SOU 1993:10

En ny datalag : slutbetänkande

SOU 1993: 10 3

Till statsrådet Reidunn Laurén

Utredningen (Ju 1989:02) om en översyn av datalagen tillsattes i maj 1989 med uppdrag att göra en översyn av datalagen (19731289) från såväl saklig som lagteknisk synpunkt.

Till särskild utredare förordnades lagmannen Ulf Arrfelt. Utredningen, som påbörjade sitt arbete i november 1989, antog namnet Datalagsutredningen.

I en första etapp i utredningsarbetet har utredningen övervägt vissa principiella utgångspunkter för en framtida datalag. Utredningens över- väganden och förslag i denna del redovisades i betänkandet (SOU 1990:61) Skärpt tillsyn huvuddrag i en reformerad datalag som överlämnades i september 1990.

I en andra etapp har utredningen behandlat vissa frågor som rör integritetsskyddet i samband med personregistrering och automatisk databehandling inom områdena för forskning och statistik samt för massmediernas och arbetslivets del. Övervägandena i denna del redovisades i april 1991 ibetänkandet (SOU 1991:21) Personregistre- ring inom arbetslivs-, forsknings- och massmedieområdena m.m.

I en tredje etapp, som i september 1991 redovisades i (SOU 1991:62) Vissa särskilda frågor beträffande integritetsskyddet på ADB— området, har utredningen behandlat vissa särskilda frågor på in- tegritetsområdet. Det gällde framför allt begreppen personregister och registeransvarig, liksom frågor om straff och skadestånd samt fullföljd mot Datainspektionens beslut.

Samtliga tre delbetänkanden har remissbehandlats. Den avslutande etappen som redovisas i föreliggande betänkande, har bedrivits under parlamentarisk medverkan. Utredningen har, med beaktande av de remissyttranden som avgctts, arbetat fram ett förslag till en ny datalag.

Till ledamöter förordnades (om inte annat sägs fr.o.m. den 16 maj 1991) riksdagsledamöterna Stig Bertilsson (t.o.m. den 6.10.91 ) och Lars Bäckström (t.o.m. den 19.1.92), f.d. riksdagsledamöterna Helge Hagberg (fr.o.m. den 20.292) och Maria Hed (t.o.m. den 19.2.92), riksdagsledamöterna Chris Heister (fr.o.m. den 291191), Eva Johansson, Kurt Ove Johansson och Bengt Kindbom, systemvetaren Ulrika Landergren (fr.o.m. den 9.1.92), f.d. riksdagsledamoten Arne Mellqvist, riksdagsledamöterna Ingela Mårtensson och Inger René (fr.o.m. den 7.10.91), ombudsmannen Stig Sandström (fr.o.m. den 20.1.92), civilekonomen Jerker Sjögren (fr.o.m. den 9.1.92) samt riksdagsledamoten Richard Ulfvengren (fr.o.m. den 29.11.91).

Som experter har medverkat (om inte annat sägs fr.o.m. den

4 SOU1993110

8.11.89) departementsrådet i Justitiedepartementet Börje Alpsten, universitetslektorn vid juridiska institutionen vid Lunds universitet Jan Evers, numera avdelningschefen vid Statskontoret Håkan Färm, numera arbetsmarknadsrådet Kerstin Gustafsson (fr.o.m. den 13.6.91 t.o.m. den 16.6.92), chefsjuristen vid TCO Stig Gustafsson (fr.o.m. 17.6.92), numera kanslirådet i Justitiedepartementet Erik Göransson (fr.o.m. den 25.2.92), numera lagmannen vid Ängelholms tingsrätt Sigurd Heuman (fr.o.m. den 17.10.89), numera bolagsjuristen Bertil Persson (fr.o.m. den 21.4.92), direktören Gert Persson, f.d. av- delningschefen Edmund Rapaport (fr.o.m. den 1.10.90 t.o.m. 31.3.91), numera kanslirådet i Kulturdepartementet Björn Rosén, numera departementsrådet i Justitiedepartementet Carina Stävberg (fr.o.m. den 17.10.89 t.o.m. den 24.2.92), t.f. professorn Lars Söderström (fr.o.m. den 1.10.90 t.o.m. den 31.3.91) samt f.d. verksjuristen vid Datainspektionen numera kammarrättslagmannen Sten Wahlqvist.

Sekreterare åt utredningen har varit numera statssekreteraren Krister Thelin (fr.o.m den 13.9.89 t.o.m. den 101091), numera bolags- juristen Bertil Persson (fr.o.m. den 1.11.89 t.o.m. den 20.492) och hovrättsassessorn Eva Wendel (fr.o.m. den 1.1.92). Hovrättsassessorn Monica Felding har biträtt utredningen (fr.o.m. den 18. 1.93 t.o.m. den 10.2.93).

Härmed överlämnas utredningens slutbetänkande (SOU 1993: 10) En ny datalag.

Till betänkandet fogas reservationer och särskilda yttranden. Kommitténs uppdrag är härmed slutfört.

Malmö i februari 1993

Ulf Arrfelt

Helge Hagberg Chris Heister Eva Johansson Kurt Ove Johansson Bengt Kindbom Ulrika Landergren Arne Mellqvist Ingela Mårtensson Inger René

Stig Sandström Jerker Sjögren Richard Ulfvengren

/Eva Wendel

SOU 1993:10 5

Innehåll Sammanfattning ............................. l 3 1 Utredningsuppdraget och direktiven .......... 21 2 Gällande rätt i huvuddrag ................. 23 3 Den tekniska utvecklingen ................. 27 3.1 Inledning ............................ 27 3.2 Datoranvändningen i början av 1970-talet ......... 27 3.3 Dagens informationssamhälle ................ 28 3 . 4 Datorprogram ......................... 29 3.4.1 Allmänt ........................ 29 3.4.2 Ordbehandlingsprogram m.m ............ 30 3 . 5 Datakommunikation ...................... 3 1 3.5.1 Nätverk ........................ 31 3.5.2 Överföring av textmeddelanden .......... 32 3.5.3 Mobila system för meddelandeöverföring . . . . 35 3.5.4 Teleguide ....................... 36 3 . 6 Databaser ............................ 37 3.7 Optiska lagringsmedia .................... 39 3 . 8 Multimedia ........................... 44 3.9 Övrigt ............................. 45 3.9.1 Kontorsinformationssystem (KI) ......... 45 3.9.2 Aktiva kort ...................... 46 3.9.3 Penndatorer ...................... 46 3.10 Datorteknikens användning inom arbetslivet ....... 47 . 1 1 Avslutning ........................... 49 4 Den internationella utvecklingen på dataskydds- området ............................. 51 4.1 Inledning ............................ 51 4.2 Europarådets konvention ................... 52 4.3 Europarådets rekommendationer .............. 54 4.3.1 Rekommendationen om skydd för personuppgifter som används för anställningsändamål ...... 55

4.3.2 Rekommendationen om skydd för personuppgifter som används för forskning eller för statistik . . 58

4.4 4.5 4.6

6.1 6.2 6.3 6.4

6.5 6.6

7.1

7.2 7.3 7.4 7.5 7.6

6 SOU 1993: 10

4.3.3 Rekommendationen om skydd för personuppgifter

som används för direktreklamändamål ...... 60 OECD:s rekommendation och riktlinjer m.m. ...... 62 EG-kommissionens förslag till direktiv .......... 65 Något om EG-rätten och EES-avtalet ........... 69 Förhållandet mellan förslaget till EG-direktiv och utredningens förslag till en ny datalag ......... 73 Inledning ............................ 73 Lagens tillämpningsområde ................. 75 Information till den enskilde och underrättelse till dataskyddsmyndigheten m.m. .............. 76 Utlämnande av personuppgifter ............... 85

Lagens tillämpningsområde; personregister, person—

datamängd eller personuppgift? ............. 97 Gällande rätt .......................... 97 Europarådets konvention ................... 99 Förslaget till EG-direktiv ................... 99 Utredningens tidigare ställningstaganden ........ 100 Allmänna utgångspunkter ................. 100 Register, ADB, ändamål och personuppgift ...... 100 En avgränsning med hänsyn till syftet att utnyttja de tekniska möjligheterna ................. 103 En bestämning med hänsyn till enbart teknisk möjlighet ........................... 105 Remissutfallet ........................ 107 Överväganden ........................ 108

Förhållandet mellan datalagen samt tryckfrihets-

förordningen och yttrandefrihetsgrundlagen . . . . 113 Gällande rätt ......................... 113 TF ............................ 113 YGL ............................ 116 RF ............................ 116 Internationella förhållanden ................ 117 Personregister hos tidningar m.m. ............ 119 Utredningens tidigare ställningstaganden ........ 125 Remissutfallet ........................ 1 32 Överväganden ........................ 134 Normkonflikten mellan grundlagarna och datalag— stiftningen ........................... 1 35 Klipparkiven ......................... 141

Avslutande synpunkter ................... 146

SOU l993:10 7

8.3 8.4 8.5 8.6 8.7

9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8

10

10.1 10.2 10.3 10.4

10.5 10.6

Den materiella regleringen i datalagen; ett allmänt begrepp som obehörigt intrång i personhg integritet eller särskilda regler för de olika momenten i informationsbehandlingen? ............... 149 Gällande rätt ......................... 149 Olika uttalanden om begreppet otillbörligt intrång i personlig integritet ..................... 150 Offentlighets- och sekretesslagstifmingskommittén

(OSK) m.m. ......................... 150 Datalagstiftningskommittén (DALK) m.m. ....... 151 Datainspektionens praxis m.m. .............. 154 Konstitutionsutskottets granskningsbetänkande ..... 155 Den datapolitiska propositionen .............. 156 Data- och offentlighetskommittén (DOK) m.m. . . . . 157 Europarådets konvention .................. 158 Förslaget till EG-direktiv .................. 159 Utredningens tidigare ställningstaganden ........ 159 Remissutfallet ........................ 161 Överväganden ........................ 161 Specialreglering genom s.k. statsmaktsregister . . . 165 Nuvarande ordning ..................... 165 Data- och offentlighetskommittén (DOK) ........ 167 Uttalanden i tidigare lagstiftningsärenden ........ 167 Europarådets konvention .................. 168 Förslaget till EG-direktiv .................. 169 Utredningens tidigare ställningstaganden ........ 169 Remissutfallet ........................ 171 Överväganden ........................ 171

Behandling av känsliga personuppgifter för

forsknings- eller statistikändamål ........... 175 Gällande rätt ......................... 175 Europarådets rekommendation .............. 178 Förslaget till EG-direktiv .................. 179 Utredningens tidigare ställningstaganden ........ 179 Allmänna utgångspunkter ................. 179 Bestämningen av begreppet forskningsregister ..... 182 Undantag från kravet på informerat samtycke ..... 183 Registerforskning ...................... 184 Remissutfallet ........................ 1 88 Överväganden ........................ 190 Inledning ........................... 190 Informerat samtycke .................... 191 Undantag från kravet på informerat samtycke ..... 193

11

11.1

11.2 11.3 11.4

12

12.1 12.2 12.3 12.4 12.5 12.6

13 13.1 13.2 13.3

13.4 13.5 13.6 13.7

8 SOU 1993: 10

Behandling av personuppgifter för forsknings-

ändamål ............................ 197 Utlämnande av personuppgifter som används för forsknings- eller statistikändamål ............. 198 Förslaget till EG-direktiv .................. 199 Behandling av känsliga personuppgifter för anställningsändamål .................... 201 Gällande rätt ......................... 201 11.1.1 Datalagen ...................... 201 11.1.2 Vissa arbetsrättsliga bestämmelser ....... 202 11.1.3 Datainspektionens föreskrifter m.m. ...... 208 11.1.4 Datainspektionens praxis ............. 209 Europarådets rekommendation .............. 210 Tidigare utredningsarbete ................. 210 Utredningens tidigare ställningstaganden ........ 214 Allmänna utgångspunkter ................. 214 Inrättande av register .................... 215 Insamling och lagring av uppgifter ............ 217 Utlämnande av uppgifter .................. 217 Insynsrätt ........................... 219 Remissutfallet ........................ 219 Överväganden ........................ 222 Inledning ........................... 222 Informerat samtycke m.m .................. 222 Information till de anställda ................ 229 Förslaget till EG-direktiv .................. 230 Vem är ansvarig för behandlingen av person- uppgifter? .......................... 233 Gällande rätt ......................... 233 Europarådets konvention .................. 235 Förslaget till EG—direktiv .................. 235 Utredningens tidigare ställningstaganden ........ 236 Remissutfallet ........................ 241 Överväganden ........................ 241 Tillstånd eller tillsyn? ................... 249 Gällande rätt ......................... 249 Bakgrunden till gällande ordning ............. 251 Framställning från Datainspektionen om ändringar i datalagen ........................... 254 Europarådets konvention .................. 255 Förslaget till EG-direktiv .................. 255 Utredningens tidigare ställningstaganden ........ 256 Remissutfallet ........................ 258

SOU l993:10 9

13.8

14

14.1 14.2

14.3 14.4

15 15.1

15.2

16

16.1

16.2 16.3 16.4

17 17.1 17.2

Överväganden ........................ 259 Vissa förutsättningar för en renodlad tillsyns- verksamhet ......................... 263 Gällande rätt ......................... 263 Utredningens tidigare ställningstaganden ........ 263 Datainspektionens bransch- eller sektorsreglering . . . 263 Ändring i grundlagen .................... 264 Anmälningsskyldigheten .................. 265 Huvudpunkter i den framtida tillsynsverksamheten . . 266 Remissutfallet ........................ 267 Överväganden ........................ 269 Gallring av personuppgifter ............... 277 Den materiella gallringsregeln .............. 277 15.1.1 Gällande ordning .................. 277 15.1.2 Europarådets konvention ............. 279 15.1.3 Förslaget till EG-direktiv ............. 279 15.1.4 Utredningens tidigare ställningstaganden . . . 280 15.1.5 överväganden ................... 283 Vem skall besluta om gallring? .............. 286 15.2.1 Inledning ...................... 286 15.2.2 Gällande rätt .................... 286 15 .2.3 Förslaget till EG-direktiv ............. 288 15.2.4 Utredningens tidigare ställningstaganden . . . 289 15.2.5 Remissutfallet ................... 291 15.2.6 Överväganden ................... 292 Behövs en samordning av datalagen med annan integritetslagstiftning? ................... 295 Gällande rätt ......................... 295 Regeringsformen m.m. ................... 295 Brottsbalken ......................... 296 Lagen om övervakningskameror m.m. ......... 297 Sekretesslagen ........................ 299 Kreditupplysningslagen och inkassolagen ........ 300 Utredningens tidigare ställningstaganden ........ 301 Remissutfallet ........................ 302 Överväganden ........................ 302 Organisatoriska frågor .................. 303 Nuvarande ordning ..................... 303 Utredningens tidigare ställningstaganden ........ 305 Tillståndsprövningen upphör ................ 305 Förstärkt tillsyn ....................... 305 Inspektionens normgivning ................. 308

17.3 17.4

18 18.1 18.2 18.3 18.4

19 19.1

19.2

19.3

19.4

20

21 21.1 21.2

22 22.1 22.2

10 SOU 1993:10

Handläggningen av anmälningar ............. 309 Information m.m. ...................... 309 Remissutfallet ........................ 309 Överväganden ........................ 3 10 Finansiella frågor ..................... 315 Nuvarande ordning ..................... 315 Utredningens tidigare ställningstaganden ........ 315 Remissutfallet ........................ 3 16 Överväganden ........................ 3 17 Vissa övriga frågor .................... 319 Straffbestämmelser ..................... 3 1 9 19.1.1 Gällande rätt .................... 319 19.1.2 Praxis ........................ 322 19.1.3 Internationella överenskommelser ........ 325 19.1.4 Utredningens tidigare ställningstaganden . . . 325 19.1.5 Remissutfallet ................... 328 19.1.6 Överväganden ................... 328 Skadestånd .......................... 328 19.2.1 Gällande rätt .................... 328 19.2.2 Praxis ........................ 331 19.2.3 Tidigare utredningsarbete ............ 337 19.2.4 Internationella överenskommelser ........ 340 19.2.5 Utredningens tidigare ställningstaganden . . . 340 19.26 Remissutfallet ................... 341 19.2.7 Överväganden ................... 341 Överklagande ......................... 342 19.3.1 Gällande rätt .................... 342 19.3.2 Förslaget till EG-direktiv ............. 342 19.3.3 Utredningens tidigare ställningstaganden . . . 342 19.3.4 Remissutfallet ................... 247 19.3.5 Överväganden ................... 348 Datalagens tillämpning på bilder m.m. ......... 350 Övergången till ett nytt system ............. 355 Ekonomiska konsekvenser av utredningens förslag 359 Löpande kostnader ..................... 359 Övergångskostnader ..................... 360 Specialmotivering ..................... 363 Förslaget till lag om ändring i regeringsformen . . . . 363

Förslaget till lag om ändring i tryckfrihets- förordningen ......................... 366

SOU 1993:10 11

22.3 Förslaget till lag om ändring i yttrandefrihets-

grundlagen .......................... 368 22.4 Förslaget till datalag .................... 369 22.5 Förslaget till lag om ändring i förvaltningsprocess-

lagen ............................ 462 22.6 Förslaget till lag om ändring i sekretesslagen ..... 463 22.7 Förslaget till lag om upphävande av lagen om auto-

matisk databehandling vid taxeringsrevision, m.m. . 468 22.8 Förslaget till lag om ändring i arkivlagen ........ 468 23 Reservationer och särskilda yttranden ........ 471 Summary ............................ 519

Bilagor (separat volym)

Innehåll .............................. 3 Bilaga 1 Författningsförslag ...................... 5 1.1 Förslag till lag om ändring i regeringsformen ........ 7 1.2 Förslag till lag om ändring i tryckfrihetsförordningen . . 11 1.3 Förslag till lag om ändring i yttrandefrihetsgrundlagen . . 13 1.4 Förslag till datalag ........................ 15 1.5 Förslag till lag om ändring i förvaltningsprocesslagen . . 27 1.6 Förslag till lag om ändring i sekretesslagen ......... 29 1.7 Förslag till lag om upphävande av lagen om automatisk databehandling vid taxeringsrevision, m.m. ........ 33 1.8 Förslag till lag om ändring i arkivlagen ........... 35 Bilaga 2 Utredningens direktiv ................... 37 2.1 Direktiv ............................. 39 2.2 Tilläggsdirektiv ......................... 49 Bilaga 3 Internationella dokument ................. 51 3.1 Europarådets dataskyddskonvention ............. 53

3.2.1 Europarådets rekommendation om skydd för personuppgifter som används för anställnings- ändamål ........................ 87 3.2.2 Europarådets rekommendation om skydd för personuppgifter som används för forskning eller för statistik .................. 121 3.2.3 Europarådets rekommendation om skydd för personuppgifter som används för direktreklam- ändamål ....................... 139

12 SOU l993:10

3.3 OECD:s rekommendation och riktlinjer ......... 155 3.4 EG-kommissionens förslag till direktiv .......... 161 Bilaga 4 Utländsk rätt ........................ 291 Inledning ............................ 293 4.1 Norden ............................ 294 4. 1. 1 Danmark ...................... 294 4. 1.2 Finland ....................... 299 4.1.3 Island ........................ 303 4.1.4 Norge ........................ 305 4.2 Utom Norden .......................... 308 4.2.1 Frankrike ...................... 308 4.2.2 Nederländerna ................... 309 4 . 2 . 3 Storbritannien ................... 31 1 4.2.4 Tyskland ...................... 313 4.2.5 Österrike ...................... 315 4.2.6 Australien ...................... 316 4.2.7 Japan ......................... 317 4.2.8 Kanada ........................ 318 4.2.9 USA ......................... 319 Bilaga 5 Förteckning över remissinstanser ........... 321 Bilaga 6 Förteckning över registerförfattningar ....... 325 Bilaga 7 Statistisk undersökning ................. 329

SOU 1993:10 13

Sammanfattning

Datalagsutredningen har haft i uppdrag att göra en översyn av datalagen (1973z289) från såväl saklig som lagteknisk synpunkt. Den svenska datalagen var den första nationella lagstiftningen i sitt slag och väckte berättigad uppmärksamhet vid sin tillkomst. Sedan dess har 20 år gått, vilket i dessa sammanhang är en mycket lång tid, utan att lagens grundläggande struktur har ändrats. Lagen får såväl innehålls- mässigt som till sin tekniska utformning anses vara ganska föråldrad.

Den nuvarande datalagen reglerar användningen av personregister. Med personregister förstås register, förteckning eller andra anteck- ningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Avgörande för frågan om datalagen överhuvudtaget är tillämplig på ett register är således huruvida registret förs med ADB eller inte. Register som förs med hjälp av annan teknik än ADB faller i dag utanför datalagens tillämpningsområde.

För varje register skall finnas en registeransvarig. Därmed förstås den för vars verksamhet personregistret förs, om han förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga. Med att förfoga över ett register avses närmast en befogenhet att överföra registrets innehåll till läsbar form. En registeransvarig måste också kunna påverka innehållet i registret genom att tillföra eller ändra de uppgifter som ingår i registret för att anses förfoga över det.

Personregister får inrättas och föras endast av den som efter anmälan har fått licens av Datainspektionen. En sådan licens berättigar den registeransvarige att föra ett eller flera personregister.

För vissa register, som bedöms innebära särskilda risker för otillbörligt intrång i enskilds personliga integritet, krävs utöver licens även ett särskilt tillstånd från Datainspektionen.

Tillstånd behövs i regel för att inrätta och föra ett personregister som innehåller 1) känsliga personuppgifter, 2) omdömen om den registrerade, 3) uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundför— hållande eller något därmed jämförligt förhållande samt

14 SOU 1993:10

4) personuppgifter som inhämtats från något annat personregister (s.k. samkörning).

En grundläggande förutsättning för att Datainspektionen skall kunna ge tillstånd att inrätta och föra personregister är att det inte finns anledning att anta att registeringen medför otillbörligt intrång i de registrerades personliga integritet.

Finns det anledning anta att personuppgifter skall användas för ADB i utlandet, får uppgifterna lämnas ut endast efter medgivande av Datainspektionen. Sådant medgivande får lämnas endast om det kan antas att utlämnandet av uppgifterna inte kommer att medföra otillbörligt intrång i personlig integritet. Något medgivande behövs dock inte, om personuppgifter skall användas för ADB enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid ADB-behandling av personuppgifter.

I datalagen finns allmänna bestämmelser om gallring av personupp- gifter.

Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i registrerads personliga integritet.

Har förande av personregister medfört eller kan antas medföra otillbörligt intrång i personlig integritet kan Datainspektionen meddela villkor eller, om rättelse inte på annat sätt kan åstadkommas, förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd.

Datainspektionens beslut får överklagas hos regeringen genom besvär.

Enligt Datalagsutredningens förslag skall datalagen även i fortsätt- ningen bara reglera sådan informationshantering som sker med hjälp av ADB. Liksom hittills skall lagen gälla både för den privata och offentliga sektorn. I övrigt innebär den föreslagna lagen mycket betydande förändringar i förhållande till vad som gäller i dag. De viktigaste förändringarna och nyheterna är följande.

* Personregisterbegreppet, som har gett upphov till en hel del tolkningsproblem, slopas. Den nya datalagen blir tillämplig på behandling av personuppgifter. Med behandling förstås varje åtgärd som vidtas med personuppgifter genom ADB. Vissa undantag görs från huvudregeln, bl.a. tas ordbehandling och behandling som sker uteslutande för personligt bruk undan från lagens tilllämpnings- område.

* Det blir lättare att avgöra vem som är registeransvarig, person- datansvarig enligt utredningens terminologi, i system som används av flera. Endast den är persondataansvarig som bestämmer ända- målet med behandlingen, vilka personuppgifter som skall behandlas och hur de skall behandlas.

SOU l993:10 15

* Systemet med licens och tillstånd avskaffas. Trots olika försök att rationalisera tillståndshanteringen och begränsa antalet tillstånds- ärenden är arbetet med dessa ärenden så omfattande att Datainspek- tionen i stort sett inte hinner ägna sig åt några inspektioner ute på fältet. Den uteblivna tillsynen medför en bristande respekt för datalagens regler. Det kan t.ex. nämnas att det f.n. finns omkring 50 000 meddelade licenser. Enligt utredningens beräkningar hade antalet bort vara mellan 500 000 och 1 milj.

* De resurser som frigörs genom att systemet med licens och tillstånd avskaffas skall användas för en intensifierad tillsyn, särskilt inspektioner ute på fältet. En sådan tillsyn är enligt utredningens uppfattning det bästa sättet att upprätthålla ett gott integritetsskydd.

* En förutsättning för att man skall kunna övergå till ett renodlat tillsynsförfarande är att datalagen ger en så utförlig reglering som möjligt av de förutsättningar som gäller för ADB-hantering av personuppgifter. Det nuvarande begreppet otillbörligt intrång i personlig integritet, som aldrig har kunnat ges ett någorlunda preciserat innehåll, avskaffas. I stället införs regler för de olika momenten i informationsbehandlingen. I den nya datalagen finns bestämmelser om bl a den nödvändiga anknytningen till ett ändamål, förutsättningarna för behandling av personuppgifter, vilka person— uppgifter som får behandlas, formen för samtycke från den enskilde, säkerhet och gallring.

* Regleringen i den nya datalagen skall kunna kompletteras med be- stämmelser som utfärdas av Datainspektionen och som avser olika branscher eller sektorer.

* Ett system med anmälningsskyldighet för vissa persondataansvariga införs. En anmälan skall göras till Datainspektionen när vissa känsliga uppgifter behandlas med ADB. Anmälningarna skall ligga till grund för Datainspektionens tillsyn. Anmälningsförfarandet blir betydligt enklare och riktar sig mot betydligt färre persondata- ansvariga än det nuvarande tillståndssystemet.

* Liksom i dag skall personuppgifter få ADB- behandlas bara för bestämda ändamål. Ändamålet skall dock enligt utredningens förslag anges med större precision än enligt nuvarande datalag. Möjlig- heterna begränsas att använda personuppgifter som samlats in för ett ändamål för andra ändamål.

* I den föreslagna lagen anges i sex olika punkter de alternativa grunder som ger rätt att ADB-behandla personuppgifter. En av grunderna är samtycke från dem som berörs av behandlingen.

16 SOU 1993: 10

När den enskildes samtycke behövs för en viss ADB-behandling skall det vara ett uttryckligt samtycke. Passivitet eller s k konklu- dent handlande kommer inte att vara tillräckligt.

För känsliga personuppgifter, t.ex. politisk uppfattning, sjukdom, hälsotillstånd eller olika slags omdömen, kommer särskilda regler att gälla. Enligt dessa bestämmelser får de känsliga uppgifterna ADB-behandlas bara om, när samtycke inte föreligger, det finns särskilt stöd i författning för behandlingen. Det kommer att behövas åtskilliga sådana författningar, särskilt på den offentliga sidan.

I några paragrafer i den föreslagna datalagen ges sådant särskilt för- fattningsstöd i fråga om behandling av känsliga uppgifter på forskningsområdet och hos arbetsgivare. Dessa bestämmelser anger alltså de förutsättningar som måste föreligga för att känsliga upp- gifter, utan samtycke från de berörda enskilda, skall få ADB- behandlas för forskningsändamål och i förhållandet mellan arbets- givare samt arbetstagare och arbetssökande. På forskningsområdet avses bestämmelserna tillgodose den viktiga registerforskningen.

En uttrycklig regel om förbud för den persondataansvarige att ADB- behandla personuppgifter för direktreklamändamål i strid med den enskildes önskan tas in i datalagen.

Särskilda regler införs i datalagen som klargör hur de intressen som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen skall avvägas mot integritetsintressena.

Vid gallring av personuppgifter som utgör allmän handling hos myndigheter kan integritetsintressena komma i konflikt med intresset att bevara uppgifterna, t.ex. för framtida användning inom forsk- ningen. En särskild bestämmelse i utredningens förslag till datalag anger hur den avvägningen skall ske.

Bestämmelserna i den gällande datalagen om överföring av person- uppgifter till utlandet för ADB-behandling av uppgifterna där har berörts i det föregående. Enligt utredningen förslag skall överföring utan särskilt medgivande kunna ske till en stat som visserligen inte har anslutit sig till Europarådets konvention men som har ett integritetsskydd som motsvarar det som följer av konventionens regler. Den nya bestämmelsen bör få ganska stor praktisk betydelse.

Datainspektionens beslut skall i fortsättningen överklagas till domstol, inte som i dag till regeringen.

SOU l993:10 17

EG-kommissionen antog i september 1990 ett förslag till direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Sedan förslaget behandlats i EG:s minister- råd och EG-parlamentet har EG-kommissionen i oktober 1992 antagit ett nytt förslag till direktiv. Detta förslag har förelagts Ministerrådet och enligt tidsplanen skall Rådet ta slutlig ställning till det nya förslaget under år 1993.

Ätskillig diskussion om hur integritetsskyddet skall vara utformat har förekommit i anslutning till det tidigare utkastet till direktiv från Kommissionen och EG-parlamentets behandling av detta utkast. Fortfarande förekommer inom EG, såvitt man kan bedöma, oenighet om hur ett framtida direktiv skall vara utformat. Detta har bl.a. lett till att tidsplanen för antagandet av direktivet har förskjutits. Enligt företrädare för Kommissionen kommer Minsterrådet troligen inte att kunna ta slutlig ställning till förslaget förrän sommaren 1994. I den debatt som förts efter det Kommissionen presenterade sitt reviderade förslag i oktober 1992 har vissa bl.a. pekat på den s.k. subsidiaritets- principen. Vidare kan nämnas att vid Europeiska Rådets möte i Edinburgh den 11 - 12 december 1992 Kommissionen förklarat att den avser att revidera ett antal förslag i syfte att göra dem mindre detaljerade. Sett i ljuset av att samtliga medlemsländer snart kommer att ha nationella dataskyddslagar och anslutit sig till Europarådets dataskyddskonvention har det från vissa håll ifrågasatts om behovet av att anta direktivförslaget kommer att kvarstå.

Redovisningen i det följande bygger på det nuvarande direktiv- förslagets lydelse.

Direktiv som beslutas av behöriga EG—organ är bindande i fråga om det resultat som skall uppnås men överlämnar åt medlemsländerna att välja form och metod för detta.

I förslaget till EG-direktiv har man beaktat den utveckling på data- skyddsområdet som har skett och förslaget bygger på de integritets- skyddslagar och den internationella reglering som har kommit fram under de senaste åren. I förhållande till den svenska datalagen innefattar direktivförslaget i en hel del hänseenden en önskvärd skärpning av reglerna för integritetsskyddet. Av dessa och andra skäl, särskilt det intensifierade europeiska samarbetet, har utredningen efter— strävat att få i huvudsak samma regler för integritetsskyddet som de som kan komma att gälla inom EG. Utredningens förslag till materiella regler för dataskyddet ligger också nära motsvarande bestämmelser i direktivförslaget. Det gäller bl.a. sådana frågor som ändamålsanknyt- ning och byte av ändamål, förutsättningar för behandling av person— uppgifter, hur samtycke från den enskilde skall lämnas, vilka person- uppgifter som får behandlas, säkerhet, gallring och regleringen av känsliga personuppgifter.

Vissa avvikelser förekommer emellertid i förhållande till förslaget till EG-direktiv. Som har nämnts i det föregående skall datalagen i

18 SOU 1993:10

motsats till vad som gäller enligt direktivförslaget även i fortsättningen bara reglera sådan informationshantering som sker med hjälp av ADB. Såvitt utredningen känner till är nämligen varken omfattningen av eller innehållet i den manuella registreringen av någon betydenhet och innebär inte några mera påtagliga integritetsrisker. Vidare berör en del föreskrifter i direktivförslaget den svenska offentlighetsprincipen. De bestämmelser i förslaget till EG-direktiv som reglerar utlämnande av personuppgifter tillåter enligt utredningen inte något utlämnande enligt offentlighetsprincipen. Ett utlämnande av personuppgifter med stöd av offentlighetsprincipen kan heller inte anses förenlig med det sätt på vilket ändamålet för en viss ADB—behandling skall anges enligt direktivförslaget. Förslaget till EG—direktiv påverkar vidare principen i tryckfrihetsförordningen att en sökande som begär att få ut en handling har rätt att vara anonym. Slutligen innehåller inte direktiv- förslaget något undantag från huvudregeln om gallring som gör det möjligt att bevara personuppgifter med hänsyn till offentlighets- principen. I de hänseenden som nu har nämnts innebär utredningens lagförslag avvikelser från det föreslagna EG-direktivet för att offentlig- hetsprincipen skall lämnas orörd.

Avvikelser i förhållande till förslaget till EG-direktiv förekommer också när det gäller informtion till den enskilde och underrättelser till dataskyddsmyndigheten.

Kraven på information till den enskilde är långtgående. Enligt direktivförslaget skall den enskilde ha rätt att på begäran bli in- formerad om förekomsten av en viss ADB-behandling och om olika uppgifter som hänför sig till ADB-behandllingen. När en persondata- ansvarig lämnar ut personuppgifter skall vidare den enskilde vars personuppgifter det är fråga om i princip underrättas om utlämnandet. Tanken bakom dessa bestämmelser i direktivförslaget är att den enskilde skall bli medveten om att personuppgifter som rör honom ADB—behandlas och kunna göra sin rättigheter enligt dataskyddslag- stiftningen gällande. Ett iakttagande av bestämmelserna skulle emellertid innebära en betungande informationsskyldighet för de persondataansvariga och en ganska betydande byråkratisering av kontrollsystemet.

Utredningen har kommit till den slutsatsen att de skäl som från integritetssynpunkt talar för den angivna ordningen inte är tillräckligt starka för att väga över den byråkrati som skulle bli följden. Ut- redningen har då också beaktat att det finns goda möjligheter till insyn genom andra regler i den föreslagna datalagen och i sekretesslagen. Liksom i dag kommer den enskilde att få möjlighet att kontrollera om uppgifter som hänför sig till honom är föremål för ADB-behandling och, om så är fallet, att kontrollera om uppgifterna är riktiga, fullständiga och aktuella. Information om vilka känsliga personupp- gifter som ADB-behandlas kan man vidare få hos Datainspektionen. Den persondataansvarige skall nämligen, innan han får börja att

SOU 1993:10 19

behandla sådana personuppgifter, göra en anmälan till Datainspek- tionen om ADB-behandlingen. Slutligen finns i sekretesslagen särskilda regler om dokumentationsskyldighet beträffande datasamlingar som en myndighet har tillgång till. Reglerna syftar till att tillgodose allmän- hetens intresse av överblick över och orientering i det ADB-material som finns hos myndigheterna.

När det gäller underrättelser till dataskyddsmyndigheten är utgångs- punkten i förslaget till EG-direktiv att all ADB-behandling skall anmälas. Vad som får tas undan från anmälningsskyldigheten är vissa slag av behandling som inte menligt påverkar de enskildas integritet. Åtgärder för att göra undantag från anmälningsskyldigheten förutsätter dataskyddsmyndighetens medverkan.

Utredningen konstaterar att, även om många undantag görs från huvudregeln om anmälningsskyldighet, det finns en betydande risk för att ett mycket stort antal datasamlingar måste anmälas till dataskydds- myndigheten, bl.a. beroende på den höga takten i datoriseringen här i landet. Antalet kan bli så stort att den överblick över den integri— tetskänsliga databehandlingen som dataskyddsmyndigheten bör ha helt går förlorad. De åtgärder som behövs för att göra undantag från an- mälningsskyldigheten kommer vidare att innebära en betydande belastning på dataskyddsmyndigheten. Utredningen har samman- fattningsvis kommit till den slutsatsen att det sätt på vilket avgräns— ningen av anmälningsskyldigheten har gjorts och det förfarande för att göra undantag från anmälningsskyldigheten som anges i direktiv- förslaget är förenade med så betydande olägenheter att någon harmoni— sering med förslaget till EG-direktiv inte bör ske i denna del. I stället har i den nya datalagen anmälningsskyldigheten avgränsats på samma sätt som tillståndsplikten enligt den gällande datalagen, dvs. det anges uttryckligen i lagen vilken behandling som måste amnälas till Data- inspektionen. Anmälningsskyldigheten har begränsats till att avse ADB-behandling av i sig känsliga personuppgifter.

Även i övrigt görs i olika frågor avvikelser från direktivförslaget. Den nya datalagen är avsedd att träda i kraft den 1 januari 1995.

ulwhmtnu—uumnm wwmmm.mhwmmm menar:-immapmn-anMH-l—m." MWhrhr'irMHJ-H.nm3lhn Furia ..ilJl'l "j.-" | II:-| Miu-l..]- IF.-* m | ”EPU—'#- mnmni-u Munnani-_. AMF.-w_— nmm Inn 111an Il-illlihmill- MIn-tum mh mulm-Iman annah—wti."— .'|l.'l.|llll.51 'tis Jill-fll IIHF-lm 'J- m m- m milf-r mm rl-r'l "I-lllhu lilu the. '#!- l-|-J"| L-Il'le-Illll'ul ”Timm? I-IuLl _l" 'i— -- &- IF.-. .|

SOU 1993:10 21

1 Utredningsuppdraget och direktiven

Utredningens direktiv (Dir. 1989:26) innebär ett uppdrag att göra en såväl saklig som lagteknisk översyn av datalagen (1973z289, omtryckt 1992:446).

