Prop. 1993/94:217

En reformerad datalag

1993/94z217

En reformerad datalag - 3354—217

Regerlngens proposuron

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 14 april 1994

Carl Bildt

Reidunn Laurén (Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen läggs fram sådana förslag som bygger på Datalags- utredningens arbete och som bör genomföras innan frågan om en ny datalag kan beredas vidare.

I enlighet med innehållet i grundlagspropositionen 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. föreslås att regeringen ges möjlighet att bemyndiga Datainspektionen att utfärda generella föreskrifter om personregister inom bestämda verksamheter. Register som inrättas och förs i enlighet med sådana regler skall undantas från tillståndsplikt.

Den i datalagen särskilt angivna skyldigheten att begära Datainspek- tionens yttrande inför inrättandet av personregister som beslutas av riksdag eller regering avskaffas. I stället skall den allmänna regeln om beredningsunderlag i regeringsärenden tillämpas.

För att mer effektivt kunna ingripa mot pågående intrång i enskilds personliga integritet föreslås att Datainspektionen ges möjligheter att förena föreskrifter och förbud med vite.

Vidare föreslås, i linje med ett sedan länge pågående arbete inom regeringskansliet, att Datainspektionens beslut enligt datalagen inte längre skall överklagas till regeringen utan till allmän förvaltningsdomstol.

De nya reglerna föreslås träda i kraft den 1 januari 1995, dvs. samti- digt med föreslagna grundlagsändringar på området.

I Riksdagen 1993/94. I saml. Nr 217

1. Förslag ,till riksdagsbeslut Prop. 1993/94zzr7

Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om ändring i datalagen (19731289), 2. lag om ändring i Förvaltningsprocesslagen (l971:291).

2. Lagtext

Regeringen har följande förslag till lagtext.

2.1. Förslag till lag om ändring i datalagen (1973z289)

Härigenom föreskrivs i fråga om datalagen (1973z289)l dels att 2 a, 6, 6 a, 12, 18, 20 och 25 && skall ha följande lydelse, dels att det i lagen skall införas en ny paragraf, 19 å, och närmast före nya 19 å en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

Zaå

Tillstånd av Datainspektionen behövs inte för personregister

vars inrättande beslutas av riks- dagen eller regeringen. Innan sådant beslut fattas skall dock yttrande inhämtas från Data- inspektionen i fråga om register som skall innehålla uppgifter som avses i 2 & andra stycket.

Tillstånd av Datainspektionen behövs inte för personregister

1. vars inrättande beslutas av riksdagen eller regeringen,

2. som inrättas och förs i enlighet med föreskrifter som beslutats med stöd av 19 &,

3. som har tagits emot för för- varing av en arkivmyndighet.

Tillstånd behövs inte heller för personregister som har tagits emot för förvaring av en arkivmyndig- het.

Utan hinder av 2 & andra stycket 1 får

1. sammanslutningar inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sam- manslutningen,

2. myndigheter inom hälso- och sjukvården för vård- eller behand- lingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt,

3. myndigheter inom socialtjänsten inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten,

4. läkare och tandläkare inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet,

lLagen omtryckt 1992z446.

5. arbetsgivare inrätta och föra personregister, som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbets- givaren skall kunna avgöra om han skall påbörja en rehabiliteringsuhed- ning enligt 22 kap. 3 å andra stycket lagen (1962:381) om allmän för— säkring.

öå

Lämnas tillstånd till inrättande och förande av personregister, skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift om

Lämnas tillstånd till inrättande och förande av personregister, skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift för registret om

1. inhämtande av uppgifter för personregistret, 2. vilka personuppgifter som får ingå i personregistret, 3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen,

5. de bearbetningar av personuppgiftema i registret som får göras med automatisk databehandling,

6. underrättelse till berörda personer,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning av personuppgift, 9. bevarande och gallring av personuppgifter, 10. kontroll och säkerhet, 11. rättelse och andra åtgärder i fråga om oriktiga och missvisande

uppgifter.

Vid bedömandet av om föreskrift behövs skall särskilt beaktas huru- vida registret innehåller person- uppgift som utgör omdöme eller annan värderande upplysning om den registrerade.

Föreskrift rörande utlämnande av personuppgift får icke inskränka myndighets skyldigheter enligt tryckfrihetsförordningen.

Vid bedömandet av om föreskrift för ett visst register behövs skall särskilt beaktas huruvida registret innehåller personuppgift som utgör omdöme eller annan värderande upplysning om den registrerade.

Föreskrift för ett visst register rörande utlämnande av personupp- gift får inte inskränka en myndig- hets skyldigheter enligt tryckfri- hetsförordningen.

Bestämmelserna i 5 och 6 55 om skyldighet för Datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2 a 5 första stycket andra me- ningen, i den mån icke regeringen eller riksdagen har meddelat före- skrift i samma hänseende.

6aå

Bestämmelserna i 5 och 6 Gå om skyldighet för Datainspektionen att meddela föreskrift för ett visst register gäller även i fråga om personregister som avses i 2 a 5 första stycket 1 , om registret skall innehålla uppgifter som avses i 2 & andra stycket och regeringen eller riksdagen inte har meddelat före- skrift i samma hänseende.

12 &

Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret.

Upphör en registeransvarig att föra ett personregister för vilket Datainspektionen har meddelat tillstånd, skall han anmäla detta till inspektionen. Detsamma gäller i fråga om sådant personregister som avses i 2 a & första stycket andra meningen.

Upphör en registeransvarig att föra ett personregister för vilket Datainspektionen har meddelat tillstånd, skall han anmäla detta till inspektionen. Detsamma gäller i fråga om sådant personregister som avses i 2 a & första stycket 1 , om registret innehåller uppgifter som avses i 2 5 andra stycket.

185

Har förandet av personregister lett till otillbörligt intrång i per- sonlig integritet eller finns an- ledning antaga att sådant intrång skall uppkomma, får Datainspek- tionen i mån av behov meddela föreskrift i sådant avseende som anges i 5 eller 6 5 eller ändra föreskrift som tidigare meddelats. I fråga om register som avses i 2 a 5 första stycket får Datainspek- tionen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riksdagen.

Har förandet av personregister lett till otillbörligt intrång i per- sonlig integritet eller finns an- ledning antaga att sådant intrång skall uppkomma, får Datainspek- tionen för ett visst register i mån av behov meddela föreskrift i sådant avseende som anges i 5 eller 6 & eller ändra föreskrift som tidigare meddelats. I fråga om register som avses i 2 a 5 första stycket 1 får Datainspektionen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riks- dagen.

Kan skydd mot otillbörligt in- trång i personlig integritet ej åstad- kommas på annat sätt, får Data- inspektionen förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket.

Kan skydd mot otillbörligt in- trång i personlig integritet inte åstadkornmas på annat sätt, får Datainspektionen förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket 1 .

Föresknjfi enligt första stycket och förbud enligt andra stycket får förenas med vite.

Bemyndiganden

19 &

Regeringen eller, efter rege— ringens bemyndigande, Datainspek- tionen fdr inom ramen för denna lag meddela nämzare föreskrifter för personregister som ofta före- kommer inom en viss verksamhet för ett visst ändamål.

20 5 Till böter eller fängelse i högst ett år döms den som uppsåtligen eller

av oaktsamhet

1. inrättar eller för personregister utan licens eller tillstånd enligt denna lag, när detta erfordras,

2. bryter mot föreskrift eller förbud som meddelats enligt 5 , 6 eller 18 5,

3. lämnar ut personuppgift i strid mot 11 ä,

4. bryter mot 12 5,

5. lämnar osann uppgift vid fullgörande av skyldighet att lämna underrättelse enligt 10 5, eller

6. lämnar osann uppgift i fall som avses i 17 5.

5. lämnar osann uppgift vid full- görande av skyldighet att lämna underrättelse enligt 10 ä,

6. lämnar osann uppgift i fall som avses i 17 5, eller

7. bryter mot föreskrift som med- delats enligt 19 5.

Den som överträtt ett vitesföre- läggande enligt 18 & tredje stycket döms inte till ansvar för en gärning som omfattas av föreläggandet.

Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot 7 a & första eller tredje stycket.

255

Datainspektionens beslut enligt denna lag överklagas hos regering- en. Justitiekanslern får överklaga ett sådant beslut för att tillvarata allmänna intressen.

Om en myndighet som är regis- teransvarig avslår en begäran om underrättelse enligt 10 &, över- klagas beslutet på samma sätt som gäller ett beslut av myndigheten att avslå en begäran om utlämnande av allmän handling. Med myndig— het jämställs därvid ett annat organ i den utsträckning som anges i l kap.8 sekretesslagen (19802100).

Datainspektionens beslut enligt denna lag får överklagas hos all- män förvalmingsdomstol. Justitie— kanslern får föra talan för att tillvarata allmänna intressen.

Om en myndighet som är regis- teransvarig avslår en begäran om underrättelse enligt 10 5, över- klagas beslutet på samma sätt som gäller ett beslut av myndigheten att avslå en begäran om utlämnande av allmän handling. Med myndig- het jämställs därvid ett annat organ i den utsträckning som anges i 1 kap. 8 och 9 åå sekretesslagen (19801100).

Prövningstillstånd krävs vid över- klagande av mål om viten till kammarrätten.

[. Denna lag träder i kraft den 1 januari 1995. 2. Beslut som meddelats av Datainspektionen före ikraftträdandet över- klagas enligt äldre bestämmelser.

3. Hänvisningen i 25 å andra stycket till 1 kap. 9 & sekretesslagen (19801100) skall beträä'ande sådana aktiebolag i vilka kommuner eller landsting själva eller gemensamt innehar mindre än två tredjedelar av aktierna eller mindre än två tredjedelar av de med aktierna förenade rösterna och sådana ekonomiska föreningar i vilka det också finns andra medlemmar än kommuner eller landsting tillämpas från och med den 1 januari 1998.

2.2. Förslag till lag om ändring i förvaltningsprocesslagen

(1971 1291)

Härigenom föreskrivs att 34 a och 35 5?) förvaltningsprocesslagen (l971:291) skall ha följande lydelse.

Lydelse enligt prop. 1993/94:133

Föreslagen lydelse

34aå

1 de fall det är särskilt föreskrivet får kammarrätten pröva ett över- klagande från länsrätten endast om kammarrätten har meddelat pröv-

I de fall det är särskilt föreskrivet får kammarrätten pröva ett över- klagande från länsrätten endast om kammarrätten har meddelat pröv-

ningstillstånd. ningstillstånd. Sådant tillstånd behövs dock inte när talan förs av Riksdagens ombudsmän eller Justitiekanslern.

Prövningstillstånd meddelas om

1. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre rätt,

2. anledning förekommer till ändring i det slut vartill länsrätten kommit eller

3. det annars finns synnerliga skäl att pröva överklagandet. Meddelas inte prövningstillstånd, står länsrättens beslut fast. En upp- lysning om detta skall tas in i kammarrättens beslut.

35 5

Ett överklagande av kammarrättens beslut i ett mål som har väckts hos kammarrätten genom överklagande eller underställning prövas av Rege- ringsrätten endast om Regeringsrätten har meddelat prövningstillstånd.

Meddelas inte prövningstillstånd, står kammarrättens beslut fast. En upplysning om detta skall tas in i Regeringsrättens beslut.

Vad som sägs i första stycket gäller inte

1. talan som Riksdagens ombudsmän eller Justitiekanslern för i mål om disciplinansvar eller om återkallelse eller begränsning av behörighet att utöva yrke inom hälso— och sjukvården, tandvården eller detaljhandeln med läkemedel eller om återkallelse av behörighet att utöva veteri- näryrket, '

2. talan som Justitiekanslern för i mål enligt lagen (19901484) om övervakningskameror m.m.

2. talan som Justitiekanslern för i mål enligt datalagen (1971-289) eller lagen (19901484) om över- vakningskameror m.m.

Denna lag träder i kraft den 1 januari 1995.

-3 Ärendet och dess beredning

Datalagen (1973z289, omtryckt 1992z446) syftar till att skydda den enskilde mot otillbörligt intrång i den personliga integriteten till följd av att personuppgifter registreras med hjälp av automatisk databehandling (ADB). Datainspektionen har till uppgift att pröva ansökningar om tillstånd och utöva tillsyn enligt denna lag.

Lagen kom till år 1973 och var den första lagen i världen av denna typ med nationell räckvidd. Redan vid dess tillkomst förutsattes att lagen skulle ses över inom en snar framtid. År 1976 tillsattes Datalagstiftnings- kommittén (DALK) med ett sådant uppdrag. Kommittén avslutade emellertid sitt arbete är 1984 utan att detta slutförts. Samma år tillsattes en ny kommitté, Data- och offentlighetskommittén (DOK), för att utreda vissa frågor på angränsande områden men också inom datalagens ram. Kommittén avslutade sitt arbete är 1988. De båda kommittéemas förslag har delvis genomförts. Bl.a. beslutade riksdagen år 1982 om ändringar i datalagen av innebörd att det tidigare generella kravet på tillstånd av Datainspektionen för att inrätta och föra personregister ersattes med ett anmälningssystem med licenser och med bibehållet tillståndskrav endast för register där integritetsriskema generellt ansågs påtagliga samt för sambearbetning av register.

År 1989 förordnade dåvarande chefen för Justitiedepartementet efter regeringens bemyndigande en särskild utredare för att göra en översyn av datalagen från såväl saklig som lagteknisk synpunkt. Utredningen, som antog namnet Datalagsutredningen, har arbetat i två etapper. I den första etappen identifierade den särskilde utredaren de refonnbehov som förelåg och angav hur dessa kunde tänkas bli tillgodosedda. Under denna etapp avlämnade utredningen tre delbetänkanden, Skärpt tillsyn - huvuddrag i en reformerad datalag (SOU 1990261), Personregistrering inom arbetslivs-, forsknings- och massmedieområdena m.m. (SOU 1991:21) och Vissa särskilda frågor beträffande integritetsskyddet på ADB-området (SOU 1991:62). De tre delbetänkandena har remissbehand- lats. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr 90— 2155, 91-755 och 91-2850).

