Prop. 1986/87:116
om ändring i datalagen
Regeringens proposition 1986/87: 116
om ändring i datalagen Prop. 1986/87: 116
Regeringen föreslår riksdagen att anta det förslag som har tagits upp i bifogade utdrag ur regeringsprotokollet den l9 mars 1987.
På regeringens vägnar
Ingvar Carlsson
Sten Wickbom
Propositionens huvudsakliga innehåll
I propositionen föreslås ändringar i datalagen (19731289) i syfte att stärka skyddet för den enskildes integritet. Den registeransvarige blir i ökad utsträckning skyldig att rätta felaktiga uppgifter i ett personregister. Den registeransvarige blir också skyldig att utse en eller flera kontaktpersoner som skall bistå de registrerade vid misstanke om att en personuppgift är felaktig. Vid dataintrång och annat brott som avses i datalagen skall den som har begått brottet vara skyldig att betala skadestånd även för s.k. ideell skada. De nya reglerna föreslås träda i kraft den 1 januari l988.
Förslag till '
Lag om ändring i datalagen ('l973:289)
Härigenom föreskrivs att 6. 8 och 23 så datalagen (l9731289l' skall ha
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Lämnas tillstånd till inrättande och förande av personregister. skall datainspektionen. i den mån det behövs för att förebygga risk för otillbör- ligt intrång i personlig integritet, meddela föreskrift om
I. inhämtande av uppgifter för personregistret,
bar—)
4. den tekniska utrustningen.
. vilka personuppgifter som får ingå i personregistret. . utförandet av den automatiska databehandlingen.
5. de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling.
6. underrättelse till berörda personer.
7. de personuppgifter som får göras tillgängliga.
8. utlämnande och annan användning av personuppgift. 9. bevarande och gallring av personuppgifter.
10. kontroll och säkerhet. 10. kontroll och säkerhet. ll . rättelse och andra åtgärder i fråga om oriktiga och "missvisande
uppgifter.
Vid bedömandet av om föreskrift behövs skall särskilt beaktas huruvida registret innehåller personuppgift som utgör omdöme eller annan värde- rande upplysning om den registrerade.
Föreskrift rörande utlämnande av personuppgift får icke inskränka myn- dighets skyldigheter enligt tryckfrihetsförordningen.
Förekommer anledning till miss- tanke att personuppgift som ingår i personregister är oriktig, skall den registeransvarige utan dröjsmål vid- taga skäliga åtgärder för att utröna uppgiftens riktighet och, om skäl föreligger, rätta den eller utesluta den ur registret.
Har uppgift som rättas eller utes- lutes. lämnats ut till annan än den registrerade, skall den registerans- varige på begäran av den registre- rade underrätta mottagaren om rät- telsen eller uteslutningen. Förelig- ger särskilda skäl. får aloe/t' datain-
' Lagen omtryckt l982:446.
Förekommer anledning till miss- tanke att en personuppgift som in- går i ett personregister är oriktig eller missvisande. skall den register- ansvarige utan dröjsmål jöreta skii- lig utredning. En oriktig eller miss- visande uppgift skall rättas, ändras eller uteslutas. om det inte saknas anledning att anta att otillbörligt intrång i den registrerades person- liga integritet skall uppkomma.
Har en uppgift som rättas, änd- ras eller utesluts lämnats ut till nå- gon annan än den registrerade, skall den registeransvarige under- rätta mottagaren om rättelsen, änd- ringen eller uteslutningen. om den registrerade begär det eller om det
Nuvarande lydelse
spektionen befria den registeran- svarige från sådan underrättelse- skyldighet.
Föreslagen lydelse
föreligger risk för otillbörligt in- trång ipersonlig integritet.
En registrerad som har anmält en misstanke om att en personupp- gift är oriktig eller missvisande skall underrättas om vilken åtgärd anmälan föranleder.
Den registeransvarige skall utse en eller flera personer som skall bi- stå de registrerade vid misstanke om oriktig eller missvisande per- sonuppgift och som skall lämna un- derrättelse enligt tredje stycket. Uppgift om vem som har utsetts skall hållas tillgänglig för allmän- heten.
Bestämmelserna i denna para- graf gäller inte register som har överlämnats till en arkivmyndighet förförvaring. Datainspektionen får befria en registerarzsvarig från skyl- dighet enligt paragrafen.
235
Om registrerad tillfogas skada ge- nom att personregister innehåller oriktig uppgift om honom, skall den registeransvarige ersätta skadan. Vid bedömande om oclt i vad mån skada har uppstått tages hänsyn även till lidande och andra omstän- digheter av annan än rent ekono- misk betydelse.
Om registrerad tillfogas skada ge- nom att personregister innehåller oriktig eller missvisande uppgift om honom, skall den registeransvarige ersätta skadan.
Om någon tillfogas skada genom brott som avses i20 5 första stycket eller 21 5, skall den som har gjort sig skyldig till brottet ersätta ska- dan.
Vid bedömande om och i vad mån skada enligt första eller andra stycket har uppstått skall hänsyn även tas till lidande och andra om- ständigheter av annan än rent eko- nomisk betydelse.
Denna lag träder i kraft den Ijanuari l988.
,'l'l Riksdagen l986/87. I saml. Nr 116
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 19 mars 1987
Närvarande: statsministern Carlsson, ordförande. och statsråden Sigurd- sen, Gustafsson. Leijon. Peterson. S. Andersson. Bodström. Göransson. Gradin. Dahl, Holmberg. Hellström. Wickbom. Johansson, Lindqvist, G. Andersson, Lönnqvist
Föredragande: statsrådet Wiekbom
Proposition om ändring i datalagen
1. Inledning
Data- och offentlighetskommittén (Ju 1984:()6, DOK) tillkallades år 1984 för att utreda användningen av personnummer inom den offentliga och den enskilda sektorn. Kommittén fick i tilläggsdirektiv samma år uppdrag att utreda de problem som är förenade med offentlighetsprincipens tillämp- ning på ADB-upptagningar.
DOK (kammarrättspresidenten Carl Axel Petri. f. d. riksdagsledamoten Lilly Bcrgander. riksdagsledamoten Birgit Friggebo, ombudsmannen Hans-Eric Holmqvist. riksdagsledamöterna Gunnar Hökmark. Kurt Ove Johansson och Olof Johansson samt universitetslektorn Yngve Sundblad) avlämnade i april 1986 delbetänkandet (SOU 1986124) lntegritetsskyddet i informationssamhället 1. 1 betänkandet föreslås dels ändringar i data- och skadeståndslagstiftningen som gäller rättelse av fel i personregister samt skadestånd vid fel i personregister och vid brott mot datalagen dels en ändring i sekretesslagstiftningen som gäller patientuppgifter i personregis- ter.
Jag skall i det följande ta upp de frågor om rättelse av fel i personregister och om skadestånd vid brott mot datalagen som behandlas i betänkandet och som kräver lagstiftningsbeslut av riksdagen. DOKzs förslag om änd- ring i sekretesslagen bör däremot lämpligen tas upp tillsammans med förslag till vissa andra ändringar i sekretesslagen. som f. n. förbereds inom justitiedepartementet. bl.a. på grundval av DOK:s betänkande (SOU 1986:46) lntegritetsskyddet i informationssamhället 2.
Till protokollet bör som bilaga I fogas utredningens sammanfattning av sitt betänkande i de delar som skall behandlas vid detta tillfälle. Utredning- ens lagförslag i dessa delar bör fogas till protokollet som bilaga 2. Betän- kandet har remissbehandlats. En förteckning över remissinstanscrna bör fogas till protokollet som bilaga 3. En sammanställning över remissyttran- dena har upprättats inom justitiedepartementet och finns tillgänglig i lag- stiftningsärendet (875—86).
Regeringen beslutade den 5 mars 1987 att inhämta lagrådets yttrande över förslag till lag om ändring i datalagen. Det till lagrådet remitterade
förslaget överensstämmer med lagförslaget i propositionen. Lagrådet har i sitt yttrande. som bör bifogas protokollet som /kl bilaga 4. /-k/ inte haft någon erinran mot förslaget.
2. Allmän motivering 2.1 Mina allmänna utgångspunkter
Datateknikens utveckling och användning påverkar på många sätt de nuva— rande och framtida förhållandena i det svenska samhället. Till de viktigaste frågorna hör otvivelaktigt de som gäller integritetsskydd för enskilda per- soner på området. Dessa frågor uppmärksammades också särskilt när riksdagen på grundval av prop. 1984/851220 fastställde riktlinjer för den framtida datapolitiken (FiU 1985/86z5. rskr. 88).
Själv gav jag i den angivna propositionen (s. 39 ff.) en översikt över hur integritetsfrågorna har utvecklats på dataområdet. Jag redovisade också (s. 38 f.) det initiativ som regeringen tog i början av 1985 och som ledde till att datainspektionen meddelade allmänna råd till myndigheterna i fråga om rättelseri deras register för automatisk databehandling (ADB).
] enlighet med vad som anfördes i propositionen har en statsrådsgrupp för långsiktiga och övergripande datafrågor bildats. i vilken bl. a. jag ingår. Till denna statsrådsgrupp är knutna en samrådsgrupp för sårbarhetsfrågor på ADB-området och en referensgrupp för datafrågor. Bland de frågor som statsrådsgruppen och referensgruppen skall ägna sig åt utgör integritets- skyddsfrågorna en viktig del.