Direktiven i sin helhet framgår av bilaga 2. Enligt ett direktiv riktat till alla kommittéer och särskilda utredare (Dir. 1988:43) åligger det utredningen att bland annat redovisa hur det förslag som läggs fram förhåller sig till EG:s motsvarande regler, direktiv eller förslag till direktiv från EG-kommissionen. Om utred- ningens förslag skiljer sig härifrån skall skälen för detta redovisas.

Arbetet, som inleddes i november 1989, har utredningen valt att utföra i etapper.

I den inledande etappen, som i september 1990 redovisades i del- betänkandet (SOU 1990:61) Skärpt tillsyn - huvuddrag i en reformerad datalag, diskuterade utredningen vissa principer för en ny datalag. Tyngdpunkten i det arbetet låg på en undersökning av om det nuvarande systemet med tillståndsprövning och licens kunde ersättas med en ordning med ökad tillsyn för att på det sättet effektivisera integritetsskyddet. Vissa av datalagens grundbegrepp såsom otillbörligt intrång i personlig integritet, automatisk databehandling och person- register, togs också upp till övervägande.

I en andra etapp, som redovisades i betänkandet (SOU l991:21) Personregistrering inom arbetslivs-, forsknings- och massmedie- områdena, m.m. behandlade utredningen skilda frågor som rör ADB- registrering av personuppgifter inom vissa områden. Det gällde personregistrering inom området för forskning och statistik, inom massmedieområdet och personregistrering i anställningsförhållande. Vidare diskuterade utredningen frågan om samordning med annan integritetslagstiftning och gallringsfrågor. Utredningen redovisade också EG—kommissionens förslag till direktiv angående skydd för enskilda vid behandling av personuppgifter.

Utredningen fick därefter tilläggsdirektiv (Dir 1991:18). Genom tilläggsdirektiven ålades utredningen att utnyttja det underlag som presenterats i de båda delbetänkandena och att beakta de remissyttran- den som avgetts. Dessa direktiv har tagits in som bilaga 1.

I en tredje etapp, redovisad i september 1991 i det tredje delbe- tänkandet (SOU I991.'62) Vissa särskilda frågor betrafande in- tegritetsskyddet på ADB-området, diskuterade utredningen särskilda

22 SOU 1993: 10

frågor inom integritetsSkyddsområdet, främst begreppen personregister och registeransvarig. Även frågor om straff och skadestånd, utlands- överföringar samt fullföljdsfrågor behandlades.

Den avslutande etappen, som redovisas i föreliggande betänkande, har bedrivits under parlamentarisk medverkan. Utredningen har, med beaktande av de remissyttranden som avgetts, arbetat fram ett förslag till en ny datalag. Lagförslaget innebär, med vissa undantag, en harmonisering med ett förslag till direktiv från EG-kommissionen om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Förslaget från EG—kommissionen samt vissa andra internationella dokument finns i bilaga 3. En redovisning av utländsk rätt har tagits in i bilaga 4. Den internationella utvecklingen på dataskyddsområdet behandlas också i avsnitt 4 i betänkandet.

Som framgått har utredningen tidigare lagt fram tre delbetänkanden. Varje delbetänkande har remissbehandlats. En stor del av de frågor som diskuteras i slutbetänkandet har alltså tidigare behandlats av utredningen och varit föremål för remissbehandling. I dessa delar redovisas i slutbetänkandet först utredningens tidigare ställnings— taganden. Därefter anges i korthet remissutfallet och sist följer utredningens slutliga överväganden. En förteckning över de remiss- instanser som har yttrat sig över de tre tidigare betänkandena finns i bilaga 5.

I den utsträckning utredningen under tiden för de tre delbetänkan— dena har ändrat sina förslag redovisas bara den sista versionen.

SOU 1993: 10 23

2 Gällande rätt i huvuddrag

Datalagen (1973:289, omtryckt 1992z446) inleds med en definition av begreppen personuppgift, personregister, registrerad och register- ansvarig (1 5).

Med personuppgij? avses upplysning som avser enskild person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas som personuppgifter. Enligt lagmotiven (prop. 1973:33 s. 117) avses även uppgifter om en persons bostadsförhållanden, banktillgodohavanden, fastighets— eller bilinnehav och upplysningar i övrigt om en persons ekonomiska ställning.

Med personregister förstås register, förteckning eller andra an- teckningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Endast register som förs med hjälp av ADB omfattas således av datalagen. Register som förs med hjälp av annan teknik än ADB faller i dag utanför lagens tillämpningsområde.

En personuppgift kan hänföras till en viss person antingen direkt genom själva uppgiften eller med hjälp av en identitetsuppgift som också ingår i registret. Även register som innehåller identitetsuppgifter av sådan art att endast den invigde kan utläsa vilka personer som finns registrerade omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteckningar som också återfinns på dokument gör det möjligt att knyta uppgifterna till en viss person.

Med begreppet registrerad avses en enskild person beträffande vilken det förekommer en personuppgift i ett personregister.

Registeransvarig är den för vars verksamhet personregister förs, om han förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga.

Endast den som anmält sig till Datainspektionen och erhållit licens får inrätta och föra personregister (2 G). Datainspektionen granskar inte anmälan i sak utan ger endast den registeransvarige ett bevis (licens) om att anmälan har gjorts samt ett särskilt licensnummer (10 & data- förordningen 1982:480). En licens berättigar den registeransvarige att föra ett eller flera personregister. Licens erfordras inte för person- register som en enskild person inrättar eller för uteslutande för personligt bruk (2 & tredje stycket).

Den som erhållit licens skall erlägga en årlig avgift till Datainspek- tionen (1 och 3 åå förordningen, 1982:481, om avgifter för Data- inspektionens verksamhet). Inspektionen får, om det föreligger särskilda skäl, sätta ned eller efterskänka avgiften. Med hjälp av ADB för Datainspektionen ett register över licensanmälningar, licensregistret

24 SOU 1993:10

(3 & dataförordningen). Licensregistret får Datainspektionen använda för sin tillsyns- och informationsverksamhet samt som underlag för uppbörd av licensavgifter.

För vissa typer av register med känsliga uppgifter krävs utöver licens även ett särskilt tillstånd från Datainspektionen (2 & andra stycket datalagen). Sådant tillstånd behövs i regel för att inrätta och föra register som innehåller 1) i sig känsliga personuppgifter, 2) omdömen om den registrerade, 3) uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kund- förhållande eller något därmed jämförligt förhållande samt 4) personuppgifter som inhämtas från något annat personregister (s.k. samkörning), om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande.

Tillstånd erfordras inte för personregister som någon inrättar eller för uteslutande för personligt bruk (25 tredje stycket). Tillstånd behövs inte heller för register vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) eller för register som har tagits emot för förvaring av en arkivmyndighet (2 a 5 första och andra styckena).

Sammanslutningar får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska upp- fattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen (2 a & tredje stycket 1).

Myndigheter inom hälso- och sjukvården får utan tillstånd för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a & tredje stycket 2). Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten (2 a & tredje stycket 3).

Läkare och tandläkare får utan tillstånd inrätta och föra person- register som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet (2 a & tredje stycket 4).

Arbetsgivare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han skall påbörja en rehabiliteringsutredning enligt 22 kap. 3 5 andra stycket lagen (1962:381) om allmän försäkring (2 a & tredje stycket 5).

Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning att anta att registreringen medför ett otillbörligt intrång i den registrerades personliga integritet. Om så anses vara fallet skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt beakta arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall inhämtas samt vilken inställning de som kan komma att registreras har eller kan antas ha till

SOU 1993: 10 25

saken. Inspektionen skall även särskilt beakta att inte andra uppgifter eller andra personer registreras än som står i överenstämmelse med ändamålet med registret (3 5).

Särskilda skäl krävs för att tillstånd skall kunna meddelas för in- rättande och förande av personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a 5).

Det krävs synnerliga skäl för att andra än myndigheter som enligt lag eller annan författning har att föra förteckning över sådana uppgifter skall kunna erhålla tillstånd att inrätta och föra personregister som innehåller vissa angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att någon misstänks eller har dömts för brott eller varit föremål för vissa tvångsingripanden (4 5 första stycket).

Tillstånd att inrätta och föra personregister som i övrigt innehåller uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom social- tjänsten eller varit föremål för åtgärd enligt utlänningslagen får endast om särskilda skäl föreligger meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter. Särskilda skäl krävs även för registrering av uppgifter om någons ras eller politiska uppfattning eller religiösa övertygelse (4 & andra och tredje styckena).

Det förhållandet att ett personregister skall användas för statistiska bearbetningar eller vetenskapliga undersökningar kan, enligt lagens förarbeten, i sig utgöra "särskilda" eller "synnerliga skäl" under förut— sättning att enskilda personers identitet inte offentliggörs.

När Datainspektionen meddelar tillstånd att inrätta och föra person- register, skall inspektionen samtidigt meddela beslut om ändamålet med registret (5 6). I den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet skall inspektionen i samband med tillståndsgivningen även meddela särskilda villkor (6 5). Sådana villkor får meddelas beträffande exempelvis inhämtande av uppgifter, vilka personuppgifter som får ingå i registret, utlämnande, bevaring och gallring.

Personregister skall inrättas och föras så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. I 7 & anges närmare vad som skall iakttas för att nå upp till vad som brukar kallas "god registersed". Den registeransvarige är också skyldig att förteckna de personregister som han är ansvarig för (7a 5). Förteckningen skall vara aktuell och hållas tillgänglig för Datainspektionen.

I datalagen finns också särskilda bestämmelser om ADB-använd- ningen som är avsedda att garantera att personuppgifter är riktiga och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 55, behandlar bl.a. rättelse av oriktiga och missvisande uppgifter.

En central bestämmelse är vidare datalagens 10 5. Den ger den enskilde en rätt till insyn i personregister. Där stadgas att den registeransvarige på skriftlig begäran av den enskilde skall underrätta denne om innehållet i registret, såvitt det gäller honom eller henne. Ett sådant registerutdrag, s.k. 10 å-utdrag, har den enskilde rätt att kostnadsfritt få en gång per år.

26 SOU l993:10

I datalagen finns allmänna bestämmelser om gallring av personupp- gifter och om vad som skall iakttas då en registeransvarig upphör att föra ett personregister för vilket Datainspektionen meddelat tillstånd (12 5). Vissa bestämmelser om tystnadsplikt finns i 13 5.

En särskild bestämmelse om dokumentationsskyldighet avser att göra det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upp- tagning som har legat till grund för avgörandet av ett mål eller ärende hos en myndighet. Sådan ADB-upptagning skall tillföras handlingarna i målet eller ärendet i läsbar form. Undantag gäller endast, om det finns särskilda skäl (14 5).

Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i registrerads personliga integritet (15 — 18 55)- Inspektionen har möjlighet att meddela villkor eller, om rättelse inte kan åstadkommas på annat sätt, förbjuda förandet av personregister eller återkalla meddelade tillstånd.

Datainspektionens beslut enligt datalagen överklagas hos regeringen. Justitiekanslern får föra talan för att ta tillvara allmänna intressen (25 ä)-

Bestämmelser om straff och skadestånd finns i 20 - 21 55 och 23 5. Ett personregister kan förklaras förverkat, om det inrättas eller förs utan nödvändig licens eller tillstånd (22 5).

I datalagen regleras även det statliga person- och adressregistret (SPAR), 26 - 28 åå.

Kompletterande bestämmelser om bl.a. licensanmälan, tillstånds- ansökan, handläggningen hos Datainspektionen, verkställighetsföre— skrifter och bistånd till personer som är registrerade utomlands finns i dataförordningen (1982:480).

SOU 1993: 10 27

3 Den tekniska utvecklingen

3. 1 Inledning

Informationsteknologin (vari inkluderas datortekniken) har sedan datalagens tillkomst genomgått en explosionsartad utveckling och har kommit att användas inom de flesta områden och fått en allt större betydelse för samhällsutvecklingen.

ADB-teknik utnyttjas i dag inom alla områden där man har behov av information och av att förmedla information. Sådan teknik används inte bara av myndigheter, organisationer och företag utan i allt högre grad även av enskilda människor som privat behöver använda eller förmedla information. Vi har i dag ett samhälle där informations- behandling med hjälp av ADB utgör ett naturligt inslag.

3.2 Datoranvändningen i början av 1970-talet

Offentlighets- och sekretesslagstiftningskommittén (OSK) konstaterade i sitt delbetänkande (SOU 1972:47) Data och integritet att det fanns ungefär 340 datorsystem med personuppgifter på den offentliga sidan. ADB förekom eller planerades inom folkbokföringen, skatteadministra- tionen, personaladministrationen, rättsväsendet, exekutionsväsendet, sjuk— och hälsovården, administrationen av de allmänna försäkringarna, socialvården, utbildningsväsendet, arbetsplaneringen och fastighets- registreringen.

Ett antal datorsystem var gemensamma för flera myndigheter. Stora datorsystem var vanligast på den statliga sidan men förekom också hos större kommuner.

Antalet datorsystem var i början av 1970-talet väsentligt större på den privata sektorn än på den offentliga. Antalet sådana system med personuppgifter uppskattades av OSK till ca 3 000. Systemen med flest antal registrerade personer återfanns hos företag som tillhandahöll uppgifter för selektiv direktreklam. En del omfattade hela Sveriges befolkning.

De vanligast förekommande registren gällde personaladministration samt olika slags medlemsregister och kundregister, t.ex. över prenumeranter, bankkunder, kontokunder, försäkringstagare och hyresgäster.

Antalet register, som endast innehöll uppgifter av mindre känslig art eller från vilka uppgifter inte lämnades ut till utomstående, var väsentligt större inom den privata sektorn än inom den offentliga.

28 SOU l993:10

Informationsutbyte förekom mellan företag och myndigheter, bl.a. mellan löneregister och skattemyndigheternas register. Vidare förekom informationsutbyte mellan centrala bilregistret och vissa försäkrings— bolag.

Andra typer av informationsutbyte innebar att arbetsgivare via sina branschorganisationer lämnade uppgifter om sina anställda till arbets- tagarorganisationerna.

Den tekniska hanteringen av datorsystemen ägde rum i stora maskin- hallar under överinseende av särskilt utbildad personal. OSK bedömde år 1972 antalet sådana datamaskinanläggningar i Sverige till 600 stycken.

3.3 Dagens informationssamhälle

Dagens datorutrustning är väsentligt kraftfullare, billigare och enklare att hantera än den som fanns att tillgå tidigare. Ett mycket stort antal människor har fått möjlighet att tillgodogöra sig information av olika slag och att bearbeta den efter egna önskemål.

En alltmer långtgående standardisering inom datakommunikation har ägt rum och har förenklat informationsutbytet mellan olika system. En effekt härav har blivit en allt intensivare internationell datakom- munikation. Även trådlös datakommunikation är allt vanligare.

Genom den hittillsvarande utvecklingen av lagringstekniken finns numera möjlighet att enkelt lagra i stort sett obegränsade mängder information, inkluderat lagring av bilder, till väsentligt lägre kostnader än bara för några år sedan.

Kraftfulla och användaranpassade databashanteringssystem har förenklat möjligheten att lägga upp och bearbeta stora mängder data. Den tekniska utvecklingen har även medfört att användare via terminal själva enkelt kan göra valfria sammanställningar ur en databas.

Datortekniken utnyttjas inom allt fler nya tillämpningsområden. Exempel på sådana områden är bevakning och tillträdesskydd, revision, ekonomiska transaktioner med hjälp av aktiva kort, journal- hantering inom sjukvården och massmedias textarkiv. Ett markant inslag i ADB-teknikens utveckling är att den inte längre är bunden till centrala system vars funktioner kan påverkas bara av ett fåtal männi- skor. Genom utbredningen av persondatorer och lokala system har olika användare inom arbetslivet fått utökade möjligheter att påverka och själva utforma sitt ADB-stöd.

De små bärbara datorerna har kommit att medföra ytterligare nya användningsområden för informationsbehandling med hjälp av ADB. Exempelvis inom sjukvården kommer en distriktssköterska vid sjukbesök att kunna söka information om patienten och även notera journalanteckningar i datorn.

Statistiska centralbyrån fann i en är 1990 utgiven studie att 1,5 milj svenskar är 1989 använde datorer i sitt arbete, en ökning med 50 procent på fem år. Det motsvarade 32 procent av alla sysselsatta. Enligt undersökningen hade antalet datoranvändande företag ökat med 200 procent från år 1984 till 1989. Under samma tidsperiod hade

SOU 1993: 10 29

antalet personer som hade datorutrustning i bostaden tredubblats från 178 000 personer till 546 000 personer. Studien visade vidare att över hälften av de statligt anställda använde datorer i sitt arbete mot bara 14 procent av de anställda inom kommuner och landsting. Antalet dator- användare varierade mycket mellan olika yrkesområden och närings- grenar, från knappt 10 procent inom jord- och skogsbruk till närmare 90 procent inom bank- och försäkringsväsendc.'

I det följande ges en kortfattad översikt över vissa delar av den moderna informationsteknologin.

3 .4 Datorprogram

3.4.1 Allmänt

En definition av dator betecknar den som en apparat för databehand— ling som utan mänskligt ingripande under körning kan utföra om- fattande beräkningar med ett stort antal aritmetiska operationer eller logikoperationer.2 Datorn kan sägas ha tre huvuduppgifter, nämligen bearbetning (inbegripet beräkningar), lagring och kommunikation. Datorns arbete styrs av systemprogram (t.ex. operativsystem) och tillämpningsprogram (t.ex. för sortering, beräkning m.m.). Närmare tekniska beskrivningar av hur ett datorsystem är uppbyggt och fungerar har getts i Upphovsrättsutredningens delbetänkande (SOU 1985z51) Upphovsrätt och datateknik s. 29 ff och i Datastraffrättsutredningens betänkande (SOU 1992:110) Information och den nya informations- teknologin — straff— och processrättsliga frågor m.m. s 84 ff.

De delar av ett datorsystem som består av elektroniska kompo- nenter, ledningar, plåt m.m. går ofta under den gemensamma benämningen maskinvara ("hardware", "hårdvara"). Maskinvaran i en dator är generell och kan fås att bl.a. utföra bearbetning, datalagring och kommunikation av olika slag. Vad den kommer att göra bestäms av instruktioner, som liksom data lagras i datorns inre och yttre minnen. En samling av sådana instruktioner kallas för ett dator- program.

Begreppet programvara ("software", " mjukvara") kan sägas omfatta såväl själva programmet (programinstruktionerna) som tillhörande dokumentation för användare och för personal som skall handha och sköta driften av programmet. Ibland innefattas i begreppet också t.ex. service och utbildning.

Anpassning och specialisering görs i programvaran, som är lättare att ändra eller byta ut än maskinvaran. De unika egenskaperna i ett datorsystem bestäms därför i hög grad av den programvara som

1 Datorvanor 1990, utgiven av statistiska centralbyrån och Dataföre- ningen i Sverige, 1990

2 SIS Dataordboken, utgåva 4, 5.72, utgiven av SIS Standardiserings- kommissionen i Sverige, 1989

30 SOU l993:10

datortillverkaren utvecklat eller som kunden kan köpa från fristående programtillverkare eller själv utvecklar.

Det finns i princip två huvudkategorier av datorprogram, system- program och applikationsprogram.

Systemprogram är oberoende av den tillämpning som datorsystemet skall utnyttjas för. En viktig kategori av systemprogram är operativ- systemen som bl.a. förenklar ett antal ofta förekommande funktioner som t.ex. flyttningar mellan olika enheter i datorsystemet eller igång- sättande av program och kontroll av att dessa program kan arbeta till synes parallellt, trots att datorn endast kan utföra en instruktion i taget. Antalet generella operativsystem på marknaden är starkt begränsat. Bland de mest använda operativsystemen för mindre datorer märks MS—DOS, PC-DOS, OS/2, Macintosh OS och UNIX.

Ett applikationsprogram är ett program som utför en bestämd uppgift. Programmen kan delas in efter sin funktion i olika områden. Det finns program som medför att användaren kan använda sin dator för ard— och textbehandling, dvs. man skriver in och redigerar sin text på en bildskärm i stället för på papper. Först när man är nöjd med texten skriver man ut den på skrivare. Fördelen jämfört med en vanlig skrivmaskin är att man enkelt kan ändra och justera texter utan att behöva skriva om allt. Man får dessutom tillgång till många funktioner som sökning av text, flyttning av större textblock, automatisk stavningskontroll och automatisk avstavning. Andra program används för kalkylering, administration (t.ex. order— och lagerhantering, fakturering och bokföring), datakommunikation, grafik och s.k. Computer Aided Design, CAD. Det finns även applikationsprogram som möjliggör s.k. Desktop Publishing (DTP), dvs. gör det möjligt för användaren att sammanställa en trycksak med utgångspunkt från material som behandlats i datorn - texter från ordbehandlingsprogram, ritningar från grafik- och CAD-program och bilder ritade med ritprogram eller inlästa med bildläsare, s.k. scanner. Vissa applika- tionsprogram är registerhanteringsprogram som gör det möjligt för an- vändaren att registrera, söka bland, sortera och skriva ut sorterade data. Några applikationsprogram är direkta hjälpprogram som på olika sätt förenklar användningen av datorn. Det finns också integrerade applikationsprogram som innehåller flera programdelar som löser separata uppgifter, men som ändå har förmågan att samverka med varandra. Exempelvis kan en kalkyldel av programmet samverka med en ordbehandlingsdel och en grafikdel, så att ett brev kan innehålla siffermaterial presenterat som diagram av olika slag.

3.4.2 Ordbehandlingsprogram m.m.

De flesta av de ordbehandlingsprogram som i dag finns på marknaden ger möjlighet till fri textsökning, dvs. även möjlighet att i en text återsöka vissa namn eller liknande. Flera av programmen har bl.a. en funktion som möjliggör framställning av personligt utformade mass- brev. Så är fallet med bl.a. de marknadsledande programmen Word- Perfect och Microsoft Word.

SOU l993:10 31

Många av programmen har sådana egenskaper att användaren förutom ordbehandling även får tillgång till kalkylering, register- hantering, grafik, kommunikation och elektronisk post. Så är t.ex. fallet med ett annat stort program på marknaden, Framework. De flesta ordbehandlingsprogram ger även möjlighet att föra över data till och från andra registerhanterings- och kalkylprogram.

På marknaden finns i dag ordbehandlings- och registerhanterings— program som kostar från ca 300 kr och uppåt. Det finns även program som tillhör det s.k. Public Domain-området, dvs. program som kan kopieras fritt och användas gratis eller för en obetydlig summa.

3 . 5 Datakommunikation

Överföring av information sker idag via datakommunikation av olika slag. Det kan ske i rikstäckande - eller världsomspännandc - publika datanät. Det kan också ske via privata nät som används av en viss bestämd krets. De nya tekniska möjligheterna i kombination med ökad standardisering och avreglering av telemonopolet medför att geo- grafiska avstånd inte längre utgör något större hinder för överföring av information.

Det är i dag möjligt att koppla ihop två eller flera lokala nät via externa nät. Detta medför att man från en persondator kan få möjlighet att nå fram till databaser i andra organisationers lokala nät. Det finns inte längre några tekniska begränsningar för möjligheten att via datanät koppla samman olika datorsystem.

Systemen medger att den överförda informationen kan lagras om användaren så önskar. Därefter kan användaren strukturera och använda informationen som kan utgöra personuppgifter på önskat sätt i sin persondator. Dessutom finns adresskataloger inbyggda i de flesta nätverkstyper.

Ett annat sätt att överföra information som blir allt vanligare när det är fråga om stora och relativt stabila informationsmängder är att skicka datamedia, oftast CD—ROM-skivor (se avsnitt 3.7), per post.

3 . 5. 1 Nätverk

Genom att använda ett s.k. modern (&dulator/de_modulator), vars uppgift är att omvandla elektriska pulser till tonsignaler, kan det vanliga telefonnätet användas för datakommunikation. Dataöverföring— en kan antingen ske via det vanliga telefonnätet, Datel, eller via ett speciellt nät för dataöverföring, Datex. Ett annat nät för datakommuni- kation är Datapak. *

Datorer kan kopplas samman i lokala datanät (Local Area Networks, LAN) för överföring av information dem emellan. Sådana datanät ökar kraftigt i antal. Trenden är att dessa lokala nät kommer att integreras till enorma persondatanät med tusentals användare i olika städer.

Merparten av Europas teleförvaltningar har enats om att införa ett integrerat digitalt telenät, Integrated Services Digital Network, (ISDN). ISDN, som bygger på en internationell standard, kan hantera kom—

32 SOU 1993:10

binerad kommunikation av data, text, ljud och bild över samma för- bindelse i telefonnätet. Det kommer även att bli möjligt att koppla in persondatorer på ISDN-nätet och använda nätet som ett lokalt nät oberoende av avståndet.

3.5.2 Överföring av textmeddelanden

Det pågår en intensiv utveckling av nya tekniker för överföring av textmeddelanden. Tidigare medier som t.ex. telegram har nästan för- svunnit helt.

Telex har en relativt låg överföringshastighet och begränsad tecken- uppsättning, men är ändå på grund av sin världsomfattande spridning fortfarande ett mycket använt medium.

Teletex, en modern variant av traditionell telex, kommer dock troligen på sikt att ersätta telex. Den utrustning som i huvudsak används vid teletex är i stort sätt en vanlig persondator med ett ord- och textbehandlingsprogram och möjlighet till datakommunikation. En text, t.ex. ett brev eller ett meddelande, skapas med hjälp av ord- och textbehandlingsprogrammet på teletexutrustningen. Därefter skickas texten till önskad mottagare via i första hand Datexnätet till mottaga- rens teletexutrustning. Överföringshastigheten för teletex är ca 50 gånger högre än med vanlig telex.

Telefax började på allvar att användas som ett generellt kommunika- tionsmedel i början av 1980-talet. Bl.a. förekomsten av internationella standarder, kompatibiliteten mellan olika telefaxutrustningar, den relativt låga kostnaden och möjligheten att utnyttja det allmänna telefonnätet har lett till en snabb spridning av utnyttjandet av telefax. I dag kan i praktiken alla företag och förvaltningar i Sverige nås med telefaxmeddelanden.

Hittills har det vanligaste sättet att utnyttja telefaxtekniken varit att sända ett pappersdokument i en speciell utrustning ansluten till telefonnätet, omvandla det till elektronisk information och, i en annan utrustning, få ut en kopia av dokumentet på ett papper. För att i datorsammanhang ytterligare öka effektiviteten och minska kostnaderna har s.k. telefaxkort till datorer börjat komma ut på marknaden. Fördelarna med dessa är att man direkt från exempelvis en persondator med ett ordbehandlingsprogram, utan att behöva skriva ut en pappers- kopia, kan skicka ett dokument till en eller flera användare. Även mottagning av dokument kan ske direkt i datorn. Man kan sedan läsa dokumentet på bildskärmen. Det finns datorprogram som kan omvandla mottagen telefaxinformation till textformat.

Elektronisk post innebär att text som kan skapas med hjälp av ord- och textbehandling skickas till önskade mottagare via ett datanät där meddelandet motsvarar ett "brev". Meddelandena kan utväxlas externt eller internt. De brukare som använder intern elektronisk post utnyttjar befintliga terminaler och persondatorer och kan därigenom kommuni- cera med varandra via en gemensam dator. Varje användare har sin personliga "elektroniska brevlåda" i den gemensamma datorn. Det finns också möjlighet att utvidga systemet så att användarna kan delta i datakonferenser genom att systemet får en gemensam "brevlåda" för

SOU 1993:10 33

flera användare. Detta ger användarna möjligheter att kommunicera med varandra oberoende av tid och rum. Elektronisk post kan också ingå som en funktion i ett kontorsinformationssystem (se avsnitt 3.9. 1). I Videotex (se nedan) finns också tillgång till elektronisk post.

Med de flesta varianter av elektronisk post kan användaren samtidigt skicka samma text till flera mottagare, kontrollera om mottagaren har tagit del av den översända texten, i datorn arkivera de texter man vill spara, ha en egen "brevlåda" på den centrala datorns skivminne där inkomna texter lagras, om man inte omedelbart kan läsa det in- kommande meddelandet, samt ha en egen behörighetskod som hindrar obehöriga att få tillgång till "brevlådan". En del elektroniska post- system har som nämnts särskilda funktioner för att också stödja grupp- kommunikation. I dessa s.k. datakonferenssystem kan avsändaren adressera ett skrivet meddelande som ett inlägg till ett elektroniskt möte eller konferens, i vilket ett flertal personer kan vara deltagare. Exempel på sådana system är KOM, SuperKOM, PortaCom och EARN (European Academic and Research Network). Det finns även s.k. Bulletin Board Systems, BBS, mot vilka man kan koppla upp sig för att ställa frågor, delta i erfarenhetsutbyte eller hämta programfiler.

De elektroniska postsystemen har utvecklats kraftigt under den senare delen av 1980-talet och många företag använder sig idag av intern elektronisk post. Den internationella standardiseringen har fortsatt och möjligheten att låta olika system för elektronisk post kommunicera med varandra har ökat markant. Det beräknas att antalet elektroniska "brevlådor" i Europa kommer att öka med ca 45 procent per år fram till år 1993. Tekniken tillåter i dag överföring av datafiler, texter, brev (inkl. fax) och även bilder mellan olika datorer. En del system kan endast användas inom ett lokalt datanät, andra kopplar samman stordatorer med varandra och omfattar hela världen.

EDI, (Electronic Data Interchange) är en metod för att överföra dokument, främst affärsdokument mellan datorer. Tillämpningen av EDI utmärks av att data som utbyts är formaliserade och strukturerade enligt någon EDI-standard, att datautbytet mellan datasystemen sker automatiskt och utan mellanliggande manuell hantering samt att datautbytet sker mellan datasystem i olika organisationer och i olika datamiljöer. EDI avviker från elektronisk post genom att meddelandet innehåller formaliserad och strukturerad information. Dessutom innebär EDI en kommunikation mellan datasystem till skillnad från elektronisk post som är en kommunikation mellan enskilda användare. Den information som överförs med EDI är direkt bearbetningsbar i datasystemen.

Metoden har använts i USA i över 20 år, men fick sitt internatio- nella genombrott först år 1986 då Västeuropa och USA slog samman sina två standarder till en internationell sådan kallad EDIFACT (Electronic Data Interchange For Administration, Commerce and Transport). Sedan FN sanktionerat denna standard har den nu det officiella namnet UN/EDIFACT. Denna standard har förutom i USA och Västeuropa nu även vunnit stöd i Australien och Japan.

Inom nationella och internationella organ, liksom inom olika branschföreningar, pågår sedan några år tillbaka ett intensivt arbete

34 SOU 1993: 10

med EDI-standardisering av olika slags handelsinformation. Bland armat driver EG och EFTA ett gemensamt projekt, TEDIS (Trade Electronic Data Interchange Systems), med uppgift att koordinera och främja spridningen av EDI. I Sverige har bilindustrin kommit längst med sitt EDI-projekt kallat ODETTE (Organisation for Data Exchange by Tele Transmission in Europe), som skapat standarder för in- formationsöverföring avseende leveransplanering, streckkodsmärkning, fakturering etc. ODETTE är anpassat till EDIFACT-standarden.

Enligt vissa uppskattningar kommer EDI att användas för en väsentlig del av Sveriges varuflöde år 1995. I vissa branscher kan det komma att gälla för mer än hälften av varuflödet, t.ex. i bilindustrin, medan det tar längre tid innan andra branscher när så långt. Vissa statliga myndigheter, t.ex. tullen, och ett antal stora branscher, t.ex. bilindustrin, byggindustrin, transportbranschen och bankerna räknar med en snabb spridning för EDI. Det nya svenska s.k. tulldatasystemet (TDS) medger t.ex. att export- och importhandlingar tas emot och behandlas med hjälp av EDI. TDS avses hantera klarering av import-, export-, och transitärenden samt debitering. I slutet av 1990—talet beräknas EDI ha nått en mycket bred användning. Huvuddelen av penningflödet i Sverige beräknas t.ex. då ske med EDI. Vidare räknar tullen med att 80 procent av alla tullärenden sker med hjälp av EDI år 1995. Se vidare en i maj 1990 utgiven rapport, EDI för miljoner (TELDOK Rapport nr 56, 1990).

Videotex är beteckningen på ett informations- och kommunikations- system för spridning av text och viss grafisk information. Användar- utrustningen består vanligen av speciella videotexterminaler med modern. Det är dock även möjligt att använda vissa TV-apparater som monitorer. Också persondatorer kan utnyttjas under förutsättning att de kompletteras med program för datakommunikation.

Televerket sköter det svenska videotexnätet till vilket ett antal företag har anslutit sina datorer så att deras databaser blivit åtkomliga för användaren av Videotex. De företag som anslutit sig ansvarar för den information och de Specialtjänster som erbjuds genom Videotex, medan televerket svarar för kommunikation och service. Söktekniken är enkel och gemensam för alla databaser i Videotex. Man väljer från menyer och bläddrar fram bilder. Informationen är nämligen lagrad bildvis och inte som en sammanhängande textmassa. De anslutna företagen kan göra det möjligt för kunderna att sköta sina affärer direkt från videotexterminaler i hemmen. Avgränsade grupper kan även skapa slutna informationstjänster som bara är tillgängliga för den egna kretsen i Videotex. I Videotex finns också tillgång till olika elektroniska tjänster såsom telex, telefax, elektronisk post och personsökning (Minicall). Användaren betalar en mindre abonnemangs- och trafik- avgift till televerkets videotextjänst och särskilda bildavgifter till de företag eller institutioner som gjort bilderna. Televerket sköter dock all debitering.

Databaser anslutna till det svenska videotexsystemet omfattar bl.a. ekonomi och börsinformation, reseinformation, statistik, kreditupp- lysningar, information från offentliga register (bl.a. bilregistret och

SOU 1993: 10 35

fastighetsregistret), tidtabeller, valutakurser, telefonkatalog samt spelinformation.

3.5.3 Mobila system för meddelandeöverföring

Mobitex, som är ett system för mobil data- och textöverföring, har funnits iSverige sedan år 1986. Mobitexnätet, som sköts av Televerket Radio, består av ett antal basradiostationer som kommunicerar med mobila terminaler. Textmeddelanden kan sändas mellan användare som har textfunktion på sina terminaler. Meddelanden kan vara på högst 512 tecken, varför längre texter måste skickas uppdelade som många korta. Systemet ger uppgift huruvida meddelanden har kommit fram eller inte. Inom ramen för systemet finns även möjlighet för viss kompletterande talöverföring. Om man för tillfället inte kan ta emot meddelanden, kan dessa lagras i en "brevlåda". Mobitex används idag bl.a. för kommunikation mellan polisbilar och befintliga datorsystem, sjukhus och ambulanser, vid budservice och i övrigt inom transport- sektorn.

Möjligheten att lagra personuppgifter i de olika personsökarsystem som finns på den svenska marknaden är än så länge relativt begränsad och de uppgifter som förekommer är oftast av mindre känslig art, huvudsakligen namn och telefonnummer. Trots detta förtjänar dock några av systemen att nämnas.

Ett rikstäckande personsökningssystem, MBS, har varit i drift i drygt tio år. MBS-mottagaren är en liten avancerad FM-mottagare som auto- matiskt ställer in sig på rätt FM-sändare. Den har bl.a. minnesfunktion för lagring av flera sökningar. Då någon ringer upp en MBS går sökningen från telefonen till en MBS-växel, som sänder sökningen vidare till FM-näten. Signalen når MBS-mottagaren, som avger en ljudsignal och i sitt teckenfönster visar den uppringandes telefon- nummer. Det är inte bara den sökandes telefonnummer som kan sändas till en MBS-mottagare utan även kodnummer. Det är möjligt att nå flera mottagare samtidigt genom ett enda söknummer. MBS är Sveriges enda rikstäckande system för personsökning. Televerket Radio har byggt upp MBS-systemet och svarar för dess funktion och underhåll.

År 1985 startade ett system med tonsignalering för mera regionala behov, Minicall. Systemet är landsomfattande och täcker Sveriges tätorter och industricentra. I april 1988 kompletterades Minicall med möjlighet att sända textmeddelanden.

Minicall Ton är en personsökare som avger upp till fyra olika tonsignaler, när någon ringer till den från en vanlig telefon. Varje tonsignal aktiveras genom ett eget telefonnummer och har en egen, i förväg överenskommen betydelse. En av signalerna kan kopplas till den "textbrevlåda" som finns i Minicall-systemet. En annan signal kan kopplas till "röstbrevlådan" i mobiltelefonsystemet NMT.

Minicall Text är en personsökare som tar emot textmeddelanden på upp till 400 tecken. Meddelandet tas fram i ett teckenfönster. Ut— sändning av meddelanden kan ske t.ex. från en persondator med modern, från en terminal ansluten till en företagsdator eller från en

36 SOU 1993: 10

videotexterminal. Minicall Text kan också användas för tonsökning och kan då sammankopplas med Mobilsvar. Varje gång ett meddelande lämnas i Mobilsvar avger personsökaren en signal. Mottagaren kan lagra flera meddelanden samtidigt.

