SOU 1991:62

Vissa särskilda frågor beträffande integritetsskyddet på ADB-området : delbetänkande

Till statsrådet och chefen för justitie- departementet

Utredningen (Ju 1989102) om en översyn av datalagen tillsattes i maj 1989 med uppdrag att göra en översyn av datalagen (19731289) från såväl saklig som lagteknisk synpunkt.

Till särskild utredare förordnades lagmannen Ulf Arrfelt. Utredningen, som påbörjade sitt arbete i november 1989, har antagit namnet datalagsutredningen.

Sekreterare åt utredningen har varit hovrättsrådet Krister Thelin och hovrättsassessorn Bertil Persson.

I en första etapp i utredningsarbetet har utredningen övervägt vissa principiella utgångspunkter för en framtida datalag. Utred- ningens överväganden och förslag i denna del redovisades i betänkandet (SOU 1990:61) Skärpt tillsyn - huvuddrag i en reformerad datalag som överlämnades i september 1990. Betänkandet har remissbehandlats.

I en andra etapp har utredningen behandlat vissa frågor som rör integritetsskyddet i samband med personregistrering och automatisk databehandling inom områdena för forskning och statistik samt för massmediernas och arbetslivets del. Över- vägandena i denna del redovisades i april 1991 i betänkandet (SOU 1991 :21) Personregistrering inom arbetslivs—, forsknings- och massmedieområdena. Remissbehandlingen av detta be- tänkande har nyligen avslutats.

I en tredje etapp behandlar utredningen i det betänkande som nu överlämnas vissa särskilda frågor på integritetsområdet. Det gäller framför allt begreppen personregister och register- ansvarig, liksom frågor om straff och skadestånd samt fullföljd mot datainspektionens beslut. Avsikten är att förslagen - liksom arbetet i tidigare etapper - skall kunna utgöra en grund för det fortsatta arbetet.

Som experter i arbetet med föreliggande betänkande har med- verkat departementsrådet i justitiedepartementet Börje Alpsten, universitetslektorn vid juridiska institutionen vid Lunds universi-

tet Jan Evers, departementsrådet i civildepartementet Håkan Färm, chefsradmannen i Malmö tingsrätt Sigurd Heuman, direktören Gert Persson, postverket, hovrättsassessorn Björn Rosén, utbildningsdepartementet, hovrättsassessorn Carina Stävberg, justitiedepartementet, samt verksjuristen vid data- inspektionen Sten Wahlqvist.

Experterna Håkan Färm och Sten Wahlqvist har avgett särskilda yttranden. Yttrandena har tagits in i särskilda bilagor till betänkandet.

Utredningen fortsätter sitt arbete med att i en avslutande etapp utarbeta och redovisa ett förslag till en ny datalag. Detta arbete kommer att ske under parlamentarisk medverkan.

Malmö i september 1991

Ulf Arrfell

/Krister Thelin

Bertil Persson

Sammanfattning

Datalagsutredningen, som har till uppgift att göra en översyn av datalagen (19732289, omtryckt 1982z446) har i ett första betänkande (SOU 1990261) Skärpt tillsyn - huvuddrag i en reformerad datalag redovisat vissa principiella utgångspunkter för en framtida datalag. Utredningen föreslår bl.a. att det nuvarande tillståndsförfarandet slopas och att datainspektionen ges möjlighet att meddela bransch- eller sektorsföreskrifter som komplettering till de grundläggande bestämmelserna i datalagen. En viss anmälningsplikt skall dock finnas.

I en andra etapp i arbetet, som redovisas i betänkandet (SOU 1991:21) Personregistrering inom arbetslivs-, forsknings— och massmedieområdena, har utredningen behandlat frågor som rör personregistrering inom forskning och statistik, massmedier och arbetslivet. Utredningen redovisar de rekommendationer från Europarådet som finns på området och föreslår, när det gäller forskning och statistik, att informerat samtycke skall utgöra grunden för att registrering skall få ske. För arbetslivets del anser utredningen bl.a. att det är nödvändigt med särskilda bestämmelser i lag som tillvaratar den anställdes intresse när det gäller inrättande av personregister, utlämnande av uppgifter och den enskildes insyn. I fråga om massmedieområdet konstaterar utredningen att datalagen bör förtydligas för att ange att de grundlagsskyddade bestämmelserna inom yttrandefrihets- områdena skall tillämpas framför datalagstiftningen vid en konflikt dem emellan. I det andra betänkandet redogörs vidare för de förslag till EG-direktiv som föreligger på dataskydds- området. Dessa förslag får betydelse vid en eventuell anslutning av Sverige till EG. Slutligen behandlas i betänkandet behovet av samordning inom integritetsskyddsområdet, liksom vissa gallringsfrågor.

I en tredje etapp av arbetet, som redovisas i föreliggande betänkande, behandlar utredningen vissa särskilda integritets— skyddsfrågor. Det gäller närmast definition av begreppen

personregister och registeransvarig, frågor om utlandsöver- föring, straff och skadestånd samt fullföljd.

Persondatamängd och persondataansvarig

Utredningen diskuterar (avsnitt 3) ingående begreppen person- register och registeransvarig som är grundläggande för den nuvarande regleringen. Utredningens överväganden görs mot bakgrund av såväl Europarådskonventionens bestämmelser på dataskyddsområdet som förslaget till EG—direktiv, liksom de synpunkter som remissinstanserna har lämnat över utredningens första betänkande.

När det gäller begreppet personregister har utredningen funnit att den nuvarande bestämningen inte motsvarar de krav som den tekniska utvecklingen ställer. Utredningen förslår att person- register ersätts av begreppet persondatamängd, ett begrepp som bör bestämmas enbart med hänsyn till de tekniska möjligheter som ADB erbjuder utan hänsyn till en användares avsikter. Utredningen föreslår följande definition.

"En persondatamängd år en samling personuppgifter som hänförs till ett visst ändamål och som kan bli tillgängliga genom systema- tiska uttag, sökningar eller sammanställningar vid en automatisk databehandling. "

Undantag bör dock föreskrivas för personuppgifter som ingår i sådana upp g1ftssaml1ngar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial.

På motsvarande sätt bör den registeransvarige ersättas med persondataansvarig. Denne bör i anslutning till de förslag till EG-direktiv som föreligger bestämmas som den fysiska eller juridiska person som beslutar om användningsändamål, vilka slag av personuppgifter som skall lagras och vilka operationer som skall utföras med dem. Förslaget innebär en skärpning i kravet på förfogande i jämförelse med nuvarande ordning.

I samband med diskussionen om begreppet persondatamängd behandlar utredningen också frågan om avgränsning mot manuell bearbetning, liksom konsekvenserna för ett framtida tillsynssystem, sådant det skisserats i tidigare betänkanden. Särskilt redovisas de följder som begreppet får för sambe— arbetningsfallen ("samkörning") och rätten till insyn och under- rättelse m.m.

Förslagen bedöms få gynnsamma konsekvenser för data- inspektionens arbete och innebär påtagliga lättnader i för- hållande till de förslag som utredningen redovisat i det första betänkandet. Utredningen föreslår bl.a att den anmälningsplikt som framgent bör föreligga begränsas till att avse endast

känsliga personuppgifter. Det kan övervägas att ytterligare begränsa anmälningsskyldigheten till känsliga uppgifter inom de områden som inte kartlagts och detaljnormerats av datainspek- tionen. Utredningen har tidigare föreslagit en mera långtgående anmälningsplikt som ersättning för att tillståndskravet och förprövningen slopas.

Utlandsöverföring

I ett särskilt avsnitt (4) behandlas frågan om utlandsöverföring. Utredningen konstaterar att gränsöverskridande informations- hantering lämpligen bör lösas inom ramen för det internationella harmoniseringsarbetet. I avbidan på att detta ger resultat bör emellertid dataöverföring som rör persondatamängd ske först efter medgivande från datainspektionen, dvs. i enlighet med nuvarande ordning. Endast om överföringen sker till en stat som antingen har anslutit sig till den europeiska dataskyddskonven- tionen eller annars av regeringen bedöms ha en tillfredsställande nivå på sin integritetsskyddslagstiftning bör överföring fritt få tillåtas.

Straff och skadestånd

I avsnitt 5 redogör utredningen för de nuvarande bestämmelser- na och praxis rörande straff och skadestånd. Mot bakgrund av de undersökningar som utredningen har gjort kan konstateras att fallen av lagföring för brott mot datalagen är få. De ersättnings- belopp som kommer i fråga och som i de flesta fall utgått efter beslut av justitiekanslern är över lag mycket låga. Utredningen föreslår att straffen skärps och att ersättningsbeloppen för de integritetsintrång som kan komma i fråga höjs avsevärt.

Fullföljd mot datainspektionens beslut

Utredningen redovisar i ett avslutande avsnitt (6) frågan om fullföljd mot datainspektionens beslut. Utredningens över- väganden mynnar i denna del ut i att de beslut som rör statliga förvaltningsmyndigheter alltjämt bör kunna överklagas till regeringen. Beslut som rör övriga, dvs. enskilda, kommunala myndigheter, andra offentliga organ och domstolar, bör däremot kunna överklagas till domstol. Enligt utredningen talar över- vägande skäl för att dessa frågor bör prövas av kammarrätten med möjlighet att på sedvanligt sätt efter prövningstillstånd få saken prövad av regeringsrätten.

Utredningen kommer i en avslutande etapp, som skall genom- föras under parlamentarisk medverkan, att behandla frågan om utformningen av en ny datalag. Arbetet beräknas vara avslutat under nästa år.

1. Utredningsuppdraget och direktiven

Utredningens direktiv (Dir. 1989:26) innebär ett uppdrag att göra en såväl saklig som lagteknisk översyn av datalagen (1973z289, omtryckt 1982z446).

Arbetet, som inleddes i november 1989, har utredningen valt att utföra i etapper.

I den inledande etappen, som i september 1990 redovisades i delbetänkandet (SOU 1990:61) Skärpt tillsyn - huvuddrag i en reformerad datalag, diskuterade utredningen vissa principer för en ny datalag. Tyngdpunkten i det arbetet låg på en under- sökning av om det nuvarande systemet med tillståndsprövning och licens kunde ersättas med en ordning med ökad tillsyn för att på det sättet effektivisera integritetsskyddet. Vissa av datalagens grundbegrepp togs också upp till övervägande i det sammanhanget, nämligen otillbörligt intrång i personlig integritet, automatisk databehandling och personregister.

I en andra etapp, som redovisats i betänkandet (SOU 1991:21) Personregistrering inom arbetslivs-, forsknings— och massmedie— områdena, behandlade utredningen skilda frågor som rör ADB- registrering av personuppgifter inom vissa områden. Det gäller personregistrering inom området för forskning och statistik, inom massmedieområdet och personregistrering i anställnings- förhållande. Vidare diskuterade utredningen frågan om samord- ning med annan integritetsskyddslagstiftningoch gallringsfrågor. Utredningen redovisade också EG-kommissionens förslag till direktiv angående skydd för enskilda vid behandling av person— uppgifter.

Utredningens direktiv i nu beskrivna delar redovisas i anslutning till de olika frågorna. Direktiven i deras helhet finns intagna 1 SOU 1990:61. Utredningen har i tilläggsdirektiv (Dir. 1991:18) ålagts att utnyttja det underlag som presenterats i de båda betänkandena samt beakta de remissyttranden som avgetts.

#

Utredningen hade ursprungligen avsett att i en tredje etapp avsluta arbetet och redovisa förslag till en ny datalag. Arbetet i de tidigare etapperna och remissutfallet vad avser det första betänkandet har emellertid lett till att utredningen i den tredje etappen i stället valt att redovisa vissa särskilda frågor på integritetsskyddsområdet. Det gäller framför allt begreppen personregister och registeransvarig. Vidare behandlas i denna del frågor om straff och skadestånd, liksom fullföljdsfrågor.

Utredningen har i fråga om straff och skadestånd genomfört en enkätundersökning för att bestämma omfattningen av de fall som föranlett lagföring eller skadeståndstalan. Dessutom har en genomgång gjorts av justitiekanslerns praxis vad avser ersätt- ning för skada på dataskyddsområdet. Resultatet av under- sökningarna redovisas i avsnitt 5.2.2 resp. 5.3.2.

Arbetet kommer att fortsätta i en avslutande etapp, under parlamentarisk medverkan, med utformning av en ny datalag.

2. Datateknikens fortsatta utveckling m.m.

2.1. Inledning

Datatekniken och dess utveckling under de senaste åren har behandlats av utredningen dels i avsnitt 6 1 SOU 1990261, dels i avsnitt 6.3 i SOU l991:21.

Ett genomgående intryck av den fortsatta utvecklingen på dataområdet är att datorerna blivit mindre, billigare och mer effektiva. På arbetsplatserna har de enkla terminalerna och persondatorerna alltmer ersatts av kraftfulla arbetsstationer. Antalet personer som använder datorer har också fortsatt att öka kraftigt.

I detta avsnitt behandlas främst den fortsatta utvecklingen av de områden av datatekniken som kan komma att ha särskild betydelse för bedömningen av datalagens personregisterbegrepp. Detta gäller främst den ökande användningen av datorstödd ordbehandling och elektronisk post, men också utvecklingen av andra slag av meddelandeöverföring, t.ex. telefax, Electronic Data Interchange (EDI) och även vissa mobila system. Den optiska lagringsteknikens alltmer ökande betydelse behandlas också.

Inledningsvis skall dock nämnas de ändringar beträffande tillståndskravet för personregister som skedde som en följd av datalagstiftningskommitténs (DALK) översyn av datalagen och som trädde i kraft den 1 juli 1979.

2.2. Tidigare särbehandling av viss teknik

Personregister som fördes med användning av viss bestämd teknisk utrustning undantogs enligt tidigare bestämmelser från kravet på tillstånd. En förutsättning skulle vara att det med hänsyn till utrustningens art och utförandet av den automatiska databehandlingen samt registrets utformning i övrigt framstod som uppenbart att otillbörligt intrång i registrerads personliga integritet inte skulle uppkomma. Som exempel på sådan utrustning som borde komma i fråga nämndes skrivautomater och andra system för framställning av text och dokument (s.k. ordbehandling), datorutrustning för grafisk produktion, s.k. kontorsdatorer samt vissa datoriserade konferenssystem, s.k. telekonferenssystem. En förutsättning för att undantagsregeln skulle vara tillämplig på utrustning av detta slag angavs dock vara att databehandlingen skedde med hjälp av standardprogram eller andra program, som endast innebar begränsade bearbet- ningsmöjligheter. Om utrustningen i det enskilda fallet försetts med andra program eller kopplats till annan utrustning som möjliggjorde mera omfattande bearbetning, skulle undantags- regeln inte vara tillämplig (prop. 1978/79: 109 s 31). Undantags- regeln i datalagen togs bort den 1 juli 1982. Skälet till detta var att det ansågs olyckligt från principiell och praktisk synpunkt att den tekniska utrustningen ställdes i centrum. Avgörande vikt skulle i stället läggas vid ett personregisters omfattning och utnyttjande (prop. 1981/82:189 s. 38 ff). Se vidare SOU 1990:61 avsnitt 4.2 - 4.3.

2.3. Datorprogram

2.3.1. Allmänt

En närmare teknisk beskrivning av hur ett datorsystem är uppbyggt och fungerar har getts i upphovsrättsutredningens del— betänkande (SOU 1985 :5 1) Upphovsrätt och datateknik s. 29 ff. I detta sammanhang skall därför endast nämnas följande.

De delar av ett datorsystem som består av elektroniska komponenter, ledningar, plåt m.m. går ofta under den gemen- samma benämningen maskinvara ("hardware", "hårdvara"). Maskinvaran i en dator är generell och kan fås att bl.a. utföra bearbetning, datalagring och kommunikation av olika slag. Vad

den kommer att göra bestäms av instruktioner, som liksom data lagras i datorns inre och yttre minnen. En samling av sådana in- struktioner kallas för ett datorprogram.

Begreppet programvara ("software", "mjukvara") kan sägas omfatta såväl själva programmet (programinstruktionerna) som tillhörande dokumentation för användare och för personal som skall handha och sköta driften av programmet. Ibland innefattas i begreppet också t.ex. service och utbildning.

Anpassning och specialisering görs i programvaran, som är lättare att ändra eller byta ut än maskinvaran. De unika egenskaperna i ett datorsystem bestäms därför i hög grad av den programvara som datortillverkaren utvecklat eller som kunden kan köpa från fristående programtillverkare eller själv ut- vecklar.

Det finns i princip två huvudkategorier av datorprogram, systemprogram och applikationsprogram.

Systemprogram är oberoende av den tillämpning som dator- systemet skall utnyttjas för. En viktig kategori av system- program är operativsystemen som bl.a. förenklar ett antal ofta förekommande funktioner som t.ex. flyttningar mellan olika enheter i datorsystemet eller igångsättande av program och kontroll av att dessa program kan arbeta till synes parallellt, trots att datorn endast kan utföra en instruktion i taget. Antalet generella operativsystem på marknaden är starkt begränsat. Bland de mest använda operativsystemen för mindre datorer märks MS-DOS, PC-DOS, OS/2, Macintosh OS och UNIX.

Ett applikationsprogram är ett program som utför en bestämd uppgift. Programmen kan delas in efter sin funktion i olika områden. Det finns program som medför att användaren kan använda sin dator för ord- och textbehandling, dvs. man skriver in och redigerar sin text på en bildskärm i stället för på papper. Först när man är nöjd med texten skriver man ut den på skrivare. Fördelen jämfört med en vanlig skrivmaskin är att man enkelt kan ändra och justera texter utan att behöva skriva om allt. Man får dessutom tillgång till många funktioner som sökning av text, flyttning av större textblock, automatisk stavningskontroll och automatisk avstavning. Andra program används för kalkylering, administration (t.ex. order- och lagerhantering, fakturering och bokföring), datakommuni- kation, grafik och s.k. Computer Aided Design, CAD. Det finns även applikationsprogram som möjliggör s.k. Desktop Publishing (DTP), dvs. gör det möjligt för användaren att sammanställa en trycksak med utgångspunkt från material som behandlats i datorn — texter från ordbehandlingsprogram, ritningar från grafik— och CAD—program och bilder ritade med

ritprogram eller inlästa med bildläsare, s.k. scanner. Vissa applikationsprogram är registerhanteringsprogram som gör det möjligt för användaren att registrera, söka bland, sortera och skriva ut sorterade data. Några applikationsprogram är direkta hjälpprogram som på olika sätt förenklar användningen av datorn. Det finns också integrerade applikationsprogram som innehåller flera programdelar som löser separata uppgifter, men som ändå har förmågan att samverka med varandra. Exempelvis kan en kalkyldel av programmet samverka med en ordbehand— lingsdel och en grafikdel, så att ett brev kan innehålla siffer- material presenterat som diagram av olika slag.

2.3.2. Ordbehandlingsprogram m.m.

De flesta av de ordbehandlingsprogram som i dag finns på marknaden ger möjlighet till fri textsökning, dvs. även möjlig- het att i en text återsöka vissa namn eller liknande. Flera av programmen har bl.a. en funktion som möjliggör framställning av personligt utformade massbrev. Så är fallet med bl.a. de marknadsledande programmen WordPerfect och Microsoft Word.

Många av programmen har sådana egenskaper att användaren förutom ordbehandling även får tillgång till kalkylering, registerhantering, grafik, kommunikation och elektronisk post. Så är t.ex. fallet med ett annat stort program på marknaden, Framework. De flesta ordbehandlingsprogram ger även möjlighet att föra över data till och från andra registerhante- rings- och kalkylprogram.

På marknaden finns i dag ordbehandlings- och registerhante- ringsprogram som kostar från ca 300 kr och uppåt. Det finns även dylika program som tillhör det s.k. Public Domain— området, dvs. program som kan kopieras fritt och användas gratis eller för en obetydlig summa.

En s.k. skrivautomat är en slags dator som normalt endast kan utföra ord— och textbehandling. En persondator ger däremot som framgått ovan möjlighet att förutom ord— och textbehandling även utföra en mängd andra programrutiner som t.ex. bok- föring, reskontra och löner. Man har med en persondator också integrationsmöjligheter mellan olika applikationsprogram.

2.4. Kontorsinformationssystem (KI)

Utmärkande för kontorsinformationssystem (KI) är att dessa i regel innehåller olika typer av funktioner som ordbehandling, elektronisk post (ibland i kombination med ett konferens- system), s.k. skrivbordsfunktioner (almanacka, dagbok o.d.), kalkyleringsmöjlighet, arkivhantering, kompletterande register— program, databashanterare och s.k. fria textsökningssystem m.m. I de flesta kontorsinformationssystem finns också möjlig- heter till gemensamma arkiv. Dessa består av ett fritext- sökningssystem som kan kopplas samman med diarie- och ärendehanteringssystem och arkiveringssystem.

De olika funktionerna är integrerade i kontorsinformations- systemet, dvs. de fungerar tillsammans under en gemensam "meny" med en rad "undermenyer". Detta innebär att man från vilken del av systemet som helst kan hämta information och återanvända eller bearbeta den. Så kan man t.ex. via ord- behandlingsfunktionen ta sig till kalkyleringsfunktionen och där göra vissa bearbetningar, som man sedan kan lägga in i det dokument som man arbetar med i ordbehandlingsfunktionen.

2.5. Datakommunikation

2.5.1. Lokala datanät m.m.

I Sverige levererades år 1989 enligt uppgift 95 000 arbets- stationer med lokala datanät (Local Area Networks, LAN), dvs. lokalt uppkopplade nät för överföring av information mellan datorer. Motsvarande siffra för år 1992 beräknas till 175 000. Trenden är att dessa lokala nät kommer att integreras till enorma persondatanät med tusentals användare i olika städer. De lokala näten har hittills huvudsakligen bestått av koppar- kablar trots att fiberbaserade lokala nätverk har visat sig överlägsna i ett flertal hänseenden. Fiberkablar är immuna mot störande elektriska impulser och det är enklare att upprätthålla fullgod sekretess med sådana kablar än kopparkablar. Med optisk överföring går det dessutom att bygga nätverk som sträcker sig över större geografiska områden. Fiberkablar tar också mindre plats än kopparledningar. Priset på fiberkablar har emellertid tidigare varit så högt att det avskräckt från satsningar på fiberkablar. Det har inte heller funnits en klart definierad

standard för fibernätet. Det finns emellertid nu en standard för fibertekniken, den s.k. FDDI-standarden (Fiber Distributed Data Interface). Detta har medfört att utbudet av fiberprodukter har börjat öka. En kraftig sänkning av priset beräknas också ske inom den närmaste tiden, möjligen en halvering av priset på mindre än två år.

Televerket har redan idag ett omfattande fiberoptiskt nät i drift. Dessutom har banverket tillsammans med teleföretaget Tele2 beslutat att bygga ett kabelnät av optofiber som avses bli nästan rikstäckande. Nätet skall år 1992 gå parallellt med stambanorna Stockholm Göteborg — Malmö och kanske så småningom byggas ut till Norrlands kustland och inland. Vidare har elva europeiska järnvägsbolag, däribland SJ, planer på att bygga upp ett internt nätverk i Europa för dataöverföring. Avsikten är att dra fiberoptiska kablar längs järnvägsspåren och därigenom förbinda viktiga storstäder i hela Europa. En förutsättning är dock att den europeiska telemarknaden öppnas för konkurrens, vilket beräknas ske tidigast år 1992.

I detta sammanhang bör också nämnas att införandet av ISDN (se vidare SOU 1990:61 s. 81) medför att man i framtiden kommer att kunna överföra tal, text och bild över samma förbindelse i telefonnätet. Det kommer även att bli möjligt att koppla in persondatorer på ISDN—nätet och använda nätet som ett lokalt nät oberoende av avståndet. ISDN—nätet beräknas att vara fullt operativt i Sverige år 1992. Televerket räknar med att hälften av landets större företag redan då kommer att använda ISDN.

2.5.2. Elektronisk post

De elektroniska postsystemen har som framgår av avsnitt 6.2.1 i SOU 1990:61 utvecklats kraftigt under den senare delen av 1980-talet och många företag använder sig i dag av intern elektronisk post. Den internationella standardiseringen har fortsatt och möjligheten att låta olika system för elektronisk post kommunicera med varandra har ökat markant. Det beräknas att antalet elektroniska "brevlådor" i Europa kommer att öka med ca 45 procent per år fram till år 1993. Tekniken tillåter i dag överföring av texter, brev och framöver även bilder mellan olika datorer. En del system kan endast användas inom ett lokalt datanät, andra kopplar samman stordatorer med varandra och omfattar hela världen.

Elektronisk post innebär att text som kan skapas med hjälp av ord- och textbehandling skickas till önskade mottagare via ett datanät där meddelandet motsvarar ett "brev". Meddelandena

kan utväxlas externt eller internt. De brukare som använder intern elektronisk post utnyttjar befintliga terminaler och persondatorer och kan därigenom kommunicera med varandra via en gemensam dator. Varje användare har sin personliga "elektroniska brevlåda" i den gemensamma datorn. Det finns också möjlighet att utvidga systemet så att användarna kan delta i datakonferenser genom att systemet får en gemensam "brev- låda" för flera användare. Detta ger användarna möjligheter att kommunicera med varandra oberoende av tid och rum. Elektro— nisk post kan också ingå som en funktion i ett kontorsinforma- tionssystem (se avsnitt 2.4 ovan). I Videotex (se avsnitt 6.2.2 i SOU 1990:61) finns också tillgång till elektronisk post.

Med de flesta varianter av elektronisk post kan användaren samtidigt skicka samma text till flera mottagare, kontrollera om mottagaren har tagit del av den översända texten, i datorn arkivera de texter man vill spara, ha en egen "brevlåda" på den centrala datorns skivminne där inkomna texter lagras, om man inte omedelbart kan läsa det inkommande meddelandet, samt ha en egen behörighetskod som hindrar obehöriga att få tillgång till "brevlådan". En del elektroniska postsystem har som nämnts särskilda funktioner för att också stödja gruppkommunikation. I dessa s.k. datakonferenssystem kan avsändaren adressera ett skrivet meddelande som ett inlägg till ett elektroniskt möte eller konferens, i vilket ett flertal personer kan vara deltagare. Det finns även s.k. Bulletin Board Systems, BBS, mot vilka man kan koppla upp sig för att ställa frågor, delta i erfarenhetsutbyte eller hämta programfiler.

2.5.3. Vissa andra meddelandesystem

Den intensiva utvecklingen av nya tekniker för överföring av textmeddelanden har fortsatt. Här skall endast behandlas den fortsatta utvecklingen av telefax, EDI och olika personsökar- system. Slutligen redogörs i detta avsnitt kortfattat för Tele- guide-projektet "Malmö Direkt", som under senare delen av år 1991 inleds i Malmö. Se i övrigt avsnitt 6.2.1 i SOU 1990:61.

Telefax

Telefax konkurrerar både i Sverige och internationellt med telefon, vanlig post och olika former av elektronisk post. Telefaxspridningen har fortsatt så att i praktiken alla företag och förvaltningar i dag kan nås med telefaxmeddelanden.

Hittills har det vanligaste sättet att utnyttja telefaxtekniken varit att sända ett pappersdokument i en speciell utrustning

ansluten till telefonnätet, omvandla det till elektronisk infor- mation och, i en annan utrustning, få ut en kopia av dokumentet på ett papper. För att i datorsammanhang ytterligare öka effektiviteten och minska kostnaderna har s.k. telefaxkort till datorer börjat komma ut på marknaden. Fördelarna med dessa är att man direkt från exempelvis en persondator med ett ordbehandlingsprogram, utan att behöva skriva ut en pappers- kopia, kan skicka ett dokument till en eller flera användare. Även mottagning av dokument kan ske direkt i datorn. Man kan sedan läsa dokumentet på bildskärmen. Det finns datorprogram som kan omvandla mottagen telefaxinformation till textformat.

Telefaxtekniken behandlas i en teknisk rapport utgiven av datainspektionen i augusti 1991. I rapporten, ADB-säkerhet för personuppgifter vid telefaxöverföring, redovisas inspektionens syn på säkerheten vid telefaxanvändning.

EDI

Electronic Data Interchange (EDI) är en metod för att överföra dokument, främst affärsdokument mellan datorer. Tillämp- ningen av EDI utmärks av att data som utbyts är formaliserade och strukturerade enligt någon EDI-standard, att datautbytet mellan datasystemen sker automatiskt och utan mellanliggande manuell hantering samt att datautbytet sker mellan datasystem i olika organisationer och i olika datamiljöer. EDI avviker från elektronisk post genom att meddelandet innehåller formaliserad och strukturerad information. Dessutom innebär EDI en kommunikation mellan datasystem till skillnad från elektronisk post som är en kommunikation mellan enskilda användare. Den information som överförs med EDI är direkt bearbetningsbar i datasystemen.

Metoden har använts i USA i över 20 år, men fick sitt in— ternationella genombrott först år 1986 då Västeuropa och USA slog samman sina två standarder till en internationell sådan kallad EDIFACT (Electronic Data Interchange For Admini- stration, Commerce and Transport). Sedan FN sanktionerat denna standard har den nu det officiella namnet UN/EDIFACT. Denna standard har förutom i USA och Västeuropa nu även vunnit stöd i Australien och Japan.

Inom nationella och internationella organ, liksom inom olika branschföreningar, pågår sedan några år tillbaka ett intensivt arbete med EDI—standardisering av olika slags handelsinforma- tion. Bland annat driver EG och EFTA ett gemensamt projekt, TEDIS (I rade Electronic Data Interchange Systems), med uppgift att koordinera och främja spridningen av EDI. I Sverige

har bilindustrin kommit längst med sitt EDI-projekt kallat ODE'ITE (Organisation for Data Exchange by Tele Trans— mission in Europe), som skapat standarder för informations— överföring avseende leveransplanering, streckkodsmärkning, fakturering etc. ODETTE är anpassat till EDIFACT-standarden. Utveckling pågår av fler än 60 EDIFACT—meddelanden och ca 30 av dessa kommer troligen att kunna börja användas under år 1991. Allt fler branscher kommer därför att kunna administrera sina affärsförbindelser genom sina undervarianter av EDIFACT.

Enligt vissa uppskattningar kommer EDI att användas för en väsentlig del av Sveriges varuflöde år 1995. I vissa branscher kan det komma att gälla för mer än hälften av varuflödet, t.ex. i bilindustrin, medan det tar längre tid innan andra branscher när så långt. Vissa statliga myndigheter, t.ex. tullen, och ett antal stora branscher, t.ex. bilindustrin, byggindustrin, trans- portbranschen och bankerna räknar med en snabb spridning för EDI. I slutet av 1990—talet beräknas EDI ha nått en mycket bred användning. Huvuddelen av penningflödet i Sverige beräknas t.ex. då ske med EDI. Vidare räknar tullen med att 80 procent av alla tullärenden sker med hjälp av EDI år 1995 . Se vidare en i maj 1990 utgiven rapport, EDI för miljoner (T ELDOK Rapport nr 56, 1990).

Det nya svenska s.k. tulldatasystemet (TDS) medger att export- och importhandlingar tas emot och behandlas med hjälp av EDI. TDS avses hantera klarering av import-, export-, och transitärenden samt debitering. I tullagen (1987: 1065) infördes den 1 juli 1990 en särskild bestämmelse om de närmare kriterierna för elektroniska meddelanden, där definierade som "elektroniska dokument" (12 a 5). Med ett sådant dokument avses enligt bestämmelsen en upptagning vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande. Kommunikationen sker i form av meddelanden enligt EDI- FACT-standard. Näringsidkaren skall när han upprättar ett elektroniskt meddelande avsett för tullen förse detta med ett unikt identifieringsnummer ("tullid") ur en alfanumerisk serie som han tilldelats av tullen. När meddelandet överförs till TDS skapas ett kvittensmeddelande som sänds tillbaka till avsändaren medan överföringen (filen) vidarebefordras till tullverkets centraldator i Luleå. Där sker en automatisk teknisk och innehållsmässig granskning av de meddelanden som ingår i filen. Därefter skickas för vart och ett av dessa meddelanden ett standardiserat svarsmeddelande tillbaka till avsändaren med uppgift att meddelandet antingen är korrekt eller innehåller något fel som bör rättas till. När en näringsidkare vill göra en rättelse avseende en uppgift som han tidigare lämnat i ett ärende

kan han inte göra ändringen i det tidigare lämnade meddelandet. I stället måste han sända ett nytt kompletterande meddelande som kommer att lagras i samma fil som det ursprungliga med— delandet tillsammans med alla andra meddelanden som rör samma ärende. Uppgifterna kan därför sökas med samma "tullid". Till centraldatorn i Luleå knyts 16 lokalt placerade datorer på olika tullorter inom landet. I dessa datorer lagras och bearbetas de lokalt handlagda tullärendena. I sin tur kommer lokaldatorerna att anslutas till totalt ca 1 000 bildskärms- terminaler och ca 400 skrivare. I tullagen har införts en bestämmelse om att ett elektroniskt dokument skall anses vara inkommet till en tullmyndighet när det blivit tillgängligt för myndigheten för överföring till sådan form att det kan läsas (12 b 5). Se prop. 1989/90:40, SkU 19, rskr. 188, SFS 1990:138. En närmare redogörelse för tulldatasystemets upp- byggnad och användning finns i en av generaltullstyrelsen i september 1990 utgiven skrift, TDS - En sammanfattning.

För att studera förutsättningarna för och användbarheten av EDI i offentlig förvaltning samt möjligheterna till samverkan på detta område bildades år 1990 ett samarbetsprojekt för EDI mellan statskontoret, televerket, landstingsförbundet och kommunförbundet. Som ett resultat av denna samverkan har statskontoret nyligen publicerat en rapport (199lz3), EDI i offentlig förvaltning. I rapporten pekas bl.a. på möjligheterna att använda EDI för att administrera arbetsgivarens rapport— eringsskyldigheti ett framtida sjuklönessystem. Sjukanmälnings— blanketter skulle enligt rapporten t.ex. kunna ersättas av EDI- dokument.

Mobila system för meddelandeöverföring

Mobitex, som är ett system för mobil data— och textöverföring, har funnits i Sverige sedan år 1986. Mobitexnätet, som sköts av Televerket Radio, består av ett antal basradiostationer som kommunicerar med mobila terminaler. Textmeddelanden kan sändas mellan användare som har textfunktion på sina termina— ler. Meddelanden kan vara på högst 512 tecken, varför längre texter måste skickas uppdelade som många korta. Systemet ger uppgift huruvida meddelanden har kommit fram eller inte. Inom ramen för systemet finns även möjlighet för viss kompletterande talöverföring. Om man för tillfället inte kan ta emot med- delanden, kan dessa lagras i en "brevlåda". Mobitex används i dag bl.a. för kommunikation mellan polisbilar och befintliga datorsystem, sjukhus och ambulanser, vid budservice och i övrigt inom transportsektorn.

Möjligheten att lagra personuppgifter i de olika personsökar- system som finns på den svenska marknaden är än så länge begränsad och de uppgifter som förekommer är oftast av mindre känslig art, huvudsakligen namn och telefonnummer. Trots detta förtjänar dock några av systemen att nämnas.

Ett rikstäckande personsökningssystem, MBS, har varit i drift i drygt tio år. MBS-mottagaren är en liten avancerad FM- mottagare som automatiskt ställer in sig på rätt FM-sändare. Den har bl.a. minnesfunktion för lagring av flera sökningar. Då någon ringer upp en MBS går sökningen från telefonen till en MBS—växel, som sänder sökningen vidare till FM-näten. Signalen når MBS—mottagaren, som avger en ljudsignal och i sitt teckenfönster visar den uppringandes telefonnummer. Det är inte bara den sökandes telefonnummer som kan sändas till en MBS-mottagare utan även kodnummer. Det är möjligt att nå flera mottagare samtidigt genom ett enda söknummer. MBS är Sveriges enda rikstäckande system för personsökning. Tele- verket Radio har byggt upp MBS-systemet och svarar för dess funktion och underhåll.

År 1985 startade ett system med tonsignalering för mera regionala behov, Minicall. Systemet är landsomfattande och täcker Sveriges tätorter och industricentra. I april 1988 komplet- terades Minicall med möjlighet att sända textmeddelanden.

Minicall Ton är en personsökare som avger upp till fyra olika tonsignaler, när någon ringer till den från en vanlig telefon. Varje tonsignal aktiveras genom ett eget telefonnummer och har en egen, i förväg överenskommen betydelse. En av signalerna kan kopplas till den "textbrevlåda" som finns i Minicall— systemet. En annan signal kan kopplas till "röstbrevlådan" i mobiltelefonsystemet NMT.

Minicall Text är en personsökare som tar emot textmed- delanden på upp till 400 tecken. Meddelandet tas fram i ett teckenfönster. Utsändning av meddelanden kan ske t.ex. från en persondator med modern, från en terminal ansluten till en företagsdator eller från en videotexterminal. Minicall Text kan också användas för tonsökning och kan då sammankopplas med Mobilsvar. Varje gång ett meddelande lämnas i Mobilsvar avger personsökaren en signal. Mottagaren kan lagra flera med- delanden samtidigt.