1 det jag nu har sagt ligger att regeringen tillmäter frågan om skydd för den personliga integriteten stor vikt på dataområdet och följer utveckling- en mcd stor uppmärksamhet. Det är angeläget att ha en hög beredskap så att åtgärder vid behov snabbt kan vidtas för att förbättra integritetsskyddet och komma till rätta med eventuella missförhållanden på området. Ett uttryck för denna ambition är att DOK tillkallades med uppdrag att se över personnummeranvändningen i samhället. Också det utvidgade uppdrag som DOK senare har fått rör bl. a integritetsskyddsområdet.
Anledningen till att integritetsfrågorna har sådan vikt på ADB-området är att vår förmåga att skydda den personliga integriteten är av avgörande betydelse för utvecklingen på området. En grundförutsättning för att den nya tekniken skall kunna utnyttjas så att dess fördelar kan tas till vara är att medborgarna kan följa och påverka utvecklingen och att de inte känner främlingsskap och upplever tekniken som ett hot. Det är givet att medbor- garna får svårt att hysa förtroende för en teknik, om de anser att denna hotar deras personliga integritet.
Det är mot den bakgrund som jag nu har angett som jag behandlar DOK:s förslag om rättelse vid fel i personregister och om skadestånd. Förslagen innebär skärpningar på integritetsskyddcts område och har i det stora hela mottagits gynnsamt av remissinstanserna. Jag vill redan här anmäla att jag delar uppfattningen att kommittéförslaget kan läggas till grund för sådana ändringar och att lagstiftningen bör ändras så att skyddet
för den enskildes personliga integritet förbättras i de här berörda hänseen- dena.
Jag vill också erinra om att de nu aktuella förslagen bara är det första resultatet av DOK:s arbete och att jag avser att i samma anda som nu pröva också senare förslag på integritetsskyddets område.
Det är alltså nu frågan om en av flera etapper i det arbete på att stärka skyddet för den personliga integriteten som har satts igång. Enligt min mening är det inte realistiskt att räkna med att man i ett slag kan förbättra integritetsskyddet genom någon eller några stora reformer. utan man mås- te arbeta stegvis med åtgärder som kan te sig ganska begränsade. om man ser dem var för sig. De ändringar i datalagen som jag förordar i det följande utgör ett sådant steg på vägen mot ett bättre integritetsskydd.
Hänvisningar till S2
- Prop. 1987/88:57: Avsnitt 3
2.2. Rättelse av fel i personregister
Mitt förslag: Hos den som är registeransvarig för ett personregister skall det finnas en eller flera befattningshavare (kontaktpersoner), som bistår en registrerad vid misstanke om att en personuppgift är oriktig eller missvisande. Kontaktpersonerna skall också svara för att registrerade som anmält fel i personregistret får underrättelse om vilken åtgärd anmälan föranleder från den registeransvariges sida.
Den registeransvariges skyldighet att utreda och rätta felaktiga registeruppgifter preciseras och skärps. Presumtionen skall vara att en oriktig eller missvisande uppgift skall rättas. Dessutom skärps skyldigheten att sända underrättelse om företagen rättelse till den som den felaktiga uppgiften har lämnats ut till.
Reglerna om rättelse skall inte gälla-register som har överlämnats till en arkivmyndighet för förvaring. Datainspektionen skall i undan- tagsfall kunna befria också en annan registeransvarig från rättelse- skyldighet.
Datainspektionen skall kunna meddela föreskrifter om tillämp- ningen av reglerna om rättelse av oriktig eller missvisande uppgift.
DOK:s förslag ligger i linje med mitt förslag men skiljer sig från detta i främst följande avseenden: Kontaktpersonen benämns dataansvarig och har vissa andra uppgifter än enligt mitt förslag. Kraven på att den register- ansvarige skall rätta en personuppgift är olika beroende på om uppgiften är oriktig eller missvisande. En oriktig uppgift skall alltid rättas och en uppgift som är missvisande utan att vara oriktig skall rättas om det är motiverat av integritetsskäl. Datainspektionen kan inte befria en register- ansvarig från rättelseskyldighet. Inte heller kan datainspektionen meddela någon särskild föreskrift om tillämpningen av reglerna om rättelse.
Remissinstanserna: Förslaget om dataansvarig tillstyrks av de flesta re- missinstanser. Några har dock synpunkter på detaljer. bl.a. benämningen "dataansvarig". En del instanser anser att ansvarsfördelningen mellan den
registeransvarige och den dataansvarige är oklar eller att en dataansvarig bara behövs för vissa slag av register.
Alla remissinstanser som uttalat sig om obligatorisk rättelse av oriktiga uppgifter är positiva till förslaget. Några menar dock att nuvarande ord- ning bör behållas för vissa slag av register. t. ex. forskningsregister. stati- stikregister och kortvariga register. Förslaget om villkorlig rättelse av missvisande uppgifter tillstyrks av de flesta instanser. JK och datainspek- tionen önskar gå längre än förslaget när det gäller skyldighet att rätta missvisande uppgifter. medan de tre kreditupplysningsföretag som ingår bland remissinstanserna är starkt kritiska. Det förekommer olika åsikter om det innebär en verklig eller bara en terminologisk nyhet att föra in begreppet "missvisande uppgift" i lagen.
De flesta som uttalat sig om obligatorisk underrättelse om rättelse av uppgift är positiva till förslaget. JK, datainspektionen och LO förordar en längre gående underrättelseskyldighet.
Inget remissorgan motsätter sig ett undantag från reglerna om rättelse såvitt gäller register som har överlämnats till arkivmyndighet. Några påpe- kar att begreppet arkivmyndighet i regel inte omfattar kommunala arkiv.
Skälen för mitt förslag: Datalagen (19731289. omtryckt 19821446, ändrad senast 1986: 1323) syftar till att skydda den enskilde mot sådant intrång i den personliga integriteten som kan bli följden av att personuppgifter registreras med hjälp av ADB. Lagens regler innebär bl.a. att vissa särskilt integritetskänsliga personregister får inrättas endast efter tillstånd av da- tainspektionen eller genom beslut av statsmakterna. För övriga personre- gister utom sådana som en enskild inrättar eller för uteslutande för person- ligt bruk krävs enbart anmälan till datainspektionen som utfärdar ett sär- skilt bevis om anmälningen (licens).
Datainspektionen utövar tillsyn över alla personregister och kan medde- la föreskrifter för registren om det behövs för att förebygga otillbörligt integritetsintrång. Föreskrifterna kan beslutas antingen i samband med ett tillståndsbeslut eller som ett led i datainspektionens tillsynsverksamhet.
Lagen innehåller dessutom allmänna regler om bl.a. skyldighet att rätta oriktiga uppgifter i personregister och om registeransvarigas skadestånds- skyldighet. Med registeransvarig menas den för vars verksamhet registret förs, om han förfogar över registret. Den registeransvarige kan vara en fysisk eller enjuridisk person eller en myndighet.
Reglerna om rättelse av personuppgifter finns i 8 & datalagen. Reglerna gäller för alla register, alltså även dem som inte kräver tillstånd för att inrättas. Reglerna innebär följande. Om det finns anledning att misstänka att en personuppgift i ett personregister är oriktig. skall den registeransva- rige utan dröjsmål vidta skäliga åtgärder för att ta reda på om uppgiften är riktig. Om det föreligger skäl, skall den registeransvarige rätta uppgiften eller utesluta den ur registret. Har en uppgift som rättas eller utesluts lämnats ut till någon annan än den registrerade. skall den registeransvarige på begäran av den registrerade underrätta mottagaren om rättelsen eller uteslutningen. Datainspektionen får dock befria den registeransvarige från underrättelseskyldigheten om det föreligger särskilda skäl.
Om en registeransvarig inte uppfyller de skyldigheter som åvilar honom
enligt lagen i fråga om t. ex. rättelse av oriktiga uppgifter kan datainspek- tionen som nämnts besluta föreskrifter av visst slag (18 å första stycket datalagen). Inspektionen har vidare som nämnts på uppdrag av regeringen utfärdat allmänna råd för myndigheter vid tillämpningen av 8 & datalagen (se bilaga 6 i DOK:s betänkande).
Datalagen innehåller således regler för att förebygga att personuppgifter, som visar sig vara oriktiga. står kvar i register och vållar otillbörligt intrång i den personliga integriteten. chlernas tillämpning i praktiken har dock visat sig vara förenad med en del problem. Erfarenheter från datainspek- tionen. JO och JK ger vid handen att de registeransvariga inte sällan saknar tillfredsställande rättelserutiner. Det kan vara svårt att snabbt och enkelt få en rättelse till stånd när ett fel har upptäckts. Genom att uppgifter i vissa fall överförs från ett register till ett annat kan en felaktighet i ett register få svåröverblickbara återverkningar i andra register. Bristerna har påpekats av såväl datainspektionen som JO.