De som har en Minicall personsökare, för ton eller text, kan även abonnera på en egen "brevlåda" för lagring av textmeddelanden. I sådant fall lagras alla utsända meddelanden i systemet under 72 timmar och förses med ett löpnummer. Ett meddelande kan sedan hämtas ur "brevlådan", som är en "textbrevlåda", och återutsändas. För att kunna hämta meddelanden krävs tillgång till en terminal eller persondator e.d. Vid hämtning av meddelande anges lösenord, som bestäms av den som har mottagaren, mottagarens nummer samt meddelandets nummer. Det går också att hämta bara det sist inkomna meddelandet. Med- delandet visas sedan i sin helhet på bildskärmen tillsammans med tidpunkt för utsändning. "Brevlådan" kan även användas för lagring av textmeddelanden även om man bara har en tonmottagare. En tonsök- ning sker när ett textmeddelande har matats in i Minicall-systemet och lagrats i "brevlådan". Innehavaren av mottagaren kan sedan hämta meddelandet ur "brevlådan". Inmatning och hämtning av textmed— delanden som är adresserade till en tonmottagare sker på samma sätt som vid vanliga textsökningar.

3 . 5 .4 TeleGuide

Under år 1992 inledde Televerket i samarbete med andra en verksam- het som hade till mål att sprida s.k. TeleGuide-terminaler till landets telefonabonnenter. Förebild var det franska MiniTel—systemet. Med hjälp av en TeleGuide-terminal, som är ansluten till videotexnätet, skulle användaren till en början dels kunna få viss lokal information (exempelvis upplysning om kommunala öppettider, traffiktider, lokala evenemang, viss miljöinformation etc.), kunna utföra vissa bank- tjänster, göra beställningar av vissa varor (bl.a. matbeställningar inom den kommunala hemtjänstens ram), dels kunna få del av den in- formation som finns tillgänglig i det allmänna videotexnätet. Avsikten var att successivt bygga ut systemet till att omfatta flera användnings- områden, t.ex. bostadsinformation med byggplaner, taxeinformation, biblioteksservice, platsannonser, konsumentrådgivning samt kommuna- la beslut och handlingar. De olika elektroniska tjänster som det finns tillgång till i Videotex, t.ex. telex, telefax och elektronisk post, är också att tillgängliga för dem som hyr en TeleGuide-terminal. Förutom en månatlig hyreskostnad för en terminal och avgiften för telenätsan- vändningen, tillkommer en särskild användaravgift per minut. Den som hyr en terminal får, förutom själva terminalen, även ett s.k. "Smart Card" (se avsnitt 3.9.2). Detta kort som är personligt och försett med en särskild identifikationskod måste användas då man loggar in i systemet. För att kunna utnyttja en TeleGuide-terminal krävs att man har loggat in med hjälp av sitt personliga kort.

På grund av för liten anslutning till TeleGuide, beslöts i februari 1993 att avveckla TeleGuide-projektet.

SOU 1993: 10 37

3.6 Databaser

Databaser finns för de flesta ämnesområden: ekonomi, teknik, fysik, kemi, medicin, miljö, samhällsvetenskap, humaniora, juridik, dagsnyheter etc. De innehåller många olika typer av material såsom tidskriftsartiklar, litteraturreferenser, statistiska sifferserier, grafiska bilder m.m. Materialet i databaserna uppdateras regelbundet, i vissa fall dagligen.

De områden som täcks av olika slags databaser har blivit alltmer omfattande. Hittills har det dock huvudsakligen varit fråga om databaser med olika slags textinformation. Sedan en tid tillbaka finns emellertid även en omfattande bilddatabas i Sverige. Bilddatabasen beskrivs närmare i det följande.

De flesta publika databaser tillhandahålls av s.k. databasvärdar. Dessa är serviceföretag som äger eller har rätten till ett antal data- baser. Vissa databasvärdar driver bara en eller ett par databaser och har då ofta själva framställt databasens innehåll. Andra värdar kan ha hundratals olika databaser. För att få tillgång till databaserna krävs normalt användarabonnemang i form av ett separat abonnemang till varje värd. Till detta kommer i de flesta fall en sökavgift som debiteras per minut uppkopplad tid och/eller står i relation till hur stort material användaren tar ut från databasen. Den utrustning som behövs är en terminal eller persondator, ett kommunikationsprogram anpassat till datorn samt ett modem.

För att nå informationen i en databas måste man använda en viss uppsättning kommandon, ett sökspråk. Eftersom sökspråket i allmänhet är knutet till databasvärdens systern finns det många olika sökspråk på marknaden.

På senare tid har användningen av s.k. "gateways " ökat. Detta innebär att man kopplar upp sig mot en databasvärd och därifrån kopplas vidare till andra värdar och kan söka i databaserna hos dessa med samma sökspråk som gäller hos den först uppkopplade värden. På så vis krävs endast ett användarabonnemang. Ett exempel härpå är DAFA Data ABs InfoTorg.

De publika databaserna kan med hänsyn till sitt innehåll indelas i två huvudgrupper, källdatabaser och referensdatabaser. Källdatabaser består av information som direkt och i sin helhet kan överföras till användarens lokala datorutrustning. Referensdatabaser ger referenser eller sökingångar till annat material.

Lagring av information sker i databaser vanligen hos den som samlar in uppgifterna. Lagringen kan ske i centrala datorer, i lokala datorer eller i en slutanvändares persondator. Lagring kan ske i minnen anslutna till dessa typer av datorer men också på löstagbara media såsom disketter, CD-ROM-skivor (se avsnitt 3.7), optiska kort (se avsnitt 3.7), videokassetter eller liknande.

Som tidigare nämnts finns numera en stor bilddatabas i Sverige. Det är Posten Bildbanken AB som i Kiruna har startat ett omfattande digitalt bildarkiv. Bilderna tillhandahålls av bildbyråer, muséer, fotografer och andra som innehar för marknaden intressanta bilder. Tillsammans med bilderna lagras digitalt även uppgifter om motiv,

38 SOU 1993: 10

fotograf, bildbyrå samt andra sökbegrepp.Enligt avtal med bild- leverantörema skall de bilder som levereras till bolaget utgöra s.k. kommersiella bilder, d.v.s. bilder som avser att dokumentera områden i samhället och som försäljs för reklam, annonser, publicering i tidningar etc. Nyhetsbilder avses inte ingå i bilddatabasen. En kategori bilder som kan ingå är porträttbilder av fysiska personer. Även på andra bilder kan personer vara avbildade. Den som vill söka i bilddatabasen ringer medelst datorns modem upp denna och etablerar kontakt. Med hjälp av en särskild meny kan användaren specificera vilken typ av bild som han önskar. Det finns som nämnts ovan olika sökbegrepp inlagrade med varje bild. Ett sökbegrepp kan t.ex. vara en specifik bildbyrå eller fotograf. Ett annat kan vara begrepp som djur, natur, människa, ålder osv. Vid varje tillfälle får användaren uppgift om hur många bilder det finns som uppfyller villkoren. Han eller hon får samtidigt upp 12 s.k. påsiktsbilder på sin datorskärm. För varje bild anges ett bildnummer, klassificeringskod, lagringsdatum, fotograf (enligt 2 5 lagen 1960:730 om rätt till fotografisk bild), svart/vit - färg samt bildrestriktioner. Dessa påsiktsbilder är av tillräcklig god kvalitet för att användaren skall kunna avgöra om bilden är intressant. Det tar mindre än en sekund att överföra en sådan bild från databasen till skärmen. Det är möjligt att "bläddra" igenom bilderna, förstora intressanta bilder, låta intressanta bilder bli kvar på skärmen eller lagra dern lokalt i sin dator. När användaren har bestämt sig för de bilder som önskas skickar han eller hon en beställning till Posten Bildbanken AB via menyn. Bilden kan sändas direkt till användarens dator medelst telenätet eller också vidarebefordras beställningen till fotografen eller bildbyrån som i sin tur kan skicka en kopia av bilden med post eller på annat sätt. Posten Bildbanken AB räknar med att år 1994 ha mellan fyra och fem miljoner bilder lagrade i sin bilddatabas.

En utveckling av databehandlingen är den s.k. client/servertekniken som innebär att informationen bearbetas både i en central dator (servern) och i persondatorn (klienten). Servern kan t.ex. sköta sökning i stora databaser medan persondatorn (klienten) sköter sammanställningen och presentationen. Informationen i ett client/— serversystem lagras i databaser i datorerna. Olika delar av en databas kan finnas i olika datorer. Det är också möjligt att viss information som en användare behöver finns i en dator hos en annan organisation. Användaren vet ofta inte var informationen finns lagrad, bara att han kan nå den från sin persondator. Han kan själv göra egna samman- ställningar som kan tjäna ett helt annat ändamål än det som ursprung- ligen gällde för databaserna. En sådan sammanställning kan existera under en kort tid, nämligen tills presentation av resultatet har gjorts. Men den kan också finnas till under en längre tid för upprepad bearbetning och användning.

Client/servertekniken tillämpas ännu endast i begränsad omfattning i Sverige. Tekniken kan dock beräknas vara i allmänt bruk inom både den offentliga och privata sektorn under senare hälften av 1990-talet.

Dataförmedling är en företeelse som har blivit allt vanligare med ökande möjlighet till kommunikation. Med dataförmedling avses att någon bygger upp databaser och förmedlar information ur dessa på

SOU 1993:10 39

affärsmässiga grunder. Som tidigare nämnts finns det publika databaser varifrån man säljer information av olika slag. Den nya utveckling som nu kan skönjas är en växande skara av privata databasvärdar som inriktar sig på en viss bransch och aktivt söker, förädlar och lagrar information som sedan tillhandahålls. Det kan t.ex. gälla information om företag. En annan typ av förmedling är att ett företag tillhanda- håller databasutrymme där användarna själva kan införa annonser.

3.7 Optiska lagringsmedia

En utveckling som särskilt bör nämnas inom det inforrnationstekno- logiska området är utvecklingen av den optiska lagringstekniken, en teknik som nu breder ut sig med en tilltagande hastighet. Med tillkomsten av denna teknik har persondatoranvändare fått en snabb och billig tillgång till mycket stora informationsmängder av alla slag. CD-ROM-tekniken kommer inom de närmaste åren med all sannolikhet att revolutionera all informationsspridning.

Optisk lagring baseras på användning av ljus, och lagringstekniken är en biprodukt av den ursprungliga optiska videoskivan som intro- ducerades av Philips under 1970-talet. En närmare redovisning av den optiska tekniken har bl.a. lämnats i betänkandet (SOU 1987:74) Optisk - elektronisk övervakning s. 67 ff.

Det finns i huvudsak tre slags optiska lagringsmedia på marknaden: CD-ROM-skivor, WORM-skivor ochWMRA/RWM-skivor.

Kompaktskivan eller CD-skivan (Compact Disc) lanserades år 1983 som en högkvalitativ efterföljare till LP-skivan. CD-skivan rymmer digitalt stereoljud av mycket hög kvalitet.

Ett renodlat datamedium, CD-ROM (Compact D_isc Read iny Memory) introducerades på marknaden är 1985. Skivan kan användas för att lagra text, bild och ljud, vilka alla tre möjligheter kan användas samtidigt. En enda CD-ROM-skiva, som är 12 cm i diameter och 1,2 mm tjock, har en användbar kapacitet på mer än 550 megabytes, motsvarande ca 270 000 fullskrivna A4-sidor (motsvarande 1 ton papper), 75 minuter musik, 10 000 svartvita dokumentsidor i bildform eller 1 000 digitala videobilder i färg. CD-ROM är nu standardiserad i nästan hela världen. Den är numera också svensk standard.

Det går snabbt att söka och läsa på en CD-ROM-skiva, men man kan inte skriva information på skivan. Tiden att få fram information (åtkomsttiden) varierar mellan 0,4 och 1 sekund. För att läsa av informationen på en CD-ROM-skiva krävs det en särskild CD—ROM- spelare med laser, som kan anslutas till en persondator.

Sökningen av informationen sker med hjälp av ett sökprogram som temporärt lagras i datorn så länge en viss skiva används. Till varje CD-ROM—skiva hör ett sådant sökprogram och detta kan antingen finnas lagrat på skivan själv eller på en diskett, som följer med skivan. Sökprogrammen kan vara olika för olika CD—ROM-skivor. Sökningen sker oftast med hjälp av sökmenyer och kan vara fritextsökning eller strukturerad sökning. Åtkomsten till lagrad data sker alltså normalt via viss inkluderad programvara. Vid sidan av detta sökprogram finns inga

40 SOU l993:10

generella tekniska hinder för att med hjälp av andra system eller program söka och läsa bland lagrad data. Möjligheterna att genomföra detta beror helt och hållet på hur lagrad data är skyddade. Det är fullt praktiskt genomförbart att ha krypterade CD—ROM-skivor och i dag förekommer både okrypterade och krypterade skivor.

Möjligheterna att överföra data från CD-ROM-skivor till andra lagringsmedia är även dessa beroende av hur uppgifterna är skyddade och om eventuellt en sådan överföring understöds från rutiner i medföljande programvara. I sin enklaste form sker överföring genom kopiering av filer från CD-ROM-skivan till annat lagringsmedia. Dessa filer kan ibland vara direkt läsbara i s.k. ASCII-kod, men detta är snarare undantag än regel.

CD-ROM har visat sig vara ett idealiskt medium för termbanker, ordböcker och andra typer av faktaverk. Användarens fördelar ligger främst i att det går snabbare och enklare att söka på en CD-ROM- skiva, att en sådan skiva kan rymma en oerhörd mängd data och att det är ett behändigt format till ett relativt lågt pris. Säkerheten vid läsning från en CD-ROM-skiva är också mycket hög. Det är också mer ekonomiskt fördelaktigt att använda sig av informationen på en CD— ROM-skiva än att söka i en databas som endast nås via telenätet och som det är dyrt att söka i on-line. CD-ROM-skivor har även betydligt längre hållbarhet än disketter och hårddiskar och är avsevärt slitstark- are.

Det har visat sig vara mycket billigare och enklare att sprida stora informationsmängder lagrade på CD-ROM-skiva än på annat sätt. För det första är det enkelt och billigt att skriva in informationen på skivan. Skillnaden mot inskrivning på magnetskiva eller band är ofta betydande. Med hjälp av en slags bildinläsare, s.k. scanner, är det i dag möjligt att på ett snabbt och förhållandevis enkelt sätt läsa in stora textmassor på bl.a. optiska lagringsmedia. Detta gör att man lätt och billigt kan komma ut med skivor ofta, t.ex. en gång i veckan. Tillverk- ningskostnaden för en CD-ROM-skiva uppgår för närvarande till mellan 10 och 15 kr. För det andra är skivan liten och lätt och därför billig att distribuera. För det tredje krävs inga stora och dyrbara datorer för att läsa en CD-ROM-skiva. Den kan, som tidigare har nämnts, läsas via en särskild CD—ROM-spelare som kan anslutas till en persondator.

CD-ROM-tekniken har alltså givit persondatoranvändare en snabb och billig tillgång till mycket stora informationsmängder av alla slag. Mediet lämpar sig särskilt för stora informationsmängder av statisk karaktär som dessutom skall distribueras till många mottagare. Produktion av CD—ROM-skivor sker med hjälp av särskild teknik som kräver kunskap och utrustning. I Sverige finns det för närvarande två företag som tillverkar CD-ROM-skivor.

Utbudet av CD-ROM-skivor och CD-ROM-spelare har också ökat samtidigt som priserna på dessa har börjat sjunka på ett markant sätt.

Det fanns år 1985 endast några tusen CD-ROM-spelare i världen. År 1987 hade siffran stigit till omkring 100 000, huvudsakligen i USA. Enligt en beräkning var antalet sådana apparater i världen tre år senare ca en halv miljon. Antalet CD-ROM-spelare i Sverige uppskattas år

SOU 1993:10 41

1987 ha uppgått till ca 800. Enligt en bedömning uppgick antalet sådana spelare i landet är 1992 till närmare 30 000. Priset på CD- ROM-spelare har i stort sätt halverats på något år och det finns för närvarande CD-ROM-spelare på marknaden som kostar från 2 000 kr. Priset beräknas sjunka ytterligare. Det finns numera också såväl stationära som portabla CD-ROM-spelare på marknaden. Det är vidare möjligt att ansluta en CD-ROM—spelare till ett lokalt nätverk och därigenom göra den tillgänglig för flera användare.

CD-ROM-tekniken innebär att massdistribution av mycket stora datamängder kan ske. På CD-ROM-skivor finns i dag bl.a. manualer, instruktionsböcker, reservdelskataloger, företagsinformationsdatabaser, telefonkataloger, geografiska informationsdatabaser, uppslagsverk, juridisk och medicinsk information, biblioteksinforrnation samt ordböcker och lexika. Utgivningen av CD-ROM-titlar har fördubblats varje år sedan år 1987.

Samtidigt som utgivningen av CD-ROM—skivor för allmänt bruk ökar blir det också allt vanligare att företag tar fram egna skivor för internt bruk. Man bedömer allmänt att den stora marknaden för CD- ROM just ligger inom området specialframtagna skivor för användning inom företag, organisationer och myndigheter. Det kan t.ex. vara fråga om olika slags dokumentation, material för internutbildning och instruktionsprogram.

CD-ROM kan i framtiden även visa sig bli en mycket vanlig distributionsform för datorprogram. Redan i dag har vissa av de företag som saluför datorprogram börjat att distribuera samtliga sina program med dokumentation på CD-ROM-skiva. En enda sådan skiva kan rymma tusentals olika program. Oftast distribueras skivorna gratis. Programmen på CD-ROM-skivan är dock låsta med ett särskilt kodsystem. Om någon vill använda sig av något av datorprogrammen på skivan måste denne kontakta programvaruföretaget och av det få en särskild "nyckel" som gör det möjligt att använda det önskade programmet.

Ett nytt område inom vilket man synes ha börjat med lagring av in- formation på CD-ROM-skivor är datorstödd typografi. Det finns CD— ROM-skivor med bl.a. stilförråd och bildmaterial.

På den internationella marknaden finns ett relativt stort antal CD- ROM—skivor som var och en i vissa fall kan innehålla uppgifter om miljontals personer och företag.

Mer än 100 olika CD-ROM-skivor beräknas ha framställts i Sverige under 1992. Hur CD-ROM-tekniken hittills kommit att användas i Sverige kan belysas med följande exempel.

Den första svenska kommersiella CD-RC M-skivan, TERMDOK, utgavs av Walters Lexikon i samarbete med Tekniska nomenklatur- centralen för ca fyra år sedan och innehöll 25 000 tekniska termer med definitioner och 100 000 översättningar till bl.a. engelska, tyska och franska. En uppdatering av skivan skedde år 1989 och denna nya version innehåller 350 000 termer med begreppsförklaringar och översättningar.

Esselte Focus (17 band) gavs år 1989 ut på CD-ROM-skiva.

42 SOU l993:10

År 1990 utgavs en CD-ROM-skiva som innehåller 21 ordböcker på 12 olika språk med över 5 miljoner uppslagsord.

SAABs Flygdivision har tagit fram en CD-ROM-skiva som innehåller hela reservdelskatalogen för sitt civilflygplan SAAB 340. Avsikten är att flygplanets samtliga manualer (40 000 papperssidor av vilka 75 procent byts ut årligen) skall distribueras på en CD-ROM, som kommer att uppdateras fyra gånger om året.

Rikspolisstyrelsen har låtit framställa en CD-ROM-skiva som innehåller sådan information som anses utgöra stöd för beslutsfattande inom polisväsendet. På CD-ROM—skivan, benämnd Svenskt Polis- lexikon (SPL), finns bl.a. vissa lagar och förordningar som har betydelse för polisens arbete, Rikspolisstyrelsens råd och anvisningar, Riksåklagarens cirkulär och vissa av Riksdagens ombudsmäns och Justitiekanslerns beslut. Även visst katalogmaterial som t.ex. post- nummerkatalogen finns med. Avsikten är att skivan skall uppdateras en gång per kvartal. Projektet har inletts med att CD-ROM-läsare har placerats hos ett antal polisdistrikt och hos Rikspolisstyrelsen. Utanför polisväsendet har CD-ROM-läsare även placerats hos Riksdagens ombudsmän, Justitiekanslern och Riksåklagaren.

Bibliotekstjänst AB har sedan juli 1990 använt sig av CD-ROM- teknik för att sprida information ur sina centrala databaser till folkbiblioteken. Bibliotekstjänsts bibliografiska databas omfattar 1,2 miljoner titlar på böcker, tidningar, tidskrifter, skivor, kassettband och videoband. Varje år tillkommer ca 70 000 nya titlar. Bibliotekstjänst har delat in landet i tre regioner, Södra regionen, Östra regionen och Väst/ Norra regionen. För varje region produceras en CD-ROM-skiva, benämnd CD-KAT, som upptar alla titlar som finns på de anslutna biblioteken inom resp. region. Sökprogrammet i CD-ROM-utrust- ningarna är utformat så att en användare antingen kan återfinna samtliga boktitlar som finns på de anslutna biblioteken i den aktuella regionen eller endast dem som finns i bibliotekssystemet för den kommun i vilket det aktuella biblioteket är beläget. Det är även möjligt att därutöver begränsa sökrnöjligheten till att endast omfatta den biblioteksfilial där man just befinner sig. CD-KAT-skivan förnyas fem gånger per år och tillställs då de bibliotekslokaler som har CD-ROM- utrustning. Namn och adressuppgifter för de anslutna bibliotekens låntagare (närmare två miljoner personer) registreras av Biblioteks- tjänst på en särskild CD—ROM-skiva, CDL, med samma uppdaterings- frekvens som CD-KAT. Skivan innehåller uppgifter om låntagarnas namn, personnummer, adresser och låntagarnummer. På skivan finns även vissa biblioteksstatistiska uppgifter, vilka dock inte är anknutna till identifierbara låntagare. Uppgifter om lånade böcker finns enligt uppgift inte på skivan.

Upplysningscentralen (UC) har framställt en CD-ROM-skiva med information om hundratusentals företag. För vart och ett av dessa företag finns ett sjuttiotal olika uppgifter som daterar sig tre år tillbaka i tiden. Till den information som finns hör exempelvis omsättning och nyckeltal. Sökning kan ske på företagsnamn eller organisationsnamn. Det går också att söka på telefonnummer. Med hjälp av program som sänds med är det bl.a. möjligt att skriva ut etiketter.

SOU 1993: 10 43

Två företag, Scandinavian PC Systems AB och PCD-Consult AB, har på var sin CD—ROM-skiva gett ut det allmänna företagsregistret (BASUN), dvs. SCBs register över ca 390 000 svenska företag, organisationer och myndigheter i Sverige. Namn och adresser kan sökas på dessa skivor efter olika urvalskriterier och skrivas ut på bl.a. etiketter, listor och kort. Båda versionerna uppdateras regelbundet. Det som skiljer dem åt är Sökprogrammet.

Slutligen kan nämnas att den kompletta svenska telefonkatalogen inom kort troligen kommer att ges ut på en CD-ROM-skiva.

Ett annat optiskt datalagringsmedium utgör de s.k. WORM—skivorna (w_rite ane_l_(ead Many). Användaren kan skriva data endast en gång på varje fysisk plats på skivan. Det går alltså inte att radera eller ändra den information som en gång skrivits dit. Däremot går det att läsa den ett obegränsat antal gånger. WORM-skivan är därför väl lämpad för dokumentlagring och säkerhetskopiering som kräver stort lagrings- utrymme, säkerhet och kontinuerlig uppdatering. WORM-tekniken återfinns ofta i kontorsinformations- och arkivsystem hos många stora organisationer. Lagringskapaciteten motsvarar 10 000 - 500 000 sidor text beroende på WORM-skivans format.

Skatteförvaltningen i Stockholms län har på försök börjat att lagra deklarationsblanketter på WORM-skivor. Med hjälp av s.k. scanner läses deklarationsblanketterna in som elektroniska bilder på dessa skivor. Taxerings-tjänstemännen kan sedan via en terminal söka och granska valfritt ärende, sortera, bunta och markera ärenden för senare behandling. Utan att behöva använda sig av papper eller kopierings— maskin kan en deklarationsgranskare sköta skriftväxling med den skattskyldige, göra kommentarer och anteckningar under granskningen, "lägga undan" handlingar för senare bearbetning och skriva ut ärenden på skrivare eller telefax.

En tredje variant av optisk skiva är den raderbara (Rewriteable) skivan ibland benämnd WMRA (V_Vrite Many Read Always) eller WRM (write Read Many). Detta är en magneto-optisk (MO) skiva där magnetfältens förmåga att ändra laserljusets polariseringsriktning utnyt- tjas. På dessa skivor kan den information som en gång skrivits in tas bort och utrymmet utnyttjas för att skriva in ny information. Den kan närmast jämföras med ett ordinärt magnetiskt lagringsmedium såsom en hårddisk, dock med mångdubbel kapacitet.

En ny variant av optiskt lagringsmedium är s.k. optiska kort, Optical Cards. Detta är kort som inte är större än ett normalt kreditkort men som har ett minnesutrymme om två megabytes, motsvarande ett tusental A4-sidor med text. Kortet är främst avsett att användas som ID-kort, för manualer och inom utbildning. Optiska kort används på försök inom Västerbottens och Uppsala läns landsting där ett antal patienter får sina sjukjournaler inlagda på sådana kort.

Här skall också nämnas den senaste generationen av CD-skivor, CD-I (Compact Disc Interactive). CD-I är en teknik för att lagra digital video på en CD-skiva. CD-I kan, liksom CD-ROM, hantera både text, bild och ljud men dessutom rörliga bilder och film. CD-I- spelaren behöver dock inte anslutas till en dator utan kan även kopplas upp mot en vanlig TV eller förstärkare. CD-I lanseras främst för

44 SOU 1993: 10

hemmabruk med titlar inom musikvideos, spel, sport, turistinformation m.m. Den kan även användas inom utbildning, t.ex. inom industrin och skolan. På sikt kan CD-I-skivan därför kanske komma att bli en konkurrent till videokassetter.

Utvecklingsarbete pågår också beträffande den s.k. CD-ROM/XA- skivan.(XA står här för Extended Architecture.) Denna skiva är en utveckling av CD—ROM-skivan och utgör en brygga mellan CD-ROM och CD-I. CD-ROM/XA gör det möjligt att spela 17 timmar ljud mot 75 minuter som är det normala för en vanlig CD-ROM-skiva. På en CD-ROM/XA-skiva är det också möjligt att kombinera data, ljud, grafik och rörliga bilder. Den fortsatta utvecklingen av detta medium kommer därför att få stor betydelse för den s.k. multimediatekniken (se avsnitt 3.8).

Att lagra bilder på CD-ROM har hittills varit relativt dyrt och förbehållet professionella användare såsom tidningar, reklam- och fotobyråer. Under hösten 1992 introducerades emellertid ett nytt system, kallat Photo CD, i Sverige. Detta system, som är resultatet av ett samarbetsprojekt mellan Kodak och Philips, ger även den normale datoranvändaren en möjlighet att arbeta med fotografiska bilder på helt andra villkor än tidigare. Kostnaden är förhållandevis liten, kvaliteten hög och behovet av lagringsutrymme i datorn mindre än tidigare. Systemet är enkelt för användaren. Denne kan ta bilderna på samma sätt som tidigare, t.ex. med småbildskamera. Filmen lämnas på vanligt sätt till framkallning och kopiering, men man beställer även en Photo CD-skiva. Med hjälp av en s.k. filmscanner läses filmen in till elektroniska bilder på Photo CD-skivan. På varje sådan skiva ryms ca 100 bilder, dvs fyra 24-bilders eller tre 36-bildersrullar. Med CD- skivan följer en numrerad karta med de överförda bilderna i mini- format. Kostnaden för att få en rulle film överförd till en Photo CD— skiva uppgår f.n. till ca. 250 kr. I priset ingår då även framkallning och en uppsättning papperskopior. En Photo CD-skiva går att framställa från såväl diafilm som negativ film, färg eller svartvit. Med hjälp av en särskild CD-spelare kan sedan bilderna antingen visas på en vanlig TV eller överföras till en dator och visas på dess skärm. Den digitala bildinformationen går också att använda i en dator för vidare behandling, t.ex. för Desktop Publishing (se avsnitt 3.4.1). Priset för en sådan särskild CD-spelare för bilder uppgår f.n. till ca 3 500 kr.

3 . 8 Multimedia

Uttrycket multimedia började att användas redan på 1960—talet som beteckning för att man i reklamkampanjer använde sig av olika slags media (tidningar, radio och TV) för att föra ut sitt budskap. I dag har multimedia blivit ett samlingsnamn för ett antal olika tillämpningar som har det gemensamt att information av olika typer av media, t.ex. ljud, bild, film, text, grafik och data, hanteras av samma datorsystem och presenteras samlat. De system som i dag huvudsakligen används inom multimediaområdet är s.k. interaktiva videosystem, vilka bygger på en blandning av Videoteknik och datateknik.

SOU 1993: 10 45

Multimedia berör många olika ämnen och områden och kan användas för både konsumentbruk och företagsbruk. Exempel på an- vändningsområden är datorstödd presentation och utbildning. I främst USA men också i viss omfattning i Sverige används multimedia- tekniken av företag för att förmedla yrkeskunskaper till de anställda. Motiven är att en sådan utbildning är mera effektiv och flexibel än traditionell lärarledd utbildning. Utbildningskostnaderna blir också lägre. Med interaktiv video ersätts läraren av en dator och en videobandspelare. En sådan utbildning kan vara mycket pedagogiskt upplagd och ske utan annan medverkan än den anställdes. En in- struktionsröst vägleder eleven, medan olika bild— och textfunktioner blandas.

Andra användningsområden för multimedia är musik, underhållning, uppslagsverk, förlagsverksamhet, kataloger och olika slags tjänster. Exempel på sammanhang där multimedia redan kommit till användning är olika slags informationsanordningar på flygplatser, järnvägsstationer etc. I framtiden kan kunder med hjälp av multimedia genom sådana anordningar ges all information de önskar om en viss vara eller tjänst. Resebyråer kan komma att använda sig av multimedia och låta kunden se olika bilder och annan information om presumtiva resmål. Mäklare kan på sitt kontor visa detaljerade exteriör- och interiörbilder på olika husobjekt. Köpare av möbler kan t.ex. redan i affären "möblera" sitt hem med hjälp av multimedia. Offentliga myndigheter kan också använda sig av multimedia för att på ett billigt och lättförståeligt sätt lämna information till medborgarna. Så sker redan i dag i viss utsträckning i USA, t.ex. i delstaterna Kalifornien och Hawaii.

En särskild tillämpning av multimediatekniken är den som går under beteckningen hypermedia. Hypermedia används för att beteckna ett sätt att hantera stora mängder ostrukturerad information. Användaren får genom hypermedia ett godtyckligt antal vägar att välja på för att ta sig fram mellan text, bilder, ljud och video. Typiska användningsområden för hypermediasystem är datoriserade uppslagsverk, instruktionsböcker och tekniska handböcker etc.

3.9 Övrigt

3.9.1 Kontorsinformationssystem (KI)

Utmärkande för kontorsinformationssystem (KI) är att dessa i regel innehåller olika typer av funktioner som ordbehandling, elektronisk post (ibland i kombination med ett konferenssystem), s.k. skrivbords- funktioner (almanacka, dagbok o.d.), kalkyleringsmöjlighet, arkiv— hantering, kompletterande registerprogram, databashanterare och s.k. fria textsökningssystem m.m. I de flesta kontorsinformationssystem finns också möjligheter till gemensamma arkiv. Dessa består av ett fritextsökningssystem som kan kopplas samman med diarie— och ärendehanteringssystem och arkiveringssystem.

De olika funktionerna är integrerade i kontorsinformationssystemet, dvs. de fungerar tillsammans under en gemensam "meny" med en rad

46 SOU l993:10

"undermenyer". Detta innebär att man från vilken del av systemet som helst kan hämta information och återanvända eller bearbeta den. Så kan man t.ex. via ordbehandlingsfunktionen ta sig till kalkyleringsfunktion- en och där göra vissa bearbetningar, som man sedan kan lägga in i det dokument som man arbetar med i ordbehandlingsfunktionen.

3.9.2 Aktiva kort

Ett s.k. aktivt kort eller "Smart Card" är ett plastkort i kreditkorts- format i vilket en mikrodator har bakats in. Mikrodatorn strömförsörjs från och kommunicerar med yttervärlden via kontakter i kortets yta. Mikrodatorn innehåller en mikroprocessor, ett minne, s.k. ROM (Read iny Memory) med ett fast styrprogram, ett arbetsminne och ett användarminne. Både mikrodatorn och minnet är integrerat i en enda mikrokrets. Varje gång något skrivs i kortet bränns en eller flera bitar i minnet. Detta gör att man inte kan manipulera med redan skriven information. All åtkomst regleras av styrprogrammet. Informa- tionsbehandlingen sker i själva kortet genom att kortinnehavaren ger ett lösenord. Detta kan t.ex. vara en PIN—kod (_Personal Identification Number) eller i framtiden en kod baserad på ett fingeravtryck.

Aktiva kort kan användas som identifiering vid åtkomst till databaser, överföring av data genom kommunikation och som nyckel vid kryptering. Kortet kan också användas vid in- och utpasserings- kontroll. Vidare kan det utnyttjas som ett elektroniskt betalkort och då användas vid t.ex. transaktioner via Videotex, betalning av telefon- samtal eller banktransaktioner.

Aktiva kort kan också vara portabla databärare. De kan innehålla särskilt anpassad information och användas som exempelvis medicinska hälsokort, medlemskort, försäkringsbevis eller tentamensböcker.

3 .9. 3 Penndatorer

Den s.k. penndatorn har nyligen introducerats i Sverige. Användaren av en sådan penndator använder sig inte av ett tangentbord utan skriver med hjälp av en särskild penna informationen direkt på datorns glasskärm. Datorn har lärt sig att tolka den enskilde användarens handstil och omvandlar denna till digital information. Penndatorerna är inte utrustade med diskettstationer utan med ett s.k. flashminne som rymmer lika mycket information som en ordinär hårddisk. Flashminnet är ett kreditstort minneskort som kan användas både som internminne och hårddisk, och som kan flyttas mellan olika datorer. Penndatom, som väger mellan 1 och 1,5 kg, är avsedd att användas vid inmatning av information "på fältet", t.ex. av försäljare, olika slags operatörer, sjukvårdspersonal och lägerpersonal. I Sverige använder t.ex. Tele- verkets personal penndatorer vid installeringen av fiberoptiska telekablar. I några polisdistrikt i USA används penndatorer för rap- portskrivning. Vid rapportering av t.ex fortkörning fyller polismannen i personuppgiftema, varvid datorn via modem automatiskt kontrollerar att dessa personuppgifter är korrekta samt kompletterar med uppgifter

SOU 1993: 10 47

från körkorts- och bilregister. Polismannen undertecknar dokumentet och fortköraren bekräftar med sin signatur och erhåller ett kvitto.

3.10 Datorteknikens användning inom arbets- livsområdet

Allt mer avancerade datoriserade system har kommit att utvecklas för användning inom bl.a. näringsliv och förvaltning. Förutom admini- strativa redovisningssystem, planeringssystem och styrsystem för produktion, materialhantering och transporter har även, främst i USA och Japan, tagits fram tekniskt högtstående personaladministrativa system och lönesystem. På marknaden finns också ett antal system för in- och utpasseringskontroll och kassaterminalsystem som innefattar registreringsmöjligheter i sig.

I gruppen personaladministrativa system ingår sedvanliga löne— och personalregister för löne- och personalredovisning, ofta med ett särskilt tidredovisningssystem. Dessa personregister innehåller allmänna an- ställningsuppgifter, närvaro- och frånvaroregistrering, löneberäkning, redovisning för skattemyndigheter m.m.

De löne- och personaladministrativa registren kan bestå av ett sammanhängande register eller flera delregister som tillsammans bildar löne- eller personalregistret. Till detta enda register eller delregistren kan finnas, fristående eller knutna, system som ger möjlighet till registrering i fråga om in- och utpassering, färdskrivare, tidskontroll, rekrytering, kompetens och utbildning, hälsotester, behörighetskontroll och kassaarbete.

Flextid och i övrigt mer varierande arbetstider samt utökade möjligheter till ledighet ställer ofta krav på en mer ingående tidredo- visning och därmed också ökad användning av datoriserade system. Vissa arbetsgivare har därför infört ett gemensamt löne- och personal- administrativt ADB-system. Många har dessutom in- och utpasserings- system med direkt koppling till flextidssystem.

