well as human rights and fundamental freedoms;

Considering that it is desirable to extend the safeguards for everyone's rights and funda— mental frccdoms, and in particular the right to the respect for privacy, taking account of the increasing flow across frontiers of personal data undergoing automatic processing;

Reaffirming at the same time their commit- ment to freedom of information regardless of frontiers:

Recognising that it is necessary to reconcile the fundamental values of the respect for privacy and the free flow of information between peoples.

Have agreed as follows:

Chapter I — General provisions

Article ] Object and purpose

The purpose of this convention is to secure in the territory of each Party for every indi- vidual. whatever his nationality or residence. respect for his rights and fundamental free- doms. and in particular his right to privacy, with regard to automatic processing of perso- nal data relating to him ("data protection").

A rticle 2

Definitions

For the purposes of this convention: a. "personal data" means any information

188

Convention pour la protection des person- nes a Pégard du traitement automatisé des données å caractére personnel

Préambule

Les Etats membres du Conseil de l'Europe, signataires de la presente Convention,

Considérant que le but du Conseil de l"Europe est de réaliser une union plus e'troite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l'homme et des libertés fondamentales ;

Considérant qu'il est souhaitable d”étendre la protection des droits et des libertés fonda- mentales de chacun. notamment le droit au respect de la vie prive'e, eu égard ä [”intensifi- cation de la circulation å travers les frontieres des données ä caracterc personnel faisant l'objet de traitements automatisés :

Réaffirmant en méme temps leur engage- ment en faveur de la liberté d”inf0rmation sans consideration de frontieres ;

Reconnaissant la nécessite' de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l'information entre les peuples,

Sont convenus de ce qui suit :

Chapitre I — Dispositions générales Article I" Ohjet et but

Le but de la présente Convention est de garantir, sur le tern'toire de ehaque Partie. ä toute personne physique. quelles que soicnt sa nationalité ou sa residence. le respect de ses droits et de ses libertés fondamentales. ct notamment de son droit a la vie privée. ä l'égard du traitement automatisé des données å caractere personnel la concernant ((( protec- tion des données »).

Article 2 Définitions

Aux fins de la présente Convention : a. adonnées ä caraetere personnel » signific :

• Sida 189
•  Original

Prop. 1981/82:189 189