Jag instämmer i DOK:s bedömning att de påtalade bristerna i fråga om rättelsel'örfarandet bör åtgärdas genom att datalagens regler på området skärps på flera punkter. Jag behandlar de olika delfrågorna var för sig när jag i det följande närmare redovisar mina förslag till ändringar i reglerna i datalagen om rättelse av personuppgifter.
Kontaktperson m. m.
Personuppgifter av integritetskänsligt slag förekommer särskilt i personre- gister som förs av vissa stora bolag och myndigheter. För en enskild som misstänker att en uppgift om honom är felaktig kan det vara svårt att orientera sig inom den registeransvariges organisation och att veta vilken enhet eller vilka befattningshavare som misstanken bör anmälas till. Att det i praktiken kan vara svårt för enskilda att få kontakt med rätt person hos den registeransvarige har också visat sig i datainspektionens verksam- het. Svårigheterna kan leda till att den enskildes felanmälan inte blir behandlad på ett godtagbart sätt eller att den enskilde helt enkelt avstår från att anmäla det misstänkta felet.
Förhållandena uppmärksammades i ett tidigare lagstiftningsärende avse- ende datalagen. Föredragande statsrådet anförde därvid att det borde vara av stort värde. om den registeransvarige på utdrag från ett dataregister angav telefonnummer till den enhet eller den tjänsteman som handlade den aktuella frågan eller kunde lämna upplysningar i saken (prop. 1981/82: 189 s. 27). Någon särskild regel om detta togs dock inte in i lagen, bl. a. därför att saken inte ansågs vara tillräckligt utredd. Uppenbarligen har motivutta- landena inte lett till att förhållandena förbättrats på något avgörande sätt i praktiken.
Enligt min bedömning är svårigheterna för den enskilde att få tag på rätt person vid felanmälan den kanske största praktiska olägenheten med nuva- rande ordning i fråga om rättelse av personuppgifter. Jag anser att tiden nu är mogen att genom lagstiftning undanröja dessa svårigheter. En register- ansvarig bör i fortsättningen vara skyldig att ha en eller flera kontaktper- soner. till vilka de enskilda kan vända sig med misstankar om fel i registret.
Den enskilde skall alltså inte behöva råka ut för att hänvisas från person till person. utan skall direkt kunna få besked om vem som har hand om felanmälningar i fråga om ett visst register. Kontaktpersonen bör inte endast fungera som en passiv mottagare av felanmälningar utan bör på ett aktivt sätt bistå den enskilde med råd och upplysningar.
Inget bör hindra att en registeransvarig, som är en fysisk person. själv fungerar som kontaktperson. Det vanliga torde dock bli att den register- ansvarige utser någon eller några av sina anställda till kontaktpersoner. Det är angeläget att den registeransvarige därvid väljer personer med sådana kunskaper på området och en sådan ställning inom organisationen, att de kan bistå de enskilda med tillräcklig kraft och auktoritet. Bäst är givetvis om en kontaktperson själv har befogenhet att besluta om att rätta eller på annat sätt åtgärda fel som upptäcks. Att generellt kräva sådana befogenheter för kontaktpersonen skulle clock föra för långt. Förhållan- dena hos olika myndigheter. företag och andra registeransvariga är så varierande att man bör undvika generella regleringar av rent interna förhål- landen.
Om en viss befattningshavare har till uppgift att själv föra registret bör det i regel vara lämpligt att den befattningshavaren är kontaktperson. Den ordningen torde bli det vanliga hos åtskilliga smärre företag och förening- ar. Hos myndigheter torde det i regel vara lämpligt att anförtro kontaktper- sonens uppgifter åt den eller de befattningshavare som svarar för att lämna allmänheten upplysningar om myndighetens ADB-register (jfr 8 & allmän- na verksstadgan 19651600, 8 & ändrad senast l982z274).
För vissa register finns flera gemensamt registeransvariga. Ett exempel på detta är det statliga löneuträkningssystemet SLÖR. för vilket statens löne- och pensionsverk är registeransvarig tillsammans med de myndighe- ter som är anslutna till systemet. I sådana fall kan det ibland vara lämpligt att de registeransvariga enas om att använda sig av en eller flera gemen- samma kontaktmän. som utses av de registeransvariga. Särskilt i system där registeransvariga saknar terminalanslutning kan en sådan ordning vara naturlig.
Med hänsyn till de varierande förhållandena som råder hos olika regis- teransvariga är det enligt min mening lämpligt att ge datainspektionen befogenhet att vid behov meddela föreskrifter för tillämpningen av regler- na om kontaktperson. Eftersom sådana föreskrifter meddelas individuellt för resp. register kan de utformas på det sätt som är lämpligast med hänsyn till förhållandena i det särskilda fallet. Föreskrifterna bör alltså kunna avse t.ex. en kontaktpersons befogenheter att besluta om eller övervaka rät- telse eller andra åtgärder eller om ansvarsfördelning mellan olika kontakt- personer. Datainspektionen bör vidare ha möjlighet att meddela föreskrif- ter om rutiner i övrigt i fråga om rättelse av felaktiga personuppgifter.
På en punkt anser jag att man direkt i datalagen bör bestämma en viss befogenhet för kontaktpersonerna. Det gäller ansvaret för att den registre- rade får besked om vilka åtgärder som har vidtagits med anledning av hans eller hennes felanmälan. Jag går nu över till den frågan.
Datalagen innehåller i dag ingen regel om att den registeransvarige skall underrätta den registrerade om att en registeruppgift som rör honom eller
henne har rättats. I lagmotiven förutsattes att den registeransvarige i de fall en rättelse rör en omständighet som är av betydelse ur integritetssynpunkt självmant skulle upplysa den registrerade om rättelsen så att denne kan kräva att mottagare av den felaktiga uppgiften också underrättas (prop. 1973133 5. 134). Det finns dock ingen undersökning om i vilken mån de registeransvariga rättar sig efter motivuttalandet. Enligt DOK:s bedöm- ning är det troligt att personuppgifter då och då rättas utan att den registre- rade får besked om detta. Datainspektionen har i sitt remissyttrande anfört att en regel om underrättelseskyldighet av detta slag bör tas in i datalagen.
Jag delar datainspektionens uppfattning. En registrerad som vänt sig till den registeransvarige med en misstanke om att en uppgift om honom är felaktig har självfallet ett berättigat krav på att få underrättelse om vilken åtgärd hans anmälan föranleder. Jag föreslår därför att man i datalagen tar in en regel om att den registeransvarige i dessa fall har skyldighet att lämna underrättelse till den registrerade.
I detta underrättelseförfarande bör kontaktpersonerna kunna ha en na- turlig roll. Kontaktpersonerna kommer. enligt den ordning jag nyss före- slagit. att ta emot de flesta felanmälningarna från enskilda. I arbetsuppgif- terna ingår också att på ett aktivt sätt ge råd och upplysningar till de enskilda. Det ligger i linje med detta att också ålägga kontaktpersonerna att underrätta de enskilda som anmält misstanke om fel om vilken åtgärd anmälan föranleder. Den föreslagna regeln i datalagen om kontaktpersoner bör därför kompletteras med en föreskrift om att en kontaktperson lämnar den enskilde en sådan underrättelse. Genom detta åliggande får kontakt- personen anledning att följa den fortsatta handläggningen av en felanmälan som han tagit emot, även om han inte har befogenhet att besluta om rättelse. Kontaktpersonen bör kunna uppdra åt någon annan att rent fak- tiskt underrätta den enskilde på kontaktpersonens vägnar. Ytterst är det den registeransvarige som svarar för att den enskilde verkligen underrät- tas.
När det gäller kontaktpersoner föreslårjag alltså sammanfattningsvis att den registeransvarige skall utse en eller flera personer. som bistår den registrerade vid misstanke om att en personuppgift är oriktig eller missvi- sande och som underrättar den registrerade om vilken åtgärd anmälan föranleder. Regeln bör tas in bland övriga föreskrifter om rättelse i 8 & datalagen.
Mitt förslag om kontaktpersoner ansluter ganska nära till DOK:s förslag att det hos varje registeransvarig skall finnas en dataansvarig med uppgift bl. a. att bistå de registrerade vid misstanke om fel i personuppgifterna i personregistret. Jag har dock tagit intryck av kritik som framkommit under remissbehandlingen och som går ut på att förhållandet mellan den data- ansvarige och den registeransvarige inte var helt klarlagt. Bl.a. skulle själva benämningen dataansvarig kunna leda tanken till att den dataansva- rige har ett självständigt ansvar vid sidan om den registeransvarige för att datalagens regler följs. Jag har därför funnit att termen dataansvarig inte bör användas som benämning i det sammanhang som det här gäller.
DOK har föreslagit att den som är dataansvarig skall ha vissa ytterligare uppgifter. Det gäller bevakningen av att lämpliga rättelserutiner utformas.
uppsikten över felfrekvens och tillämpningen av rättelserutiner. medver- kan vid information och utbildning hos den registeransvarige och allmänt bistånd åt allmänheten. Många gånger kan naturligtvis detta vara lämpligt. Jag anser dock att några särskilda bestämmelser om detta inte bör medde- las utan att den registeransvarige. med det ansvar som åvilar honom, själv bör få avgöra om dessa uppgifter skall läggas på kontaktpersonen eller på någon annan lämplig person.