Registrering av in- och utpassering kan användas för kontroll av att den anställde är behörig att komma in på arbetsplatsen. Många av dessa system kan dock vara sammankopplade med andra system, t.ex. med system för tidredovisning och personalplanering. En viktig roll i sammanhanget spelar aktiva kort (se avsnitt 3.9.2). Nästan alla passersystem på marknaden är kopplade till ett passerkort eller en kodnyckel som registrerar (loggar) vissa eller alla händelser. Med dessa är det möjligt att registrera de anställdas förflyttningar inom samt passage in och ut från arbetsplatsen. Vissa moderna system tillåter också centralstyrning och sambearbetning av tidredovisnings- och säkerhetssystem. De flesta system på den svenska marknaden är av utländskt ursprung. Ett område som för närvarande är under snabb utveckling är identifierings- och verifieringstekniker. Som alternativ till det magnetiserade kortet finns numera system för identitetskontroll som baseras på röst, ögonbotten, fingeravtryck, handgeometri (finger— avstånd) eller namnteckning.

48 SOU 1993: 10

I ökande utsträckning använder företag och myndigheter system för behörighetskontroll i syfte att avgränsa den anställdes eller grupper av anställdas möjligheter att få tillgång till datasystemet och till in- formationen i det. Dessa kontrollfunktioner kan kombineras med loggfunktioner för att de ansvariga skall kunna följa hur systemet används. Varje datatransaktion (fråga, svar, inmatning, beräkning) som utförs av en anställd registreras i en logg med den anställdes identitet, transaktionskod och tidangivelse. Denna kontroll av de anställda syftar inte normalt till att kontrollera den anställdes arbetsprestation utan är till för att skydda datautrustning, program och data från t.ex. obehörigt utnyttjande. Identiteten på de anställda som utnyttjar systemet kan dock på detta sätt registreras och den loggade informationen kan användas för att i efterhand belysa hur den enskilde utnyttjat systemet, hur lång tid det tagit, vilken typ av information som har sökts fram, etc. Behörighetskontroll utgör emellertid också, rätt använd, ett skydd för de anställda mot misstankar om obehörig användning av datorsystem och information.

Inom såväl tillverkningsindustrin som tjänsteproduktionen sker en utveckling mot integrerade datoriserade produktionssystem. I sådana integrerade system kan ingå administrativa redovisningssystem, planeringssystem och styrsystem för produktion, materialhantering och transporter. Ett exempel är de mobila system för överföring av data, t.ex. mobitexsystemet (se avsnitt 3.5.3), som i ökad omfattning har kommit att användas inom transportsektorn. En lastbilschaufför som levererar varor styrs av de körorder, positionsanvisningar, text- meddelanden etc. som visas på en mobil terminal i lastbilen och följesedlar och fakturor produceras i takt med att leveranser sker i det totalintegrerade systemet. Denna typ av system återfinns dock framför allt i tillverkningsindustrin. De alltmer integrerade och flexibla systemen skapar möjligheter att frångå det mycket styrda arbetet, t.ex. vid löpande band, och gå över till ett mer grupporganiserat arbete. Denna utveckling kan emellertid innebära att, när den direkta styr— ningen av den enskilde arbetstagarens arbete minskar, krav ställs på en mer omfattande registrering för planering och uppföljning. Skillnaden mellan integrerade system och tidigare system är att företagsledning- arna med de nya systemen får snabbare information om produktions- förloppen, samt att informationen ger möjlighet till nedbrytning till minsta produktionsenhet, dvs. den enskilde arbetstagaren. Det finns idag tekniska förutsättningar som gör det möjligt att registrera stora mängder information om de olika delarna av arbetsprocessen och därmed också uppgifter om de enskilda arbetstagarna.

Datoriserade system kan totalintegreras mellan administration, planering, produktionsstyrning, materialhantering, transporter, in- och utpassering m.m. De olika delsystemen kan via datakommunikation nå motsvarande system hos t.ex. ett dotterföretag både inom Sverige och utomlands. Dessa tekniska förutsättningar ger stora möjligheter till registrering av uppgifter för individuell uppföljning och kontroll av de enskilda arbetstagarna. En beskrivning av konsekvenserna av införan- det av denna teknik på svenska arbetsplatser finns bl.a. i dataeffekt-

SOU 1993: 10 49

utredningens delbetänkande (SOU 1981:17) Industrins datorisering - effekter på sysselsättning och arbetsmiljö.

Under senare år har datoriserade system införts i dagligvaruhandeln där användningen av EAN—koder (European Article Numbering) gett förutsättningar för en maskinell registrering av priser i snabbköps- kassorna.(En närmare redogörelse för EAN-koderna återfinns i konkurrenskommitténs delbetänkande, SOU 1990: 106, Prisinformation till konsumenter s. 60 ff). Med hjälp av dessa system sker registrering av köp och insamling av information rörande bl.a. försäljning och lager. I ett butiksdatasystem kan registreras uppgifter om försäljningen per dag och totalt under vald tidsperiod samt per kassör och data- terminal. De integritetsproblem som kan förekomma i dessa system är att prestationsmätning - av företrädesvis kassapersonal — är möjlig trots att detta inte varit huvudmålsättningen vid införandet. Information kan erhållas om antalet gjorda rättelser, tid för varu-registrering, tid för betalning och väntetid.

Datortekniken kan också användas i ordermottagningen och försäljningen i företag, t.ex. vid telefonförsäljning där försäljaren per telefon tar emot och registrerar kundernas order. Tekniken medger att inkommande telefonsamtal kan dirigeras till lediga försäljare via en specialutrustad datorstyrd telefonväxel. I växeln kan registreras hur många telefonsamtal som tagits emot, vilken försäljare som tog emot det, hur länge samtalet pågått, hur länge ordermottagaren varit påkopplad, samt hur många samtal som stått och väntat. Vidare registreras antalet order, typ av order, krediteringar, byten osv. Det finns även möjligheter att avlyssna pågående telefonsamtal, t.ex. för att kunna bedöma hur en försäljning genomförts.

Nya kommunikationstekniker ger större möjligheter att övervaka såväl när och till vem man ringer som innehållet i telefonsamtal. Moderna telefonväxlar ger möjlighet till registrering av de anställdas telefonsamtal med notering om den uppringande. Införandet av ISDN- tekniken (se avsnitt 3.5.1) har bl.a. medfört ökade möjligheter att registrera uppgifter om utgående och ingående samtal. Det finns även möjlighet att koppla samman en telefonväxel med program för produktionsplanering, passagekontroll etc. Såväl utrustning som programvara för telefonsamtalsmätning (tidsmätning, destination, samtalskostnad) är ett snabbt växande område inom telekommunika- tionsindustrin.

3.11 Avslutning

Av den lämnade redovisningen av datorteknikens utveckling framgår att det sker en allt ökande integration av funktioner och system. En följd av detta är att det inte längre är lätt att avgöra olika dator- programs möjligheter, t.ex. kan man i dag med ett datorprogram för ord- och textbehandling även utföra bl.a. kalkyleringar, admini- strationsfunktioner, datakommunikation och registerhantering. Ett annat exempel på hur funktionerna alltmer integreras är de s.k. kontorsinformationssystemen. Den information som lagras blir alltmer

50 SOU 1993: 10

olikartad och kan bestå av både ord, text, bild och ljud. Jfr den ovan nämnda multimediatekniken. Det blir vidare allt svårare att skilja själva datorn och datorprogrammens olika funktioner från varandra. Även gränsdragningen mellan vad som är programvara och vilken information som är lagrad på datamedier blir allt svårare att göra. Det pågår inte bara en integration av de olika funktionerna i ett dator- system utan även av de olika datorsystemen. Som exempel kan nämnas att det inom såväl tillverkningsindustrin som tjänsteproduktionen sker en utveckling mot integrerade datoriserade produktionssystem. I sådana integrerade system kan ingå administrativa personaladministrativa system, registrering av in- och utpassering, behörighetskontroll, administrativa redovisningssystcm, planeringssystem samt styrsystem för produktion, materialhantering och transporter.

SOU l993:10 51

4 Den internationella utvecklingen på dataskyddsområdet

4.1 Inledning

Den svenska datalagen från år 1973 var den första lag med nationell räckvidd som behandlade integritetsskyddet vid automatisk databehand- ling. Sedan dess har utvecklingen inom informationsteknologin medfört en alltmer ökande datoranvändning i samhället. Flera länder har antagit lagstiftning inom dataskyddsområdet. Det gäller exempelvis Belgien, Danmark, Finland, Frankrike, Guernsey, Irland, Island, Isle of Man, Japan, Jersey, Kanada, Luxemburg, Nederländerna, Norge, Portugal, Schweiz, Spanien, Storbritannien, Tyskland, USA, och Österrike. Datoriseringen har medfört krav på att informationsflödet över nationsgränserna underlättas. En av förutsättningarna för att in- formationsutbytet över gränserna skall kunna fungera på ett till- fredsställande sätt är, att det i mottagarlandet finns regler som ger ett skydd mot obehörig spridning av överförda uppgifter. Detta har i sin tur resulterat i internationella överenskommelser och rekommendatio- ner inom dataskyddsområdet.

I utredningens direktiv anförs att det är viktigt att överväga hur den svenska datalagen förhåller sig till andra jämförbara länders motsvaran- de lagstiftning, särskilt de nordiska grannländerna och länderna inom EG. Vidare framhålls nödvändigheten av att Sverige uppfyller sina internationella åtaganden på detta område.

I det följande kommer att redogöras för Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (avsnitt 4.2), några av Europarådets rekommendationer inom data- skyddsområdet (avsnitt 4.3), OECD:s riktlinjer i fråga om integritets- skyddet och persondataflödet över gränserna (avsnitt 4.4) samt EG- kommissionens förslag till direktiv (avsnitt 4.5). Därefter följer en kortfattad beskrivning av EG—rätten och EES—avtalet (avsnitt 4.6).

I bilaga 4 finns en redovisning av utländsk rätt.

52 SOU l993:10

4.2 Europarådets konvention

Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Till konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som utarbetat konventionstexten. Konventionen i dess helhet finns intagen i bilaga 3.

Konventionen trädde i kraft den 1 oktober 1985, då kravet var uppfyllt att fem medlemsländer tillträtt konventionen. Den har hittills ratificerats av Danmark, Finland, Frankrike, Irland, Island, Luxem- burg, Norge, Spanien, Storbritannien, Sverige, Tyskland och Österri- ke. Anslutning övervägs för närvarande av bland annat Nederländerna och Portugal.

Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Enligt expertgruppens förklarande rapport är utgångspunkten att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.

Konventionens tillämpningsområde är enligt huvudregeln auto- matiserade personregister och automatisk databehandling av personupp- gifter i allmän och enskild verksamhet (artikel 3). Varje konventions- stat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Därutöver finns viss möjlighet till undantag från några enskilda bestämmelser (artikel 9). Reservationer mot bestämmelserna i övrigt får inte göras (artikel 25). Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).

Konventionen har fem kapitel. Den centrala delen är kapitel 11 (artiklarna 4 —11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla dessa grundläggande principer. Åtgärderna skall vara vidtagna senast vid den tidpunkt då konventionen träder i kraft för parten (artikel 4). Dessa grundläggande principer skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.

Kapitel 11 innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav

SOU l993:10 53

innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten för- störelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet eller dylikt eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål. Den nationella lagen skall också innehålla lämpliga sanktioner och rättsmedel (artikel 10).

Kapitel III, som rör dataflödet över gränserna, syftar till att förena kraven på fritt informationsflöde och dataskydd. Det är enligt expertgruppen viktigt att man ser bestämmelserna i kapitel III i samband med de grundläggande principerna i kapitel 11, som garante- rar att databehandlingen av personuppgifter i alla berörda länder är föremål för samma grundläggande reglering. Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personupp- gifter över gränserna (artikel 12). Bestämmelserna gäller, oavsett vilket medium som används, vid överföring över nationsgränser av person— uppgifter som undergår eller skall undergå automatisk databehandling eller som samlas in för det ändamålet. Huvudregeln är att överföring mellan konventionsstater skall vara fri. Det är inte tillåtet att ställa upp vare sig förbud eller krav på särskilt medgivande uteslutande i syfte att skydda den personliga integriteten.

I två fall är det emellertid tillåtet att göra undantag från huvud- regeln. Den ena grunden för undantag är att avsändarlandets lagstift- ning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter men mottagarlandets lagstiftning inte ger ett likvärdigt skydd. Den andra grunden är att det egentliga mottagarlandet står utanför konventionen men överföringen dit sker via en konventionsstat. I ett sådant fall är det möjligt för avsändarlandet att, för att undvika att dess lagstiftning kringgås, exempelvis kräva särskilt tillstånd för överföringen.

Kapitel IV och V reglerar formerna för samarbetet mellan kon- ventionsstaterna. Konventionen har konstruerats på ett sätt som gjort det möjligt att begränsa innehållet till de grundläggande principerna

54 SOU 1993: 10

och för övrigt lita till samarbete mellan konventionsstaterna, bl.a. inom ramen för en rådgivande kommitté, när det gäller att införa och harmonisera dessa principer i de olika staternas lagstiftning.

I kapitel IV finns bestämmelser om att varje konventionsstat skall utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje myndighets behörighet (artikel 13). De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstift- ning och administrativt förfarande på dataskyddsområdet m.m. Vidare behandlas frågor om bistånd till registrerade personer som är bosatta utomlands (artikel 14). Den myndighet som utses i ett visst land skall hjälpa personer i utlandet med att utöva sina rättigheter till insyn och rättelse m.m. Sådant bistånd skall lämnas oavsett om den som begår hjälp är bosatt i en annan konventionsstat eller i ett land som står utanför konventionen.

I kapitel V finns bestämmelser om den rådgivande kommittén, dess sammansättning och uppgifter m.m. (artikel 18 och 19).

4.3 Europarådets rekommendationer

Inom Europarådet har utarbetats ett flertal rekommendationer inom dataskyddsområdet. Av särskilt intresse i detta sammanhang är rekommendationen om skydd för personuppgifter som används för anställningsändamål, Recommendation No. R (89) 2, rekommen- dationen om skydd för personuppgifter som används för forskning och statistik, Recommendation No. R (83) 10 samt rekommendationen om skydd för personuppgifter som används för direktreklamändamål, Recommendation No. R (85, 20). En närmare redogörelse för in- nehållet i dessa rekommendationer lämnas under avsnitt 4.3.1, 4.3.2 och 4.3.3. Andra rekommendationer inom dataskyddsområdet som tagits fram är rekommendationer beträffande medicinska databanker (Recommendation No. R, 81, 1), rättsdata (Recommendation No. R, 83, 3), socialförsäkringsregister (Recommendation No. R, 86, l), polisregister (Recommendation No. R, 87, 15) och kommunikation till tredje man av personuppgifter som innehas av offentliga organ (Recommendation No. R, 91, 10).

En antagen rekommendation är till skillnad från en konvention inte bindande, men genom att anta rekommendationerna utan reservationer anses medlemsländerna i princip ha åtagit sig att följa dem och att, om så behövs, anpassa sin nationella lagstiftning till dessa regler.

SOU 1993: 10 55

4.3.1 Rekommendationen om skydd för personuppgifter som används för anställningsändamål

Rekommendationen antogs av Europarådet år 1989. Sverige har utan reservation ställt sig bakom rekommendationen. Rekommendationen finns intagen i bilaga 3.

De i rekommendationen angivna principerna är tillämpliga på insamling och användning av personuppgifter för anställningsändamål både inom den allmänna och enskilda sektorn samt avser uppgifter som förs med hjälp av ADB. De länder som önskar får enligt rekommenda- tionen tillämpa den även på manuellt förda register.

Rekommendationen omfattar inte konfidentiell information som insamlas eller används av arbetsgivare för anställningsändamål i fråga om personal med arbetsuppgifter som har nära anknytning till allmän säkerhet och statens säkerhet samt brottsbekämpning, i den utsträck- ning detta är nödvändigt för att tillgodose de angivna intressena.

Begreppet anställningsändamål i rekommendationen avser för- hållanden mellan arbetsgivare och arbetstagare som är hänförliga till rekryteringen av arbetstagare, fullföljandet av anställningskontraktet, ledningen av verksamheten, omfattande också fullgörandet av skyldigheter enligt lag eller kollektivavtal, samt planeringen och organisationen av arbetet.

Om inte annat följer av inhemsk lag, gäller rekommendationen i tillämpliga delar även arbetsförmedlingar.

Enligt rekommendationen skall respekten för den personliga in- tegriteten och den mänskliga värdigheten skyddas vid insamlingen och användningen av personuppgifter för anställningsändamål.

Innan en arbetsgivare installerar eller förändrar automatiska system för att samla in och använda personuppgifter om anställda skall han till fullo informera eller konsultera de anställda eller deras företrädare. Om konsultationsförfarandet leder till slutsatsen att den personliga in- tegriteten och mänskliga värdigheten kan påverkas, skall arbetsgivaren eftersträva och - om möjligt - vinna de anställdas samtycke, om inte inhemsk lag eller praxis ger annat lämpligt skydd. Detsamma gäller om arbetsgivaren introducerar eller förändrar tekniska metoder för att övervaka anställdas förehavanden eller prestationer.

I princip bör personuppgifterna inhämtas från den enskilde själv. Den enskilde skall informeras när det kan vara lämpligt att konsultera uppgiftskällor utanför anställningsförhållandet. Som exempel på när ett sådant uppgiftsinhämtande kan anses lämpligt nämns i kommentaren att arbetsgivaren behöver kontrollera riktigheten av uppgifter som en anställd lämnat i ett befordringsärende eller om han lämnat över ett vilseledande krav på täckning av utgifter. Uppgifter som samlas in för anställningsändamål skall vara relevanta och får inte vara överdrivet omfattande. Anställningens art måste beaktas liksom också att det

56 SOU 1993: 10

ibland kan vara nödvändigt för arbetsgivaren att erhålla fler uppgifter än normalt. Vid anställningsförfaranden får endast inhämtas sådana uppgifter som är nödvändiga för att bedöma den arbetssökandes lämplighet och karriärmöjligheter. Härvid får endast uppgifter inhämtas från den enskilde. Om inte annat sägs i lag, får andra källor endast användas med hans samtycke eller om han i förväg blivit in- formerad om denna möjlighet. Att använda tester, analyser och liknande förfarande i syfte att bedöma en enskilds karaktär eller personlighet får ske endast med hans medgivande eller om det i lag föreskrivs annat godtagbart skydd. Om den enskilde önskar det skall han informeras om resultaten av testerna.

Uppgifter om den anställde får endast lagras om de har samlats in enligt principerna i rekommendationen och är avsedda att användas för anställningsändamål. Lagrade uppgifter skall vara riktiga och, där det är nödvändigt, hållas aktuella. De skall på ett korrekt sätt spegla den anställdes situation. De skall inte lagras eller vara kodade på ett sådant sätt att den anställdes rättigheter kränks genom att han, utan att känna till det, karaktäriseras eller profileras. Lagras omdömen om anställdas prestationer och potentiella möjligheter på arbetsplatsen skall upp- gifterna grundas på en rättvis och hederlig bedömning och får inte vara formulerade på ett förolämpande sätt.

Personuppgifter som samlats in för anställningsändamål får endast användas av arbetsgivaren för sådana ändamål. Då uppgifter skall användas för anställningsändamål av annat slag än det för vilket de ursprungligen samlades in och då sambearbetning av personregister sker, skall tillfredsställande åtgärder vidtas för att undvika feltolkning av uppgifterna i det annorlunda sammanhanget och för att säkerställa att de inte används på ett sätt som är oförenligt med det ursprungliga ändamålet. När viktiga beslut som rör den anställde skall fattas på grundval av sådana uppgifter, skall han informeras om detta.

I enlighet med inhemsk lagstiftning och praxis eller villkoren i kollektivavtal får personuppgifter lämnas ut till de anställdas före- trädare, i den mån sådana uppgifter är nödvändiga för att dessa skall kunna ta tillvara de anställdas intressen.

Personuppgifter får utlämnas till myndigheter för att de skall kunna fullgöra sin myndighetsutövning endast inom ramen för arbetsgivares skyldigheter enligt lag. I annat fall får uppgifter endast utlämnas om det är nödvändigt för anställningsändamål som inte är oförenliga med de ändamål för vilka uppgifterna ursprungligen samlats in och de anställda eller deras företrädare informerats om det eller, när det inte är fråga om ett utlämnande för anställningsändamål, om det föreligger ett uttryckligt och informerat samtycke från den anställde eller om det finns stöd i lag.

Uppgifter om någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt, sexualliv eller brott får endast samlas in och lagras i särskilda fall inom ramen för den inhemska lagstiftningen och

SOU 1993: 10 57

i enlighet med ett tillfredsställande skydd som lagstiftningen före- skriver. Saknas sådant skydd får sådana uppgifter endast samlas in och lagras med uttryckligt och informerat samtycke från den anställde.

En anställd eller arbetssökande får endast tillfrågas om sitt hälsotill- stånd och läkarundersökas för att man skall kunna bedöma vederböran- des lämplighet för hans nuvarande eller framtida arbete, fullgöra kraven på en preventiv hälsovård eller bevilja sociala förmåner.

Medicinska uppgifter får inte samlas in från andra källor än från den anställde själv utan hans uttryckliga och informerade samtycke eller med stöd av lag. Medicinska uppgifter som är föremål för sekretess får endast lagras av personal som är bunden av sekretessen. Informationen får kommuniceras med andra medlemmar av den administrativa personalen endast om det är absolut nödvändigt för beslutsfattande och om det sker i enlighet med lag. Medicinska uppgifter som är föremål för sekretess skall förvaras åtskilda från andra kategorier av person- uppgifter och säkerhetsåtgärder skall vidtas för att förhindra att utomstående får del av uppgifterna. - De nu nämnda bestämmelserna avser fall där ett företag eller en organisation har egen medicinsk personal.

Den enskildes rätt att få tillgång till sina egna hälsouppgifter får inte inskränkas såvida det inte skulle kunna leda till allvarlig skada för den enskilde. I det senare fallet kan uppgifterna lämnas ut genom en av den anställde utsedd läkare.

Information om de personuppgifter som innehas av en arbetsgivare skall vara tillgänglig antingen för den enskilde direkt eller genom förmedling av hans företrädare eller på annat lämpligt sätt. Informatio- nen skall specificera huvudändamålen för uppgiftslagringen, vilka slags uppgifter som lagras och till vilka kategorier av personer eller myndigheter som uppgifterna regelmässigt lämnas ut samt ändamålen och det lagliga stödet för ett sådant utlämnande. Informationen skall också hänvisa till de rättigheter som en anställd har i fråga om de uppgifter som rör honom och de olika möjligheter som finns att utöva rättigheterna.

Varje anställd skall på begäran få tillgång till alla personuppgifter som arbetsgivaren innehar om honom och få uppgifter rättade eller utplånade om de innehas i strid med innehållet i rekommendationen. När det gäller uppgifter som innehåller omdömen har varje anställd rätt att i enlighet med inhemsk lag bestrida dessa. Utom i fall när inhemsk lagstiftning innehåller bestämmelser om motsatsen skall en anställd ha rätt att utse en person för att biträda honom att utöva rätten att få tillgång till uppgifterna eller att utöva denna rätt på hans vägnar. Om den anställdes tillgång till uppgifter vägras eller om en begäran att få rättelse eller få uppgifterna strukna nekas, skall den inhemska lagstiftningen tillhandahålla en möjlighet att få rättelse.

Arbetsgivaren eller av denne anlitade servicebyråer skall vidta tillräckliga tekniska och organisatoriska åtgärder för att säkerställa

58 SOU 1993: 10

skyddet och sekretessen av personuppgifter lagrade för anställnings- ändamål mot obehörig åtkomst, användning, utlämnande eller ändring. Den administrativa personalen liksom andra som har med uppgifterna att göra skall hållas informerade om sådana åtgärder och om behovet att respektera dem.

Personuppgiftema skall inte bevaras längre av arbetsgivaren än som behövs för ändamålet med registret eller som krävs för att tillvarata den anställdes intressen. Personuppgifter som lämnas i samband med en anställningsansökan skall normalt förstöras så snart det står klart att ett erbjudande om arbete inte kommer att lämnas. Uppgifter som lagrats för att användas vid en eventuell ny ansökan skall förstöras om den arbetssökande begär det.

4.3.2 Rekommendationen om skydd för personuppgifter som används för forskning eller för statistik

Rekommendationen antogs av Europarådet år 1983. Sverige har utan reservation godtagit rekommendationen. Rekommendationen finns intagen i bilaga 3.

Syftet med rekommendationen är enligt uttalanden i dess inledning att tillgodose såväl forskningens behov som skyddet för den enskildes integritet.

Rekommendationen är tillämplig på användningen av personupp- gifter för vetenskaplig forskning och statistik, såväl inom den allmänna som inom den enskilda sektorn och oberoende av om uppgifterna förs med hjälp av ADB eller manuellt. Medlemsstaterna har möjlighet att tillämpa rekommendationen på föreningar, bolag och andra samman— slutningar som direkt eller indirekt består av individer.

Enligt rekommendationen skall respekten för den personliga in- tegriteten garanteras i varje forskningsprojekt som använder person- uppgifter. Så ofta det är möjligt skall undersökningarna utföras med anonyma uppgifter.

Varje person som lämnar uppgifter som sig själv skall informeras om projektets natur, dess mål och namnet på den person eller den organisation för vars räkning forskningen genomförs. Om den person från vilken uppgifter skall inhämtas inte är skyldig att lämna uppgifter, skall han informeras om att han har frihet att välja om han vill samarbeta. Skyldigheten att medverka kan följa av lag eller avtal. Han har också rätt att när som helst avbryta sin medverkan utan att ange något skäl. Om inte, på grund av syftet med forskningen, information om projektets natur m.m. kan avslöjas innan uppgifterna samlas in skall personen informeras efter det att insamlingen är färdig och vara fri att fortsätta eller avbryta sin medverkan. Om han då vill avbryta sin medverkan skall han ha rätt att få uppgifterna strukna ur registret. Särskilda säkerhetsåtgärder skall vidtas i samband med insamling av

SOU 1993: 10 59

uppgifter från personer som inte har möjlighet att ta till vara sina egna intressen eller som inte har möjlighet att fritt lämna sitt samtycke.

Personuppgifter som erhållits för forskning får inte användas för något annat ändamål än forskning. I synnerhet får de inte användas för beslutsfattande som direkt påverkar personen ifråga, såvida det inte ligger inom ramen för forskningen eller sker med den berörda perso- nens uttryckliga samtycke.

Personuppgifter som med den enskildes samtycke samlats in för ett särskilt forskningsprojekt får inte utan den enskildes samtycke användas i samband med något annat forskningsprojekt som till sin natur eller syfte på ett väsentligt sätt skiljer sig från det första projektet. I de fall det skulle vara ohanterligt att inhämta sådant samtycke på grund av tidsåtgången eller på grund av det stora antal personer som berörs kan emellertid de insamlade personuppgifterna få användas, under förutsättning att det sker i överensstämmelse med andra skyddsbestämmelser som uppställs i inhemsk lag.

Både allmänna och privata organ skall ha rätt att för egen forskning använda personuppgifter som de innehar för administrativa ändamål. Om personuppgifter i samband med sådan forskning förs in i befintliga register hos det administrativa organet eller om befintliga register ändras, får dessa register inte göras tillgängliga för administrativ personal som sysslar med individuella fall, såvitt det inte sker med den enskildes samtycke.

Personuppgifter får lämnas ut av allmänna eller privata organ för forskningsändamål om det sker med den enskildes samtycke eller om det sker i enlighet med andra i inhemsk lag angivna skyddsbestämmel— ser.

Forskares tillgång till allmänna befolkningsregister skall underlättas, så att de kan få underlag för urvalsundersökningar. Om annat inte beslutas av inhemska myndigheter i enskilda fall, bör sådana uppgifter få innehålla namn, adress, födelsedatum, kön och yrke. I förarbetena till denna bestämmelse anförs bl.a. att forskningen i ökad utsträckning är beroende av uppgifter som redan finns hos olika statliga institutioner och att bestämmelsen tillkommit för att inte forskningen ensidigt skall vara beroende av dessa institutioners skönsmässiga bedömning i fråga om utlämnande av uppgifter. I anslutning härtill görs också hänvisning till den lagstiftning om tillgång till allmänna handlingar ("laws of freedom of information") som finns i många länder. Det understryks att de personuppgifter som nämns är den minimi-information som under alla förhållanden måste göras tillgänglig och att det undantag som kan vara föreskrivet i inhemsk lag kan ta sikte på sådana grupper av uppgifter som t.ex. adress- och yrkesuppgifter, om det är av särskild vikt för den enskilde att dessa uppgifter inte lämnas ut.

Den enskildes rätt att ta del av uppgifter om sig själv och få dessa rättade får lov att begränsas i de fall uppgifterna är insamlade och bevaras endast för statistik- eller forskningsändamål och resultatet av

60 SOU 1993:10

statistiken eller forskningen inte utan svårighet identifierar individen och det vidtagits tillfredsställande åtgärder för att säkerställa skyddet för den enskildes privatliv vid varje stadium av undersökningen, även beträffande uppgifter som bevaras för framtida användning. Bestäm- melsen gäller emellertid inte i de fall den enskilde på grund av forskningens beskaffenhet kan visa sig ha ett särskilt intresse som förtjänar att skyddas.

Personuppgifter som används för forskning får inte publiceras i identifierbar form, såvida inte de berörda lämnat sitt samtycke och det sker i enlighet med särskilda skyddsbestämmelser i inhemsk lag.

I varje forskningsprojekt skall det anges, så långt det är möjligt, om personuppgifter skall förstöras, avidentifieras eller bevaras när projektet är avslutat och i det senare fallet under vilka villkor som uppgifterna skall bevaras. När den berördes samtycke att delta i ett forskningsprojekt behövs, skall samtycket också omfatta möjligheten av att uppgifterna bevaras efter projektets avslutande. Om det inte varit möjligt att infordra samtycke för att bevara uppgifterna, får dessa bevaras under det villkoret att lagringen görs i enlighet med skyddsbe- stämmelser som fastställts i lag.

Innan beslut fattas om att förstöra personuppgifter som förs av offentliga myndigheter, skall den möjliga framtida användningen av sådan data undersökas i samråd med arkivmyndigheterna.

4.3.3 Rekommendationen om skydd för personuppgifter som används för direktreklamändamål

Rekommendationen antogs av Europarådet år 1985. Sverige har utan reservation ställt sig bakom rekommendationen. Rekommendationen finns intagen i bilaga 3.

Enligt uttalanden i inledningen till rekommendation finns det, med tanke på den ökande användningen av personuppgifter vid behandling för direktreklamändamål, ett behov av att skydda enskildas personliga integritet.

Rekommendationen är tillämplig på användningen av personuppgif- ter för direktreklamändamål om uppgifterna är föremål för automatisk databehandling. Direktreklam (direct marketing) definieras som alla aktiviteter som gör det möjligt att erbjuda varor eller tjänster eller att förmedla ett budskap till en del av befolkningen. Detta kan ske genom postbefordran, per telefon eller på andra direkta sätt som siktar till att informera eller försöka utverka ett svar från den enskilde.

Den som sammanställer en lista med namn och adresser för direktre- klamändamål är enligt rekommendationen oförhindrad att använda uppgifter som härrör från tidigare kontakter med en aktuell eller presumtiv kund eller bidragsgivare.

SOU l993:10 61

Under förutsättning att det i nationell lag inte finns något som begränsar detta, skall det vara möjligt för var och en att insamla uppgifter för direktreklamändamål från offentliga register och annat publicerat material. Däremot får insamling av personuppgifter från andra enskilda personer som sker i syfte att utvidga marknadsförings— listor företas endast om det görs i enlighet med sådana lämpliga säkerhetsåtgärder som syftar till att skydda den enskildes personliga integritet. Nationell lag får förbjuda eller uppställa särskilda villkor för sådan insamling.

Insamling av uppgifter från enskilda som sker i annat sammanhang än normalt kund- eller bidragsgivareförhållande är tillåtet för direktre— klamändamål endast under förutsättning att detta uttryckligen har meddelats vid tidpunkten för insamlandet av uppgifterna. Insamling av uppgifter från enskilda genom vilseledande åtgärder är inte tillåten.

I de fall nationell lag tillåter detta, får det slag av känsliga uppgifter som anges i artikel 6 i Europarådets dataskyddskonvention (jfr avsnitt 4.2) insamlas och användas för direktreklamändamål. En förutsättning är dock att det sker i enlighet med relevanta skyddsbestämmelser som finns i nationell lag och, där det är lämpligt, med den enskildes uttryckliga samtycke.

Med de restriktioner som gäller vid behandling av vissa känsliga uppgifter får marknadsföringslistor göras tillgängliga för tredje man för direktreklamändamål. Den enskilde måste ha informerats om möjlig- heten att uppgifterna kan komma att lämnas ut. Sådan information kan ha lämnats antingen direkt eller på något annat lämpligt sätt vid tidpunkten för insamlandet av uppgifterna eller vid något senare tillfälle. Om den enskilde har motsatt sig ett utlämnande får upp- gifterna inte lämnas ut. Uppgifter som kan skada den enskildes personliga integritet får inte lämnas ut om inte den enskilde har lämnat sitt samtycke till utlämnandet.

När marknadsföringslistor lämnas ut till någon tredje man för direkt- reklamändamål skall ett avtal slutas som reglerar de villkor som skall gälla för den fortsatta behandlingen av uppgifterna. Den persondataan- svarige som lämnar ut marknadsföringslistorna skall föra en för- teckning över dem som använder listorna.

Rekommendationen ger den enskilde rätt att - vägra låta uppgifter som rör honom ingå i marknadsföringslistor, — vägra att uppgifter som finns med på marknadsföringslistor lämnas ut till tredje man, — ovillkorligen och på begäran få sådana uppgifter utplånade eller avlägsnade från flera eller alla de marknadsföringslistor som innehas av användarna, - ta del av och få rättat uppgifter som hänför sig till honom.

62 SOU l993:10

Lämpliga åtgärder skall vidtas för att göra det möjligt för den enskilde att utöva de nyss nämnda rättigheterna och kunna ta reda på vem som är persondataansvarig.

De varor och tjänster som erbjuds och de meddelanden som vidarebefordras skall presenteras i sådan form att det inte skadar adressatens personliga integritet.

Alla lämpliga tekniska och organisatoriska arrangemang skall vidtas för att garantera säkerheten vid behandlingen av uppgifterna. V 1 d implementeringen av rekommendationen skall, enligt den avslutande artikeln, utvecklandet av självregleringen inom marknadsföringssektorn uppmuntras. Lämpliga åtgärder skall vidtas för att tillse att försäljare av marknadsföringslistor och andra adresservice-organ följer villkoren i rekommendationen. Lämplig information om de skyddsregler som finns i rekommendationen skall också göras tillgänglig för de enskilda.

4.4 OECD:s rekommendation och riktlinjer m.m.

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t.ex. ratifikation av med— lemsländerna krävs inte varför riktlinjerna har trätt i kraft. Någon preciserad tidpunkt för när kraven enligt riktlinjerna skall vara genomförda finns inte. Riktlinjerna och rekommendationen finns intagna i bilaga 3.

Enligt rekommendationen skall medlemsländerna i sin nationella lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som har presenterats i de riktlinjer som fogats till rekommendationen. Medlemsländerna skall vidare försöka undanröja opåkallade hinder för internationell datakommunikation som gäller personuppgifter och undvika att nya sådana skapas under förevändning av behov av skydd för personlig integritet. Samarbete skall bedrivas vid verkställigheten av riktlinjerna och så snart som möjligt skall länderna avtala om särskilda procedurer för överlägg— ningar och samarbete som gäller tillämpningen av riktlinjerna.

Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas

SOU 1993: 10 63

natur eller på grund av det sammanhang i vilket de används. Riktlin- jerna är tillämpliga på personuppgifter både inom den offentliga och den privata sektorn. De är tillämpliga både för uppgifter som lagras automatiskt och uppgifter som förs manuellt. Det finns inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av personda- ta, att man från riktlinjernas tillämpning undantar persondata som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av person- uppgifter. Undantagen från riktlinjernas grundläggande principer för nationell och internationell tillämpning skall vara så få som möjligt och göras kända för allmänheten. Riktlinjerna skall betraktas som mini- miregler, varför ingenting hindrar att integritetsskyddet görs mer omfattande.

Riktlinjerna innehåller en särskild avdelning som behandlar åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet.

1. Insamlingen av personuppgifter skall vara begränsad och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt, när det är skäligt, med den registrerades kännedom eller samtycke ("Collection Limitation Principle").

2. Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och, i den utsträckning det behövs för dessa ändamål, vara riktiga och fullständiga samt hållas aktuella ("Data Quality Principle").

3. De ändamål för vilka personuppgifterna samlas in skall vara preciserade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring ("Purpose Specification Principle").

4. Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning ("Use Limitation Principle ").

5. Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande ("Security Safeguards Principle").

6. En öppenhet skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudända- målen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns ( "Openness Principle").

7. Den enskilde skall ha rätt att av den registeransvarige eller av annan få reda på om denne har personuppgifter om honom/henne, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan alltför stor kostnad, på rimligt sätt och i begriplig form. Vidare skall den

64 SOU 1993: 10

enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen härför och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom eller henne och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade ("Individual Participation Principle").