De som har en Minicall personsökare, för ton eller text, kan även abonnera på en egen "brevlåda" för lagring av text— meddelanden. I sådant fall lagras alla utsända meddelanden i systemet under 72 timmar och förses med ett löpnummer. Ett meddelande kan sedan hämtas ur "brevlådan", som är en "textbrevlåda", och återutsändas. För att kunna hämta med-

delanden krävs tillgång till en terminal eller persondator e.d. Vid hämtning av meddelande anges lösenord, som bestäms av den som har mottagaren, mottagarens nummer samt med- delandets nummer. Det går också att hämta bara det sist inkomna? meddelandet. Meddelandet visas sedan i helhet på bildskärmen tillsammans med tidpunkt för utsändning. "Brev- lådan” kan även användas för lagring av textmeddelanden även om man bara har en tonmottagare. En tonsökning sker när ett textmeddelande har matats in i Minicall—systemet och lagrats i "brevlådan". Innehavaren av mottagaren kan sedan hämta meddelandet ur "brevlådan". Inmatning och hämtning av textmeddelanden som är adresserade till en tonmottagare sker på samma sätt som vid vanliga textsökningar.

Teleguide—projektet "Malmö Direkt"

Under hösten 1991 inleddes i Malmö en verksamhet som har till mål att sprida s.k. TeleGuide-terminaler till hushållen i staden. Projektet, kallat "Malmö Direkt", bedrivs av televerket i samarbete med IBM, Esselte och Malmö stad. Avsikten är att alla hushåll i Malmö som har ett telefonabonnemang skall få möjlighet att hyra en TeleGuide-terminal. Med hjälp av denna terminal, som kommer att vara ansluten till videotexnätet (se SOU 1990:61 s 84 f), skall användaren till en början dels kunna få viss lokal information (exempelvis upplysning om kommunala öppettider, traffiktider, lokala evenemang, viss miljöinformation etc.), kunna utföra vissa banktjänster, göra beställningar av vissa varor (bl.a. matbeställningar inom den kommunala hemtjänstens ram), samt även erhålla viss sjukvårdsupplysning för "egenvård", dels kunna få del av den information som finns tillgänglig i det allmänna videotexnätet. Avsikten är att succes- sivt bygga ut systemet till att omfatta flera användningsom- råden, t.ex. bostadsinformation med byggplaner, taxeinforma- tion, biblioteksservice, platsannonser, konsumentrådgivning samt kommunala beslut och handlingar. De olika elektroniska tjänster som det finns tillgång till i Videotex, t.ex. telex, telefax och elektronisk post kommer också att vara tillgängliga för dem som hyr en TeleGuide—terminal inom projektets ram. Den månatliga hyreskostnaden för en terminal är 75 kr. Därutöver tillkommer, förutom avgiften för telenätsanvändningen, en särskild användaravgift om 1 kr 15 öre per minut. Vissa användare, bl.a. sådana personer som använder sig av kom- munens hemvårdstjänster, kommer dock att vara befriade från dessa avgifter. Den som hyr en terminal kommer att, förutom själva terminalen, även erhålla ett s.k. "Smart Card" (se SOU

1990:61 s 87). Detta kort som är personligt och försett med en särskild identifikationskod måste användas då man loggar in i systemet. För att kunna utnyttja en TeleGuide—terminal krävs att man har loggat in med hjälp av sitt personliga kort. En av idéerna bakom projektet är att minska Malmö stads admini- strativa kostnader. Så är det t.ex. avsikten att användarna av systemet i framtiden både skall kunna erhålla och betala räkningar avseende kommunala tjänster på elektronisk väg. Målsättningen är att inom en sexårsperiod hälften av alla hushåll i Malmö skall ha en egen TeleGuide-terminal.

2.5.4. Statliga myndigheters telekommunikationer (STATTEL)

Regeringen uppdrog i juli 1988 åt statskontoret att utreda de statliga myndigheternas datakommunikation i framtiden. Statskontoret skulle därvid göra en fördjupad studie av stats- förvaltningens nuvarande och förväntade behov av datakom- munikationstjänster samt en bedömning av vilka kommunika- tionslösningar som mest kostnadseffektivt tillgodoser behoven.

Statskontoret redovisade uppdraget till regeringen i en rapport STATNÄT Datakommunikation för statsförvaltningen (1990: 17). Statskontoret lämnade däri förslag till en telekommu- nikationsstrategi och handlingsplan samt begärde ett uppdrag att fullfölja upphandlingsarbetet av kommunikationstjänster på det sätt som föreslagits i rapporten.

Regeringen beslutade den 25 april 1991 att en särskild delega— tion för att effektivisera myndigheternas telekommunikationer (STATTEL-delegationen) skulle inrättas. Delegationen skall enligt direktiven (Dir. 199lz29) - utforma krav på de gemensamma teletjänster som bör an- vändas av myndigheterna under 90-talet, — ange vilka standarder som bör användas i statsförvaltningens telekommunikation efter samråd med statskontoret, - anskaffa och teckna avtal om olika teletjänster efter samråd med statskontoret, - verka för en bred användning av teletjänsterna och redovisa de olika teletjänsternas effekter, ekonomiska och andra, för statsförvaltningen som helhet och för enskilda myndigheter.

Arbetet skall omfatta telefoni mellan statliga myndigheter, statliga myndigheters telefonservice åt allmänheten, telefax- kommunikation, datakommunikationstjänster, t.ex. överföring av transaktioner, filer och dokument, överföring av med- delanden mellan datorer (Electronic Data Interchange), elektro-

nisk post, informationshämtning från databaser, och video- kommunikation.

Delegationen skall ha slutfört sitt arbete före utgången av år 1994.

2.5.5. Den fortsatta utvecklingen av databastekniken

I utredningens första delbetänkande SOU 1990:61 behandlades databaser främst i avsnitt 6.2.2.

Under det gångna året har de publika databaserna fortsatt att öka i antal samtidigt som användarna av dessa blivit allt fler. Kostnaden för databassökning har därför kommit att utgöra en alltmer betydande kostnad för alltfler datoranvändare. Ut- bredningen av CD-ROM-tekniken (se avsnitt 2.6) kan dock komma att innebära en minskning av databassökning on-line.

De områden som täcks av olika slags databaser har också blivit alltmer omfattande. Hittills har det dock huvudsakligen varit fråga om databaser med olika slags textinformation. Sedan en tid tillbaka pågår emellertid uppbyggnaden av en omfattande bilddatabas i Sverige.

Bildarkivet i Kiruna AB (Bildarkivet) har i samarbete med posten och med stöd från Utvecklingsfonden i Norrbotten påbörjat ett arbete med att lagra bilder från ett antal i landet verksamma fotografer och bildbyråer. Bilderna läses in och lagras digitalt tillsammans med uppgifter om motiv, fotograf, bildbyrå samt andra sökbegrepp. I slutet av år 1991 beräknas ca 400 000 bilder ha blivit inlästa och lagrade i denna bilddatabas. Bolaget räknar med att år 1994 ha mellan fyra och fem miljoner bilder lagrade i sin bilddatabas.

Bildarkivets bilddatabas, som huvudsakligen riktar sig till bildbyråer, reklambyråer och tidningar, beräknas vara i full drift vid årsskiftet 1991/92. Redan i dag finns dock ett antal bild- och reklambyråer anslutna till systemet. För att kunna nå databasen krävs i princip endast att man har tillgång till antingen en Macintoshdator eller en persondator samt ett modem. Därutöver kan datorn behöva kompletteras med särskild programvara, färgskärm med tillhörande grafikkort samt ett speciellt kort som dekomprimerar bildinformationen.

Den som vill söka i bilddatabasen ringer medelst datorns modem upp bilddatabasen och etablerar kontakt. Med hjälp av en särskild meny kan användaren specificera vilken typ av bild som han eller hon önskar. Det finns som nämnts ovan olika sökbegrepp inlagrade med varje bild. Ett sökbegrepp kan t.ex. vara en specifik bildbyrå eller fotograf. Ett annat kan vara begrepp som djur, natur, människa, ålder osv. Vid varje tillfälle

får användaren uppgift om hur många bilder det finns som uppfyller villkoren. Han eller hon får samtidigt upp 12 s.k. påsiktsbilder på sin datorskärm. Dessa bilder är av tillräcklig god kvalitet för att användaren skall kunna avgöra om bilden är intressant. Det tar mindre än en sekund att överföra en sådan bild från databasen till skärmen. Det är möjligt att "bläddra" igenom bilderna, förstora intressanta bilder, låta intressanta bilder bli kvar på skärmen eller lagra dem lokalt i sin dator. När användaren har bestämt sig för de bilder som önskas skickar han eller hon en beställning till Bildarkivet via menyn. Från Bildarkivet kan bilden sändas direkt till användarens dator medelst telenätet eller också beställningen vidarebefordras till fotografen eller bildbyrån som i sin tur kan skicka en kopia av bilden med post eller på annat sätt.

Priset för att ansluta sig till Bildarkivet i Kiruna ABs bilddata- bas beräknas komma att ligga kring 2 000 kr per månad. Till detta kommer en särskild sökavgift. Det planeras också ett antal allmänna sökterminaler från vilka enstaka kunder skall kunna beställa bilder. Tanken är att dessa ska finnas vid en butikskedja inom kontorsmaterielbranschen.

2.6. Optiska lagringsmedia

Den optiska lagringstekniken, och då speciellt CD-ROM- tekniken, har fortsatt att breda ut sig med en alltmer ökande hastighet. CD-ROM (Compact Disc Read Only Memory) har, sedan den introducerades på marknaden år 1985, utvecklats till en accepterad metod för lagring av information och är nu standardiserad i nästan hela världen. Den är numera också svensk standard. CD—ROM-tekniken kommer inom de närmaste åren med all sannolikhet att revolutionera all informations- spridning. Optiska lagringsmedia, och däribland CD—ROM- tekniken, har utredningen tidigare behandlat i avsnitt 6.3 i SOU 1990:61.

En CD-ROM-skiva kan användas för att lagra text, bild och ljud, vilka alla tre möjligheter kan användas samtidigt. På en enda CD-ROM-skiva kan t.ex. rymmas upp till 550 megabytes, motsvarande ca 270 000 fullskrivna A4-sidor. Det går snabbt att söka och läsa på en CD-ROM—skiva, men man kan inte skriva information på skivan. Tiden att få fram information (åtkomst— tiden) varierar mellan 0,4 och 1 sekund. För att läsa av informationen på en CD-ROM-skiva krävs det en särskild CD— ROM-spelare med laser, som kan anslutas till en persondator.

Sökningen av informationen sker med hjälp av ett sökprogram som temporärt lagras i datorn så länge en viss skiva används. Till varje CD—ROM—skiva hör ett sådant sökprogram och detta kan antingen finnas lagrat på skivan själv eller på en diskett, som följer med skivan. Sökprogrammen kan vara olika för olika CD-ROM—skivor. Sökningen sker oftast med hjälp av sök- menyer och kan vara fritextsökning eller strukturerad sökning. Åtkomsten till lagrad data sker alltså normalt via viss inkluderad programvara. Vid sidan av detta sökprogram finns inga generella tekniska hinder för att med hjälp av andra system eller program söka och läsa bland lagrad data. Möjligheterna att genomföra detta beror helt och hållet på hur lagrad data är skyddade. Det är fullt praktiskt genomförbart att ha krypterade CD-ROM-skivor och i dag förekommer både okrypterade och krypterade skivor. Den praktiska nyttan av att genomföra fritextsökningar vid sidan av ordinarie sökprogram får anses vara begränsad. Den stora lagringskapaciteten medför nämligen att det åtgår lång tid för genomsökning av en CD-ROM—skiva. Det tar ca 80 minuter för att söka genom en full CD-ROM- skiva.

Möjligheterna att överföra data från CD-ROM-skivor till andra lagringsmedia är även dessa beroende av hur uppgifterna är skyddade och om eventuellt en sådan överföring understöds från rutiner i medföljande programvara. I sin enklaste form sker överföring genom kopiering av filer från CD-ROM-skivan till annat lagringsmedia. Dessa filer kan ibland vara direkt läsbara i s.k. ASCII-kod, men detta är snarare undantag än regel.

CD-ROM har visat sig vara ett idealiskt medium för term— banker, ordböcker och andra typer av faktaverk. Användarens fördelar ligger främst i att det går snabbare och enklare att söka på en CD—ROM-skiva, att en sådan skiva kan rymma en oerhörd mängd data och att det är ett behändigt format till ett relativt lågt pris. Säkerheten vid läsning från en CD-ROM-skiva är också mycket hög. Det är också mer ekonomiskt fördelaktigt att använda sig av informationen på en CD-ROM-skiva än att söka i en databas som endast nås via telenätet och som det är dyrt att söka i on—line. CD—ROM-skivor har även betydligt längre hållbarhet än disketter och hårddiskar och är avsevärt slitstarkare.

Det har visat sig vara mycket billigare och enklare att sprida stora informationsmängder lagrade på CD-ROM-skiva än på annat sätt. För det första är det enkelt och billigt att skriva in informationen på skivan. Skillnaden mot inskrivning på magnetskiva eller band är ofta betydande. Med hjälp av en slags bildinläsare, s.k. scanner, är det i dag möjligt att på ett snabbt

och förhållandevis enkelt sätt läsa in stora textmassor på bl.a. optiska lagringsmedia. Detta gör att man lätt och billigt kan komma ut med skivor ofta, t.ex. en gång i veckan. Tillverk- ningskostnaden för en CD—ROM—skiva uppgår för närvarande till mellan 10 och 15 kr. För det andra är skivan liten och lätt och därför billig att distribuera. För det tredje krävs inga stora och dyrbara datorer för att läsa en CD—ROM-skiva. Den kan, som tidigare har nämnts, läsas via en särskild CD-ROM-spelare som kan anslutas till en persondator.

CD-ROM-tekniken har alltså givit persondatoranvändare en snabb och billig tillgång till mycket stora informationsmängder av alla slag. Mediet lämpar sig särskilt för stora informations- mängder av statisk karaktär som dessutom skall distribueras till många mottagare. Produktion av CD-ROM—skivor sker med hjälp av särskild teknik som kräver kunskap och utrustning. I Sverige finns det för närvarande två företag som tillverkar CD- ROM—skivor.

Utbudet av CD—ROM-skivor och CD-ROM-spelare har också ökat samtidigt som priserna på dessa har börjat sjunka på ett markant sätt.

Det fanns år 1985 endast några tusen CD-ROM-spelare i världen. År 1987 hade siffran stigit till omkring 100 000, huvudsakligen i USA. Enligt en beräkning var antalet sådana apparater i världen tre år senare ca en halv miljon. Antalet CD- ROM-spelare i Sverige uppskattas år 1987 ha uppgått till ca 800. Enligt en bedömning kommer antalet sådana spelare i landet år 1992 att vara drygt 26 000. Priset på CD-ROM— spelare har i stort sätt halverats på något år och det finns för närvarande CD-ROM-spelare på marknaden som kostar från 4 000 kr. Priset beräknas sjunka ytterligare under innevarande år. Det finns numera också såväl stationära som portabla CD- ROM—spelare på marknaden. Det är vidare möjligt att ansluta en CD-ROM-spelare till ett lokalt nätverk och därigenom göra den tillgänglig för flera användare.

CD-ROM-tekniken innebär att massdistribution av mycket stora datamängder kan ske. På CD-ROM-skivor finns i dag bl.a. manualer, instruktionsböcker, reservdelskataloger, företagsinformationsdatabaser, telefonkataloger, geografiska informationsdatabaser, uppslagsverk, juridisk och medicinsk information, biblioteksinformation samt ordböcker och lexika. Utgivningen av CD-ROM-titlar har fördubblats varje år sedan år 1987. I boken The CD-ROM Directory, som är en för- teckning över de CD—ROM-skivor som finns på världsmark- naden, fanns år 1989 ca 400 titlar förtecknade, år 1990 drygt 800 och i 1991 års upplaga finns drygt 1 500 titlar med.

Samtidigt som utgivningen av CD—ROM-skivor för allmänt bruk ökar blir det också allt vanligare att företag tar fram egna skivor för internt bruk. Man bedömer allmänt att den stora marknaden för CD-ROM just ligger inom området specialfram- tagna skivor för användning inom företag, organisationer och myndigheter. Det kan t.ex. vara fråga om olika slags dokumen- tation, material för internutbildning och instruktionsprogram.

CD-ROM kan i framtiden även visa sig bli en mycket vanlig distributionsform för datorprogram. Redan i dag har vissa av de företag som saluför datorprogram börjat att distribuera samtliga sina program med dokumentation på CD—ROM—skiva. En enda sådan skiva kan rymma tusentals olika program. Oftast distri- bueras skivorna gratis. Programmen på CD—ROM—skivan är dock låsta med ett särskilt kodsystem. Om någon vill använda sig av något av datorprogrammen på skivan måste denne kontakta programvaruföretaget och av det få en särskild "nyckel " som gör det möjligt att använda det önskade program- met.

Ett nytt område inom vilket man synes ha börjat med lagring av information på CD-ROM—skivor är datorstödd typografi. Det finns CD-ROM—skivor med bl.a. stilförråd och bildmaterial.

Hur tekniken hittills kommit att användas i Sverige kan belysas av nedanstående exempel (Se även SOU 1990:61 s 89).

SAABs Flygdivision har tagit fram en CD-ROM—skiva som innehåller hela reservdelskatalogen för sitt civilflygplan SAAB 340. Avsikten är att flygplanets samtliga manualer (40 000 papperssidor av vilka 75 procent byts ut årligen) skall distri— bueras på en CD-ROM, som kommer att uppdateras fyra gånger om året.

Rikspolisstyrelsen har inlett ett projektarbete för att skapa en datoriserad kunskapsbank benämnd Svenskt Polislexikon (SPL). Styrelsen har låtit framställa en CD-ROM—skiva som innehåller sådan information som anses utgöra stöd för beslutsfattande inom polisväsendet. På CD—ROM-skivan finns bl.a. vissa lagar och förordningar som har betydelse för polisens arbete, rikspolisstyrelsens råd och anvisningar, riksåklagarens cirkulär och vissa av 105 och JKs beslut. Även visst katalogmaterial som t.ex. postnummerkatalogen finns med. Avsikten är att skivan skall uppdateras en gång per kvartal. Projektet har inletts med att CD—ROM—läsare har placerats hos ett antal polisdistrikt och hos rikspolisstyrelsen. Utanför polisväsendet har CD—ROM- läsare även placerats hos JO, JK och riksåklagaren.

Bibliotekstjänst AB har sedan juli 1990 använt sig av CD- ROM-teknik för att sprida information ur sina centrala databaser till folkbiblioteken. Bibliotekstjänsts bibliografiska databas

omfattar 1,2 miljoner titlar på böcker, tidningar, tidskrifter, skivor, kassettband och videoband. Varje år tillkommer ca 70 000 nya titlar. Hittills har ca 1 500 datorer och CD-ROM- spelare placerats ut på omkring 80 kommunala bibliotek i Sverige. Bibliotekstjänsthar delat in landet i tre regioner, Södra regionen, Östra regionen och Väst/Norra regionen. För varje region produceras en CD-ROM-skiva, benämnd CD—KAT, som upptar alla titlar som finns på de anslutna biblioteken inom resp. region. Sökprogrammet i CD-ROM-utrustningarna är utformat så att en användare antingen kan återfinna samtliga boktitlar som finns på de anslutna biblioteken i den aktuella regionen eller endast dem som finns i bibliotekssystemet för den kommun i vilket det aktuella biblioteket är beläget. Det är även möjligt att därutöver begränsa sökmöjligheten till att endast omfatta den biblioteksfilial där man just befinner sig. CD—KAT—skivan förnyas fem gånger per år och tillställs då de bibliotekslokaler som har CD-ROM-utrustning. Namn och adressuppgifter för de anslutna bibliotekens låntagare (närmare två miljoner personer) registreras av Bibliotekstjänst på en särskild CD-ROM—skiva, CDL, med samma uppdateringsfrekvens som CD—KAT. Skivan innehåller uppgifter om låntagarnas namn, personnummer, adresser och låntagarnummer. På skivan finns även vissa biblioteksstatistiska uppgifter, vilka dock inte är anknutna till identifierbara låntagare. Uppgifter om lånade böcker finns enligt uppgift inte på skivan. Med början hösten 1991 ämnar Biblio- tekstjänst starta utgivningen av en CD—ROM—skiva som inne— håller bibliografiska referenser till tidnings- och tidskrifts— artiklar. Vidare finns planer på att senare ge ut en CD—ROM- skiva med korta recensioner på nyutkommen litteratur.

Upplysningscentralen (UC) har framställt en CD—ROM-skiva med information om hundratusentals företag. För vart och ett av dessa företag finns ett sjuttiotal olika uppgifter som daterar sig tre år tillbaka i tiden. Till den information som finns hör exempelvis omsättning och nyckeltal. Sökning kan ske på företagsnamn eller organisationsnamn. Det går också att söka på telefonnummer. Med hjälp av program som sänds med är det bl.a. möjligt att skriva ut etiketter. Det finns 27 kriterier för sökning.

Två företag, Scandinavian PC Systems AB och PCD—Consult AB, har på var sin CD—ROM—skiva gett ut det allmänna företagsregistret (BASUN), dvs. SCBs register över ca 390 000 svenska företag, organisationer och myndigheter i Sverige. Namn och adresser kan sökas på dessa skivor efter olika urvalskriterier och skrivas ut på bl.a. etiketter, listor och kort. Båda versionerna uppdateras regelbundet. Det som skiljer dem

åt är Sökprogrammet. Dessa CD-ROM-skivor kostar från ca 5 000 kr.

Det svenska televerket uppger sig ha långt framskridna planer på att ge ut den kompletta svenska telefonkatalogen på en CD- ROM-skiva.

På den internationella marknaden finns ett relativt stort antal CD—ROM-skivor som var och en i vissa fall kan innehålla uppgifter om miljontals personer och företag.

Vad angår ett annat optiskt lagringsmedium, WORM-skivan (se avsnitt 6.3 1 SOU 1990:61), kan nämnas att skatteförvalt- ningen i Stockholms län har för avsikt att på försök börja lagra deklarationsblanketter på sådana WORM—skivor. Avsikten är att med hjälp av s.k. scanner läsa in deklarationsblanketterna som elektroniska bilder på dessa skivor. Taxeringstjänstemännen skall sedan via en terminal kunna söka och granska valfritt ärende, sortera, bunta och markera ärenden för senare be- handling. Utan att behöva använda sig av papper eller kopie- ringsmaskin skall en deklarationsgranskare kunna sköta skrift- växling med den skattskyldige, göra kommentarer och an— teckningar under granskningen, "lägga undan" handlingar för senare bearbetning och skriva ut ärenden på skrivare eller telefax.

Arbete pågår med att ta fram en ny generation CD-skivor, kallad CD—I (Compact Disc Interactive). CD—I är en teknik för att lagra digital video på en CD—skiva. CD—I kan, liksom CD- ROM, hantera både text, bild och ljud men dessutom rörliga bilder och film. CD—I—spelaren behöver dock inte anslutas till en dator utan kommer även att kunna kopplas upp mot en vanlig TV eller förstärkare. Redan på det stadium som CD—I—tekniken befinner sig på i dag kan på en CD-I—skiva lagras 6 300 hög— klassiga bilder, 130 000 bilder i enklare utförande, ljud i upp till 19 timmar och 72 minuters visning av rörliga bilder med samtidigt ljud i enklare återgivning. CD—I är tänkt att lanseras för hemmabruk med titlar inom musikvideos, spel, sport, turistinformation m.m. Den kommer även att kunna användas inom utbildning, t.ex. inom industrin och skolan. På sikt kan CD—I-skivan därför kanske komma att bli en konkurrent till videokassetter. Utvecklingsarbete pågår också beträffande den s.k. CD—ROM/XA-skivan.(XA står här för EXtended Architec— ture.) Denna skiva är en utveckling av CD-ROM-skivan och utgör en brygga mellan CD—ROM och CD-I. CD-ROM/XA gör det möjligt att spela 17 timmar ljud mot 72 minuter som är det normala för en vanlig CD—ROM—skiva. På en CD—ROM/XA- skiva är det också möjligt att kombinera data, ljud, grafik och rörliga bilder. Den fortsatta utvecklingen av detta medium

kommer därför att få stor betydelse för den s.k. multimedia- tekniken (se avsnitt 2.7).

Vidare har nyligen lanserats en ny variant av optiskt lagrings- medium, nämligen s.k. optiska kort, Optical Cards. Detta är kort som inte är större än ett normalt kreditkort men som har ett minnesutrymme om två megabytes, motsvarande ett tusental A4-sidor med text. Kortet är främst avsett att användas som ID- kort, för manualer och inom utbildning. Optiska kort kommer inom kort att användas på försök inom Västerbottens och Uppsala läns landsting där ett antal patienter kommer att få sina sjukjournaler inlagda på sådana kort.

2 . 7 Multimedia

Ett begrepp som på senare tid allt oftare kommit att användas i datasammanhang är "multimedia". Uttrycket började att användas redan på 1960—talet som beteckning för att man i reklamkampanjer använde sig av olika slags media (tidningar, radio och TV) för att föra ut sitt budskap. I dag har multimedia blivit ett samlingsnamn för ett antal olika tillämpningar som har det gemensamt att information av olika typer av media, t.ex. ljud, bild, film, text, grafik och data, hanteras av samma datorsystem och presenteras samlat. De system som i dag huvudsakligen används inom multimediaområdet är s.k. interalaiva videoyystem, vilka bygger på en blandning av Videoteknik och datateknik.

Multimedia berör många olika ämnen och områden och kan användas för både konsumentbruk och företagsbruk. Exempel på användningsområden är datorstödd presentation och utbild- ning. I främst USA men också i viss omfattning i Sverige (t.ex. ICAs styckmästarutbildning samt för utbildning av postbehand— lingspersonal inom postverket) används multimediatekniken av företag för att förmedla yrkeskunskaper till de anställda. Motiven är att en sådan utbildning är mera effektiv och flexibel än traditionell lärarledd utbildning. Utbildningskostnaderna blir också lägre. Med interaktiv video ersätts läraren av en dator och en videobandspelare. En sådan utbildning kan vara mycket pedagogiskt upplagd och ske utan annan medverkan än den anställdes. En instruktionsröst vägleder eleven, medan olika bild— och textfunktioner blandas.

Andra användningsområden för multimedia är musik, under- hållning, uppslagsverk, förlagsverksamhet, kataloger och olika slags tjänster. Exempel på sammanhang där multimedia redan

kommit till användning är olika slags informationsanordningar på flygplatser, järnvägsstationer etc. I framtiden kan kunder med hjälp av multimedia genom sådana anordningar ges all information de önskar om en viss vara eller tjänst. Resebyråer kan komma att använda sig av multimedia och låta kunden se olika bilder och annan information om presumtiva resmål. Mäklare kan på sitt kontor visa detaljerade exteriör— och in- teriörbilder på olika husobjekt. Köpare av möbler kan t.ex. redan i affären "möblera" sitt hem med hjälp av multimedia. Offentliga myndigheter kan också använda sig av multimedia för att på ett billigt och lättförståeligt sätt lämna information till medborgarna. Så sker redan i dag i viss utsträckning i USA, t.ex. i delstaten Hawaii.

En särskild tillämpning av multimediatekniken är den som går under beteckningen hypermedia. Hypermedia används för att beteckna ett sätt att hantera stora mängder ostrukturerad information. Användaren får genom hypermedia ett godtyckligt antal vägar att välja på för att ta sig fram mellan text, bilder, ljud och video. Typiska användningsområden för hypermedia- system är datoriserade uppslagsverk, instruktionsböcker och tekniska handböcker etc.

2.8. Avslutning

Av den lämnade redovisningen av datateknikens utveckling framgår att det sker en allt ökande integration av funktioner och system. En följd av detta är att det inte längre är lätt att avgöra olika datorprograms möjligheter, t.ex. kan man i dag med ett datorprogram för ord— och textbehandling även utföra bl.a. kalkyleringar, administrationsfunktioner, datakommunikation och registerhantering. Ett annat exempel på hur funktionerna alltmer integreras är de s.k. kontorsinformationssystemen. Den information som lagras blir alltmer olikartad och kan bestå av både ord, text, bild och ljud. Jfr den ovan nämnda multi— mediatekniken. Det blir vidare allt svårare att skilja själva datorn och datorprogrammens olika funktioner från varandra. Även gränsdragningen mellan vad som är programvara och vilken information som är lagrad på datamedier blir allt svårare att göra. Det pågår inte bara en integration av de olika funktion— erna i ett datasystem utan även av de olika datasystemen. Som exempel kan nämnas att det inom såväl tillverkningsindustrin som tjänsteproduktionen sker en utveckling mot integrerade datoriserade produktionssystem. I sådana integrerade system kan

ingå administrativa personaladministrativa system, registrering av in— och utpassering, behörighetskontroll, administrativa redovisningssystem, planeringssystem samt styrsystem för pro— duktion, materialhantering och transporter.

3. Begreppen personregister och registeransvarig

3.1. Personregister (persondatamängd)

3. 1 . 1 Gällande rätt

Med begreppet personregister förstås enligt 1 & datalagen "register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften."

I specialmotiveringen till 1 & anförde departementschefen om registerbegreppet bl.a. följande (prop. 1973233 5. 118 f):

Vad beträffar begreppet register bör därunder falla förutom register även förteckningar och andra anteckningar. Uppenbarligen avses i första hand förteckningar som omfattar ett flertal faktiska uppgifter av likartat slag. I undantagsfall bör det emellertid kunna vara fråga om endast en enda uppgift. För att ett register skall anses föreligga måste det emellertid direkt eller indirekt vara fråga om behandling från informationssynpunkt av faktiska uppgifter. Ett ADB—register kan sålunda inte anses upprättat bara genom att löpande text lagras i ett datamedium, exempelvis för att sättning skall kunna ske med hjälp av ADB-teknik. Uppenbarligen faller på grund härav åtskillig databehandling av olika slags litteratur, främst skönlitteratur, utanför datalagens tillstandssystem. Först i den mån databehandlingen tar sikte på faktiska uppgifter i den litterära framställningen - såsom för upprättande av innehålls- register eller liknande föreligger ett register i datalagens mening. Vidare bör ett register anses föreligga, om de lagrade uppgifterna skall användas för att framställa exempelvis en telefonkatalog, ett adressregister eller en taxeringskalender. Den närmare gräns- dragningen när det gäller att bestämma registerbegreppets innebörd får göras i praxis.

Aven frågan huruvida ett eller flera register skall anses före- ligga får avgöras närmare i praxis. Jag ansluter mig till SCB:s

uppfattning att det ofta torde vara lämpligt att betrakta hela system av datafiler och till dessa hörande härlednings— och bearbetnings- program som ett enda personregister. En förutsättning bör dock vara att systemet tekniskt och administrativt fungerar så, att det är naturligt att uppfatta det som en enhet.

Med hänsyn till vad jag nu har anfört anser jag att med person- register i datalagens mening bör avses register, förteckning eller andra anteckningar som förs med hjälp av ADB och som in- nehåller personuppgifter som kan hänföras till den som avses med uppgiften.

Avgörande för frågan om datalagen över huvud taget är tillämplig på ett register är vidare huruvida registret förs med hjälp av ADB eller inte. Register som förs med hjälp av annan teknik än ADB faller i dag utanför datalagens tillämpnings- område.

Med begreppet personuppgift avses upplysning som avser enskild person. Sådana personuppgifter kan vara av många olika slag. Upplysningar som avser en persons namn, personnummer, födelsedatum, nationalitet, utbildning och familje- och an- ställningsförhållanden är självklart att anse som sådana person- uppgifter. Även upplysningar som är av mindre personlig natur kan emellertid anses utgöra personuppgift. Hit bör enligt lagmotiven höra exempelvis upplysningar om en persons bostadsförhållanden, banktillgodohavanden, fastighets— eller bilinnehav samt upplysningar som i övrigt rör en persons ekonomiska ställning.

En personuppgift kan hänföras till en viss person antingen direkt genom själva personuppgiften eller med hjälp av särskild identitetsuppgift som också ingår i registret. En identitetsuppgift behöver dock inte var entydig och unik eller sådan att den är mera allmänt bekant. Även register som inte innehåller andra identitetsuppgifter än sådana som gör det möjligt enbart för den invigde att förstå vilken person som en upplysning avser omfattas av datalagens bestämmelser.

Om en person kan identifieras genom anställningsnummer, medlemsnummer, kundnummer eller liknande är registret att anse som ett personregister. Detsamma gäller statistiska uppgifter där beteckningar och dylikt som också återfinns på dokument gör det möjligt att återknyta uppgifterna till en viss person.

Ur praxis kan hämtas följande fall. Ett fall som år 1975 prövades av regeringen gällde ett register som avsåg att kontrollera telefondebiteringen på ett företag genom att uppgift om samtal som fördes på vissa telefonanknyt- ningar registrerades. Eftersom uppgifterna inte med säkerhet kunna knytas till en viss anställd person, då varje telefonanknyt-

ning disponerades av flera personer, ansågs dock inte ett personregister föreligga (Se om fallet även avsnitt 6.2.4 i SOU 1991:21).

Ett spaningsregister som generaltullstyrelsen förde skulle enbart innehålla olika uppgifter om transportmedel (bilar, fartyg etc.) såsom transportmedelskod, fartygshamn, registrerings- namn, fabrikat, färg, årsmodell och särskilda kännetecken. Registret ansågs likväl vara personregister, eftersom ändamålet med registreringen var att söka upplysning om enskild person och det dessutom till exempelvis varje motorfordon fanns en ägare anknuten (dnr 3325—82).

Av betydelse för personregisterbegreppet är också ändamålet med ett register. I ett tillståndsärende skall datainspektionen enligt 5 % datalagen meddela villkor om ändamålet med registret. Enligt de allmänna bestämmelserna i 7 & datalagen skall vidare ett personregister föras för ett bestämt ändamål (se också 7 a 55 om innehållet i den förteckning som en register- ansvarig skall ha över sina personregister).

3.1.2. Utredningens tidigare överväganden

Utredningen har tidigare ansett (se avsnitt 8.3 i SOU 1990:61) att det är olämpligt att ha kvar en koppling mellan begreppet personregister och de ADB-tekniska registerbegreppen. Det begrepp som bör bilda utgångspunkt för integritetsskyddet i datalagen bör enligt utredningens mening så långt möjligt frikopplas från de tekniska registerbestämningarna.

Begreppet personregister bör enligt utredningen med hänsyn till risken för en sammanblandning med de tekniska register- begreppen - bestämmas på ett annat sätt än f.n. Av betydelse för integritetsskyddet är begreppet personuppgift, dvs. upplysning eller uppgift som avser enskild person. Utredningen anförde vidare (5. 143 ff) bl.a.:

"I datalagen bör som grundläggande bestämning därför tas in en regel som tar sikte på ändamålet med informationsbehandling en, utan att bestämningen som nu direkt kopplas till förekomsten av "register, förteckning eller andra anteckningar.

Om ändamålet med insamling eller lagring av personuppgifter, som kan tas fram eller bearbetas på elektronisk eller på annan automatisk väg, är att få uppgifter tillgängliga som kan identifiera en enskild person, skall datalagens integritetsskyddsbestämmelser vara tillämpliga och ett personregister anses föreligga, oavsett om uppgifterna f1nns lagrade 1 traditionella dataregister (filer) eller 1 databaser eller med någon annan teknik. Det innebär att exempel- vis personuppgifter 1 såväl datoriserade klipparkiv som i ord- behandlingsprogram, vilka har sökfunktioner, kan anses som personregister, om tekniken används för att ta fram uppgifter om

enskilda. Det avgörande bör således vara i vilket syfte och på vilket sätt tekniken utnyttjas, inte de tekniska möjligheterna i sig.

Det närmare ändamålet med hanteringen av personuppgifterna och deras innehåll, dvs. personregister i datalagens nu föreslagna mening, blir sedan styrande för de krav som uppställs i fråga om anmälan till datainspektionen eller tillämpning av de olika föreskrifter som inspektionen kan ha meddelat (se avsnitt 8.6.1 och 8.6.2). En sådan mera rättslig definition av begreppet personregister leder också till att ett nytt register får anses föreligga om ändamålet med registret ändras eller utvidgas på ett sådant sätt att situationen är att jämställa med att ett nytt register inrättas (jfr. KU 1985/86:25 s. 24 f).

En viktig fråga är naturligtvis hur ändamålet skall kunna ges en tillfredsställande utformning i integritetsskyddshänseende. Det får, å ena sidan, inte bli så vitt att det kan rymma allehanda verksam- heter. Det får exempelvis anses uteslutet att ett uppgivet ändamål från en registeransvarig anges enbart som "samhällsplanering" eller "forskning" för att kravet på ett tydligt angivet ändamål skall vara uppfyllt. A andra sidan får det inte utformas så snävt att varje förändring i informationsbehandlingen skulle behöva föranleda en ny anmälan e.d. Det är önskvärt att, i linje med vad som gäller redan enligt vissa av datainspektionens föreskrifter (DIFS 198912 och 1990:1) och som har berörts i konstitutions- utskottets nyss angivna betänkande, endast väsentliga förändringar av ett register behöver utlösa en sådan aktivitet hos den register- ansvarige. Enligt utredningens mening förefaller en ändamåls- bestämning lämplig som tar sin ut ångspunkt i den register— ansvariges verksamhet sådan den ramgår exempelvis av en myndighets instruktion eller beskrivningen i en bolagsordning. Denna begränsning skulle utgöra den yttersta ramen inom vilken den registeransvarige skulle ha att närmare konkretisera ändamålet med en åsyftad automatisk insamling eller lagring av person- uppgifter.