Förslaget om kontaktpersoner innebär inte att en kontaktperson själv skall bära ett straff- eller skadeståndsrättsligt ansvar enligt datalagen. Kontaktpersonen bör ansvara för sina åtgärder enligt vanliga regler om ansvar i arbetstagar- eller uppdragsförhållanden. Ansvaret enligt datalagen för att reglerna i den lagen följs i fråga om ett visst personregister bör däremot även i fortsättningen åvila den registeransvarige.
Det ligger i sakens natur att den registeransvarige är skyldig att instruera sin personal så att en enskild som vill anmäla ett misstänkt registerfel snabbt och enkelt kan få kontakt med en kontaktperson. Särskilt viktigt är det givetvis att personalen i telefonväxeln och i eventuell reception eller motsvarande vet vem eller vilka som är kontaktpersoner. Ofta kan det också vara lämpligt att sätta ut kontaktpersoners namn i telefonkatalogen och på registerutdrag eller andra handlingar som innehåller uppgifter från personregistret. En bestämmelse bör därför införas som ålägger den regis- teransvarige att hålla uppgiften om vem eller vilka som är kontaktpersoner tillgänglig för allmänheten. Den blir då tillgänglig också för datainspek- tionen och det behöver inte föreskrivas att uppgiften skall ingå i en sådan förteckning som avses i 7 a ådatalagen. Datainspektionen bör kunna med- dela föreskriftcr om detta inom ramen för sin nyss föreslagna rätt att meddela föreskrifter om rättelseförfarandet.
Skyldig/tet att utreda och åtgärdafelaktig/teter i ett personregister
Om det finns anledning att misstänka att en personuppgift är oriktig. är den registeransvarige Skyldig att utan dröjsmål vidta skäliga åtgärder för att utröna om uppgiften är riktig. Om det föreligger skäl. skall den register- ansvarige rätta eller utesluta uppgiften ur registret (85 första stycket datalagen).
Den registeransvariges skyldigheter hänför sig alltså till oriktiga person- uppgifter. Innebörden av begreppet oriktig har inte berörts i datalagens förarbeten. Olika meningar om den rätta innebörden har framkommit. inte minst vid remissbehandlingen av DOK:s betänkande. Tveksamheterna gäller bl. a. om en uppgift skall anses oriktig på grund av förhållanden. som inträtt efter det att uppgiften registrerades. Det har även diskuterats om en uppgift skall anses oriktig om den visserligen är riktig i och för sig men förekommer i ett sammanhang där den gör ett missvisande intryck.
Utredningsmaterialet tillåter inte någon säker slutsats om den exakta innebörden av begreppet oriktig uppgift. Rättsläget synes vara oklart. Även om oklarheten inte tycks ha lett till några allvarligare problem finns det enligt min mening skäl att precisera lagen på denna punkt. Man bör därvid utforma lagtexten så att den täcker inte bara det fallet att en uppgift
I]
i sig är felaktig utan även det fallet att intrycket blir missvisande på grund av det sammanhang i vilket uppgiften förekommer. Detta har betydelse inte minst med tanke på de tillfällen då en uppgift förs över till ett nytt register med annat ändamål än det register. där uppgiften ursprungligen förekom. Den önskvärda klarheten bör uppnås. om man kompletterar det redan befintliga begreppet oriktig uppgift med ett nytt begrepp. missvisan- de uppgift. Den registeransvariges skyldigheter enligt Sä första stycket datalagen bör alltså i fortsättningen hänföra sig till de fall då en uppgift i ett personregister är eller misstänks vara oriktig eller missvisande. Om en uppgift skall anses vara oriktig eller missvisande. får bedömas från fall till fall mot bakgrund bl. a. av registrets ändamål. Det bör i princip vara likgiltigt om de förhållanden. som gör en uppgift oriktig eller missvisande. förelåg redan då uppgiften registrerades eller har inträtt först därefter. Ett undantag kan givetvis vara om registrets ändamål är att avspegla förhållan- den som rådde vid en viss tidpunkt eller att återge det exakta innehållet i ett visst dokument. Förhållanden som inträtt därefter bör i så fall i regel inte göra att de registrerade uppgifterna anses oriktiga eller missvisande.
Med att en uppgift är oriktig bör i första hand avses att uppgiften i sig är felaktig. Begreppet missvisande tar däremot främst sikte på det intryck som uppgiften skapar i sitt sammanhang. Eftersom rättsföljderna — som strax skall framgå — enligt mitt förslag i princip är lika oavsett om en uppgift är oriktig eller missvisande finns dock i regel inte. skäl att mera exakt de'liniera gränsen mellan vad som är en oriktig och vad som är en missvisande uppgift. Enligt min mening går det inte heller i praktiken att dra en klar gräns mellan dessa två begrepp.
Ändringen får alltså till följd att den registeransvarige blir skyldig att företa skälig utredning om det finns anledning att misstänka att en person- uppgift i ett personregister är oriktig eller missvisande.
[ fråga om den registeransvariges skyldigheter att rätta en uppgift som har visat sig oriktig eller missvisande finns det enligt min mening skäl att göra ytterligare lagändringar i syfte att stärka den enskildes ställning. Den registeransvarige skall i dag rätta eller utesluta en oriktig personuppgift om skäl föreligger. Skyldigheten är alltså villkorlig. Avgörande bör enligt lagförarbetena vara bl.a. uppgiftens betydelse från integritetssynpunkt. Om uppgiften saknar betydelse från integritetssynpunkt bör rättelse eller uteslutning kunna underlåtas. även om uppgiften är oriktig. Det bör också vara av viss betydelse om den registrerade begärt att uppgiften skall rättas eller uteslutas (prop. 197333 5. 132).
Den registeransvariges skyldigheter omfattar alltså nu dels rättning. dels uteslutning av uppgiften. Till detta bör enligt min mening fogas en skyldig- het att vid behov ändra uppgiften. Ändringen kan t.ex. innebära att en missvisande uppgift ges ett innehåll eller kompletteras så att man inte längre får ett missvisande intryck.
Rättelseätgärder skall enligt lagens nuvarande lydelse vidtas när skäl föreligger. Detta innebär att presumtionen är att rättelse inte skall ske. Om utredningen inte visar att skäl föreligger. behöver uppgiften alltså inte rättas eller uteslutas. Detta tycks ha medfört att rättelse inte alltid har skett i önskvärd utsträckning. Datainspektionens rekommendationer i ämnet
har enligt DOK inte alltid fungerat hos de registeransvariga. Detta förhal- Iande bör enligt min mening inte längre godtas. Regeln om rättelseskyl- dighet bör därför skärpas.
En möjlighet kunde därvid vara att göra rättelse obligatorisk. Detta vore dock enligt min mening att skjuta över målet. Det finns fall dådet uppen- barligen saknar betydelse ur integritetssynpunkt att en registeruppgift är oriktig eller missvisande. En regel om obligatorisk rättelse skulle också passa mindre väl för missvisande uppgifter. I fråga om dessa bör finnas ett visst utrymme för olika bedömningar i fråga om åtgärder.
Jag föreslår i stället att regeln om rättelseskyldighet ändras så. att en oriktig eller missvisande uppgift skall rättas. ändras eller uteslutas. om det inte saknas anledning att anta att otillbörligt intrång i den registrerades personliga integritet skall uppkomma. Detta innebär en presumtion för att rättelse skall ske. Rättelse får alltså underlåtas endast om utredningen eller omständigheterna i övrigt klart visar att detta kan ske utan otillbörligt intrång i personlig integritet.
Möjligheten att underlåta att rätta en felaktig uppgift bör i första hand kunna användas när det gäller stavfel och andra liknande misskrivningar. Beträffande felaktigheter som rör sakförhållanden finns däremot mera sällan grund för att med säkerhet konstatera att uppgiften saknar betydelse från integritetssynpunkt. En sådan felaktighet bör därför rättas utom i undantagsfall. såsom då den felaktiga uppgiften finns i ett tillfälligt register och uppgiften dessutom framstår som helt harmlös. Rättelse bör t.ex. kunna underlåtas när det gäller en oriktig adressuppgift i ett register för forsknings- eller statistikändamål eller en oriktig uppgift om bilinnehav i ett tillfälligt direktreklamregister. Om den registrerade har begärt att en upp- gift skall rättas. åndras eller uteslutas. bör den registeransvarige endast i ännu mer utpräglade undantagsfall kunna underlåta att vidta rättelseåt- gärder i fråga om en uppgift som befunnits oriktig eller missvisande.
I detta sammanhang vill jag beröra frågan om en rättelseåtgärd bör dokumenteras. t. ex. genom en aktanteekning eller liknande. Rättelse av sakuppgifter av betydelse ur integritetssynpunkt bör enligt min mening i regel dokumenteras. Så torde också ske i dag. Jag instämmer i DOK:s bedömning att någon uttrycklig regel om saken i datalagen inte behövs. När det gäller rättelse i myndigheters register följer dokumentationsskyl- digheten i de flesta fall redan av allmänna regler (jfr KU 1982/83: 12 s. 22 . För övrigt bör datainspektionen vid behov kunna meddela föreskrifter om dokumentationsskyldighet inom ramen för den tidigare föreslagna befo- genheten att meddela föreskrifter om rättelseförfarandet.