8. Den registeransvarige skall ha ansvaret för att de lagstiftningsåt- gärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs ("Accountability Principle"). En avdelning av riktlinjerna innehåller principer för internationell tillämpning. Här föreskrivs bl.a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländer- na avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås, Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet. Medlemslän- derna skall undvika att - under åberopande av skydd för personlig integritet och individens friheter - i lag, tillämpning eller förfarande ställa upp hinder för flödet av personuppgifter över gränserna som går utöver vad som är nödvändigt för sådant skydd. Regler om ömsesidigt bistånd mellan medlemsländerna m.m. finns i en särskild avdelning av riktlinjerna. Medlemsländerna skall införa legala, administrativa eller andra förfaranden eller vidta andra åtgärder för att beträffande personuppgifter ge skydd för personlig integritet och individens friheter. Medlemsländerna skall särskilt sträva efter att anta lämplig inhemsk lagstiftning, att främja och understödja självreglering i form av etiska regler eller på annat sätt, att införa lämpliga sanktio- ner och rättsmedel samt att se till att registrerade inte utsätts för orättvis särbehandling. På begäran skall medlemsländerna ge ett annat medlemsland upplysning om hur de principer iakttas som riktlinjerna innehåller. Medlemsländerna skall också se till att de förfaranden som tillämpas för flöden av personuppgifter över gränserna och för skyddet av personlig integritet och individens friheter är enkla och jämförbara med dem som andra medlemsländer tillämpar. Medlemsländerna skall vidare genom särskilda förfaranden underlätta utbyte av information rörande riktlinjerna och ömsesidigt bistånd i fråga om de förfaranden och utredningar som kan bli aktuella. Vidare skall medlemsländerna arbeta för att utveckla inhemska och internationella principer för vilket lands lag som blir tillämplig i fråga om flöden av personuppgifter över gränserna.

SOU 1993: 10 65

Internationella associationer och företag, som International Air Transport Association (IATA), Center for Financial Industry In- formation Systems i Japan, Canadian Bankers Association, American Bank och IBM har antagit egna regler om dataskydd som bl.a. bygger på OECD:s riktlinjer.

4.5 EG-kommissionens förslag till direktiv

EG-kommissionen antog i september 1990 ett förslag till direktiv (Proposal for a Council Directive, SYN 287) om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Sedan förslaget behandlats i EG:s ministerråd och EG- parlamentet har EG-kommissionen i oktober 1992 antagit ett nytt förslag till direktiv. Detta förslag har förelagts Ministerrådet och enligt tidsplanen kommer Ministerrådet att ta slutlig ställning till det nya förslaget under år 1993.

Det nu aktuella förslaget till direktiv är - liksom all övrig EG- reglering - avfattat på samtliga medlemsstaters språk. Språken är alla att anse som officiella och har samma vitsord. Den engelska versionen av direktivförslaget finns intagen i bilaga 3.

I det följande redovisas bakgrunden till förslaget och huvuddragen av de föreslagna principerna för integritetsskyddet och de enskilda artiklarna.

Om bakgrunden till direktivförslaget sägs bl.a. följande.

Olika omständigheter, bl.a. tillkomsten av den inre marknaden, förutsätter att personuppgifter fritt kan föras över från ett medlemsland till ett annat. Skillnader i integritetsskyddet mellan de olika länderna kan innebära hinder mot sådana fria flöden. Man måste därför komma fram till en enhetlig nivå på integritetsskyddet inom hela EG. För att uppnå detta krävs insatser av EG, inte bara av de enskilda med- lemsländerna. Det eftersträvade integritetsskyddet bör ligga på en hög mva.

I artikel 1 anges syftet med direktivet, nämligen att medlemsstater- na, i överensstämmelse med direktivet, skall skydda enskildas rättigheter och friheter vid behandling av personuppgifter, särskilt deras rätt till personlig integritet. Medlemsstaterna får inte begränsa eller förhindra det fria flödet av personuppgifter mellan staterna med hänvisning till den enskildes integritetsskydd sådant det framgår av direktivet.

Artikel 2 innehåller definitioner, bl.a. av personuppgift, behandling av personuppgifter, persondataansvarig och samtycke från den enskilde. Med behandling av personuppgifter avses varje åtgärd som vidtas med uppgifterna.

66 SOU 1993: 10

Direktivet är tillämpligt på automatisk behandling av personuppgif- ter och sådan manuell behandling av personuppgifter som innebär att uppgifterna är eller avses bli ordnade i ett register, dvs. så att sökning av personuppgifter underlättas. Undantag görs för bl.a. rent privat behandling (art. 3).

I artikel 5 åläggs medlemsstaterna att föreskriva att behandling av personuppgifter är laglig bara om den utförs i enlighet med be- stämmelserna 1 kap. 2 (art. 5 - 21). Reglerna i fråga får endast preciseras (och alltså inte ändras).

De principer som medlemsländerna skall ta in i sin lagstiftning och som det skall åligga de persondataansvariga att efterleva är enligt artikel 6 att personuppgifter skall a) behandlas ärligt och lagligt (fairly and lawfully),

b) samlas in för bestämda, uttryckliga och lagliga ändamål och användas på ett sätt som är förenligt med dessa ändamål,

c) vara lämpliga, relevanta och inte överflödiga i förhållande till de ändamål för vilka de behandlas, (1) vara riktiga och, om nödvändigt, aktuella. Oriktiga eller ofullstän- diga uppgifter skall utplånas eller rättas,

e) bevaras i en form som inte gör det möjligt att identifiera de enskilda under längre tid än som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Undantag gäller för personuppgifter som lagras för historisk, statistisk eller vetenskaplig användning.

I sex fall är behandling av personuppgifter tillåten enligt artikel 7: a) om den enskilde givit sitt samtycke,

b) om behandlingen är nödvändig för att fullgöra ett avtal med den enskilde eller för att på den enskildes begäran vidta förberedande åtgärder inför ett avtal,

c) om behandlingen är nödvändig för att uppfylla en författningsenlig skyldighet,

d) om behandlingen är nödvändig för att skydda den enskildes vitala intressen,

c) om behandlingen är nödvändig för att utföra en uppgift i det allmännas intresse eller i myndighetsutövning av den persondataansva- rige eller av tredje man till vilken personuppgifterna lämnas ut, 1) om behandlingen är nödvändig för att tillgodose ett allmänintresse eller de legitima intressena hos den persondataansvarige eller hos tredje man till vilken uppgifterna lämnas ut, utom då den enskildes intressen tar Över.

Punkt d) avser enligt kommentaren fall då någon har stort intresse av att få sina uppgifter behandlade men inte är i stånd att ge sitt samtycke (t.ex. i allvarliga medicinska fall). Punkt e) torde närmast angå den allmänna sektorn och punkt f) den privata. Sistnämnda punkt klargör bl.a. att det finns andra berättigade intressenter än den persondataansvarige och den enskilde. Denna intresseavvägningsbe-

SOU 1993: 10 67

stämmelse kan enligt kommentaren bli tillämplig i ett flertal olika fall, t.ex. i fråga om direktreklam.

Som känsliga uppgifter räknas uppgift om ras eller etniskt ursprung (inklusive uppgift om hudfärg), politisk uppfattning, religiös tro eller filosofisk eller etisk övertygelse (inklusive det faktum att tro eller övertygelse saknas), facklig tillhörighet, hälsotillstånd och sexualliv.

Enligt huvudregeln råder förbud mot behandling av känsliga uppgifter (art. 8.1).

Artikel 8.2 medger ett antal undantag från huvudregeln.

a) den enskilde har givit sitt samtycke till behandlingen,

b) en ideell förening av politisk, filosofisk, religiös eller facklig natur får behandla sådana personuppgifter om medlemmarna som utgör grunden för medlemskapet i föreningen, under förutsättning att uppgifterna inte lämnas ut utan den enskildes samtycke,

c) behandlingen utförs under sådana omständigheter att det är uppenbart att inga kränkningar av personlig integritet äger rum.

Ytterligare undantag kan göras genom en reglering i lag eller annan författning eller genom beslut av datatillsynsmyndigheten, om viktiga allmänna intressen talar för detta (att. 8.3).

Villkoren för att använda personnummer skall anges (art. 8.5). Den enskilde, vars uppgifter behandlas, har en omfattande rätt till information. Enligt artikel 10 har envar rätt att på begäran få känne— dom om förekomsten av en behandling, dess ändamål, det slags uppgifter det gäller, vilka tredje män eller kategorier av tredje män till vilka uppgifter skall lämnas ut samt den persondataansvariges namn och adress.

Insamlas uppgifter från den enskilde skall han enligt artikel 11 bli informerad åtminstone om a) behandlingens ändamål,

b) om uppgiftslämnandet är obligatoriskt eller frivilligt,

c) konsekvenserna om han vägrar att lämna uppgifter,

d) mottagarna eller kategorier av mottagare av uppgifterna, e) rätten till tillgång till och rättelse av personuppgifter samt f) den persondataansvariges namn och adress.

Någon informationsskyldighet föreligger dock inte om lämnande av information skulle försvåra eller hindra en myndighets verksamhet för kontroll eller annan tillsyn eller hota allmän ordning.

Om den enskilde inte har samtyckt till behandlingen skall, om personuppgifter skall lämnas ut till tredje man, den enskilde senast vid det första utlämnandet bli underrättad härom. Vissa undantag finns från denna regel (art. 12).

Den enskilde, vars personuppgifter behandlas, har rätt till tillgång till uppgifterna enligt artikel 13. Denna rätt omfattar a) att på begäran och med rimliga mellanrum och kostnader få bekräftat om egna personuppgifter behandlas, information om deras

68 SOU 1993:10

innehåll i begriplig form, upplysning om deras ursprung samt allmän information om deras användning,

b) att vägra att uppfylla en begäran från tredje man att utnyttja in- formationsrätten för att lämna ut personuppgifter till någon tredje man, om inte tredje mans krav grundas på lag eller annan författning,

e) att erhålla rättelse av oriktiga eller ofullständiga uppgifter eller utplånande eller innehållande av sådana uppgifter om de behandlats i strid med direktivet,

d) att tredje man, till vilken personuppgifter lämnats ut, får kännedom om rättelsen, utplånandet eller innehållandet,

e) att få information om de skäl som ligger till grund för beslut som fattas genom automatisk behandling av personuppgifter och som medför någon nackdel för den enskilde.

Möjligheten att hålla uppgifter inne (blocking) har sitt ursprung i den tyska federala dataskyddslagens bestämmelser om "Sperrung ". Den persondataansvarige har rätt att fortsättningsvis lagra uppgifterna, men inte att använda dem på något annat sätt.

Bestämmelsen i punkt e) är avsedd att ge den enskilde visst skydd mot de allt vanligare automatiska beslutsprocesserna.

Vissa undantag får göras från reglerna om den enskildes informa- tionsrätt och reglerna om rätt till tillgång till egna personuppgifter. Dessa undantag motsvarar i princip de grunder i tryckfrihetsför- ordningen enligt vilka rätten att ta del av allmänna handlingar får begränsas.

I de fall den enskilde inte får ta del av egna personuppgifter skall datatillsynsmyndigheten på hans begäran inspektera behandlingen i fråga (art. 14).

Bland den enskildes övriga rättigheter ingår att kunna motsätta sig på lagliga grunder att hans personuppgifter behandlas (art. 15) och att inte behöva utsättas för ett menligt administrativt eller privat beslut, om beslutet fattas uteslutande genom sådan behandling av personupp- gifter som innefattar en bedömning av hans person. Vissa undantag finns från den sist berörda regeln (art. 16). Bestämmelsen förbjuder inte att ADB utnyttjas som beslutsstöd. Förbudet gäller fall då man genom enbart automatiska medel får fram en personlighetsbeskrivning som innehåller s.k. mjukdata och denna läggs till grund för ett för den enskilde negativt beslut.

I syfte att få underlag för datatillsynsmyndighetens kontroll och tillsyn stipuleras i artikel 18 ett omfattande anmälningsförfarande. Enligt huvudregeln skall all helt eller delvis automatisk behandling av personuppgifter anmälas. Om behandlingen ger upphov till särskilda risker för den enskildes rättigheter och friheter förutsätts att anmälan granskas i särskild ordning eller att behandlingen har stöd i ett tillståndsbeslut av datatillsynsmyndigheten eller i lag eller annan författning.

SOU 1993: 10 69

I de fall behandlingen inte menligt påverkar den enskildes rättigheter eller friheten bör medlemsländerna enligt artikel 19 eftersträva att efter hand förenkla anmälningsförfarandet eller ge undantag från an- mälningsplikten både inom den allmänna och den privata sektorn. Beslut om förenkling eller undantag förutsätter datatillsynsmyndig- hetens medverkan.

Ett register över alla anmälda behandlingar inom både den allmänna och den privata sektorn skall föras av datatillsynsmyndigheten. Allmänheten skall i princip ha tillgång till registret (art. 21).

Varje enskild skall ha rätt till domstolsprövning om hans rättigheter enligt direktivet blivit kränkta (art. 22). Skadeståndsregler måste införas enligt artikel 23 och enligt artikel 25 skall även straffrättsliga sanktioner införas.

Överföring av personuppgifter till tredje land är enligt huvudregeln tillåten om landet i fråga har en acceptabel integritetsskyddsnivå (adequate level of protection). Vissa undantag tillåts (art. 26).

Varje medlemsland skall inrätta en datatillsynsmyndighet som skall övervaka skyddet av personuppgifter. Denna skall vara oberoende och skall bl.a. ha rätt att samla in all information som behövs för tillsyn. Den skall ges effektiva sanktionsmöjligheter t.ex. möjlighet att beordra utplånande av uppgifter eller att förbjuda viss behandling och möjlighet att föra en sak till domstol (the power to bring an action before the courts) om myndigheten finner att dataskyddsbestämmelser har överträtts, (art. 30).

4.6 Något om EG—rätten och EES-avtalet

Sverige har ansökt om medlemskap i EG. Sverige har också till- sammans med övriga sex EFTA-länder undertecknat ett omfattande avtal med EG och dess medlemsländer om Europeiska ekonomiska samarbetsområdet (EES). I en proposition om EES (prop 1991/92: 170) föreslås bl a att riksdagen godkänner EES-avtalet samt antar ett förslag till en lag om ett europeiskt ekonomiskt samarbetsområde (EES—lagen) med grundläggande bestämmelser om införlivande av avtalsåtagandena med svensk rätt. Riksdagen har den 18 november 1992 bl.a. godkänt EES-avtalet och antagit lagförslagen i propositionen. Eftersom EES- avtalet syftar till en integrering av EFTA-ländernas resp. marknader med EG:s inre marknad innebär avtalet en anpassning till de regler och principer som gäller inom EG. I det följande lämnas en kort redogörel- se för huvuddragen av den rättsliga strukturen inom EG, EES—avtalet, hur avtalet införlivas med svensk rätt samt hur beslut om nya EES- regler skall fattas.

Grunden för samarbetet inom EG, primärrätten, utgörs främst av de tre EG-fördragen om upprättandet av den Europeiska kol- och

70 SOU l993:10

stålgemenskapen, den Europeiska ekonomiska gemenskapen (Rom- fördraget) samt den Europeiska atomenergigemenskapen (Euratom).

Romfördraget är det mest övergripande av EG-fördragen. Det brukar beskrivas som ett ramfördrag, vars målinriktade och allmänt hållna bestämmelser fylls ut och preciseras genom sekundärrättsliga regler av olika slag.

Det är på fördragen som EG:s institutioner grundar sin kompetens. Deras åtgärder skall enligt legalitetsprincipen grundas på befogenheter som fördragen ger dem. Inom denna ram har staterna förbundit sig att utöva sin statsmakt gemensamt under hänsynstagande till samfällda intressen.

I betydande utsträckning skall EG-rätten tillämpas av nationella myndigheter på samma sätt som inhemsk rätt. Man brukar säga att reglerna är direkt tillämpliga, eftersom de används utan mellankom- mande nationell rättsbildning.

Romfördragets artikel 189 anger tre typer av bindande rättsakter, som rådet och kommissionen kan utfärda. Det är fråga om för- ordningar, direktiv och beslut. Förordningar är gällande inom hela EG och är direkt tillämpliga i medlemsländerna. Direktiv riktar sig till medlemsländerna och anger ett viss resultat som skall uppnås inom en bestämd tid men överlåter åt länderna att bestämma form och tillväga- gångssätt för den nationella implementeringen. Beslut är bindande i alla delar för dem som de är riktade till.

Bindande gemenskapsrättsliga bestämmelser kan grunda rättigheter och skyldigheter inte bara för medlemsländerna utan också för enskilda, om de är tillräckligt tydliga och inte lämnar länderna utrymme för val i samband med nationell implementering. Sådana rättigheter skall skyddas av domstolar och andra myndigheter. Man brukar då säga att bestämmelserna har direkt effekt. Uttryckliga förbud, tex mot diskriminering, uppfyller de nyss nämnda kraven och har därför direkt effekt. Fördragets bestämmelser om fri rörlighet på marknaden och dess förbud mot könsdiskriminering kan sålunda grunda individuella rättigheter. Även bestämmelser i direktiv kan få denna verkan, om den nationella rätten inte anpassas till direktivets krav på ett korrekt sätt eller det inte har införlivats alls inom den föreskrivna tiden.

Om en domstol i ett medlemsland skulle finna att en nationell bestämmelse strider mot en EG-bestämmelse som är direkt tillämplig, skall domstolen inte tillämpa den nationella bestämmelsen i det aktuella målet. Enligt EG-domstolens praxis har EG-regeln nämligen företräde framför nationella regler och skall tillämpas oavsett vad som kan vara föreskrivet i den nationella rättsordningen. Detta sammanhänger med EG-domstolens synsätt att EG-rätten är en egen rättsordning som är autonom i förhållande till traditionell folkrätt.

SOU 1993:10 71

Det finns också rättsakter som inte är bindande, t.ex. rekommenda- tioner och yttranden, vilka också nämns i artikel 189. Andra slag av icke bindande rättsakter än de i fördraget nämnda har tillkommit.

EES-avtalet är väsentligen ett vanligt folkrättsligt avtal men har särdrag som sammanhänger med dess nära samband med det EG- rättsliga systemet. Avtalet innehåller en huvuddel med de materiella bestämmelserna om fri rörlighet för varor, personer, tjänster och kapital (de fyra friheterna) samt s.k. angränsande politikområden. Denna del motsvarar den primära EG-rätten, i första hand Romför- dragets regler. Dessutom finns bestämmelser om de olika institutioner som etableras genom avtalet. Vidare ingår ett stort antal EG-rättsakter, främst direktiv och förordningar, i EES—avtalet. Till avtalets huvuddel är fogade ett antal bilagor med hänvisningar till de EG-rättsakter som omfattas av avtalet. Genom hänvisningarna i bilagorna till dessa EG- rättsakter blir bestämmelserna i rättsaktema till delar av EES-avtalet.

EES-avtalets huvudbestämmelser införlivas i svensk rätt genom in- korporering, dvs. avtalets huvudbestämmelser förklaras gälla som lag här. Detta har skett genom antagande av den i propositionen föreslagna EES-lagen. I fråga om direktiv och förordningar innehåller EES-avtalet bestämmelser om hur de regler som motsvarar EG:s sekundärrätt införlivas. De delar som motsvarar EG-förordningar görs som sådana till en del av den nationella rättsordningen, medan beträffande de delar som motsvarar EG- direktiv det lämnas åt de avtalsslutande parterna själva att välja form och metod för införlivandet i den egna rättsord- ningen. Även om det inte är utsagt i avtalet gäller detta också beslut, dvs. det ankommer på de avtalsslutande parterna att införliva dessa som det befinns lämpligt.

Detta innebär för Sveriges del att motsvarigheter till direktiv skall transformeras till svenska regler, medan motsvarigheter till EG- förordningar införlivas genom inkorporering. I bägge fallen skall detta ske genom författningsreglering på den konstitutionella nivå som de materiella reglernas innehåll kräver. Normgivningen skall ske genom författningar på resp. sakområde.

Beslut om nya regler fattas av avtalsparterna i en särskild kommitté, EES-kommittén. Besluten har karaktär av internationella överenskom- melser. Om beslutet avser ett ämne som skall godkännas av riksdagen, är beslutet givetvis inte bindande förrän sådant godkännande skett. Det är således inte fråga om överlåtelse av beslutsfunktioner till något internationellt organ. För svensk del innebär varje sådant beslut av EES—kommittén om ändring i EES-reglerna med andra ord en ny internationell överenskommelse som kan kräva införlivande i svensk rätt. EES-avtalet anger samma tillvägagångssätt för genomförande av nya EES—regler som när det gäller bestämmelser som övertas genom bilagorna till EES-avtalet.

. Ijin!

" | | Im ih”

""'-""' ” - ' '_' HHIIITU ' '.' " ."* ." 4 i- '. HN”

u"_." - _, l. 1 ;.W ”E'-_", . '. - . .. . " _. ' 1" . ""> " | .I " Fd WH.»

. ; Eri-J .] Jag?

';-nuflm. _" _ ll (i

l'w'

”ni-Hm; ' iiu'JI' '.

, 131 .1.1..- _|. | ,, w, ” pr ';1 Juli:.- .. # '.H I?" =' "lir

- ...-1, . . ., ' '1-51151'V ":1. wp,.

Fiffi-""få

F

SOU 1993: 1.0 73

5 Förhållandet mellan förslaget till EG-direktiv och utredningens för- slag till en ny datalag

5.1 Inledning

De direktivbestämmelser om skyddet för enskilda vid behandling av personuppgifter som har redovisats i avsnitt 4.5 finns än så länge bara i ett förslag från EG-kommissionen. Åtskillig diskussion om hur integritetsskyddet skall vara utformat har förekommit i anslutning till ett tidigare utkast till direktiv från Kommissionen, beslutat i september 1990, och EG-parlamentets behandling av detta utkast. Fortfarande förekommer inom EG, såvitt man kan bedöma, oenighet om hur ett framtida direktiv skall vara utformat. Detta har bl.a. lett till att tidsplanen för antagandet av direktivet har förskjutits. Enligt före- trädare för Kommissionen kommer Ministerrådet troligen inte att kunna ta slutlig ställning till förslaget förrän sommaren 1994. I den debatt som förts efter det Kommissionen presenterade sitt reviderade förslag i oktober 1992, har vissa bl.a. pekat på den s.k. subsidiari— tetsprincipen. Vidare kan nämnas att vid Europeiska Rådets möte i Edinburgh den 11 - 12 december 1992 Kommissionen förklarat att den avser att revidera ett antal förslag i avsikt att göra dem mindre detaljerade. Sett i ljuset av att samtliga medlemsländer snart kommer att ha nationella dataskyddslagar och anslutit sig till Europarådets dataskyddskonvention har det från vissa håll ifrågasatts om behovet av att anta direktivförslaget kommer att kvarstå.

Det torde dock inte ankomma på utredningen att närmare spekulera i direktivförslagets fortsatta framtid. Skulle emellertid ett EG—direktiv på integritetsskyddsområdet bli verklighet med i huvudsak de be- stämmelser som finns i det aktuella förslaget från Kommissionen är frågan hur utredningens förslag om en ny datalag bör förhålla sig till direktivförslaget. När ett direktiv kan antas bli beslutat kommer Sverige inte att vara medlem i EG och inte heller i övrigt torde det komma att finnas någon folkrättslig förpliktelse att införliva direktivet

74 SOU 1993: 10

i svensk rätt. Däremot torde så småningom ett framtida EG-direktiv komma att integreras i EES—avtalet.

I en proposition om Sverige och den västeuropeiska integrationen (prop. 1987/ 88:66) fann den dåvarande regeringen det angeläget att ge en samlad redovisning av Sveriges roll i det västeuropeiska integra- tionsarbetet. I propositionen uttalades att Sverige har ett starkt intresse av att medverka i ett brett västeuropeiskt samarbete. Som riktlinjer för detta fortsatta arbete angavs bl a att Sverige skall medverka i EFTA:s och EG:s arbete på att avskaffa fysiska, tekniska och fiskala hinder i syfte att så långt möjligt skapa ökad rörlighet för varor, tjänster, människor och kapital i Västeuropa. Riksdagen godtog riktlinjerna (UU 24, rskr. 245).

I anslutning till det nyss nämnda riksdagsbeslutet beslutade regeringen direktiv till kommittéer och särskilda utredare om be- aktande av EG-aspekter i utredningsverksamheten (Dir 1988:43). Enligt dessa kommittédircktiv skall kommittéer och särskilda utredare bl.a. undersöka vilken gemensam ordning som i förekommande fall råder inom EG inom det aktuella ämnesområdet och i sina förslag ta tillvara de möjligheter till harmonisering som finns samt också redovisa hur de förslag som läggs fram förhåller sig till EG:s motsva- rande regler, direktiv eller förslag till direktiv från EG-kommissionen.

Sverige har numera ansökt om medlemskap i EG och undertecknat EES—avtalet. Riksdagen har också godkänt avtalet. Som tidigare har nämnts torde ett framtida EG-direktiv komma att på sikt bli en del av EES-avtalet.

Det intensifierade europeiska samarbetet talar starkt för att Sverige får i huvudsak samma regler på integritetsskyddsområdet som de som kan komma att gälla inom EG. Det behöver inte närmare utvecklas att ett fritt informationsutbyte över gränserna är en förutsättning för ett sådant samarbete. Det fria informationsflödet förutsätter i sin tur - något som understryks i inledningen till förslaget till EG-direktiv - att de enskilda ländernas dataskyddsnivå är någorlunda enhetlig. Förslaget till EG-direktiv innehåller också en bestämmelse som innebär att överföring av personuppgifter till ett icke—medlemsland i princip är tillåten enbart om det landet har en tillfredsställande nivå på sitt integritetsskydd (art. 26). l Justitiedepartementets anmälan till EES- propositionen (Del 11 s. 2 f) nämns datalagsfrågorna som sådant lagstiftningsarbete som utan att ha direkt samband med EES—avtalet ändå kan sägas ha anknytning till detta eller till närmandet till EG i allmänhet. Vad som därvid är aktuellt, sägs det i propositionen, är en anpassning till ett eventuellt kommande EG-direktiv i ämnet.

Slutligen talar rent sakliga skäl för en överensstämmelse med vad som kan komma att gälla inom EG. Den svenska datalagen var den första nationella lagstiftningen i sitt slag och väckte berättigad uppmärksamhet vid sin tillkomst. Sedan dess har 20 år gått, vilket i dessa sammanhang är en mycket lång tid, utan att lagens grund-

SOU 1993: 10 75

läggande struktur har ändrats. Den får såväl innehållsmässigt som till sin tekniska utformning anses vara ganska föråldrad. l förslaget till EG-direktiv har man däremot beaktat den utveckling på dataskyddsom- rådet som har skett och förslaget bygger alltså på de integritets- skyddslagar och den internationella reglering som har kommit fram under de senaste åren. I förhållande till den svenska datalagen innefattar direktivförslaget i en hel del hänseenden en önskvärd skärpning av reglerna för integritetsskyddet.

Ett EG-direktiv kan ha karaktären av ett s.k. minimidirektiv. Med detta förstås att den nationella regleringen för de intressen som skall skyddas visserligen inte får vara oförmånligare än som följer av föreskrifterna i direktivet men att det inte är något som hindrar att den nationella ordningen innehåller strängare regler. Det nu aktuella direktivförslaget är dock inte något minimidirektiv. Kapitel 11, som innehåller de grundläggande reglerna för behandlingen av personupp- gifter, inleds med en artikel (art. 5) som anger förhållandet mellan bestämmelserna i kapitlet och de nationella reglerna. Enligt första stycket i den artikeln är behandlingen av personuppgifter laglig bara om den sker i överensstämmelse med föreskrifterna i kapitlet. Vad medlemsstaterna får göra, inom ramen för bestämmelserna i kapitel 11 i direktivförslaget, är att mera precist ange de omständigheter under vilka behandling av personuppgifter får ske (art. 5 andra stycket). 1 kommentaren framhålls att sådana preciseringar alltid måste ske inom ramen för bestämmelserna i kapitel 11 och att de inte får hindra det fria flödet av information inom EG-området.

Datalagsutredningen har mot den nu angivna bakgrunden eftersträvat att få i huvudsak samma regler för integritetsskyddet som de som kan komma att gälla inom EG. I vissa hänseenden har dock avvikelser skett. Dessa avvikelser hänför sig i allt väsentligt till tre områden, nämligen frågan om datalagen bara skall avse användning av ADB- teknik eller också omfatta manuell databehandling, kraven på in- formation till den enskilde och på underrättelse till dataskyddsmyndig- heten samt reglerna om utlämnande av personuppgifter till tredje man. Dessa avvikelser behandlas i detta avsnitt. Övriga avvikelser behandlas i berörda avsnitt i den allmänna motiveringen och i Specialmotivering- en.

5.2 Lagens tillämpningsområde

Avgörande för frågan om datalagen över huvud taget är tillämplig på ett register är huruvida registret förs med hjälp av ADB eller inte. Register som förs med hjälp av annan teknik än ADB faller i dag utanför datalagens tillämpningsområde.

76 SOU l993:10

Datalagsutredningen har i sina tidigare ställningstaganden utgått från att datalagen även för framtiden bara skall avse ADB-teknik. Vid remissbehandlingen ansåg en majoritet av de remissinstanser som tagit ställning i denna del att det inte finns något behov av en generell personregisterlagstiftning. I de yttranden där en sådan ordning förordas, åberopas i allmänhet att det svenska regelsystemet bör utformas i enlighet med ett framtida EG-direktiv. Endast i några enstaka yttranden anses sakliga skäl tala för att datalagstiftningen bör omfatta även konventionella medier. Såvitt utredningen känner till är varken omfattningen av eller innehållet i den manuella registreringen av någon betydenhet och innebär inte några mera påtagliga integritets- risker. Majoriteten av de remissinstanser som har berört frågan har heller inte sett något sakligt behov av en generell personregister- lagstiftning. Några sådana särskilda skäl, som enligt utredningens direktiv skall föranleda att frågan om en generell personregistrering tas upp, föreligger alltså inte. Visserligen omfattar förslaget till EG— direktiv även manuell behandling av personuppgifter. Direktivet är dock på denna punkt omstritt och vad man slutligen stannar för är en öppen fråga.

Utredningen vill alltså inte i nuläget förorda att tillämpningsområdet vidgas till att omfatta även manuell databehandling. Samtidigt bör framhållas att utredningen inte har gjort någon närmare undersökning av förekomsten av manuell hantering av personuppgifter. Utredningens uppfattning om behovet av en generell personregisterlagstiftning bygger närmast på information som har hämtats in från Datainspektio- nen. Det kan naturligtvis inte helt uteslutas att en fördjupad under- sökning skulle kunna påvisa en tendens att i ökad utsträckning registrera känsliga uppgifter manuellt, detta för att komma undan de restriktioner som datalagstiftningen innebär. Man bör också ha i minnet att EG-kommissionen iden andra versionen av direktivförslaget har vidhållit sin uppfattning om en generell reglering av hanteringen av personuppgifter. Frågan torde få uppmärksammas under det fortsatta lagstiftningsarbetet.

5.3 Information till den enskilde och under- rättelse till dataskyddsmyndigheten m.m.

Förslaget till EG-direktiv innehåller mycket långtgående krav på information till den enskilde och på underrättelser till dataskyddsmyn- digheten. De bestämmelser som nu tas upp till diskussion finns i artiklarna 10, 12, 13.1, 18 och 19.

Enligt artikel 10 skall den enskilde på begäran ha rätt att bli in- formerad om förekomsten av en viss behandling, dess ändamål, det slag av personuppgifter det gäller, de tredje män eller slag av tredje

SOU 1993: 10 77

män till vilka uppgifterna skall lämnas ut eller på annat sätt röjas samt namn och adress på den persondataansvarige. Tanken bakom artikel 10 är enligt kommentaren att den enskilde genom denna information skall kunna få insyn och utnyttja sin rätt till rättelse och utplånande och utöva effektiv kontroll över behandlingen av sådana personuppgifter som hänför sig till honom. Samtidigt innehåller direktivförslaget i artikel 13.1 regler om rätt till insyn som i huvudsak motsvarar 10 å i den nuvarande datalagen.

Bestämmelserna i artikel 10 avser alla datasamlingar, alltså även sådana som inte innehåller några känsliga uppgifter. Ett iakttagande av bestämmelserna skulle innebära en betungande informationsskyldighet för de persondataansvariga och en ganska betydande byråkratisering av kontrollsystemet. Regler som motsvarar artikel 10 i direktivförslaget bör därför inte tas in i den nya datalagen utan att starka skäl talar för det från integritetssynpunkt.

En motsvarighet till 10 å i den nuvarande datalagen och artikel 13.1 i förslaget till EG-direktiv kommer givetvis att tas in i den nya datalagen. Den enskilde får därigenom möjlighet att kontrollera om uppgifter som hänför sig till honom finns i en viss datasamling och, om så är fallet, att kontrollera om uppgifterna är riktiga, fullständiga och aktuella. Däremot har den enskilde ingen möjlighet att på grundval av ett s.k. & lO-uttag enligt nuvarande terminologi bedöma om det t.ex. är berättigat att lämna ut uppgifter till tredje man eller om det överhuvud taget är tillåtet att behandla de aktuella personuppgifterna. Såvitt gäller de känsliga personuppgifterna finns dock hos Datainspek- tionen det underlag som behövs för att göra en sådan bedömning. Enligt 37 och 38 åå i förslaget till ny datalag skall nämligen den persondataansvarige, innan han får börja att behandla sådana person- uppgifter, göra en anmälan till Datainspektionen om behandlingen. I denna den persondataansvariges anmälan skall finnas i princip alla de uppgifter som krävs enligt artikel 10 i direktivförslaget. Den enskilde får visserligen vända sig till Datainspektionen i stället för till den persondataansvarige för att få ut uppgifterna, men detta torde inte ha så stor betydelse.

Kvar står emellertid att direktivförslaget enligt artikel 10 ger den enskilde en ganska omfattande rätt till information även i fråga om harmlösa uppgifter. Utredningen har övervägt om denna skyldighet att informera skulle kunna tillgodoses genom en motsvarighet till de regler om förteckningsskyldighet som nu finns i 7 a & datalagen. Bestämmel— serna i 7 a & datalagen innefattar en skyldighet för den registeransvari- ge att ha en aktuell förteckning över de personregister som han ansvarar för. Förteckningen skall innehålla uppgift om bl.a. registrets benämning, registrets ändamål, lokalen där den automatiska be- handlingen huvudsakligen utförs, i vad mån personuppgifter lämnas ut för automatisk databehandling i utlandet och i vad mån personnummer registreras. Förteckningen skall hållas tillgänglig för Datainspektionen

78 SOU l993:10

och på begäran av denne ges in till inspektionen. Som har framgått av vad nu har sagts omfattar inte förteckningen alla de uppgifter som nämns i artikel 10 i direktivförslaget. Förteckningen skulle emellertid kunna byggas ut till att omfatta den berörda informationen.

Bestämmelserna om förteckningsskyldighet har emellertid inte till syfte att ge den enskilde insyn i behandlingen av personuppgifter. Paragrafen innehåller ingen regel om rätt för den enskilde att ta del av förteckningen, må vara att den enskilde kan ha en sådan rätt på grund av offentlighetsprincipen såvitt gäller myndigheter. I stället är bestämmelserna om förteckningsskyldighet avsedda att vara ett stöd för Datainspektionen i dess tillsynsverksamhet. Datainspektionen kan begära in en förteckning i ett särskilt tillsynsärende. Inspektionen har också möjlighet att begära in förteckningar Stickprovsvis eller samtidigt från flera registeransvariga, t.ex. från alla registeransvariga i en viss bransch eller inom ett visst område.

Bestämmelserna om förteckningsskyldighet tillgodoser alltså inte den rätt till information som artikel 10 i direktivförslaget ger den enskilde. I själva verket kan man fråga sig om förteckningsskyldigheten fyller någon funktion. Den förhandsinformation som Datainspektionen kan behöva för sin tillsyn kan inspektionen lika gärna inhämta direkt från den persondataansvarige. Enligt 44 å i utredningens lagförslag skall den persondataansvarige lämna Datainspektionen de uppgifter om den automatiska databehandlingen som inspektionen begär för sin tillsyn. En sådan uppgiftsskyldighet har även den som för den persondataan- svariges räkning behandlar personuppgifter, dvs. bl.a. servicebyråer. Mot den nu angivna bakgrunden har utredningen i sitt lagförslag inte tagit upp någon motsvarighet till bestämmelserna om förtecknings- skyldighet i den nuvarande datalagen.

Av större intresse i sammanhanget är de bestämmelser som finns i 15 kap. 11 & sekretesslagen. I den paragrafen finns särskilda regler om dokumentationsskyldighet beträffande ADB-register som en myndighet har tillgång till. Reglerna syftar till att tillgodose allmänhetens intresse av överblick över och orientering i det ADB-material som finns hos myndigheterna. Bestämmelserna gäller även för sådana myndigheter som behandlar personuppgifter utan att vara persondataansvariga. Beskrivningen av den behandling av personuppgifter som förekommer hos myndigheten skall innehålla bl.a. vad som krävs enligt artikel 10 i direktivförslaget så när som på uppgifter om vilka tredje män som kan få del av uppgifterna. En skyldighet i sistnämnda hänseende skulle vara av mindre intresse med hänsyn till offentlighetsprincipen.