Den avslutande etappen av utredningens arbete har bedrivits under parlamentarisk medverkan med den särskilde utredaren som ordförande. I dena arbete har utredningen haft att beakta de remissyttranden som avgetts över delbetänkandena. I februari 1993 lämnade utredningen över sitt slutbetänkande En ny datalag (SOU l993:10). Utredningens sam- manfattning av betänkandet återfinns i bilaga 1. Betänkandet har remissbehandlats. En förteckning över remissinstansema finns i bilaga 2. En sammanställning av remissyttrandena finns tillgänglig i Justitie- departementet (dnr 93—860).

I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. tar regeringen upp en grundlagsfråga som behandlas i betänkandet En ny datalag. Sålunda föreslår regeringen att det område inom vilket riksdagen enligt 8 kap. 7 & regeringsformen (RF) i lag kan bemyndiga regeringen att utfärda föreskrifter utvidgas. Förslaget innebär att regeringen efter bemyndigande i lag skall till Datainspektionen kunna delegera nonn—

givningskompetens avseende skyddet för den personliga integriteten vid ADB—behandling av personuppgifter. Regeringen har i propositionen vidare uttalat sig för att en ny datalag bör anstå till dess att ett slutligt ställningstagande av EG föreligger till det förslag till direktiv EG- kommissionen presenterat. Däremot menade regeringen att det var angeläget att vidta en del ändringar i det nuvarande systemet. De ändringar som regeringen aviserade var ändringar i datalagen med närmare precisering av förutsättningama för att Datainspektionen skall kunna meddela bransch- eller sektorsföreskrifter, frågan om ett avskaf- fande av skyldigheten att inhämta yttrande enligt 2 a & datalagen, ökade möjligheter för Datainspektionen att tillgripa vitessanktioner och föränd- ringar i instansordningen vid överklaganden av Datainspektionens beslut.

Regeringen tar i detta lagstiftningsärende upp huvudsakligen de änd- ringar i datalagen som regeringen förutskickat i prop. 1993/94:116. Dessutom redovisas i avsnitt 4 en fråga som har behandlats av Datalags- utredningen och som varit aktuell i ett enskilt ärende enligt datalagen. Den gäller förhållandet mellan datalagen samt tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Lagrådet

Regeringen beslutade den 24 mars 1994 att inhämta Lagrådets yttrande över de lagförslag som änns i bilaga 3. Lagrådets yttrande änns i bilaga 4. Vissa redaktionella ändringar har gjorts i lagtexten i förhållande till de till Lagrådet remitterade lagförslagen.

Hänvisningar till S2-2

4. Förhållandet mellan datalagen samt tryckfrihetsför- ordningen och yttrandefrihetsgrundlagen

En fråga som med tiden fått allt större aktualitet är hur datalagen förhåller sig till tryckfrihetsförordningen (TF) och yttrandefrihetsgrund- lagen (YGL).

Datalagsutredningen konstaterade i sitt slutbetänkande att konflikter kan uppstå vid tillämpningen av TF och YGL samt datalagstiftningen dels genom att datalagstiftningen i viss utsträckning kan verka försvårande för framställningen av skrifter, dels till följd av grundlagamas regler om anonyrrtitetsskydd. Utredningen behandlade frågan bl.a. ur den syn— vinkeln att det i 2 kap. 3 å andra stycket regeringsformen (RF) föreskrivs att varje medborgare skall, i den utsträckning som närmare anges i lag, skyddas mot att hans personliga integritet kränks genom att uppgifter om honom regisneras med hjälp av ADB. Enligt utredningen änns det en principiell skillnad mellan föreskrifterna om förbud och hindrande åtgärder i TF och YGL samt bestämmelserna i 2 kap. 3 å RF. Föreskriften i RF riktar sig till riksdagen, medan TF och YGL förbjuder alla myndigheter och allmänna organ att vidta någon som helst åtgärd som kan verka hindrande för framställandet eller spridningen av tryckta skrifter eller andra grundlagsskyddade infomationsbärare. Enligt utredningen måste man utgå från att Datainspektionen, såväl i enskilda fall som vid normgivning, måste böja sig för TF och YGL, trots föreskriften i 2 kap. 3 å RF. Utredningen utgick också från att TF och YGL vid en eventuell normkonäikt tar över datalagstiftningen. Utredningen föreslog därför att vissa typer av personregister som har samband med framställningen av tryckta skrifter eller yttranden som avses i YGL skulle undantas från datalagens tillämpning.

Remissinstansema har genomgående instämt i utredningens bedömning att TF och YGL vid en norrnkonflikt tar över datalagens regler. Däremot har utredningens förslag till uppdelning av massmediernas register i olika kategorier varav vissa skulle omfattas av datalagens regler kritiserats av äera remissinstanser. Bl.a. har majoriteten av de remissinstanser som närmare berört frågan velat ha längre gående undantag från datalagens tillämpning på massmediernas register.

Regeringen har i dag avgjort ett överklagat ärende enligt datalagen där frågan om datalagens förhållande till grundlagama aktualiserats (dnr 93- 3260).

Beslutet avsåg en ansökan om tillstånd enligt datalagen att få inrätta och föra ett personregister för att skriva en bok på en persondator med hjälp av ett ordbehandlingsprograrn. Registret skulle innehålla sådana känsliga uppgifter som det enligt 4 och 6 åå datalagen krävs synnerliga eller särskilda skäl för att få registrera. Uppgifterna i registret skulle bearbetas på alla sätt som ett modernt ordbehandlingsprogram möjliggör. Sedan texten färdigställts skulle den överlämnas - via diskett eller ledning - till ett boktryckeri.

Regeringen har i beslutet konstaterat att registret i och för sig utgör ett personregister som enligt datalagen är tillståndspliktigt. Tillståndskravet enligt datalagen skall emellertid prövas mot det i 1 kap. 2 å angivna

förbudet i TF mot hindrande åtgärder inför tryckning, utgivning och spridning av en tryckt skrift. Bestämmelsen i 2 kap. 3 å RF om att det skall ännas en dataskyddslagstiftning hindrar enligt regeringen inte att TF tar över datalagen vid en konflikt dem emellan.

I beslutet har regeringen funnit att om ett enligt datalagen tillstånds- pliktigt personregister inrättas, förs och står i tekniskt sarnband med sättnings- och tryckprocessen, dvs. används som ett direkt tekniskt hjälpmedel för att framställa en tryckt skrift, är det utan tvekan så att förbudet mot hindrande åtgärder i TF gäller detta register. Regeringen har därför undanröjt Datainspektionens avslagsbeslut i ärendet och förklarat att det inte krävs något tillstånd enligt datalagen för att få föra det aktuella registret.

Hänvisningar till S4

  • Prop. 1993/94:217: Avsnitt 2.2

5. Normgivningsmakten på dataskyddsområdet

Regeringens förslag: Regeringen, eller efter regeringens bemyndi- gande, Datainspektionen får rätt att utfärda generella regler för sådan databehandling av personuppgifter som sker inom en viss

verksamhet för ett visst ändamål. Register som inrättas och förs i enlighet med sådana regler skall undantas från tillståndsplikt.

Utredningens förslag: Datainspektionen ges rätt att utfärda generella föreskrifter avseende olika branscher och sektorer för sådan behandling av känsliga personuppgifter som ofta förekommer inom ett visst område och för ett visst ändamål. Rätten att utfärda generella föreskrifter omfat- tar inte gallring.

Remissinstansema: Majoriteten av de få remissinstanser som berört denna fråga, bl.a. Datainspektionen, Finansinspektionen, Svenska Köp- mannaförbundet och Svenska Bankföreningen, är positiva till att Data- inspektionen ges möjlighet att utfärda generella föreskrifter enligt förslaget. Domstolsverket anför att integritetsskyddet för den enskilde och förutsebarheten för den registeransvarige skulle vinna betydligt på en regelutfyllnad på lägre nivå. Svenska Bankföreningen framhåller att normering genom myndighetsföreskrifter syftar till att stärka den enskil- des integritetsskydd.

Några remissinstanser uttrycker viss tveksamhet mot förslaget. Uppsala universitets juridiska läkultetsstyrelse påtalar riskerna för en författnings- mässig uttunning om Datainspektionen ges en omfattande förordnings- makt. Statskontoret är tveksamt till att delegera föreskriftsrätt till Datainspektionen vad avser verksamhet inom stat och kommun och förordar att sådan verksamhet regleras i lag eller förordning. Andra pekar på vikten av att integritetskänsliga register inom den offentliga verksamheten författningsregleras, Landstingsförbundet har i detta sammanhang påpekat att det är viktigt att samma bestämmelser gäller, oavsett om uppgifterna registreras i offentlig eller privat regi.

Göteborgs och Hämösands kommuner anser att Datainspektionen inte skall ges förordrringsmakt över kommunerna. Enligt Härnösands kommun medger inte Europarådskonventionen om kommunal självstyrelse en sådan ordning. Även Svenska Kommunförbundet, som principith motsätter sig att normgivningskompetens delegeras till statliga myndig- heter, ifrågasätter om förslaget står i överensstämmelse med denna konvention. Industriförbundet och Svenska Arbetsgivareföreningen avstyrker en omfattande detaljreglering och ett överdrivet införande av tvingande regler och anför att allmänna råd många gånger torde kunna ersätta föreskrifter.

Flera remissinstanser, bl.a. Finansinspektionen och Svenska Bank- föreningen, pekar på vikten av att Datainspektionens föreskrifter tas fram i samråd med den bransch som skall regleras.

Domstolsverket anser att Datainspektionens föreskriftsmakt även skall omfatta behandling av icke-känsliga personuppgifter. DAFA Data AB däremot anför att Datainspektionens generella föreskrifter endast bör avse behandling av känsliga uppgifter.

Få remissinstanser har berört förslaget att Datainspektionens generella föreskrifter inte skall få gälla gallring. Flertalet av dem, bl.a. Kammar- rätten i Stockholm, Riksförsäkringsverket och Riksarkivet, tillstyrker förslaget. Endast tre instanser, Domstolsverket, Datainspektionen och Arbetsmiljöinstitutet, förordar att Datainspektionen skall ha rätt att utfärda generella gallringsföreskrifter. Flera instanser betonar vikten av att arkivlagens bestämmelser efterföljs.

Skälen för regeringens förslag: Ordningen med tillståndskrav enligt datalagen har med tiden kommit att framstå som alltmer ohanterlig. Datainspektionen tvingas lägga ned med hänsyn till integritetsaspekter onödiga resurser på tillståndsprövning. Förutom att de registeransvariga många gånger nog inte inser omfattningen av den detaljerade prövning som datalagen förutsätter i tillståndsförfarandet, tar en ansökan ofta på grund av kompletteringar m.m. lång tid att behandla. Det nuvarande systemet innebär att inspektionen inte kan avsätta önskade resurser för tillsynsverksamheten. Detta leder till att inspektionens tillsyn över den ständigt Ökande datoriseringen i samhället och därigenom också den alltmer utbredda registreringen av personuppgifter inte kan prioriteras i önskad omfattning. Följden kan bli en bristande respekt för datalagens regler. Det kan t.ex. nämnas att det för närvarande finns ca 50 000 meddelade licenser. Enligt Datalagsutredningens beräkningar hade antalet bort vara mellan 500 000 och 1 milj. Otvivelaktigt tyder detta förhållande beträffande datalagens regler om anmälningsskyldighet på att det finns en risk för att även de materiella regler i datalagen som skall skydda de registrerades personliga integritet inte efterföljs.

När datalagen trädde i kraft år 1973 innehöll den ett generellt krav på tillstånd för att få föra i princip alla typer av personregister med ADB. Den ökade datoriseringen av samhället ledde snart till att Datainspektio- nen erhöll en tilltagande ström av ansökningar att få inrätta och föra personregister. Tillståndsprövningen tog stora resurser i anspråk och antalet inspektioner, som hela tiden hade legat på en låg nivå, minskade kraftigt.

För att underlätta hanteringen av tillstånd införde Datainspektionen med början är 1979 ett förenklat ansöknings- och tillståndsförfarande för vissa typer av register. Det gäller ansökningar om tillstånd i vilka Datainspek- tionen utvecklat en fast praxis. De närmare bestämmelserna om vilka register som omfattas och vilka särskilda villkor som måste vara uppfyllda finns i Datainspektionens författningssamling (DIFS). Före- skrifter angående förenklat ansökningsförfarande har under åren tagits fram bl.a. för vissa direktreklamregister och statistikregister samt för vissa personregister inom kommunernas och Svenska kyrkans verk- samhet. Datainspektionen har också utfärdat föreskrifter för ett förenklat ansökningsförfarande för vissa personregister inom statlig och lands- tingskommunal forskningsverksamhet.

Det förenklade förfarandet innebär i praktiken att vissa slag av register inom en sektor i förväg normerats av Datainspektionen och att den registeransvarige, som vill inrätta ett register på vilka föreskrifterna är tillämpliga, på en särskild blankett ansöker om tillstånd hos inspektionen. Denna ger sedan efter en enkel kontroll tillstånd och beslutar bl.a. att innehållet i föreskrifterna skall gälla såsom särskilda villkor för registret.

År 1982 togs ytterligare ett steg mot att begränsa tillståndshanteringen hos Datainspektionen. Genom ändringar i datalagen den 1 juli 1982 slopades det generella tillståndskravet för att inrätta och föra person- register med hjälp av ADB. I stället infördes en skyldighet för dem som vill föra personregister att anmäla detta till Datainspektionen som utfärdar en licens. Tillståndskravet begränsades till register som innehåller uppgifter av känslig art, avser personer som saknar anknytning till den registeransvarige eller innehåller uppgifter som hämtas från ett annat personregister. Huvudsyftet med ändringarna var att begränsa mängden tillståndsärenden och därigenom göra det möjligt för Datainspektionen att koncentrera sig på de mest integritetskänsliga registren och kunna intensifiera sin tillsynsverksamhet.