Underrättelse till annan än den registrerade
Om en personuppgift. som rättas eller utesluts. har lämnats ut till någon annan än den registrerade. skall den registeransvarige på begäran av den registrerade underrätta mottagaren om rättelsen eller uteslutningen (8 å andra stycket datalagen).
Den föreskrivna underrättelseskyldigheten skall ses mot bakgrund av att uppgifter i ett personregisteri vissa fall kan lämnas ut för att användas i ett
annat personregister eller på annat sätt. En felaktighet i fråga om en viss registeruppgift kan på så sätt följa med till den som uppgiften lämnas ut till. En underrättelse om att en utlämnad uppgift är felaktig gör att även mottagaren kan rätta uppgiften.
Underrättelscskyldighcten enligt datalagen gäller endast om den regist- rerade har begärt att mottagaren av uppgiften skall underrättas. l datain- spektionens allmänna råd för myndigheter vid tillämpningen av 8 ädatala- gen rekommenderas myndigheterna att vid behov lämna underrättelse även om den registrerade inte har begän detta.
Det föreliggande Utredningsmaterialet utvisar inte att nuvarande ordning skulle ha gett upphov till några egentliga missförhållanden. Den av mig nyss föreslagna regeln om att en registrerad som anmält ett fel skall få besked om vilken åtgärd som anmälan föranleder bör också förbättra förutsättningarna för de registrerade att kunna utnyttja rätten att begära att mottagaren av registeruppgifter underrättas om företagna rättelser.
Trots detta instämmer jag i DOK:s bedömning att den registrerades ställning bör stärkas ytterligare även på denna punkt. Det utbyte av upp- gifter mellan olika register som numera förekommer i inte obetydlig om- fattning har enligt min mening ökat behovet av att felaktigheter som upptäcks i ett register rättas även i andra register eller i andra sammanhang där uppgifterna förekommer. Jag anser att det inte längre är rimligt att datalagen kräver en åtgärd från den registrerade för att så skall ske. Datainspektionens rekommendation till myndigheterna att vid integritets- risk självmant underrätta mottagare av registeruppgifter om rättelsen lig- ger bättre i linje med de krav jag anser att man måste ställa på integritets- skyddet.
Jag förordar därför att en regel som motsvarar datainspektionens rekom- mendation tas in i datalagen. Regeln bör gälla alla register, oberoende av om de förs av en myndighet eller av en enskild registeransvarig.
Datalagen innehåller i dag en regel som gör det möjligt för datainspek- tionen att ge dispens från skyldigheten att underrätta en uppgiftsmottagare om att en uppgift rättas. DOK har funnit att dispensregeln aldrig utnyttjas i praktiken och därför kan upphävas. För min del anser jag, som strax kommer att framgå, att det behövs en möjlighet för datainspektionen att medge undantag från bestämmelserna om rättelse m.m. i 8 få datalagen. Bestämmelsen bör omfatta också underrättelseskyldigheten.
Undanlagfrån rättelseskyldighet m. m.
Reglerna i 8 & datalagen om rättelse av oriktiga personuppgifter gäller i dag för alla personregister. De träffar därmed också register. som har överläm- nats till en arkivmyndighet för förvaring. Sådana register skiljer sig dock från andra personregister genom att de inte används för sitt ursprungliga ändamål utan för mer begränsade syften. Detta har föranlett att register som överlämnats till arkivmyndighet redan i tidigare sammanhang har undantagits från tillståndsplikt (2 a é). förteckningsskyldighet (7 a 15) och skyldighet att lämna underrättelse om registerinnehållet enligt 10 & data- lagen. ] samband med dessa bestämmelsers tillkomst förklarade sig före-
Prop.]986/87:116
dragande statsrådet inte beredd att föreslå att arkivregister borde undantas från datalagens tillämpning i ytterligare några avseenden (prop. 1981/82:189 s. 38).
DOK har nu föreslagit att register som har överlämnats till arkivmyn- dighet för förvaring skall undantas även från tillämpningen av reglerna i 8 & datalagen om rättelse m.m. Jag instämmer i detta. Genom att register av detta slag inte längre är "aktiva" är risken för att en felaktig registeruppgift skulle vålla ett otillbörligt integritetsintrång liten. Det skulle också te sig främmande för en arkivmyndighets funktion att ändra i det historiska material som tagits emot för förvaring. En undantagsregel för sådana register bör därför tas in i 8 ådatalagen.
Det bör emellertid betonas att datalagen avses gälla fullt ut för t.ex. register som för särskilda forskningsprojekt byggs upp med hjälp av upp- gifter från arkivregister.
Begreppet arkivmyndighet är inte preciserat vare sig i datalagen eller dess förarbeten (jfr prop. 1981/82:189 s. 35 ff.). Det får dock anses klart att begreppet innefattar åtminstone riksarkivet. krigsarkivet och landsarkiven samt stadsarkiven i Stockholm och Malmö (6 och 8— 10 55 allmänna arkiv- stadgan 1961 :590. 8 .5 ändrad senast 19781778).
Under remissbehandlingen har från olika håll tagits upp frågan om undantaget i 8 & datalagen bör omfatta även vissa andra register, såsom register som överlämnats till ett annat kommunalt arkiv. Även register som används endast för statistikframställning eller forskning har nämnts i detta sammanhang. Jag är emellertid inte beredd att nu föreslå ett generellt undantag för andra register än dem som överlämnats till arkivmyndigheter (jfr prop. 1984/85: 133 s. 16).
Detta utesluter emellertid inte att ett undantag kan vara motiverat i fråga om enstaka andra register. En möjlighet bör därför öppnas för datainspek- tionen att medge undantag från tillämpningen av 8 % datalagen för ett visst register. Denna dispensmöjlighet bör kunna utnyttjas då ett undantag från rättelseskyldigheten framstår som lika motiverat som i fråga om register som har överlämnats till en arkivmyndighet.
Daminspcklionwts uppgifter ifråga om rätte/sc
Mina förslag i det föregående innefattar vissa nya uppgifter för datainspek- tionen. lnspektionen skall kunna meddela föreskrifter om rättelse och andra åtgärder i fråga om oriktiga eller missvisande uppgifter. Föreskrifter- na kan t. ex. avse kontaktmännens uppgifter och befogenheter eller förfa- randet i övrigt vid utredning. rättelse eller underrättelse enligt 8 få data- lagen. En bestämmelse om sådan föreskriftsrätt bör tas in i 6 så datalagen bland övriga regler om datainspektionens föreskriftsrätt,
Det ankommer naturligtvis också på datainspektionen att liksom hittills i sin tillsynsverksamhet kontrollera att reglerna om rättelse efterlevs av de registeransvariga. ] första hand bör inspektionen givetvis söka åstadkom— ma efterrättelse på frivillig väg. Om förandet av ett personregister har lett till ett otillbörligt integritetsintrång eller om det finns anledning att anta att ett sådant intrång skall uppkomma. får dock inspektionen tillgripa de
åtgärder som avses i 18 & datalagen. Dessa åtgärder är att meddela före- skrifter för registret eller att ändra tidigare meddelade föreskrifter. Under vissa förutsättningar får inspektionen också förbjuda fortsatt förande av registret eller återkalla ett meddelat tillstånd för registret.
2.3. Skadestånd
Mitt förslag: Skadeståndsskyldigheten enligt datalagen utvidgas till att avse skada som vållats genom att ett personregister innehåller
missvisande personuppgift. En särskild föreskrift införs om att er- sättning för ideell skada skall kunna utdömas vid brott som avses i datalagen.
Utredningens förslag överensstämmeri huvudsak med mitt. Remissinstanserna: Förslaget om utvidgning av skadeståndsansvaret till fall där en personuppgift varit missvisande tillstyrks av drygt hälften av de instanser som uttalat sig. JK menar dock att datalagens skadeståndsregcl skulle kunna upphävas eftersom skadeståndslagen ger tillräckligt skydd. Några remissinstanser anser att den föreslagna utvidgningen är oaccepta- bel. De flesta som uttalat sig om att ersättning för ideell skada skall kunna utdömas vid brott mot datalagen är positiva till förslaget.
Skälen för mitt förslag: 1 23 å datalagen finns regler om skadestånd för skada som tillfogas genom att ett personregister innehåller en oriktig uppgift. Vid brott enligt 20 & datalagen aktualiseras frågan om skadestånd enligt allmänna regler i skadeståndslagen (1972z207. omtryckt 1975z404. ändrad senast 1986:445) om skadestånd på grund av brott. Detsamma gäller beträffande dataintrång (21 & datalagen). Jag skall i det följande behandla behovet av ändringar i reglerna för bägge dessa former av skade- stånd i datasammanhang.
Skadestånd enligt 23 å datalagen
Om en registrerad tillfogas skada genom att ett personregister innehåller oriktig uppgift om honom skall den registeransvarige enligt 23 & datalagen ersätta skadan. Vid bedömande om och i vad mån skada har uppstått skall man ta hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse.