Sammanfattningsvis kan konstateras att den enskildes rätt till in— formation enligt artikel 10 i direktivförslaget till stor del kan till- godoses genom de anmälningar om behandling av känsliga uppgifter som skall finnas hos Datainspektionen och den beskrivning av ADB- register som myndigheterna är skyldiga att ha enligt sekretesslagen. Vad som dock inte täcks av dessa bestämmelser är den behandling av

SOU 1993: 10 79

i och för sig harmlösa uppgifter som förekommer hos andra än myndigheter. I fråga om dessa personuppgifter finns dock alltid möjligheten för den enskilde att genom ett s.k. & 10-utdrag enligt nuvarande terminologi få klarlagt om uppgifter som hänför sig till honom behandlas och, om så är fallet, kontrollera om uppgifterna är korrekta. Vidare har den enskilde möjlighet att få information om be- handlingen genom en hänvändelse till Datainspektionen. Med hänsyn till den behandling det gäller får dessa möjligheter anses vara tillräckliga ur integritetssynpunkt. I utredningens lagförslag återfinns alltså inte någon motsvarighet till föreskrifterna i artikel 10 i förslaget till EG-direktiv. '

Föreskrifterna i artikel 12 utgör ett andra led i direktivförslagets ambition att göra den enskilde medveten om att personuppgifter som rör honom behandlas. När personuppgifter behandlas utan att den enskilde har samtyckt till behandlingen, skall den persondataansvarige förvissa sig om att vid lämplig tidpunkt, dock senast när uppgifterna första gången lämnas ut till en tredje man, den enskilde underrättas om utlämnandet. Den enskilde skall samtidigt underrättas om bl.a. behand- lingens ändamål, vilka typer av uppgifter det gäller, mottagarna eller slag av mottagare samt rätten för den enskilde till insyn, rättelse och till att göra invändningar mot behandling som anses strida mot gällande dataskyddsbestämmelser. Syftet med dessa föreskrifter i direktivför- slaget är, som redan har antytts, att den enskilde skall bli medveten om att uppgifter som rör honom behandlas och kunna utnyttja de rättig- heter som dataskyddsbestämmelserna ger honom.

Som framgått föreligger inte någon skyldighet att underrätta den enskilde om ett utlämnande när den enskilde har samtyckt till be- handlingen. Ett samtycke måste emellertid avse viss behandling (be specific) enligt direktivförslaget (art. 2. g) och kan alltså inte avse en rad utlämnandetillfällen i framtiden som inte närmare kan specificeras. Möjligheten att med samtycke som grund underlåta underrättelse blir därför inte så stor som man kanske skulle ha kunnat tro.

I syfte att begränsa underrättelseskyldighetens omfattning görs en del undantag från huvudregeln. Tre av undantagen grundar sig direkt på föreskrifterna i direktivförslaget (ait. 12.2) medan ytterligare två undantag förutsätter beslut av dataskyddsmyndigheten (art. 12.3).

Enligt artikel 12.2 behövs till en början inte någon underrättelse om den enskilde redan har underrättats om att uppgifterna skall eller kan komma att lämnas ut till en tredje man. En sådan underrättelse kan ha lämnats i samband med att uppgifterna samlats in från den enskilde (jfr art. ll).

Underrättelse behöver heller inte lämnas om skyldighet att lämna ut uppgifter till en tredje man föreligger på grund av lag eller författning och den berörda bestämmelsen samtidigt anger att underrättelse inte behöver lämnas. Den del av uppgiftslämnandet mellan myndigheterna som föreskrivs i författning torde med stöd av denna regel kunna tas

80 SOU 1993: 10

undan från underrättelseskyldigheten, men åtskilligt av det omfattande informationsutbytet på den offentliga sidan torde förutsätta att de enskilda som berörs underrättas om att information utväxlas. Den skyldighet som på den privata sektorn föreligger för enskilda att lämna olika uppgifter till myndigheterna, t.ex. kontrolluppgifter till skatte- myndigheterna, följer av lag och kan med stöd av den här berörda undantagsregeln i direktivförslaget tas undan från underrättelseskyldig- het.

Den tredje undantagsregeln tar sikte på utlämnande av information som sker för vissa ändamål. Dessa ändamål sammanfaller med de grunder enligt vilka rätten att ta del av allmänna handlingar får begränsas enligt tryckfrihetsförordningen. Ett utlämnande som har sin grund i t.ex. myndighets verksamhet för inspektion, kontroll eller annan tillsyn förutsätter alltså inte att de berörda enskilda underrättas om utlämnandet.

Enligt direktivförslaget (art. 12.3) kan vidare dataskyddsmyndig- heten i två fall få ge dispens från kravet på underrättelse till den enskilde när personuppgifter lämnas ut till en tredje man. Det första fallet är att underrättelseskyldigheten visar sig omöjlig att fullgöra eller i vart fall kräver en oproportionerlig insats. Det andra fallet är att underrättelseskyldigheten strider mot övergripande intressen hos den persondataansvarige eller en tredje man. Enligt kommentaren bör dispensmöjligheten utnyttjas t.ex. i fråga om organisationer som ägnar sig åt humanitärt arbete eller bevakar mänskliga rättigheter, så att deras arbete inte hindras på ett otillbörligt sätt. Att döma av exemplet är tanken att dataskyddsmyndighetens dispensmöjlighet skall användas med stor försiktighet.

Datalagsutredningen kan konstatera att en ordning enligt artikel 12 i direktivförslaget givetvis är ett effektivt sätt att göra en enskild medveten om att en behandling pågår som rör honom och som innefattar utlämnande av personuppgifter. Det kan också vitsordas att de integritetsrisker som är förknippade med ADB ofta ligger i att uppgifter lämnas ut till tredje man för användning i en annan miljö än den ursprungliga. Förfarandet enligt artikel 12 är emellertid inte förenligt med den rätt till anonymitet som enligt svensk rätt föreligger för den som begär att få en allmän handling utlämnad. Denna aspekt behandlas närmare i nästa avsnitt. Man kan vidare fråga sig om vinsterna från integritetssynpunkt verkligen uppväger den mycket betydande byråkrati som följer med en ordning enligt artikel 12 i direktivförslaget. I och för sig kan man ta bort en del av under- rättelseskyldigheten genom ett flitigt utnyttjande av den undantagsregel som innebär att underrättelse inte behöver lämnas om skyldighet att länma ut uppgifter till en tredje man föreligger på grund av lag eller författning och den berörda föreskriften samtidigt anger att under- rättelse inte behöver lämnas. Detta kan emellertid knappast vara intentionen bakom den nu berörda undantagsregeln i direktivförslaget.

SOU 1993:10 81

Men även om den möjligheten används så långt det går måste det, som redan har berörts, finnas kvar en lång rad fall där underrättelse måste ske, i synnerhet på den offentliga sidan. Enligt utredningens mening får de möjligheter att få kunskap om en viss behandling som redovisats i det föregående vid diskussionen om artikel 10 anses innefatta en rimlig avvägning mellan den enskildes intresse och de krav som kan ställas på de persondataansvariga. Denna slutsats skall då också ses mot bakgrund av utredningens övertygelse att det kanske viktigaste instrumentet för ett gott integritetsskydd ligger i en effektiv tillsyn. Det är bättre att satsa de resurser som skulle behövas för ett under- rättelseförfarande på en sådan intensifierad tillsyn. Betydelsen av en effektiv tillsyn behandlas närmare i avsnitt 13.

Med hänsyn till vad som nu har sagts tas inte i utredningens förslag upp någon motsvarighet till artikel 12 i direktivförslaget.

En annan typ av information till den enskilde omfattas av artikel 13.5 i direktivförslaget. Enligt den föreskriften har den enskilde rätt att bli informerad om utgångspunkterna för eller resonemangen bakom varje behandling av personuppgifter, vars resultat åberopas mot honom. Av kommentaren framgår att med bestämmelsen åsyftas de fall där beslut fattas genom automatisk databehandling och åstadkommer resultat som strider mot den enskildes intressen.

Den nu berörda föreskriften i direktivförslaget är inte helt lätt att tolka. Som utredningen uppfattar den innebär den ett krav på att även beslut, som helt och hållet kommer till stånd genom automatisk databehandling, anger skälen för beslutet om detta har gått den enskilde emot. Artikel 13.5 skulle alltså vara en bestämmelse om beslutsmotivering.

Föreskrifter om motivering av beslut finns redan i svensk rätt. Ett beslut varigenom en myndighet avgör ett ärende skall enligt 205 förvaltningslagen (1986z223) innehålla de skäl som har bestämt utgången, om ärendet avser myndighetsutövning mot någon enskild. I vissa fall får dock skälen utelämnas helt eller delvis, bl.a. om beslutet inte går någon part emot eller om det av någon annan anledning är uppenbart obehövligt att upplysa om skälen. Har skälen utelämnats, bör myndigheten på begäran av den som är part om möjligt upplysa honom om dem i efterhand. Bestämmelser om motivering av beslut finns också i vissa specialförfattningar. För domstolarnas dömande verksamhet finns regler om beslutsmotivering i de olika processuella regelverken, om det nu någonsin kan bli aktuellt i domstolarna att fatta beslut enbart genom automatisk databehandling. För förvaltnings- myndigheternas och domstolarnas del torde man alltså inte behöva någon motsvarighet till föreskriften i artikel 13.5.

En motsvarighet till artikel 13.5 kan däremot tänkas få betydelse inom den privata sektorn. Någon möjlighet att överklaga beslut i vanlig mening finns emellertid inte inom den sektorn, även om ibland en fråga kan hänskjutas till prövning i särskild ordning, t.ex. en fråga om

82 SOU 1993: 10

försäkringsersättning till en särskilt inrättad nämnd på försäkringsom- rådet. Den enskilde får göra sina anspråk gällande på civilrättslig grund. I sista hand har han alltid möjlighet att vända sig till någon annan för att få den aktuella varan eller tjänsten levererad eller utförd. Det har inte heller, såvitt utredningen känner till, kommit fram några egentliga önskemål om en ordning som motsvarar den som anges i artikel 13.5. Inte heller den nu diskuterade artikeln bör alltså motsva- ras av någon bestämmelse i den nya datalagen.

Datalagsutredningen övergår nu till att behandla de krav på att en anmälan skall göras till dataskyddsmyndigheten som direktivförslaget ställer upp.

Innan någon behandling av personuppgifter får ske, skall enligt huvudregeln i artikel 18.1 en anmälan göras till dataskyddsmyndig- heten. Vad en sådan anmälan skall innehålla framgår av artikel 18.2. Den skall innehålla åtminstone den persondataansvariges namn och adress, behandlingens ändamål, de kategorier av enskilda som berörs, en beskrivning av de uppgifter eller slag av uppgifter som skall behandlas, de tredje män eller slag av tredje män till vilka uppgifterna kan komma att lämnas ut, tilltänkta överföringar till länder utanför EG— området samt en beskrivning av vidtagna säkerhetsåtgärder. Syftet med anmälningsskyldigheten är enligt kommentaren att anmälningarna skall ligga till grund för dataskyddsmyndighetens tillsyn av behandling av personuppgifter.

Medlemsstaterna skall emellertid enligt artikel 19.1 sörja för att an- mälningsskyldigheten förenklas eller helt faller bort i fråga om vissa slag av behandling. Det gäller sådan behandling som inte menligt påverkar de enskildas personliga integritet (wich do not adversely affect the rights and freedoms of data subjects). Erfarenheten visar, sägs det i kommentaren, att åtskillig behandling är av nyss nämnd beskaffenhet och sålunda inte kräver någon detaljerad eller allmän anmälan till dataskyddsmyndigheten.

l direktivförslaget (art. 19. 1) ges vissa exempel på sådan behandling som inte är ägnad att medföra några risker för den personliga integriteten. Hit hör framställande av brev eller olika handlingar genom ordbehandling eller sökning i sådana informationsdatabanker som står öppna för allmänheten. Vidare nämns behandling för att uppfylla skyldigheter som följer av lag eller annan författning eller skyldigheter på redovisnings-, beskattnings- eller socialförsäkringsom- rådet (the satisfaction of legal, accounting, tax or social security duties).

Utredningens förslag innebär, som utförligt utvecklas i avsnitt 13, att det nuvarande tillståndssystemet enligt datalagen avskaffas och ersätts med ett renodlat tillsynsförfarande. En av förutsättningarna för att detta skall kunna ske är emellertid att vissa datasamlingar genom anmälan kommer till Datainspektionens kännedom. Syftet med anmälningsförfarandet är att anmälningarna skall ligga till grund för

SOU 1993: 10 83

inspektionens tillsyn. Någon anmälningsskyldighet skall inte föreligga för sådan behandling av personuppgifter som inte kan sägas represente- ra någon risk från integritetssynpunkt.

Så långt har alltså utredningen inga invändningar mot de tankar som utvecklas i direktivförslaget. Vad som däremot kan diskuteras är den metod som används för att avgränsa anmälningsskyldigheten. Ut- gångspunkten i direktivförslaget är, som framgått, att all behandling skall anmälas. Vad som får tas undan är vissa slag av behandling som inte menligt påverkar de enskildas integritet.

Tanken är enligt direktivförslaget att man genom särskilda regler skall ange de olika kategorier av behandling som kan tas undan från anmälningsskyldigheten. Enligt uppgift finns det i Nederländerna och Frankrike 24 resp. knappt 40 särskilda författningar som för olika branscher och sektorer anger de slag av behandling som inte behöver anmälas. För att säkerställa att persondataansvariga är i stånd att med säkerhet bedöma huruvida en viss behandling av personuppgifter faller innanför eller utanför anmälningsskyldigheten, skall ett beslut om undantag för varje slag av behandling som omfattas specificera ändamål, slag av personuppgifter, slag av enskilda som berörs, slag av tredje män som berörs samt den tid som uppgifterna skall lagras och, om det är lämpligt, de villkor under vilka behandlingen skall utföras. I den mån en behandling av personuppgifter inte faller in under de särskilt reglerade undantagen skall den anmälas till dataskyddsmyndig- heten.

Exemplen från Nederländerna och Frankrike visar att det krävs åtskilliga regler för att lägga fast undantag från anmälningsskyldig- heten. Även med många sådana regler är risken betydande att ett mycket stort antal datasamlingar måste anmälas till dataskyddsmyndig- heten. Av särskilt intresse i sammanhanget är att titta närmare på de försök som har gjorts att inskränka tillståndsprövningen enligt den nuvarande datalagen. Det förenklade förfarandet som infördes av Datainspektionen var ett led i inspektionens ansträngningar att begränsa arbetet med de mera harmlösa datasamlingarna till förmån för de mera känsliga. Genom ändringarna i datalagen år 1982 begränsades uttryckligen tillståndskravet till de kategorier av personregister som ansågs vara särskilt känsliga. Syftet var att inskränka omfattningen av tillståndsprövningen och att i motsvarande mån öka tillsynsaktiviteter- na. Dessa mål uppnåddes också, men bara för en tid. Det dröjde inte länge förrän situationen var densamma som före lagändringarna med så många tillståndsansökningar att knappast några inspektioner kunde äga rum. Detta hängde naturligtvis samman med den ökade datorise- ringen och inget tyder på att datoriseringen i Sverige kommer att stanna upp. Det kan alltså komma att visa sig, att ett mycket stort antal behandlingar får anmälas till dataskyddsmyndigheten. Antalet kan bli så stort att den överblick över den integritetskänsliga databehandlingen som dataskyddsmyndigheten bör ha helt går förlorad.

84 SOU 1993:10

Ytterligare en olägenhet med det anmälningsförfarande som föreskrivs i direktivförslaget utgör den procedur som läggs fast för att förenklingar i eller undantag från anmälningsskyldigheten skall kunna göras. Enligt artikel 19.2 kräver en åtgärd för att förenkla eller göra undantag från anmälningsskyldigheten dataskyddsmyndighetens medverkan. Med tanke på de många undantag som måste göras blir belastningen på dataskyddsmyndigheten betydande. Handläggningen av dessa ärenden, som rör från integritetssynpunkt harmlös databehand- ling, kommer att ta i anspråk resurser som enligt utredningens förslag bör ägnas åt tillsyn. Som utredningen tidigare har nämnt och som utvecklas närmare i avsnitt 13 är tillsyn det kanske effektivaste instrumentet för ett gott integritetsskydd.

Det sätt på vilket avgränsningen av anmälningsskyldigheten har gjorts och det förfarande för att göra undantag från anmälningsskyldig- heten som anges i direktivförslaget är enligt utredningens mening förenade med så betydande olägenheter att någon harmonisering med förslaget till EG-direktiv inte bör ske i denna del. I stället kan det vara lämpligt att avgränsa anmälningsskyldigheten i den nya datalagen på samma sätt som tillståndsplikten enligt den gällande datalagen har bestämts, dvs. att det i lagen uttryckligen anges vilken databehandling som måste anmälas till Datainspektionen. Utredningen återkommer till frågan om anmälningsskyldigheten i avsnitt 14 i den allmänna motiveringen och i anslutning till 37 å i specialmotiveringen.

Utredningen vill i det här sammanhanget också ta upp en annan bestämmelse i direktivförslaget, nämligen artikel 16. Enligt den artikeln får en myndighet eller annan inte meddela för den enskilde menliga beslut, om beslutet fattas uteslutande genom sådan behandling av personuppgifter som innefattar en bedömning av hans person. Ett sådant beslut får dock meddelas i vissa fall. Ett undantag är om det följer av lag eller annan författning. Det andra undantaget (art. 16.2.a) innebär att den enskilde kan få acceptera ett sådant beslut, om beslutet meddelas inom ramen för ett avtal mellan den enskilde och den persondataansvarige eller inför slutande av ett sådant avtal, under förutsättning att den enskildes önskemål tillgodoses eller att lämpliga åtgärder vidtas för att skydda den enskildes intresse. l kommentaren framhålls att helt automatiska beslut kan komma att bli ett större problem i framtiden i takt med att mer och mer sofistikerade program och även expertsystem utvecklas.

Den typ av beslut som artikel 16 är avsedd att reglera torde f.n. bara förekomma i Sverige i form av s.k. credit scoring. Det är däremot sannolikt att tekniken utvecklas på ett sådant sätt att det i en framtid blir möjligt att meddela sådana beslut även på andra områden.

Artikel 16 är besvärlig att tolka och innehåller delvis bestämmelser som strider mot varandra. Huvudregeln om förbud mot helt auto- matiska beslut tar sikte på för den enskilde menliga beslut (adversely affecting him) samtidigt som ett av undantagen synes avse fall där den

SOU 1993: 10 85

enskildes synpunkter tillgodoses (provided any request by the data subject has been satisfied).

Enligt vad utredningen har inhämtat torde bestämmelserna i artikel 16 komma att överarbetas under den fortsatta beredningen inför Ministerrådets beslut. Med hänsyn till detta och till att behovet av en sådan föreskrift som nu diskuteras inte är överhängande, återfinns i utredningens förslag inte någon motsvarighet till bestämmelserna i artikel 16. Utredningen har därvid beaktat att användningen av credit scoring förutsätter tillstånd av Datainspektionen. Vidare kan nämnas att kreditupplysningslagen är föremål för översyn av kreditupplysnings- utredningen (Ju 1991106).

5.4 Utlämnande av personuppgifter

I detta avsnitt skall utredningen något belysa hur förslaget till EG- direktiv förhåller sig till offentlighetsprincipen och till bestämmelserna om utlämnande av personuppgifter mellan myndigheter.

Offentlighetsprincipen

Offentlighetsprincipen innebär att verksamheten hos staten och kommunerna i största möjliga utsträckning är öppen för insyn från allmänheten. Detta anses vara en förutsättning för att medborgarna skall kunna kontrollera hur myndigheterna fullgör sina uppgifter. Man brukar säga att syftet med offentlighetsprincipen är att den skall garantera rättssäkerheten, effektiviteten i förvaltningen och effektivite- ten i folkstyret. Offentlighetsprincipen har naturligtvis också betydelse för forskningen, kulturen och rent allmänt för det öppna samhälle som vi vill ha i Sverige.

Offentlighetsprincipen kommer till uttryck på flera sätt. Störst betydelse har säkert principen att alla medborgare har rätt att ta del av myndigheternas handlingar. Denna princip infördes i vårt land redan år 1766, då vi fick vår första tryckfrihetsförordning.

Principen att handlingar är offentliga finns numera fastslagen i tryckfrihetsförordningen (TF). I TF anges vilka slags handlingar som är tillgängliga för allmänheten.

Med handling avses enligt TF - förutom framställningar i skrift eller bild av vanligt slag - också s.k. tekniska upptagningar. ADB-upp- tagningar betraktas alltså som handlingar i detta sammanhang. Detta innebär bl.a. att en datasamling hos en myndighet är att anse som en handling. Alla handlingar hos en myndighet är emellertid inte tillgängliga för allmänheten. För att en handling skall omfattas av offentlighetsprincipen fordras också att den utgör en, som det heter i TF, allmän handling. En handling är allmän, om den förvaras hos en

86 SOU 1993: 10

myndighet och är att anse som inkommen till eller upprättad hos myndighet.

Vad gäller ADB—upptagningar anses sådana förvarade hos en myndighet, om upptagningen är tillgänglig för myndigheten i sådan form att man kan läsa den där. Innebörden av uttrycket "tillgänglig" är att varje sammanställning av sakligt sammanhängande uppgifter som en myndighet kan göra med hjälp av tillgängliga program är att anse som en handling som förvaras hos myndigheten. Förutsättningen är endast att sammanställningen skall kunna göras med rutinbetonade åtgärder. Förvarsrekvisitet är således uppfyllt oberoende av om myndigheten själv har haft eller anser sig ha behov av att söka efter eller sammanställa informationen i fråga.

Det räcker emellertid inte alltid med att en myndighet har en sådan faktisk tillgång till en ADB-upptagning som här har beskrivits för att upptagningen skall anses förvarad hos myndigheten. Är det fråga om en upptagning som ingår i ett personregister, krävs också att myndig- heten har rättslig befogenhet att göra en överföring av upptagningen till läsbar form. Om myndigheten saknar befogenhet att överföra en ADB-upptagning till läsbar form för den egna verksamheten, har allmänheten nämligen inte heller rätt att ta del av upptagningen.

En ADB-upptagning anses ha kommit in till en myndighet när någon utomstående har gjort den tillgänglig för myndigheten på så sätt att den där kan läsas. TF:s regler om när handlingar anses upprättade tar inte sikte särskilt på ADB-upptagningar. Reglerna innebär dock bl.a. att upptagningar, som ingår i ett ADB-register som förs fortlöpande, är upprättade när registren tas i bruk. Exempel på sådana register är myndigheternas skatteregister, polisregister, socialregister samt hälso— och sjukvårdsregister.

Den omständigheten att en handling, varmed alltså avses även ADB- upptagningar, är en allmän handling innebär inte nödvändigtvis att vem som helst kan få del av den. En del handlingar är nämligen hemliga därför att sekretess gäller för uppgifter i dem. Det betyder att allmänheten inte har rätt att läsa handlingarna och att myndigheterna är förbjudna att lämna ut dem. 1 TF finns de grundläggande be- stämmelserna om vilka begränsningar som får göras i handlingsoffent— ligheten. Närmare bestämmelser härom finns i sekretesslagen. I vilken utsträckning sekretess gäller för uppgifter hos myndigheterna tas inte upp i detta sammanhang. Här kan dock erinras om att en utgångspunkt vid utformningen av sekretesslagen har varit att man inte skulle åstadkomma mera sekretess än vad som är oundgängligen nödvändigt för att skydda det intresse som sekretessen skall tillgodose. Offentlig— het är alltså huvudprincipen.

Till sist skall i fråga om offentlighetsprincipen sägas att den också innefattar en rätt för enskilda att ta del av allmänna handlingar utan att de i samband därmed behöver uppge sitt namn eller det ändamål för vilket handlingen önskas utlämnad. TF tillförsäkrar sökanden anonymi-

SOU 1993110 87

tet. Om utlämnandet avser en handling som faller under någon bestämmelse i sekretesslagen, kan det dock hända att myndigheten behöver veta vem som vill ha handlingen eller vad den skall användas till för att pröva huruvida någon skada eller något men kan uppstå om handlingen lämnas ut.

Förhållandet mellan offentlighetsprincipen och förslaget till EG- direktiv

1 det följande skall pekas på några förslag i EG-direktivet som enligt utredningen berör offentlighetsprincipen.

I artikel 7 i direktivförslaget anges under vilka förutsättningar personuppgifter över huvud taget får behandlas. Artikeln anger således när det är lagligt att behandla personuppgifter. Med behandling (processing of personal data) förstås varje åtgärd som vidtas med personuppgifter, oavsett om åtgärden utförs automatiskt eller inte. Exempel på sådana åtgärder är att personuppgifterna röjs genom överföring, spridning av uppgifterna eller utlämnande av dem. Att lämna ut uppgifter med stöd av TF ur exempelvis en myndighets ADB— register innebär en behandling enligt artikel 7.

Av de fall då personuppgifter får behandlas enligt artikel 7 är det i princip endast ett fall som i detta sammanhang är av intresse. Det är det fall som regleras under punkten c. Enligt denna punkt får person- uppgifter behandlas om behandlingen behövs för att fullgöra åliggan- den som följer av lag eller annan författning. Inte något av de övriga i artikeln reglerade fallen då behandling av personuppgifter är laglig synes medge att personuppgifter lämnas ut med stöd av offentlig- hetsprincipen.

Frågan är då om den redovisade punkten c tillåter ett utlämnande i enlighet med offentlighetsprincipen. Någon närmare vägledning hur punkten skall tolkas ges inte i kommentaren till den. Enligt utred- ningen måste det anses tveksamt om den aktuella punkten verkligen kan ta sikte på bl.a. utlämnande enligt offentlighetsprincipen. Vad som talar för denna tolkning är att offentlighetsprincipen i betydelsen rätten att ta del av allmänna handlingar sådan som den tillämpas i Sverige saknar närmare motsvarighet i EG:s medlemsländer. Av betydelse för tolkningen är också att syftet med direktivförslaget är att fastställa en hög skyddsnivå, ett syfte som nog inte kan anses uppnås om offentlig— hetsprincipen som den tillämpas i Sverige får gälla. De författningar som avses torde vidare få uppfylla vissa krav på konkretion. Ut- redningen är därför närmast benägen att hävda den ståndpunkten att artikel 7 inte tillåter något utlämnande enligt offentlighetsprincipen, även om den ovan redovisade punkten enligt sin bokstav inte utesluter en sådan tolkning.

Här skall tilläggas att artikel 8 i förslaget till EG—direktiv innehåller vissa speciella restriktioner när det gäller behandlingen av personupp-

88 SOU 1993: 10

gifter av särskilt känslig natur. Med känsliga uppgifter avses uppgifter om bl.a. ras, etniskt ursprung, politisk uppfattning, religiös eller filosofisk övertygelse, hälsotillstånd och sexualliv. Sådana uppgifter får i princip behandlas endast om den enskilde skriftligen har samtyckt till det. Vissa undantag från denna huvudregel finns dock. Bl.a. får undantag göras i lag eller annan författning om det är påkallat av ett viktigt allmänt intresse och det i författningen finns föreskrifter bl.a. om vilka typer av uppgifter som får behandlas och vilka personer som får ha tillgång till personuppgifterna. Enligt utredningens uppfattning är det till följd av artikel 8 inte möjligt att med stöd av offentlig- hetsprincipen lämna ut känsliga uppgifter utan den enskildes samtycke.

Av intresse i detta sammanhang är vidare artikel 6. 1 .b. Enligt denna artikel måste insamling av uppgifter ske för specificerade, uttryckliga och lagliga ändamål och de insamlade uppgifterna får användas endast på ett sätt som är förenligt med dessa ändamål. I kommentaren till direktivet på denna punkt framhålls att ändamålet måste definieras och anges så snävt som möjligt.

När det gäller verksamheten hos myndigheterna, som ju skall tillämpa offentlighetsprincipen, regleras deras uppgifter i allmänhet relativt noggrant i lagar och förordningar. Särskilt av myndigheternas instruktioner brukar det framgå vilka arbetsuppgifter som en myndig- het har. Man kan säga att den verksamhet som myndigheterna skall ägna sig åt på sätt som den närmare preciseras i lagar och förordningar utgör den yttersta gräns för hur personuppgifter får behandlas.

En myndighet får således samla in personuppgifter endast om uppgifterna skall behandlas i den verksamhet som myndigheten är ålagd att utföra. Ändamålet med behandlingen av uppgifterna skall definieras så klart som möjligt i enlighet härmed. Enligt utredningen kan man inte gärna hävda att en myndighet samlar in uppgifter för att tillgodose offentlighetsprincipen. Innebörden härav är att ändamålet med behandlingen av uppgifter inte kan bestämmas på det sättet att det skall tillgodose offentlighetsprincipen. Ett utlämnande av personuppgif- ter med stöd av offentlighetsprincipen kan därmed inte anses förenligt med den ändamålsangivning som artikel 6.1.b föreskriver.

En annan fråga av intresse rör förhållandet mellan artikeln om ändamålsbestämningar och föreskriften i 2 kap. 3 & TF om myndig— hetens rättsliga befogenhet att göra överföringar av ADB-upptagningar.

Enligt 2 kap. 3 & TF anses, som har sagts ovan, en ADB-upptagning förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med något tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den där kan läsas, avlyssnas eller på annat sätt uppfattas. Innebörden av uttrycket "tillgänglig" är att varje sammanställning av sakligt sammanhängande uppgifter som en myndighet kan göra med hjälp av tillgängliga program är att anse som en handling som förvaras hos myndigheten. Förutsättningen är endast att sammanställningen skall kunna göras med rutinbetonade

SOU 1993: 10 89

åtgärder. Förvarsrekvisitet är således uppfyllt oberoende av om myndigheten själv har haft eller anser sig ha behov av att söka efter eller sammanställa informationen i fråga.

Det räcker emellertid inte alltid med att en myndighet har en sådan faktisk tillgång till en ADB-upptagning som här har beskrivits för att upptagningen skall anses förvarad hos myndigheten. Är det frågan om en upptagning som ingår i ett personregister, krävs också att myndig- heten har rättslig befogenhet att göra en överföring av upptagningen till läsbar form. Om myndigheten saknar befogenhet att överföra en ADB-upptagning till läsbar form för den egna verksamheten, har allmänheten nämligen inte heller rätt att ta del av upptagningen. Kravet uttrycks på så sätt att någon överföring inte får göras, "om myndig- heten enligt lag eller förordning eller särskilt beslut, som grundar sig på lag, saknar befogenhet att göra överföringen". Som exempel på särskilda beslut, som grundas på lag, kan nämnas sådana beslut som Datainspektionen fattar med stöd av 65 första stycket 7 datalagen angående vilka personuppgifter som får göras tillgängliga.

Den fråga som här är av intresse är huruvida ett uppgivet registerän- damål kan anses utgöra en föreskrift eller ett beslut som begränsar myndighetens rättsliga befogenhet enligt 2 kap. 3 & TF och således också allmänhetens rätt att ta del av allmänna handlingar enligt TF.

Gällande rätt innebär att ett register skall föras för ett bestämt ändamål. Vidare skall iakttas att inte andra uppgifter registreras än som står i överensstämmelse med registrets ändamål samt att uppgifter inte samlas, lämnas ut eller används annat än i överensstämmelse med registerändamålet (7 5).

För tillståndspliktiga register bestäms registerändamålet av Datain- spektionen (5 5). När det gäller statsmaktsregister torde dock regering- en eller riksdagen i regel bestämma ändamålet. Om så inte har skett, bestäms ändamålet av Datainspektionen under förutsättning att registret är tillståndspliktigt (6 a 5). För övriga register, dvs. register som inte kräver tillstånd enligt 25 andra stycket och som inte inrättas av statsmakterna, bestäms ändamålet av den registeransvarige myndig- heten själv.

För åtskilliga av de register som myndigheterna för i dag är ändamålet förhållandevis vagt angivet. Inte sällan uppges ändamålet vara planering, tillsyn, statistik etc.

Enligt utredningens förslag skall ändamålet i fortsättningen bestämmas av den som ansvarar för personuppgifterna.

Ändamålsbeskrivningen är av avgörande betydelse både enligt gällande rätt och utredningens förslag för vilka bearbetningar som en myndighet för göra. Principen är den att en myndighet för göra endast sådana bearbetningar som ligger inom ramen för ändamålet. En central utgångspunkt när det gäller förvaringskriteriet i TF är att allmänheten skall få ta del av en upptagning i samma utsträckning som den är tillgänglig för myndigheten (likställighetsprincipen). Innebörden av

90 SOU 1993:10

denna princip är enligt utredningen att ett på visst sätt bestämt ändamål normalt måste anses medföra också en sådan begränsning i en myndighets befogenhet att göra överföringar, vilka avviker från ändamålet, som avses i 2 kap. 3 & TF.

Denna ståndpunkt skulle möjligen kunna ifrågasättas då det är myndigheten själv som har bestämt ändamålet. I förarbetena till 2 kap. 3 & TF synes man nämligen med "särskilt beslut" närmast ha åsyftat beslut meddelade av Datainspektionen (jfr prop. 1975/76:160, s. 87 ff). En så snäv tolkning vinner emellertid enligt utredningen inte stöd av lagtexten och skulle också innebära ett svårförståeligt undantag från likställighetsprincipen. Enligt utredningens mening bör därför en begränsning genom en åndamålsbestämning som en myndighet själv har beslutat om utgöra också en motsvarande begränsning för vad som utgör allmän handling enligt 2 kap. 3 & TF.

I detta sammanhang kan tilläggas att utredningens förslag att ändamålsbeskrivningar i framtiden skall vara mer preciserade kommer att leda till att inte bara myndighetens möjligheter till bearbetningar begränsas utan också att allmänhetens insyn i motsvarande mån begränsas.

Förslaget till EG—direktiv påverkar vidare principen i TF att en sökande som begär att få ut en handling har rätt att vara anonym. Det skydd som den som vill ta del av en handling på detta sätt åtnjuter anses utgöra ett viktigt inslag i offentlighetsprincipen. Anonymitets- skyddet har alltid setts som en del av offentlighetsprincipen, men det är först relativt nyligen som principen har lagfästs i TF (2:14). En annan sak är att sekretesslagen många gånger låter gränsen mellan hemlig och offentlig handling bero på en prövning av risken för skada vid utlämnande. I sådana fall kan det vara nödvändigt att den som begär att få ut en handling talar om vem han är och vad han skall ha handlingen till. Inte sällan anses t.ex. en viss handling kunna lämnas ut till forskare men kanske inte till andra personer på grund av risken för skada.

För att skydda den enskilde innehåller förslaget till EG-direktiv, som har redovisats i avsnitt 5.3, mycket långtgående krav på in- formation till den enskilde. Av särskilt intresse i detta sammanhang är artikel 12. Den artikeln rör vad den persondataansvarige skall iaktta då personuppgifter lämnas ut. Enligt denna artikel skall den persondataan- svarige förvissa sig om att den enskilde vid lämplig tidpunkt under- rättas om när uppgifter lämnats ut. En sådan underrättelse skall bl.a. innehålla uppgift om vem som är mottagare av utlämnade uppgifter. Vissa undantag medges från denna huvudregel. Informationsplikten gäller bl.a. inte om den enskilde redan har informerats om att ett utlämnande av uppgifterna kommer att ske eller kan komma att ske. Den gäller inte heller om skyldigheten att lämna ut uppgifterna har angetts i en författning som gör undantag från informationsplikten. Det skulle i anslutning till dessa undantag i direktivförslaget kunna hävdas

SOU l993:10 91

att allmänheten i Sverige är väl medveten om offentlighetsprincipens existens. Vidare är såväl myndigheternas skyldighet att lämna ut allmänna handlingar som anonymitetsskyddet reglerade i grundlag.

De nu berörda undantagen i direktivförslaget torde dock inte ge utrymme för att lämna ut personuppgifter enligt offentlighetsprincipen. Informationsplikten för den persondataansvarige enligt direktivförslaget syftar till att ge den enskilde kunskap om den behandling som pågår i det särskilda fallet så att han i fråga om den enskilda datasamlingen kan utöva sina rättigheter enligt dataskyddsbestämmelserna. Vidare torde de författningar som åsyftas i direktivförslaget få uppfylla vissa krav på konkretion (jfr vad som i det föregående sagts om art. 7.0).

Ett annat undantag innebär att informationsplikten inte gäller när utlämnande sker till en tredje man för att tillgodose "an equivalent right of another person and the rights and freedoms of others" (art. 12.2 och 14.1. g). Eventuellt skulle principen om anonymitetsskydd kunna upprätthållas med stöd av denna undantagsregel. I en motsvaran- de situation har nämligen enligt Europarådskonventionen tryckfriheten (freedom of the press) angetts som ett exempel på vad som innefattas i uttrycket "the rights and freedoms of others" (se art. 8.b, 9.b och punkt 58 i kommentaren). Utredningen är emellertid inte övertygad om att denna tolkning är korrekt.