Med en utgångspunkt i en rättslig och ändamålsrelaterad definition av personregisterbegreppet bör man enligt utredningens mening också i viss mån bättre komma till rätta med avgräns- ningen gentemot manuell bearbetning. Om det avseende ett register som inrättas eller förs för ett visst ändamål och där bearbetningen i något led sker på elektronisk eller på annan automatisk väg förekommer manuella inslag (exempelvis manuell insamling av uppgifter som skall ingå i registret eller också att registret tillförs uppgifter på manuell väg), bör detta i princip inte ändra karaktären av personregister i datalagens mening. Enligt gällande rätt förstås med inrättande av personregister även insamling av uppgifter som skall ingå i registret. När det gäller övriga manuella inslag bör manuellt förda uppgifter, exempelvis bestämda sökord, som är en förutsättning för den automatiska bearbetningen, enligt utredningens mening framgent också omfattas av registerbegreppet. Vidare kan övervägas att låta manuella personuppgifter som tekniskt bearbetad data hänvisar till ingå i begreppet, om det finns ett klart samband mellan de olika informationsdelama. Slutligen bör, liksom f.n. givetvis dokumen- tationen av bearbetningen omfattas av registerbegreppet."

3.1.3 Remissyttrandena När det gäller utredningens överväganden rörande person- registerbegreppet yttrade sig följande remissinstanser: riks- dagens ombudsmän, datainspektionen, riksförsäkringsverket,

bankinspektionen, riksskatteverket, juridiska fakultetsnämnden vid Stockholms universitet, statskontoret, Svenska kommun— förbundet, Landstingsförbundet och Swedish Direct Marketing Association och Kommundata AB.

Riksförsäkringsverket, riksskatteverket, Svenska kommun— förbundet, Landstingsförbundet och Kommundata AB synes i allt väsentligt dela utredningens preliminära ståndpunkter.

De övriga remissinstanserna var, som framgår av det följande, mer eller mindre kritiska till utredningens redovisning i denna del.

Datainspektionen ansåg det vara en riktig inriktning att söka knyta ett personregisterbegrepp närmare till syftet med den automatiska behandlingen av personuppgifter och att det var en riktig målsättning att försöka komma ifrån risken för en förväxling av tekniska registerbegrepp med ett personregister— begrepp i lagen. Inspektionen menade emellertid att det också var angeläget att de grundläggande begreppen i lagen så nära som möjligt anslöt till vanligt språkbruk. Inspektionen anförde därvid bl.a.:

"Det är t.ex. främmande för vanligt språkbruk att använda registerbegreppet på textmassor som har lagrats på ADB—medium i syfte att kunna t.ex. söka fram personuppgifter. Tekniken har gått dithän att behandling av personuppgifter måste kunna regleras från integritetssynpunkt oberoende av om de finns lagrade i register eller ej.

Aven om det finns lagtekniska fördelar med att använda ett registerbegrepp som ett samlingsbegrepp för personuppgifter som hanteras för ett visst ändamål, anser DI mot bakgrund av det anförda, att utredningen bör undersöka möjligheterna att definiera "samlingen" på ett annorlunda sätt i syfte att registerbegreppet helt skall kunna utmönstras i en kommande datalag.

I fråga om det som utredningen hittills har redovisat om personregisterbegreppet (betänkandet sid. 142 ff) vill DI anföra följande.

DI är alltså tveksam till om just ett personregisterbegrepp bör användas för att ange en grundläggande bestämning av lagens tillämplighet. DI är dock enig med utredningen om det väsent— ligaste, nämligen att en sådan bestämning bör ges ett annorlunda innehåll än vad dagens personregisterbegrepp har enligt lagtexten. Utredningens inriktning synes här vara riktig. Det bör vara syftet eller avsikten med personuppgiftshanteringen_ som avgör om datalagens skyddsregler skall vara tillämpliga. Ar syftet att samla in och lagra samt ta fram eller bearbeta personuppgifter med hjälp av automatik bör datalagen vara tillämplig, medan t.ex. an- vändande av automatik endast för att underlätta tryckning av en textmassa inte bör omfattas även om den innehåller personuppgif- ter. Det är en grannlaga men viktig uppgift att dra denna gräns och att närmare beskriva den i lagförslag och motiv.

Det synes vidare kunna vara ett riktigt betraktelsesätt att låta det närmare ändamålet med en inforrnationsbehandling styra vad som skall anses vara den enhet eller det förfarande till vilket knyts föreskrifter och villkor, t.ex. en anmälningsplikt.

DI vill i detta sammanhang peka på en oklarhet i utredningsför- slaget. Utredningen föreslår (sid. 143 nederst) att datalagens integritetsskyddsbestämmelser skall vara tillämpliga "om ända- målet med insamling eller lagring av personuppgifter, som kan tas fram eller bearbetas på elektronisk eller på annan automatisk väg, är att få uppgifter tillgängliga som kan identifiera en enskild person". Konsekvensen av ett sådant synsätt blir att vissa av dagens personregister inom t.ex. områdena forskning och statistik kommer att undantas från integritetsskyddsreglema. Andamålet med dessa register är nämligen sällan något annat än att registret skall utgöra underlag för att ta fram avidentifierade statistiska sammanställningar. DI finner det osannolikt att det har varit utredningens avsikt att datalagens tillämpningsområde bör avgränsas på ett sådant sätt...

En särskild fråga är i vad mån manuell hantering av personupp- gifter i vissa fall skall anses omfattade av reglerna i en datalag, "anses ingå i personregistret" , även om lagen liksom för närvaran— de i princip begränsas till ADB-hantering. Här bör man hålla isär två skilda frågeställningar.

Den ena är om de endast manuellt lagrade personuppgiftema skall anses ingå i ADB-hanteringen och därför omfattas av reglerna i lagen, t.ex. DIs möjlighet att meddela generella föreskrifter eller villkor i det enskilda fallet. I den delen bör utredningen enligt DIs mening närmare överväga och klargöra i vad mån hantering av indata och utdata på papper samt manuellt förda handlingar av olika slag, t.ex. nyckelkoder, skall omfattas av datalagens regler. För att manuellt förda uppgifter skall träffas av regleringen bör det enligt DIs mening föreligga en mycket stark koppling till själva ADB-registret.

Den andra frågeställningen är huruvida det vid bedömandet av ett registers integritetskänslighet bör tas hänsyn också till person- uppgifter som inte ingår i registret, därför att de förs manuellt, exempelvis därför att de innehåller mycket känsliga uppgifter som lättare blir tillgängliga genom ADB—registret.

Utredningen bör enligt DIs mening närmare utreda de gräns- dragningsproblem som dessa frågeställningar ger upphov till. "

Bankinspektionen anförde för sin del följande:

"Bankinspektionen anser utredningens förslag vara en lösning i rätt riktning. Det synes emellertid enligt bankinspektionens uppfattning som nödvändigt att närmare analysera de konsekvenser det nya registerbegreppet kan få om tillståndsförfarandet för personregister samtidigt avskaffas. Bankinspektionen är tveksam till att personregisterbegreppet skulle få en sådan vidsträckt omfattning att även manuella personuppgifter som tekniskt bearbetad data hänvisar till, skulle ingå i begreppet (betänkandet s. 145). Bankinspektionen bedömer vidare att det kan uppstå svårigheter att avgöra om sambearbetningar av personregister i lagens mening sker med den föreslagna definitionen. Samman- fattningsvis förordas att en mer ingående analys görs av person- registerbegreppet och förslagets tänkbara praktiska konsekvenser. "

Juridiska fakultetsnämnden vid Stockholms universitet ansåg att en grundligare analys erfordrades och menade att utred- ningen misstagit sig på vissa punkter:

"När utredningen talar om "de tekniska registerbegreppen" och diskuterar riskerna för sammanblandning mellan tekniska och juridiska begrepp lägger man överdriven vikt vid den fysiska datalagringen ("traditionella filer", "databaser" m.m.) och bortser från den brygga mellan teknik och juridik som den logiska dataorganisationen utgör. Man överbetonar sannolikt - framför allt från rättsteknisk synpunkt till skillnad från utbildningssynpunkt -de svårigheter lokutionen "register, förteckning eller andra an- teckningar" ger upphov till. Utredningens (inte helt klart redovisa- de) förslag att inte "direkt koppla" ändamål till förekomsten av "register, förteckning eller andra anteckningar" (sid. 143) förefaller därför vara svagare underbyggt och utrett än man är medveten om. Konsekvenserna av att ge upp registerbegreppet (om nu detta är avsikten?) måste alltså analyseras betydligt mer på djupet. Skall datalagen också i fortsättningen vara en lag för "databehandling" måste man på något sätt markera att det är fråga om datasarnlingar som låter sig systematiskt utnyttjas och bearbetas för att återfinna eller på andra sätt generera person— anknuten information. Förhållanden till annan lagstiftmng där registerbegreppet är aktuellt måste också ägnas tillräcklig upp- märksamhet med hänsyn till behovet av standardiserad rättslig terminologi inom datarätten (jfr. t.ex. TF 2 kapitlet, 7 5 andra stycket, punkt 1).

Utredningen betonar, helt i enlighet med gällande rätt och gängse synsätt, ändamålets betydelse för avgränsningen av personregister och, Överhuvudtaget skyddet av den personliga integriteten. Samtidigt är det svårt att förstå vad utredningen avser med sin "föreslagna ändring av personregisterbegreppet", vilken skulle innebära "starkare anknytning till ändamålet med registret" (sid. 160, jfr. 142-145). Redan enligt gällande rätt definieras ju ett register av det därtill knutna ändamålet - inte (ensidigt) av den tekniska uppbyggnaden, struktureringen etc, av en viss data- samling. Ursprungligen, dvs. vid datalagens tillkomst var det med hänsyn till dåvarande databehandlingsmetoder naturligt att uppfatta tekniska åtgärder som avgörande för avgränsningen av ett register. Men inte ens då var detta synsätt avgörande: i lagförarbetena framhåller departementschefen att det kunde vara "lämpligt att betrakta hela system av datafiler... som ett enda personregister" (prop. 1973z33, sid. 119). Detta synsätt har sedan fullföljts och utvecklats i praxis. Det blir således inte klart vad utredningen menar med srn "föreslagna ändring av personregisterbegreppet". Det exempel som ges är knappast hjälpsamt. Utredningen konstaterar nämligen att bedömningen av vad som är ett register för personligt bruk kommer att bli inte "graden av användning eller anknytning till förvärvsverksamhet utan endast ändamålet med registret": "Om således personuppgifter som används för personligt bruk även till en begränsad del skulle användas exempelvis för ett ändamål som faller inom ramen för ett anställ- ningsförhållande eller annan förvärvsverksamhet, innebär det senare syftet att reglerna för icke privata register blir tillämpliga. " Men detta gäller ju även nu redan i lagtexten i 2 & tredje stycket anges att undantaget förutsätter att det är fråga om personregister som enskild person inrättar eller för "uteslutande för personligt bruk". Oklarheten blir inte mindre när utredningen längre fram konstaterar att registerförteckningar enligt 7 a & datalagen inte behöver omfatta "de register som förs huvudsakligen för person- ligt bruk" (sid. 192), kursiv tillagd)."

Statskontoret uppgav att det hade samma uppfattning som utredningen angående de tillämpningssvårigheter nuvarande personregisterbegrepp innebär och anförde:

"Att i stället, som föreslås, utgå ifrån ändamålet med informa- tionsbehandlingen, syftet och på vilket sätt tekniken används, kan vara en möjlig väg att komma ifrån nuvarande tillämpningssvårig- heter. En nackdel med en sådan lösning är att "ändamålet" och kopplingen till den registeransvariges verksamhet - som den framgår i en instruktion eller bolagsordning - i sig själv innebär tolkningsproblem och svåröverskådlighet, då dessa begrepp inte är entydiga eller möjliga att förutbestämma. Detta gäller även om begränsningen utgör den yttersta ramen inom vilken den register- ansvarige har att närmare konkretisera ändamålet med en åsyftad bearbetning, insamling eller lagring av personuppgifter. Vi föreslår att man söker en annan lösning än den som utredningen angivet."

Riksdagens ombudsmän (JO Hans Ragnemalm) avstyrkte förslaget till ny ändamålsinriktad definition av datalagens personregisterbegrepp och uppgav:

"Jag finner utredningens förslag i detta stycke behäftat med allvarliga brister, bl.a. risker från integritetsskyddssynpunkt.

För det första synes avgränsningen av olika registertyper enligt den ändamålsinriktade begreppsbestämningen kunna ge upphov till praktiska tillämpningsproblem, vilka kan befaras bli väl så svår- hanterli ga som de i betänkandet angivna tillämpningssvårighetema avseende den nu gällande definitionen. För det andra - och det är den för mig centrala invändningen - torde risken öka betydligt för att register växer fram helt utanför datainspektionens kontroll, vilkas blotta existens innebär en potentiell fara för integritets- intrång. Den som lägger upp ett ADB-register med integritets— känsliga personuppgifter utan angivet ändamål att få tillgång till uppgifter, som kan identifiera enskild person, skulle enligt för- slaget inte ens vara pliktig att anmäla förhållandet till datainspek— tionen, då det enligt definitionen inte vore fråga om ett person- register, detta även om "de tekniska möjligheterna i sig" skulle medge framtagning av individrelaterade uppgifter. En sådan ordning ser jag mig föranlåten att bestämt avstyrka. Datalagens till ADB-begreppet kopplade definition av begreppet personregister har inte tillkommit utan tungt vägande skäl. Det sammanhänger med det förhållandet, att det är just ianspråktagandet av ADB- tekniken i samband med insamling och lagring av integritets- känsliga personuppgifter, som - på grund av de särskilda möjlig- heter som denna teknik erbjuder vad gäller lagring, bearbetning, sammanställning och distribution av stor informationsmängder - innebär dramatiskt ökade risker för integritetskränkningar. Jag anser, att de argument som lett till att datalagens personregister— begrepp kopplas till ett tekniskt ADB-begrepp har fortsatt bärkraft. Det kan i vart fall inte accepteras, att register inrym- mande känsliga personuppgifter och med tekniska möjligheter att få fram sådana uppgifter på individnivå får etableras vid sidan av kontrollsystemet enligt datalagen, enbart på den grunden att registrets uppgivna syfte inte är att få sådana uppgifter tillgäng— liga."

Swedish Direct Marketing Association slutligen anförde för sin del följande:

"Organisationerna vill inte i och för sig motsätta sig en förslagen defmition av registerbegreppet i vad gäller privata register och därmed tillämpligheten av datalag en, eftersom detta förhållandei sig är inte ägnat att förändra tillämpligheten av datalagen på personregister 1 någon större utsträckning. Vad som däremot möjligen kan inge gfarhågor med ett ända— målsstyrt personregisterbegrepp är hur hanteringen av det närmare ändamålet med insamlingen, det vill säga orsaken till varför uppgifterna insamlats, kan komma att ske. Det är ju med ut- gångspunkt i detta ändamålsbegrepp som lagen och eventuella föreskrifter kommer att göra skyddsregler mot otillbörligt in- tegritetsintrång gällande. Organisationerna vill framhålla att det är viktigt att inte ett allt för snävt synsätt kommer att tillämpas av lagstiftaren och tillsynsmyndigheten. Det skulle vara ett slöseri med näringslivets resurser och effektivitet om inte en tämligen vid ändamålsbestämning blev tillåten vid föranden av register så att inte varje liten förändring utlöser ett arbete med anmälningar och förhandlingar med tillsynsmyndigheten under påstående att ett nytt register skapats. Grundprincipen måste i detta fall vara att om ett företag 1 näringslivet har till ändamål att marknadsföra och sälj a vrssa produkter, detta ändamål kan anses nog preciserat. Sådana personregister som förs av företag - inom ramen för såväl datalagen som eventuella föreskrifter och branschnorrner - skall kunna omfatta såväl nuvarande kunder som sådana grupper av människor som kan tänkas bli kunder i framtiden eller tillföras nya uppgifter från offentliga register till stöd för marknadsföring av befintliga eller nya produkter. "

3.1.4. Europarådskonventionen

I Europarådskonventionen (se avsnitt 7.1 i SOU 1990:61) definieras (art. 2) personuppgift, automatiskt dataregister och automatisk behandling på följande sätt:

Personuppgift (personal data): varje information som är hänförlig till en identifierad eller identifierbar individ (data— subjekt/datasubject).

Automatiskt dataregister (automated datajile): varje mängd (set) uppgifter (data) som är föremål för automatisk behandling.

Automatisk behandling omfattar följande operationer, om de helt eller delvis utförs på automatisk väg (by automated means): lagring av data, utförandet av logiska och/eller aritmetiska operationer med dessa data samt ändring, strykning, åter- hämtning eller spridning av dem (alteration, erasure, retrieval or dissemination).

3.1.5. Förslaget till EG-direktiv

I utkastet till EG-direktiv (se avsnitt 3 i SOU 1991:21) används följande definition (art. 2) av personregister (personal data

jile): varje mängd (set) av personuppgifter, oavsett om de är centraliserade eller geografiskt utspridda, som är föremål för automatisk behandling eller som, även om de inte är föremål för automatisk behandling, är strukturerade och tillgängliga i en organiserad samling i enlighet med vissa särskilda kriterier, på sådant sätt att användningen eller kombinationen av dem underlättas (...structured and accessible in an organized collection according to specific criteria in such a way as to facilitate their use or combination).

Med personuppgift (personal data) avses varje information som är hänförlig till en identifierad eller identifierbar individ (datasubjekt/datasubject); en identifierbar individ är särskilt en individ som kan identifieras med hänvisning till ett identifika— tionsnummer eller liknande identifieringsfaktor (identijying particular).

Med behandling (processing) förstås följande operationer, oavsett om de utförs automatiskt eller inte: anteckning, lagring eller kombination av uppgifter, liksom ändring i eller an- vändning av eller kommunikation med dem, inklusive över— föring (transmission), spridning (dissemination), återhämtning (retrieval), innehållande (blocking) eller strykning (erasure).

I kommentaren till dessa definitioner sägs bl.a.: "Begreppen har hämtats från Europarådskonventionen men har ändrats och förtydligats för att ge en tillräcklig skyddsnivå inom Gemen- skapen... "Personuppgift". Liksom i (Europarådskonventionen) har en vid definition använts för att täcka all information som kan kopplas till en enskild. Beroende på användningen kan varje enskild uppgift som är hänförlig till en enskild, även om den verkar oskadlig, vara känslig (exempelvis enbart en postadress). I syfte att undvika att fall där indirekt identifiering gör det möjligt att kringgå definitionen, anges att en identifierbar individ är en individ som kan identifieras med hänvisning till ett nummer eller en liknande identifieringsfaktor (identifying particular)... "Personregister." Bestämningen utgår från tillgänglighetskriteriet, antingen genom manuell hantering i de fall registret består av en samling strukturerade uppgifter, eller genom automatisk behandling som tillåter sammanställning av spridda uppgifter (grouping together ofdisseminated data) eller utdrag (extraction) av uppgifter från en fullständig text med användning av en metod som motsvarar den som finns i ett register. Begreppet täcker därför strukturerade automatiska och manuella register. Individuella register, och särskilt admini- strativa register, som inte innehåller en strukturerad samling personuppgifter omfattas inte på grund av de särskilda och skilda lagarna som reglerar dem i medlemsstaterna... "Behand—

ling". Genom att räkna upp de huvudsakliga behandlingsopera- tionerna har det begrepp som finns i Europarådskonventionen anpassats för att passa den vidare omfattningen av register- begreppet. Operationer som kombinerar uppgifter omfattas, eftersom de gör det möjligt att framställa nya uppgifter (exem- pelvis " elektroniska profiler (electronic profiles"). Hänvisningen till innehållande (blocking) avser uppgifter som är spärrade med användning av säkerhetsmetoder som är strängare än vad som normalt används men som inte innebär strykning...".

3.1.6. Överväganden för en bestämning av begreppet personregister (persondatamängd)

Allmänna utgångspunkter

Register, ADB, ändamål och personuppgift

Det nuvarande personregisterbegreppet innefattar tre rekvisit som var för sig är nödvändiga för en avgränsning av begreppet, nämligen register, automatisk databehandling och personupp— gift. Härtill kommer att varje register skall föras för ett bestämt ändamål.

Begreppet register innefattar ett krav på att de uppgifter som avses är ordnade i en förteckning eller på annat sätt strukturera- de. Vissa av de s.k. applikationsprogram som förekommer vid datoranvändning avser just registerhantering, dvs. gör det möjligt för användaren att registrera, söka, sortera och skriva ut framtagen information (se avsnitt 2.3.1).

I fråga om begreppet automatisk databehandling (ADB) har utredningen i ett tidigare betänkande funnit att det med hänsyn till den tekniska utvecklingen är svårt att finna en klar och entydig definition av begreppet. Å andra sidan har utredningen funnit att de tekniska begreppsförhållandena inte i sig behöver leda till tillämpningssvårigheter, nnder förutsättning att person- registerbegreppet som sådant kan ges en tillfredsställande utformning (se avsnitt 8.2 i SOU 1990:61).

Möjligheterna att på automatisk väg lagra data (uppgifter), liksom att utföra logiska och/eller aritmetiska operationer med dessa data samt ändra, stryka, återfinna eller Sprida dem, ökar ständigt genom den informationsteknologiska utveckling som pågår. I föreliggande betänkande kompletteras (se avsnitt 2) den beskrivning av den datatekniska utveckling som lämnats i ett tidigare betänkande (avsnitt 6 i SOU 1990:61).

Av särskild betydelse för personregisterbegreppet och begreppet ADB är den snabba utbyggnaden av olika kommuni-

kationsmöjligheter. Här bör särskilt nämnas de elektroniska postsystemen. Tekniken tillåter i dag överföring av texter, brev och så småningom bilder mellan olika datorer. En del system kan endast användas inom lokala datanät, medan andra kopplar samman stordatorer och ger systemet en global täckning.

Andra meddelandesystem som är stadda i snabb utveckling är telefaxutrustningar anslutna till datorer, EDI (Electronic Data Interchange, dvs. elektroniskt utbyte av data mellan olika datasystem) och olika mobila system för meddelandeöverföring (Mobitex, mobila personsökare och minicall).

Slutligen bör framhållas de möjligheter som den optiska lagringstekniken, då speciellt CD—ROM (Compact Disc Read Only Memory), ger när det gäller att lagra stora mängder information. Tekniken möjliggör en massdistribution av data. För närvarande finns på CD-ROM manualer, instruktions- böcker, reservdelskataloger, företagsinformationsdatabaser,tele- fonkataloger, uppslagsverk, juridisk och medicinsk information, biblioteksinformation samt ordböcker och lexika. Utgivningen av titlar har fördubblats varje år sedan år 1987. Det kan förutses att tekniken kommer att användas också för att distri— buera datorprogram. Program för datorer kan lagras på CD— ROM och därmed spridas effektivare än f.n.

Ett genomgående drag i den tekniska utvecklingen på informa- tionsområdet är integration. Internationella digitala telenät kan till synes obegränsat kombinera kommunikation av data, text, ljud och bild. Kommunikation sker vidare mellan olika data— baser samt med databaser och uppgifter som hämtas från andra än elektroniska system, exempelvis optiska lagringsmedia. Även relativt enkla system blir alltmer integrerade, också på ett internationellt plan, och ger tillgång till mycket stora informa- tionsmängder för användaren. Via vanliga kontorsinformations- system och persondatorer är det möjligt att rutinmässigt kombinera ord— och textbehandling med elektronisk post samt urvalssökning och sammanställning i databaser och optiska lagringsmedia. Genom integrationen förekommer automatisk databehandling i olika grad, beroende på vilka delkomponenter som ingår i systemen.

Varje försök att avgränsa ett rättsligt begrepp som person- register med hänsyn till förekomsten av tekniska rekvisit är dömt att misslyckas redan med hänsyn till den utvecklingstakt som informationsteknologin nu uppvisar.

Ändamålet är centralt för personregisterbegreppet. Ändamålet med ett register, som gäller upplysning eller uppgift som avser enskild person (personuppgiji), anger på olika sätt dess tillåtna

användningsområde enligt nuvarande bestämmelser (se bl.a. 3, 5, 7 och 7a åå datalagen).

I sin tidigare behandling av personregisterbegreppet (se avsnitt 3.1.2) har utredningen framför allt berört två aspekter: dels att begreppet bör göras oberoende av förefintliga tekniska registerbegrepp, dels att ändamålet med informationshanteringen bör vara av avgörande betydelse.

Utredningens hittillsvarande överväganden har kritiserats av flera remissinstanser. Kritiken har huvudsakligen avsett att utredningens resonemang varit otydligt eller motsägelsefullt och att analysen inte varit nog grundlig. Särskilt juridiska fakultets- nämnden vid Stockholms universitet har i sitt yttrande uppehållit sig vid personregisterbegreppet.

Enighet förefaller att råda i frågan om att det rent ADB— tekniska registerbegreppet (att ett register, file, består av en mängd lagrade sammanhängande poster som behandlas som en enhet i datorn) inte ensamt bör vara styrande. Som påpekas i bl.a. yttrandet från juridiska fakultetsnämnden vid Stockholms universitet kan dock inte bortses från den betydelse som upp- giftssamlingars uppbyggnad och struktur i en logisk dataorgani— sation har. Datasamlingar som inte låter sig systematiskt utnytt— jas och bearbetas for att återfinna eller på andra sätt ta fram personanknuten information bör således helt falla utanför begreppet personregister.

På motsvarande sätt bör inte informationshantering omfattas som inte till någon del är föremål för automatisk, dvs. icke manuell, databehandling. Frågan i vilken utsträckning manuell behandling skall omfattas av integritetsskyddet behandlar utredningen i ett särskilt avsnitt nedan.

Den automatiska databehandlingen innebär att en viss data- mängd kan struktureras och sammanställas så att register eller förteckning i egentlig mening uppstår. ADB-begreppet med sitt krav på att lagrade uppgifter på automatisk väg kan göras till föremål för vissa logiska och/eller aritmetiska operationer innefattar således i sig ett slags bestämning av begreppet register.

Vad som skiljer hanteringen av en viss informationsmängd med ADB från en manuell sammanställning och strukturering av uppgifter i register eller andra förteckningar är givetvis de utvidgade möjligheterna till lagring, bearbetning, samman— ställning och spridning av en datamängd som tekniken medger. Som JO påpekat är det genom ADB-tekniken som sådan som riskerna för integritetskränkningar dramatiskt ökar. Riskerna med en ADB-hantering av personuppgifter finns således,

oberoende av huruvida ett register i traditionell betydelse föreligger.

Den tekniska utvecklingen och ADB-begreppet, sådant det vanligen förstås, kan således sägas ha gjort begreppet register föråldrat. En fortsatt användning av begreppet när det gäller integritetsskydd på ADB—området kan snarare bidra till att oklarhet uppstår, bl.a. därigenom att det, som nämnts, kan förväxlas med ett rent ADB-tekniskt registerbegrepp (se ovan).

Mot denna bakgrund föreslår utredningen att begreppet personregister helt utmönstras och ersätts med persondata- mängd. Termen persondatamängd, dvs. en samling personupp— gifter, förutsätter inte att uppgifterna är ordnade som i ett register eller förteckning. Det kan t.ex. vara fråga om person- uppgifter i en löpande text. Återkopplingen till en viss logisk uppbyggnad av och struktur på uppgifterna finns, som redan framgått, i kravet på att databehandlingen skall vara automatisk, dvs. ske med ADB-teknik. Resonemanget förutsätter givetvis att datalagen även för framtiden bara skall avse användning av sådan teknik. Den slutsats som i denna del redovisas i det första betänkandet (SOU 1990:61 avsnitt 8.2) har utredningen inte funnit skäl att revidera.

Skyddsföremålet kan emellertid inte avse en obestämd mängd information som innefattar personuppgifter. Den nödvändiga avgränsningen bör göras med hänsyn till det ändamål som uppgifterna hänför sig till.

Begreppet ändamål är grundläggande för integritetsskyddet enligt nuvarande ordning. I utredningens direktiv anges också att det kan behövas förtydliganden eller kompletteringar för att ge detta centrala begrepp en mera konkret betydelse.

Det bör därför anges att de uppgifter som skyddas enligt datalagen är en datamängd bestående av en samling personupp- gifter som hänförs till ett visst ändamål. Det innebär att om ett ändamål ändras kan en ny persondatamängd i datalagens mening föreligga, även om informationen är densamma. Ändamåls— angivning bör ske med tillräcklig precision. Det är inte till- räckligt att, som utredningen tidigare framhållit, enbart hänvisa till exempelvis "samhällsplanering" eller "forskning" för att ett tydligt angivet ändamål skall anses föreligga.

I förslaget till EG—direktiv understryks likaså betydelsen av en konkret ändamålsangivning. Inom såväl den offentliga som privata sektorn bör uppgifter få lagras endast om det är för specificerade, uttryckliga och lagliga ändamål. I kommentaren till direktiven på denna punkt framhålls att ändamålet måste definieras och anges så snävt som möjligt. En allmän eller vag beskrivning (exempelvis att uppgifterna behövs för "affärs-

ändamål") är inte tillräcklig. Ändamålet skall anges innan upp- gifterna lagras och vara uttryckligt. Därmed avses att det inte får föreligga dolda användningsändamål. Ett ändamål är dolt, om uppgifterna används för annat än det uppgivna ändamålet. Ändringar i persondatamängdens innehåll och användning är godtagbara endast om de ligger inom ramen för ändamålet.

I fråga om begreppet personuppgiji, som nu anges som upp- lysning som avser enskild person, bör slutligen den ändringen göras, att bestämningen bättre knyter an till den definition som ges i Europarådets dataskyddskonvention (jfr även utkastet till EG—direktiv på denna punkt):

"personuppgift ar varje upplysning som ensam eller tillsammans med andra upplysningar är hänförlig till en identifierad eller identifierbar enskild person.

Härigenom anges uttryckligen att det skall vara frågan om en anknytning till en viss bestämd person. Liksom f.n. bör inte juridiska personer omfattas.

Vad som har sagts i det föregående innebär att, förutom begreppet personuppgift, begreppen ADB och ändamål är väsentliga för att avgränsa personregisterbegreppet, dvs. begreppet persondatamängd med den föreslagna terminologin. Emellertid är det inte tillräckligt att bestämma dessa rekvisit. Den informationstekniska utvecklingen leder till att ställning också måste tas till om redan en teknisk möjlighet att strukturera en viss datamängd skall vara nog för att en persondatamängd i nu angiven mening skall anses föreligga, eller om begreppet skall kvalificeras genom att användarens syfte med en viss informationshantering också beaktas. Frågan om betydelsen av syftet och de tekniska möjligheterna behandlas i de två följande avsnitten.

Det är svårt att finna någon annan naturlig kvalificeringsfaktor än syftet med informationshanteringen. Något alternativ till att antingen ha en definition som ytterst styrs av teknisk möjlighet eller låta begreppet begränsas med ledning av avsikten har utredningen inte kunnat finna. Det bör, som framgått, inte komma i fråga att låta enbart slaget av informationssystem, datorutrustning eller program vara styrande i detta hänseende. Det vore ett steg tillbaka som snabbt skulle låsa tillämpningen vid en föråldrad teknik. Det är informationen och användningen av den som bör stå i förgrunden.

En avgränsning med hänsyn till syftet att utnyttja de tekniska möjligheterna

Av grundläggande betydelse för en avgränsning av begreppet personregister, eller med utredningens föreslagna terminologi "persondatamängd", är som nämnts huruvida begreppet skall omfatta alla de möjligheter till framtagning av personuppgifter som ett visst tekniskt system erbjuder eller om begränsningar skall föreskrivas i denna del. JO förefaller i sitt yttrande närmast förorda att redan möjligheten att ta fram individrelate- rade uppgifter i sig skulle konstituera ett personregister (person- datamängd).

Utredningen har i sina tidigare överväganden hittills närmast utgått från att enbart den teoretiska och tekniska möjligheten inte bör vara tillräcklig för att ett personregister (persondata- mängd) skall anses föreligga, utan att i linje med nuvarande praxis syftet med en informationshantering som kopplas till ADB—teknik och därmed användningen av visst system bör kvalificera begreppet.

När utredningen i det tidigare betänkandet (SOU 1990:61) betonat betydelsen av ändamålet med informationshanteringen har avsetts just syftet att utnyttja de tekniska möjligheterna, nämligen att ur en datasamling systematiskt söka, ta ut eller sammanställa personuppgifter, dvs. uppgifter som kan hänföras till en enskild person, oberoende av på vilket tekniskt sätt dessa data är lagrade. De nuvarande termerna "register, förteckningar och andra anteckningar" i lagtexten har därvid som tidigare har berörts tolkats som begränsade till en viss användning av ADB- teknik.

Det särskilda ändamål som persondatamängden kan ha i en viss verksamhet, dvs. vilken närmare användning den register- ansvarige åsyftar med personuppgifterna, får sedan som angetts i föregående avsnitt betydelse för avgränsningen i fråga om olika personregister, t.ex. om en ändring av ändamålet i ett hänseende är sådan att exempelvis ett nytt register skall anses ha uppkommit. Denna bedömning är således möjligt först sedan den grundläggande prövningen gjorts av huruvida en elektronisk eller annan automatisk behandling av information skall anses vara sådan, att persondatamängd över huvud taget kan anses föreligga.

Med denna utgångspunkt skulle, som framgått, person— uppgifter som kunde tas fram genom sökning i ett fritextsystem i de vanliga ordbehandlingsprogrammen i exempelvis person- datorer omfattas av persondatamängden, förutsatt att den

registeransvarige avsåg att använda söksystemet för just detta ändamål. Vid bedömningen av huruvida ett sådant syfte föreligger måste flera faktorer beaktas, såsom vem som är registeransvarig, verksamhetens karaktär o.d. Blotta förekomst- en av personuppgifter, även av känsligt slag, i ett automatiskt system bör således inte anses tillräckligt för att begreppet persondatamängd, skall anses föreligga.

Nackdelen med att föra in syftet med en viss informations- hantering för att kvalificera begreppet är, förutom den samman— blandning som kan ske med ändamålsbegreppet, framför allt att begränsningen blir beroende av en bedömning av användarens avsikter. Detta leder till att gränsdragnings- och bevisfrågor kan få alltför stor betydelse och försvåra den praktiska tillämp— ningen. Det är inte tillräckligt att konstatera att ett visst informationssystem som används medger strukturering av personuppgifter, utan den ansvariges uppgivna och faktiska användning måste närmare undersökas. Syftet har i praxis fått bl.a. den betydelsen att de personuppgifter som lagras vid exempelvis framställning av tryckt text inte anses vara person- register, så länge avsikten är att de inte skall kunna återsökas, oberoende av om återsökning är möjlig eller inte. (Frågan om personregistrering i samband med framställning av tryckt skrift har utredningen utförligt behandlat i avsnitt 5 i SOU 1991:21).

Behovet att avgränsa informationsinnehållet i ett ADB-system vid bestämningen av begreppet persondatamängd, har vissa beröringspunkter med de bedömningar som gjorts vid be— handling av handlingsbegreppet i tryckfrihetsförordningen när det gäller ADB-information. Det gäller närmast den enskildes rätt att få del av "potentiella" handlingar hos myndigheter, dvs. alla de konstellationer av sammanhängande uppgifter som är möjliga att göra med vissa ADB-program. I en nyligen som vilande antagen ändring i tryckfrihetsförordningen har vissa preciseringar gjorts i denna del (se prop. 1990/91:60, KUll, rskr. 160). Rätten att ta del av ADB-upptagningar begränsas till att avse de handlingar som myndigheten kan framställa med datorutrustning som myndigheten själv utnyttjar. Det skall således inte vara möjligt för den enskilde att ställa datorkapaci- tet eller datorprogram till en myndighets förfogande och begära bearbetningar med hjälp härav under åberopande av offentlig- hetsprincipen. Vidare skall alltjämt skyldigheten för en myndig- het att lämna ut ett urval eller en sammanställning av uppgifter begränsas till vad som faller inom ramen för rutinbetonade åtgärder, även om urvalet eller sammanställningarna är nya. Härmed avses att det endast skall behövas en enkel arbetsinsats i form av t.ex. programarbete hos myndigheten för att göra

urvalet eller sammanställningen och att detta extraarbete kan ske utan nämnvärda kostnader eller andra komplikationer.

De tekniska möjligheterna att ta fram och göra samman- ställningar över personuppgifter är i det nuvarande utvecklings- perspektivet närmast obegränsade.