En liknande skadeståndsregel finns i 21 & kreditupplysningslagen (1973: 1173. omtryckt 1981 :737). 1 de fall ett kreditupplysningsregister förs med hjälp av ADB blir dock även skadeståndsregeln i datalagen tillämplig (jfr prop. 1973: 155 s. 122).
Skadeståndsregeln i 23 & datalagen innebär att skadeståndsskyldighet föreligger även om den skadeståndsansvarige inte har orsakat skadan avsiktligt eller genom vårdslöshet. Ett sådant s.k. strikt skadeståndsan- svar går utöver vad som gäller i allmänhet enligt skadeståndslagen. enligt vilken skadeståndsskyldighet som huvudregel förutsätter att skadan orsa-
kats avsiktligt eller genom vårdslöshet. Som motiv för att införa ett strikt skadeståndsansvar anfördes vid datalagens tillkomst bl.a. att skadeverk- ningarna av en oriktig registeruppgift kan bli betydande genom den stora spridning av en uppgift som datatekniken möjliggör och den särskilda tilltro som datauppgifter i många fall åtnjuter. Som ett ytterligare motiv anfördes att faktiska fel kan uppkomma i ett dataregister genom missöden som inte kan läggas någon till last som vållande (prop. 1973:33 s. 148).
Kritik framfördes vid datalagens tillkomst mot att införa en så långt gående skadeståndsskyldighet för den registeransvarige. Bl.a. framhölls att det kan inträffa att en viss oriktighet i ett personregister inte är hänförlig till den registeransvariges handläggning utan härstammar från annat håll. t. ex. från ett annat personregister. Föredragande statsrådet ansåg dock att skadeståndsansvaret gentemot den enskilde borde åvila den som sist haft hand om uppgiften. dvs. den registeransvarige som lämnat ut den oriktiga uppgiften eller på annat sätt orsakat skadan. En sådan registeransvarig kunde enligt föredraganden i vissa fall ha rätt att regressvis återkräva utgiven ersättning av annan (prop. 1973:33 s. 149).
Under de år som datalagen funnits synes skadeståndsregeln i 23 å ha tillämpats ganska sällan. Viss kritik har i olika sammanhang riktats mot regeln och dess tillämpning. Kritiken är dock inte entydig utan går i både skärpande och lindrande riktning. En del av kritiken går ut på att de skadeståndsbelopp som dömts ut varit alltför låga. Å andra sidan har röster höjts för att skadeståndsregeln är alltför sträng mot en registeransvarig som endast vidarebefordrat en oriktig uppgift från ett annat register.
Jag kan för min del inte finna att den framförda kritiken eller utredningen i övrigt ger underlag för några genomgripande ändringar i paragrafen. De motiv som åberopades vid datalagens tillkomst till stöd för paragrafen har enligt min mening alltjämt bärkraft.
På en punkt finns dock skäl att komplettera reglerna om ersättning för skada som tillfogas genom att en personuppgift är oriktig. Jag har tidigare (avsnitt 2.2) föreslagit att reglerna i 8 & datalagen om rättelse ändras bl. a. så att rättelseskyldigheten omfattar både oriktiga och missvisande upp- gifter. Mot bakgrund härav skulle skadeståndsregeln i 23 å datalagen bli haltande om skadestånd endast skulle utgå för skada som orsakats av att en uppgift är oriktig. Jag föreslår därför att regeln ändras så. att den registeransvarige skall ersätta skada som en registrerad tillfogats genom att ett personregister innehåller oriktig eller missvisande uppgift om den re- gistrerade.
Skadestånd vid brott mot datalagen
[ 20 & datalagen finns regler om straff för överträdelser av vissa bestäm- melser i datalagen. Enligt första stycket döms till böter eller fängelse den som uppsåtligen eller av oaktsamhet
1. inrättar eller för personregister utan licens eller tillstånd enligt datala- gen. när detta erfordras.
2. bryter mot föreskrift eller förbud som datainspektionen har meddelat enligt 5.6 eller 18 s
3. lämnar en personuppgift i strid mot utlämnandeförbudet i 11 ä.
4. bryter mot gallringsregelni 12 s.
5. lämnar en osann uppgift vid fullgörande av skyldigheten att lämna underrättelse enligt 10 ä.
6. lämnar en osann uppgift i sådana fall som avses i 17 &. Enligt andra stycket döms till böter den som uppsåtligen eller av oakt- samhet bryter mot 7 a & första eller tredje stycket.
En straffbestämmelse finns också i 21 & datalagen. Där föreskrivs att den som olovligen bereder sig tillgång till en upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i ett register för in en sådan upptagning skall dömas för dataintrång till böter eller fängelse i högst två år. om inte gärningen är belagd med straffi brottsbalken. Med upptagning avses här sedan den ljuli 1986 (SFS 1986:122) även uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas vid automatisk databehandling. Brottet är straffbart även på försöks- och förberedelsestadiet. om det inte är ringa.
Vid brott mot datalagen kan i princip skadestånd utgå enligt allmänna regler i skadeståndslagen. Enligt dessa regler skall var och en som avsikt- ligt eller av vårdslöshet vållar person- eller sakskada ersätta skadan (_2 kap. 1 & skadeståndslagen). När skadan har orsakats genom brott ersätts även ren förmögenhetsskada (se 2 kap. 4 %$).
Skadeståndsskyldigheten innebär alltså i första hand en skyldighet att ersätta personskada. sakskada och ren förmögenhetsskada. Om person- skada föreligger kan vissa ideella skador som har samband med personska- dan ersättas (se 5 kap. 1 %$ skadeståndslagen). Däremot synes det inte vara helt klan om ideell skada utan samband med personskada kan ersättas vid brott mot datalagen eller vid dataintrång.
Regler om skyldighet att ersätta ideell skada även om personskada inte föreligger finns i 1 kap. 3 5 skadeståndslagen. Där sägs att bestämmelserna i skadeståndslagen om skyldighet att ersätta personskada också tillämpas i fråga om lidande som någon tillfogar annan genom brott mot den person- liga friheten. genom annat ofredande som innefattar brott. genom brytande av post- eller telehemlighet. intrång i förvar. olovlig avlyssning eller olaga diskriminering eller genom ärekränkning eller dylik brottslig gärning.
Föreskrifterna om ersättning för lidande togs vid skadeståndslagens tillkomst in i 5 kap. 1 &. Uppräkningen av brott. vid vilka ersättning för ideell skada utgår. omfattade då ett mindre antal brottstyper än vad som nu är fallet. l lagförarbetena uttalades att uppräkningen inte var fullständig utan att det fick ankomma på domstolarna att avgöra hur långt man borde gå när det gäller att genom skadeståndsansvar ingripa mot straffbara för- faranden. som innefattar angrepp på den personliga integriteten (prop. 1972:5 s. 571). ] motiven till datalagen påföljande år anförde departements- chefen dock att han inte var beredd att utsträcka rätten till ersättning för ideell skada även till fall då brottslig handling har begåtts med avseende på datalagrat material utan att personuppgift fått oriktigt innehåll (prop. 1973133 5.149).
Det är alltså oklart om de regler om ersättning för lidande som numera finns i 1 kap. 3 & skadeståndslagen ger rätt till ersättning för ideell skada även vid brott som avses i datalagen.
Enligt min mening bör man nu bringa klarhet i rättsläget genom att uttryckligen föreskriva att ersättning för ideell skada kan utgå vid brott som avses i datalagen. Möjligheten att få ersättning för en ideell skada är naturlig på ett område som detta. där skada ofta kan drabba i form av intrång i den personliga integriteten. Att ge rätt till ersättning för ideell skada vid brott som avses i datalagen ligger också i linje med den allmänna utvecklingen på skadeståndsrättens område.
Ersättning för ideell skada bör kunna utgå vid sådan brottslighet som avses i 20 å första stycket och 21 s' datalagen. Däremot har brotten enligt 20 å andra stycket karaktär av ordningsförseelser. vid vilka skadestånd över huvud taget inte utgår.
Med hänsyn till de intressen som datalagen är avsedd att skydda torde det i första hand vara de registrerade som kan bli berättigade till ersättning för ideell skada vid brott som avses i nämnda lagrum. För att skadestånd skall utgå i ett konkret fall bör givetvis krävas att målsäganden har blivit utsatt för en integritetskränkning som inte är obetydlig. En sådan integri- tetskränkning kan t.ex. bestå i att en integritetskänslig uppgift om måls- äganden kommit till obehörigas kännedom genom det brottsliga förfaran— det. Även en påtaglig risk för detta bör kunna beaktas. Ett integritetsin- trång av detta slag torde kunna uppkomma t. ex. i vissa fall när ett register förs utan tillstånd (jfr 20 & första stycket 1 datalagen) eller när en person- uppgift (egistreras. lämnas ut eller bevaras i strid med en bestämmelse i datalagen eller en föreskrift som meddelats av datainspektionen (jfr 20 5 första stycket 2—4). Motsvarande torde kunna bli fallet om någon olovli- gen bereder sig tillgång till en personuppgift (jfr 21 å).