Av intresse för offentlighetsprincipen är vidare artikel 6.e. Enligt denna artikel skall personuppgifter gallras när de inte längre behövs för de ändamål för vilka de behandlas. Artikeln medger dock att personuppgifter får lagras längre än vad som nu har sagts om de kan anses ha ett historiskt intresse eller om de lagras för att användas för forskning eller statistik.

Offentlighetsprincipen bygger på förutsättningen att en myndighets handlingar i rimlig utsträckning finns kvar även när de inte längre behövs i myndighetens verksamhet. Rätten till insyn i myndigheternas verksamhet är inte begränsad i tiden. I praktiken är det naturligtvis på det sättet att insynsintresset klingar av med tiden. Samtidigt förhåller det sig så att äldre allmänna handlingar i vissa fall kan ha ett särskilt stort intresse. Som exempel härpå kan nämnas att det nu, när sekre- tesstiden löpt ut, är möjligt att få fram vilka åtgärder som vidtogs av svenska myndigheter under andra världskriget.

Direktivförslaget innehåller inte något undantag från huvudregeln om gallring som gör det möjligt att bevara personuppgifter med hänsyn till offentlighetsprincipen.

Inte sällan lär ändamålet med behandlingen vara sådant att person- uppgifterna måste bevaras under lång tid. I andra fall, t ex när det gäller personuppgifter som används i och för myndigheternas ärende- hantering, lär det ofta vara så att uppgifterna inte behövs annat än under förhållandevis kort tid. En viss tid efter det att ärendet är avslutat lär myndigheten många gånger inte behöva uppgifterna längre.

92 SOU l993:10

Offentlighetsprincipen anses särskilt viktig just när det gäller myndigheternas myndighetsutövning, alltså i myndigheternas utövning av befogenheter att bestämma om förmåner, rättigheter, skyldigheter, disciplinär bestraffning och liknande. Det är givet att personuppgifter som används i nu nämnda sammanhang kan ha ett stort allmänt intresse även efter det att ett ärende är avslutat.

Inga begränsningar i offentlighetsprincipen

Offentlighetsprincipen brukar, som har sagts ovan, definieras som den grundsats enligt vilken samhällsorganens verksamhet skall ske under allmän insyn och kontroll. Den offentliga verksamheten måste ligga öppen för medborgarna och de nyhetsförmedlande organen på sådant sätt att dessa kan inhämta upplysningar i skilda angelägenheter efter eget val, oberoende av myndigheternas informationsgivning. Offentlig- hetsprincipen utgör, som har framhållits, en garanti för rättssäkerheten, effektivitet i förvaltningen och effektivitet i folkstyret. Principen om allmänna handlingars offentlighet och yttrandefriheten är inslag i offentlighetsprincipen. Meddelarfriheten, dvs. rätten för var och en att utom i vissa undantagsfall lämna uppgifter i vilket ämne som helst för publicering, kan också ses som en del av det regelverk genom vilket offentlighetsprincipen förverkligas.

Offentlighetsprincipen är omistlig för den svenska rättsordningen och för demokratin i Sverige. Genom rätten att få ut allmänna handlingar främjas ett fritt meningsutbyte och en allsidig upplysning. Handlingsoffentligheten utgör ett inslag i den medborgerliga yttrande— och informationsfriheten och är därmed en av förutsättningarna för den fria demokratiska åsiktsbildningen. Också meddelarfriheten är av central betydelse för den fria åsiktsbildningen genom massmedia. Väsentliga och viktiga samhällsintressen får inte åsidosättas genom ökad sekretess, som hindrar en i grunden sund och för ett öppet demokratiskt samhälle nödvändig kontroll och insyn.

En svensk harmonisering med EG:s regler måste enligt utredningen ske på ett sätt som är förenligt med offentlighetsprincipen. Det är viktigt att vi från svensk sida i det kommande integrationsarbetet hävdar vår tradition av betydande öppenhet i förvaltningen.

Med hänsyn till det sagda har utredningen utgått från att inga inskränkningar skall göras i offentlighetsprincipen. Den fråga som utredningen därmed har haft att överväga är på vilka sätt förslaget till datalag måste avvika från det föreslagna EG-direktivet för att offentlig- hetsprincipen skall lämnas orörd. Utredningen har därvid kommit till följande slutsatser.

När det gäller sådan behandling som innefattar utlämnande av personuppgifter med stöd av offentlighetsprincipen, har utredningen ovan redovisat den ståndpunkten att artikel 7 visserligen inte-tillåter något utlämnande. Vid en ren bokstavstolkning utesluter dock punkten

SOU 1993: 10 93

c i artikeln inte en sådan tolkning. Om i datalagen tas in en be- stämmelse av i princip samma lydelse som punkten c, blir det formellt möjligt att lämna ut uppgifter enligt offentlighetsprincipen. Någon formell avvikelse från direktivet behövs således inte här (se 11 5 första stycket 3 förslaget till datalag).

Vad som nu har sagts om artikel 7.c och 11 5 första stycket 3 förslaget till datalag gäller också artikel 8.3 och 33 5 4 förslaget till datalag. Regleringen i 32 - 35 55 om behandling av känsliga uppgifter för anställningsändamål innehåller dock inte några bestämmelser om vem som får ha tillgång till uppgifterna, vilket krävs enligt artikel 8.3 i direktivförslaget.

Däremot måste den föreskrift i datalagen som motsvarar direktivför- slagets artikel om ändamålsbestämning förses med ett undantag. Som utredningen ovan har hävdat kan inte ändamålet med en behandling vara att uppfylla offentlighetsprincipen, eftersom en myndighet inte kan anses samla in uppgifter i detta syfte. När det gäller kravet på ändamålsbestämning vid behandling av personuppgifter fordras därför ett undantag av innebörd att en myndighet får lämna ut personuppgifter enligt TF (se 9 & andra stycket). Ett sådant undantag behövs också när det gäller bestämmelsen om registerforskning i 305 andra stycket förslaget till datalag. De förutsättningar som skall föreligga för att uppgifter skall kunna lämnas ut enligt den föreskriften innefattar inte ett utlämnande med stöd av offentlighetsprincipen. Det undantag som behövs återfinns i tredje stycket i den berörda paragrafen.

För att den som vill ta del av en handling skall kunna garanteras det anonymitetsskydd som TF ger, kan vidare i datalagen inte tas in någon motsvarighet till artikel 12 om att enskilda som berörs skall underrättas om ett utlämnande. Någon sådan skyldighet föreskrivs således inte i förslaget till datalag. Att även andra skäl talar för att inte i datalagen ta in en motsvarighet till artikel 12 har berörts i avsnitt 5.3.

Vad gäller förslaget i EG—direktivet till gallring innebär det som utredningen ovan har anfört att underlaget för offentlighetsprincipen starkt beskärs. Som utredningen har anfört bygger offentlighetsprin- cipen på förutsättningen att en myndighets handlingar finns kvar även när de inte längre behövs i myndighetens verksamhet. I arkivlagen (1990:782) kommer denna tanke till uttryck på det sättet att myndig- heternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser bl.a. rätten att ta del av allmänna handlingar (se 3 & tredje stycket). För att denna princip skall kunna upprätthållas när det gäller personuppgifter måste en erinran om den göras i datalagen (se 19 & förslaget till datalag).

Dessa slutsatser bygger på direktivförslagets nuvarande lydelse.

Som tidigare sagts råder dock en oenighet inom EG om hur ett framtida direktiv skall vara utformat. Inom Kommissionen har uttalats att avsikten med direktivet inte varit att omöjliggöra för de länder som har en offentlighetsprincip att ha denna kvar. Man har bl.a. pekat på

94 SOU 1993: 10

förslagets artikel 9 enligt vilken medlemsländerna i yttrandefrihetens intresse skall undanta pressens behandling av personuppgifter från direktivets tillämpningsområde. Vidare har framförts att förslaget lämnar vida marginaler för medlemsländerna vid införandet av direktivets bestämmelser i den nationella lagstiftningen. Den gransk- ning som genomförs under det fortsatta arbetet på direktivförslaget kan, som utredningen ser det, antas ske i ljuset av den utveckling mot ökad insyn och öppenhet som är på gång inom EG.

Det är också möjligt att det förhållande som tidigare nämnts, att samtliga medlemsländer inom EG snart kommer att ha antagit nationella dataskyddslagar och anslutit sig till Europarådets dataskydd- skonvention, kan göra att behovet av att anta direktivförslaget minskar. Grundtanken i direktivförslaget är ju densamma som i dataskyddskon— ventionen, nämligen att det i alla konventionsstater skall gälla gemensamma regler till skydd för den personliga integriteten och att restriktionerna för överföring av uppgifter mellan länderna begränsas. En av de grundläggande principerna i dataskyddskonventionen är som nämnts i avsnitt 4.2. att överföring av personuppgifter som undergår automatisk databehandling mellan konventionsstater i princip skall vara fri.

Utlämnande av personuppgifter mellan myndigheter

l EG-kommissionens direktivförslag ges en uttömmande uppräkning av vilka slag av behandling av personuppgifter som är tillåtna (art. 7). All behandling - inbegripet utlänmande - som inte grundas på den enskildes samtycke, skall vara nödvändig.

Offentlighetsprincipen är tillämplig även myndigheter emellan (jfr Justitiekanslerns uttalande i beslut JK 1985 s. 104).

Den svenska sekretesslagens huvudregel, att sekretess råder mellan myndigheter, torde inte stå i strid med direktivförslaget. Problemet är det omvända, nämligen om de svenska sekretessbrytande reglerna är förenliga med direktivet.

Regler om begränsningar i sekretessen finns främst i 1 kap. 5 å och 14 kap. sekretesslagen (1980:100). 1 1 kap. 5 å finns bestämmelser om nödvändigt utlämnande av uppgifter medan 14 kap. 1 - 3 åå innehåller generella begränsningar i sekretessen mellan olika myndigheter.

Enligt 1 kap. 5 å sekretesslagen hindrar sekretessen inte att en myndighet lämnar ut uppgift till en annan myndighet eller självständig verksamhetsgren inom samma myndighet, om utlämnandet är nöd- vändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Den bestämmelse i artikel 7 i direktivförslaget, som kan ge stöd åt denna regel i sekretesslagen, är punkt c 1 den del be- stämmelsen åsyftar verksamhet som är nödvändig för att fullgöra tjänsteåligganden. Även artikel 7.e torde kunna åberopas.

SOU 1993: 10 95

Enligt 14 kap. 1 å första meningen sekretesslagen får en sekretess- belagd uppgift alltid lämnas till regeringen eller riksdagen. Detta kan vara nödvändigt i t.ex. vissa dispensärenden. Utan hinder av sekretess får enligt samma lagrum (andra meningen) en myndighet lämna ut uppgifter till en annan myndighet eller till en självständig verksamhets- gren inom samma myndighet, om uppgiftsskyldigheten följer av lag eller förordning. Exempel härpå är 3 kap. 17 å taxeringslagen (l990:324) angående rätt för andra myndigheter att ta del av själv- deklarationer eller läkares skyldighet att enligt 2 å kungörelsen (1957z632) om cancerregister anmäla upptäckta fall av sjukdomen till cancerregistret.

Första meningen i 14 kap 1 å kan — beroende på utlämnandets art grundas på antingen artikel 7.c eller 7.c i direktivförslaget. Andra meningen refererar till skyldigheter som följer av lag eller förordning och täcks därför av artikel 7.c.

Genom 14 kap. 2 å sekretesslagen möjliggörs utlämnande av sekretessbelagda uppgifter till en annan myndighet, om uppgifterna behövs där för granskning av den verksamhet där uppgiften före- kommer. Sådan granskning kan avse - rättsligt förfarande mot tjänsteman, - omprövning av myndighets beslut, - tillsyn över eller revision hos myndighet.

Sekretessbelagda uppgifter kan även lämnas i yttranden av sakkun- nig till domstol eller myndighet som bedriver förundersökning i brottmål. Sekretessen inom hälso- och sjukvården samt socialtjänsten hindrar dessutom inte att misstanke om brott anmäls till polis eller åklagare i vissa fall.

Även beträffande 14 kap. 2 å kan alternativt direktivförslagets artikel 7.c eller 7.e åberopas.

I 14 kap. 3 å sekretesslagen finns en generalklausul som tillåter utlämnande av sekretessbelagda uppgifter till en annan myndighet, om det är uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen skall skydda. Detta lagrum täcks inte av artikel 7.c i direktivförslaget eftersom lagrummets tillämpning innebär en intresseavvägning. Däremot är bestämmelsen sannolikt förenlig med artikel 7.e. Visserligen är det svenska uppenbarhets— rekvisitet och direktivförslagets nödvändighetsrekvisit till sitt innehåll olika, men innebörden av begreppen vid den praktiska rättstillämp- ningen kan antas överensstämma tämligen väl.

Sammanfattningsvis förefaller ingen konflikt att föreligga mellan, å ena sidan, de sekretessbrytande reglerna avseende utlämnande av personuppgifter mellan myndigheter och, å andra sidan, direktivför- slagets bestämmelser i artikel 7.

Förslaget till EG-direktiv innehåller en definition av "tredje man", vilken omfattar alla fysiska personer, juridiska personer och myndig- heter utom den enskilde (data subject), den persondataansvarige och

96 SOU 1993: 10

envar som behandlar personuppgifter under dennes tillsyn eller på hans uppdrag (art. 2.0.

Om ett utlämnande inte kan grundas på artikel 7, innebär direktiv- förslaget att uppgifter inte får lämnas ut till tredje man. Enligt sekretesslagen gäller i princip att sekretessbelagda uppgifter inte får röjas för enskilda och för andra myndigheter. Bestämmelserna om sekretessen myndigheterna emellan gäller också i förhållandet mellan olika verksamhetsgrenar inom samma myndighet (1 kap. 2 och 3 åå). Direktivförslaget och sekretesslagen drar således upp gränsen för obehörigt uppgiftslämnande på något olika sätt. Från integritetssyn- punkt torde emellertid denna skillnad inte ha någon nämnvärd betydelse. Med hänsyn härtill anser utredningen att direktivets definition av tredje man inte bör tas in i den svenska datalagen.

SOU 1993: 10 97

6 Lagens tillämpningsområde; per- sonregister, persondatamängd eller personuppgift?

6. 1 Gällande rätt

Med begreppet personregister förstås enligt 1 å datalagen "register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hän- föras till den som avses med uppgiften. "

l specialmotiveringen till 1 å anförde departementschefen om registerbegreppet bl.a. följande (prop. 1973:33 s 118 f):

Vad beträffar begreppet register bör därunder falla förutom register även förteckningar och andra anteckningar. Uppenbarligen avses i första hand förteckningar som omfattar ett flertal faktiska uppgifter av likartat slag. l undantagsfall bör det emellertid kunna vara fråga om endast en enda uppgift. För att ett register skall anses föreligga måste det emellertid direkt eller indirekt vara fråga om behandling från informationssynpunkt av faktiska uppgifter. Ett ADB-register kan sålunda inte anses upprättat bara genom att löpande text lagras i ett datamedium, exempelvis för att sättning skall kunna ske med hjälp av ADB-teknik. Uppenbarligen faller på grund härav åtskilli databehandling av olika slags litteratur, främst skönlitteratur, utan ör datalagens tillståndssystem. Först i den mån databehandlingen tar sikte på faktiska uppgifter i den litterära framställningen - såsom för upprättande av mnehållsregister eller liknande - föreligger ett register i datalagens mening. Vidare bör ett register anses föreligga, om de lagrade uppgifterna skall användas för att framställa exem elvis en telefonkatalog, ett adressregister eller en taxeringskalen er. Den närmare gränsdragningen när det gäller att bestämma registerbegrettzpets innebörd får göras i praxis. Aven frågan huruvi a ett eller era register skall anses föreligga får avgöras närmare i praxis. Jag ansluter mig till SCBs uppfattning att det ofta torde vara lämpligt att betrakta hela system av datafiler och till dessa hörande härlednings- och bearbetningsprogram som ett enda personregister. En förutsättning bör dock vara att systemet tekniskt och administrativt fungerar så, att det är naturligt att uppfatta det som en enhet.

Med hänsyn till vad jag nu har anfört anser jag att med person- register i datalagens mening bör avses register, förteckning eller

98 SOU 1993: 10

andra anteckningar som förs med hjälp av ADB och som innehåller personuppgifter som kan hänföras till den som avses med uppgiften.

Avgörande för frågan om datalagen över huvud taget är tillämplig på ett register är vidare huruvida registret förs med hjälp av ADB eller inte. Register som förs med hjälp av annan teknik än ADB faller i dag utanför datalagens tillämpningsområde.

Med begreppet personuppgift avses upplysning som avser enskild person. Sådana personuppgifter kan vara av många olika slag. Upplysningar som avser en persons namn, personnummer, födelseda— tum, nationalitet, utbildning och familje- och anställningsförhållanden är självklart att anse som sådana personuppgifter. Även upplysningar som är av mindre personlig natur kan emellertid anses utgöra personuppgift. Hit bör enligt lagmotiven höra exempelvis upplysningar om en persons bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav samt upplysningar som i övrigt rör en persons ekonomiska ställning.

En personuppgift kan hänföras till en viss person antingen direkt genom själva personuppgiften eller med hjälp av särskild identitetsupp- gift som också ingår i registret. En identitetsuppgift behöver dock inte var entydig och unik eller sådan att den är mera allmänt bekant. Även register som inte innehåller andra identitetsuppgifter än sådana som gör det möjligt enbart för den invigde att förstå vilken person som en upplysning avser omfattas av datalagens bestämmelser.

Om en person kan identifieras genom anställningsnummer, med- lemsnummer, kundnummer eller liknande är registret att anse som ett personregister. Detsamma gäller statistiska uppgifter där beteckningar och dylikt som också återfinns på dokument gör det möjligt att återknyta uppgifterna till en viss person.

Ur praxis kan hämtas följande fall. Ett fall som år 1975 prövades av regeringen gällde ett register som avsåg att kontrollera telefondebiteringen på ett företag genom att uppgift om samtal som fördes på vissa telefonanknytningar registrera— des. Eftersom uppgifterna inte med säkerhet kunde knytas till en viss anställd person, då varje telefonanknytning disponerades av flera personer, ansågs dock inte ett personregister föreligga.

Ett spaningsregister som Generaltullstyrelsen förde skulle enbart innehålla olika uppgifter om transportmedel (bilar, fartyg etc.) såsom transportmedelskod, fartygshamn, registreringsnamn, fabrikat, färg, årsmodell och särskilda kännetecken. Registret ansågs likväl vara personregister, eftersom ändamålet med registreringen var att söka upplysning om enskild person och det dessutom till exempelvis varje motorfordon fanns en ägare anknuten.

Av betydelse för personregisterbegreppet är också ändamålet med ett register. I ett tillståndsärende skall datainspektionen enligt 5 å datalagen meddela villkor om ändamålet med registret. Enligt de

SOU 1993: 10 99

allmänna bestämmelserna i 7 å datalagen skall vidare ett personregister föras för ett bestämt ändamål (se också 7 aå om innehållet i den förteckning som en registeransvarig skall ha över sina personregister).

6.2 Europarådets konvention

[ Europarådskonventionen (se avsnitt 4.2) definieras (art. 2) perso— nuppgift, automatiskt dataregister och automatisk behandling på följande sätt:

Personuppgift (personal data): varje information som är hänförlig till en identifierad eller identifierbar individ (datasubjekt/datasubject).

Automatiskt dataregister (automated data file): varje mängd (set) uppgifter (data) som är föremål för automatisk behandling.

Automatisk behandling omfattar följande operationer, om de helt eller delvis utförs på automatisk väg (by automated means): lagring av data, utförandet av logiska och/eller aritmetiska operationer med dessa data samt ändring, strykning, återhämtning eller spridning av dem (alteration, erasure, retrieval or dissemination).

6.3 Förslaget till EG-direktiv

I det första utkastet till EG-direktiv används följande definition (art. 2) av personregister (personal data file): varje mängd (set) av person- uppgifter, oavsett om de är centraliserade eller geografiskt utspridda, som är föremål för automatisk behandling eller som, även om de inte är föremål för automatisk behandling, är strukturerade och tillgängliga i en organiserad samling i enlighet med vissa särskilda kriterier, på sådant sätt att användningen eller kombinationen av dem underlättas (...structured and accessible in an organized collection according to specific criteria in such a way as to facilitate their use or com- bination).

Direktivförslaget i den andra versionen är tillämpligt på automatisk behandling av personuppgifter och sådan manuell behandling av personuppgifter som innebär att uppgifterna är eller avses bli ordnade i ett register, dvs. så att sökning av personuppgifter underlättas (art. 3.1).

Med personuppgift (personal data) avses varje information som är hänförlig till en identifierad eller identifierbar fysisk person (data- subjekt/data subject); en identifierbar person är någon som kan identifieras, direkt eller indirekt, särskilt genom hänvisning till ett identifikationsnummer eller genom en eller flera faktorer som är utmärkande för hans fysiska, psykologiska, mentala, ekonomiska, kulturella eller sociala identitet (art. 2.a första stycket).

100 SOU 1993:10

Uppgifter som presenterats i statistisk form som är av sådan karaktär att de berörda personerna inte längre rimligen kan identifie- ras, räknas inte som personuppgifter (art. 2.a andra stycket).

Enligt kommentaren till direktivförslaget kan en person identifieras direkt genom namn eller indirekt genom ett telefonnummer, bil- registreringsnummer, socialförsäkringsnummer, passnummer eller genom en kombination av utmärkande kriterier som medger att en person känns igen genom att den grupp han tillhör begränsas. Det kan röra sig om exempelvis ålder, yrke eller bostadsort. Definitionen täcker också uppgifter som gäller utseende, röst, fingeravtryck eller genetiska kännetecken.

Någon definition av begreppet avidentifierade uppgifter (depersona- lized data) finns inte i direktivförslaget. Detta innebär enligt kommen— taren att frågan om uppgifter är avidentifierade inte är avhängig av kostnaden för att bestämma den enskildes identitet. Det har emellertid, som ovan angivits, ansetts nödvändigt att, i de speciella fall när uppgifter sammanställts i form av statistik, ange att uppgifterna inte kan betraktas som personuppgifter om de enskilda inte längre rimligen kan identifieras.

Med behandling (processing of personal data, processing) förstås varje åtgärd eller mängd (se!) av åtgärder som vidtas med personupp- gifter, oavsett om åtgärden utförs automatiskt eller inte. Sådana åtgärder är insamling, inmatning, strukturering, lagring, bearbetning eller ändring, återvinning (retrieval), sökning (consultation), an- vändning, röjande genom överföring, spridning eller på annat sätt göra tillgängligt, innehållande, radering eller förstörande (art. 2.b).

] kommentaren anges att en vid definition valts för att individer skall tillförsäkras ett skydd. Definitionen täcket därför allt från insamling till utradering av uppgifter.

6.4 Utredningens tidigare ställningstaganden Allmänna utgångspunkter Register, ADB, ändamål och personuppgift

Det nuvarande personregisterbegreppet innefattar tre rekvisit som var för sig är nödvändiga för en avgränsning av begreppet, nämligen register, automatisk databehandling och personuppgift. Härtill kommer att varje register skall föras för ett bestämt ändamål.

Begreppet register innefattar ett krav på att de uppgifter som avses är ordnade i en förteckning eller på annat sätt strukturerade. Vissa av de s.k. applikationsprogram som förekommer vid datoranvändning

SOU 1993:10 101

avser just registerhantering, dvs. gör det möjligt för användaren att registrera, söka, sortera och skriva ut framtagen information.

I fråga om begreppet automatisk databehandling (ADB) har utred- ningen i ett tidigare betänkande funnit att det med hänsyn till den tekniska utvecklingen är svårt att finna en klar och entydig definition av begreppet. Å andra sidan har utredningen funnit att de tekniska begreppsförhållandena inte i sig behöver leda till tillämpningssvårig- heter, under förutsättning att personregisterbegreppet som sådant kan ges en tillfredsställande utformning.

Möjligheterna att på automatisk väg lagra data (uppgifter), liksom att utföra logiska och/eller aritmetiska operationer med dessa data samt ändra, stryka, återfinna eller sprida dem, ökar ständigt genom den informationsteknologiska utveckling som pågår.

Varje försök att avgränsa ett rättsligt begrepp som personregister med hänsyn till förekomsten av tekniska rekvisit är dömt att misslyckas redan med hänsyn till den utvecklingstakt som informationsteknologin nu uppvisar.

Ändamålet är centralt för personregisterbegreppet. Ändamålet med ett register, som gäller upplysning eller uppgift som avser enskild person (personuppgift), anger på olika sätt dess tillåtna användnings— område enligt nuvarande bestämmelser (se bl.a. 3, 5, 7 och 7 a åå datalagen).

I sin tidigare behandling av personregisterbegreppet har utredningen framför allt berört två aspekter; dels att begreppet bör göras oberoende av förefintliga tekniska registerbegrepp, dels att ändamålet med informationshanteringen bör vara av avgörande betydelse.

Utredningens hittillsvarande överväganden har kritiserats av flera remissinstanser. Kritiken har huvudsakligen avsett att utredningens resonemang varit otydligt eller motsägelsefullt och att analysen inte varit nog grundlig. Särskilt Juridiska fakultetsnämnden vid Stockholms universitet har i sitt yttrande uppehållit sig vid personregisterbegreppet.

Enighet förefaller att råda i frågan om att det rent ADB—tekniska registerbegreppet (att ett register, file, består av en mängd lagrade sammanhängande poster som behandlas som en enhet i datorn) inte ensamt bör vara styrande. Som påpekas i bl.a. yttrandet från Juridiska fakultetsnämnden vid Stockholms universitet kan dock inte bortses från den betydelse som uppgiftssamlingars uppbyggnad och struktur i en logisk dataorganisation har. Datasamlingar som inte låter sig systema— tiskt utnyttjas och bearbetas för att återfinna eller på andra sätt ta fram personanknuten information bör således helt falla utanför begreppet personregister.

På motsvarande sätt bör inte informationshantering omfattas som inte till någon del är föremål för automatisk, dvs. icke manuell, databehandling.

Den automatiska databehandlingen innebär att en viss datamängd kan struktureras och sammanställas så att register eller förteckning i

102 SOU 1993:10

egentlig mening uppstår. ADB-begreppet med sitt krav på att lagrade uppgifter på automatisk väg kan göras till föremål för vissa logiska och/eller aritmetiska operationer innefattar således i sig ett slags bestämning av begreppet register.

Vad som skiljer hanteringen av en viss informationsmängd med ADB från en manuell sammanställning och strukturering av uppgifter i register eller andra förteckningar är givetvis de utvidgade möjlig- heterna till lagring, bearbetning, sammanställning och spridning av en datamängd som tekniken medger. Som Riksdagens ombudsmän påpekat är det genom ADB-tekniken som sådan som riskerna för integri- tetskränkningar dramatiskt ökar. Riskerna med en ADB-hantering av personuppgifter finns således, oberoende av huruvida ett register i traditionell betydelse föreligger.

Den tekniska utvecklingen och ADB-begreppet, sådant det vanligen förstås, kan således sägas ha gjort begreppet register föråldrat. En fortsatt användning av begreppet när det gäller integritetsskydd på ADB-området kan snarare bidra till att oklarhet uppstår, bl.a. därigenom att det, som nämnts, kan förväxlas med ett rent ADB- tekniskt registerbegrepp.

Mot denna bakgrund föreslår utredningen att begreppet person- register helt utmönstras och ersätts med persondatamängd. Termen persondatamängd, dvs. en samling personuppgifter, förutsätter inte att uppgifterna är ordnade som i ett register eller förteckning. Det kan t.ex. vara fråga om personuppgifter i en löpande text. Återkopplingen till en viss logisk uppbyggnad av och struktur på uppgifterna finns, som redan framgått, i kravet på att databehandlingen skall vara automatisk, dvs. ske med ADB—teknik. Resonemanget förutsätter givetvis att datalagen även för framtiden bara skall avse användning av sådan teknik. Den slutsats som i denna del redovisas i det första betänkandet har utredningen inte funnit skäl att revidera.

Skyddsföremålet kan emellertid inte avse en obestämd mängd information som innefattar personuppgifter. Den nödvändiga av- gränsningen bör göras med hänsyn till det ändamål som uppgifterna hänför sig till.

Begreppet ändamål är grundläggande för integritetsskyddet enligt nuvarande ordning. I utredningens direktiv anges också att det kan behövas förtydliganden eller kompletteringar för att ge detta centrala begrepp en mera konkret betydelse.

Det bör därför anges att de uppgifter som skyddas enligt datalagen är en datamängd bestående av en samling personuppgifter som hänförs till ett visst ändamål. Det innebär att om ett ändamål ändras kan en ny persondatamängd i datalagens mening föreligga, även om informatio- nen är densamma. Ändamålsangivning bör ske med tillräcklig precision. Det är inte tillräckligt att, som utredningen tidigare fram- hållit, enbart hänvisa till exempelvis "samhällsplanering" eller "forskning" för att ett tydligt angivet ändamål skall anses föreligga.

SOU 1993:10 103

I fråga om begreppet personuppgift, som nu anges som upplysning som avser enskild person, bör slutligen den ändringen göras, att be- stämningen bättre knyter an till den definition som ges i Europarådets dataskyddskonvention (jfr även utkastet till EG-direktiv på denna punkt):

Personuppgift är varje upplysning som ensam eller tillsammans med andra upplysningar är hänförlig till en identifierad eller identifierbar enskild person.

Härigenom anges uttryckligen att det skall vara frågan om en an- knytning till en viss bestämd person. Liksom f.n. bör inte juridiska personer omfattas.

Vad som har sagts i det föregående innebär att, förutom begreppet personuppgift, begreppen ADB och ändamål är väsentliga för att avgränsa personregisterbegreppet, dvs. begreppet persondatamängd med den föreslagna terminologin. Emellertid är det inte tillräckligt att bestämma dessa rekvisit. Den informationstekniska utvecklingen leder till att ställning också måste tas till om redan en teknisk möjlighet att strukturera en viss datamängd skall vara nog för att en persondata— mängd i nu angiven mening skall anses föreligga eller om begreppet skall kvalificeras genom att användarens syfte med en viss informati- onshantering också beaktas.

En avgränsning med hänsyn till syftet att utnyttja de tekniska möjligheterna

Av grundläggande betydelse för en avgränsning av begreppet person- register, eller med utredningens föreslagna terminologi "persondata— mängd", är som nämnts huruvida begreppet skall omfatta alla de möjligheter till framtagning av personuppgifter som ett visst tekniskt systern erbjuder eller om begränsningar skall föreskrivas i denna del.

Utredningen har i sina tidigare överväganden hittills närmast utgått från att enbart den teoretiska och tekniska möjligheten inte bör vara tillräcklig för att ett personregister (persondatamängd) skall anses föreligga, utan att i linje med nuvarande praxis syftet med en in- formationshantering som kopplas till ADB-teknik och därmed användningen av visst system bör kvalificera begreppet.

När utredningen betonat betydelsen av ändamålet med informations- hanteringen har avsetts just syftet att utnyttja de tekniska möjligheterna, nämligen att ur en datasamling systematiskt söka, ta ut eller samman- ställa personuppgifter, dvs. uppgifter som kan hänföras till en enskild person, oberoende av på vilket tekniskt sätt dessa data är lagrade. De nuvarande termerna "register, förteckningar och andra anteckningar" i lagtexten har därvid som tidigare berörts tolkats som begränsade till en viss användning av ADB-teknik.

104 SOU l993:10

Det särskilda ändamål som persondatamängden kan ha i en viss verksamhet, dvs. vilken närmare användning den registeransvarige åsyftar med personuppgifterna, får sedan som angetts i föregående avsnitt betydelse för avgränsningen i fråga om olika personregister, t.ex. om en ändring av ändamålet i ett hänseende är sådan att exempelvis ett nytt register skall anses ha uppkommit. Denna bedömning är således möjlig först sedan den grundläggande pröv- ningen gjorts av huruvida en elektronisk eller annan automatisk behandling av information skall anses vara sådan, att persondatamängd över huvud taget kan anses föreligga.

Med denna utgångspunkt skulle, som framgått, personuppgifter som kunde tas fram genom sökning i ett fritextsystem i de vanliga ordbe- handlingsprogrammen i exempelvis persondatorer omfattas av person— datamängden, förutsatt att den registeransvarige avsåg att använda söksystemet för just detta ändamål. Vid bedömningen av huruvida ett sådant syfte föreligger måste flera faktorer beaktas, såsom vem som är registeransvarig, verksamhetens karaktär o.d. Blotta förekomsten av personuppgifter, även av känsligt slag, i ett automatiskt system bör således inte anses tillräckligt för att begreppet persondatamängd skall anses föreligga.

Nackdelen med att föra in syftet med en viss informationshantering för att kvalificera begreppet är, förutom den sammanblandning som kan ske med ändamålsbegreppet, framför allt att begränsningen blir beroende av en bedömning av användarens avsikter. Detta leder till att gränsdragnings- och bevisfrågor kan få alltför stor betydelse och för- svåra den praktiska tillämpningen. Det är inte tillräckligt att konstatera att ett visst informationssystem som används medger strukturering av personuppgifter, utan den ansvariges uppgivna och faktiska användning måste närmare undersökas. Syftet har i praxis fått bl.a. den betydelsen att de personuppgifter som lagras vid exempelvis framställning av tryckt text inte anses vara personregister, så länge avsikten är att de inte skall kunna återsökas, oberoende av om återsökning är möjlig eller inte.

De tekniska möjligheterna att ta fram och göra sammanställningar över personuppgifter är i det nuvarande utvecklingsperspektivet närmast obegränsade.

Ett exempel kan illustrera detta. Ett företag har ett vanligt kontorsinformationssystem som i ett lokalt nätverk innehåller olika slag av funktioner såsom ordbehandling, elektronisk post, registerprogram och system med s.k. fri textsökning. Det lokala nätverket är i sin tur uppkopplingsbart till andra system inom den koncern som företaget tillhör, såväl inom som utom landets gränser. Tillgång finns också till ett antal inhemska och utländska databaser. För en användare av systemet är det möjligt att ta fram och skapa sammanställningar av olika personuppgifter. Kombinationsmöj— ligheterna är därvid nära nog oändliga.

SOU 1993:10 105

Med hänsyn till den informationsmängd - och därmed de integritets- risker - som föreligger kan användarens eller användarnas lämnade avsiktsförklaring att informationen inte skall användas för att ta fram en viss persondatamängd te sig som ett bräckligt skydd mot in— tegritetsintrång. Motsvarande synpunkter gör sig gällande i fråga om de tekniskt avancerade men lätthanterliga elektroniska "antecknings— böcker" som gör det möjligt för envar att lagra och sammanställa stora mängder personuppgifter.

En bestämning med hänsyn till enbart teknisk möjlighet

Ett alternativ till bestämning av personregisterbegreppet (persondata- mängd) på det sätt som angetts i föregående avsnitt skulle vara att inte begränsa begreppet till fall, där personuppgifter genom ADB-teknik görs tillgängliga genom systematiska uttag, sökningar eller samman— ställningar eller avses bli tillgängliga på det sättet, utan låta enbart förekomsten av de nu nämnda tekniska möjligheterna vara tillräcklig. Fördelen med en sådan ordning skulle vara att behovet att undersöka användningen eller syftet med användningen av vissa informationssys- tem inte uppstår. Det skulle räcka att konstatera att ett informationstek- niskt system fanns som i sig gjorde strukturering av personuppgifter möjlig, oberoende av om detta var åsyftat eller inte.

Vad som enligt utredningens mening med betydande styrka talar för att låta den tekniska möjligheten enbart vara utgångspunkt för en begreppsbestämning är den tekniska utvecklingen i sig och antagandet att användning och teknisk möjlighet i många fall sammanfaller. Om det är möjligt att genom automatisk behandling göra personuppgifter tillgängliga i vissa informationssystem finns det, med hänsyn till de nuvarande och framtida informationssystemens utbredning, en beaktansvärd risk att systematiska uttag, sökningar eller samman- ställningar av personuppgifter också verkligen sker, även om systemen är tänkta för andra ändamål. I exemplet med kontorsinformations- systemet i föregående avsnitt kan det antas att det - i vart fall över tiden - förekommer att sammanställningar av personuppgifter görs, utan att det från början varit avsett.

Om möjligheten att göra personuppgifter till föremål för automatisk databehandling skall anses tillräcklig för att ett personregister (persondatamängd) skall föreligga, begränsas visserligen tillämpnings- problemen när det gäller att bestämma olika användares avsikter med informationshantering. Å andra sidan måste en yttersta gräns också anges för den tekniska möjligheten som sådan. Det måste föreligga en reell möjlighet att ta fram personuppgifter på automatisk väg, varvid ett givet informationssystem betraktas som en helhet.

Även i ett kontorsinformationssystem som används exempelvis för personaladministrativa ändamål finns som regel funktioner som vida överstiger den vanliga användningen. I många fall finns dock kanske

106 SOU l993:10

inte kunskap hos dem som rutinmässigt använder systemet om var gränserna för datorprogrammen och systemets funktioner går.