Effekten av dessa åtgärder i syfte att minska tillståndshanteringen har dock endast i begränsad omfattning kunnat uppnås, eftersom antalet tillståndsärenden hos Datainspektionen med den tilltagande datoriseringen i samhället fortsatt att öka. Att pröva tillståndsansökningar innebär inte endast att säga ja eller nej utan även att, när tillstånd lämnas, förena detta med nödvändiga föreskrifter i det enskilda fallet. Även om Datainspek- tionen genom rationalisering och betydande arbetsinsatser lyckats hålla tillståndshanteringen på en någorlunda rimlig nivå tar denna del av verksamheten alltför stor andel av inspektionens resurser. Detta har lett till att den för integritetsskyddet så viktiga delen av Datainspektionens verksamhet som består i tillsyn inte kan prioriteras i önskvärd omfattning.

Av bl.a. dessa skäl är det angeläget att sträva efter att tillståndshante- ring av personregister i ökad utsträckning skall ersättas av ett tillsyns— förfarande.

Regeringen har därför i prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. föreslagit en ändring i regeringsformen (RF) som skall skapa möjligheter för Datainspektionen att utfärda generella föreskrifter för databehandling av personuppgifter. Förslaget syftar till att

ytterligare minska området för Datainspektionens tillståndshantering och därigenom på sikt skapa förutsättningar för en mer intensifierad tillsyn av databehandlingen av personuppgifter. I propositionen anges att grundlagsändringen kommer att följas upp med ett förslag till ändringar i datalagen där det noga anges inom vilka ramar normgivningsmakten skall kunna delegeras.

Bestämmelsen i 2 kap. 3 & andra stycket RF sätter en gräns för i vilken utsträckning normgivningsmakten kan delegeras till Datainspektionen. Enligt bestämmelsen skall varje medborgare i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB. Av förarbetena framgår att bestämmelsen riktar sig till lagstiftaren som åläggs att vara aktiv genom att stifta och vidmakthålla en datalagstiftning. Det uttalas vidare att grundlagsbestämmelsen inte hindrar regeringen och andra myndigheter från att meddela dataskyddsbestämrnelser (prop. 1987/88:57 s. ll).

Grundlagsbestämmelsen anger den yttre ramen för den normgivnings- kompetens som kan delegeras till Datainspektionen. Enligt bestämmelsen skall integritetsskyddet vid databehandling av personuppgifter anges i lag. Den normgivningskompetens som delegeras till Datainspektionen bör således inskränkas till att avse en regelutfyllnad av datalagens bestämmelser. Föreskrifterna från Datainspektionen är således att betrakta som ett komplement till datalagens skydd för den personliga integriteten. Utgångspunkten är att generella föreskrifter inte skall medföra ett sämre integritetsskydd än vid tillståndsprövningen. Detta medför att föreskrifterna måste vara tämligen detaljerade och i sak ligga nära enskilda tillståndsbeslut. I första hand kommer de generella före- skrifterna avse sådana register som i dag är tillståndspliktiga. Detta utesluter inte att det i regelgivningen kan uppstå situationer där även tillståndsfria register omfattas av en generell föreskrift.

Det är naturligt att Datainspektionens normering tar sikte på områden och verksamheter där det finns många och likartade personregister. Bemyndigandet i datalagen bör därför avse grupper av sådana register som ofta förekommer och som är av en enhetlig karaktär. En sådan normering ökar förutsebarheten om vilka krav som ur integritetsskydds- synpunkt ställs på de registeransvariga. Den skapar även förutsättningar för en jämn och hög nivå på skyddet för de registrerades personliga integritet. Möjligheter till en generell norrngivning leder också till att Datainspektionens tillsyn underlättas på breda områden. En generell reglering som endast avser några enstaka personregister bör däremot inte förekomma.

Regeringen föreslår därför att den normgivningskompetens som skall kunna delegeras till Datainspektionen skall begränsas till att avse per- sonregister som ofta förekommer inom en viss verksamhet och för ett visst ändamål. Vad som närmast åsyftas är föreskrifter som skall gälla för personregister som förs för ett visst ändamål inom olika branscher och sektorer. Som exempel på personregister som kan komma i fråga kan nämnas sjukhusens patientregister, forskningsregister, direktreklam- register samt register inom försäkringsbranschen och bankväsendet.

Normgivningsrätten bör dock inte inskränkas till enbart en reglering av personregister för vissa branscher och sektorer. I vissa fall förs samma typ av register inom fiera branscher eller sektorer. Exempel på en sådan bransch- och sektorsövergripande registrering av personuppgifter som sker för ett visst ändamål är arbetsgivarnas löne- och personal- administrativa system och de adressregister som förs av myndigheter och företag. Visserligen är fiertalet sådana register i dag inte tillstånds- pliktiga. Det kan dock inte uteslutas att det i framtiden uppkommer behov av att använda dessa register för andra ändamål eller tillföra dem ytterligare uppgifter vilket skulle medföra att de blir tillståndspliktiga. Ett exempel på att nya användningsområden för tidigare tillståndsfria register kan uppkomma är de ändringar som infördes år 1992 beträEande arbetsgivarnas ökade ansvar för de anställdas rehabilitering. I samband med det ändrades datalagens tillståndsregler för arbetsgivarnas personal- administrativa register (prop. 1991/92:126, bet. l99l/92:KU 22, rskr. 1991/92z290).

Genom att Datainspektionen ges möjligheter att utfärda generella regler för personregister som förs inom en viss verksamhet och inte enbart för vissa branscher och sektorer skapas således förutsättningar för att Datainspektionen skall kunna möta de integritetsskyddsproblem som uppkommer genom den ständigt ökande datoriseringen i samhället och därigenom den alltmer utbredda registreringen av personuppgifter.

Datalagens regler kan i vissa fall anses utgöra ett hinder mot utveck- lingen av den moderna infonnationsteknologin. Bl.a. innebär de ökade möjligheterna att sprida information via data- och telenäten att stora mängder personuppgifter kan överföras från en dator till en annan på ett snabbt och billigt sätt. Detta leder till att frågor om tillstånd enligt datalagen erfordras för att föra ett visst register aktualiseras i en allt vidare krets. Som ett exempel på behovet av en ökad spridning av personuppgifter på datamedium kan nämnas att riksdagen i juli 1993 i syfte att bl.a. informera allmänheten om riksdagens beslut och dess beslutsfattare gjorde inforrnationssystemet Rixlex tillgängligt för allmän- heten. Rixlex innehåller bl.a. riksdagstrycket och information om riks- dagsledamötema. I de avtal om abonnemang på Rixlex som träffas mellan Riksdagens förvaltningskontor och kunderna har intagits en klausul där kunden förbinder sig att inte använda personuppgifter från Rixlex för automatisk databehandling i strid med datalagen.

I de fall en enskild person i sin egen dator lagrar uppgifter om riks— dagsledamötemas motioner och avser att använda dem annat än uteslu- tande för personligt bruk krävs tillstånd av Datainspektionen bl.a. med hänsyn till att motionerna innehåller uppgifter om politisk åskådning (jfr 2 a och 4 åå datalagen). I detta fall kan det tyckas att datalagens regler är alltför långtgående. Specith gäller detta eftersom registrering av upp- gift om partibeteckning för en riksdagsledamot torde kunna anses ske med samtycke och i sig inte utgöra någon risk för otillbörligt intrång i ledamotens personliga integritet. I andra fall är dock registrering av politisk tillhörighet en nog så integritetskränkande åtgärd, något som kommer till uttryck genom 2 kap. 3 & första stycket RF. Genom att ge Datainspektionen möjligheter att meddela föreskrifter för personregister

som förs inom en viss verksamhet skapas förutsättningar för inspektionen att bl.a. utfärda föreskrifter för sådan registrering och bearbetning av t.ex. riksdagsmotioner som inte sker uteslutande för personligt bruk.

Regeringens förslag skiljer sig något från Datalagsutredningens förslag. Enligt utredningen skulle Datainspektionens norrngivningsrätt begränsas till sådan behandling av känsliga personuppgifter som ofta förekommer inom ett visst område för ett visst ändamål. Med känsliga personuppgifter avsåg utredningen i princip sådana uppgifter som anges i 4 5 och 6 5 andra stycket datalagen, dvs. uppgifter om brott, hälsotillstånd, politisk uppfattning, omdömen m.m. Datalagsutredningens förslag att begränsa inspektionens nonngivningsrätt till att avse endast känsliga person- uppgifter måste dock ses mot den bakgrunden att utredningen föreslog en helt ny datalag. I förslaget strävade utredningen efter att ge en utförlig och fyllig reglering av förutsättningama för när ADB-hantering av personuppgifter skulle vara tillåten. Enligt utredningen fanns det därför inte något behov av en ytterligare normering av registreringen av de mindre känsliga personuppgiftema. Att inom ramen för det nuvarande regelsystemet i datalagen begränsa Datainspektionens normgivnings- kompetens till att endast avse behandling av känsliga personuppgifter skulle bl.a. omöjliggöra en generell reglering av personregister som är tillståndspliktiga på den grunden att de innehåller uppgifter om personer som den registeransvarige inte har någon naturlig anknytning till. Detta skulle innebära ett bibehållande av den masshantering av tillstånd som nu till viss del sker hos Datainspektionen med stöd av det förenklade ansökningsförfarandet t.ex. för direktreklamändarnål. Något skäl att från integritetsskyddssynpunkt undanta den typen av mindre känsliga personregister från möjligheterna till en generell reglering änns inte. Snarare torde en generell reglering genom föreskrifter av vissa typer av personregister som innehåller mindre känsliga personuppgifter innebära stora vinster från effektivitetssynpunkt utan att integritetsskyddet åsidosätts. Det förhållandet att personregister som i dag förs med stöd av tillstånd kommer att kunna regleras genom generella föreskrifter skall inte innebära en minskning av integritetsskyddet. Detta innebär att liksom i tillståndsärenden skall det säkerställas att det inte uppstår otillbörligt intrång i den personliga integriteten vid förandet av personregister.

Datainspektionens norrngivningsrätt bör inte omfatta en rätt att utfärda generella föreskrifter om gallring av allmänna handlingar. Enligt 10 & arkivlagen (1990:782) får allmänna handlingar gallras. Gallring skall dock alltid ske med beaktande av att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår tillgodoser vissa ändamål, nämligen rätten att ta del av allmän handling, rättskipningens och förvaltningens behov av information samt forskningens behov. Undantag från huvud- regeln om gallring görs dock för det fall att det i en annan lag eller förordning änns avvikande regler om gallring. Dessa avvikande bestämmelser tar då över arkivlagens bestämmelser om gallring. Arkivlagens bestämmelser gäller dock enligt 10 & framför bestämmel- serna i 12 5 datalagen.

Enligt 12 & datalagen skall personuppgifter som inte längre behövs med hänsyn till registerändamålet utgå ur personregistret om de inte skall

bevaras på grund av bestämmelser i författning eller i myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret.

Datainspektionen kan i dag meddela beslut om gallring av personupp- gifter i ett visst register med stöd av 6, 6 a eller 18 & datalagen. Sådana beslut meddelas dels i enskilda tillstånds- eller tillsynsärenden, dels i av Datainspektionen meddelade föreskrifter om förenklat ansöknings- och tillståndsförfarande. Enligt 12 5 dataförordningen (1982z480) skall frågor om bevarande och gallring av personuppgifter i myndigheters person- register avgöras av Datainspektionen i samråd med Riksarkivet eller i vissa fall Krigsarkivet.

Regeringen anser inte att det änns skäl att nu avvika från den reglering av gallringen av allmänna handlingar som fastlagts i arkivlagen. Principen om att undantag från huvudregeln i 10 & arkivlagen skall göras i lag eller förordning bör inte ändras. Datainspektionens normgivnings- makt bör därför inte innefatta en rätt att utfärda generella gallrings- föreskrifter avseende allmänna handlingar. Däremot har inspektionen rätt att i de dataskyddsföreskrifter som inte avser myndigheters personregister föra in regler om gallring. Datainspektionen bör samråda med Riksarki- vet eller i förekommande fall Krigsarkivet när dataskyddsföreskrifter tas fram för personregister som kan antas vara allmänna handlingar hos statliga myndigheter, så att arkivmyndighetema kan utfärda gallringsföre— skrifter som passar in i den reglering som inspektionen ämnar utfärda. En regel om samrådsskyldighet mellan Datainspektionen och dessa arkiv- myndigheter vid utformningen av generella föreskrifter kan beslutas av regeringen genom förordning. '

För att göra tydligt att de föreskrifter med generell verkan som rege- ringen nu föreslår att regeringen eller Datainspektionen skall kunna utfärda är av annat slag än de föreskrifter som inspektionen meddelar bl.a. med stöd av 5 och 6 55 datalagen i de enskilda tillståndsbesluten bör vissa justeringar göras i lagtexten.

Möjligheterna för Datainspektionen att utfärda dataskyddsföreskrifter måste syfta till att skapa enhetliga regler för ett starkt integritetsskydd oavsett var registreringen av personuppgifter sker. Detta inte minst mot bakgrund av det ökande informationsäödet i samhället. Det ligger också ett stort värde i att systemet är så beskaffat att det inte råder några oklarheter i konstitutionellt hänseende om i vilken utsträckning Data- inspektionen har rätt att utfärda föreskrifter till datalagen. Möjligheterna att kunna delegera normgivningskompetensen på integritetsskyddsområdet bör således gälla såväl privat som statlig och kommunal verksamhet.