Ersättning för ideell skada bör också kunna utgå när den registrerade genom det brottsliga förfarandet blir utsatt för en påtaglig risk för att bli föremål för felaktiga ingripanden från myndigheter eller för att inte kunna tillvarata sina lagliga rättigheteri ett visst avseende. Ett sådant integritets- intrång torde kunna uppkomma t. ex. i vissa fall då någon olovligen ändrar. utplånar eller för in en personuppgift i ett register (jfr 21 & datalagen"). Skadestånd bör också kunna utgå om en registrerad blir ur stånd att tillvarata sin rätt i en angelägenhet på grund av att en registeransvarig har lämnat osann uppgift vid fullgörande av sin skyldighet att lämna en under- rättelse enligt 10 & (jfr 20 5 första stycket 5). Även i vissa andra fall torde ett brott mot datalagen kunna ge upphov till ett integritetsintrång som berättigar till ersättning för ideell skada. Särskilt gäller detta vid sådan s.k. Wiretapping som avses med den år 1986 utvidgade gärningsbeskrivningen i fråga om dataintrång och som ligger brytande av telehemlighet nära (prop. 1985/86:65 s. 30 ff.).
Det får ankomma på rättstillämpningen att bedöma uppkommande ska- deståndsfall mot bakgrund av allmänna skadeståndsrättsliga principer och de intressen som datalagen skall skydda.
DOK har föreslagit att en regel om ersättning för ideell skada vid brott som avses i datalagen tas in i 1 kap. 3 lt" skadeståndslagen. Skadeståndsla- gen bör dock enligt min mening i första hand reserveras för regler av mera allmän räckvidd. Regler som endast berör ett speciellt område bör däremot tas in i den särskilda lagstiftning som gäller för det området. Jag förordar
därför att en regel om ersättning för ideell skada vid brott som avses i datalagen tas in i själva datalagen. Bestämmelsen bör lämpligen tas in i 23 s. som redan nu innehåller en regel om skadestånd på grund av oriktig personuppgift.
Hänvisningar till S2-3
3. Upprättat lagförslag
I enlighet med vadjag nu har anfört har inom justitiedepartementet upprät- tats förslag till lag om ändring i datalagen (1973z289).
4 Specialmotivering till förslaget till lag om ändring i datalagen (1973z289) 6 5 Paragrafen behandlar datainspektionens befogenhet att meddela föreskrif- ter för ett personregister. Föreskrifterna får avse de ämnen som räknas upp i första stycket.
Ändringen innebär att det i uppräkningen i första stycket har lagts till en ny punkt 11. Enligt denna får föreskrifter meddelas om rättelse och annat som avses i 8 & datalagen. 1 den paragrafen behandlas rättelser och andra åtgärder i fråga om oriktiga och missvisande uppgifter. Ändringen har behandlats i avsnitt 2.2.
85
Paragrafen behandlar rättelser och andra åtgärder i fråga om oriktiga eller missvisande uppgifter i ett personregister. Ändringarna har behandlats i avsnitt 2.2.
ljörsta stycket behandlas den registeransvariges skyldighet att utreda om en uppgift är oriktig eller missvisande samt, om så visar sig vara fallet. rätta uppgiften eller vidta andra åtgärder. Att detta gäller även missvisande uppgifter är en nyhet. Som framhållits i avsnitt 2.2 får frågan om en uppgift är missvisande bedömas från fall till fall mot bakgrund av bl.a. registrets ändamål. Att ett visst sakförhållande har ändrats sedan det registrerats behöver inte nödvändigtvis betyda att den registrerade uppgiften anses missvisande. Ändringen i paragrafen är inte avsedd att innebära någon förändring i exempelvis kreditupplysningsföretags rätt att behålla en regi- strerad uppgift om en betalningsförsummelse även efter det att skulden har betalats (jfr prop. l980/81: 10 s. 64).
Andra stycket innehåller regler om skyldighet att i vissa fall ge underrät- telse om vidtagen rättelse till den som tidigare har fått del av uppgiften. Sådan underrättelse skall i fortsättningen ges även om den registrerade inte har begärt det. förutsatt att det föreligger risk för otillbörligt integritetsin- trång. En dispensregel i stycket har ersatts av en ny dispensregel i femte stycket.
Tredje styr.-kw är nytt. Enligt detta stycke skall en registrerad som har anmält en misstanke om att en personuppgift är oriktig eller missvisande underrättas om vilken åtgärd anmälan föranleder. Ansvaret för att under- rättelse ges åvilar givetvis den registeransvarige. Rent praktiskt ankommer det i princip på den i fjärde stycket omnämnda kontaktpersonen att svara för underrättelsen. Underrättelsen kan ges muntligt eller skriftligt allt efter omständigheterna. Det är inte nödvändigt att kontaktpersonen faktiskt själv underrättar den registrerade. Han kan uppdra åt någon annan att göra det. Det är också möjligt att ordna det så att underrättelsen sker automa- tiskt med utnyttjande av tekniken. Om en registrerad exempelvis anmäler sin misstanke per telefon och saken framstår som klar. är det naturligtvis inget som hindrar att den registrerade redan vid det samtalet får besked om vilken åtgärd som kommer att vidtas.
Enligt jjärda stycket. som är nytt. skall den registeransvarige utse en eller flera befattningshavare med uppgift bl. a. att bistå den registrerade vid misstanke om att en personuppgift är oriktig eller missvisande. Den som utses skall alltså vara en kontaktperson. som de registrerade kan vända sig till om de misstänker att en personuppgift är oriktig eller missvisande. Kontaktpersonen skall emellertid också ge bistånd på ett aktivt sätt till dem som vänder sig till honom. Även skriftliga felanmälningar bör hand- läggas av kontaktpersonen. Kontaktpersonen behöver inte vara anställd e. d. hos den registeransvarige utan kan t.ex. arbeta hos ett dataserviceföretag som har hand om den tekniska bearbetningen av regist- ret. Uppgift om vem eller vilka som är utsedda till kontaktpersoner skall hållas tillgänglig för allmänheten. Om inte datainspektionen meddelar en föreskrift om sättet (enligt 6 ä). avgör den registeransvarige själv om uppgiften skall anges i telefonkatalogen. på anslagstavla osv.
Fame stycket är nytt och behandlar undantag från skyldigheterna i paragrafen. Som framgår av vadjag har anfört i den allmänna motiveringen tar den möjlighet att meddela dispens som föreslås ankomma på datain- spektionen främst sikte på fall som sakligt sett är i det närmaste jämställda med dem som avses i styckets första mening. dvs. då ett register har lämnats till en arkivmyndighet för förvaring. Jag vill emellertid inte uteslu- ta att det kan förekomma andra mera särpräglade fall i vilka dispens kan vara motiverad.
Datainspektionen får med stöd av den föreslagna nya regeln i 6 & datala- gen meddela föreskrifter om rättelse och annat som avses i 8 5.
2335
Paragrafen reglerar skadeståndsansvari vissa fall.
Enligt första stycket skall den registeransvarige ersätta skada som regi- strerad tillfogas genom att ett personregister innehåller en oriktig eller missvisande uppgift. Att lagen anger att skadeståndsskyldighet kan före- komma även då en uppgift är missvisande är en nyhet. Begreppet missvi- sande har samma innebörd som enligt 8 .5 (jfr avsnitt 2.2). En bestämmelse om ersättning för lidande har flyttats till det nya tredje stycket.
Andra stycket är nytt. Enligt detta stycke skall. om någon tillfogas skada
genom brott mot 20 5 första stycket eller 21 & datalagen. den som gjort sig skyldig till brottet ersätta skadan. Regeln överensstämmer med vad som redan i dag torde följa av skadeståndslagen. Genom att ta in regeln i datalagen får man möjlighet att — i därpå följande stycke - på ett enhetligt sätt reglera frågan om ersättning för ideell skada vid brott som avses i datalagen samt på grund av oriktig eller missvisande personuppgift.
Skadeståndsreglerna i första och andra styckena ger rätt till ersättning för personskada. sakskada och ren förmögenhetsskada: ] det nya tredje stycket finns en särskild regel om att man vid bedömande om och i vad mån skada enligt paragrafens första eller andra stycke har uppstått skall ta hänsyn även till lidande och andra omständigheter av annan än rent ekono- misk betydelse. När det gäller ersättning för skada enligt första stycket innebär detta ingen annan nyhet än att regeln om ersättning för ideell skada har flyttats från första stycket. Däremot är det en ny regel att ersättning för ideell skada kan utgå enligt andra stycket, dvs. vid brott som avses i datalagen.
Att skadestånd i ett visst fall skall utgå enligt paragrafens andra stycke behöver inte utesluta att skadestånd kan utgå även enligt första stycket för samma förfarande. Som exempel kan nämnas att en registeransvarig regi- strerar en personuppgift. som dels är oriktig eller missvisande och dels inte får registreras enligt vad datainspektionen föreskrivit, för registret. Att uppgiften är oriktig eller missvisande kan grunda skadeståndsskyldighet enligt 23 & första stycket datalagen. Brottet mot datainspektionens före- skrift faller under stratfbestämmelsen i 20 & första stycket datalagen och kan grunda skadeståndsskyldighet enligt 23 ti andra stycket. ] bägge fallen kan ersättning utgå även för ideell skada enligt tredje stycket.