Ett exempel kan illustrera detta. Ett företag har ett vanligt kontorsinformationssystem som i ett lokalt nätverk innehåller olika slag av funktioner såsom ordbehandling, elektronisk post, registerprogram och system med s.k. fri textsökning. Det lokala nätverket är i sin tur upp— kopplingsbart till andra system inom den koncern som företaget tillhör, såväl inom som utom landets gränser. Tillgång finns också till ett antal inhemska och utländska databaser. För en användare av systemet är det möjligt att ta fram och skapa sammanställningar av olika personuppgifter. Kombinations- möjligheterna är därvid nära nog oändliga.

Med hänsyn till den informationsmängd - och därmed de integritetsrisker - som föreligger kan användarens eller an- vändarnas lämnade avsiktsförklaring att informationen inte skall användas för att ta fram en viss persondatamängd te sig som ett bräckligt skydd mot integritetsintrång. Motsvarande synpunkter gör sig gällande i fråga om de tekniskt avancerade men lätthanterliga elektroniska "anteckningsböcker" som gör det möjligt för envar att lagra och sammanställa stora mängder personuppgifter.

Utvecklingen inom området för elektronisk post har också uppmärksammats i samband med dess användning inom förvaltningen. En svårighet är att hålla i sär olika handlingar med olika status, dvs. hur man skall skilja emellan minnes- anteckningar m.m. och allmänna handlingar samt mellan offentliga och sekretessbelagda handlingar. En annan fråga är när ett elektroniskt meddelande skall anses ha kommit in till en myndighet. I tullagen har införts en särskild bestämmelse om de närmare kriterierna för "elektroniska dokument" (prop. 1989/90:40, SkU19, rskr. 188, SFS 1990:138). Konstitutions- utskottet har framhållit att regleringen bör få en generell lösning (1989/901KU2). Med hänvisning härtill har regeringen med instämmande av utskottet ansett att frågan bör tas upp av datalagsutredningen inom ramen för den nu pågående översynen av datalagen (prop. 1990/91:60 s. 39 och KU11 s. 9).

En bestämning med hänsyn till enbart teknisk möjlighet

Ett alternativ till bestämning av personregisterbegreppet (persondatamängd) på det sätt som angetts i föregående avsnitt

skulle vara att inte begränsa begreppet till fall, där personupp- gifter genom ADB-teknik görs tillgängliga genom systematiska uttag, sökningar eller sammanställningar eller avses bli till- gängliga på det sättet, utan låta enbart förekomsten av de nu nämnda tekniska möjligheterna vara tillräcklig. Fördelen med en sådan ordning skulle vara att behovet att undersöka an- vändningen eller syftet med användningen av vissa informa— tionssystem inte uppstår. Det skulle räcka att konstatera att ett informationstekniskt system fanns som i sig gjorde strukturering av personuppgifter möjlig, oberoende av om detta var åsyftat eller inte.

Vad som enligt utredningens mening med betydande styrka talar för att låta den tekniska möjligheten enbart vara utgångs- punkt för en begreppsbestämning är den tekniska utvecklingen i sig och antagandet att användning och teknisk möjlighet i många fall sammanfaller. Om det är möjligt att genom auto— matisk behandling göra personuppgifter tillgängliga i vissa informationssystem finns det, med hänsyn till de nuvarande och framtida informationssystemens utbredning, en beaktansvärd risk att systematiska uttag, sökningar eller sammanställningar av personuppgifter också verkligen sker, även om systemen är tänkta för andra ändamål. I exemplet med kontorsinformations- systemet i föregående avsnitt kan det antas att det — i vart fall över tiden förekommer att sammanställningar av person— uppgifter görs, utan att det från början varit avsett.

Det förefaller närmast som om också utkastet till EG—direktiv på denna punkt, med betoningen i kommentaren av tillgänglig— hetskriteriet, anger att den tekniska möjligheten bör vara avgörande för personregisterbegreppets avgränsning. Orda- lydelsen i utkastet till artikeln i fråga är dock inte entydig (se avsnitt 3.1.5).

Om möjligheten att göra personuppgifter till föremål för automatisk databehandling skall anses tillräcklig för att ett personregister (persondatamängd) skall föreligga, begränsas visserligen tillämpningsproblemen när det gäller att bestämma olika användares avsikter med informationshantering. Å andra sidan måste en yttersta gräns också anges för den tekniska möjligheten som sådan. Det måste föreligga en reell möjlighet att ta fram personuppgifter på automatisk väg, varvid ett givet informationssystem betraktas som en helhet.

Även i ett kontorsinformationssystem som används exempelvis för personaladministrativa ändamål finns som regel funktioner som vida överstiger den vanliga användningen. I många fall finns dock kanske inte kunskap hos dem som rutinmässigt använder systemet om var gränserna för datorprogrammen och

systemets funktioner går. (Jfr vad som angetts i föregående avsnitt om en myndighets skyldighet att lämna ut urval eller sammanställning av uppgifter med hänvisning till handlings— offentligheten endast inom ramen för "rutinbetonade åtgärder").

När de tekniska möjligheterna i nu angiven mening bedöms bör utgångspunkten emellertid vara vad man i ett visst system enligt tillgängliga manualer eller annan information kan utföra utan att för den skull utnyttja någon extraordinär expertis. Det innebär således en mera objektiv måttstock som inte enbart utgår från de resurser som kan finnas för tillfället hos en användare. Som regel bör det således vara så, att okunnighet i sig inte behöver påverka bedömningen av vad som skall anses omfatta den tekniska möjligheten och därmed avgränsningen av begreppet persondatamängd.

Frågan om en användares kunskap och förutsättningar i ett visst fall får däremot en särskild betydelse vid en straffrättslig bedömning av uppsåt och vårdslöshet (se avsnitt 5). Det innebär att okunnighet om de tekniska möjligheterna hos användaren kan medföra att straffrättsligt ansvar inte bör komma ifråga.

Mot bakgrund av vad som nu sagts om hur teknisk möjlighet bör bedömas följer vidare att om ett datoriserat informations— system, exempelvis ett enkelt ordbehandlingsprogram, saknar sökfunktion men kan tillföras sådan, föreligger den tekniska möjligheten att ta fram personuppgifter först sedan förut- sättningarna att söka på personuppgift i praktiken föreligger. Huruvida det skulle vara tekniskt och ekonomiskt enkelt att tillföra funktionen bör i princip inte tillmätas betydelse. Motsvarande bör gälla möjligheten att ta fram information, t.ex. genom kommunikation med databaser eller bearbetning av optiskt lagrade media. Först sedan kommunikation eller bearbetning verkligen går att genomföra bör teknisk möjlighet i nu angivet hänseende anses föreligga. Förhållandena bör således vara möjliga att fysiskt och objektivt konstatera för exempelvis tillsynsmyndigheten. Omfattningen av bearbetnings- möjligheterna är emellertid utan betydelse. En viss persondata- mängd består av alla de bearbetningar som är tekniskt möjliga att genomföra vid en given tidpunkt och som faller inom ramen för ett visst givet ändamål.

Den omständigheten att begreppet ges en relativt vidsträckt avgränsning hindrar givetvis inte att ytterligare begränsningar i enskilda fall skulle kunna föreskrivas i villkor från datainspek- tion vad avser tillåtna sökbegrepp o.d.

Kravet på att information kan göras till föremål för en auto- matisk databehandling, varigenom personuppgifter blir till— gängliga genom systematiska uttag, sökningar eller samman-

ställningar, reser speciella frågor rörande delkomponenter som optiska lagringsmedia, dvs. främst CD-ROM, som kan ingå i ett integrerat system.

CD-ROM gör det möjligt att lagra stora mängder information, inklusive personuppgifter. Sökning av information sker med hjälp av sökprogram som temporärt lagras i en dator så länge en viss skiva används. Innehållet på skivan kan naturligtvis också överföras till och lagras direkt i en dator. Informationen på skivan är dock inte möjlig att ändra. En ändring av inne- hållet kan emellertid ske efter bearbetning i en dator, om det lagras på ett annat minne. Likheten mellan CD—ROM och en databas är stor. CD—ROM har dock fördelar genom sin kapacitet och den snabbhet med vilken informationen kan avläsas. Det är också mer ekonomiskt fördelaktigt att använda sig av informa— tionen på CD-ROM än sökning i en databas som endast kan nås via telenätet och som det är dyrt att ha on—line. CD-ROM har även betydligt längre hållbarhet än disketter och hårddiskar.

Redan CD—ROM som sådan jämte det sökprogram som hör till skulle omfattas av en definition som enligt vad som redovisats ovan tog sikte på teknisk möjlighet, under förutsättning att personuppgifter förekom lagrade på skivan.

För närvarande används CD-ROM för att lagra bl.a. biblio- teksinformation samt ordböcker och lexika. I detta material kan naturligtvis personuppgifter ingå. Motsvarande gäller databaser med samma innehåll. Enligt utredningens mening skulle det emellertid föra för långt att låta det nya personregisterbegreppet (persondatamängd) omfatta personuppgifter som enbart före— kommer som biblioteksinformation eller i form av lexikaliska uppgifter. Det får förutsättas att tillgång till personuppgifter av detta slag, även med användning av avancerad sökteknik, inte innebär någon ur integritetsskyddssynvinkel beaktansvärd risk. (Jfr den s.k. biblioteksregeln i 2 kap. 11 & TF, prop. 1990/91:60, KU11, rskr 160.)

Om användningen av ett system tillåter att användaren får del av uppgifter av en sådan referenskaraktär, oavsett om de förekommer lagrade på CD—ROM eller i en databas, men systemet inte möjliggör sambearbetning med andra personupp— gifter, bör de undantas från bestämningen av det nya person— registerbegreppet (persondatamängd).

I den mån användningen av CD—ROM eller databas med det innehåll som nu har nämnts integreras i ett system som gör det möjligt att göra sökningar och sammanställningar med andra personuppgifter, bör undantaget således inte gälla. Det innebär exempelvis att, om informationen som hämtas från CD—ROM eller en databas med innehåll som nu har nämnts överförs och

lagras på en dator, vilken i sin tur kan kopplas till andra system som innehåller personuppgifter, undantaget upphör att gälla. Härmed markeras att det inte är den tekniska bäraren av viss in- formation (exempelvis CD-ROM) som är undantagen, utan den tekniska möjligheten till strukturering av viss information som är föremål för reglering.

En sådan vid bestämning som enbart möjligheten till struktu— rering utgör utan krav på avsikt att skapa register o.d, är ytter— ligare ett stöd för att utmönstra personregisterbegreppet och använda termen persondatamängd som utredningen föreslagit ovan.

Det bör inte komma i fråga att låta kontroll och tillsyn omfatta alla personuppgifter med samma noggrannhet. En rimlig avvägning måste som framgått göras, så att hänsyn även kan tas till den skillnad i systemutnyttjande som finns mellan olika ADB—användare. Utredningens förslag till en skärpt tillsyn (se SOU 1990:61) bygger också på att kontrollen och tillsynen koncentreras till vissa känsliga datamängder. De konsekvenser som det föreslagna personregisterbegreppet får på utredningens förslag i övrigt, effekterna när det gäller skyldigheten att lämna underrättelse till den registrerade och att redovisa omfattningen av olika persondatamängder samt sambearbetning behandlas nedan.

Sammantaget föreslår utredningen att föremålet för reglering av ADB—information och begreppet persondatamängd i en framtida datalag ges följande definition:

"En persondatamängd är en samling personuppgifter som hänförs till ett visst ändamål och som kan bli tillgängliga genom systema— tiska uttag, sökningar eller sammanställningar vid en automatisk databehandling.

Som persondatamängd anses inte personuppgifter som ingår i sådana uppgiftssamlingar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial. "

Avgränsning mot manuell bearbetning

Enligt gällande rätt förstås med inrättande av personregister även insamling av uppgifter som skall ingå i registret (2 5 sista stycket datalagen).

Utredningen har i det första betänkandet ansett att även fram— gent manuellt insamlade personuppgifter som skall tillföras personregistret skall avses ingå i det. Vidare ansåg utredningen att manuellt förda uppgifter, exempelvis bestämda sökord, som är en förutsättning för den automatiska bearbetningen bör omfattas av registerbegreppet. Utredningen pekade också på att det kunde övervägas att låta manuella personuppgifter som

tekniskt bearbetad data hänvisade till ingå, om det fanns ett klart samband mellan de olika informationsdelama. Slutligen borde, liksom f.n. dokumentationen av bearbetningen omfattas av registerbegreppet.

I sitt remissyttrande har datainspektionen, som framgått, menat att frågan om manuell hantering reser två skilda fråge- ställningar.

Den ena frågan är om manuellt lagrade personuppgifter skall omfattas av datalagens regler. Inspektionen förordar här att så sker, endast om det föreligger en mycket stark koppling till själva ADB-registret.

Den andra frågan är huruvida det vid en bedömning av ett registers känslighet skall tas hänsyn också till uppgifter som inte ingår i registret, men som blir lättare tillgängliga genom ADB— registret.

Frågan om "inrättande" av personregister får en annan betydelse om bestämningen av personregister skall ske redan genom att den tekniska möjligheten att på ADB—väg söka och sammanställa uppgifterna finns. "Inrättandet" blir därmed inte lika klart fixerat som enligt nuvarande ordning.

I vilken omfattning integritetsskyddsreglerna bör innefatta också manuella uppgifter bör, som inspektionen framhållit, ses i ljuset av dels hur nära knutna de är till ADB-hanteringen, dels vilket slag av uppgifter det är fråga om. Utredningen har som framgått av det tidigare betänkandet avvisat tanken på att generellt låta integritetsskyddet omfatta manuella uppgifter. (Utkastet till EG—direktiv går här i en annan riktning, se avsnitt 2 i SOU 1991:21).

En grundförutsättning för frågan i vilken utsträckning som manuella uppgifter bör ingå i begreppet persondatamängd bör vara att den registeransvarige har möjlighet att använda och kontrollera såväl de manuella uppgifterna som ADB—materialet.

Vid bedömning av i vilken utsträckning manuella uppgifter bör omfattas av begreppet persondatamängd kan fyra särskilda fall urskiljas:

I Manuellt insamlade uppgifter som skall göras till föremål för ADB

' Dokumentation, dvs. närmast upptagning för ADB i läsbar form

! Manuellt förda sökord eller index till ett ADB—lagrat material

I Manuella uppgifter till vilka ADB—förda sökord eller index finns.

De två första fallen bör liksom f.n. omfattas. Tillämpningen av dessa fall reser som regel inte heller några svårigheter.

De manuella uppgifterna i det tredje fallet, dvs. att orientering i och framtagning av ett ADB-lagrat material sker genom ett manuellt fört index, anses i praxis omfattas av det nuvarande personregisterbegreppet. Tyngdpunkten ligger i det fallet i ADB-materialet och sambandet med de manuella uppgifterna är så påtagligt, att uppgifterna också bör bedömas som en helhet. Till denna kategori hör naturligtvis bl.a. fall där personupp- gifterna blir tillgängliga först genom användning av en manuellt förd kod eller krypteringsnyckel (se avsnitt 45.10 i SOU 1991:21).

Det fjärde fallet slutligen innebär vissa gränsdragnings- svårigheter. Huvuddelen av informationen är i det fallet manuellt förd och ADB-uppgiften är närmast av index- eller sökordskaraktär. Sambandet mellan informationsdelarna är inte lika påtagligt och entydigt som i det föregående fallet, där den manuella informationen endast har till syfte att göra ADB- materialet tillgängligt med de vidare bearbetningsmöjligheter på automatisk väg som detta i sin tur innebär.

En samling manuella uppgifter, till vilka är kopplat ett ADB— fört index eller ADB-förda sökord, innebär att bearbetnings- möjligheterna är färre och att den automatiska databehandlingen är mycket begränsad. Som framgått är det huvudsakligen ADB— teknikens möjligheter som motiverar integritetsskyddet på området.

Visserligen kan de manuella uppgifterna vara sådana, att det ur strikt integritetssynvinkel finns skäl som talar för att de bör omfattas av persondatamängden. Det är emellertid då närmast fråga om samma skäl som talar för att även manuellt material skall omfattas av regleringen i datalagen. Med hänsyn till den svaga ADB-anknytningen bör alltså uppgifterna anses falla utanför begreppet persondatamängd.

Avslutningsvis bör framhållas att frågan om gränsdragning mellan ADB-material och manuella uppgifter försvinner, om förslaget till EG-direktiv antas och Sverige skulle behöva anpassa sina bestämmelser till dessa direktiv. Som nämnts skulle alla manuella personregister ingå i en sådan reglering (se avsnitt 2.2 i SOU 1991:21).

Konsekvenser för ett framtida tillsynssystem

En huvuduppgift för inspektionen i ett renodlat tillsynssystem, sådant det angetts av utredningen i ett tidigare betänkande (SOU 1990:61), blir att genom inspektioner och kontroll se till att bestämmelserna efterlevs och integritetsskyddet upprätthålls. En annan viktig del är den normering av vissa branscher och sektorer som inspektionen förutsätts göra i en sådan ordning.

Underlaget för tillsynen skulle i huvudsak utgöras av _de anmälningar om register som föreligger hos inspektionen.

Det är vidare naturligt att datainspektionens tillsyn i första hand inriktas på de typer av register som skall anmälas till inspektionen. Enligt utredningen skulle inom de områden som normerats endast personregister med känsliga uppgifter o.d. behöva anmälas. Inom det område som inte i förväg reglerats av inspektionen skulle dock i princip alla personregister anmälas.

Anmälningsplikt skulle, oavsett om detaljnormering föreligger eller inte, således gälla för följande tre kategorier av personupp- gifter.

l. Känsliga uppgifter i egentlig mening, dvs. uppgift om brott, tvångsingripande, hälsa, sexualliv, ras, politisk upp- fattning, religiös tro etc.

2. Personuppgift som avser omdöme eller annan värderande upplysning om någon.

3. Uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande o.d. Med det vidsträckta personregisterbegrepp (persondatamängd) som utredningen i föregående avsnitt diskuterat måste emellertid en viss anpassning ske av det tidigare föreslagna tillsyns- systemet. Utredningen har tidigare uppskattat att en så stor del som tre fjärdedelar av alla register skulle kunna regleras i förväg av datainspektionen. Med hänsyn till huvudsakligen informations- teknologins utveckling, vilken som framgått styrt valet av avgränsning av personregisterbegreppet, torde det område som inspektionen har möjlighet att detaljnormera komma att bli mindre än vad som tidigare förutsatts. En begränsning i denna del ligger också i linje med de önskemål som datainspektionen framfört i sitt yttrande över ett tidigare betänkande (SOU 1990:61). Utgångspunkten för ett framtida tillsynssystem bör mot denna bakgrund i stället vara, att de grundläggande bestämmelserna

om datakvalitet, insynsrätt, rättelsemöjligheter m.m. i en framtida datalag i princip bör vara tillämpliga på alla person- register i den omfattande mening som nu har redovisats. (Det skulle således gälla även en persondatamängd som används uteslutande för personligt bruk, vilket motsvarar vad som gäller i dag. Utredningen återkommer till denna fråga nedan.) Slaget av personuppgifter och anknytningen till den ansvarige bör däremot vara avgörande för den närmare tillämpningen av tillsyns— och kontrollbestämmelserna. En sådan uppdelning faller väl in under huvudprincipen att resurserna bör koncentreras till de mera integritetskänsliga områdena.

Anmälningsplikt rörande de tre kategorier av uppgifter som nämnts ovan bör vidare finnas för samtliga persondatamängder, oavsett användningsområde och bransch- eller sektorsnormering. Det innebär exempelvis att en ansvarig som endast använder personuppgifter som har en naturlig anknytning till honom inte behöver göra någon anmälan. Inte heller finns det anledning att i detalj normera en sådan persondatamängd, eftersom den bör täckas av de grundläggande bestämmelserna i datalagen. Skulle i ett fall med naturlig anknytning uppgifterna i sig vara känsliga, trots anknytningen, bör dock givetvis anmälnings- skyldighet föreligga. Som berörs nedan kan det dock övervägas att ytterligare begränsa anmälningsplikten till områden som inte normerats av datainspektionen.

Som utredningen angett i närmast föregående betänkande (SOU 1991:21) bör vidare forsknings- och arbetslivsområdena, där känsliga uppgifter resp. uppgifter som avser omdöme kan förekomma, direkt regleras i en framtida datalag.

Som nämnts kan en utgångspunkt vara att vissa grundläggande skyldigheter bör vara tillämpliga på alla personuppgifter, inkl. dem som används uteslutande för personligt bruk. Detta motsvarar i princip också nuvarande ordning.

För personregister som en enskild person inrättar eller för uteslutande för personligt bruk krävs emellertid f.n. inte licens eller tillstånd. Inte heller krävs i motsvarande fall att s.k. 7 a å- förteckning förs. I princip föreligger dock för register som förs för personligt bruk bl.a. skyldighet att lämna underrättelse enligt 10 & till den som begär det och att vidta rättelse m.m. Det torde emellertid tillhöra ovanligheterna att en privatperson får en begäran om att lämna underrättelse ur eventuella person- register. Såvitt utredningen har kunnat finna utövar datainspek— tionen inte heller någon tillsyn på detta område.

Mot denna bakgrund kan det sättas i fråga om det finns anledning att bibehålla vissa skyldigheter för register som förs uteslutande för personligt bruk. Det är knappast troligt att i ett

framtida tillsynssystem datainspektionen skulle ha möjlighet att intensifiera sin tillsyn på detta område. Det är inte heller önskvärt att så sker, eftersom utgångspunkten för tillsynen bör vara att bevaka områden där integritetsriskerna typiskt sett är större. Användningen uteslutande för personligt bruk hör inte till dessa områden. Bestämmelser som inte kan kontrolleras bör i princip inte införas. I förslaget till EG—direktiv har också angetts att enskilda register för privat och personligt bruk inte omfattas av bestämmelserna.

Med hänsyn till vad som nu anförts anser utredningen att persondatamängder som används uteslutande för personligt bruk inte bara bör undantas från en framtida anmälningsskyldighet utan helt falla utanför datalagens tillämpningsområde. Det bör framhållas att det naturligtvis finns anledning även framgent att kontrollera och pröva om en viss användning är sådan att den anses falla inom området personligt bruk.

Med anmälningsskyldighet bör också följa en skyldighet att betala en avgift till inspektionen, så länge en persondatamängd förekommer i verksamheten. Någon anledning att ta ut en avgift av alla ansvariga som tidigare föreslagits (se avsnitt 8.11 i SOU 1990161) föreligger inte längre med det vidsträckta person- registerbegrepp som nu diskuterats.

När det gäller ett bemyndigande för datainspektionen att i ett framtida tillsynssystem normera skilda områden bör detalj- regleringen, som tidigare har antytts, kunna inskränkas till de områden där registrering av känsliga uppgifter förekommer. Omfattningen härav är bl.a. beroende av utvecklingen i fråga om registerlagar och statsmaktsregister i övrigt.

För datainspektionens del bör de föreslagna ändringarna innebära påtagliga lättnader i förhållande till det nuvarande tillståndssystemet, eftersom handläggningen av tillståndsärenden kan upphöra. Vad som nu föreslås i fråga om persondatamängd och anmälningsplikt är en ytterligare avbyråkratisering i jämförelse med vad som skisserats i ett tidigare betänkande (se avsnitt 8.6.2 i SOU 1990:61).

Koncentrationen av anmälningsplikten till enbart känsliga personuppgifter medför att antalet anmälningar högst bör uppgå till det antal som enligt nuvarande ordning är tillståndspliktigt (f.n. uppgår antalet till knappt 2 000 årligen, exklusive de ärenden som faller inom det förenklade förfarandet; se avsnitt 5.1 och 5.2 i SOU 1990:61). Förändringen av begreppet persondatamängd torde i sig inte medföra någon ökning i detta hänseende.

Om en anmälningsplikt, som begränsas på det sätt som nu föreslagits, likväl skulle anses innebära hinder för ett effektivt

resursutnyttjande för datainspektionens del kan det övervägas att låta anmälningsplikt gälla endast för känsliga personuppgifter som förekommer inom områden som inte har normerats av inspektionen. För detta talar att en normering av inspektionen av en viss bransch eller område bör föregås av en relativt noggrann kartläggning som ger den nödvändiga överblick som anmälningarna syftar till. Det bör slutligen också påpekas att anmälningarna av datainspektionen bör kunna handläggas på ett sådant flexibelt sätt, att onödig byråkrati och resursslöseri kan undvikas. Man torde kunna räkna med att det i en del fall inte behövs något särskilt beslut från datainspektionen i form av villkor för persondatamängden eller förbud att använda den. I dessa fall kan anmälningarna efter granskningen bara läggas till handlingarna. Den nu berörda frågan har naturligtvis ett nära samband med hur de materiella reglerna på integritetsskydds- området utformas. Utredningen återkommer till den frågan i den sista etappen av sitt arbete.

Sambearbetning

I ett tidigare betänkande (avsnitt 8.6.5 i SOU 1990:61) har utredningen angett att frågor om sambearbetning i ett framtida tillsynssystem i princip bör regleras med samma grad av flexibilitet som har förutsatts för register i allmänhet.

Den omständigheten att sambearbetning sker av personupp- gifter i flera persondatamängder kan visserligen ibland sägas leda till ett mera omedelbart och okontrollerat integritetsintrång än om insamling och lagring sker avseende en persondata- mängd. Utredningen diskuterade därför i det tidigare betänkan- det om tillstånd skulle behållas för vissa fall, närmast de fall där datainspektionen inte i förväg normerat användningen, men fann att någon särlösning inte borde införas. En ordning med tillståndsprövning för dessa fall skulle enligt utredningen innebära ett orimligt stort ianspråktagande av datainspektionens resurser utan motsvarande vinster för integritetsskyddet. Även för sambearbetningsfallen borde ett flexibelt och obyråkratiskt system upprätthållas.

Utredningens överväganden i denna del har inte motsagts av remissinstanserna.

Utredningens övervägande i föregående avsnitt rörande ett nytt begrepp, persondatamängd, bör inte innebära någon avgörande ändring i fråga om synen på sambearbetning.

Sambearbetning innebär närmast att personuppgifter som ingår i en persondatamängd bearbetas med uppgifter som ingår i en annan mängd.

Det föreslagna begreppet persondatamängd som sådant förutsätter att en viss sambearbetning är möjlig inom ramen för ett visst ändamål, utan att för den skull en ny persondatamängd uppstår. Endast om ändamålet efter sambearbetning ändras, kan en ny persondatamängd sägas föreligga. Genom sambearbet- ningen kan också uppgifterna i övrigt ha ändrats i en sådan väsentlig grad att en ny persondatamängd föreligger.

Om bearbetningen således inte är av ett mera väsentligt slag eller innebär att ändamålet ändras, sker ingen förändring av persondatamängden. Skulle ett nytt ändamål efter sambe- arbetning av en viss persondatamängd komma till användning, föreligger däremot definitionsmässigt en ny persondatamängd.

I den mån det förekommer sambearbetningar som inte berör känsliga uppgifter, dvs. sådana personuppgifter för vilka enligt vad som utvecklats i föregående avsnitt anmälningsplikt skulle följa, bör dessa bearbetningar fritt få utföras, oavsett om en ny persondatamängd föreligger eller inte. De grundläggande bestämmelserna om datakvalitet m.m. i en framtida datalag bör dock givetvis vara tillämpliga på de berörda persondatamängd- erna. Frågan om missvisande uppgifter o.d. bör särskilt uppmärksammas i det sammanhanget. En sambearbetning kan nämligen någon gång leda till att uppgifter som var och en för sig är av icke-känsligt slag sammantaget kan vara integritets- kränkande eller missvisande. Se vidare nedan om rättelsemöjlig- het.

Sammanfattningsvis bör anmälan således i sambearbetnings- fallen göras endast om sambearbetningen medför att en känslig uppgift innefattas i persondatamängden.

Persondatamängd och rätten till underrättelse och rättelse, m.m.

Rätten till insyn i personregister är grundläggande för in- tegritetsskyddet. Härigenom får den enskilde en möjlighet att kontrollera huruvida registrering av honom sker och i vad mån uppgifter som finns om honom eller henne är riktiga.

Bestämmelserna härom (10 & datalagen) skall ses tillsammans med rätten att få oriktiga eller missvisande personuppgifter rättade eller ofullständiga uppgifter kompletterade samt skyldig- heten för den registeransvarige enligt nuvarande regler att hålla sina personregister förtecknade m.m. (8 - 9 resp. 7 a åå data- lagen).

I det följande skall redovisas hur det föreslagna persondata- mängdsbegreppet inverkar på de bestämmelser som nu har nämnts.

66 SOU 1991:62 7 a 5 - förteckning

Enligt nuvarande bestämmelser skall det hos den registeransva- rige finnas en aktuell förteckning över de personregister som han är ansvarig för. Förteckningen skall innehålla uppgift om registrets benämning, registrets ändamål, lokalen där ADB huvudsakligen utförs och i vad mån uppgifter lämnas ut för automatisk databehandling i utlandet. Vidare skall enligt en lagändring som träder i kraft den 1 januari 1992 anges i vad mån personnummer registreras och för myndigheter i före- kommande fall huruvida rätt att sälja personuppgifter före- kommer. (SFS 1991:187, prop. 1990/91:60, KU11, rskr. 160) Slutligen skall numret på den registeransvariges licens finnas antecknad.

Vid en övergång till en ordning där registerbegreppet ersätts med "datamängd" kvarstårlikväl behovet att för tillsynsändamål kunna identifiera omfattningen av de personuppgifter som förekommer i en viss verksamhet. Skyldigheten att hålla aktuell information härom tillgänglig bör därför kvarstå. Det nuvarande kravet på registerbenämning och registerändamål bör därför ersättas med en skyldighet att förteckna benämningen på den persondatamängd som görs tillgänglig för ett visst angivet ändamål. I den mån det således i en verksamhet förekommer att ADB-anknutna personuppgifter används för personaladmini- stration skall detta t.ex. anges som "persondatamängd för personaladministrativa ändamål ". Som framhållits tidigare måste ändamålen anges specificerat och konkret.

En persondatamängd kan förändras genom olika automatiska bearbetningar. Så länge de ryms inom det angivna ändamålet förändras inte begreppet i rättslig mening. Någon anledning att i en förteckning ange de olika bearbetningsmöjligheter och tekniska system som kan finnas för ett givet ändamål finns därför inte, så länge ändamålet är angivet med en tillräcklig grad av precision.

F.n. är 7 a 5 - förteckningen kopplad till licensinnehav. Som utredningen tidigare föreslagit (se avsnitt 8.11 i SOU 1990161) bör licenssystemet avskaffas. Någon försämring av inspek- tionens kontrollmöjlighet bör detta dock inte medföra. Det kan — med hänsyn till den datatekniska utvecklingen - på goda grunder antas att praktiskt taget alla i sin verksamhet kommer att använda ADB som hjälpmedel och därmed ha skyldighet att ha en förteckning över den persondatamängd som används. Som framgått bör inte användning uteslutande för personligt bruk omfattas.

10 5 - utdrag och rättelsemöjlighet

Den enskilde har rätt att på begäran från den som ansvarar för registret så snart det kan ske få underrättelse antingen om innehållet i personuppgift som ingår i personregistret och innefattar upplysningar om honom eller om att sådan uppgift inte förekommer i registret.

Rätten till insyn är en grundpelare i integritetsskyddet och en nödvändig förutsättning för att möjligheten till rättelse skall kunna föreligga.

Det förhållandet att registerbegreppet ersätts med begreppet datamängd bör inte medföra någon skillnad härvidlag.

En förfrågan från den enskilde om personuppgift om honom föreligger kan avse antingen en persondatamängd för ett visst ändamål eller huruvida över huvud taget personuppgift om honom eller henne finns och kan tas fram med hjälp av ADB.

I båda fallen får det ankomma på den ansvarige att göra de sökningar och sammanställningar som frågan föranleder med utnyttjande av de tekniska förutsättningar som står till buds. Det kan innebära att underrättelseskyldigheten i en del fall kan bli mera omfattande än för närvarande genom den bearbetnings- kontroll som måste göras.

Inte heller rätten att få felaktiga uppgifter rättade eller ofullständiga uppgifter kompletterade bör påverkas av att personregisterbegreppet ersätts av begreppet persondatamängd. I båda fallen är det närmast personuppgiften som är föremål för rättelse o.d. Med tanke på att bearbetningsmöjligheterna innefattas i det nya begreppet persondatamängd på ett annat sätt än registerbegreppet bör emellertid frågan om missvisande uppgifter särskilt observeras.

I nuvarande ordning tillkom begreppet "missvisande" upp- gifter år 1988. Begreppet tar främst sikte på det intryck som en personuppgift skapar i sitt sammanhang. Bedömningen får göras mot bakgrund av bl.a. registrets ändamål. Ett exempel på en missvisande uppgift som brukar nämnas är en inkomstuppgift som förts över till ett register för användning på ett område där man tillämpar ett annat inkomstbegrepp än på det område varifrån uppgiften hämtats. Någon klar gräns är inte möjlig att dra mellan oriktiga och missvisande uppgifter. En gemensam beteckning brukar vara felaktiga uppgifter.

Visserligen omfattar begreppet persondatamängd de möjliga bearbetningar som ADB-tekniken i ett visst givet ögonblick erbjuder, men avgränsningen sker ytterst av ändamålet. Det innebär att en kontroll av uppgifter i ljuset av de uppgivna ändamålet avslöjar om uppgifterna är missvisande. Möjligheten

att få rättelse av missvisande uppgifter bör således inte heller påverkas av att personregisterbegreppet ersätts av begreppet persondatamängd.

Sammanfattningsvis bör enligt utredningens mening inte införandet av ett nytt begrepp i stället för personregister leda till någon mera genomgripande förändring när det gäller skyldig- heten för den ansvarige att hålla information om personuppgifter aktuell, underrätta den enskilde om innehållet eller företa rättelse o.d. Möjligen kan underrättelseskyldigheten bli något mera omfattande och därmed också de fall då rättelse o.d. måste vidtas. Detta ligger emellertid väl i linje med en önskvärd utbyggnad av integritetsskyddet.

3.2 Registeransvarig (persondataansvarig)

3.2.1 Gällande rätt

Även begreppet registeransvarig definieras i 1 & datalagen:

"den för vars verksamhet personregister förs, om han förfogar över reg1stret. "

Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga. Med att förfoga över ett register avses närmast en befogenhet att överföra registrets innehåll till läsbar form. En registeransvarig måste också kunna påverka innehållet i registret genom att tillföra uppgifter eller ändra de uppgifter som ingår i registret för att förfoga över det.

Departementschefen anförde i specialmotiveringen till 1 5 i denna del bl.a. följande (prop. 197333 s. 19 f):

"Definitionen av uttrycket registeransvarig bör utformas så, att man utesluter dels servicebyråer och andra som helt osjälvständigt handhar bearbetningen av ett register, dels sådana som använder sig av registret utan att kunna bestäma om dess innehåll. Med hänsyn härtill anser jag att med registeransvarig bör avses den för vars verksamhet personregister förs, om han förfogar över registret. Begreppet förfogande bör därvid ges samma innebörd som 1 de föreslagna bestämmelserna i 2 kap. 2 & tredje stycket och 9 9 första stycket TF. Den nu berörda regeln bör tillämpas på sådant sätt att alltid någon kan konstateras vara registeransvarig. Givetvis bör såväl _fysiska som juridiska personer kunna vara registeransvariga. Aven myndigheter bör kunna falla under begreppet registeransvarig, fastän de inte är att anse som själv- ständiga juridiska personer.

Som har påpekats under remissbehandlingen förekommer det inte sällan att ett visst datasystem inrättas och förs för flera myndigheters eller organisationers räkning. I sådant fall blir varje

myndighet eller organisation att anse som registeransvarig, under förutsättning att myndigheten eller organisationen kan bestämma över registerinnehållet eller någon del av detta. I en sådan situation åligger det var och en av myndigheterna eller organisa- tionerna att ansöka om tillstånd beträffande registret. Uppen- barligen föreligger emellertid inte något hinder att ge in en gemensam ansökan eller att låta ett särskilt organ ansöka om tillstånd för de registeranvarigas räkning. "

De omnämnda förslagen till 2 kap. 2 & tredje stycket och 9 5 första stycket TF avsåg närmast ändringar varigenom TF i vissa delar gjordes tillämplig också på ADB—upptagningar. I denna del anfördes i lagstiftningsärendet bl.a. (prop. 1973:33 s. 77):

"Emellertid kan man, när det gäller upptagningar, inte helt och hållet nöja sig med den nu berörda huvudregeln, dvs. att en upptagning är allmän när den förvaras hos myndighet. Som har påpekat(s) förekommer det att databehandling utförs för myndig- heters räkning vid privata företag eller andra organisationer som inte är att anse som myndigheter i TF:s mening. En upptagning som har kommit in till eller upprättats hos ett sådant företag e.d. och som används i en myndighets verksamhet bör givetvis inte vara undandragen offentligheten. Huvudregeln om när upp- tagningar skall anses allmänna bör därför kompletteras med en regel om att upptagning skall anses förvarad hos myndighet och därmed betraktas som allmän även i fall då den har kommit in till eller upprättats hos annan än myndighet, under förutsättning att myndighet förfogar över upptagningen. Den nu förordade regeln bör föras in i 2 kap. 2 & TF.