Ett par remissinstanser har motsatt sig att Datainspektionen skall ges möjligheter att kunna utfärda generella föreskrifter för kommunerna. En sådan begränsning kan dock inte motiveras från integritetsskydds- synpunkt. Registreringen av de mest integritetskänsliga personuppgiftema sker till stor del inom den kommunala och landstingskommunala verksamheten t.ex. inom socialtjänsten och hälso- och sjukvården. Med de pågående organisations- och verksamhetsförändringar i form av decentralisering och konkurrensutsättrring som sker inom dessa sektorer anser regeringen i likhet med Landstingsförbundet att det är viktigt att

det skapas enhetliga förutsättningar för den närmare regleringen av integritetsskyddet vid registrering av personuppgifter oavsett om uppgif- terna registreras i privat eller oäentlig regi. Behovet av att förenkla tillståndshanteringen för kommunala personregister har också lett till att Datainspektionen bl.a. utfärdat föreskrifter om ett förenklat ansöknings- förfarande för vissa personregister i konununal verksamhet. Vad det handlar om är närmast att förenkla hanteringen av personregister för bl.a. kommunerna.

Som regeringen anfört i prop. 1993/94:116 kan den europeiska konventionen om kommunal självstyrelse inte ges en så vid tolkning som framförts av vissa remissinstanser. Konventionen, som syftar till att fastlägga de grundläggande förutsättningama för kommunal självstyrelse, kan inte anses utgöra ett hinder mot att en statlig myndighet ges möjligheter att utfärda föreskrifter på ett område som i dag ligger utanför den kommunala föreskriftsmakten.

Möjligheten för Datainspektionen att utfärda föreskrifter för vissa verksamheter bör kombineras med en bestämmelse som från tillstånds- plikt undantar de personregister som inrättas och förs i enlighet med föreskrifterna.

Datainspektionen kommer också att kunna ersätta eller ändra tidigare meddelade generella föreskrifter med nya föreskrifter. Om en sådan ändring sker i skärpande riktning blir konsekvensen för de register- ansvariga som inte för register i enlighet med de nya föreskrifterna, att registret förs i strid med datalagen. De registeransvariga är alltid skyldi- ga att tillse att registren förs i enlighet med en gällande föreskrift. Av det nu sagda följer också att det kan vara nödvändigt att förena nya föreskrifter med övergångsbestämmelser som gör det möjligt för de registeransvariga att på ett rimligt sätt kunna anpassa sig till de nya reglerna.

Regeringen anser inte att det änns skäl att i lagen införa krav på en speciell anmälningsskyldighet till Datainspektionen för de register som inrättas och förs i enlighet med inspektionens föreskrifter. En sådan reglering skulle motverka de syften som undantaget från tillståndsplikt innebär och skapa nya byråkratiska inslag i Datainspektionens arbete. Remissinstansemas kritik av Datalagsutredningens förslag till ett system med anmälningsskyldighet till Datainspektionen för vissa typer av be- handling av känsliga personuppgifter visar att ett sådant system inte skulle skapa några direkta vinster ur integritetsskyddssynpunkt. Data- inspektionen har i sitt remissvar i den delen bl.a. anfört att den inte ser något behov av en anmälningsskyldighet som underlag för inspektionens tillsynsverksamhet.

Framtagandet av föreskrifter om ADB-registrering av personuppgifter förutsätter, som flera remissinstanser påtalat, ett ingående samråd med företrädare för de branscher och sektorer som skall regleras. Utan sådana kontakter med den verksamhet som skall regleras torde det inte vara möjligt för Datainspektionen att kunna utfärda preciserade och fungerande föreskrifter. Ett sådant samrådsförfarande måste även ske enligt reglerna i begränsningsförordningen (1987zl347). I förordningen föreskrivs att en myndighet, innan den beslutar en regel, skall utreda

bl.a. dess kostnadsmässiga konsekvenser. Dessutom skall företrädare för dem vars verksamhet berörs av den tänkta regeln beredas tillfälle att yttra sig. Skulle regeln antas leda till inte oväsentligt ökade kostnader, måste myndigheten i princip inhämta medgivande från regeringen. Ett samrådsförfarande tillämpas redan i dag av Datainspektionen i betydande omfattning.

Förutom att samråd bör ske med företrädare för de personregister- ansvariga bör Datainspektionen hålla sig underrättad om den utveckling inom informationsteknologibranschen som kan ha betydelse för före— skriftsverksamheten. Datainspektionen har här en viktig uppgift när det gäller att påverka branschens utveckling av nya produkter som uppfyller rimliga krav på säkerhet och kvalitet samtidigt som de underlättar för de personregisteransvariga att uppfylla sina skyldigheter enligt gällande föreskrifter. Ett exempel på en sådan påverkan utgör det s.k. "alltemti- nalprojektet" där grundkraven på säkerhet för en persondator som kopp- las upp mot olika datorer har utarbetats av inspektionen i samarbete med andra intressenter.

Datainspektionen har i sitt remissyttrande anfört att inspektionen bör ges ett bemyndigande att träffa branschöverenskommelser av samma slag som Konsumentverket har inom sitt tillsynsområde. De dataskydds- föreskrifter som Datainspektionen nu föreslås kunna meddela innebär att inspektionen ges möjligheter att genom egen regelgivning meddela generella föreskrifter som närmare reglerar vissa typer av personregister. Att härutöver särskilt ge Datainspektionen i uppgift att träffa branschöverenskommelser anser regeringen inte nödvändigt. Den före- slagna regelgivningen och det som sagts om samråd innebär just att Datainspektionen bör arbeta i samverkan med den bransch vars register skall regleras.

Regeringen vill poängtera att möjligheten till en delegerad norrngiv- ningskompetens på integritetsskyddsområdet inte kommer att påverka den nuvarande inriktningen på att ta fram särskilda registerförfattningar för integritetskänsliga personregister. I prop. 1990/91:60 om offentlighet, integritet och ADB uttalas att en målsättning bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag (prop. s. 58). När propositionen behandlades av konstitutionsutskottet i betänkandet 1990/9lzKU11 anförde utskottet att det allmänt sett är av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Utskottet delade den uppfattning som framfördes i propositionen om att register hos kommunerna, landstingskommunema, Riksförsäkringsverket och Socialstyrelsen bör regleras i särskilda registerlagar. Likaså ansåg utskottet att det krävs ingående överväganden i fråga om vilka register inom dessa områden som bör lagregleras (bet. s. 11). Arbetet med att ta fram registerlagar för integritetskänsliga personregister fortgår. Senast har regeringen den 23 september 1993 med utgångspunkt i de återgivna uttalandena beslutat tillkalla en kommitté för att utreda och lägga fram förslag till en författningsreglering av personregister inom hälso- och sjukvårdens område (dir. 19931111). Normgivningskompetens för

Datainspektionen skall inte ses som en ersättning för dessa register- författningar utan som ett komplement till dem.

Avsikten är inte att Datainspektionens bransch- och sektorsvisa regler måste reglera all personregistrering inom en verksamhet. I undantagsfall kan det ännas skäl för de registeransvariga att ansöka om tillstånd att få inrätta och föra ett personregister som ligger vid sidan av Datainspek- tionens generella reglering. Att låta bransch- och sektorsvisa föreskrifter uttömmande reglera personregistreringen inom ett visst område eller en viss verksamhet skulle motverka den flexibilitet och utveckling som kännetecknar den moderna informationsteknologin.

Det förhållandet att föreskrifter meddelas inom en viss bransch eller sektor medför inte att tidigare givna tillstånd att föra personregister upphör att gälla. Skulle en generell föreskrift meddelas inom en verk- samhet där det redan änns register som förs med stöd av tillstånd, blir det den registeransvarige som får avgöra om registret skall föras med stöd av tillståndet eller föreskriften.

Hänvisningar till S5

  • Prop. 1993/94:217: Avsnitt 10.1, 6

6. Yttranden enligt 2 a & datalagen

Regeringens förslag: Den särskilda skyldigheten att begära yttrande från Datainspektionen inför inrättandet av personregister som beslutas av riksdagen eller regeringen avskaffas.

Utredningens förslag: Mot bakgrund av utredningens förslag till ny datalag med förhållandevis fyllig reglering av de förutsättningar som skulle gälla för behandlingen av personuppgifter, föreslog utredningen att yttrande från Datainspektionen i fråga om s.k. statsmaktsregister inte" längre skulle vara obligatoriskt.

Remissinsmnserm: Få remissinstanser har berört just frågan om ett obligatoriskt yttrande från Datainspektionen inför inrättandet av s.k. statsmaktsregister. Centralnämnden för fastighetsdata uttalar sig för utredningens förslag att avskaffa det obligatoriska yttrandet. Sveriges Läkarförbund och Svenska Läkaresällskapet anför att utredningens förslag innebär att inrättandet av statsmaktsregister inte skall behöva föregås av remissprövning. Organisationerna är av uppfattningen att det är mycket angeläget med kontroller i fiera instanser.

Skälen för regeringens förslag: Skyldigheten för statsmakterna att innan de inrättar personregister höra Datainspektionen fanns med redan då datalagen infördes år 1973. Som framgår av förarbetena till datalagen förutsåg man då att statsmaktsregister skulle inrättas endast i sådana fall då det var starkt motiverat med hänsyn till registrets betydelse eller med hänsyn till övriga omständigheter (bet. 1973:KU9). Utvecklingen under de allra senaste åren har dock gått mot en ökad omfattning av statsmakts- register. Denna utveckling har som regeringen berört under avsnitt 5 sitt stöd i uttalanden från regeringen och riksdagen där det har angetts som

en målsättning att vissa myndighetsregister med känsligt innehåll bör författningsregleras (jfr prop. 1990/91:60 och bet. 1990/911KU11).

I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. har regeringen anfört att i syfte att minska Datainspektionens arbetsbörda bör den nuvarande skyldigheten att inför inrättandet av statsmaktsregister inhämta inspektionens yttrande enligt 2 a & datalagen avskaffas. Inte bara arbetsbesparande skäl talar emellertid för att skyldigheten avskaffas. Integritetsaspektema kan nämligen bli tillgodosedda även utan detta obligatorium. Datainspektionen får oavsett 2 a & datalagen tillfälle att avge synpunkter innan regeringen eller riksdagen fattar sitt beslut. Detta följer av den skyldighet som regeringen har att enligt 7 kap. 2 & regeringsformen inhämta behövliga upplysningar och yttranden från berörda myndigheter. Vid inrättandet av statsmaktsregister som är särskilt känsliga ur integritetssynpunkt är det därför naturligt att regeringen inhämtar yttrande från bl.a. Datainspektionen. Det är också redan i dag vanligt att Datainspektionen deltar i beredningsarbetet långt tidigare än i den form som är angiven i 2 a & datalagen. Inspektionen anlägger där- vid samma aspekter som myndigheten gör i sitt obligatoriska yttrande. Till detta kommer att Datainspektionen regelmässigt är remissorgan i de lagstiftningsärenden som innefattar datarättsliga överväganden. Det förhållandet att stora, integritetskänsliga register enligt vad statsmakterna uttalat bör lagregleras, innebär r sig alltså att ett nogsamt berednings- arbete föregår registrens inrättande. Även den intema beredning som sker inom regeringskansliet inför inrättandet av statsmaktsregister innebär att integritetsaspektema får en god genomlysning. Sammantaget framstår den nuvarande ordningen ibland som onödigt stelbent och formell. Som regeringen påpekat i prop. 1993/94:116 förekommer det också att Data- inspektionen strax innan ett yttrande inhämtas i ett remissvar tillstyrkt den ändring som föreslås. Ett avskaffande av yttranden enligt 2 a & datalagen innebär på intet sätt någon lättnad i kravet på remissbehandling av förslag till nya statsmaktsregister. Det är därför regeringens upp- fattning att de angelägna integritetsaspekter Datainspektionen har att bevaka väl så bra kan beaktas utan ett så formaliserat förfarande som den nuvarande regleringen innebär. Av dessa skäl föreslår regeringen att det obligatoriska inhämtandet av ett särskilt yttrande från Datainspektionen inför inrättandet av statsmaktsregister avskaffas.

Hänvisningar till S6

7. Vite

Regeringens förslag: Datainspektionens befogenheter att meddela föreskrifter för ett enskilt register och förbud mot fortsatt förande av personregister enligt 18 & datalagen kompletteras med en möj— lighet att förena en sådan föreskrift eller ett sådant förbud med ett vitesföreläggande.

Utredningens förslag: I förslaget till ny datalag föreslog utredningen att Datainspektionen, om rättelse inte kunde åstadkommas på annat sätt, vid vite skulle kunna förbjuda den persondataansvarige att fortsättningsvis behandla personuppgiftema.

Remissinstansema: Endast ett fåtal remissinstanser har kommenterat denna fråga. Datainspektionen tillstyrker att dess befogenhet utökas med en möjlighet att förelägga vite.

Skälen till regeringens förslag: Av 18 5 första stycket datalagen framgår att om ett förande av personregister lett till otillbörligt intrång i personlig integritet eller om det änns anledning anta att sådant intrång skall uppkomma, får Datainspektionen i mån av behov meddela före- skrifter i sådant avseende som anges i 5 eller 6 & eller ändra föreskrifter som tidigare meddelats. Sådana föreskrifter får såvitt avser s.k. stats- maktsregister bara meddelas om föreskriften inte står i strid med beslut av riksdagen eller regeringen. Enligt 18 å andra stycket datalagen får Datainspektionen, om skydd mot otillbörligt intrång i personlig integritet inte kan åstadkommas på annat sätt, förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Befogenheten att förbjuda fortsatt förande gäller alltså register för vilka tillstånd inte behövs. Statsmaktsregister är emellertid undantagna.

Regeringens förslag om ökade möjligheter för Datainspektionen att reglera databehandlingen inom branscher och sektorer genom generella föreskrifter kommer att leda till en minskad tillståndshantering. Fler register kommer således att föras utan tillstånd. Det är inte uteslutet att detta på sikt kan leda till en ökad tillämpning av 18 å andra stycket datalagen. I prOp. 1993/94:116 Nonngivningsfrågor på dataskyddsom- rådet, m.m. har regeringen angett att förslag förbereds som skall ge Datainspektionen ökade möjligheter att kunna ingripa mot person- registrering som sker i strid med datalagen. Regeringen anförde vidare att för att skapa förutsättningar för inspektionen att på ett effektivt och kraftfullt sätt kunna förhindra pågående integritetsintrång bör inspektio- nen ha möjlighet att förena ett förbud mot fortsatt förande av person- register enligt 18 å andra stycket datalagen med ett vitesföreläggande.