Ikraftträdande
Ändringarna i datalagen innebär bl.a. att de registeransvariga i vissa fall måste utarbeta nya rutiner för rättelse av felaktiga uppgifter. Bl. a. skall kontaktmän utses och deras verksamhet organiseras. Detta motiverar att de registeransvariga får en relativt lång förberedelsetid, nämligen till den 1 januari 1988. innan ändringarna träderi kraft.
Hänvisningar till S3
5. Hemställan
Jag hemställer att regeringen föreslår riksdagen att anta förslaget till lag om ändring i datalagen (1973z289).
6. Beslut
Regeringen ansluter sig till föredragandens överväganden och beslutar att genom proposition föreslå riksdagen att anta det förslag som föredragan- den har lagt fram.
B fluga I
Data- och offentlighetskommitténs sammanfattning av betänkandet (SOU 1986:24) lntegritesskyddet i informationssamhället ]
Våra förslag i korthet Inledning
Data- och offentlighetskommittens uppdrag omfattar ett stort antal frågor. Vi har därför funnit att det är lämpligt att presentera våra förslag i form av delbetänkanden.
Vi lägger i vårt första delbetänkande fram förslag till ändringar i datala- gen, skadeståndslagen och sekretesslagen. Förslagen gäller bl.a. den en- skildes möjligheter att få rättelse och skadestånd när datorbaserade per- sonregister innehåller uppgifter som är oriktiga eller missvisande. Försla— gen gäller också bl.a. den enskildes skydd när patientuppgifter lämnas till olika personregister inom hälso— och sjukvården.
Rättelse
De föreslagna lagändringarna syftar till att göra det lättare för den som är registrerad i ett personregister som förs med hjälp av ADB att få rättelse när uppgifter som rör honom är felaktiga.
Vi föreslår att det hos varje registeransvarig skall finnas en dataansvarig som allmänheten kan få kontakt med. Den dataansvarige skall hjälpa de registrerade att få rättelse vid fel i registren. Vidare skall han övervaka rättelserutiner. Den dataansvarige skall också se till att allmänheten får behövlig information.
Vi föreslår även att den registeransvariges skyldighet att rätta oriktiga uppgifter skall skärpas till den registrerades förmån. Bl. a. skall en oriktig uppgift alltid rättas i fortsättningen. Någon sådan skyldighet föreligger inte i dag, Dessutom skall uppgift som är missvisande utan att vara oriktig. som hittills, rättas om det är motiverat med hänsyn till den registrerades per- sonliga integritet. Förslaget innebär också att den registeransvarige. i större omfattning än hittills. skall underrätta den eller de som har fått en oriktig uppgift från registret.
Skadestånd
Vi föreslår ett tillägg i skadeståndslagen för att säkerställa möjligheten för den som blir utsatt för databrott att få ersättning för lidande m. m.. dvs. ideellt skadestånd.
Data- och offentlighetskommitténs lagförslag
1 Förslag till Lag om ändring i datalagen (1973z289)
Härigenom föreskivs att 8.5 datalagen (1973:289)' skall ha följande
lydelse.
Nuvarande lydelse
Förekommer anledning till miss- tanke att personuppgift som ingåri personregister är oriktig, skall den registeransvarige utan dröjsmål vid- taga skäliga åtgärder för att utröna uppgiftens riktighet och. om skäl föreligger. rätta den eller utesluta den ur registret.
Har uppgift. som rättas eller uteslutes. lämnats ut till annan än den registrerade, skall den register- ansvarige på begäran av den regist- rerade underrätta mottagaren om rättelsen eller uteslutningen. Före- ligger särskilda skäl. får dock da- tainspektionen befria den register- ansvarige från sådan underrättel- seskyldighet.
.,
1.
Om registrerad tillfogas skada ge- nom att personregister innehåller oriktig uppgift om honom. skall den
' Lagen omtryckt l982z446.
Föreslagen lydelse
Förekommer anledning till miss- tanke att personuppgift som ingår i personregister är oriktig eller ntiss- visande skall den registeransvarige utan dröjsmål vidta skäliga åtgärder för att utröna uppgiftens riktighet och tjänlighet för sitt ändamål. Oriktig uppgift skall rättas eller uteslutas. Missvisande uppgift skall rättas. ändras eller uteslutas om risk för otillbörligt intrång i per- sonlig integritetföreligger.
Har uppgift. som rättas, ändras eller utesluts lämnats ut till annan än den registrerade, skall den regis- teransvarige på begäran av den re- gistrerade underrätta mottagaren om rättelsen. ändringen eller ute- slutningen. Om risk för otillbörligt intrång i personlig integritet före- ligger skall sådan underrättelse all- tid ske.
Hos den registeransvarige skall finnas en dataansvarig som bistår den registrerade vid misstanke om att personuppgift i personregister är oriktig eller missvisande och som övervakar att rättelse. ändring eller uteslutning enligt första stycket kommer till stånd. Bestämmelserna i denna para- graf gäller inte register som har överlämnats till arkivmyndighet för
förvaring.
35
Om registrerad tillfogas skada ge- nom att personregister innehåller oriktig eller missvisande uppgift om
registeransvarige ersätta skadan. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omstän- digheter av annan än rent ekono- misk betydelse.
honom. skall den registeransvarige ersätta skadan. Vid bedömande om och i vad mån skada har uppstått tages hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse.
Denna lag träder i kraft den lxxx l98x.
2 Förslag till Lag om ändring i skadeståndslagen (1972z207)
Härigenom föreskrivs att 1 kap. 3 & skadeståndslagen (1972:207)' skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
Bestämmelserna i denna lag om skyldighet att ersätta personskada tillämpas också i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten. genom annat ofredande som inne- fattar brott. genom brytande av post- eller telchemlighet. intrång i förvar eller olovlig avlyssning eller genom ärekränkning eller dylik brottslig gärning. Lag (l975:404).
Bestämmelserna i denna lag om skyldighet att ersätta personskada tillämpas också i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten. genom annat ofredande som inne- fattar brott. genom brytande av post- eller telehemlighet. intrång i förvar eller olovlig avlyssning eller genom ärekränkning eller dylik brottslig gärning. eller genom brott mot datalagen.
Denna lag träderi kraft den lxxx l98x.
' Lagen omtryckt l975:404.
Förteckning över remissinstanser som yttrat sig över data- och offentlighetskommittens betänkande ("SOU 1986:24) lntegritetsskyddet i informationssamhället 1
Remissyttranden har avgetts av justitiekanslern (JK). Göta hovrätt. kam- marrätten i SlOckholm. Malmö tingsrätt. datainspektionen. socialstyrel- sen. riksskttIICVerket. riksarkivet. statskontoret. statistiska centralbyrån. länsstyrelserna i Värmlands län och Norrbottens län. riksdagens ombuds- män (JO). Svenska kommunförbundet. Göteborgs kommun, Malmö stad. Landstingsförbtindet. Stockholms läns landsting. landstinget i Älvsborg. Landsorganisationen i Sverige (LO). Tjänstemännens centralorganisation (TCO). Centralorganisationen SACO/SR. Sveriges Industriförbund/ Svenska ArbCISgivarcföreningen. Svenska Läkaresällskapet. Sveriges lä- karförbund. Medicinska Forskningsrådet (MFR). Karolinska lnstittttet. Handikappförbundens Centralkommitté. Riksförbundet för Social och Mental Hälsa (RSMH). Esselte Soliditet AB. UC Upplysningseentralen AB. AB Svensk Upplysningstjänst. Föreningen Arkivvcrksamma i Lands- ting och Kommuh. Synskadades Riksförbund (SRF) och Medborgarrätts- rörelsen (MRR).
Riksarkivet har bifogat yttranden av landsarkivcn i Uppsala. Visby och Härnösand samt Stockholms stadsarkiv.
Lagrådet
Utdrag ur protokoll vid sammanträde 1987-03-13
Närvarande: f.d. justitierådet Hesser. regeringsrådet Voss. justitierådet Broome.
Enligt protokoll vid regeringssammanträde den 5 mars 1987 har regering- en på hemställan av statsrådet Wiekbom beslutat inhämta lagrädets yttran- de över förslag till om ändring i datalagen (1973: 289).
Förslaget har i lagrådet föredragits av htwrättsassessorn Claes Kring. Lagrådet lämnar förslaget utan erinran.
Sid. Prop. 1986/87:116 Innehållsförteekning
Proposition .................................................. ] Propositionens huvudsakliga innehåll ............................ l Propositionens lagförslag ...................................... 2 Utdrag ur protokoll vid regeringssammanträde den 19 mars 1987 . . . . 4 1 Inledning .................................................. 4 2 Allmän motivering .......................................... 5
2.1 Mina allmänna utgångspunkter ............................ 5 2.2 Rättelse av fel i personregister ............................ 6 2.3 Skadestand ............................................. 16 3 Upprättat lagförslag ......................................... 20 4 Speeialmotivering ........................................... 20 5 Hemställan ................................................. 22 6 Beslut ..................................................... 22 Bilaga 1 DOK:s sammanfattning ............................... 23 Bilaga 2 DOK:s lagförslag ..................................... 24 Bilaga 3 Förteckning över remissinstanser ....................... 26 Bilaga 4 Lagrådets yttrande ................................... 27
Norstedts Tryckeri, Stockholm 1987 28