Frågan i vad mån en myndighet förfogar över upptagning som finns hos ett privat företag e.d. får avgöras med ledning av bl.a. de avtal som har träffats mellan myndigheten och företaget. För att en myndighet skall anses förfoga över en ADB-uppta "ng bör det normalt förutsättas att myndigheten ha rätt att fgöila över upptagningen till visuellt läsbar form. En sådan överföring kan ske genom att myndigheten har en terminal e.d. som är kopplad till den privata dataanläggningen. På samma sätt bör man, när det gäller upptagningar som kräver tekniskt hjälpmedel för att kunna avlyssnas, förutsätta att myndigheten kan föra över upptagningen till avläsningsbar form."

Myndighetsbegreppet spelar en central roll för bedömning av begreppet registeransvarig inom den offentliga sektorn. Regeringsformen skiljer mellan två slag av offentliga organ, dels beslutande församlingar såsom riksdagen, kyrkomötet, kommunfullmäktige, landsting och kyrkofullmäktige, dels myndigheter. De senare utgörs av regeringen, domstolarna och förvaltningsmyndigheterna. Regeringsformens myndighets- begrepp används även vid tillämpning av tryckfrihetsförord— ningen och sekretesslagen. Även vid tolkning av datalagen anses samma avgränsning av begreppet myndighet kunna göras (En utförlig redovisning av myndighetsbegreppet finns i Hellners—

Malmqvist, Nya förvaltningslagen med kommentarer, 1989, s. 38 ff).

I praxis har vissa svårigheter uppstått när det gällt att be- stämma huruvida en kommunal eller statlig organisatorisk enhet utgör en egen myndighet eller ingår i en annan myndighet.

Staten och kommunen är juridiska personer och som sådana bärare av civilrättsliga rättigheter och skyldigheter, medan de statliga eller kommunala myndigheterna som regel inte anses vara juridiska personer.

I praxis har det inte förekommit att staten som sådan ansetts registeransvarig. För kommunernas del har det förekommit att inspektionen ansett en kommun eller en landstingskommun vara registeransvarig. I två fall har regeringen dock ansett att ansvaret åvilat en berörd nämnd i stället (dnr 325—83 och 360— 83). Numera föreskrivs i de av datainspektionen fastställda verkställighetsföreskrifterna på området att de kommunala nämnderna är ansvariga (se DIFS 1990z2).

I fråga om statens löneuträkningssystem (det s.k. SLÖR— registret) har en del myndigheter hävdat att de inte förfogar över det i datalagens mening. Enligt regeringens uppfattning anses dock myndigheterna förfoga över registret och vara registeransvariga, då de själva eller genom annan kan gå in i registret och förse det med uppgifter och därmed påverka innehållet i det till någon del.

Liknande problem som finns när det gäller avgränsningen inom den offentliga sektorn finns även inom den privata. Inom koncern- och andra bolagsbildningar kan det ibland vara svårt att fixera registeransvaret.

3.2.2 Europarådskonventionen

Enligt Europarådskonventionen (art. 2d) är en registeransvarig (controller of the file) den fysiska eller juridiska person, offentlig myndighet eller företrädare eller något annat organ som i enlighet med inhemsk lag är behörig att besluta vad ändamålet med det automatiska dataregistret skall vara, vilka slags uppgifter som skall lagras i det och vilka operationer som skall utföras med dem.

3.2.3 Förslaget till EG-direktiv

I utkastet till EG-direktiv (art. 2) anges den registeransvarige på samma sätt som i Europarådskonventionen men med tillägg dels avseende EG-rätt som komplettering till inhemsk rätt, dels att behörigheten att besluta om registret också kan avse vilka tredje

män som får tillgång till registren. ("Controller of the file means the natural or legal person, public authority, agency or other body competent under Community law or the national law of a Member state to decide what will be the purpose of the file, which categories of personal data will be stored, which operations will be applied to them and Which third parties may have access to them).

I kommentaren anges det senare tillägget vara en anpassning i förhållande till konventionen på så sätt, att det särskilt anges att den person som är behörig att tillstyrka att registret råd- frågas, särskilt i händelse av en direkt begäran härom, är att anse som den registeransvarige.

3.2.4 Utredningens tidigare betänkande och remissutfall

I det första betänkandet har utredningen, förutom en redogörelse för gällande rätt, inte vidare behandlat begreppet register- ansvarig.

Landstingsförbundet synes vara den enda remissinstans som har tagit upp frågan enligt följande.

"För närvarande åvilar registeransvaret på det kommunala området den närmast berörda centrala eller lokala politiska nämnden. Ansvaret kan inte delegeras till exempelvis en tjänste- man. I takt med att verksamheten decentraliseras är det angeläget att införa en ordning där förvaltnings- och enhetschefer kan göras till registeransvariga. I många fall handlar det om register vars inrättande och förande inte är frågor av den art och betydelse att de bör tas upp i nämnden. I vissa fall, t.ex. i fråga om datorisera- de patientjournalsystem, är nämnden enligt sekretess- och patielptjlournallagama inte alltid behörig att ta del av registrens 1nne a ."

3.2.5 Överväganden rörande registeransvarighets— begreppet

Begreppet registeransvarig är av grundläggande betydelse, eftersom de rättigheter och skyldigheter som anges i integritets- skyddshänseende knyts till, förutom den registrerade enskilde, den registeransvarige. Utredningen har i föregående avsnitt föreslagit att begreppet personregister ersätts med "persondata— mängd". I konsekvens härmed bör "registeransvarig" fortsätt- ningsvis kallas "persondataansvarig".

Det förefaller som om den nuvarande avgränsningen, med krav på "förfogande" (se avsnitt 3.2.1), närmast vållar tillämp- ningssvårigheter inom den offentliga sektorn. På den privata sidan är det naturligare att koppla ansvaret till den juridiska

eller fysiska person som på ett eller annat sätt har beslutande- rätten och den operativa kontrollen över persondatamängden. Men även där finns avgränsningsproblem inom exempelvis koncernbildningar. På den offentliga sidan, där staten och kommunerna som juridiska personer har ett övergripande civilrättsligt ansvar men verksamheten bedrivs av mer eller mindre självständiga myndigheter, är bilden dock mera kompli— cerad.

Myndighetsbegreppets tolkning vad avser rätten till offentliga handlingar har i praxis till synes kommit att styra avgräns— ningen. Ett krav på möjlighet att påverka innehållet (förfoga) i det finns emellertid som framgått. Det är närmast fråga om att i rättslig mening förfoga över innehållet. Ett faktiskt förfogande är således som regel inte tillräckligt. Det innebär att exempelvis servicebyråer och andra som osjälvständigt handhar bearbetning av ett register inte är att anse som registeransvariga. Genom att persondataansvarighets- och myndighetsbegreppen numera har likställts i praxis har vissa fördelar uppnåtts. Det innebär att den persondatamängd som förekommer och används inom en myndighets område också är myndighetens ansvar som sådan, oberoende av hur den operativa kontrollen i myndigheten är ordnad. Det innebär en utveckling i en annan riktning än den som exempelvis Landstingsförbundet förordar i sitt yttrande.

En annan möjlighet, om inte nuvarande definition bibehålls, är att knyta persondataansvaret hårdare till den som har den yttersta bestämmanderätten över och kontroll av ett informa- tionssystem. I direktiven pekas på möjligheten att utse en som ensam ansvarig för ett informationssystem, trots att andra användare har tillgång till systemet och förfogar över detta helt eller delvis.

Valet skulle således närmast stå mellan något av följande tre alternativ:

I nuvarande ordning, dvs. med ett visst krav på förfogande över en persondatamängd och möjlighet till delat ansvar

I ett exklusivt persondataansvar för en "huvudanvändare" i fleranvändarsystem

I en uttunning av kravet på förfogande, så att redan använd- ningen konstituerade ansvar, vilket också skulle innebära flera ansvariga för olika delar av ett och samma system.

Vilket av alternativen som väljs bör ses i ljuset av de konse- kvenser det medför för såväl den vars personuppgifter det gäller som den persondataansvarige.

Särskilt tre omständigheter kommer därvid i förgrunden. Det gäller dels rätten att få insyn i och underrättelse om förekomst- en av personuppgifter (jfr 10 & nuvarande datalag), dels den därmed sammanhängande rätten till rättelse av oriktiga och missvisande uppgifter (se avsnitt 3.1.6). Till dessa två för den enskilde väsentliga faktorer kommer den persondataansvariges skyldighet att ersätta den skada som den enskilde kan ha tillfogats genom att en persondatamängd innehåller oriktig eller missvisande uppgift.

Nuvarande ordning tillmötesgår i så måtto den persondata- ansvarige, att dennes ansvar för felaktiga eller missvisande uppgifter kan sägas svara mot kravet på förfogande, samtidigt som den enskilde i de flesta fall inte behöver missta sig i fråga om mot vem anspråk på underrättelse om innehållet i en persondatamängd skall riktas.

I de fall exempelvis en myndighet, med vilken den enskilde har kontakt, i sin verksamhet använder en persondatamängd, utan att myndigheten kan sägas förfoga över uppgifterna däri, föreligger dock inte någon rätt till insyn, underrättelse eller rättelse enligt datalagen. (Rätt till insyn kan dock givetvis föreligga enligt reglerna om handlingsoffentlighet i tryckfrihets- förordningen och sekretesslagen.) Den enskilde är hänvisad att vända sig till den som kan utpekas som ansvarig. Det kan naturligtvis inträffa att felaktig hänvisning görs eller att oklarhet råder mellan flera myndigheter om vem som är persondata- ansvarig till förfång för den enskilde.

Om ansvaret i stället lades på den myndighet i vars verksam- het uppgifterna användes, oberoende av var kontrollen eller förfogandet i övrigt låg, skulle den enskildes rättigheter i detta hänseende bli bättre tillgodosedda.

Den enskilde skulle kunna vända sig till myndigheten med begäran om underrättelse om innehållet i persondatamängden för egen del och därigenom få möjlighet att påtala eventuella felaktigheter.

Om myndigheten i fråga inte förfogar över uppgifterna, fick för myndigheten i författning föreskrivas en skyldighet att medverka till att rättelse sker. I de fall försummelse förelåg, skulle skadeståndsansvar föreligga för den persondataansvariga myndigheten. Skadeståndskravet skulle således tunnas ut från nuvarande ordning med s.k. strikt ansvar, dvs. ett ansvar oberoende av försumlighet, till ett ansvar för vårdslöshet (culpa). En sådan ordning för skadeståndsansvaret vore att

föredra framför att föreskriva ett strikt ansvar i de fall den persondataansvarige inte kan förfoga över uppgifterna och således påverka dess innehåll. Ingenting hindrar emellertid, om skyddet för den enskilde ytterligare skulle behöva förstärkas, att den ansvarige även i de fallen hade ett strikt ansvar men gavs möjlighet att i ett fleranvändarsystem eller annars regressvis få ersättning av den som orsakat en felaktig eller missvisande personuppgift i en datamängd.

Utredningen återkommer till frågor om skadestånd i ett särskilt avsnitt.

Förutom att skadeståndsaspekten bör beaktas i en ordning, där persondataansvaret läggs på den i vars verksamhet en person— datamängd förekommer, bör ansvaret inskränkas till att omfatta endast den del av ett informationssystem som ingår i verksam- hetsområdet. Det ändamål som styr användningen av en viss datamängd bör härvid kunna användas för att avgränsa ansvars- området i ett fleranvändarsystem. (Jfr avsnitt 3.1.6).

En utveckling mot ett alternativ där förfogandebegreppet inte tillmäts samma betydelse för ansvaret kan sägas i huvudsak gynna den enskilde och ge flera dataanvändare ett ansvar som de idag saknar.

Det återstående alternativet, nämligen att knyta ansvarighets— begreppet härdare till det företag eller myndighet som har den operativa kontrollen över ett fleranvändarsystem, dvs. en centralistisk modell, har en nackdel, eftersom den enskilde måste veta vem som har det rättsliga ansvaret för uppgifterna. Det räcker inte att vända sig till den myndighet eller företag där uppgiften använts. Ytterligare information kan behövas. Som nämnts kan därvid svårigheter uppstå när det gäller att klara ut vem som har ansvaret för att rättelser genomförs.

En sådan ordning har dock uppenbara fördelar. Dels läggs ansvaret för personuppgifternas riktighet på den som har möjlighet att faktiskt påverka innehållet, dels kan skadestånds- ansvaret härigenom också göras strikt gentemot den skade- lidande enskilde.

I samband med inrättandet av en ordning för summarisk process, dvs. mål om betalningsföreläggande och handräckning, hos kronofogdemyndigheterna med hjälp av ADB-teknik har den enskildes rättigheter i detta hänseende lett till en lösning, där såväl riksskatteverket (RSV) som den berörda kronofogde— myndigheten tillagts ett fullständigt registeransvar, trots att riks- skatteverkets befattning med målen varit begränsad (se SFS 1991:876, prop. 1990/91:126, LU34, rskr. 332). Med hänsyn till den förfoganderätt över register som RSVs befattning innebär var det enligt departementschefen nödvändigt att ålägga

RSV ett registeransvar i datalagens mening för kronofogde— myndigheternas register (se prop. 1990/91:126 s. 67 f).

Utvecklingen mot alltmer integrerade informationssystem gör att antalet olika användare ökar. Det är exempelvis vanligt att vissa offentliga register utnyttjas efter avtal med bl.a. banker och näringsidkare. Den information som finns i exempelvis register över företagsinteckningar och fastigheter kan genom datakommunikation direkt användas för bl.a. beslut om kredit- givning. På motsvarande sätt kan uppgifter i folkbokförings- register, det centrala bilregistret eller i värdepapperscentralens register komma till användning i skilda sammanhang genom sammankoppling mellan olika delanvändare. I inget fall behöver användaren ha möjlighet att påverka innehållet i persondata- mängden. I konsekvens med vad utredningen ansett i fråga om personregisterbegreppet skulle dock för användarens del en persondatamängd föreligga redan genom den möjlighet som finns att ta fram personuppgifter för ett visst ändamål genom ADB. Om redan användning av en sådan persondatamängd skulle grunda persondataansvar skulle en avsevärd utvidgning ske i förhållande till nuvarande regler.

Förslaget till EG-direktiven anger att den som har rätt att lämna tredje man tillgång till registret är registeransvarig. Samtidigt förutsätts på denna punkt att den registeransvarige beslutar om användningsändamål, vilka slag av personuppgifter som skall lagras och vilka operationer som skall utföras med dem. Ordalydelsen ger närmast vid handen att rekvisitet om utlämnande skall förenas med övriga rekvisit.

Ett vidsträckt persondataansvarsbegrepp kan naturligtvis leda till att flera myndigheter eller andra användare kan anses ansvariga för samma persondatamängd, beroende på de tekniska hjälpmedel som användarna utnyttjar samt de ändamål och datamängder det är fråga om. Ur den enskildes synvinkel är detta, som redan tidigare har berörts, visserligen ingen nackdel när det exempelvis gäller rätten att få uppgifter strukna eller rättade. Häremot skall emellertid ställas de svårigheter som kan uppstå för en ansvarig, inom såväl den offentliga som enskilda sektorn, som inte har möjlighet att påverka innehållet i person— datamängden utan enbart använder uppgifterna för särskilda lagliga ändamål. För att rättelse skulle kunna ske av felaktiga uppgifter fick dessutom en förfoganderätt konstrueras eller en anmälningsskyldighet till den som har förfoganderätt införas.

Utredningen anser att en rimlig avvägning mellan de olika motstående intressena är att upprätthålla ett krav på ett för- fogande som, i likhet med EG-direktiven, förutsätter att den ansvarige beslutar om användningsändamål, vilka slag av

personuppgifter som skall lagras och vilka operationer som skall utföras med dem. Denna lösning ligger således nära den centralistiska modellen. Härigenom skulle ansvar inte följa för dem som endast använder ett system eller endast förfogar över det i mera begränsad mening (exempelvis de myndigheter som använder SLÖR).

En särskild fråga är vidare hur de fall bör bedömas där en myndighet använder en persondatamängd, för vilken annan ursprungligen är ansvarig, som ett led i en gransknings- eller tillsynsverksamhet. Det gäller exempelvis vid fall av revision eller annan granskning eller polismyndighets handläggning under förundersökning. Ett persondataansvar bör därvid följa för den granskande eller undersökande myndigheten redan genom att ändamålet är annat än hos den vars verksamhet är föremål för granskning eller tillsyn. Genom det nya ändamålet uppstår definitionsmässigt en ny persondatamängd (se avsnitt 3.1.6) för vilken persondataansvar bör föreligga.

I den mån decentralisering sker av beslutsfattande o.d., som berör användning av datasystem, från en central nivå till regionala eller lokala nivåer inom exempelvis den statliga förvaltningen, bör det uppmärksammas att också persondata— ansvaret kopplas till beslutsbefogenheterna. En delegation till lägre nivåer av dataansvaret utesluter dock inte att också den centrala myndigheten kan ha ett ansvar i det hänseende i likhet med vad som nu föreligger för riksskatteverkets del när det gäller den summariska processen (se ovan). Frågor av detta slag aktualiseras t.ex. när det gäller lokala skattemyndighetens hand- läggning av den numera datoriserade folkbokföringen (se prop. 1990/91:53, SkU9, rskr. 109, SFS 1990:1536 och prop. 1990/91:153, SkU28, rskr. 320, SFS 1991:481). Vid utform- ning av bestämmelserna om persondataansvar bör också beaktas reglerna för arkivbildning resp. utlämnande av allmänna handlingar. I görligaste mån bör persondataansvaret för myndigheters del sammanfalla med begreppet arkivmyndighet och registreringskyldighet enligt sekretesslagen (jfr 3 & arkiv— lagen, 1990:782, och 15 kap 13 & sekretesslagen, 1980:100).

Det rekvisit med rätt till "utlämnande" som EG—direktiven innehåller bör inte ges en självständig betydelse. I Sverige reser tillämpningen av ett sådant rekvisit nämligen de speciella frågor som är knutna till den grundlagsskyddade handlingsoffentlig— heten, vilken torde sakna motsvarighet utomlands. Som utredningen tidigare har konstaterat är den svenska hand— lingsoffentligheten enl igt tryckfrihetsförordningen och sekretess- lagen samt personregistreringen hos svenska myndigheter på vissa punkter svår att förena med EG-direktivens krav vad avser

(se avsnitt 2.3 i SOU 1991:21) personregistrering inom den offentliga sektorn.

För att tillgodose den enskildes krav på att utan dröjsmål få veta vem som är persondataansvarig bör det även hos an— vändare, som inte är persondataansvariga, finnas utsedda kontaktpersoner som kan ge nödvändig vägledning (jfr 8 & datalagen). En väsentlig uppgift för en sådan kontaktperson bör vara att ange vem hos en persondataansvarig som har skyldighet att bistå den vars personuppgifter är berörda med 10 å-utdrag eller vid misstanke om oriktig eller missvisande uppgift.

Slutligen bör understrykas att frågan om vem som är straff- rättsligt ansvarig för exempelvis brott mot datalagen inte är avgjord enbart genom att persondataansvaret fixerats. Straff- rättsligt ansvar kan, som bekant, enbart åvila fysiska personer. Vid bedömning härav kan bl.a. frågor om delegation inom en myndighet ha betydelse. Se vidare avsnitt 5.2.1.

4. Utlandsöverföringar

Den nuvarande datalagen (11 &) innehåller en regel om särskilt medgivande från datainspektionen för att lämna ut personupp— gifter i enskild verksamhet för ADB i utlandet. Bestämmelsen är tillämplig på personuppgifter vare sig uppgifterna ingår i personregister i datalagens mening eller inte. För det allmännas verksamhet finns motsvarande bestämmelser i 7 kap 16 & sekretesslagen. Undantag från kravet på medgivande gäller om uppgifter skall lämnas ut för ADB enbart i en stat som anslutit sig till Europarådets konvention om skydd för enskilda vid ADB. Konventionen bygger, liksom förslaget till EG-direktiv på området, på att gränskontroll av dataflöde inte behövs för länder som har en gemensam nivå på integritetsskyddet. Det önskvärda i att underlätta gränsöverskridande informationsflöde ligger också bakom EG-direktivens krav på ett fullgott integritets- skydd. (I utkastet till EG—direktiv åläggs medlemsländerna att kontrollera att de länder utanför EG till vilka information överförs har en tillfredsställande skyddsnivå. I annat fall får överföring inte ske). Enligt OECDs riktlinjer på området skall medlemsländerna vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet (se avsnitt 7.2 i SOU 1990:61).

I praktiken synes det inte vara så vanligt att medgivande enligt datalagen inhämtas. Det kan på goda grunder antas att över-

föring av uppgifter f.n. sker i strid med bestämmelserna även till länder som inte är konventionsanslutna. Liknande erfaren- heter finns utomlands (se exempelvis om Storbritannien i avsnitt 7.4.3 i SOU 1990:61).

Frågan om utlandsöverfo'ring bör i första hand ses mot bak- grund av den pågående lagharmoniseringen på dataskydds- området som i sig skulle onödiggöra särskilda skyddsbestäm- melser vid gränsöverskridande kommunikation. Det får förut— sättas att ett likartat skydd inom en inte alltför avlägsen framtid antagits, inte bara för Europas del, utan för hela OECD— området, dvs. även för Australien, Japan, Kanada, Nya Zeeland och USA.

Syftet med gränskontroll av personuppgifter är naturligtvis att uppgifterna inte används utanför Sverige på ett sätt som innebär integritetskränkning eller i länder där integritetsskyddet är svagare.

I avvaktan på att den nödvändiga internationella harmonise- ringen genomförts bör därför en viss kontroll behållas. När det gäller personuppgifter som faller inom de områden där ut— redningen föreslagit att någon anmälan inte behövs, dvs. personuppgifter som inte är känsliga eller innehåller omdöme eller enbart avser personer med en naturlig anknytning till den ansvarige, kan det dock övervägas att låta informationsöverför— ingen ske helt fritt. Motsvarande skulle kunna gälla de uppgifter som skulle omfattas av ett undantag från bestämningen av begreppet persondatamängd (referensmaterial o.d.).

Uppgifter som i Sverige skulle föranleda anmälan skulle datainspektionen däremot först pröva, innan det medgavs att de fördes utomlands. Det gäller således personuppgifter av känsligt slag, uppgifter som avser omdöme och uppgifter om personer som saknar anknytning till den ansvarige. En nackdel med en sådan uppdelning i "privilegierade" och "icke-privilegierade" uppgifter är att sambearbetningsmöjligheter utomlands inte kan beaktas. Uppgifter som i Sverige endast är av mindre känsligt slag skulle likväl efter bearbetning kunna vara känsliga och integritetskränkande. (Jfr vad som sagts i föregående avsnitt om "missvisande" uppgifter.) Motsvarande gäller enstaka uppgifters karaktär. Uppgifter som endast tagna för sig i Sverige hänförs till kategorin icke-känsliga kan i ett annat land anses vara känsliga, exempelvis uppgift om facklig tillhörighet (se förslaget till EG—direktiv art. 17).

Mot denna bakgrund har utredningen stannat för att låta all informationsöverföring som sker till länder som inte omfattas av konventionen på området omfattas av kontrollen och kräva medgivande av datainspektionen. En sådan lösning synes också

ligga i linje med EG-direktivens krav när det gäller överföring till tredje land. Om länder, som inte är konventionsanslutna, likväl bedöms ha en tillfredsställande skyddsnivå på sin lagstift- ning, bör överföring mera allmänt kunna tillåtas också till dessa länder. Regeringen bör i en förordning kunna ange vilka länder som kan komma i fråga.

Inspektionens prövning i de återstående fallen bör ske efter de kriterier som skall gälla för en tillåten persondatamängd i Sverige.

5. Straff och skadestånd

5 .1 Inledning

Datalagen innehåller ett flertal sanktionsregler. Datainspektionen kan under vissa förutsättningar meddela villkor, ändra tidigare meddelade villkor, förbjuda fortsatt förande av personregister, återkalla meddelat tillstånd och förelägga vite. Behörigheten att förbjuda förande av register omfattar dock inte statsmakts- register, dvs. register om vars inrättande riksdagen eller regeringen har beslutat. Ett personregister kan, om det inrättats eller förts utan nödvändig licens eller tillstånd, även förklaras förverkat. Strajf är föreskrivet för det fall ett personregister inrättas eller förs utan licens eller tillstånd, liksom för under- låtenhet att följa vissa andra i datalagen angivna bestämmelser. Skadestånd kan också utgå i dessa fall. Vidare finns föreskrifter om skadeståndsskyldighet för en registeransvarig, om en registrerad tillfogats skada genom att personregister innehåller oriktig eller missvisande uppgift. Slutligen finns bestämmelser om straff och skadestånd för den som olovligen bereder sig tillgång till ADB—upptagning eller ändrar i eller utplånar personregister m.m. (dataintrång). I förevarande avsnitt behandlas sanktionerna straff och skadestånd.

5 .2 Straff

5.2. 1 Gällande rätt

I 20 & datalagen finns regler om straff för överträdelser av vissa bestämmelser i datalagen. Enligt första stycket döms till

böter eller fängelse i högst ett år den som uppsåtligen eller av oaktsamhet

1. inrättar eller för personregister utan licens eller tillstånd enligt datalagen, när detta erfordras,

2. bryter mot villkor eller förbud som datainspektionen har meddelat enligt 5, 6 eller 18 &,

3. lämnar en personuppgift i strid mot utlämnandeför- budet i 11 &, dvs. lämnar ut personuppgifter ur personregister när det finns risk för att uppgifterna skall användas i strid mot datalagen eller lämnar ut sådana uppgifter, utan erforderligt tillstånd av datainspektionen, när det kan antas att uppgifterna skall användas för automatisk databehandling i en stat som inte anslutit sig till Europarådets data— skyddskonvention.

4. bryter mot gallringsregeln i 12 ä,

5. lämnar en osann uppgift vid fullgörande av skyldig— heten att lämna underrättelse enligt 10 5,

6. lämnar en osann uppgift i sådana fall som avses i 17 &, dvs. då datainspektionen begär upplysningar för sin tillsynsverksamhet.

Enligt andra stycket döms till böter den som uppsåtligen eller av oaktsamhet bryter mot 7 a 5 första eller tredje stycket, dvs. inte för registerförteckning eller inte har angivit avsändaren på försändelse som innehåller personuppgift till den registrerade.

En straffbestämmelse finns också i 21 & datalagen. Där föreskrivs att den som olovligen bereder sig tillgång till en upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i ett register för in en sådan upptagning skall dömas för dataintrång till böter eller fängelse i högst två år, om inte gärningen är belagd med straff i brottsbalken. Med upptagning avses här även uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas vid automatisk databehandling. Brottet är straffbart även på försöks- och förberedelsestadiet, om det inte är ringa.

Ett personregister kan enligt 22 % datalagen förklaras förverkat om det inrättats eller förts utan nödvändig licens eller tillstånd eller förts i strid med ett av datainspektionen meddelat förbud.

Här bör också nämnas att bestämmelsen i 13 & datalagen om tystnadsplikt sanktioneras av bestämmelsen i 20 kap. 3 & brottsbalken om brott mot tystnadsplild.

Datalagens straffbestämmelser är inte formellt utformade så att ansvaret riktas mot någon särskilt utpekad person. Av för-

arbetena till datalagen framgår dock att man utgått från att straffbestämmelserna endast i ringa utsträckning skulle vara tillämpliga på annan än den registeransvarige (se prop. 1973:33 s. 104).

Som tidigare nämnts (se avsnitt 3.3.1) kan såväl fysiska som juridiska personer och myndigheter vara registeransvariga. I de fall då den registeransvarige utgörs av en myndighet eller en juridisk person, t.ex. ett aktiebolag, uppstår frågan vilken fysisk person som skall bära det straffrättsliga ansvaret för brott som förövas inom ramen för en sådan registeransvarigs verksamhet. Härvidlag har man att tillämpa allmänna straffrättsliga princip— er.

När det gäller placeringen av ansvaret för lagöverträdelser som begås i privata företags verksamhet har vissa regler om s.k. företagaransvar utvecklats i rättspraxis. I princip åvilar det straffrättsliga ansvaret företagsledningen. I ett aktiebolag utgörs denna av styrelsen eller den verkställande direktören. Ansvaret inom företagsledningen fördelas så att ansvaret i första hand åvilar den ledamot inom vars verksamhetsområde en lag- överträdelse begåtts. Verkställande direktören kommer därvid i första hand i fråga eftersom han ansvarar för den löpande förvaltningen. Endast undantagsvis finns anledning att ålägga en medlem av en juridisk persons högsta beslutande organ (t.ex. bolags— eller föreningsstämma) ansvar. Aktieägare anses bli ansvariga endast vid kvalificerad medverkan eller mycket grova brott.

Såväl enskilda näringsidkare som ledare av juridiska personers verksamhet kan enligt rådande rättspraxis under vissa förut- sättningar överflytta det straffrättsliga ansvaret på en ställföre- trädare, som anförtrotts att med tämligen stor självständighet leda företagets verksamhet i dess helhet eller en gren därav. Som förutsättning för att ansvaret skall kunna överflyttas krävs att det med hänsyn till föreliggande omständigheter är svårt för företagaren att förhindra vissa lagöverträdelser. Exempel på sådana omständigheter är att företaget är så omfattande att företagaren inte kan behärska alla detaljer i verksamheten, att företagaren är bosatt på annan ort än den där verksamheten bedrivs eller att företagaren på grund av ålder eller sjukdom, lyte eller omfattande engagemang i andra företag eller allmänna angelägenheter inte helt kan övervaka arbetets anordnande och bedrivande. Se professorn Hans Thornstedts promemoria (DsJ u 1975:23) om vissa specialstraffrättsliga problem.

Företagsledningen ansvarar emellertid alltid för att företaget organiseras på sådant sätt att lagöverträdelser kan förutsättas inte ske i dess verksamhet. Ledningen har alltså att sörja för att

företaget har en ändamålsenlig personalorganisation och att underordnad personal är kompetent och tillräckligt instruerad för sina uppgifter. Även om överflyttning av straffansvar skett är ledningen skyldig att gripa in om det visas föreligga brister eller annars särskild anledning föreligger. Vid oaktsamhetsbrott kan ansvar utkrävas av den i företagsledningen som oaktsamt brustit i vad som enligt det nyss sagda ålegat honom.

Då uppsåt erfordras för straffbarhet, blir företagaren, även om han anförtrott förvaltningen åt en ställföreträdare, ansvarig för lagöverträdelser som inträffar med hans vetskap och vilja. Naturligtvis blir företagaren också straffansvarig om han givit order om en lagöverträdelse. Detsamma gäller, om han inte respekterar den bestämda arbetsfördelningen mellan sig och ställföreträdaren och trots denna faktiskt utövar ledning och kontroll i detalj av viss verksamhet. Ansvaret åvilar då före- tagaren och inte ställföreträdaren för förseelser, som står i samband med denna verksamhet.

Dessa principer för företagaransvar på det privata närings- livets område torde även kunna tillämpas då straffrättsligt ansvar skall utkrävas för brott i en myndighets verksamhet. Det innebär att även styrelseledamöter och chefer i myndigheter kan bli straffrättsligt ansvariga. Vid brott mot datalagen kommer straffansvaret att åvila den eller de personer som är ansvariga för verksamheten. Detta torde i princip gälla både statliga och kommunala myndigheter. Ifråga om kommunala nämnder torde ansvaret åvila nämndens ordförande och dess ledamöter.

Högsta domstolen (HD) har i ett rättsfall (NJA 1987 s. 426) prövat frågan om ordföranden i en kommunal nämnd kunde göras ansvarig för brott mot datalagen bestående i att person— register förts utan tillstånd av datainspektionen. Ordföranden gjorde bl.a. gällande att ansvaret för datalagsfrågor genom den ansvarsfördelning som gällde inom kommunen delegerats till nämndens kanslichef. I domen, vari åtalet ogillades, uttalar HD bl.a. att de principer för företagaransvar som utbildats i rättspraxis för det privata näringslivet kan tjäna som en ut- gångspunkt också på den kommunala sektorn. HD nämner vidare att möjligheten att delegera ansvar möjligen är något mindre omfattande på den kommunala sektorn och att om- ständigheterna 1 det särskilda fallet måste tillmätas betydande vikt när det gäller att ta ställning till om delegation av det straffrättsliga ansvaret för förtroendevalda kunnat ske.

5.2.2 Praxis

Datalagens straffbestämmelser har endast tillämpats i ett fåtal fall.

Av en av datalagstiftningskommittén i februari 1981 upprättad PM framgår att kommittén då endast hade funnit tre avdömda fall vad gäller brott mot datalagens bestämmelser. Dessa var följande.

Norrtälje tingsrätt dömde år 1978 en person till dagsböter enligt 20 5 1 p datalagen för att ha inrättat personregister utan tillstånd. Ett aktiebolag hade använt ett annat närstående aktiebolags person- register för marknadsföring utan att söka erforderligt tillstånd.

Borås tingsrätt dömde år 1978 en person till dagsböter för data- intrång och brott mot tystnadsplikt. Dataintrånget bestod i att en polisman berett sig tillgång till rikspolisstyrelsens polisregister i en angelägenhet som inte rörde tjänsten. Genom att polismannen dessutom visat registerutdrag för kollegor som inte haft berättigat intresse av att få del av uppgifter dömdes han även för brott mot tystnadsplikten.

Borås tingsrätt dömde år 1980 en person för bl.a. brott mot 20 ä 2 p datalagen till dagsböter. I domen åberopades även 6 5 7 p datalagen. Brottet bestod i att ett bolag som hade tillstånd enligt förenklat förfarande att föra kund—, leverantörs-, abonnent- och faktureringsregister även använde register med annat bolags kunder för marknadsföring. Enligt datainspektionens föreskrifter fick endast egna kunder ingå i registret.

Utredningen har tidigare under avsnitt 5.2.1. berört en dom av högsta domstolen. Domstolen ogillade i ett avgörande från år 1987 ett åtal för brott mot datalagen avseende en valnämnds- ordförande för att valnämnden inrättat och fört ett person- register. Underinstanserna hade även ogillat ett åtal för brott mot datalagen avseende en sektionschef vid Stockholms kom- muns dataenhet för att kommunens befolkningsregister i strid mot ett beslut av datainspektionen sambearbetats med det av valnämnden inrättade registret. I målet aktualiserades frågan om vem som bar det straffrättsliga ansvaret. Rättsfallet är refererat i NJA 1987 s. 426.

Rikspolisstyrelsen gjorde i november 1988 en rundfråga till landets polismyndigheter om frekvensen av databrott och datorrelaterad brottslighet. Resultatet av undersökningen har redovisats i RPS Rapport 199121 Datorrelaterad brottslighet. En undersökning hos polismyndigheterna. Redovisningen omfattar brottsutredningar som var aktuella under tiden 1 januari 1987 - 31 augusti 1989. I rapporten redovisas 47 ärenden, varav det i 18 fall var fråga om brott eller misstanke om brott mot 21 & datalagen (dataintrång). I övrigt gällde de redovisade ärendena

olika slags brottsbalksbrott med datoranknytning (18 ärenden), brott mot lagen om upphovsrätt (7 ärenden) samt fall av illojal konkurrens (4 ärenden).

För att få en bild av hur sanktionsbestämmelserna i datalagen har tillämpats av domstolarna under de senaste åren har utredningen tillskrivit landets samtliga 97 tingsrätter. Dessa har tillfrågats om de under åren 1985 - 1991 har handlagt mål där talan förts med åberopande av bestämmelserna i 20 - 24 55 datalagen. Utredningen har fått svar från 89 tingsrätter. Av svaren framgår att 14 av dessa tingsrätter har handlagt mål av det efterfrågade slaget. Det totala antalet sådana mål under den aktuella perioden uppgick till 17. Nästan samtliga mål avsåg frågan om straffansvar. Endast två av målen gällde skadestånds— skyldighet enligt 23 å datalagen (Dessa skadeståndsmål redogörs närmare för i avsnitt 5.3.2).

Av brottmålen gällde nio mål ansvar för dataintrång. De övriga sex brottmålsdomarna var följande.

Göteborgs tingsrätt ogillade i april 1985 ett åtal för brott mot datalagen avseende en läkare vid Göteborgs sjukhusförvaltning. Sjukhusförvaltningen hade år 1975 beviljats tillstånd att inrätta och föra ett personregister för att genomföra en undersökning om barnolycksfall i kommunen. Läkaren, som var s.k. kontaktman, hade fortlöpande varit i kontakt med datainspektionen samt begärt förlängning m.m. angående registret samt ensam utnyttjat detta för forskning. I november 1980 erhöll sjukvårdsförvaltningen tillstånd att tillfälligt till registret inhämta uppgifter från socialförvalt- ningens personregister. Datainspektionen föreskrev i samband därmed att de från socialförvaltningen inhämtade uppgifterna skulle förstöras senast den 31 april 1981. Vid en inspektion av datainspektionen i oktober 1982 framkom att så inte hade skett. Aklagaren lade läkaren till last att han av oaktsamhet inte tillsett att uppgifterna förstörts. Tingsrätten fann att den omständigheten att läkaren hade up trätt som kontaktman mellan datainspektionen och sjukvårdsförva tningen inte kunde medföra att det ansvar, som åvilat den registeransvarige att tillse att datainspektionens före- skrifter följts, överflyttats på läkaren.