Utdömande av ett förelagt vite förutsätter till skillnad från snaff varken uppsåt eller oaktsamhet hos den som brutit mot en föreskrift eller ett förbud. Ett vitesföreläggande är därför i många fall mer effektivt än ett straästadgande. Vitesmöjligheten bör således skapa avsevärt bättre förutsättningar än för närvarande att sätta stopp för ou'llbörliga intrång i personlig integritet. Som regeringen angav i prop. 1993/94:116 är en

överträdelse av ett förbud enligt 18 å andra stycket straffsanktionerat. Även för den som bryter mot en föreskrift enligt 18 5 första stycket är det föreskrivet straff. Datainspektionen har varken i fråga om föreskrift eller förbud någon möjlighet att förena dessa åtgärder med en sanktion. För att förhindra pågående integritetsintrång bör det enligt regeringens mening därför också bli möjligt att förena en föreskrift enligt 18 & första stycket med ett vitesföreläggande. Ett sådant vitesföreläggande kan dessutom förutsättas få större praktisk betydelse för Datainspektionens möjligheter att verka mot pågående integritetsintrång än enbart ett vitesföreläggande med stöd av 18 å andra stycket.

Som framgår av 2 & lagen (1985 :206) om viten skall ett vitesföreläg- gande vara riktat till en eller fiera namngivna fysiska eller juridiska personer (adressater). Även en kommun kan vara adressat för ett vites- föreläggande som Datainspektionen kommer att kunna meddela i sam- band med förbud om fortsatt förande av personregister. Utanför det marknadsrättsliga området har det ansetts att det krävs helt speciella undantagsfall för att ett vitesföreläggande skall kunna riktas mot staten (se prop. 1984/85:96 s. 24, 86 och 98 ff.). Frågan har dock inte lett till någon författningsmässig reglering i lagen om viten utan överlämnats åt rättstillämpningen. Det änns inte anledning att i detta ärende inta någon annan hållning i detta avseende än vad som gjorts i förarbetena till lagen om viten. Noteras kan dock att ett förbud enligt 18 å andra stycket över huvud taget inte får meddelas i fråga om s.k. statsmaktsregister. Föreskrifter enligt 18 & första stycket, som regeringen föreslår skall kunna förenas med vite, kan bara meddelas beträffande statsmaktsregister i den mån föreskriften inte strider mot beslut av regeringen eller riksdagen.

Någon högsta gräns för vitesbeloppets storlek föreskrivs inte. Av detta följer att vitesbeloppet skall bestämmas i enlighet med vad som är föreskrivet i lagen om viten. Datainspektionens beslut om föreläggande av vite kan överklagas enligt 25 & datalagen. Som framgår av avsnitt 8 föreslår regeringen att det i mål om viten skall krävas prövningstillstånd i ledet länsrätt-karnmarrätt.

Som nämnts ovan kan den som bryter mot en föreskrift eller ett förbud enligt 18 & dömas till böter eller fängelse i högst ett år. När ett straff är utsatt, får vite i princip föreläggas bara med stöd av ett särskilt stadgande. Vidare bör samma gärning inte föranleda både vitespåföljd och straff. Denna ståndpunkt har svensk rätt sedan länge intagit. Syftet är att förhindra att någon drabbas av dubbla sanktioner för samma gärning. Som en erinran om detta föreslås att en bestämmelse tas in i 20 & om att det inte döms till ansvar för den som överträder ett vites- föreläggande enligt 18 å datalagen.

Hänvisningar till S7

8. Överklagande

Regeringens förslag: Regeringens prövning av överklaganden av ärenden enligt datalagen upphör. Datainspektionens beslut skall i stället överklagas till allmän förvaltningsdomstol.

Utredningens förslag: I utredningens förslag till en ny datalag ingick att Datainspektionens beslut skulle överklagas till kammarrätt. Utred- ningen föreslog en särreglering för Högsta domstolen, Regeringsrätten och för kammarrättema.

Remissinstansema: De remissinstanser som berört denna fråga är genomgående positiva till ett överflyttande av överklaganden till för- valmingsdomstol. Riksdagens ombudsmän, Justitiekanslern, Hovrätten över Skåne och Blekinge, Länsrätten i Stockholms län, Domstolsverket, Socialstyrelsen, Skattemyndigheten i Stockholms län, Patent- och regi- streringsverket, Sveriges advokatsamfund och DAFA Data AB menar dock att överklagade beslut bör handläggas av länsrätt som första instans. Kammarrätterna i Stockholm och Göteborg, Överåklagaren vid Regionåklagarmyndigheten i Linköping, Finansinspektionen och Kalmar läns landsting delar utredningens uppfattning om kammarrätt som första instans. Länsrätten i Stockholms län och Domstolsverket menar att en särreglering för Högsta domstolen, Regeringsrätten och kammarrättema inte är nödvändig.

Datainspektionen och Svenska Bankföreningen anser att Datainspek- tionens beslut om generella föreskrifter skall kunna överklagas till regeringen.

Skälen för regeringens förslag: Redan vid datalagens tillkomst förekom diskussioner om till vilken instans Datainspektionens beslut borde överklagas. Av förarbetena (prop. 1973133 5. 150) framgår att några remissinstanser ansåg att inspektionens beslut borde överklagas till Regeringsrätten. JO för sin del fann det ytterst angeläget med en möjlighet att få domstolsprövning av inspektionens ställningstaganden i tillståndsärenden och ärenden om föreläggande och föreskrifter. Före- dragande statsrådet medgav att vissa skäl, bl.a. sambandet med offent- lighets- och sekretessreglema, talade för att Datainspektionens beslut skulle kunna överklagas hos Regeringsrätten men framhöll att de av- göranden som det kunde bli fråga om huvudsakligen var av sådan natur att de inte lämpligen borde prövas av domstol. Han menade att det i första hand var fråga om att avgöra hur man bäst skall förebygga risker- na för otillbörligt intrång i personlig integritet och att det vidare i vissa fall måste ske en avvägning mot sarnhällsekonomiska intressen.

I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. har regeringen angett som sin uppfattning att Datainspektionens beslut bör överklagas till allmän förvaltningsdomstol och att en sådan ordning ligger i linje med bl.a. det arbete som sedan äera år pågår inom regeringskansliet i syfte att minska regeringens befattning med för- valtningsärenden. En gnrndsats härvid är att överklaganden av för-

valtningsbeslut i vilka rättsfrågan är huvudsak skall gå till domstol medan ärenden där lämplighetsbedömningar dominerar bör prövas i admini- strativ ordning. De överväganden som gjordes vid datalagens tillkomst har nu till stor del förlorat i aktualitet. För myndighetsregister med känsligt innehåll är det enligt vad statsmakterna uttalat (prop. 1990/91:60, bet. 1990/91:KUll) en bestämd målsättning att författ- ningsregleringen ökar. Särskilda registerförfattningar har också i ökad omfattning tillkommit under senare år. Den politiska styrning av ut- vecklingen inom ADB-området som statsmakterna kan och bör använda sig av bör således helt utövas genom att riksdagen eller regeringen fastställer normer, dvs. lagar och andra föreskrifter. För att ytterligare minska utrymmet för rena lämplighetsbedömningar och härigenom ge rättsfrågan ökad tyngd vid hanteringen av överklaganden, bör en strävan vara att på sikt låta datalagstifmingen innehålla än mer preciserade regler (jfr bet. 1988/89:KU28).

Mot denna bakgrund bör överprövningen av Datainspektionens beslut flyttas från regeringen till domstol. Eftersom det är fråga om överkla- gande av förvaltningsbeslut är det naturligt att låta överprövningen ske i allmän förvaltningsdomstol.

Det kan här påpekas att de generella föreskrifter som Datainspektionen enligt regeringens förslag kommer att kunna utfärda, enligt allmänna principer om normgivningsmakten torde kunna överprövas av regeringen oavsett om de överklagas eller inte (se t.ex. Hellners m.fi. Nya förvaltningslagen med kommentarer, tredje uppl., s. 296 ff.). Främst av detta skäl saknas anledning att, som Datainspektionen och Svenska Bankföreningen förordat, särskilt reglera möjligheterna till överklagande av Datainspektionens normbeslut.

Som det har beskrivits i prop. 1993/94:133 Instansordningen i de allmänna förvaltningsdomstolama, har en av grundtankama i det re- formarbete som bedrivits under senare år på rättsväsendets område varit att tyngdpunkten i rättskipningen skall ligga i första instans, dvs. den första domstolsprövningen skall ske i första instans. I 1993 års budget- proposition ställde sig regeringen bakom denna princip (prop. 1992/93:100 bil. 3, s. 24 f. och s. 93). Riksdagen har godkänt de i propositionen angivna riktlinjerna (bet. 1992/93:1uU24, rskr. 1992/93:289). Kammarrätt bör således endast i undantagsfall vara första domstolsinstans. Som en konsekvens av det principiella ställningstagandet har också i den ovannämnda prop. 1993/94:133 regeringen nyligen, som ett led i en första etapp, föreslagit överflyttande av en del måltyper från kammarrätt till länsrätt.

Tyngdpunkten i rättskipningen skall alltså ligga i första instans. Han- teringen av de överklagade besluten från Datainspektionen kommer på grund av forumreglema att handläggas av endast en domstol i första instans. Detta innebär att domstolen, oavsett om det är Länsrätten i Stockholms län eller Kammarrätten i Stockholm, kommer att kunna bygga upp en kompetent och effektiv hantering av sådana mål. Enligt regeringens uppfattning är inte dessa avgöranden så särpräglade eller speciella att de enbart av sådana skäl bör handläggas av kammarrätt i

första instans. Avgörande skäl talar i stället för att den första dom- stolsprövningen bör ske i länsrätt.

Iden tidigare nämnda propositionen om instansordningen i de allmänna förvaltningsdomstolama har regeringen också föreslagit att regler om prövningstillstånd i kammarrätt skall införas. Det förhållandet att över- klaganden av beslut enligt datalagen är en ny målgrupp för domstolarna, att en fast domstolspraxis därför inte änns, att målen ofta innefattar komplicerade ställningstaganden samt att målen inte kan förväntas utgöra en antalsmässigt stor målgrupp gör att regeringen inte för närvarande änner skäl att föreslå ett införande av prövningstillstånd i ledet länsrätt- kammarrätt.

Däremot änner regeringen att prövningstillstånd bör införas i mål om vite. Sedan en tid krävs prövningstillstånd i hovrätten för bl.a. bötesmål. Det offentligrättsliga vitet påminner om böter. Vad som främst skiljer det individuella vitet från böter är att vitet i förväg bestäms till ett visst belopp. Såvitt avser frågan om prövningstillstånd änns inte anledning att behandla mål om vite på annat sätt än bötesmål. Med prövningstillstånd kan det förutses att vitesmål vinner laga kraft i ett tidigare skede än annars. Att så blir fallet har den fördelen att reaktionen mot den som bryter mot ett vitesföreläggande kommer relativt omgående.

Även beslut som avser personregister hos statliga myndigheter bör överklagas till domstol. Som nämnts tidigare får statsmakternas behov av politisk styrning av ADB-registreringen anses bli tillgodosett genom de möjligheter som änns att genom författningsreglering inrätta s.k. statsmaktsregister. Inte heller framstår någon särreglering för de få situationer som kan beröra de högsta instansema som nödvändig. Skulle det bli fråga om överprövning av ett beslut från Datainspektionen som rör personregister hos Högsta domstolen eller Regeringsrätten får de rättsliga instanserna förutsättas kunna hantera detta inom ramen för de generellt angivna reglerna för överklagande. Något bärande skäl för en särreglering för länsrättema eller kammarrättema har inte heller fram- kommit.

Också i fortsättningen bör Justitiekanslern ha rätt att föra talan för att tillvarata allmänna intressen. Justitiekanslern bör kunna överklaga utan att hans talan är beroende av prövningstillstånd, vilket bör framgå av 34 a och 35 55 förvaltningsprocesslagen (1971229 1).

Förutom överklaganden av Datainspektionens beslut enligt datalagen handlägger regeringen överklaganden rörande befrielse från licensavgift enligt 3 5 förordningen (19821481) om avgifter för Datainspektionens verksamhet. Dessa mål är till helt övervägande del av okomplicerad art och en fast praxis änns uppbyggd kring dessa avgöranden. Något skäl att inte även dessa mål förs över till allmän förvaltningsdomstol synes inte föreligga. Som nämnts är målen från juridisk synpunkt enkla. Mot denna bakgrund avser regeringen att låta dessa mål omfattas av krav på prövningstillstånd i ledet länsrätt-kammarrätt i enlighet med reglerna om sådant prövningstillstånd i prop. 1993/94:133. Ändringarna kommer att ske i förordningsform och kräver därför inte riksdagens medverkan.

Regeringen är överinstans inte bara när Datainspektionens beslut överklagas enligt datalagen utan också bl.a. vid överklagande av beslut

enligt kreditupplysningslagen (1973:1173). Kreditupplysningsutredningen har i sitt slutbetänkande Integritet och effektivitet på kreditupplysnings- området (SOU 1993:110) föreslagit att överklaganden av Datainspek— tionens beslut enligt kreditupplysningslagen skall ske hos länsrätten. Betänkandet remissbehandlas för närvarande.

Hänvisningar till S8

  • Prop. 1993/94:217: Avsnitt 10.1, 7

9. Kostnader

Regeringens förslag innebär ett successivt överflyttande av resurser hos Datainspektionen från tillståndshantering till ett författningsarbete. Var— ken denna ändring eller andra förslag i remissen förutsätts leda till ökade kostnader hos inspektionen. Inte heller förutses ökade kostnader för de registeransvariga.