Falköpings tingsrätt dömde år 1986 kanslichefen i en kommun för brott mot datalagen enligt 20 ä 1 jämförd med 2 5 andra stycket 3 och fjärde stycket datalagen till trettio dagsböter. Tingsrätten fann utrett att fritidsintendenten i kommunen utan tillstånd av datainspektionen påbög'at insamlandet av personuppgifter avsedda att ingå i ett datareg1ster. Kanslichefen, som i administrativt hänseende var överordnad fritidsintendenten och som haft befogenhet att beordra intendenten att inställa arbetet, hade samtyckt till insamlandet av uppgifterna. Domen överklagades till Göta hovrätt som fastställde tingsrättens dom i ansvarsdelen. Högsta domstolen meddelade inte prövningstillstånd.

Norrköpings tingsrätt ogillade i januari 1990 ett åtal för brott mot datalagen avseende en person som under avtjänande av straff på kriminalvårdsanstalt med hjälp av ADB utan tillstånd upprättat och fört ett personregister över bl.a. landets samtliga riksdags-

ledamöter och personer som förekommit i den honom rörande förundersökningen. Den tilltalade uppgav att han hade använt och avsåg att använda registren enbart för att skap a debatt och bilda opinion samt för att kunna tillvarata sin rätt vid kommande domstolsprövning. Tingsrätten fann att denna uppgift inte motbevisats utan fick tas för god. Registren ansågs därför ha inrättats och förts uteslutande för personlig t bruk för vilket tillstånd inte hade erfordrats. Efter överklagande av åklagaren fastställde Göta hovrätt i mars 1990 tingsrättens dom.

Göteborgs tingsrätt dömde i februari 1990 en man för brott mot datalagen till sextio dagsböter. Den dömde hade varit verkställan- de direktör och firmatecknare i ett aktiebolag som utan licens och tillstånd inrättat och i drygt ett års tid fört ett personregister innehållande olika personers namn, arbetsgivare, inkomst och förmögenhetsförhållanden. Dä bolaget försattes i konkurs överläts bl.a. detta personregister till ett annat av mannen ägt aktiebolag. Vid konkurstillfället innehöll registret uppgifter om ca 12 700 personer varav åtminstone 4 700 personer inte hade något kundförhållande till konkursbolaget.

Malmö tingsrätt dömde i september 1990 en man för brott mot 20 ä 1 stycket 1 punkten datalagen till sextio dagsböter. Den dömde hade utan licens och tillstånd inrättat och fört ett ADB- register. Registret innehöll rubriknamnen på olika tidningsartiklar och för varje rubrik en sidohänvisning till ett antal pärmar med diverse tidningsurklipp. Personnamn var sökbara i den mån namnet ingick i en rubriknamnet. Urklippen innehöll uppgifter om personer vilka dömts för brott och om den politiska debatten. Mannen använde registret i sin verksamhet som journalist, författare och föredragshållare för att snabbt kunna plocka fram fakta från pärmarna. Rätten ansåg registret vara att anse som ett personregister i datalagens mening, vilket inte använts uteslutande för personligt bruk. Den omständigheten att personuppgifterna 1 registret 1 vissa fall måste "översättas" till en Viss person på manuell väg genom sidohänvisningarna 1 registret och mannens samling av urklipp ansågs inte utgöra grund för en annan be- dömning. Detta även om det endast var möjligt för mannen att förstå vilken person som avsågs. Tingsrättens dom vann laga kraft.

Västerås tingsrätt dömde i april 1991 en man för brott mot 20 5 1 stycket 1 punkten datalagen till tjugo dagsböter. Den dömde var verkställande direktör och huvudredaktör för en tidning vars datoriserade klipparkiv, innehållande bl.a. personuppgifter, hade förts utan licens och tillstånd under ca sex månader. Under denna tid hade bibliotek och skolor via terminaler haft direktåtkomst till registret. Tingsrätten fann omständigheterna förmildrande och utdömde därför endast ett lågt bötesstraff. Domen har överklagats. Se även SOU 1991:21 s. 94.

I detta sammanhang kan även nämnas följande tre fall i vilka datainspektionen gjort anmälan om misstänkta datalagsbrott.

Datainspektionen ingav år 1989 till justitiekanslern en anmälan mot statens invandrarverk för misstanke om brott mot 20 ä 2 datalagen. Datainspektionen menade att statens invandrarverk i vissa hänseenden inte efterkommit av inspektionen meddelade villkor om bl.a. kontroll och säkerhet i verkets s.k. SU-system

(systemet för utlänningsärenden; ett personregister omfattande ca 470 000 personer med uppgifter om bl.a. utlänningars namn, födelsetid, medborgarskap, resedokument, vissa tvångsåtgärder, ansökan om politisk asyl, utvisning p.g.a. brott m.m.) samt om utlämnande av personuppgifter från registret. Datainspektionen påtalade att villkor inte följts rörande behörighetskontroll och behandlingshistorik samt rörande utlämnande av personuppgifter till arbetsmarknadsdepartementet och rikspolisstyrelsen. Justitie— kanslern fann i beslut den 2 oktober 1989 att de av datainspek- tionen meddelade villkoren hade blivit åsidosatta i viktiga hän- seenden och att dessa brister var allvarliga med tanke på att SU- systemet var mycket integritetskänsligt. Justitiekanslern fann dock att något straffrättsligt förfarande inte borde inledas med anledning av vad som förekommit. Skälen härför angavs framför allt vara att det förekom omständigheter som kunde tyda på att data- inspektionen blivit informerad om åtminstone vissa av bristerna men inte påtalat dessa samt att bristerna i övrigt, dvs. utlämnandet av personuppgifter till arbetsmarknadsdepartementet och riks- polisstyrelsen, inte kunde antas ha varit ägnade att leda till integritetskränkning för någon enskild.

Datainspektionen ingav i maj 1990 till åklagarmyndigheten i Solna en anmälan mot Karolinska Institutet om ifrågasatt brott mot datalagen. I anmälan anförde datainspektionen att det ålåg Karolinska Institutet i e enskap av registeransvarig för de personregister som fördes ör institutets forskningsverksamhet att enligt 2 5 andra stycket datalagen ansöka om tillstånd för in- rättande och förande av personregister. Vidare anförde datainspek- tionen att det också ålåg institutet att enligt 7 a 5 första stycket datalagen föra en aktuell förteckning över de personregister som fördes för institutets verksamhet samt att enligt 12 å andra stycket i förekommande fall göra anmälan till datainspektionen när institutet upphörde att föra ett personregister för vilket inspek— tionen meddelat tillstånd. I anmälan påtalade datainspektionen att Karolinska Institutet föreföll ha brutit mot de angivna lagrummen. Aklagarmyndigheten i Solna inledde förundersökning men beslöt i december 1990 att lägga ned denna. Datainspektionen begärde överprövning av nedläggningsbeslutet. Regionåklagarmyndigheten i Stockholm beslöt i maj 1991 att förundersökningen skulle återupptas för att utreda varför inte tillstånd hade sökts och avanmälan skett beträffande vissa av de påtalade personregistren.

I augusti 1991 ingav datainspektionen till åklagarmyndigheten i Stockholm en anmälan mot en social distrilasnämnd om ifrågasatt brott mot 20 5 första stycket datalagen. Nämnden ansökte i december 1990 om tillstånd att få inrätta och föra ett person- register benämnt "Arbetskortsregister". Vid en inspektion hos di- striktsnämnden den 31 maj 1991 fann datainspektionen att det ifrågavarande personregistret redan hade inrättats och användes i verksamheten. I sin åtalsanmälan anförde inspektionen att den sociala distriktsnämnden underlåtit att ansöka om tillstånd innan registret, som innehåller mycket integritetskänsliga uppgifter (bl.a. uppgifter om brott och brottsmisstanke), inrättades trots att den varit medveten om att denna skyldighet förelegat samt att säkerhetsåtgärdema till skydd för personregistret varit bristfälliga.

5.2.3 Tidigare och pågående utredningsarbete

Offentlighets- och sekretess]agstiftningskommittén (OSK) föreslog i sitt betänkande (SOU 1972z47) Data och integritet att vissa straffbestämmelser infördes i datalagen. Dessa gällde över— trädelser med anknytning till själva datalagen. Vidare föreslogs även ett tillägg till brottsbalken rörande ett nytt brott, data— intrång. Detta brott bestod i att man olovligen beredde sig tillgång till upptagning för automatisk databehandling eller olovligen ändrade eller utplånade sådan upptagning.

Förslaget till straffbestämmelser som gällde överträdelse av olika stadganden i datalagen kom med vissa smärre justeringar att flyta in i den datalag som följde på OSKs betänkande. I propositionen (197333) anförde departementschefen att datalagens särskilda straffbestämmelser endast i ringa ut— sträckning skulle vara tillämpliga på annan än registerföraren (s. 104). Han ansåg vidare att det även behövdes straffbestäm- melser som helt allmänt skyddade datalagrat material mot obehöriga åtgärder oavsett om åtgärderna medförde otillbörligt integritetsintrång eller ej. Till det straffbara området borde enligt departementschefen höra dels förfarande som innebar att någon olovligen beredde sig tillgång till upptagning för ADB, med eller utan besittningsrubbning, dels fall då någon olovligen ändrade eller utplånade sådan upptagning eller då upptagning olovligen fördes in i ett register. Enligt departementschefen fanns det ett behov av en kompletterande straffbestämmelse. I motsats till OSK fann han att en sådan bestämmelse inte på ett naturligt sätt kunde fogas in i något av brottsbalkens kapitel. Den borde därför enligt hans mening tas in i datalagen. Departementschefen ansåg även att försök och förberedelse till dataintrång i princip borde vara kriminaliserat (s. 105 f). I specialmotiveringen till 21 & datalagen anfördes följande (s. 145

f):

Till de bestämmelser i brottsbalken som sålunda kan bli till— lämpliga hör i första hand reglerna om tillgrepps- och förfalsk- ningsbrotti 8 resp. 14 kap. brottsbalken. Det kan även bli aktuellt att döma till ansvar för exempelvis skadegörelse enligt 12 kap. 1 & brottsbalken eller trolöshet mot huvudman enligt 10 kap. 5 & brottsbalken.

Det bör påpekas att straff för förfalskningsbrott kan ådömas endast om föremålet för åtgärden är att betrakta som urkund. Som urkund anses enligt 14 kap. 1 & andra stycket brottsbalken dels protokoll, kontrakt, skuldebrev, intyg och annan handling som upprättats till bevis eller annars är av betydelse som bevis, dels legitimationskort, biljett eller dylikt bevismärke. Urkunds- begreppet i det nämnda lagrummet är enligt uttalande som har gjorts i den auktoritativa kommentaren till brottsbalken att fatta så

vidsträckt att det omfattar även anteckningar som åstadkommits på helt maskinell väg, t.ex. diktafonband eller grafiska framställ- ningar. Denna tolkning av lagrummet, till vilkenjag ansluter mig, innebär att även upptagningar för ADB i stor utsträckning faller under begreppet urkund. Manipulerande med en maskin som framställer urkunder kan däremot enligt kommentaren inte anses utgöra förfalskningsbrott.

Straffbestämmelsen avseende dataintrång kom att föras in i datalagen i stället för i brottsbalken som OSK föreslagit. Vidare kriminaliserades även försök och förberedelse. Olovligt införande av upptagning i register kom också att omfattas av straffbestämmelsen.

I 20 & datalagen infördes också straffregler som gällde brott mot datalagens bestämmelser om tystnadsplikt. Då nya regler infördes i brottsbalken om bl.a. brott mot tystnadsplikt den 1 januari 1976 försvann denna straffbestämmelse ur datalagen (prop. 1975z78, JuU 22, rskr. 212, SFS 19752740).

Datalagstiftningskommittén (DALK) berörde straffbestämmel— sen om dataintrång i delbetänkandet (SOU 1978:54) Person- register Datorer - Integritet. Detta föranleddes bl.a. av att datainspektionen ifrågasatt om inte bestämmelsen borde ändras. Som skäl angav inspektionen att regeln var subsidiär till reglerna i brottsbalken, vilket kunde innebära att en gärning av det aktuella slaget enligt brottsbalken bedömdes som ett lindrigare brott, nämligen egenmäktigt förfarande. DALK fann dock att det inte fanns tillräckliga skäl att ändra straffregeln (s. 281).

I samband med 1979 års ändringar av 2 & datalagen som innebar att personregister som fördes med viss bestämd teknisk utrustning undantogs från det då gällande tillståndskravet, erhöll 20 & punkten 2 sin nuvarande lydelse.(prop. 1978/79:109, KU 37, rskr. 360, SFS 1979:334). I propositionen fann departe- mentschefen (s. 29 f) beträffande straffbestämmelsen om dataintrång att den även i fortsättningen borde vara subsidiär till brottsbalkens regler. Enligt hans mening fanns ingen anledning till att brott som föll under de allmänna straffbestämmelserna i brottsbalken skulle särbehandlas enbart därför att ADB hade använts som hjälpmedel vid brott eller utgjort en förutsättning för detta. Han ansåg dock att straffbestämmelsen borde ses över och att detta skulle ske i samband med utredningen av en generell lagstiftning om personregister.

Bestämmelsen i 20 & punkten 1 och förverkandebestämmelsen i 22 5 fick sin nuvarande lydelse i samband med att licens— systemet infördes år 1982 (prop. 1981/82:189, KU 33, rskr. 349, SFS 1982:446). Samtidigt tillkom som en följdändring även andra stycket i 20 &.

På grundval av bl.a. förmögenhetsbrottsutredningens be— tänkande (SOU 1983150) Översyn av lagstiftningen om för— mögenhetsbrotten utvidgades år 1986 bestämmelsen om bedrägeri i 9 kap. 1 & brottsbalken genom en regel med direkt tillämpning på olovlig påverkan av resultatet av automatisk informationsbehandling eller andra liknande processer (prop. 1985/86:65, JuU 17, rskr. 121, SFS 19861123). Bestämmelsen i 10 kap. 5 & brottsbalken om trolöshet mot huvudman kom att gälla också i fråga om den som anförtrotts att självständigt handha eller övervaka skötseln av en kvalificerad teknisk uppgift. Vidare gjordes föreskriften i 10 kap. 7 & brottsbalken om olovligtbrukande tillämplig oavsettbesittningsförhållandena, bl.a. för att möta vissa situationer där någon olovligen utnytt- jade någon annans datoranläggning. För att undanröja eventuella oklarheter rörande omfattningen av straffbestämmelsen om dataintrång i 21 & datalagen gjordes denna bestämmelse uttryckligen tillämplig på information som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas för automatisk databehandling (s.k. Wiretapping), även om uppgifterna inte är att anse som upptagning för ADB (SFS 1986:122).

Datastraäättsutredningen

Datastraffrättsutredningen (Ju 1989:04) skall enligt sina direktiv (Dir 1989z54) bl.a. se över om bestämmelsen om dataintrång bör finnas kvar i sin nuvarande utformning eller om det är möjligt att inarbeta bestämmelsen i brottsbalken. Enligt vad som inhämtats kommer utredningen att föreslå att bestämmelsen om dataintrång flyttas över till brottsbalken. Datastraffrättsutred- ningens arbete kommer att redovisas i ett betänkande som beräknas kunna överlämnas i juni 1992.

5 . 3 Skadestånd

5 .3.1 Gällande rått

Om en registrerad tillfogas skada genom att ett personregister innehåller oriktig eller missvisande uppgift om honom, skall den registeransvarige enligt 23 5 första stycket datalagen ersätta skadan.

Regeln korresponderar med regeln om rättelse av oriktiga och missvisande uppgifter i 8 & datalagen. Den omständigheten att

den registeransvarige uppfyllt sin rättelseskyldighet enligt den paragrafen behöver inte innebära att han befrias från sin skadeståndsskyldighet.

Skadeståndsregeln i 23 & första stycket innebär att skade- ståndsskyldighet föreligger även om den skadeståndsansvarige inte har orsakat skadan avsiktligt eller genom vårdslöshet, dvs. s.k. strikt skadeståndsansvar. Detta innebär bl.a. att även för det fallet att en viss felaktighet i ett personregister inte har sin grund i ett agerande från den registeransvariges sida utan härstammar från ett annat håll, t.ex. från ett annat person- register, den registeransvarige bär ansvaret gentemot den registrerade. Den registeransvarige kan dock i vissa fall enligt allmänna skadeståndsrättsliga regler ha rätt att regressvis återkräva det skadeståndsbelopp han betalat ut.

En regel om skadestånd vid brott finns intagen i 23 å andra stycket datalagen. Där stadgas att om någon tillfogas skada genom brott som avses i 20 & första stycket datalagen (brott mot datainspektionens villkor och vissa allmänna registerbestämmel- ser) eller 21 & datalagen (dataintrång), skall den som gjort sig skyldig till brottet ersätta skadan.

Vid bedömande om och i vad mån skada har uppstått skall man enligt 23 & tredje stycket datalagen ta hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse, dvs. ersättning kan utgå även för s.k. ideell skada.

Av allmänna skadeståndsrättsliga regler följer bl.a. att skade- stånd enligt 23 & första och andra stycket datalagen kan utgå för personskada, sakskada och ren förmögenhetsskada. Enligt 23 & tredje stycket kan alltså även skadestånd utgå för ideell skada utan samband med sakskada.

Att skadestånd i ett visst fall skall utgå enligt paragrafens andra stycke behöver inte utesluta att skadestånd kan utgå även enligt första stycket för samma förfarande. Som exempel nämns i förarbetena (prop. 1986/87:116 s. 22) att en registeransvarig registrerar en personuppgift, som dels är oriktig eller miss- visande och dels inte får registreras enligt vad datainspektionen bestämt för registret. Att uppgiften är oriktig eller missvisande kan grunda skadeståndsskyldighet enligt 23 5 första stycket datalagen. Brottet mot datainspektionens villkor faller under straffbestämmelsen i 20 5 första stycket datalagen och kan grunda skadeståndsskyldighet enligt 23 å andra stycket. I bägge fallen kan ersättning utgå även för ideell skada enligt tredje stycket.

När skada uppstår till följd av oriktighet i myndighets register kan det vara fråga om sådan skada vid myndighetsutövning som avses i 3 kap. 2 & skadeståndslagen. Även om skadestånds—

regeln i datalagen innebär att skadeståndsskyldigheten regleras särskilt på förevarande område bör enligt förarbetena till datalagen (prop. 1973:33 s. 149) vissa regler i skadeståndslagen kunna vara tillämpliga, t.ex. bestämmelsen i 6 kap. l 5 om jämkning av skadestånd på grund av vållande på den skade— lidandes sida. Den utvidgning av det straffrättsliga tjänsteansva- ret för offentligt anställda som trädde i kraft den 1 oktober 1989 innebar inga ändringar av bestämmelserna om det allmännas ansvar enligt skadeståndslagen (prop. 1988/89:113, JuU24, rskr. 312, SFS 1989:608). Däremot upphörde genom en lagändring vissa bestämmelser i skadeståndslagen (3 kap 3—5 55) om särskilda begränsningar i det allmännas skadeståndsansvar att gälla den 1 januari 1990 (prop. 1989/90:42, LU10, rskr. 50, SFS 1989:926).

Enligt 9 5 lagen om inskrivningsregister (1973z98) har staten strikt ansvar för skador som orsakats av tekniska fel. Regeln stadgar att bestämmelsen i 19 kap 19 & jordabalken om ersätt— ning för förlust till följd av fel eller försummelse äger mot— svarande tillämpning på förlust som orsakats av tekniska fel i registret eller i anordning som anslutits till detta hos vissa statliga och kommunala myndigheter. I 19 kap 5 & fastighets- bildningslagen (19702988) finns en liknande skadeståndsregel för skador som orsakats av tekniska fel i fastighetsregistret och i vissa till registret anslutna terminaler.

Liknande skadeståndsregler finns dels i 370 å sjölagen (189135) för skada som orsakats av tekniska fel i skepps— eller skeppsbyggnadsregistret vid användning av ADB eller i anordning som hos registermyndigheten eller annan statlig myndighet är ansluten till registret, dels i 5 kap 1 & före- tagshypotekslagen (1984:649) för skada som någon lider till följd av tekniskt fel i företagsinteckningsregistret eller i någon anordning som hos inskrivningsmyndigheten eller annan statlig myndighet är ansluten till registret.

Även i aktiekontolagen (1989z827) finns i 7 kap 2 5 en bestämmelse om rent strikt skadeståndsansvar som direkt riktar sig mot ADB-baserad verksamhet. Regeln innebär att om någon tillfogas skada till följd av oriktig eller missvisande uppgift i ett avstämningsregister eller i annat fall genom fel i samband med uppläggning eller förande av ett sådant register, denne har rätt till ersättning av värdepapperscentralen (VPC). VPC har dock viss möjlighet att exculpera sig.

En annan lag som bör nämnas i detta sammanhang är inkasso- lagen (1974:182). Enligt 18 & inkassolagen skall den som bedriver inkassoverksamhet och förorsakar skada genom otillbörlig påtryckning eller annan otillbörlig inkassoåtgärd

ersätta denna. Om ett inkassoregister förs med hjälp av ADB är skadeståndsregeln i datalagen tillämplig.

En skadeståndsregel finns också intagen i 21 & kreditupplys- ningslagen (1973:1173). Enligt denna skall den som bedriver kreditupplysningsverksamhet ersätta skada som till följd av verksamheten tillfogas någon genom intrång i hans personliga integritet. Vidare uppkommer skadeståndsskyldighet om oriktig uppgift lämnas, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet iakttagits. Vad som skall ersättas är både ideell och ren förmögenhetsskada. I de fall ett kreditupplysningsregister förs med hjälp av ADB blir dock även skadeståndsregeln i datalagen tillämplig (jfr prop. 1973:155 5. 122).

5.3.2 Praxis

De praktiska erfarenheterna av datalagens skadeståndsregel är mycket begränsade beroende på att antalet skadeståndsärenden varit litet. Det alldeles övervägande antalet av dessa har gällt anspråk mot staten. De har slutligt reglerats av justitiekanslern (JK) som i de fall skadestånd över huvud taget medgetts har bestämt dessa till förhållandevis låga belopp.

Vid remissbehandlingen av DALKs delbetänkande (SOU 1978:54) Personregister - Datorer - Integritet hänvisade JK i sitt yttrande till att han reglerat ett trettiotal skadeståndsärenden i vilka han hade tillämpat 23 & datalagen. Åtskilliga av anspråken hade avsett ringa belopp, i några fall endast ersättning för portokostnader (se prop. 1978/79:109 s. 199).

För att få en bild av hur omfattande skaderegleringen var hos JK samt av ärendetypen vad gällde registeransvariga, typen av fel, ersättningsbelopp m.m. granskade DALK härefter beslut hos JK som rörde skadestånd enligt datalagen för åren 1978 — 1980. Resultatet av undersökningen redovisades i en år 1981 upprättad PM. Av denna framgår att JK under år 1978 he- slutade om ersättning i 11 fall, under år 1979 i 18 fall och under år 1980 i sex fall. Nästan alla ärenden gällde fel i bilregistret eller parkeringsanmärkningsregistret och medförde skadeståndsskyldighet för trafiksäkerhetsverket eller berörd länsstyrelse. Ett fall gällde fel i en länsstyrelses skatteregister och ett annat fall fel i register hos en försäkringskassa. Lägsta ersättningsbelopp som beslutats var 2 kr 10 öre och högsta belopp 2 200 kr. Av ärendena rörde 24 belopp som understeg 100 kr, och 13 av fallen gällde 20 kr eller mindre. Näst högsta belopp var 361 kr. De flesta fallen rörde fel i parkerings- anmärkningsregistret beroende t.ex. på att undanröjda beslut

inte registrerades, förväxling av bilar hade skett eller att för hög parkeringsavgift registrerats. Vad som ersatts var telefon- och portokostnader för att få rättelse. Vidare hade ersättning för besvär och tidsspillan utgetts samt ersättning för ränteförlust genom att återbetalning av felaktiga parkeringsavgifter fördröjts. Även när det gällde fel i bilregistret hade skadestånd utbetalats för rättelsekostnad och som ersättning för tidsspillan. I några fall hade det gällt ersättning för onödig besiktning, något som varit en följd av felaktiga uppgifter. I ett fall hade en bil åsatts fel årsmodell. Köparen ansågs på grund härav ha gett ett för högt pris för bilen när han köpte den begagnad och tillerkändes ersättning med 2 100 kr för att kompensera detta, förutom ersättning för resor och telefonsamtal med 100 kr. De fel- registreringar som medfört skadeståndsskyldighethade ofta varit mer inriktade på objekt - t.ex. bilen - än personer och ibland gällt detaljuppgifter om objekten som t.ex. felaktiga chassi— nummer och dylikt. I en del fall hade ersättning yrkats för ideell skada i form av psykiskt lidande. De fall som ersatts hade dock uteslutande gällt ekonomisk skada.

I DOKs delbetänkande (SOU 1986:24) Rättelse och skade- stånd Patientuppgifter i personregister refereras ytterligare några exempel på skadeståndsärenden hos justitiekanslern under åren 1984 och 1985 (s. 42 f). De var följande.

En oriktig adressuppgift i folkbokföringsregistret hade spritt sig till bl.a. riksförsäkringsverkets sj ukförsäkringsregister och medfört försenad utbetalning av bidragsförskott. Felet hade uppkommit genom att två personer med samma namn hade förväxlats sedan pastorsämbetet aviserat om adressändring för den ene. Den drabbade mannen begärde ersättning av staten med 12 000 kr, varav huvuddelen för eget arbete och för lidande. Utredningen visade endast att mannens post i vissa fall hade blivit försenad. Han ansågs varken berättigad till ersättning för psykiskt lidande eller för eget arbete. Däremot utbetalades 25 kr, för ränteförlust, portokostnader, brevpapper m.m.

Sedan länsstyrelsen fått underrättelse om att en utomlands bosatt man hade ändrat namn sände trafiksäkerhetsverket ut ett nytt körkortsunderlag på vilket en bokstav i mannens namn var fel. På den avi som hade sänts ut fanns anvisningar om vad körkorts- havaren skall göra om uppgifterna inte är riktiga. I stället för att iaktta denna rutin försökte mannen nå trafiksäkerhetsverket per telefon och lade enligt egen up gift ut 1 100 kr på de resultatlösa försöken att få kontakt med tra iksäkerhetsverket. Han ansågs inte berättigad till skadestånd.

Två makar begärde ersättning med 2 500 kr vardera, för lidande, obehag och kostnader i samband med att en kronofogdemyndighet vid två olika tillfällen anmanat dem att betala kvarstående skatt trots att anstånd hade beviljats. Utredningen visade att det första kravet som riktats till båda makarna hade skrivits ut två dagar innan skattemyndigheten hade beslutat om anstånd. Det andra kravet, som enbart riktats mot mannen, hade däremot orsakats av

ett fel hos kronofogdemyndigheten. Ersättning utbetalades till mannen med 500 kr för visst obehag och en del extra arbete.

En man begärde ersättning med 50 000 kr för psykiskt lidande som han angav hade förorsakats av att han fått kontrolluppgift avseende annan persons inkomster från en taxeringsmyndighet. Utredningen visade att Tekniska Högskolan i Stockholm var arbetsgivare till en gästforskare som saknade personnummer. För denne hade högskolan tillskapat en identitetsbeteckning som var densamma som klagandens personnummer och som angavs på kontrolluppgiften. Sedan klaganden besökt lokala skattemyndig- heten rättades felet efter ett fåtal dagar. Ersättningen bestämdes av justitiekanslern till 500 kr för psykiskt lidande.

Mannen i det sist refererade ärendet väckte sedermera talan vid Stockholms tingsrätt och yrkade att staten skulle förpliktas att till honom utge ytterligare 49 500 kr jämte ränta. I dom i maj 1987 tillerkändes mannen 9 500 kr jämte ränta. Staten över- klagade domen till Svea hovrätt som i januari 1990 fastställde tingsrättens domslut. En av hovrättens ledamöter var skiljaktig och ville utdöma hela det yrkade beloppet.

Utredningen har gått igenom och granskat beslut hos J K som rör skadestånd enligt datalagen för åren 1985 - 1991. Härvid kan konstateras att någon större förändring av skaderegleringen mot vad som redovisades av DALK och DOK inte skett. Antalet sådana ärenden är i stort oförändrat i förhållande till tidigare år och uppgår till ca 10 per år. Registeransvariga och typen av fel är i stort sett de samma som under tidigare år. En stort antal av ärendena har gällt fel i bil-, körkorts—, eller parkeringsanmärk- ningsregistret och medfört skadeståndsskyldighet för trafik- säkerhetsverket eller länsstyrelse. De ersättningsbelopp som till— erkänns för ideell skada varierar från några hundratals kronor till 10 000 kr som utgick i ett ärende (se nedan). En utveckling mot en något höjd skadeståndsnivå kan dock skönjas under de allra senaste åren.

Som exempel på några avgöranden av JK under perioden kan nämnas:

Två makar framställde anspråk på ersättning med 2 500 kr vardera för det lidande och obehag i övrigt samt de kostnader som uppkommit för dem till följd av att de vid två tillfällen fått anmaningar från kronofogdemyndigheten att betala kvarstående skatt trots att anstånd beviljats. Utredningen visade att den andra anmaningen, som endast var riktad mot mannen, var orsakad av att kronofogdemyndigheten försummat att registrera att anstånd beviljats. Mannen tillerkändes ersättning med 500 kr (Beslut 1985- 06-1 1).

En man registrerades i både kriminal- och rikspolisregistret som skyldig till två rattfylleribrott när det rätteligen bara var ett. JK tillerkände mannen ersättning för lidande med 2 000 kr (Beslut 1986—01—23).

En länsstyrelses folkbokföringsregister innehöll under två månader en oriktig uppgift om att en man hade avlidit ett visst datum istället för, som var fallet, att han hade erhållit äktenskapsskillnad detta datum. Den oriktiga uppgiften ledde till att mannen erhöll ett brev adresserat till sitt eget dödsbo. Mannen tillerkändes ersätt- ning för lidande med 500 kr (Beslut 1986-03-07).

En kvinna begärde ersättning för kostnader och lidande som åsamkats henne på grund av att riksskatteverket hade ändrat ett personnummer som hon av misstag tidigare hade tilldelats. Andringen av personnumret hade bl.a. föranlett henne att ta kontakt med ett tiotal olika myndigheter, banker m.m. för att underrätta dessa om personnummerändringen. Vidare hade löneutbetalningama vid två tillfällen fördröjts. Kvinnan till— erkändes ersättning med totalt 500 kr (Beslut 1986-03-11).

Genom att två personnummer hade sammanblandats kom det centrala skatteregistret att innehålla en oriktig inkomstupp ift. Den oriktiga uppgiften medförde att en man under två år ick tör- frågningar från taxeringsnämnden om en inkomst som han inte hade haft. Ersättning tillerkändes med 1 000 kr (Beslut 1986-03— 13).

En man erhöll en oriktig betalningsanmaning från kronofog- demyndigheten på grund av en felaktig registrering om restförd skatt. Mannen tillerkändes ersättning med 1 000 kr (Beslut 1986- 03-21).

En felaktig uppgift i aktiebolagsregistret om att en man var styrelseledamot ledde till att denne upprepade gånger söktes för delgivning och även kallades till kronofogdemyndigheten. JK tillerkände mannen ersättning för lidande med 2 500 kr (Beslut 1987-09-03).

Två makar fick en lägre inkomst vid föräldraledighet än de skulle ha haft, detta som en följd av oriktiga uppgifter i ett sjukför- säkringsregister. Ena maken tillerkändes ersättning för utebliven arbetsförtjänst och lidande. Ersättningen för lidande bestämdes till 500 kr (Beslut 1987-09—16).

Som en följd av falsk tillvitelse kom person- och belastnings- registret att innehålla oriktiga uppgifter beträffande en kvinna om misstanke om rattfylleri, stöld och bedrägeri. I vart fall uppgiften om misstanke om ratt lleri hade funnits registrerad i mer än två år. Vidare kom ett öreläggande av ordningsbot att felaktigt registreras i registret över brott av betydelse i körkortssamman- hang. Den uppgiften hade funnits i registret i minst tre år. Underrättelse om ordningsboten hade lämnats till körkortsregistret. Då ordningsboten inte hade betalts hade anteckning även skett i utsökningsregistret. Ersättning för lidande bestämdes till 5 000 kr.

(Beslut 1987-10-27).

En man begärde ersättning för att han nödgats fullgöra en krigs- förbandsövning under tolv dagar trots att han inte varit skyldig till detta enligt värnpliktslagen. Ersättning begärdes med 1 781 kr för förlorad arbetsförtjänst och med 12 000 kr för frihetsberövande dy gnetrunttj änstgöringi fält. Utredningen visade att inkallelsen var oriktig. Eftersom det register som utgjorde underlaget för inkallelsen var ett personregister prövades begäran om ersättning enligt datalagen. JK uttalade i sitt beslut i februari 1988 att 23 & datalagen fick anses täcka även det fall där det saknades en

personuppgift, vilken borde ha tillförts registret med hänsyn till ändamålet med detta. Mannen ansågs därför berättigad till ersättning för den skada som orsakats honom genom att registret varit ofullständigt då en av fem genomförda krigsförbandsövningar inte blivit registrerad. Mannen erhöll begärd ersättning för förlorad arbetsförtjänst. Ersättningen för lidande bestämdes till 3 000 kr (Beslut 1988-02—23).

En kvinna begärde skadestånd med bl.a. 50 000 kr för lidande på grund av att socialstyrelsens register över sluten psykiatrisk vård innehållit en oriktig uppgift om att hon lidit av schizofreni. Ut— redningen visade att uppgiften i registret varit felaktig och att kvinnan därför var berättigad till ersättning. JK bestämde i ett beslut i september 1988 ersättningen för lidande till 7 500 kr. I sitt beslut anförde JK att den omständigheten att personuppgiftema varit mycket integritetskänsliga och funnits i registret under för- hållandevis lång tid samt att obehaget kunde sägas ha förstärkts av att de oriktiga uppgifterna hade kvarstått viss tid i registret även sedan deras felaktighet åtalats, var omständigheter som 'orde att ersättningen för lidan e borde bestämmas till ett jämgrelsevis högt belopp. A andra sidan menade JK att det i sammanhanget också måste vägas in att inget framkommit som tytt på att personuppgiftema obehörigen röjts eller spritts till andra register (Beslut 1988-09-02).

I ett senare ärende som också gällde en felaktig uppgift i social- styrelsens register över sluten psykiatrisk vård, begärde en man skadestånd med 50 000 kr för psykiskt lidande. Ersättningen för lidande bestämdes av JK till 5000 kr (Beslut 1989-09-25).

Ett av riksförsäkringsverket fört personregister innehöll en oriktig uppgift om det skatteavdrag som skulle göras vid utbetalning av ersättning från försäkringskassan. Uppgiften medförde att avdrag för preliminär skatt skedde med för litet belopp, vilket ledde till att den registrerade senare påfördes kvarstående skatt och kvarskatteavgift. Ersättning tillerkändes för den merkostnad som kvarskatteavgiften medförde samt för lidande och obehag med 2 000 kr (Beslut 1989—01-04).

På grund av en förväxling av en gäldenärs förnamn och efternamn kom en man att felaktigt registreras som gäldenär i utsöknings- registret. Den felaktiga registreringen ledde till att han från kronofogdemyndigheten erhöll underrättelse om utsökningsmål och utmätningsförrättning. Ersättningen för lidande bestämdes till 3 000 kr (Beslut 1989—02-08).

En man som på grund av namnförväxling felaktigt kom att registreras som styrelseledamot i aktiebolagsregistret tillerkändes förutom viss ersättning för kostnader även 500 kr för lidande (Beslut 1989-04-21).

I samband med sin makes dödsfallregistrering hade en kvinna blivit registrerad i det regionala folkbokföringsregistret som avliden i stället för som änka. JK fann att felaktigheten hade avsett ett i högsta grad integritetskänsligt område och hade - trots att åtgärder för rättelse snabbt hade vidtagits - lett till ett avsevärt lidande. Ersättning för lidande bestämdes till 10 000 kr (Beslut 1990-02—13).

På grund av en förväxling av personnummer kom oriktiga uppgifter om en man att registreras i ett försäkringskasseregister. Detta medförde att ett intyg om "sjukförsäkringstillhörighet i Sverige" kom att innehålla personuppgifter om mannen samt om en främmande kvinna och hennes barn såsom familjemedlemmar. Detta medförde diskussion mellan mannen och hans hustru. Mannen begärde bl.a. ersättning med 500 kr för lidande. JK tillerkände honom det yrkade beloppet (Beslut 1990—06—05).

På grund av oriktiga uppgifter i bilregistret tvingades en bilägare i onödan inställa sitt fordon till en registreringsbesiktning. Bilägaren tillerkändes ersättning för de merkostnader som därigenom uppstått. Bilägarens yrkande om ersättning för ideell skada lämnades utan bifall (Beslut 1991-05-08).

På grund av en personförväxling kom en kvinna som var bosatt i Gustavsberg att felaktigt kyrkobokföras i Sveg. Detta medförde att en felaktig uppgift registrerades i det regionala folkbokförings— registret. Folkbokföringsregistret används för uppdatering av andra myndighetsregister, t.ex. skatteförvaltningens centrala och regionala skatteregister, kommunala register och register hos försäkringskassan. Aven dessa register kom därför att innehålla oriktiga adressuppgifter. Kvinnan begärde skadestånd med 10 000 kr avseende ersättning för att hennes personnummer använts felaktigt och för det extraarbete hon haft för att tillrättalägga och utreda felet hos olika myndigheter, telefonkostnader samt person- ligt lidande. Ersättningen för besvär, kostnader och lidande bestämdes av JK till totalt 5 000 kr (Beslut 1991-06-14).

På grund av personalbrist hos en länsstyrelse kom ett beslut om återkallelse av körkort att registreras i det centrala körkorts- registret först efter utgången av beslutets gilti hetstid. Detta medförde att körkortsinnehavaren inte i rätt tid ick tillbaka sitt körkort och därigenom gick miste om arbetsförtjänst. Körkorts- innehavaren tillerkändes yrkad ersättning för den förlorade arbetsförtjänsten. Något yrkande om ideellt skadestånd fram- ställdes inte (Beslut 1991-08-06).

En värnpliktig tillerkändes ersättning för den inkomstförlust han hade åsamkats på grund att han blev inkallad tre månader för tidigt. Den felaktiga inkallelsen berodde på en felaktig uppgift om honom i ett dataregister (Beslut 1991-08-28).

Av de tingsrätter som svarat på utredningens förfrågan om de under åren 1985 1991 handlagt datalagsmål (se avsnitt 5.2.2) har endast en tingsrätt, Stockholms tingsrätt, uppgett att den handlagt mål som gällde skadeståndsskyldighet enligt 23 & datalagen. Stockholms tingsrätt uppgav att den handlagt två sådana mål.

I det ena av dessa mål fastställde tingsrätten i en mellandom år 1989 att vissa av Upplysningscentralen UC Aktiebolag (UC) registrerade betalningsanmärkningar inte var skadestånds— grundande. Kärandena, som vitsordade att innehållet i de registrerade uppgifterna varit korrekt, gjorde bl.a. gällande uppgifterna varit oriktiga på det sätt som avsågs i 23 & data- lagen i dess lydelse före den 1 april 1988. (Skadeståndsskyldig-

heten enligt datalagen omfattade då inte skada som vållats genom att ett personregister innehöll missvisande personupp- gift.) Tingsrätten fann att uttrycket "oriktig" borde förstås så att uppgiften inte är korrekt och ansåg att lydelsen av 23 & datalagen före den 1 april 1988 och det faktum att en ändring ansågs påkallad inte gav utrymme för att ålägga UC skade- ståndsansvar för uppgift som inte är oriktig.

I det andra målet väckte en man år 1989 talan vid tingsrätten och yrkade att Stockholms läns landsting skulle förpliktas att till honom utge skadestånd med 25 700 kr jämte ränta. Av det yrkade beloppet avsåg 25 000 kr ersättning för psykiskt lidande och 700 kr kostnaden för självrisk för byte av en lägenhetsdörr. Bakgrunden var att någon - för parterna okänd person sedan hösten 1984 vid flera tillfällen hade använt en patientbricka med kärandens namn, personnummer och adress. Denne okände person hade bl.a. använt sig av denna patientbricka då han hade behandlats för en infektionssjukdom. Då denne person inte återkom till infektionskliniken efter en permission begärde sjukhuset hjälp av polisen för att hämta honom i bostaden. Polisen tog sig också in i kärandens bostad. De gjorde detta genom att bl.a. bryta upp lägenhetsdörren. Vid tidpunkten för sjukhusets begäran om biträde från polisen fanns personupp- gifter i ett dataregister och i en manuellt förd journal. Käranden gjorde gällande att hans personliga integritet bl.a. hade kränkts genom det felaktiga polisingripandet i hans bostad och genom att han utpekats som en allvarligt sjuk person. Landstinget, som bestred käromålet, gjorde gällande att några felaktiga uppgifter inte hade tagits in i registret eftersom uppgifterna var korrekta såvitt avsåg den okände man som hade varit intagen på in- fektionskliniken. Tingsrätten fann att det förekommit sådana oriktiga uppgifter i ett personregister för vilken ersättnings— skyldighet enligt 23 & datalagen förelåg. Då enligt tingsrättens mening polisingripandet mot kärandens bostad skulle ha skett även om uppgifter om käranden endast funnits i den manuellt förda journalen ansågs denne inte vara berättigad till ersättning för skada som han kunde ha lidit till följd av polisingripandet. Tingsrätten fann dock klarlagt att käranden lidit ideell skada dels genom den integritetskränkning som det hade inneburit att uppgifterna i registret hade utpekat honom som en sjuk person, dels genom den risk som funnits för att han skulle ha kunnat utsättas för felbehandling om han hade tagits in på sjukhus. Käranden tillerkändes ersättning med 10 000 kr jämte ränta. Domen meddelades i juni 1990.

SOU 1991:62 103 5.3.3 Tidigare utredningsarbete

Offentlighets- och sekretess]agstiftningskommittén (OSK) ansåg i sitt betänkande (SOU 1972:47) Data och integritet att den dåvarande skadeståndslagens bestämmelser inte var tillräckliga för att reglera den registrerades rätt till skadestånd vid fel i personregister som förs med hjälp av ADB. OSK föreslog därför att särskilda regler skulle gälla när registrerad hade utsatts för en skada genom att felaktiga uppgifter hade lämnats ut. OSK diskuterade även en obligatorisk försäkringsskyldighet för de registeransvariga men tanken på en sådan skyldighet tillbakavisades (s. 92 f).

Vid remissbehandlingen av OSKs förslag (se prop. 1973:33 s. 146 ff) föreslogs en särskild regel om ideellt skadestånd vid vissa straffbelagda handlingar, främst utlämnande av uppgift. Från flera håll ansågs emellertid att den föreslagna skade- ståndsskyldigheten var alltför långtgående. Ett annat alternativ som fördes fram var att begränsa rätten till skadestånd till de fall där oriktigheten medfört kränkning av den registrerades personliga integritet på ett väsentligt sätt. Några remissinstanser ansåg att endast sådana oriktigheter som var hänförliga till den registeransvariges egen handläggning skulle vara relevanta. Någon ville ha en uttrycklig reglering av det inbördes ansvaret mellan den registeransvarige och den från vilken felaktig uppgift har lämnats ut.

I den proposition (prop. 1973233) som följde på OSKs be- tänkande ansåg departementschefen att behovet av skadestånds- regler på datateknikens område i stor utsträckning täcktes genom bestämmelserna i skadeståndslagen. Han menade dock liksom OSK att det för vissa fall fanns skäl att införa regler om skadestånd som gick längre än skadeståndslagens bestämmelser för de fall då skada uppstått till följd av att personregister innehållit oriktig uppgift. Som motiv för att införa ett strikt skadeståndsansvar för dessa fall anfördes bl.a. att skadeverk- ningarna av en oriktig registeruppgift kan bli betydande genom den stora spridning av en uppgift som datatekniken möjliggör och den särskilda tilltro som datauppgifter i många fall åtnjuter. Som ett ytterligare motiv anfördes att faktiska fel kan upp- komma i ett dataregister genom missöden som inte kan läggas någon till last som vållande. Departementschefen tyckte att vissa skäl talade för att utsträcka rätten till ersättning för ideell skada även till fall då brottslig handling har begåtts med avseende på datalagrat material utan att någon personuppgift har fått ett oriktigt innehåll. Som exempel nämndes fall där någon stulit uppgift som i och för sig är riktig eller upprättat personregister

utan tillstånd. Någon särskild bestämmelse för sådana fall föreslogs emellertid inte i propositionen. Föredragande departe— mentschefen ansåg att skadeståndsansvaret gentemot den enskilde borde åvila den som sist haft hand om uppgiften, dvs. den registeransvarige som lämnat ut den oriktiga uppgiften eller på annat sätt orsakat skadan. En sådan registeransvarig kunde enligt föredraganden i vissa fall ha rätt att regressvis återkräva utgiven ersättning av annan (prop. s 148 f).

Sålunda intogs en skadeståndsregel i datalagen som i stort överensstämde med den OSK föreslagit. Denna innebar strikt ansvar för den registeransvarige för skada som tillfogats registrerad genom att personregister innehåller oriktig uppgift om honom. Även ideellt skadestånd kunde utgå. Skadestånds- skyldighet förelåg även om den oriktiga uppgiften inte var hänförlig till den registeransvariges egen verksamhet.

I sitt betänkande (SOU 1978:54) Personregister - Datorer Integritet berörde DALK att kritik hade riktats mot skadestånds- regeln i datalagen. Enligt datainspektionen hade ifrågasatts om det var lämpligt att införa en så vittgående skadeståndsregel som samtidigt enligt kritiken var inkonsekvent då den inte täckte alla situationer där otillbörligt intrång kunde tänkas uppkomma. DALK fann att skadeståndsregeln ännu inte hade tillämpats och att praktisk erfarenhet av regeln saknades. Enligt DALKs mening fanns inte tillräckliga skäl att förorda någon ändring av den gällande skadeståndsregeln (s. 281).

I propositionen 1978/79:109 med förslag till ändring i datalagen fann departementschefen att skadeståndsreglerna borde ses över. En mera inträngande undersökning borde enligt departementschefen göras i samband med utredningen av en generell lagstiftning om personregister.

Data- och offentlighetskommittén (DOK) föreslog i sitt första delbetänkande (SOU 1986:24) Rättelse och skadestånd Patient- uppgifter i personregister bl.a. att den som hade begått brott enligt datalagen skulle bli skyldig att betala skadestånd även för s. k. ideell skada (23 5). Kommitten ansåg att det, med hänsyn till de möjligheter till ideellt skadestånd i samband med brott mot den personliga integriteten som numera tagits upp i skade- ståndslagen, vore inkonsekvent om man inte vid behov kunde utkräva skadestånd för lidande som hade orsakats av brott mot datalagens bestämmelser. Med hänsyn till departementschefens uttalande i datalagens förarbeten och den allmänna restriktivi- teten i svensk rätt när det gäller att medge ersättning för ideell skada fann kommitten det mindre lämpligt att förlita sig till ut- vecklingen av praxis och föreslog ett tillägg i 1 kap 3 & skadeståndslagen som klart angav att ideellt skadestånd kan utgå

i samband med brott mot datalagen (s. 46) DOK föreslog även vissa ändringar i datalagen innebärande utökad skyldighet för den registeransvarige att rätta felaktiga uppgifter i ett person- register och skyldighet för denne att utse en eller flera kontakt- personer.

DOKs förslag ledde till vissa ändringar i datalagen som trädde i kraft den 1 april 1988 (prop. 1986/87:116, KU 1987/S&S, rskr. 10, SFS 1987:990). Ändringarna innebar att den register- ansvarige i ökad utsträckning blev skyldig att rätta felaktiga uppgifter i ett personregister. Rättelseskyldigheten utsträcktes till att i vissa fall även omfatta uppgift som är missvisande utan att vara oriktig. Den registeransvarige blev också skyldig att utse en eller flera kontaktpersoner som skall bistå de registrera- de vid misstanke om att en personuppgift är felaktig. Vad angår skadeståndsskyldigheten enligt datalagen utvidgades den till att avse skada som vållats genom att ett personregister innehåller missvisande personuppgift. I 23 & infördes nuvarande andra stycke som inte var avsett att innebära någon ändring i sak utöver vad som redan gällde enligt skadeståndslagen (jfr prop. 1986/87:116 s. 21 f). Vidare infördes i datalagen en särskild föreskrift om att även ersättning för ideell skada kan utdömas. Som skäl för att en sådan regel fördes in i datalagen och inte, som DOK föreslagit, i skadeståndslagen angavs att skadestånds— lagen i första hand borde reserveras för regler av mera allmän räckvidd och att regler som endast berör ett speciellt område bör tas in i den särskilda lagstiftning som gäller för det området (prop. s. 19 0. I propositionen uttalade departementschefen även att de motiv som åberopades vid datalagens tillkomst till stöd för 23 & datalagen enligt hans mening alltjämt hade bärkraft (s. 17). Han yttrade vidare:

Med hänsyn till de intressen som datalagen" ar avsedd att skydda torde det 1 yförsta hand vara de registrerade som kan bli berättigade till ersättning för ideell skada vid brott som avses 1 nämnda lag rum. För att skadestånd skall utg ä 1 ett konkret fall bör givetvis krävas att målsäganden har blivit utsatt för en integritetskränkning som inte är obetydlig. En sådan integritetskränkning kan t.ex. bestå i att en integritetskänslig uppgift om målsäganden kommit till obehörigas kännedom genom det brottsliga förfarandet. Aven en påtaglig risk för detta bör kunna beaktas. Ett integritetsintrång av detta slag torde kunna uppkomma t.ex. i vissa fall när ett register förs utan tillstånd (jfr 20 5 första stycket 1 datalagen) eller när en personuppgift registreras, lämnas ut eller bevaras i strid med en bestämmelse i datalagen eller en föreskrift som meddelats av datainspektionen (jfr 20 & första stycket 2 - 4). Motsvarande torde kunna bli fallet om någon olovligen bereder sig tillgång till en personuppgift (jfr 21 å).

Ersättning för ideell skada bör också kunna utgå när den registrerade genom det brottsliga förfarandet blir utsatt för en påtaglig risk för att bli föremål för felaktiga ingripanden från myndigheter eller för att inte kunna tillvarata sina lagliga rättig—

heter 1 ett visst avseende. Ett sådant integritetsintrång torde kunna up pkomma t. ex. i vissa fall då någon olovligen ändrar, utplånar eller för in en personuppgift 1 ett register (jfr 21 & datalagen). Skadestånd bör också kunna utgå om en registrerad blir ur stånd att tillvarata sin rätt i en angelägenhet på grund av att en register- ansvarig har lämnat osann uppgift vid fullgörande av sin skyldig het att lämna en underrättelse enligt 10 & (jfr 20 & första stycket 5). Även i vissa andra fall torde ett brott mot datalagen kunna ge upphov till ett integritetsintrång som berättigar till ersättning för ideell skada. Särskilt gäller detta vid s.k. w1re- tapping som avses med den år 1986 utvidgade gämingsbeskrivnjngen i fråga om dataintrång och som ligger brytande av telehemlighet nära (prop. 1985/86:65 s. 30 ff).

Det får ankomma på rättstillämpningen att bedöma upp- kommande skadeståndsfall mot bakgrund av allmänna skadestånds— rättsliga principer och de intressen som datalagen skall skydda.

5 .4 Internationella överenskommelser

Enligt artikel 10 i Europarådets dataskyddskonvention (se avsnitt 7.1 i SOU 1990:61) skall den nationella lagen innehålla lämpliga sanktioner och rättsmedel. I kommentaren till artikeln sägs att det ankommer på varje enskild stat att bestämma karaktären av dessa sanktioner och rättsmedel, dvs. huruvida dessa skall vara av civilrättslig, administrativ eller straffrättslig karaktär.

Medlemsländerna skall enligt punkt 19 i OECDs rildlinjer i fråga om integritetsskyddet och persondataflödet över gränserna (se avsnitt 7.2 1 SOU 1991:21) bl.a. särskilt sträva efter att införa lämpliga sanktioner och rättsmedel.

Förslaget till EG—direktiv (se avsnitt 2 i SOU 1991:21) innehåller också bestämmelser om den registrerades rätt till skadestånd (art. 21) och en föreskrift om att medlemsstaterna också måste ha verkningsfulla sanktionsbestämmelser för att förhindra överträdelser. Vid utformningen av dessa skall särskilt beaktas att överträdelse av dataskyddsprinciperna utgör en kränkning av en grundläggande rättighet (art. 23).

5 .5 Utredningens tidigare överväganden

I utredningens första delbetänkande behandlas sanktionsfrågorna endast kortfattat i avsnitt 8.8 varvid sägs att en skärpning av dessa bör övervägas. Som en allmän princip bör enligt utred- ningen gälla att straff— och skadeståndsbestämmelserna inte är

begränsade till fall där anmälningsskyldighet kommer att föreligga. Vidare nämns att i det föreslagna tillsynssystemet en försummad anmälan, i de fall anmälningsskyldighet skall föreligga, bör medföra straff, liksom fall där ett register med ett visst ändamål förs för ett annat ändamål. Likaså bör straff föreskrivas för avvikelse från vissa av de bestämmelser som datainspektionen kan ha meddelat inom det normerade området, liksom från de villkor inspektionen kan ha meddelat i ett särskilt fall. Straff bör också följa på försummelse att inhämta med— givande till utlandsöverföring där det har föreskrivits. Vidare anges att det bör vara straffbart att bryta mot ett meddelat förbud.

5 .6 Remissyttrandena

Av de remissinstanser som yttrat sig över utredningens första delbetänkande har endast ett fåtal nämnt sanktionsfrågorna.

Datainspektionen understryker vikten av tydliga straff- och skadeståndsbestämmelser i den framtida datalagen och betonar att utredningen i sitt fortsatta arbete bör uppmärksamma de förhållanden som hittills rått när det gäller sanktionssystemets tillämpning och söka utforma ett sanktionssystem som är effektivt, bl.a. därigenom att det i tillämpningen kan avgöras vem som är straffansvarig.

Svenska kommunförbundet vill särskilt påtala att register- ansvar kommunalrättsligt inte kan delegeras till en enskild tjänsteman eller en enskild ledamot eller suppleant i en nämnd och att frågan vem som är straffrättsligt ansvarig i kommunala sammanhang bör behandlas i det fortsatta utredningsarbetet.

Swedish Direct Marketing Association vill av försiktighetsskäl förorda återhållsamhet såvitt avser eventuella skärpningar av straffbestämmelser inom området. Föreningen anser att en noggrann analys av vad som är bäst främjar ett gott skydd mot otillbörligt integritetsintrång straff eller upplysning - först bör goras.

5 .7 Överväganden

I det av utredningen föreslagna tillsynssystemet (se avsnitt 8.6 i SOU 1990:61 och avsnitt 3.1.6 i förevarande betänkande) kommer datalagen att innehålla de grundläggande bestämmelser— na för integritetsskyddet, medan den konkreta anpassningen till vissa sektorer och områden kommer att ske genom en regelut- fyllnad från datainspektionen. Vidare föreligger i detta framtida system anmälningsskyldighet endast för de mera integritets— känsliga persondatamängderna. Datainspektionens tillsyn och kontroll skall i första hand inriktas på de sistnämnda persondata- mängderna.

För att det föreslagna tillsynssystemet skall få önskad effekt krävs det, som utredningen redan påpekat (avsnitt 8.8.2 i SOU 1990:61), att en skärpning av sanktionsbestämmelserna sker.

Straff— och skadeståndsbestämmelserna bör naturligtvis även gälla de fall som inte omfattas av lagens anmälningsskyldighet.

5.7.1 Straff

I dag gäller att den som uppsåtligen eller av oaktsamhet inrättar eller för personregister utan erforderlig licens eller tillstånd enligt datalagen ådöms straffansvar. Detsamma bör gälla den som i ett framtida tillsynssystem underlåter att fullgöra sin anmälningsskyldighet.

Enligt den nuvarande datalagen är det vidare straffbart att bryta mot vissa generella föreskrifter i lagen, nämligen förbudet att lämna ut personuppgifter utomlands m.m., bestämmelserna om gallring och om vad som skall iakttas när ett personregister upphör att föras samt reglerna om skyldighet att ha en för- teckning över personregister och ange avsändare i handlingar till den registrerade. Motsvarande straffbestämmelser bör återfinnas i en ny datalag.

En framtida datalag kommer därutöver enligt utredningens förslag att innehålla vissa materiella förhållningsregler för den som enligt lagen är ansvarig för personuppgifter i form av grundläggande principer för dataskydd. Arbetslivs— och forsk— ningsområdena, där känsliga uppgifter kan förekomma, avses vidare bli särskilt reglerade i en framtida datalag. Datainspek- tionen kommer att svara för detaljregleringen i form av generella föreskrifter för vissa områden och branscher.

Förutom för överskridande av de i datalagen intagna grund— läggande principerna för dataskydd, bör även straff föreskrivas för avvikelse från vissa av de bestämmelser som datainspek—

tionen kan ha meddelat. Motsvarande bör gälla i fråga om de villkor och förbud som inspektionen kan ha meddelat i ett särskilt fall.

Vad angår utformningen av den bestämmelse i datalagen som avser att straffbelägga avvikelse från datainspektionens generella föreskrifter måste särskilt beaktas bestämmelserna i 8 kap. 3, 5, 7 och 11 åå regeringsformen. Som utredningen redovisat i ett tidigare betänkande (SOU 1990:61) föreslås att 8 kap. 7 & regeringsformen ändras så, att till uppräkningen i första stycket i paragrafen fogas ämnet "skydd mot kränkning av personlig integritet vid personregistrering med hjälp av automatisk databehandling". Härigenom blir det möjligt att delegera normgivning också vad avser den kommunala sektorn och den privata verksamhet som inte kan räknas till näringsverksamhet. Enligt 8 kap 7 & sista stycket kan riksdagen i lag, som in- nehåller bemyndigande med stöd av första stycket samma paragraf, föreskriva även annan rättsverkan än böter för överträdelse av föreskrift som regeringen meddelar med stöd av bemyndigandet. Det innebär att, om fängelse skall följa på en överträdelse av en av datainspektionen meddelad föreskrift, en sådan straffbestämmelse måste tas in i datalagen.

Slutligen bör en ny datalag innehålla motsvarigheter till de nuvarande bestämmelserna om straff för den som lämnar osann uppgift vid fullgörande av skyldighet att lämna s.k. 10 å-utdrag eller som lämnar osann uppgift rörande den automatiska databehandlingen när datainspektionen begär uppgifter för sin tillsyn.

Det bör liksom i dag vara tillräckligt med oaktsamhet för att straffansvar skall anses föreligga.

Vid bedömningen av det straffvärde som föreligger vid brott mot datalagens regler måste särskilt beaktas att datalagen har till uppgift att skydda den enskildes personliga integritet mot otillbörligt intrång.

Med undantag av vissa mindre förseelser mot datalagens regler, såsom att inte föra förteckning över persondatamängd eller inte ange avsändaren på försändelse som innehåller personuppgift till den vars personuppgifter det gäller, måste brott mot lagens bestämmelser, med hänsyn till lagens särskilda skyddsområde, rimligen ges ett förhållandevis högt straffvärde. Med ett sådant högt straffvärde måste också strängare straff än i dag kunna utdömas. Fall som det finns anledning att se allvarligt på är t.ex. sådana där myndigheter eller företag i strid mot datalagens bestämmelser registrerar särskilt känsliga uppgifter om sina anställda, t.ex uppgifter om deras politiska åsikter.

Vid bedömningen av vilken straffskala som bör väljas kan man jämföra med de straffskalor som gäller för de bestäm— melser i brottsbalken som tar sikte på att skydda den personliga integriteten i annat hänseende än när det gäller att skydda mot en rent kroppslig kränkning. Dessa är närmast reglerna om hemfridsbrott (4 kap. 6 5), brytande av post— eller telehemlighet (4 kap. 8 €), intrång i förvar (4 kap. 9 5), och olovlig av- lyssning (4 kap. 9 a &) samt i vidare mening även bestämmel— serna om ärekränkning i 5 kap (se avsnitt 3 i SOU 1991:21). En sådan jämförelse ger vid handen att straffskalan bör bestämmas till böter eller fängelse i högst två år. Utredningen föreslår därför att straffskalan i datalagen anpassas till denna nivå.

Vad angår de rena ordningsförseelserna, dvs. i en framtida lag bestämmelser motsvarande de två ovan nämnda fallen om registerförteckning och skyldighet att ange avsändare, bör de även i fortsättningen endast kunna leda till böter.

I fråga om brott mot anmälningsskyldigheten kan det möjligen hävdas att även detta är att bedöma som en ordningsförseelse och därför endast bör kunna straffas med böter. Den omständig- heten att man underlåter att inge en erforderlig anmälan kan dock ske med avsikt att undanhålla datainspektionen kunskap om att en känslig persondatamängd förs och därigenom minska risken för upptäckt. Det bör därför även vara möjligt att ådöma annan påföljd än enbart böter. Så är för övrigt fallet beträffande den som i dag underlåter att skaffa erforderlig licens.

Enligt rådande rättspraxis har det ansetts möjligt att under vissa förutsättningar i viss mån delegera straffansvar. Såvitt avser brott mot datalagens bestämmelser har HD också i ett rättsfall (NJA 1987 s 426) prövat frågan om sådan delegation.

De regler för delegation av straffansvar som sålunda ut- vecklats i rättspraxis och som redovisats i avsnitt 5.2.1 bör också fortsättningsvis gälla även i fråga om brott mot datalagens regler. Anledning att i en ny datalag särskilt reglera frågan om överflyttning av det straffrättsliga ansvaret föreligger därför inte. Nuvarande regler innebär, som framgått, att ledningen för en privat eller offentlig verksamhet under vissa förutsättningar kan överflytta det straffrättsliga ansvaret på en ställföreträdare, som anförtrotts att med tämligen stor självständighet leda verksamheten i vissa delar.

5.7.2 Skadestånd

De skadeståndsregler som finns i den nuvarande datalagen bör kunna föras in även i en framtida datalag. Ersättning bör alltså också framledes utgå om någon tillfogas skada genom att en

persondatamängd innehåller oriktig eller missvisande uppgift om honom eller henne.

Med hänsyn till den lösning som utredningen förordar be- träffande vem som skall bära ansvaret för personuppgifter som förs med ADB (se avsnitt 3.2.5) bör skadeståndsansvaret även i framtiden vara strikt till sin natur, dvs. gälla oberoende av vårdslöshet.

En bestämmelse om skadestånd vid brott mot datalagens regler bör också ingå i en framtida datalag.

Liksom i dag bör ersättning även kunna utgå för s.k. ideell skada. Med hänsyn till den skärpta syn på straffnivån som utredningen redovisat i föregående avsnitt bör en höjning av skadeståndsbeloppen i dessa fall också ske. Enligt utredningens mening bör skadeståndets storlek vid det slag av integritets— kränkning som kommer i fråga vid brott mot datalagen i vissa fall kunna jämställas med de belopp som utdöms för annan kränkning av personlig integritet, exempelvis i fall av fysiskt övervåld. Utredningen tänker t.ex. på det ärende i avsnitt 5.3.2 som avsåg felaktig uppgift i socialstyrelsens register över sluten psykiatrisk vård. Det innebär att ersättningsbeloppen i jämförel— se med justitiekanslerns nuvarande praxis i dessa fall bör höjas väsentligt.

6. Fullföljd mot datainspektionens beslut

6.1. Allmänt

Datainspektionens beslut kan f.n. överklagas enbart hos regeringen. För överklagandet gäller förvaltningslagens (1986z223) bestämmelser. Det innebär bl.a. att klagotiden är tre veckor från det klaganden fick del av beslutet och att enbart den som beslutet angår, om det har gått denne emot, har rätt att överklaga.

Enligt en uttrycklig bestämmelse i datalagen har också justitie- kanslern rätt att överklaga för att ta tillvara allmänna intressen.

Utredningen har i ett tidigare betänkande (SOU 1990:61, avsnitt 8.9) förutskickat att frågan om fullföljd skall behandlas i ett senare skede av utredningsarbetet.

Frågan redovisas av utredningen i föreliggande avsnitt. Vid övervägande av överklagandemöjlighet rörande inspektionens beslut är det framför allt två frågor som måste beaktas. Den första frågan gäller om en möjlighet till domstolsprövning bör införas. Denna fråga behandlas i avsnitt 6.2. Den andra frågan gäller i vilken domstolsinstans ett eventuellt överklagande bör prövas (avsnitt 6.3).

6.2. Bör en domstolsprövning ersätta fullföljd till regeringen?

I direktiven har pekats på de krav på tillgång till domstols- prövning som den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

(Europakonventionen) uppställer. Konventionens rättigheter gäller såväl fysiska som juridiska personer.

Enligt art. 6 i konventionen föreskrivs att "envar skall, när det gäller att pröva hans civila rättigheter och skyldigheter. . .., vara berättigad till opartisk och offentlig rättegång inom skälig tid och inför en oavhängig och opartisk domstol som upprättats enligt lag." Den europeiska domstolen i Strasbourg har givit begreppet "civila rättigheter och skyldigheter" en tämligen vid tolkning, enligt vilken begreppet anses omfatta inte bara vad som traditionellt brukar hänföras till civilrätten. Även viktigare offentligrättslig reglering av individens näringsfrihet och frihet i ekonomiskt hänseende räknas hit (en kortfattad redovisning av art. 6 och praxis finns i Ds Ju 1986z3). Utvecklingen på detta område har lett till att möjligheten till domstolsprövning rent generellt vidgats i Sverige genom att institutet rättsprövning införts.

Enligt lagen (1988:205) om rättsprövning av vissa förvalt— ningsbeslut, som är tidsbegränsad till utgången av år 1991, skall regeringsrätten på ansökan av enskild part i ett sådant för- valtningsärende hos regeringen eller en förvaltningsmyndighet som rör något förhållande som avses i 8 kap. 2 eller 3 & regeringsformen pröva om avgörandet i ärendet strider mot någon rättsregel. (I prop. 1990/91:176 föreslås lagen förlängas till utgången av år 1994.) Rättsprövning kan gälla endast sådana beslut som innebär myndighetsutövning mot den enskilde. Dessutom krävs att beslutet annars kan prövas av domstol endast efter ansökan om resning och inte skulle ha kunnat överprövas i annan ordning. Beslut av vissa nämnder är dock undantagna från rättsprövning, liksom beslut i vissa typer av ärenden.

Av förarbetena till lagen (prop. 1987/88:69) framgår att regeringsrättens prövning skall omfatta inte bara lagtolkning utan också faktabedömning och bevisvärdering. Även kraven i 1 kap. 9 & regeringsformen om allas likhet inför lagen samt om saklighet och opartiskhet bör kunna prövas. Det är däremot inte avsett att rättsprövning skall kunna ske av politiska lämplig- hetsfrågor i egentlig mening.

De beslut av datainspektionen som kan komma i fråga i ett framtida tillsynssystem är i huvudsak frågor huruvida person- uppgifter av visst slag får förekomma i en viss datamängd eller om användningen av uppgifter skall begränsas till visst ändamål eller förbjudas. Vidare hör hit frågor om medgivande till utlandsöverföring, liksom förelägganden av olika slag riktade till den persondataansvarige för att tillgodose krav på rättelse eller komplettering av felaktiga eller ofullständiga uppgifter.

Däremot faller frågan om straff och skadestånd utanför, eftersom dessa frågor avgörs av allmän domstol. Såväl den enskilde som den persondataansvarige kan ha anledning att vilja få ett beslut av datainspektionen överprövat.

Normbeslut, dvs. datainspektionens beslut att efter delegation normera vissa sektorer eller branscher, bör emellertid inte omfattas av fullföljdsreglerna (se avsnitt 8.9 1 SOU 1990:61).

Om integritetsskyddet enligt datalagen skulle vara hänförligt till en sådan rättighet som avses i art. 6 Europakonventionen skulle således en domstolsprövning vara det enda möjliga alternativet till nuvarande ordning vid fullföljd från datainspek— tionen. De rättigheter och skyldigheter som enskilda har enligt datalagen saknar direkt motsvarighet i Europakonventionen. Det integritetsskydd som datalagen och regeringsformens 2 kap. 3 5 ger uttryck för ligger emellertid nära den rätt till skydd för privat- och familjeliv, hem och korrespondens som konven— tionen innehåller (art. 8, jfr 1 kap. 2 & regeringsformen och avsnitt 3 i utredningens tidigare betänkande SOU 1991:21). I den praxis som har utvecklats vid Europakommissionen vid dess tillämpning av konventionen har också frågan om dataskydd ansetts falla inom ramen för rätten till skydd för privatlivet. Enligt art. 13 i Europakonventionen skall den vars konventions- skyddade rättigheter kränkts ha rätt till ett effektivt rättsmedel inför inhemsk myndighet. Därmed anses dock inte ett krav på domstolsprövning föreligga, utan även administrativa rättsmedel kan vara tillräckliga för att uppfylla konventionens krav i denna del (jfr Danelius, Mänskliga rättigheter, 4 uppl., s. 134 ff). Eftersom integritetsskyddet inte heller direkt torde omfattas av bestämmelserna i art. 6, förefaller således inte en övergång till domstolsprövning kunna motiveras med hänvisning enbart till Europakonventionen.

Den svenska ordningen med en överprövning hos regeringen av beslut av förvaltningsmyndighet har en lång tradition och saknar motsvarighet utomlands. Det vanliga i andra länder är att förvaltningsmyndigheters beslut, i den mån de kan överklagas, prövas av allmän domstol eller förvaltningsdomstol. Å andra sidan har den svenska förvaltningstraditionen en mera själv- ständig prägel än den styrning som utomlands utövas från ministerierna över de underlydande myndigheterna.

Fördelen med att behålla regeringen som överinstans är att lämplighetsfrågor som rymmer behov av en mera övergripande bedömning kan bli bättre tillgodosedda.

I den mån det är fråga om en mera uttalad rättslig prövning minskar dock behovet av en sådan diskretionär bedömning. De

materiella bestämmelserna i en framtida datalag bör vara så utformade att de möjliggör en rättslig prövning.

Vad som nu har sagts talar för att regeringens befattning med överklagande inom datalagens område upphör. Härigenom kan regeringen också i linje med en utveckling som pågår avlastas ytterligare en ärendegrupp. Sedan flera år sker inom regerings— kansliet en systematisk översyn av reglerna om rätt att över- klaga till regeringen. Riktlinjerna för detta arbete fastställdes av riksdagen år 1984 (prop. 1983/84:120. En redovisning av utvecklingen finns ibil.2 till budgetpropositionen 1991 s. 55 1). I översynsarbetet ingår även att undersöka om det är ändamåls— enligt att låta domstolsprövning ersätta överklagande i admini- strativ ordning på områden där Europakonventionens krav om tillgång till domstolsprövning gör sig gällande (se KU1990/91 :7 s. 12).

Olika skäl talar således för att fullföljd av inspektionens beslut framgent i stället skall göras till domstol. Bl.a. skulle en anpassning till en europeisk modell åstadkommas och risken för att nuvarande ordning trots allt står i strid med Europa— konventionen undanröjas.

Utredningen föreslår med hänvisning till vad som nu har anförts att överklagande av enskilda framgent görs hos domstol och inte hos regeringen. Detta stämmer också överens med vad som föreslås i utkastet till EG-direktiv (art. 14.8).

När det gäller förvaltningsmyndigheters möjlighet att föra talan mot inspektionens beslut måste emellertid vissa andra frågor beaktas.

Att lösa tvist mellan statliga förvaltningsmyndigheter innebär att andra än rent rättsliga aspekter kommer i förgrunden. Om datainspektionen skulle fatta beslut på integritetsområdet som gäller en annan förvaltningsmyndighets handläggning kan detta sägas röra en tvist mellan två myndigheter, vilka båda är under— ställda regeringen.

Frågor om integritetsskydd i ADB-sammanhang inom den statliga förvaltningen torde i många fall komma att bli aktuella som en följd av att en myndighet beslutat att av administrativa skäl eller effektivitetsskäl införa eller utvidga ett ADB—stöd. Den prioritering som därvid kan behöva göras mellan in- tegritetsskydd, å ena sidan, och den statliga förvaltningens effektivitet, å den andra, bör lämpligen lösas genom att frågan slutligt avgörs av regeringen som har den nödvändiga över- blicken. En statlig förvaltningsmyndighet bör därför även framgent kunna överklaga till regeringen.

N är det gäller kommunala myndigheter, som inte lyder under regeringen, gör sig behovet av en regeringsprövning inte

gällande på samma sätt. Visserligen sker en utveckling med ADB-stöd i rationaliseringssyfte inom den kommunala sektorn i inte så få fall mot bakgrund av statliga beslut om ålägganden och bidrag m.m. Den kommunala verksamheten omfattas emellertid inte till alla delar av en statlig reglering. Det innebär att regeringen inte som för den statliga förvaltningen kan göra de övergripande bedömningar för den kommunala sektorn som motiverar regeringens ställning som besvärsmyndighet för den statliga förvaltningen. I de kommunala fallen bör således en domstolsprövning lämpligen göras, liksom när det gäller enskilda.

Särbehandlingen för statliga myndigheters del har en mot— svarighet när det gäller fullföljdsreglerna i sekretesslagen (1980:100). Se 15 kap. 7-8 55 (prop. 1979/80:2 Del A s. 362 ff).