Förvaltningsdomstolama tillförs en ny målgrupp vilket i sig kommer att leda till ökade kostnader. Antalet överklaganden till regeringen har under flera år legat kring ett tiotal årligen. På senare tid har en uppgång i antalet överklagandeärenden kunnat noteras men någon större omfatt- ning av överklaganden kan inte förväntas. Det är regeringens bedömning att förslaget inte föranleder krav på ökade resurser hos de allmänna förvaltningsdomstolama

Det kan också påpekas att överflyttandet av överklaganden till för- valtningsdomstolama naturligtvis innebär något minskad arbetsbelastning inom regeringskansliet.

10. Författningskommentar Prop. 1993/94:217

Förutom de materiella ändringar som regeringen nu föreslår änns det också skäl till fiera språkliga ändringar i datalagen. Med tanke på att datalagen inom en relativt snar framtid kan komma att ersättas av ny lagstiftning har ändringarna begränsats till de mest nödvändiga.

10.1. Förslaget till lag om ändring i datalagen (1973:289) 2 a &

Bestämmelsen behandlas i avsnitt 5 och 6.

Ändringen i första stycket innebär ett avskaffande av skyldigheten för riksdag och regering att i särskild ordning inhämta Datainspektionens yttrande innan statsmakterna inrättar personregister. Inspektionens synpunkter skall dock på sedvanligt sätt inhämtas i beredningen av ärendet.

Ändringen innebär också att de register som inrättas och förs i enlighet med föreskrifter som regeringen eller Datainspektionen beslutat med stöd av 19 & undantas från tillståndsplikt. Detta förutsätter naturligtvis att den registeransvarige i alla avseenden för registret så att det uppfyller de föreskrifter som regeringen eller Datainspektionen meddelat. Skulle registret ändras så att det avviker från föreskrifterna får detta till följd att registret förs i strid med datalagen.

Av bestämmelsen framgår avsikten att det är register som är till- ståndspliktiga, eller som skulle kräva tillstånd om de inrättades, som skall kunna regleras genom den nya generella föreskriftsmöjligheten.

65

Bestämmelsen behandlas i avsnitt 5.

Ändringarna är av redaktionell natur. De syftar till att klargöra skillnaden att föreskrifter som meddelas i ett enskilt tillståndsärende inte är normer, dvs. sådana dataskyddsföreskrifter som beslutats med stöd av 19 ä.

6 a & Samma tillägg av redaktionell natur som införts i 6 &. Dessutom har en ändring skett som följd av att skyldigheten att inhämta yttrande från Datainspektionen enligt 2 a & avskaffas.

125

Ändringen är en följd av att skyldigheten att inhämta yttrande från Datainspektionen enligt 2 a & avskaffas.

I8å

Bestämmelsen behandlas i avsnitt 7. .

Någon möjlighet att meddela interimistiskt vitesföreläggande har inte införts. Frågor om Utdömande av vitet prövas av Länsrätten i Stockholms län på ansökan av Datainspektionen. Av 4 5 lagen (1985:206) om viten framgår att vite kan föreläggas som löpande vite. Det innebär att vitet bestäms till ett visst belopp för varje tidsperiod av viss längd under vilken föreläggandet har överträtts. Vitet kan också bestämmas så att vitet skall betalas varje gång ett förbud eller någon liknande föreskrift överträds.

Det nya tredje stycket medför att Datainspektionen får möjlighet att förena en föreskrift enligt paragrafen med vite. Ett vite behöver naturligvis inte alltid föreläggas. Särskilt gäller detta när en föreskrift meddelas första gången (jfr prop. 1974:42 s. 114). Även ett förbud mot fortsatt förande av personregister kan förenas med vite.

195

Den nya bestämmelsen behandlas i avsnitt 5.

I bestämmelsen ges en möjlighet för regeringen eller, efter regeringens bemyndigande, Datainspektionen att meddela föreskrifter för person- register som förs inom en viss verksamhet, bransch eller sektor. E n förutsättning för delegation är att det är fråga om personregister som ofta förekommer inom ett visst område eller en viss verksamhet. En reglering av endast enstaka personregister bör därför inte förekomma.

Föreskrifterna skall utformas så att de faller inom ramarna för datala- gens regler. Föreskrifterna skall säkerställa att inte otillbörligt intrång i den personliga integriteten uppkonuner i samband med den avsedda registreringen och behandlingen av personuppgifter.

Vid utformandet av föreskrifterna är således utgångspunkten att det inte blir ett sämre integritetsskydd än vid tillståndsprövningen för enskilda register. De bestämmelser i datalagen som i första hand blir tillämpliga vid utformandet av föreskrifterna är 5 och 6 55. Registrens ändamål måste således preciseras och avgränsas väl. Det måste också noggrant prövas i vilken mån regleringen skall innefatta sådana föreskrifter som räknas upp i 6 5. Även andra bestämmelser i datalagen kan komma i fråga för en mer generell reglering som t.ex. undantag från skyldigheten att tillhandahålla registerutdrag enligt 10 å och utlämnande av person- uppgifter till utlandet enligt 11 &. Däremot skall, som nämnts i avsnitt 5, föreskrifterna inte omfatta gallring av allmänna handlingar. Det är emellertid av vikt att Datainspektionen och de statliga arkivmyndig- hetema kan samråda om gallringsfrågor i anslutning till Data- inspektionens generella föreskrifter.

Som regeringen redogjort för i den allmänna motiveringen utesluter inte det förhållandet att föreskrifter meddelats för en viss bransch, att det hos skilda registeransvariga inom branschen undantagsvis ändå änns behov av register som inte täcks av föreskrifterna. I sådana fall kvarstår möjligheten att söka tillstånd för registret.

205

Det nya andra stycket ger uttryck för principen att inte ingripa med båda sanktionema straff och vite när fråga är om samma gärning (jfr NJA 1982 s. 633 och RÅ 1992 ref. 25).

255

Av skäl som angetts i avsnitt 8, innebär ändringen i första stycket att Datainspektionens beslut skall överklagas till allmän förvaltningsdomstol i stället för till regeringen. Med allmän förvaltningsdomstol avses länsrätt enligt i prop. 1993/94:133 föreslagen lydelse av 14 5 lagen (l971:289) om allmänna förvaltningsdomstolar. Eftersom instansordningen ändras bör inte Justitiekanslems möjlighet att föra talan vara begränsad till överklagande av Datainspektionens beslut. För att klargöra att Justitie- kanslern kan överklaga förvaltningsdomstolamas beslut anges i paragra- fen att Justitiekanslern får föra talan för att tillvarata allmänna intressen. Justitiekanslems möjligheter att föra talan oberoende av prövningstillstånd framgår av regeringens förslag till ändringar i 34 a och 35 55 för- valtningsprocesslagen (l971:291).

Ändringen i andra stycket är en följd av nyligen beslutade ändringar i sekretesslagen (prop. 1993/94:48, bet. 1993/94zKU13, rskr. 1993/94:46, SFS 1993:1298).

Det nya tredje stycket innebär att varken överklaganden av beslut om förelägganden av viten eller mål om utdömande av viten kan föras vidare från länsrätt till kammarrätt, såvida inte prövningstillstånd meddelas.

Hänvisningar till S10-1

10.2. Förslaget till lag om ändring i förvaltningsprocesslagen (l971:291)

34a5

Den nya meningen i första stycket innebär att Justitieombudsmannen och Justitiekanslern alltid kan föra talan mot länsrättens beslut utan prövningstillstånd. Ändringen är omedelbart föranledd av att prövningstillstånd införs i ledet länsrätt-karnmarrätt såvitt avser mål om vite. Några andra situationer där bestämmelsen i dag blir tillämplig änns inte.

35 5 Ett överklagande av Justitiekanslern av ett beslut av en kammarrätt enligt datalagen skall prövas av Regeringsrätten utan prövningstillstånd. En ändring av denna innebörd har gjorts i denna paragraf.

Sammanfattnin av Datalagsutredningens betänkande Prop. 1993/94:217 En ny datalag SOU 1993:10)

Datalagsutredningen har haft i uppdrag att göra en översyn av datalagen ( l973:289) från såväl saklig som lagteknisk synpunkt. Den svenska datalagen var den första nationella lagstiftningen i sitt slag och väckte berättigad uppmärksamhet vid sin tillkomst. Sedan dess har 20 år gått, vilket i dessa sammanhang är en mycket lång tid, utan att lagens grund- läggande struktur har ändrats. Lagen får såväl innehållsmässigt som till sin tekniska utformning anses vara ganska föråldrad.

Den nuvarande datalagen reglerar användningen av personregister. Med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling (ADB) och som inne- håller perSOnuppgift som kan hänföras till den som avses med uppgiften. Avgörande för frågan om datalagen över huvud taget är tillämplig på ett register är således huruvida registret förs med ADB eller inte. Register som förs med hjälp av annan teknik än ADB faller i dag utanför datalagens tillämpningsområde.

För varje register skall finnas en registeransvarig. Därmed förstås den för vars verksamhet personregistret förs, om han förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara register- ansvariga. Med att förfoga över ett register avses närmast en befogenhet att överföra registrets innehåll till läsbar form. En registeransvarig måste också kunna påverka innehållet i registret genom att tillföra eller ändra de uppgifter som ingår i registret för att anses förfoga över det.

Personregister får inrättas och föras endast av den som efter anmälan har fått licens av Datainspektionen. En sådan licens berättigar den registeransvarige att föra ett eller flera personregister.

För vissa register, som bedöms innebära särskilda risker för otillbörligt intrång i enskilds personliga integritet, krävs utöver licens även ett särskilt tillstånd från Datainspektionen.

Tillstånd behövs i regel för att inrätta och föra ett personregister som innehåller

1) känsliga personuppgifter, 2) omdömen om den registrerade, 3) uppgifter om personer som saknar sådan anknytning till den register- ansvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande samt

4) personuppgifter som inhämtats från något annat personregister (s.k. samköming).

En grundläggande förutsättning för att Datainspektionen skall kunna ge tillstånd att inrätta och föra personregister är att det inte finns anledning att anta att registreringen medför otillbörligt intrång i de registrerades personliga integritet.

Finns det anledning anta att personuppgifter skall användas för ADB i utlandet, får uppgifterna lämnas ut endast efter medgivande av Data- inspektionen. Sådant medgivande får lämnas endast om det kan antas att utlämnandet av uppgifterna inte kommer att medföra otillbörligt intrång 33 i personlig integritet. Något medgivande behövs dock inte, om person-

uppgifter skall användas för ADB enbart i en stat som har anslutit sig till Prop. 1993/941217 Europarådets konvention om skydd för enskilda vid ADB-behandling av Bilaga 1 personuppgifter.

I datalagen änns allmänna bestämmelser om gallring av personuppgif- ter.

Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i registrerads personliga integritet.

Har förande av personregister medfört eller kan antas medföra otill- börligt intrång i personlig integritet kan Datainspektionen meddela villkor eller, om rättelse inte på annat sätt kan åstadkommas, förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd.

Datainspektionens beslut får överklagas hos regeringen genom besvär. Enligt Datalagsutredningens förslag skall datalagen även i fortsätt- ningen bara reglera sådan infonnationshantering som sker med hjälp av ADB. Liksom hittills skall lagen gälla både för den privata och oä'entliga sektorn. I övrigt innebär den föreslagna lagen mycket betydande förändringar i förhållande till vad som gäller i dag. De viktigaste för- ändringarna och nyheterna är följande.

* Personregisterbegreppet, som har gett upphov till en hel del tolk- ningsproblem, slopas. Den nya datalagen blir tillämplig på behand- ling av personuppgifter. Med behandling förstås varje åtgärd som vidtas med personuppgifter genom ADB. Vissa undantag görs från huvudregeln, bl.a. tas ordbehandling och behandling som sker uteslu- tande för personligt bruk undan från lagens tillämpningsområde.

* Det blir lättare att avgöra vem som är registeransvarig, persondata- ansvarig enligt utredningens terminologi, i system som används av flera. Endast den är persondataansvarig som bestämmer ändamålet med behandlingen, vilka personuppgifter som skall behandlas och hur de skall behandlas.

* Systemet med licens och tillstånd avskaffas. Trots olika försök att rationalisera tillståndshanteringen och begränsa antalet tillståndsären- den är arbetet med dessa ärenden så omfattande att Datainspektionen i stort sett inte hinner ägna sig åt några inspektioner ute på fältet. Den uteblivna tillsynen medför en bristande respekt för datalagens regler. Det kan t.ex. nämnas att det f.n. änns omkring 50 000 med- delade licenser. Enligt utredningens beräkningar hade antalet bort vara mellan 500 000 och 1 milj.

* De resurser som frigörs genom att systemet med licens och tillstånd avskaffas skall användas för en intensiäerad tillsyn, särskilt in— spektioner ute på fältet. En sådan tillsyn är enligt utredningens uppfattning det bästa sättet att upprätthålla ett gott integritetsskydd.

* En förutsätming för att man skall kunna övergå till ett renodlat till- synsförfarande är att datalagen ger en så utföng reglering som möj- 34 ligt av de förutsättningar som gäller för ADB-hantering av person-

uppgifter. Det nuvarande begreppet otillbörligt intrång i persoan Prop. 1993/94:217 integritet, som aldrig har kunnat ges ett någorlunda preciserat in- Bilaga 1 nehåll, avskaffas. I stället införs regler för de olika momenten i infonnationsbehandlingen. I den nya datalagen änns bestämmelser om bl.a. den nödvändiga anknytningen till ett ändamål, förutsättning-

ama för behandling av personuppgifter, vilka personuppgifter som får behandlas, formen för samtycke från den enskilde, säkerhet och

gallring.

Regleringen i den nya datalagen skall kunna kompletteras med be- stämmelser som utfärdas av Datainspektionen och som avser olika branscher eller sektorer.

Ett system med anmälningsskyldighet för vissa persondataansvariga införs. En anmälan skall göras till Datainspektionen när vissa käns- liga uppgifter behandlas med ADB. Anmälningama skall ligga till grund för Datainspektionens tillsyn. Anmälningsförfarandet blir betydligt enklare och riktar sig mot betydligt färre persondataan- svariga än det nuvarande tillståndssystemet.