Den lösning som nu föreslås ligger också i linje med den särskilda behandling av s.k. statsmaktsregister som utredningen i ett tidigare betänkande har förordat skall behållas (se avsnitt 8.7 1 SOU 1990:61).

6.3. Vilken domstolsinstans bör pröva data— inspektionens beslut?

När det gäller frågan om valet av domstolsinstans som bör överpröva datainspektionens beslut förefaller det enligt ut- redningens mening vara mest närliggande att låta denna prövning företas av de allmänna förvaltningsdomstolarna. I dessa domstolar finns en erfarenhet av administrativa för- valtningsbeslut som saknas i de allmänna domstolarna. Som ' framgår av avsnitt 5 är omfattningen av skadestånds- resp. ansvarstalan enligt datalagen i allmänna domstolar inte heller sådan att dessa domstolar av det skälet har en förtrogenhet med det speciella område som datalagen utgör.

Antalet framtida överklagandeärenden är givetvis svårt att uppskatta. Det får dock bedömas vara av en mycket begränsad omfattning. Antalet klagoärenden som nu prövas av regeringen inskränker sig ca tio fall årligen. Detta förhållande och målens speciella karaktär talar mot att låta länsrätten vara första instans. Överklaganden bör därför göras till kammarrätten. Av forum- reglerna följer att målen kan koncentreras till kammarrätten i Stockholm (se 1 5 förordningen, 1977:937, om kammarrätternas domkretsar m.m.).

Övervägande skäl talar således för att datainspektionens beslut framgent överklagas till kammarrätten i Stockholm. En möjlig— het till fullföljd på sedvanligt sätt efter prövningstillstånd till regeringsrätten bör givetvis finnas.

När det slutligen gäller beslut av datainspektionen som rör en domstol bör domstolen också kunna överklaga dessa. Dom- stolarna är emellertid inte statliga förvaltningsmyndigheter och lyder inte under regeringen, varför det synsätt som i föregående avsnitt redovisats för förvaltningsmyndigheterna inte bör tillämpas. Även för dessa fall bör således en domstolsprövning föreskrivas.

När det gäller de beslut av datainspektionen som kan komma i fråga rör de domstolens administration och inte någon sökande eller part vid domstolen. Den ordning inom en domstolsinstans som gäller för besvärsmål eller annan ordinär fullföljd är därför inget naturligt val för överklagande. Ett lämpligare alternativ är att låta även en domstol överklaga till kammarrätten. Vad som nu har sagts bör gälla inte bara för allmänna domstolar i första och andra instans och för de allmänna förvaltningsdomstolarna i första instans utan också för de specialdomstolar och dom- stolsliknande nämnder som finns. Det innebär att de av in- spektionens beslut som rör exempelvis bostadsdomstolen, arbetsdomstolen,marknadsdomstolen,försäkringsöverdomstolen och hyresnämnderna bör fullföljas till kammarrätten.

Om kammarrätten ges exklusiv behörighet bör dock högsta domstolen och regeringsrätten undantas. De båda högsta instanserna får anses själva kunna slutligt pröva de beslut av datainspektionen som nu är i fråga. Om datainspektionens beslut rör en kammarrätt bör talan mot beslutet, utan krav på pröv— ningstillstånd, kunna fullföljas till regeringsrätten.

De privaträttsliga organ, slutligen, som nämns i 1 kap 8 5 sekretesslagen, dvs. sådana organ som är jämställda med myndigheter när det gäller att ta del av allmänna handlingar (bl.a. notarius publicus och AB Svensk Bilprovning), bör i förevarande sammanhang följa den ordning som gäller för dem som inte är statliga förvaltningsmyndigheter. Det innebär således att fullföljd bör ske till kammarrätten och inte till regeringen. Motsvarande bör gälla för myndigheterna under riksdagen.

Vad utredningen föreslagit i fråga om överklagande bör inte ändra justitiekanslerns möjlighet att överklaga för att ta till vara allmänna intressen. Huruvida talan av denne skall föras hos regeringen eller i domstol är avhängigt av vem datainspek- tionens beslut riktar sig emot eller annars angår, dvs. en statlig förvaltningsmyndighet resp. en enskild person, en myndighet

under riksdagen, en kommunal myndighet, myndighetsliknande organ eller en domstol (domstolsliknande nämnd).

Summary

The Swedish Commission on Data Protection was appointed by the Government (Ministry of Justice) in 1989 and directed to revise the Data Protection Act of 1973 (revised in 1982).

In a first report (September 1990) the Commission presented certain basic principles for a future Data Protection Act. The main features of the suggestions made in the report were the following.

The present system of applying for permission and notification of personal data files should be abolished.

The Data Protection Agency should be given the authority to supplement the basic and important provisions of the Act through regulations for different fields or sectors.

The supervisory functions of the Agency should be strengthened and directed mainly towards sensitive files.

An obligation should be introduced to notify the Agency about sensitive files.

In a second report (April 1991) the Commission addressed special issues related to certain areas of personal data files, i.e. personal data used for scientific research and statistics, registra— tion in the employment sector, personal data files in relation to the media and rules governing freedom of information and of the press. Questions regarding personal data files and archive storage were also dealt with in the report, as was the question whether there is a need for an overall integration and coordina- tion of the legislation aimed at the protection of privacy, especially in relation to automated personal data files.

Further, the second report dealt with the Council directives of the Commission of the European Communities (SYN 287) of September 1990, on the protection of individuals in relation to the processing of personal data. The Commission on Data Protection discussed some implications of the directives for the Swedish legislation, were Sweden to harmonize its rules with those of the European Communities.

Regarding personal data files used for scientific research and statistics the report emphasized that informed consent should be the basis for the use of personal data in this field.

In the relation between the data protection rules and the present and proposed constitutional rules on the freedom of the press and the audiovisual media the Commission concluded that the Data Protection Act should not be applied to the files used for production.

Finally, according to the report the use of automated personal data files in the employment sector should be regulated on the basis of the relevant recommendations of the Committee of Ministers of the Council of Europe. The provisions in the Data Protection Act would thus be strengthened for the protection of the personal integrity of the employees.

In the present report, which originally was planned to be the final report, the Commission considers several additional special issues of importance for a reformed Data Protection Act, i.e the definitions of personal data file and controller of the file, transfer of data to other countries, sanctions and liabilities, and the right to judicial remedy.

Definitions of personal data file and the controller of the file

In Ch. 3 the Commission discusses the need for a change of the present definitions of personal data file and the controller of the file. The analysis takes into account the relevant provisions of the Council of Europe Data Protection Convention of 1980, the proposal for a Council Directive of the Commission of the European Communities (SYN 287) and the comments received from authorities and other interested parties on the first report of the Commission.

The Commission suggests that the term "personal data file" is replaced by the term "personal data set" defined in the follow— ing way:

"Personal data set is a set of personal data, which is related to a specific purpose and can be accessible by systematic extraction, retrieval or grouping together of disseminated data through automatic data processing".

The emphasis is placed on accessibility by a structured automated processing with the purpose as a limitation on the theoretical and technical possibilities of a given system. As in the previous report the Commission finds that pure manual pro- cessing should be excluded from the scope of the Data Protec— tion Act.

"The controller of the personal data set" is consequently substituted for "the controller of the file". The former term is defined as the natural or legal person competent to decide what will be the purpose of use of the personal data set, which categories of personal data will be stored and which operations will be applied to them. The definition follows closely that of the EC—directives.

The suggestions regarding these basic concepts influence the proposals made in the two previous reports by the Commission. The Commission therefore discusses the consequences regarding the border between manual and automated processing, matching of files and the right to be informed of the data and to correct them. The obligation to notify the Data Protection Agency, previously proposed to be introduced in a pure supervisory system, should under the new definitions be restricted to cases where certain sensitive personal data are involved in order to make the supervisory body more efficient.

Transfer of data to other countries

The question of transfer of data to other countries is discussed in Ch. 4.

The Commission notes that this particular area is best dealt with within the framework of international harmonization. In the absence of a universal solution the Commission considers it necessary to maintain the present system, whereby the Data Protection Agency has to give its explicit permission to all transfer of data to countries not party to the Council of Europe Convention of 1980. However, the Commission suggests that transfer to countries deemed to have an equivalent and sufficient level of data protection in their national laws could be made without such a permission, provided that these countries are decreed by the Government.

Liabilites and sanctions

Issues concerning liabilites and sanctions are considered in Ch. 5.

A survey done by the Commission shows very few cases of criminal action under the present Data Protection Act of 1973 during the time the Act has been in force. The same applies to cases where damages för personal injury are concerned. How— ever, the Chancellor of Justice (justitiekanslern) has given compensation to individuals in some cases where a state agency has been involved. The amounts have generally been very small and in no case exceeded 10 000 SEK. (The cases have involved individuals who for instance have been incorrectly registered as subject to involuntary mental treatment as well as persons noted as deceased.)

The Commission proposes that as a main rule the violation of the material provisions of the future Data Protection Act should be punishable by fine or imprisonment for a period not exceeding two years (as compared to a maximum of one year imprisonment in the present Act). The level of compensation for injury should be raised considerably according to the Commis- sion to meet the amounts paid for certain types of physical assault.

The right to judicial remedy

The right to judicial remedy is dealt with in Ch. 6. In the present system the decisions by the Data Protection Agency are subject to review by the Government, which is in accordance with the Swedish law on the right to appeal against decisions of the state agencies and other public non—municipal bodies. The Commission notes the present practice whereby the decisions of public authorities are to a large extent reviewable by the administrative courts. This development has been promoted by the application of the European Convention on the Human Rights and Basic Freedoms (cf. art 6 of the Convention).

The Commission proposes that the decisions by the Data Protection Agency which concern another state agency should also in the future be reviewed by the Government. However, the Agencys decisions regarding individuals and public authorities other than state agencies should be tried by the administrative court of second instance (kammarrätten).

The future work of the Commission

In its final stage of work, the Commission will draft a new Data Protection Act. This part of the assignment will be carried out with the participation of Members of Parliament. The final report with the draft of the Act is scheduled to be presented some time late in 1992.

SÄRSKILT YTTRANDE av experten Håkan Färm

Den tekniska utvecklingen samt kraven på effektivitet och rationaliseringar inom skilda verksamhetsområden får användare och konstruktörer av datorbaserade informationssystem att söka nya vägar för samutnyttjande av information. Redan i dag är situationen sådan att organisationer har kontorsinformations- system som i lokala nätverk innehåller olika slag av funktioner såsom ordbehandling, elektronisk post, databashantering m.m. I samtliga fall är personuppgifter tekniskt möjliga att söka från de datoriserade arbetsplatser som ingår i systemet. De lokala nätverken kan i sin tur vara uppkopplade till andra system inom en koncern såväl inom som utom landets gränser. Tillgång kan finnas till ett antal externa inhemska och utländska databaser. Kombinationsmöjligheterna är nära nog oändliga.

Från integrationssynpunkt är det mot denna bakgrund utom- ordentligt viktigt att noggrant, "på fältet", uppmärksamma hur användningen av informationssystem utvecklas och tidigt kunna korrigera oacceptabel användning av personuppgifter.

Jag delar därför till fullo utredningens tidigare slutsats att en aktivare tillsyn bör komma till stånd på bekostnad av tillstånds- givningen. En rejält minskad byråkrati hos datainspektionen (DI) är nödvändig för att frigöra resurser för en ökad tillsyn på fältet. Jag utgår då från att det samhällsekonomiska läget inte kommer att tillåta någon betydande ökning av DIs resurser. För att hålla nere byråkratin krävs bl.a. stor restriktivitet när det gäller att belasta DI med blankettadministration, ärendebehand- ling etc. Utredningens förslag i tidigare betänkande att slopa tillståndsprocessen till förmån för ett anmälningsförfarande var ett steg i rätt riktning.

Utredningen har föreslagit att begreppet personregister bör ersättas med begreppet persondatamängd. Utredningen har föreslagit att denna skall definieras enbart utifrån att det föreligger en teknisk möjlighet att strukturera en viss datamängd utan hänsyn till en användares avsikter. Det är, såvitt jag kan bedöma, i praktiken en utvidgning av dagens registerbegrepp vars konsekvenser jag anser inte vara tillräckligt utredda. Förslaget innebär att löpande texter (promemorier, brev, meddelanden i elektronisk post) som lagras i bl.a. persondatorer med automatik inkluderas i regelverket vilket högst sannolikt kommer att leda till ett stort antal anmälningar.

Förslaget kan förefalla integritetsstärkande, vilket är bra, men när anmälningarna till DI Ökar föreligger en uppenbar risk att förslaget motverkar syftet genom att inskränka på resurserna för tillsyn.

Jag anser därför att utredningen nu när de flesta faktorer i en kommande lagstiftning behandlats, istället borde ha prövat möjligheter att ytterligare minska antalet anmälningar till DI, t.ex. genom att föreslå undantag eller helt eliminera ansöknings- förfarandet.

Såvitt jag kan bedöma föreligger två syften med anmälnings— förfarandet. Det ena är att informera DI om vilka integritets- känsliga register som kommer att finnas. Det andra är att utgöra en grund för avgiftsdebitering, dvs. att tillföra DI intäkter.

Enligt min mening har DI sådana kunskaper om olika samhällssektorer att det skulle kunna utgöra en tillräcklig grund för angelägen tillsyn. Dessutom skulle förteckningarna enligt nuvarande & 7 a i datalagen istället kunna ges en mer fram— trädande roll i sammanhanget.

Beträffande avgifterna kan det tyckas något ologiskt att behöva betala för att få göra en anmälan. Det ter sig då naturligare att betala för att få en licens, som ändå uppfattas som en form av motprestation. Förfarandet är dock inte längre aktuellt enligt utredningens förslag. En strävan bör dock vara tycker jag att även fortsättningsvis ha ett system där avgiften liksom tidigare kopplas till en prestation, men nu förslagsvis tillsyn. Detta skulle bl.a. stimulera tillsynsarbetet.

I dagens databehandling är registerbegreppet svårfångat. Det är inte längre lika lätt från användningssynpunkt att definiera register. En användare upplever snarare att hon för tillfället har tillgång till olika uppgifter från olika håll. Dessa uppgifter sammanförs (vanligtvis från många olika register) i en aktuell arbetssituation. Det är dessa uppgifter och användning av dem som utgör integritetshotet och inte registren i sig själva. Detta förstärks av den databehandlingssituation som skisserats inledningsvis.

Jag anser därför att man bör pröva konsekvenserna av att i framtida lagstiftning utmönstra nuvarande registerkoppling och i stället bygga den på att en organisation behöver person— uppgifter som "maskinellt" får hanteras resp. inte hanteras på vissa sätt.

Konkret innebär detta bl.a. att personregister som centralt begrepp försvinner samt att nuvarande förslag till definition av persondatamängd förändras, om det bibehålls. Kopplingen till ändamålet försvinner, vilket för övrigt överensstämmer med det förslag till reglering som bereds inom EG. Begreppet person—

datamängd kan då innebära antingen de samlade personupp- gifterna i en organisation eller alla personuppgifter i en organi- sation om en viss person.

Om sedan också 5 7 a - förteckningen bygger på detta synsätt kommer en organisation naturligare att kunna avkrävas att redovisa vilka personuppgifter som används i organisationen, vilket är väsentligt mycket tydligare än att bara redovisa vilka register som finns. Detta förbättrar väsentligt insynen jämfört med i dag enligt min mening.

Beträffande frågan om överklagande m.m. i en ny datalag tycker jag det finns anledning att ifrågasätta vissa domstolars ställning i sammanhanget. Enligt utredningens förslag skall DIs beslut som riktar sig till enskilda registeransvariga kunna överklagas till allmän förvaltningsdomstol, med hänvisning bl.a. till Europakonventionen om mänskliga rättigheter. Domstols- prövning i dessa fall förefaller enligt min mening vara en lämplig ordning. Vad det här är fråga om är ju myndighets- utövning gentemot enskilda.

DIs beslut som riktar sig mot en kommun föreslås också kunna överklagas till allmän förvaltningsdomstol. Några principiella eller praktiska hinder mot förslaget i denna del föreligger enligt min mening inte.

När det gäller statliga förvaltningsmyndigheters (under regeringen) möjligheter att överklaga DIs beslut föreslår utredningen en annan ordning. Utredningen anför här att frågor om integritetsskydd i ADB-sammanhang inom den statliga förvaltningen i många fall torde bli aktuella som en följd av att en myndighet av administrativa skäl eller effektivitetsskäl beslutat införa eller utvidga ett ADB-stöd. Enligt utredningens uppfattning bör dessa frågor slutligen prövas av regeringen, som har den nödvändiga överblicken. Mot denna ordning har jag ingen invändning. Här är det ju inte fråga om en situation då en enskild är direkt motpart till en statlig myndighet. En domstolsprövning är därför inte påkallad av hänsyn till Europa- konventionen.

Utredningen har valt en annan lösning när det gäller DIs beslut som rör en domstol. Enligt utredningens förslag skall ett beslut kunna överklagas till kammarrätten om beslutet rör allmänna domstolar i första och andra instans, allmänna förvaltningsdomstolar i första instans, - specialdomstolar (t.ex. arbetsdomstolen) och domstolsliknande nämnder.

Beträffande högsta domstolen och regeringsrätten anser utredningen att de bör undantas, om kammarrätten ges exklusiv behörighet. Enligt utredningen får de båda högsta instanserna anses själva kunna slutligt pröva de beslut av DI som är i fråga. Detta förefaller mig vara ett egendomligt resonemang. Om jag förstår det hela rätt, skulle det innebära att de båda högsta domstolsinstanserna skulle kunna överpröva ett beslut av DI som riktar sig mot dem själva. Det strider mot de flesta principer. Om man inte vill att någon annan än de högsta instanserna själva skall pröva dessa frågor, får de undantas från DIs tillsyn och beslutssfär. Det finns anledning att ifrågasätta en sådan ordning.

Domstolarna är visserligen inte statliga förvaltningsmyndig— heter under regeringen. Beslut av en domstol i administrativa ärenden kan dock i allmänhet överklagas genom förvaltnings— besvär, i vissa fall till regeringen. En domstols beslut att införa eller utvidga ett ADB-stöd får antas grunda sig på admini- strativa skäl eller effektivitetsskäl. Regeringen har även be- träffande domstolarna ett ansvar för att verksamheten bedrivs effektivt. Av samma skäl som anförts i fråga om de statliga förvaltningsmyndigheterna bör DIs beslut som rör domstolarna (i alla instanser) kunna överklagas till regeringen.

Avslutningsvis tycker jag att utredningen nu på ett förtjänst- fullt sätt lyft fram de flesta av de faktorer som bör utgöra stommen i en ny datalag. På de flesta enskilda punkterna har lösningar föreslagits. Enligt min mening måste det dock finnas en öppenhet i det fortsatta arbetet för att förändra lösningarna och pröva olika kombinationer av åtgärder från bl.a. integritets- synpunkt och från ekonomisk synpunkt. Några ekonomiska analyser och slutsatser finns till exempel ännu inte redovisade. Regelverket måste prövas som en helhet och inte i delar. En viktig utgångspunkt förutom de redan redovisade måste dess— utom vara att lagen skall vars så tydlig att den kan förstås och tillämpas av alla dem som kommer att beröras.

SÄRSKILT YTTRANDE av experten Sten Wahlqvist

I direktiven till utredningen sägs att utredningens förslag inte bör leda till ökade kostnader och att datainspektionen (DI) bör ha den storlek den har nu. Mot bakgrund härav ifrågasätter jag om det med den nuvarande mycket höga utvecklingstakten på ADB—området är möjligt att vid ett slopande av nuvarande tillståndskrav i stället införa ett omfattande anmälnings- förfarande och att dessutom utvidga en framtida datalags till— lämpningsområde i förehållande till nuvarande lags genom att göra personregisterbegreppet, eller med den föreslagna termino- login begreppet persondatamängd, vidare än vad det är i dag. Enligt min mening är det även tveksamt om den föreslagna utvidgningen av personregisterbegreppet har något egentligt värde från integritetssynpunkt.

I sin verksamhetsplan för budgetåren 1992/93 och 1993/94 samt i anslagsframställningen för budgetåret 1992/93 konstaterar DI att den mycket omfattande utvecklingen och ökade använd— ningen av ADB-teknik på snart sagt alla samhällsområden fortsätter. Under det senaste budgetåret ökade t.ex. antalet tillståndsansökningar med mer än hundra procent i förhållande till året innan.

Den tekniska utvecklingen, kraven på effektiviseringar och rationaliseringar inom skilda samhällsområden förutsätter ständigt ökande eller förändrad personregistrering inom privat och offentlig verksamhet. Kraven på en effektivare offentlig sektor, liksom nya organisationsformer inom skilda samhälls— områden kommer att förutsätta ökad samordning av olika databaserade informationssystem. Förväntade bransch och strukturrationaliseringar på den privata sektorn kommer att ytterligare förstärka denna utveckling. Denna utveckling gör att kraven på DI fortlöpande kommer att öka.

Den ursprungliga generella tillståndsplikten för personregister som infördes med datalagen år 1973 inskränktes genom lagändringar år 1982. Syftet var redan då att förskjuta tyngd- punkten i DIs verksamhet mot sådana frågor som ansågs särskilt betydelsefulla från integritetssynpunkt. Resurser skulle således föras över från den arbetskrävande tillståndsverksamheten till den eftersatta tillsynsverksamheten. Den förväntade effekten uteblev dock i allt väsentligt, eftersom bortfallet av tillstånds- ärenden avsåg ärenden som redan före lagändringen hade

handlagts summariskt och kom att vägas upp av ett ökande antal andra tillståndsärenden med allt större svårighetsgrad. Till- strömningen av nya tillståndsansökningar är nu tre gånger så stor som år 1983. Härtill kommer ansökningar om ändringar i redan meddelade tillstånd.

Mot bakgrund härav och med hänsyn till att en förändring enligt direktiven måste ske inom ramen för oförändrade resurser är det enligt min mening rätt väg att, som utredningen föreslagit i sitt första betänkande, slopa det nuvarande tillståndsför- farandet. Endast härigenom ges ordentliga möjligheter att inom ramen för nuvarande resurser intensifiera DIs tillsynsverksam— het.

För att inte motverka de möjligheter att bedriva en ökad tillsyn som ett slopat tillståndskrav öppnar är det emellertid viktigt att inte i stället för tillståndsförfarandet införa en omfattande anmälningsplikt som ställer krav på DIs resurser. En strävan måste vara att regleringen av ADB-hanteringen av personuppgifter i lag, förordning och DIs föreskrifter blir så tydlig och utförlig som möjlig så att anmälningarna kan minimeras i största möjliga utsträckning eller helst undvaras helt och hållet. I detta sammanhang är också viktigt att påpeka att DI även utan ett anmälningsförfarande har möjlighet att ha överblick och kontroll över personregistren i landet genom att vid behov fordra in de förteckningar som registeransvariga är skyldiga att ha över sina personregister (7 a & datalagen).

Det bör noteras att den av utredningen föreslagna anmälnings— plikten bl.a. gjorts beroende av om DI detaljnormerat aktuell typ av personregister eller inte. Enligt min mening bör det i första hand ankomma på riksdagen att i lag så långt det är möjligt, och utförligare än i dag, reglera personregistreringen samt därefter på regeringen att i förordning ge ytterligare närmare föreskrifter. I detta sammanhang är det också viktigt att notera att även DIS regelgivningsarbete tar resurser från tillsynsverksamheten. Redan i nuläget åtgår rent faktiskt betydande resurser hos inspektionen för regelgivningsarbete (bl.a. föreskrifter om förenklade ansökningsförfaranden inom olika områden). Mot denna bakgrund är det viktigt att man i ett nytt system inte ålägger DI ett så omfattande regelgivnings- arbete att det motverkar syftet med reformen, nämligen att frigöra resurser till DIS tillsynsverksamhet.

Även om utredningen nu föreslår en viss begränsning av anmälningsplikten i förhållande till vad utredningen tidigare föreslagit innebär föreslaget ändå att en anmälningsplikt införs för i princip alla de register som i dag är tillståndspliktiga. Visserligen kräver inte anmälningar beslut på sätt tillstånds-

ansökningar alltid gör men ett anmälningsförfarande kräver arbete från DIS sida och därmed resurser. Mot bakgrund av tidigare erfarenheter ligger det därför enligt min mening i farans riktning att den ökande ADB-utvecklingen för med sig att man om några år kan befinna sig i samma situation som man gjorde några år efter 1982 års lagändringar, nämligen att hanteringen av anmälningarna och en omfattande egen regelgivning be- gränsar möjligheterna att bedriva en effektiv tillsyn.

Mina farhågor blir än större när utredningen dessutom föreslår att begreppet personregister eller persondatamängd skall bestämmas enbart med hänsyn till den tekniska möjlighet som ADB erbjuder utan hänsyn till en användares avsikter. Detta innebär en inte oväsentlig utvidgning i förhållande till vad som gäller i dag.

Enligt nu gängse praxis anses inte ett personregister föreligga om man använder sin persondator eller ordbehandlare enbart som en "gamla tiders" skrivmaskin. Nuvarande datalag anses tillämplig först om man lagrar det skrivna materialet i avsikt att senare — vilket är tekniskt möjligt med persondatorer och nutidens ordbehandlare söka på person, dvs att bearbeta materialet på olika sätt för att få fram eller komplettera upp- gifter om individer. Enligt utredningens förslag kommer nu all löpande text, t.ex. promemorior och brev, som innehåller personnamn att inrymmas i begreppet persondatamängd om texten skrivs med "nya tiders" skrivmaskin dvs. persondatorer eller ordbehandlare. Den föreslagna utvidgningen kommer enligt min mening att leda till ett mycket Stort antal anmälningar till DI. Många gånger saknar namngivna personer i löpande text en naturlig anknytning till den registeransvarige eller med den föreslagna terminologin den persondataansvarige. Enligt utredningens förslag föreligger då en anmälningspliktig person— datamängd.

I Stort sett alla som inte använder Sina persondatorer eller ordbehandlare uteslutande för personligt bruk torde således förr eller senare bli tvungna att göra anmälningar till DI på grund av den föreslagna utvidgningen. Man kan då fråga sig vad ett anmälningsförfarande har för värde från integritetssynpunkt i förhållande till de kostnader det kommer att medföra för DI och för dem som måste göra anmälningar. Dessutom bör noteras att datalagens regler i övrigt blir tillämpliga på löpande text som innehåller personnamn t.ex. reglerna om förteckningsskyldighet, rättelseskyldighet och rätt till insyn. DIS tillsynsområde utvidgas också inte oväsentligt.

Förutom att jag Således sammanfattningsvis ifrågasätter om utredningens förslag kan rymmas inom ramen för DIS

nuvarande resurser vilket förutsätts i utredningens direktiv ställer jag mig mycket tveksam till behovet från integritets— synpunkt att utvidga "det gamla personregisterbegreppet". Enligt min mening är det inte när man använder sin persondator eller ordbehandlare som skrivmaskin som integritetsriskerna uppkommer. Riskerna uppkommer först när man med hjälp av sin persondator eller ordbehandlare bearbetar, sorterar och sammanställer lagrade uppgifter för att få information om enskilda människor. Enligt min mening bör en framtida reglering givetvis utgå från de integritetsrisker som kan finnas.

1 »

,.199]

Kronologisk förteckning

Flykting- och immigrationspolitiken. A. Finansiell tillsyn. Fi. Statens roll vid främjande av export. UD. Miljölagstiftningen i framtiden. M. Miljölagstiftningen i framtiden. Bilagedel. Sekretariatets kartläggning och analys. M.

6. Utvärdering av SBU. Statens Beredning för Ut- värdering av medicinsk metodik. S.

7. Sportslig och ekonomisk utveckling inom trav— och galoppsporten. Fi.

8. Beskattning av kraftföretag. Fi

9. Lokala sjukförsäkringsregister. S. 10. Affärstidema. C. 1 1. Affarstiderna. Bilagedel. C. 12. Ungdom och makt. C. 13. Spelreglerna på arbetsmarknaden. A. 14. Den regionala bil- och körkortsadministrationen. K.

15.1nformationens roll som handlingsunderlag - styrning och ekonomi. S. 16. Gemensamma regler - lagstiftning, klassifikationer och infonnationsteknologi. S.

17.Forskning och utveckling - epidemiologi, kvalitets— säkring och Spris utvecklingsprojekt. S. 18.1nformationsstruktur för hälso- och Sjukvården - en utvecklingsprocess. S. 19. Storstadens trafiksystem. Överenskommelser om trafik och miljö i Stockholms— Göteborgs- och Malmöregionerna. K. 20.Kapitalkostnader inom försvaret. Nya former för finansiell styrning. Fö. 21. Personregistrering inom arbetslivs—, forsknings- och massmedieområdena, m.m. Ju. 22.Översyn av lagstiftningen om träfiberråvara. I. 23.Ett nytt BFR - Byggforskningen på 90-talet. Bo. 24.Visst går det an! Del 1, 2 och 3. C. 25. Frikommunförsöket. Erfarenheter av försöken med en friare nämndorganisation. C. 26. Kommunala entreprenader. Vad är möjligt? En analys av rättsläget och det Statliga regelverkets roll. C. 27. Kapitalavkastnin gen i bytesbalansen. Tre expertrapporter. Fi. 28. Konkurrensen i Sverige - en kartläggning av konkur- rensförhållandena i 61 branscher. Del 1 och 2. C. 29.Periodiska hålsoundersökningari vissa statliga, kommunala och landstingskommunala anställningar. C. 30. Särskolan -en primärkommunal skola. U. 31.Statens arkivdepåer. En utvecklingsplan till år 2000. U. 32. Naturvårdsverkets uppgifter och organisation. M.

Merete.—

33. Branden på Sally Albatross. Den 9-12januari 1990. Fö.

34. HIV—smittade - ersättning för ideell skada. Ju.

35. Några frågor i ansluming till en arbetsgivarperiod inom sjukpenningförsåln'ingen. S. 36. Ny kunskap och förnyelse. C. 37.Räkna med miljön! Förslag till natur— och miljöräkenskaper. Fi. 38.Räkna med miljön! Förslag till natur— och miljöräkenskaper. Bilagedel. Fi. 39. Säkrare förare. K.

40. Marknadsanpassade service— och stabsfunktioner - ny organisation av stödet till myndigheter och rege- ringskansli. C. 41. Marknadsanpassade service- och stabsfunktioner - ny organisation av Stödet till myndigheter och rege- ringskansli. Bilagedel. C. 42. Abonerade foster, m.m. S. 43. Den framtida lånsbostadsnåmnden. Bo. 44. Examination som kvalitetskontroll i högskolan. U.

45.Påföljdsfrågor. Frigivning från anstalt, m.m. Ju. 46. Handikapp, Välfärd, Rättvisa. S. 47. På väg - exempel på förändringsarbeten inom verksamheter för psykiskt störda. S. 48. Bistånd genom internationella organisationer. UD. 49. Bistånd genom internationella organisationer. Annex 1. Det multilaterala biståndets organisationer. UD. 50. Bistånd genom internationella organisationer. Annex 2. Sverige och u—låndema i FN - en återblick. UD. 51. Bistånd genom internationella organisationer. Annex 3. Särstudier. UD. 52. Alkoholbeskattningen. Fi. 53. Forskning och teknik för flyget. Fö.

54. Skola - Skolbarnsomsorg - en helhet. U. 55. Sveriges nationalrapport till FNs konferens om miljö och utveckling - UNCED 1992. M. 56. Kompetensutveckling — en utmaning. A. 57. Arbetslöshetsförsålu'ingen — finansierings- systemet. A. 58. Ett nytt turistråd. I. 59. Konkurrens för ökad välfärd. Del 1. Konkurrens för ökad välfärd. Del 2. Konkurrens för ökad välfärd. Bilagor. C. 60. Olika men ändå lika. Om invandrarungdomar i det mångkulturella Sverige. C. 61. Statens bostadskreditnåmnd organisation och dimensionering. Bo.

62. Vissa särskilda frågor beträffande integritets- skyddet på ADB-området. Ju.

Kronologisk förteckning

63. Tillsynen över hälso- och Sjukvården. S. 64. Att förvalta kulturmiljöer. U. 65. Ett samordnat vuxenstudiestöd. U.

Systematisk förteckning

J ustitiedepartementet

Personregistrering inom arbetslivs-, forsknings- och massmedieområdena, mm. [21]

HIV-smittade - ersåtming för ideell skada. [34] Påföljdsfrågor. Frigivning från anstalt. m.m. [45] Vissa särskilda frågor beträffande integritetsskyddet på ADB—området. [62]

Utrikesdepartementet

Statens roll vid främjande av export. [3] Bistånd genom internationella organisationer. [48] Bistånd genom internationella organisationer. Annex 1. Det multilaterala biståndets organisationer. [49] Bistånd genom internationella organisationer. Annex 2. Sverige och u—ländema i FN - en återblick. [50] Bistånd genom internationella organisationer. Annex 3. Särstudier. [51]

Försvarsdepartementet

Kapitalkostnader inom försvaret. Nya former för finansiell styrning. [20] Branden på Sally Albatross. Den 9-12januari 1990. [33] Forskning och teknik för flyget. [53]

Socialdepartementet

Utvärdering av SBU. Statens Beredning för Ut-vårde- ring av medicinsk metodik. [6] Lokala sjukförsäkringsregister [9] Informationens roll som handlingsunderlag - Styrning och ekonomi. [15]. Gemensamma regler - lagstiftning. klassifikationer och infonnationsteknologi. [16]. Forskning och utveckling - epidemiologi, kvalitetssä- kring och Spris utvecklingsprojekt. [17]. Informationsstruktur för hälso- och Sjukvården - en utvecklingsprocess. [18]. Några frågor i ansluming till en arbetsgivarperiod inom sjukpenningförsäkringen. [35] Abonerade foster, m.m. [42] Handikapp, Välfärd, Rättvisa. [46] På väg - exempel på förändringsarbeten inom verksamheter för psykiskt störda [47] Tillsynen över hälso- och sjukvården. [63]

Kommunikationsdepartementet

Den regionala bil— och körkortsadministrationen. [14] Storstadens trafiksystem. Överenskommelser om trafik och miljö i Stockholms- Göteborgs— och Malmö- regionema. [19] Säkrare förare [39]

Finansdepartementet

Finansiell tillsyn. [2] Sportslig och ekonomisk utveckling inom trav- och galoppsporten. [7] Beskattning av kraftföretag. [8] Kapitalavkastningen i bytesbalansen. Tre expertrapponer. [27] Räkna med miljön! Förslag till natur- och miljö- räkenskaper. [37] Räkna med miljön! Förslag till natur- och miljö- räkenskaper. Bilagedel. [38] Alkoholbeskattningen. [52]

Utbildningsdepartementet

Särskolan -en primärkommunal skola. [30] Statens arkivdepåer. En utvecklingsplan till år 2000. [311 Examination som kvalitetskontroll i högskolan. [44] Skola - skolbarnsomsorg - en helhet. [54] Att förvalta kulturmiljöer. [64] Ett samordnat vuxenstudiestöd. [65]

Arbetsmarknadsdepartementet Flykting- och immigrationspolitiken. [l] Spelreglerna på arbetsmarknaden. [13] Kompetensutveckling en utmaning. [56] Arbetslöshetsförsakringen finansierings- systemet. [57]

Bostadsdepartemntet

Ett nytt BFR - Byggforskningen på 90-talet. [23] Den framtida lånsbostadsnåmnden. [43] Statens bostadskreditnämnd - organisation och dimensionering. [61]

Industridepartementet

Översyn av lagstiftningen om uatiberråvara. [22] Ett nytt turistråd. [58]

Systematisk förteckning

Civildepartementet

Affarstidema. [10] Affarstidema. Bilagedel. [11] Ungdom och makt.[12] Visst går det an! Del 1, 2 och 3. [24] Frikommunförsöket Erfarenheter av försöken med en friare nämndorganisation. [25] Kommunala entreprenader. Vad är möjligt? En analys av rättsläget och det statliga regelverkets roll. [26] Konkurrensen i Sverige - en kartläggning av konkur- rensförhållandena i 61 branscher. Del 1 och 2. [28] Periodiska hälsoundersökningar i vissa statliga, kom- munala och landstingskommunala anställningar. [29] Ny kunskap och förnyelse. [36]

Marknadsanpassade service- och stabsfunktioner - ny organisation av stödet till myndigheter och rege- ringskansli. [40] Marknadsanpassade service- och stabsfunktioner - ny organisation av stödet till myndigheter och rege- ringskansli. Bilagedel. [41] Konkurrens för ökad välfärd. Del 1. Konkurrens för ökad välfärd. Del 2.

Konkurrens för ökad välfärd. Bilagor. [59] Olika men ändå lika. Om invandrarungdomar i det mångkulturella Sverige. [60]

Mil jödepartementet

Miljölagstiftningen i framtiden. [4] _ Miljölagstiftningen i framtiden. Bilagedel. Sekretariatets kartläggning och analys. [5] Naturvårdsverkets uppgifter och organisation. [32] Sveriges nationalrapport till FNs konferens om miljö och utveckling - UNCED 1992. [55]

11-18

st