Liksom i dag skall personuppgifter få ADB-behandlas bara för be- stämda ändamål. Ändamålet skall dock enligt utredningens förslag anges med större precision än enligt nuvarande datalag. Möjligheter- na begränsas att använda personuppgifter som samlats in för ett ändamål för andra ändamål.

I den föreslagna lagen anges i sex olika punkter de alternativa grun— der som ger rätt att ADB—behandla personuppgifter. En av grunderna är samtycke från dem som berörs av behandlingen.

När den enskildes samtycke behövs för en viss ADB-behandling skall det vara ett uttryckligt samtycke. Passivitet eller s.k. konkludent handlande kommer inte att vara tillräckligt.

För känsliga personuppgifter, t.ex. politisk uppfattning, sjukdom, hälsotillstånd eller olika slags omdömen, kommer särskilda regler att gälla. Enligt dessa bestämmelser får de känsliga uppgifterna ADB- behandlas bara om, när samtycke inte föreligger, det änns särskilt stöd i författning för behandlingen. Det kommer att behövas åtskilliga sådana författningar, särskilt på den offentliga sidan.

I några paragrafer i den föreslagna datalagen ges sådant särskilt för- fattningsstöd i fråga om behandling av känsliga uppgifter på forsk- ningsområdet och hos arbetsgivare. Dessa bestämmelser anger alltså de förutsättningar som måste föreligga för att känsliga uppgifter, utan samtycke från de berörda enskilda, skall få ADB-behandlas för forsk- ningsändamål och i förhållandet mellan arbetsgivare samt arbets- tagare och arbetssökande. På forskningsområdet avses be- 35 stämmelserna tillgodose den viktiga registerforskningen.

* En uttrycklig regel om förbud för den persondataansvarige att ADB- Prop. 1993/94:217 behandla personuppgifter för direktreklamändamål i strid med den Bilaga 1 enskildes önskan tas in i datalagen.

Särskilda regler införs i datalagen som klargör hur de intressen som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen skall avvägas mot integritetsintressena.

* Vid gallring av personuppgifter som utgör allmän handling hos myn- digheter kan integritetsintressena komma i konflikt med intresset att bevara uppgifterna, t.ex. för framtida användning inom forskningen. En särskild bestämmelse i utredningens förslag till datalag anger hur den avvägningen skall ske.

Bestämmelserna i den gällande datalagen om överföring av person- uppgifter till utlandet för ADB-behandling av uppgifterna där har berörts i det föregående. Enligt utredningens förslag skall överföring utan särskilt medgivande kunna ske till en stat som visserligen inte har anslutit sig till Europarådets konvention men som har ett integri- tetsskydd som motsvarar det som följer av konventionens regler. Den nya bestämmelsen bör få ganska stor praktisk betydelse.

* Datainspektionens beslut skall i fortsättningen överklagas till domstol, inte som i dag till regeringen.

EG—kommissionen antog i september 1990 ett förslag till direktiv om skydd för enskilda vid behandling av personuppgifwr och om det fria flödet av sådana uppgifter. Sedan förslaget behandlats i EG:s ministerråd och EG—parlamentet har EG-kommissionen i oktober 1992 antagit ett nytt förslag till direktiv. Detta förslag har förelagts Ministerrådet och enligt tidsplanen skall Rådet ta slutlig ställning till det nya förslaget under år 1993.

Åtskillig diskussion om hur integritetsskyddet skall vara utformat har förekommit i anslutning till det tidigare utkastet till direktiv från Kom- missionen och EG-parlamentets behandling av detta utkast. Fortfarande förekommer inom EG, såvitt man kan bedöma, oenighet om hur ett framtida direktiv skall vara utformat. Detta har bl.a. lett till att tidsplanen för antagandet av direktivet har förskjutits. Enligt företrädare för Kommissionen kommer Ministerrådet troligen inte att kunna ta slutlig ställning till förslaget förrän sommaren 1994. Iden debatt som förts efter det Kommissionen presenterade sitt reviderade förslag i oktober 1992 har vissa bl.a. pekat på den s.k. subsidiaiitetsprincipen. Vidare kan nämnas att vid Europeiska Rådets möte i Edinburgh den 11 - 12 december 1992 har Kommissionen förklarat att den avser att revidera ett antal förslag i syfte att göra dem mindre detaljerade. Sett i ljuset av att samtliga medlemsländer snart kommer att ha nationella dataskyddslagar och anslutit sig till Europarådets dataskyddskonvention har det från vissa håll ifrågasatts om behovet av att anta direktivförslaget kommer att kvarstå. 36

Redovisningen i det följande bygger på det nuvarande direktivförslagets Prop. 1993/94:217 lydelse. ' ' Bilaga 1 '

Direktiv som beslutas av behöriga EG-organ är bindande i fråga om det resultat som skall uppnås men överlämnar åt medlemsländerna att välja form och metod för detta.

I förslaget till EG-direktiv har man beaktat den utveckling på data- skyddsområdet som har skett och förslaget bygger på de integritets- skyddslagar och den internationella reglering som har kommit fram under de senaste åren. I förhållande till den svenska datalagen innefattar direktivförslaget i en hel del hänseenden en önskvärd skärpning av reglerna för integritetsskyddet. Av dessa och andra skäl, särskilt det intensiäerade europeiska samarbetet, har utredningen eftersträvat att få ' i huvudsak samma regler för integritetsskyddet som de som kan komma ' att gälla inom EG. Utredningens förslag till materiella regler för data- skyddet ligger också nära motsvarande bestämmelser i direktivförslaget. Det gäller bl.a. sådana frågor som ändamålsanknytning och byte av ändamål, förutsättningar förbehandling av personuppgifter, hur samtycke från den enskilde skall lämnas, vilka personuppgifter som får behandlas, säkerhet, gallring och regleringen av känsliga personuppgifter.

Vissa avvikelser förekommer emellertid i förhållande till förslaget till EG-direktiv. Som har nämnts i det föregående skall datalagen i motsats till vad som gäller enligt direktivförslaget även i fortsättningen bara reglera sådan informationshantering som sker med hjälp av ADB. Såvitt utredningen känner till är nämligen varken omfattningen av eller in- nehållet i den manuella registreringen av någon betydenhet och innebär inte några mera påtagliga integritetsrisker. Vidare berör en del före- skrifter i direktivförslaget den svenska offentlighetsprincipen. De be- stämmelser i förslaget till EG-direktiv som reglerar utlämnande av per- sonuppgifter tillåter enligt utredningen inte något utlämnande enligt offentlighetsprincipen. Ett utlämnande av personuppgifter med stöd av offentlighetsprincipen kan heller inte anses förean med det sätt på vilket ändamålet för en viss ADB-behandling skall anges enligt direktivför- slaget. Förslaget till EG-direktiv påverkar vidare principen i tryckfrihets- förordningen att en sökande som begär att få ut en handling har rätt att vara anonym. Slutligen innehåller inte direktivförslaget något undantag från huvudregeln om gallring som gör det möjligt att bevara personupp- gifter med hänsyn till ol'fentlighetsprincipen. I de hänseenden som nu har nämnts innebär utredningens lagförslag avvikelser från det föreslagna EG-direktivet för att offentlighetsprincipen skall lämnas orörd.

Avvikelser i förhållande till förslaget till EG-direktiv förekommer också när det gäller information till den enskilde och underrättelser till dataskyddsmyndigheten.

Kraven på information till den enskilde är långtgående. Enligt direk- tivförslaget skall den enskilde ha rätt att på begäran bli informerad om förekomsten av en viss ADB-behandling och om olika uppgifter som hänför sig till ADB-behandlingen. När en persondataansvarig lämnar ut personuppgifter skall vidare den enskilde vars personuppgifter det är fråga om i princip underrättas om utlärnnandet. Tanken bakom dessa 37 bestämmelser i direktivförslaget är att den enskilde skall bli medveten om

att personuppgifter som rör honom ADB-behandlas och kunna göra sina Prop. 1993/94:217 rättigheter enligt dataskyddslagstiftningen gällande. Ett iakttagande av be- Bilaga 1 stämmelserna skulle emellertid innebära en betungande informations- skyldighet för de persondataansvariga och en ganska betydande byråkrati- sering av kontrollsystemet.

Utredningen har kommit till den slutsatsen att de skäl som från in- tegritetssynpunkt talar för den angivna ordningen inte är tillräckligt starka för att väga över den byråkrati som skulle bli följden. Utredningen har då också beaktat att det änns goda möjligheter till insyn genom andra regler i den föreslagna datalagen och i sekretesslagen. Liksom i dag kommer den enskilde att få möjlighet att kontrollera om uppgifter som hänför sig till honom är föremål för ADB—behandling och, om så är fallet, att kontrollera om uppgifterna är riktiga, fullständiga och aktuella. Information om vilka känsliga personuppgifter som ADB-behandlas kan man vidare få hos Datainspektionen. Den persondataansvarige skall nämligen, innan han får börja att behandla sådana personuppgifter, göra en anmälan till Datainspektionen om ADB-behandlingen. Slutligen finns i sekretesslagen särskilda regler om dokumentationsskyldighet beträffande datasamlingar som en myndighet har tillgång till. Reglerna syftar till att tillgodose allmänhetens intresse av överblick över och orientering i det ADB-material som änns hos myndigheterna.

När det gäller underrättelser till dataskyddsmyndigheten är utgångs- punkten i förslaget till EG-direktiv att all ADB-behandling skall anmälas. Vad som får tas undan från anmälningsskyldigheten är vissa slag av behandling som inte menligt påverkar de enskildas integritet. Åtgärder för att göra undantag från anmälningsskyldigheten förutsätter dataskydds- myndighetens medverkan.

Utredningen konstaterar att, även om många undantag görs från huvudregeln om anmälningsskyldighet, det änns en betydande risk för att ett mycket stort antal datasamlingar måste anmälas till dataskydds- myndigheten, bl.a. beroende på den höga takten i datoriseringen här i landet. Antalet kan bli så stort att den överblick över den integritetskäns- liga databehandlingen som dataskyddsmyndigheten bör ha helt går förlorad. De åtgärder som behövs för att göra undantag från anmälnings- skyldigheten kommer vidare att innebära en betydande belastning på dataskyddsmyndigheten. Utredningen har sammanfattningsvis kommit till den slutsatsen att det sätt på vilket avgränsningen av anmälningsskyldig- heten har gjorts och det förfarande för att göra undantag från an— mälningsskyldigheten som anges i direktivförslaget är förenade med så betydande olägenheter att någon harmonisering med förslaget till EG- direktiv inte bör ske i denna del. I stället har i den nya datalagen an- mälningsskyldigheten avgränsats på samma sätt som tillståndsplikten enligt den gällande datalagen, dvs. det anges uttryckligen i lagen vilken behandling som måste anmälas till Datainspektionen. Anmälningsskyl- digheten har begränsats till att avse ADB-behandling av i sig känsliga personuppgifter.

Även i övrigt görs i olika frågor avvikelser från direktivförslaget. Den nya datalagen är avsedd att träda i kraft den 1 januari 1995. 38

Förteckning över remissinstanser som yttrat sig Prop. 1993/94:217 över Datalagsutredningens förslag Bilaga 2

Remissyttranden över betänkandet har avgetts av Riksdagens ombuds- män, Justitiekanslern, Hovrätten över Skåne och Blekinge, Kammar- rätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholm, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Kriminalvårdsstyrel- sen, Datainspektionen, Överbefälhavaren, Vämpliktsverket, Överstyrel- sen för civil beredskap, Vapenfristyrelsen, Riksförsäkringsverket, Socialstyrelsen, Folkhälsoinstitutet, Socialvetenskapliga forskningsrådet, Statskontoret, Statens person- och adressregistemämnd (SPAR-nämnden), Generaltullstyrelsen, Statistiska centralbyrån, Finansinspektionen, Riksrevisionsverket, Riksskatteverket, Stockholms universitet, Uppsala universitet, Lunds universitet, Umeå universitet, Chalmers tekniska högskola, Karolinska institutet, Högskolan i Karlstad, Forskningsråds- nämnden, Humanistisk-samhällsvetenskapliga forskningsrådet, Medicinska forskningsrådet, Naturvetenskapliga forskningsrådet, Veten- skapsakademien, Sveriges lantbruksuniversitet, Skogs- och jordbrukets forskningsråd, Arbetarskyddsstyrelsen, Arbetsmiljöinstitutet, Arbets- miljöfonden, Arbetslivscentrum, Riksarkivet, Närings- och teknik- utvecklingsverket, Konkurrensverket, Patent- och registreringsverket, Konsumentverket, Centralnämnden för fastighetsdata, Göteborgs kom- mun, Varbergs kommun, Härnösands kommun, Stockholms läns lands- ting, Landstinget i Kalmar län, Stiftelsen Riksbankens Jubileumsfond, Sveriges Författarförbund, Företagarnas Riksorganisation, Svenska Kommunförbundet, Landstingsförbundet, Sveriges advokatsamfund, Sveriges Köpmannaförbund, Sveriges Radio AB, Tjänstemännens Cen- tralorganisation TCO, Sveriges Akademikers Centralorganisation SACO, Landsorganisationen i Sverige LO, Tidningarnas Telegrambyrå, Svenska Joumalistförbundet, Svenska Tidningsutgivareföreningen, DAFA Data AB, Dataföreningen i Sverige, DIK-förbundet, Företagens Uppgifts— lärnnardelegation, Konunundata AB (numera Dialogdata Informations- system AB), Medborgarrättsrörelsen i Sverige, Sveriges Läkarförbund, Sveriges Psykologförbund, Sveriges Försäkringsförbund, Svenska Bank- föreningen, Krigsarkivet, Jacob Palme, FALK Föreningen arkivverk- samma i landsting och kommun, Affärsdata AB, Statens löne- och pensionsverk, Svenska Läkaresällskapet, Svenska kyrkans Församlings- och Pastoratförbund, Arkivrådet AAS, Kungl. Vitterhets Historie och Antikvitets Akademien, Svenska kyrkans centralstyrelse, Lantmäteri- verket, Svenska Inkassoföreningen, Läkemedelsindustrins branschorga- nisationer och Representantföreningen för Utländska Farmacevtiska industrier samt AB Bonnierföretagen.

Svenska Arbetsgivareföreningen och Sveriges Industriförbund har avgett ett gemensamt yttrande. Detsamma gäller Publicistklubben och Föreningen Grävande Journalister.

Även Annonsörföreningen, Dagligvaruleverantöremas Förbund, Direkthandelsföretagens förening, Svenska Bokförläggareföreningen, Svenska Postorderföreningen, Sveriges Marknadsförbund, Sveriges 39

Reklamförbund, Sveriges Telemarketing Förening och SWEDMA har avgett ett gemensamt yttrande.

Riksåklagaren har överlämnat yttranden från överåklagaren vid Åkla- garmyndigheten 1 Göteborg samt överåklagama vid Regionåklagarrnyn- dighetema i Linköping, Malmö och Härnösand.

Rikspolisstyrelsen har bifogat yttranden från polismyndighetema i Stockholm, Göteborg och Malmö.

Riksskatteverket har till sitt yttrande bifogat ett utlåtande från Skatte- myndigheten i Stockholrns län.

Rektorsämbetet vid Stockholms universitet har överlämnat yttranden från den juridiska fakultetsnämnden och från den samhällsvetenskapliga fakulteten. Rektorsämbetet vid Uppsala universitet har överlämnat ett yttrande från den juridiska fakultetsstyrelsen vid universitetet. Rektors- ämbetet vid Lunds universitet har överlämnat ett yttrande från den juridiska fakultetsstyrelsen vid universitetet.

Riksarkivet har till sitt yttrande bifogat yttranden från samtliga lands- arkiv och stadsarkiven i Stockholm och Malmö.

Göteborgs kommun har bifogat en av folkpartiet i kommunstyrelsen avgiven skrivelse samt yttranden från-Göteborgs'servicenämnd, gruppen för integritetsfrågor inom dataområdet (GRIND) och stadsdelsnämnden Härlanda.

Sveriges Akademikers Centralorganisation har utöver sitt yttrande hänvisat till de yttranden som avgetts av DIK-förbundet, Sveriges Läkar- förbund och Sveriges Psykologförbund samt utan eget ställningstagande överlämnat ett yttrande från SACO-föreningen vid Datainspektionen.

Lagrådsremissens lagförslag

' 1 Förslag till lag om ändring i datalagen (19731289)

Härigenom föreskrivs i fråga om datalagen (19731289)1 deLr att 2 a, 6, 6 a, 12, 18, 20 och 25 åå skall ha följande lydelse, dels att det i lagen skall införas en ny paragraf, 19 å, och närmast före nya 19 å en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2aå

Tillstånd av Datainspektionen behövs inte för personregister

vars inrättande beslutas av riks- dagen eller regeringen. Innan sådant beslut fattas skall dock yttrande inhämtas från Data- inspeldionen i fråga om register som skall innehålla uppgifter som avses i 2 5 andra stycket.

Tillstånd av Datainspektionen behövs inte för personregister

]. vars inrättande beslutas av riksdagen eller regeringen,

2. som inrättas och förs i enlighet med fbresknji'er som beslutats med stöd av 19 &,

3. som har tagits emot för för- varing av en arkivmyndighet.

Tillstånd behövs inte heller för personregister som har tagits emot för förvaring av en arkivmyndig- het.

Utan hinder av 2 5 andra stycket 1 får

1. sammanslutningar inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sam- ' manslutningen,

2. myndigheter inom hälso- och sjukvården för vård- eller behand- lingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd [ övrigt,

3. myndigheter inom socialtjänsten inrätta och föra personregister som - innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten,

4. läkare och tandläkare inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet,

5 . arbetsgivare inrätta och föra personregister, som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbets- givaren skall kunna avgöra om han skall påbörja en rehabiliteringsutred-

41 lLagen omtryckt 19921446.

Bilaga 3

ning enligt 22 kap. 3 5 andra stycket lagen (1962:381) om allmän asf-

sakrirrg.

öå

Lämnas tillstånd till inrättande och förande av personregister, skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift om

Lämnas tillstånd till inrättande och förande av personregister, skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift för registret om

1. inhämtande av uppgifter för personregistret, 2. vilka personuppgifter som får ingå i personregistret, 3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen,

5. de bearbetningar av personuppgiftema i registret som får göras med automatisk databehandling,

6. underrättelse till berörda personer,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning av personuppgift, 9. bevarande och gallring av personuppgifter, 10. kontroll och säkerhet, 11. rättelse och andra åtgärder i fråga om oriktiga och missvisande

uppgifter.

Vid bedömandet av om föreskrift behövs skall särskilt beaktas huru- vida registret innehåller person- uppgift som utgör omdöme eller annan värderande upplysning om den registrerade.

Föreskrift rörande utlämnande av personuppgift får icke inskränka myndighets skyldigheter enligt tryckfrihetsförordningen.

Vid bedömandet av om föreskrift för ett visst register behövs skall särskilt beaktas huruvida registret innehåller personuppgift som utgör omdöme eller annan värderande upplysning om den registrerade.

Föreskrift för ett visst register rörande utlämnande av personupp- gift får inte inskränka en myndig- hets skyldigheter enligt tryckfri- hetsförordningen.

Bilaga 3

6aå

Bestämmelserna i 5 och 6 åå om skyldighet för Datainspektionen att meddela föreskrift gäller även i fråga om personregister som avses i 2 a 5 första stycket andra me- ningen, i den mån icke regeringen eller riksdagen har meddelat före- skrift i samma hänseende.

Bestämmelserna i 5 och 6 åå om skyldighet för Datainspektionen att meddela föreskrift för ett visst register gäller även i fråga om personregister som avses i 2 a 5 första stycket- 1, om registret skall innehålla uppgifter som avses i 2 & andra stycket och regeringen eller riksdagen inte har meddelat före- skrift i samma hänseende.

12 &

Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av besmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret.

Upphör en registeransvarig att föra ett personregister för vilket Datainspektionen har meddelat tillstånd, skall han anmäla detta till inspektionen. Detsamma gäller i fråga om sådant personregister som avses i 2 a 5 första stycket andra meningen.

Upphör en registeransvarig att föra ett personregister för vilket Datainspektionen har meddelat tillstånd, skall han anmäla detta till inspektionen. Detsamma gäller i fråga om sådant personregister som avses i 2 a & första stycket 1, om registret innehåller uppgifter som avses i 2 & andra stycket.

185

Har förandet av personregister lett till otillbörligt intrång i per- sonlig integritet eller finns an- ledning antaga att sådant intrång skall uppkomma, får Datainspek- tionen i mån av behov meddela föreskrift i sådant avseende som anges i 5 eller 6 5 eller ändra föreskrift som tidigare meddelats. I fråga om register som avses i 2 a 5 första stycket får Datainspek- tionen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riksdagen.

Har förandet av personregister lett till otillbörligt intrång i per- sonlig integritet eller finns an- ledning antaga att sådant intrång skall uppkomma, får Datainspek- tionen för ett visst register i mån av behov meddela föreskrift i sådant avseende som anges i 5 eller 6 5 eller ändra föreskrift som tidigare meddelats. I fråga om register som avses i 2 a & första stycket 1 får Datainspektionen vidta åtgärd som nu nämnts endast i den mån den ej står i strid med beslut av regeringen eller riksdagen.

Bilaga 3

Kan skydd "mot otillbörligt intrång i persoan integritet ej åstadkommas på annat sätt, får Datainspektionen förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket.

Kan skydd mot otillbörligt in— trång i personlig integritet inte åstadkommas på annat sätt, får Datainspektionen förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Detta gäller dock inte sådana register som avses i 2 a 5 första stycket 1 .

Föreskrift enligt första stycket och förbud enligt andra stycket får förenas med vite.

Bemyndiganden 19 &

Regeringen eller, efter rege— ringens bemyndigande, Data- inspektionen får i anslutning till denna lag meddela närmare före- sknfier för personregister som ofta förekommer inom en viss verk— samhet för ett visst ändamål.

20 5 Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet

1. inrättar eller för personregister utan licens eller tillstånd enligt denna lag, när detta erfordras,

18 5,

2. bryter mot föreskrift eller förbud som meddelats enligt 5, 6 eller

3. lämnar ut personuppgift i strid mot 11 5,

4. bryter mot 12 &,

5. lämnar osann uppgift vid fullgörande av skyldighet att lämna underrättelse enligt 10 5, eller

6. lämnar osann uppgift i fall som avses i 17 &.

5. lämnar osann uppgift vid full- görande- av skyldighet att lämna underrättelse enligt 10 &,

6. lämnar osann uppgift i fall som avses i 17 5, eller

7. bryter mot föreskrift som med- delats enligt 19 5.

Den som överträtt ett vitesföre- läggande enligt 18 & tredje stycket döms inte till ansvar för en gärning som omfattas av föreläggandet.

Bilaga 3

Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot 7 a 5 första eller tredje stycket.

Datainspektionens beslut enligt denna lag överklagas hos regering- en. Justitiekanslern får överklaga ett sådant beslut för att tillvarata allmänna intressen.

Om en myndighet som är regis- teransvarig avslår en begäran om underrättelse enligt 10 5, över- klagas beslutet på samma sätt som gäller ett beslut av myndigheten att avslå en begäran om utlämnande av allmän handling. Med myndighet jämställs därvid ett annat organ i den utsträckning som anges i 1 kap. 8 & sekretesslagen (1980:100).

25%;

Datainspektionens beslut enligt denna lag får överklagas till allmän förvaltningsdomstol. Justitie- kanslern får föra talan för att tillvarata allmänna intressen.

Om en myndighet som är regis- teransvarig avslår en begäran om underrättelse enligt 10 5, över- klagas beslutet på samma sätt som gäller ett beslut av myndigheten att avslå en begäran om utlämnande av allmän handling. Med myndighet jämställs därvid ett annat organ i den utsträckning som anges i 1 kap. 8 och 9 åå sekre- tesslagen (l980:100).

Prövningstillstånd krävs vid över- klagande av mål om viten till kam- marrätten.

1. Denna lag träder i kraft den 1 januari 1995. 2. Beslut som meddelats av Datainspektionen före ikraftträdandet över- klagas enligt äldre bestämmelser.

3. Hänvisningen i 25 5 andra stycket till 1 kap. 9 & sekretesslagen (l980:100) skall beträffande sådana aktiebolag i vilka kommuner eller landsting själva eller gemensamt innehar mindre än två tredjedelar av aktierna eller mindre än två tredjedelar av de med aktierna förenade rösterna och sådana ekonomiska föreningar i vilka det också änns andra medlemmar än kommuner eller landsting tillämpas från och med den 1 januari 1998.

2 Förslag till lag om ändring i förvaltningsprocesslagenProp. 1993/94:217 (1971 2291) Bilaga 3

Härigenom föreskrivs att 34 a och 35 åå förvaltningsprocesslagen (1971 :291) skall ha följande lydelse.

Lydelse enligt prop. 1993/94:133 Föreslagen lydelse

34 a å

I de fall det är särskilt föreskrivet I de fall det är särskilt föreskrivet får kammarrätten pröva ett över- får kammarrätten pröva ett över- klagande frän länsrätten endast om klagande från länsrätten endast om kammarrätten har meddelat pröv- kammarrätten har meddelat pröv- ningstillstånd. ningstillstånd. Sådant tillstånd behövs dock aldrig när talan förs av Riksdagens ombudsmän eller Justitiekanslern.

Prövningstillstånd meddelas om

1. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre rätt,

2. anledning förekommer till ändring i det slut vartill länsrätten kom- mit eller

3. det annars änns synnerliga skäl att pröva överklagandet. Meddelas inte prövningstillstånd, står länsrättens beslut fast. En upp— lysning om detta skall tas in i kammarrättens beslut.

35 å

Ett överklagande av kammarrättens beslut i ett mål som har väckts hos kammarrätten genom överklagande eller underställning prövas av Rege- ringsrätten endast om Regeringsrätten har meddelat prövningstillstånd.

Meddelas inte prövningstillstånd, står kammarrättens beslut fast. En upplysning om detta skall tas in i Regeringsrättens beslut.

Vad som sägs i första stycket gäller inte

1. talan som Riksdagens ombudsmän eller Justitiekanslern för i mål om disciplinansvar eller om återkallelse eller begränsning av behörighet att utöva yrke inom hälso- och sjukvården, tandvården eller detaljhandeln med läkemedel eller om återkallelse av behörighet att utöva veteri- näryrket,

2. talan som Justitiekanslern för 2. talan som Justitiekanslern för i mål enligt lagen (l990z484) om i mål enligt datalagen (1971-289) övervakningskameror m.m. eller lagen (1990:484) om över-

vakningskameror m.m.

46 Denna lag träder i kraft den 1 januari 1995 .

Lagrådets yttrande Prop. 1993/94:217

Närvarande: justitierådet Per Jermsten, justitierådet Lars Å Beckman, regeringsrådet Sigvard Holstad.

Enligt en lagrådsremiss den 24 mars 1994 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till

1. lag om ändring i datalagen (1973:289),

2. lag om ändring i förvaltningsprocesslagen (l971:291).

Förslagen har inför Lagrådet föredragits av kanslirådet Erik Göransson.

Lagrådet lämnar förslagen utan erinran.

J ustitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 14 april 1994

Närvarande: statsministem Bildt, ordförande, och statsråden B. Westerberg, Friggebo, Johansson, Laurén, Hörnlund, Olsson, Svensson, Thurdin, Hellsvik, Wibble, Björck, Davidson, Unckel, P. Westerberg, Ask

Föredragande: statsrådet Laurén

Regeringen beslutar proposition 1993/94:217 En reformerad datalag.

Rättsdatablad Prop. 1993/94:217

Författningsrubrik Bestämmelser som inför, Celemummer för bak- ändrar, upphäver eller omliggande EG—regler upprepar ett normgiv- ningsbemyndigande

Datalagen (1973:289) 19 å