När de tekniska möjligheterna i nu angiven mening bedöms bör utgångspunkten emellertid vara vad man i ett visst system enligt tillgängliga manualer eller annan information kan utföra utan att för den skull utnyttja någon extraordinär expertis. Det innebär således en mera objektiv måttstock som inte enbart utgår från de resurser som kan finnas för tillfället hos en användare. Som regel bör det således vara så, att okunnighet i sig inte behöver påverka bedömningen av vad som skall anses omfatta den tekniska möjligheten och därmed avgräns- ningen av begreppet persondatamängd.

Frågan om en användares kunskap och förutsättningar i ett visst fall får däremot en särskild betydelse vid en straffrättslig bedömning av uppsåt och vårdslöshet. Det innebär att okunnighet om de tekniska möjligheterna hos användaren kan medföra att straffrättsligt ansvar inte bör komma ifråga.

Mot bakgrund av vad som nu sagts om hur teknisk möjlighet bör bedömas följer vidare att om ett datoriserat informationssystem, exempelvis ett enkelt ordbehandlingsprogram, saknar sökfunktion men kan tillföras sådan, föreligger den tekniska möjligheten att ta fram personuppgifter först sedan förutsättningarna att söka på personuppgift i praktiken föreligger. Huruvida det skulle vara tekniskt och ekono— miskt enkelt att tillföra funktionen bör i princip inte tillmätas be— tydelse. Motsvarande bör gälla möjligheten att ta fram information, t.ex. genom kommunikation med databaser eller bearbetning av optiskt lagrade media. Först sedan kommunikation eller bearbetning verkligen går att genomföra bör teknisk möjlighet i nu angivet hänseende anses föreligga. Förhållandena bör således vara möjliga att fysiskt och objektivt konstatera för exempelvis tillsynsmyndigheten. Omfattningen av bearbetningsmöjligheterna är emellertid utan betydelse. En viss persondatamängd består av alla de bearbetningar som är tekniskt möjliga att genomföra vid en given tidpunkt och som faller inom ramen för ett visst givet ändamål.

Sammantaget föreslår utredningen att föremålet för reglering av ADB-information och begreppet persondatamängd i en framtida datalag ges följande definition.

En persondatamängd är en samling personuppgifter som hänförs till ett visst ändamål och som kan bli tillgängliga genom systematiska uttag, sökningar eller sammanställningar vid en automatisk databehand- ling.

Som persondatamängd anses inte personuppgifter som ingår i sådana uppgiftssamlingar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial.

SOU 1993: 10 107

6 . 5 Remissutfallet

De remissinstanser som har tagit upp frågan har inte haft något att erinra mot utredningens förslag till ny definition av personuppgift.

De remissinstanser som har tagit ställning till spörsmålet om en legaldefinition av ADB-begreppet bedömer i allmänhet att en sådan definition knappast är möjlig på grund av den tekniska utvecklingen och anser att en definition av ADB i lagtext bör kunna undvaras.

I ett antal yttranden, bl a från Riksdagens ombudsmän, Hovrätten över Skåne och Blekinge, Kammarrätten i Stockholm och Riksåklaga- ren godtas utredningens tanke att de tekniska möjligheterna och inte databehandlarens syfte med behandlingen skall vara avgörande för datalagens tillämpning. I dessa yttranden betonas dock nästan genom- gående att detta kommer att leda till ett väsentligt utvidgat tillämp- ningsområde för en framtida datalagstiftning och att vissa typer av datasamlingar måste tas undan. Andra remissinstanser framhåller att olägenheterna med det kraftigt utvidgade tillämpningsområdet är sådana att man inte bör frångå det nuvarande synsättet att det av- görande är den faktiska användningen eller syftet med användningen av personuppgifterna. Bland dessa senare remissinstanser finns Svenska Kommunförbundet, Statskontoret, Rikspolisstyrelsen och Riksför- säkringsverket. Man pekar framför allt på att löpande text som lagras i en vanlig persondator och som innehåller personnamn skulle omfattas av lagstiftningen. I och med att sådan text inryms skulle reglerna om anmälningsplikt och avgiftsskyldighet, registrering, förtecknings- och rättelseskyldighet m.m. bli tilllämpliga.

Hovrätten över Skåne och Blekinge anser att utredningens be- stämning av begreppet persondatamängd skapar ett logiskt problem när det med utgångspunkt i ett visst ändamål gäller att dra gränser mellan olika datamängder, samtidigt som kravet på att bearbetbarheten skall vara avsedd utmönstras. Hovrätten ställer frågan hur en icke avsedd sammanställning av personuppgifter kan hänföras till ett visst ändamål. Liknande synpunkter förs fram av Riksdagens ombudsmän och Riksåklagaren. Juridiska fakultetsstyrelsens forskningsnämnd vid Lunds universitet uttalar att utredningens bestämning av begreppet persondata- mängd strider mot det etablerade mängdbegreppet.

Termen persondatamängd har fått ett övervägande negativt mottagande. Den anses språkligt mindre tilltalande, otydlig och svårtolkad. Tre remissinstanser Datainspektionen, Juridiska fakultets- styrelsens forskningsnämnd vid Lunds universitet och Juridiska fakultetsnämnden vid Stockholms universitet förordar en undersökning av om regleringen kan ske med utgångspunkt från begreppet person—

uppgift.

108 SOU l993:10

6.6 Överväganden

Såväl det nuvarande personregisterbegreppet som den av utredningen föreslagna termen persondatamängd innefattar tre rekvisit, nämligen personuppgift, automatisk databehandling och anknytningen till ett ändamål. l begreppet register ligger dessutom ett krav på att upp- gifterna är ordnade i en förteckning eller på annat sätt strukturerade. Termen persondatamängd förutsätter inte att uppgifterna är ordnade som i ett register eller förteckning. Återkopplingen till en viss logisk uppbyggnad av och struktur på uppgifterna finns i kravet på att databehandlingen skall vara automatisk.

Utredningen har i sina tidigare ställningstaganden förordat att definitionen av begreppet personuppgift bättre anpassas till den internationella regleringen. Remissinstanserna har inte haft några invändningar och utredningen vidhåller sitt förslag.

När det sedan gäller rekvisitet automatisk databehandling har utredningen (avsnitt 5.2) kommit fram till den slutsatsen att personda- talagstiftningen primärt bör inriktas på automatisk databehandling med hänsyn till de särskilda risker för den personliga integriteten som denna innebär. I viss omfattning bör emellertid, liksom fallet är i dag, manuella uppgifter omfattas av lagens skyddsbestämmelser. Ut- redningen har berört denna fråga i sina tidigare ställningstaganden. Diskussionen gällde då i vilken omfattning manuella uppgifter borde omfattas av begreppet persondatamängd. Utredningen anförde då bl.a. följande.

En grundförutsättning för frågan i vilken utsträckning som manuella uppgifter bör ingå i begreppet persondatamängd bör vara att den registeransvarige har möjlighet att använda och kontrollera såväl de manuella uppgifterna som ADB-materialet.

Vid bedömning av i vilken utsträckning manuella uppgifter bör omfattas av begreppet persondatamängd kan fyra särskilda fall urskiljas: I Manuellt insamlade uppgifter som skall göras till föremål för ADB. I Dokumentation, dvs. närmast upptagning för ADB i läsbar form. ! Manuellt förda sökord eller index till ett ADB-lagrat material. ! Manuella uppgifter till vilka ADB-förda sökord eller index finns.

De två första fallen bör liksom f.n. omfattas. Tillämpningen av dessa fall reser som regel inte heller några svårigheter.

De manuella uppgifterna i det tredje fallet, dvs. att orientering i och framtagning av ett ADB-lagrat material sker genom ett manuellt fört index, anses i praxis omfattas av det nuvarande personregisterbegrep- pet. Tyngdpunkten ligger i det fallet i ADB-materialet och sambandet med de manuella uppgifterna är så påtagligt, att uppgifterna också bör bedömas som en helhet. Till denna kategori hör naturligtvis bl.a. fall

SOU 1993:10 109

där personuppgifterna blir tillgängliga först genom användning av en manuellt förd kod eller krypteringsnyckel.

Det fjärde fallet slutligen innebär vissa gränsdragningssvårigheter. Huvuddelen av informationen är i det fallet manuellt förd och ADB- uppgiften är närmast av index- eller sökordskaraktär. Sambandet mellan informationsdelarna är inte lika påtagligt och entydigt som i det föregående fallet, där den manuella informationen endast har till syfte att göra ADB-materialet tillgängligt med de vidare bearbetningsmöjlig- heter på automatisk väg som detta i sin tur innebär.

En samling manuella uppgifter, till vilka är kopplat ett ADB-fört index eller ADB-förda sökord, innebär att bearbetningsmöjligheterna är färre och att den automatiska databehandlingen är mycket be- gränsad. Som framgått är det huvudsakligen ADB-teknikens möjlig- heter som motiverar integritetsskyddet på området.

Visserligen kan de manuella uppgifterna vara sådana, att det ur strikt integritetssynvinkel finns skäl som talar för att de bör omfattas av persondatamängden. Det är emellertid då närmast fråga om samma skäl som talar för att även manuellt material skall omfattas av regleringen i datalagen. Med hänsyn till den svaga ADB-anknytningen bör alltså uppgifterna anses falla utanför begreppet persondatamängd.

De remissinstanser som har haft synpunkter på avgränsningen mot manuell bearbetning har i allmänhet godtagit utredningens förslag.

Utredningen har i sina fortsatta överväganden inte kommit fram till någon annan ståndpunkt än som tidigare har redovisats. Skyddsreglerna i datalagen bör alltså omfatta de tre första fallen men inte det fjärde. Lagtekniskt kan detta ske på så sätt att manuell insamling av person- uppgifter jämställs med automatisk databehandling, under förutsättning att de manuellt insamlade uppgifterna skall göras till föremål för ADB. I fråga om dokumentation av bearbetningar samt manuellt förda sökord eller index till ett ADB-lagrat material bör datalagen anges vara tillämplig även på sådana manuella uppgifter.

Frågan om avgränsningen mot manuell bearbetning behandlar utredningen vidare i specialmotiveringen i anslutning till 3 och 4 åå.

Som utredningen tidigare har konstaterat torde det inte vara meningsfullt att söka närmare definiera begreppet ADB. Detta bör dock inte föranleda några nämnvärda olägenheter.

Enligt utredningens mening talar övervägande skäl för att datalagens tillämpningsområde bestäms med hänsyn till de tekniska möjligheterna att genom ADB-teknik göra personuppgifter tillgängliga. Vad som framför allt talar för en sådan lösning är, förutom den tekniska utvecklingen, att det blir möjligt att göra en mera objektiv bedömning och att rättssäkerheten därmed ökar. Utredningen har t.o.m. gått längre när i den föreslagna lagtexten - och i överensstämmelse med motsvarande reglering i det andra utkastet till EG-direktiv - anges att datalagen är tillämplig på varje åtgärd som vidtas med personuppgifter genom ADB. Skillnaden är dock närmast av teoretisk natur. 1

110 SOU 1993:10

praktiken torde varje informationssystem numera innefatta en möjlighet att göra personuppgifter tillgängliga.

Samtidigt står det klart att den föreslagna ordningen får långtgående konsekvenser och att vissa typer av personuppgiftsbehandling måste tas undan. Vad utredningen då tänker på är sådan behandling som inte innebär någon nämnvärd risk från intregritetsskyddssynpunkt. Utredningen har i sina tidigare ställningstaganden föreslagit undantag från lagens tillämpningsområde i fråga om sådan behandling som sker uteslutande för personligt bruk eller som avser personuppgifter som ingår i sådana uppgiftssamlingar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial. Därutöver bör undantag göras för behandling av personuppgifter som ingår i löpande text. De nu angivna undantagen, som bör kunna anges med erforderlig tydlighet i lagtext, behandlas närmare i specialmotiveringen i anslutning till 6 och 7 åå förslaget till datalag.

Avgränsningen av en persondatamängd har i utredningens tidigare ställningstaganden skett på det sättet att personuppgifter som hänförs till ett visst ändamål utgör en persondatamängd. Med hänsyn till den remisskritik som har kommit fram på denna punkt bör avgränsningen i stället göras på det sättet att personuppgifter får behandlas endast för ett bestämt och uttryckligt ändamål. Oavsett vilka sammanställningar som är tekniskt möjliga i ett visst fall får alltså de aktuella personupp- gifterna bara behandlas för det eller de ändamål som i det enskilda fallet har bestämts av den som ansvarar för personuppgifterna.

De tre rekvisit vars utformning nu har diskuterats innefattas enligt nuvarande datalag och utredningens tidigare förslag i ett särskilt begrepp, personregister resp. persondatamängd. Personregisterbegrep- pet framstår som föråldrat. Det är t.ex. främmande för vanligt språkbruk att använda registerbegreppet på text som har lagrats på ADB-medium i syfte att t.ex. kunna söka fram personuppgifter. Tekniken har utvecklats på ett sådant sätt att behandling av personupp- gifter måste kunna regleras från integritetssynpunkt oberoende av om de finns lagrade i register eller inte. Med hänsyn till vad som nu har sagts framstår persondatamängd som ett bättre begrepp att arbeta med. Den nya begreppet har emellertid fått ett svalt mottagande av remissin- stanserna och skall det användas måste under alla förhållanden ändamålsanknytningen få en annan utformning.

Man kan dock fråga sig om det överhuvudtaget behövs ett samlings- begrepp för en viss mängd personuppgifter. Några remissinstanser har pekat på möjligheten att direkt reglera användningen av personuppgif- ter. Denna möjlighet har också diskuterats under utredningens tidigare arbete men diskussionen fullföljdes inte med hänsyn till den utformning som den första versionen av förslaget till EG—direktiv har på denna punkt. Frågan är emellertid om denna invändning var hållbar. Direktiv som beslutas av behöriga EG—organ är bindande i fråga om det resultat som skall uppnås men det överlämnas åt medlemsländerna att välja

SOU 1993:10 lll

form och metod för detta. Det torde alltså vara möjligt att i den svenska datalagen arbeta med en i viss mån avvikande terminologi i förhållande till EG-direktivet utan att för den skull den svenska regleringen skall anses strida mot direktivet. Det kan också konstateras att i den andra versionen av direktivförslaget direktivet anges vara tillämpligt på bl.a. automatisk behandling av personuppgifter. Dessutom framstår det som både enklare och naturligare att direkt gå på begreppet personuppgift när gränserna för behandling av personan- knuten information skall dras upp.

I enlighet med det anförda regleras i utredningens förslag till ny datalag vilken hantering av personuppgifter som får förekomma. Den grundläggande bestämmelsen finns i 9 å som säger att personuppgifter får behandlas endast för ett bestämt ändamål. Därutöver finns olika skyddsregler för behandlingen som alla anknyter till personuppgiftsbe- greppet. Även sådana centrala inslag 1datalagstiftningen som rätten till insyn, rätten att få felaktiga och missvisande uppgifter korrigerade m.m. har utan svårighet kunnat regleras med utgångspunkt från perso- nuppgiftsbegreppet.

I det föregående har berörts hur utredningens förslag förhåller sig till förslaget till EG-direktiv.

' I I lt! 1" aw. iBEE-'i

ammnmammmm nm närmat—Mam ': muumhnnuw- Mm mma bam fm anslutni- mum ara-amma man. gumman-tba! 111.111th- ammunmdmrtwåwdmluhimm mamma-binda 53th .11 ltåu'mt'ilbllhå' än nu .Mac-"Mm Mamman. Mammuth är Mina mm 11an! matrim-mmm m- mwmmmmlwmmmmm' 44.411: mk. . *-:j-.,:u-1ul.' nr- lli. W-HFWWIW m.m m.mmmiwimtmwmw

t-l' nr rim .m'm' . mapen-w Jhulu' .., WMS: anim-Hmm: - .. . . ., mmm IW Nun pil d'! lil-7.5 IEI Junhui”? i"; ' t. ",'t' '— ' rl" Ibn-t' | -t' ".b. unr- 'ekIlgl riv—linn,! _|= -' - ill.,-| milda-MLM?- 1 .-1.' unt-itu Mjilbrlct' '- .1.r.:111.'...,uauu :tllu fl|"-l1',l_l.|g'_llv '_'.l'wru- bm "IJLL-Jiltl; it.: det eller !!- iudautbl -._._.1 : ur.-' .ulllzll-li. it... I' 1' , 'ta-i.u i. a_k-_q "ul-|_- ._'.-'.'|.'|1 :. 'är 5qp:.r_.1wjf.fi. nu du in: 11:11. it...-i! v.t.-l mulm; u.- uli tunn-_ .m- hmeidlm enlig

li-.'.='1' duu-_a u:.I- ruttnande tid-am liv 'I»: 1 el- "lli'ih'l' h !....ul.1'1"'ultg15ld'-Hl*_1|l wwwins-11511 Pets-w.;lml'iqerql pci twin—J- :.L'm Mim.- DrI ". i.u. '.'-'bunm'r 1151 unt-- u språkbruk :.u _l'wm '...qu Tune-gne- på ".- 1'1 l'u" .. ha lagt.-'-

Ulli-mmm l gin: nu se:. Luu iii-.! in: in wwmtj'gtller. '.!—Jul:" - "'N Mr.—filän- på ut: sedan uu: mim-ir: lung ...! new-|:- Efi—if" lill—Li. Luma reglerat MI lll'l'j'hi f [T'-litt?! l""i"l"|'l.l"'".' " um ut. '.ur. lga-tt i am ::llrl' hu: -1u: nun—tl: nu wu Hm nu hur :auu 'a'-nu:. jmmm—tnmi 1" "f:- 'vilrpputt 'n'-m med. 'l'l-IJ "rutan-mattar anmälan»! får l' -ll' . malamute :s, mina.-n- :.Ltmtn. rat) IL'll ..!ei ment.—Jm nau— "nilr" .lu'l 'lblhållnthkn

.ul—vrr.,-Mv::i'11'..1r|»'u :d i'll fll mm irl” arr-arr.-

Mw Lau-_l 11.111.:— gemak-Um: ": u: kw. h_- ' ::: immigr- hf.-". . l'u cnh . 'r- trutar: .wtr-ntm- m '- —- ””*. ". nu.-Milm'mw hn- pCL. -t'|11. m .].I itll-li:- thidu'ulul. FHF..|m-"1"1 'ngm- t'. |,- "nn 13ng- Itt-'. Dot-dlnitljltjhalfnml'udihh- u.!" tln"nmnmhlåprm: arta. ' "-—*.d'=hwm-r.rrl'ullfrll|1k*1'.-' :* r l:.r y'. bil I..-11 nrl'ru'n't'tm: Mn nm: för. 1— "t'-Imran .”W l'nrtlirn fl".l Fil—.iiqu'th har på. dm Fallin. Prag.-1.11. "ll cm.:ht'mu um dumt.: "' || 1" '. ." hål"" . [111181ch 1.0.1". hub-tas E'. i'l'hl'l'ilqn II.-f. organ | "i.u" 11": .”.i." I!” [1,51 ": 'In". 'Sl'l'l'. Wai. .::-pm» rr 1n tim "'v”:'Tl-m'|.7' .- fult.-"wlan! ru... ut 1.11]-

SOU l993:10 113

7 Förhållandet mellan datalagen samt tryckfrihetsförordningen och yttrandefrihetsgrundlagen

7. 1 Gällande rätt

En fråga för utredningen har rört det problem som kan uppstå då personuppgifter behandlas på områden där tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) är tillämpliga. Det är särskilt bestämmelserna i de båda grundlagarna om förbud mot censur och andra hindrande åtgärder samt rätten för bl.a. meddelare till anonymitet som har visat sig vara av intresse. Som kommer att framgå har utredningen funnit att konflikter kan uppstå vid tillämpningen av TF och YGL samt datalagstiftningen, dels genom att datalagstiftningen i viss utsträckning kan verka försvårande för framställningen av olika yttranden och dels till följd av grundlagarnas regler om anonymitets— skydd.

Skyddet för tryckfriheten samt för yttrandefriheten i radio, tele- vision, filmer, videogram och ljudupptagningar m.m. har i Sverige fått en utförlig grundlagsreglering. Sedan länge har det tryckta ordet en särställning i Sverige. Den första tryckfrihetsförordningen utfärdades år 1766. Alltsedan år 1810 har ett detaljerat skydd för tryckfriheten upprätthållits genom regler i grundlag. Vår nuvarande tryckfrihetsför- ordning utfärdades år 1949. Genom YGL, som trädde i kraft år 1992, har även friheten att yttra sig i andra framställningar fått ett grund— lagsskydd.

YGL bygger på samma grundsatser som TF. Det innebär bl.a. att principerna om censurförbud och meddelarfrihet gäller för hela massmedieområdet.

TF

En viktig princip i TF är den rättighet som följer av 1 kap. 1 å TF att utge skrifter utan några av myndighet eller annat allmänt organ i förväg lagda hinder. Detta förbud mot censur och andra hindrande åtgärder preciseras närmare i 1 kap. 2 å TF, som har följande lydelse.

114 SOU l993:10

Någon tryckningen föregående granskning av skrift eller något förbud mot tryckning därav må ej förekomma.

Ej heller vare tillåtet för myndighet eller annat allmänt organ att på grund av skrifts innehåll, genom åtgärd som icke äger stöd i denna förordning, hindra tryckning eller utgivning av skriften eller dess spridning bland allmänheten.

Paragrafen riktar sig alltså till myndigheter eller andra allmänna organ. Härmed förstås även riksdagen och regeringen.

Censur innebär att ett yttrande granskas av en myndighet innan det när en tilltänkt mottagare. Syftet med censur är att förhindra att vad som går fram till mottagaren har ett innehåll eller en utformning som från granskarens synpunkt inte kan godtas.

Förhandsgranskning är inte det enda sättet att hindra medborgare från att yttra sig offentligt. Spärrar kan upprättas på flera olika punkter längs kommunikationsvägarna. Ett sätt att spärra är att inskränka rätten att använda ett visst uttrycksmedel. Inskränkningen kan också avse bara ett led i ett framställningsförfarande. Hindret behöver inte vara absolut. Även åtgärder, som verkar väsentligt försvårande eller ekonomiskt förlustbringande, är otillåtna (se t.ex. tryckfrihetssak- kunniga /SOU 1947:60/ s. 210 f. och Petrén, Ragnemalm, Sveriges grundlagar, s. 380).

Det är däremot tillåtet att av ordningsskäl reglera spridningen av tryckta skrifter. Det väsentliga är att sådana regler inte tar hänsyn till skrifternas innehåll.

Om flera personer har medverkat till ett brott, kan enligt allmänna straffrättsliga regler ansvar drabba inte bara den som främst utfört den brottsliga gärningen utan också de övriga såsom anstiftare eller med- verkande. TF:s principer om ansvar är emellertid annorlunda.

Ansvarssystemet i TF bygger på två grundläggande principer. Den ena är att det alltid skall finnas någon som, även om han inte själv varit upphovsman, kan göras ansvarig för innehållet i en tryckt skrift. I regel är detta författaren eller, när det gäller periodiska skrifter, den ansvarige utgivaren. Den andra principen är att detta formaliserade ansvar skall utesluta ansvar för alla som på annat sätt medverkat vid skriftens tillkomst.

Tanken i TF är således att endast 3 person skall kunna göras ansvarig för tryckfrihetsbrott samt att dennes ansvar är exklusivt och utesluter ansvar för andras eventuella medverkan. Det sagda innebär att det i TF inte förekommer något medverkansansvar i brottsbalkens mening. Tvärtom skyddar TF genom olika bestämmelser sådana personer som har medverkat vid tillkomsten av en tryckt skrift men som inte har det speciella tryckfrihetsrättsliga ansvaret. Till denna kategori bestämmelser hör de som gäller meddelarfrihet och anonymi- tet.

Den grundläggande bestämmelsen om meddelarfriheten finns i 1 kap. 1 å tredje stycket TF. Där stadgas att det skall stå envar fritt att,

SOU l993:10 115

i alla de fall då inte annat är föreskrivet i TF, meddela uppgifter och underrättelser i vad ämne som helst för offentliggörande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om det för skriften finns en särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter.

I 1 kap. 1 å fjärde stycket TF finns en regel som tar sikte på ett tidigare led i den kedja som löper från en meddelare via t.ex. en tidningsredaktion till publicering i tryckt skrift. Enligt den regeln skall var och en äga rätt att, om inte annat följer av TF, anskaffa uppgifter och underrättelser i vilket ämne som helst för att offentliggöra dem i tryckt skrift eller för att lämna ett meddelande av den typ som angivits i paragrafens tredje stycke. TF skyddar emellertid inte anskaffare från straff för det sätt varpå han skaffar uppgifterna (se TF 1 kap. 9 å). Det är således inte tillåtet för en journalist att skaffa uppgifter till en artikel genom inbrott, olovlig avlyssning eller mutbrott.

I syfte att skydda dem som medverkar vid tillkomsten av tryckta skrifter finns i 3 kap. TF regler om rätt till anonymitet. Den grund— läggande bestämmelsen om rätt till anonymitet finns i 3 kap. 1 å TF. Där stadgas att författare till tryckt skrift inte är skyldig att låta sätta ut sitt namn eller sin pseudonym eller signatur på skriften. Vidare anges att motsvarande gäller beträffande den som lämnat meddelande enligt 1 kap. 1 å tredje stycket TF och beträffande utgivare av tryckt skrift som inte är periodisk. En meddelare eller författare kan alltså själv välja om han vill framträda eller om han vill vara anonym. Detsamma gäller utgivare av skrifter som inte är periodiska.

Enligt 3 kap. 4 å TF får myndighet eller annat allmänt organ inte efterforska författaren till en framställning som införts eller varit avsedd att införas i tryckt skrift. Efterforskning får inte heller ske av den som utgivit eller avsett att ge ut framställning i tryckt skrift eller av den som uppträtt som meddelare. Efterforskningsförbudet gäller inte utan undantag. I de fall då ingripande mot t.ex. en meddelare är tillåtet enligt TF får myndigheter och andra allmänna organ vidta åtgärder för att utröna vem meddelaren är.

I 3 kap. 3 å TF finns föreskrifter om tystnadsplikt för bl.a. personal vid en tidning eller en nyhetsbyrå beträffande författares, meddelares och utgivares identitet. Paragrafen, som fick sin nuvarande lydelse den 1 januari 1978, föreskriver tystnadsplikt för den som har tagit befattning med tillkomsten eller utgivningen av en tryckt skrift eller med en framställning som var avsedd att införas i en tryckt skrift och den som har varit verksam inom ett företag för utgivning av tryckta skrifter eller inom ett företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter. Tystnadsplikten innebär att han inte får röja vad han därvid erfarit om vem som är författare eller har lämnat meddelande enligt 1 kap. 1 å tredje stycket

116 SOU l993:10

eller är utgivare av skrift som inte är periodisk. Från denna tystnads- plikt görs dock fem undantag.

YGL

Som har sagts ovan gäller de tryckfrihetsrättsliga grundprinciperna även de medier som omfattas av YGL. Detta innebär att principen om censurförbud och andra hindrande åtgärder är fastslagna också i YGL (1 kap. 3 å). Det är dock möjligt att förhandsgranska offentligt visade filmer och videogram. I YGL finns vidare regler som skyddar meddelare och anskaffare vilka motsvarar TF:s regler 1 ämnet (1 kap. 2 å). Även bestämmelser om rätt till anonymitet som i sak svarar mot de regler som finns 1 TF har tagits upp i YGL (2 kap. ).

RF

Den grundläggande bestämmelsen om skyddet för den enskildes personliga integritet finns i 1 kap. 2 å tredje stycket regeringsformen (RF). I denna sägs bl.a. att det allmänna skall värna den enskildes privatliv och familjeliv. Bestämmelsen har inte karaktären av en rättsligt bindande föreskrift utan anger ett mål för den samhälleliga verksamheten. Av förarbetena till bestämmelsen framgår att integri- tetsskyddet vid dataregistrering var i blickpunkten vid bestämmelsens tillkomst (SOU 1975:75 s. 168 f., 459 ff.).

Den av regeringen i maj 1984 tillsatta data— och offentlighetskom- mittén (DOK) föreslog i sitt tredje delbetänkande (Ds Ju 1987:8) Integritetsskyddeti informationssamhället 3 bl.a. en grundlagsändring. Förslaget innebar att det i den s.k. fri- och rättighetskatalogen i 2 kap. RF skulle skrivas in ett skydd för den enskildes personliga integritet i datasammanhang.

Förslaget ledde till lagstiftning, som trädde i kraft den 1 januari 1989 (prop. 1987/88:57, KU 19, rskr.1l7, 1988/89: KU2, rskr. 11, SFS l988:l439). Den nya föreskriften, som finns i 2 kap. 3 å andra stycket RF, innebär att varje medborgare i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB. Regeln slår alltså fast att det skall finnas en datalagstiftning till skydd för den personliga integriteten men att den närmare omfattningen av skyddet får regleras i vanlig lag. Lagstiftaren åläggs genom bestämmelsen att vara aktiv genom att stifta och vidmakthålla en datalagstiftning. Av förarbetena följer att bestämmelsen givetvis bör uppfattas så att lagstift- ningen skall utgöra en verklig och allvarligt menad skyddslagstiftning (prop. 1987/88:57, s. 11).

SOU l993:10 117

7.2 Internationella förhållanden

Dataskyddslagstiftningen i några med Sverige jämförbara europeiska stater uppvisar inte någon enhetlighet i sättet att behandla den person— registrering som sker inom massmedieområdet.

Några staters dataskyddslagar gör, liksom den svenska datalagen, inget undantag för sådan personregistrering. Andra länder har intagit en motsatt ståndpunkt och låter inte massmedierna omfattas av data- skyddslagstiftningen. På andra håll har man visserligen i princip undantagit massmedierna från tillämpningen av dataskyddslagarna, men likväl gjort vissa regler i dessa lagar tillämpliga på dem.

Bland de länder som i sina dataskyddslagar inte gör något undantag för massmedia kan nämnas Irland, Island, Luxemburg och Storbritan- nien (Beträffande Storbritannien se bilaga 4).

Personregisterlagen i Finland däremot stadgar uttryckligen att lagen inte medför någon ändring i rätten att utge tryckta skrifter (se bilaga 4). Av lagens förarbeten framgår dock att förandet av register som utgör bakgrundsmaterial för en tidskrift skall omfattas av person- registerlagens regler.

Den i Norge gällande personregisterlagen omfattar även person- registrering inom massmedieområdet (se bilaga 4). Lagens bestämmel- ser om bl.a. insynsrätt och rättelseskyldighet omfattar alltså även sådan registrering. Justitiedepartementet har dock från den gällande till- ståndsplikten undantagit bl.a. dags- och veckopressens personregister, i den mån de används i journalistisk verksamhet, samt förlagsarkiv och förlagsregister som används vid utgivning av vissa slags lexika. En förutsättning för dessa undantag är att den registeransvarige följer de villkor och krav som uppställts i justitiedepartementets föreskrifter. Tillstånd behövs dock alltid om någon utomstående skall ha on-line tillgång till ett massmedieregister.

Nederländerna (se bilaga 4) tillhör de länder vars dataskyddslagar helt undantar massmedierna. Den nederländska dataskyddslagen omfattar således inte de personregister som enbart är avsedda för att användas av press, radio och television i den publicistiska verksam- heten.

I Belgien har antagits en proposition till en lag om skydd mot otill- börligt intrång vid registrering av personuppgifter vilken på motsva- rande sätt som i Nederländerna helt undantar massmediernas ADB— registrering.

Den registerlag som gäller i Danmark (se bilaga 4) för den privata sektorn är enligt sin lydelse inte tillämplig på registrering som sker för användning i biografier eller för publicering i allmänna uppslagsverk. Lagens regler gäller inte register som förs med elektronisk databehand— ling (EDB) och som enbart innehåller upplysningar som har publicerats i en periodisk skrift ("pressens informationsregistre"). Sådana register

118 SOU l993:10

måste dock anmälas till dataskyddsmyndigheten, registertilsynet, som kan fastställa föreskrifter för dem. Utlämnande av personuppgifter från ett dylikt register får endast ske om den registrerade samtyckt, det följer av lag eller uppgifterna lämnas ut för att publiceras i en periodisk skrift. Den registrerade har även rätt till insyn i ett sådant register.

I Frankrike (se bilaga 4) undantar dataskyddslagen, La loi relative å l'informatique, aux fichiers et aux libertés (IFL), i viss utsträckning pressorgan, tryckta skrifter samt radio och television inom ramen för de lagar som gäller för dem och i de fall då en tillämpning av IFLs bestämmelser skulle leda till inskränkning av yttrandefriheten. Undantaget gäller bl.a. lagens stadgande om förbud mot registrering av vissa känsliga uppgifter och kravet på medgivande vad gäller dataflöde över gränserna.

Sådana personuppgifter som bearbetas för uteslutande egna publicistiska ändamål av pressföretag, radioföretag och filmföretag omfattas i Tyskland (se bilaga 4) endast av den tyska federala data- skyddslagens bestämmelser om datasäkerhet. Lagens övriga regler tillämpas dock på sådana uppgifter, om dessa används för andra syften, t.ex. om de utlämnas till någon utanför det egna företaget.

Även i Österrike (se bilaga 4) är i princip massmedieområdet undantaget från dataskyddslagens tillämpning. Vissa av dess be- stämmelser, främst stadgandena om datasäkerhet, gäller dock även för massmediernas register.

Enligt art. 9.2.b i Europarådets konvention får avvikelser göras från vissa av bestämmelserna i konventionen, om det är nödvändigt för att skydda den registrerade personen eller andra personers fri- och rättigheter. Avvikelser från konventionen får ske endast om det medges i den nationella lagstiftningen.

l kommentaren till konventionen anges att avsikten varit att i artikeln reglera viktiga intressen inom den privata sektorn. Som exempel nämns bl.a. pressfriheten.

Om en konventionsstat väljer att inskränka konventionens till- ämpningsområde måste en förklaring härom avges till Europarådets generalsekreterare (art. 3 . 2 . a).

Förslaget till EG-direktiv ålägger, för att förena integritetsintressena och yttrandefriheten, medlemsstaterna att se till att direktivet inte är tillämpligt när pressen, audiovisuella media och journalister behandlar personuppgifter för journalistiska ändamål (art. 9).

Av kommentaren till direktivet framgår att artikeln syftar till att undanröja den konflikt som kan uppstå mellan integritetsskyddsintres— sena och yttrandefriheten. Artikeln förutsätter att medlemsstaterna skall göra en avvägning mellan den enskildes personliga integritet och yttrandefrihet. Vid denna avvägning skall hänsyn tas till bl.a. den enskildes rätt till genmäle, förekomsten av en yrkesetik inom pressen, de gränser som dras upp i Europarådets konvention om mänskliga

SOU l993:10 119

rättigheter och de grundläggande regler som finns i lag. Med journalis- ter förstås även fotografer (photojournalists) och sådana författare som skriver biografier.

7.3 Personregister hos tidningar m.m.

ADB—tekniken utnyttjas i dag i stor utsträckning hos i vart fall de större tidningarna. När det gäller framställningen av tidningar torde de flesta tidningar använda ADB som ett hjälpmedel. Det normala synes vara att varje journalist har tillgång till en persondator, med hjälp av vilken journalisten kan skriva och lagra sina artiklar. Det är i princip endast journalisten själv som har tillgång till denna information. När artiklarna är färdiga överförs de till tidningens stordator, där de normalt blir allmänt tillgängliga för redigering och sättning. Hos vissa tidningar överförs artikeltexten till ett särskilt datoriserat arkivregister. En tid efter sättningen rensas artikeln från stordatorn.

Det är något oklart i vilken utsträckning som personregister före- kommer i den nu beskrivna verksamheten hos tidningarna. Det kan dock antas att en del journalister utnyttjar tekniken till att upprätta enklare register över t.ex. personer som kan tänkas bidra med in- formation till tidningen.

Datortekniken utnyttjas även i övrigt för framställning av tidningar. Det förekommer således att det på familjeredaktionerna förs s.k. jubilarregister från vilka uppgifter hämtas om olika bemärkelsedagar. Vidare förekommer det att telegram, som har kommit in under det senaste dygnet, samlas i en särskild registerfil. Telegrammen registre- ras under särskilda nyckelord vilka kan utgöras av personnamn. Telegrammen kan också innehålla personnamn. På ledarredaktionerna kan finnas register över personer som har deltagit med debattartiklar. Register kan också i princip bestå av bara namn, t.ex. vilka personer som har deltagit i en viss tävling eller som har den högsta årsinkom— sten.

Register finns också som förs för mer administrativa ändamål och som således inte används som ett direkt led i framställningen av tidningar. Exempel på sådana register är register över anställda, leverantörer, abonnenter och andra kunder. Enligt vad utredningen har erfarit förekommer det att uppgifter om utbetalningar till meddelare återfinns i löneregister över anställda. En annan typ av register som förs med hjälp av ADB är direktreklamregister och register som används för annan marknadsföring.

Till en del register av ovan redovisat slag har Datainspektionen givit sitt tillstånd. I två fall (Pressens Bild Aktiebolag och Vestmanlands Läns Tidnings Aktiebolag) gällde frågan tillstånd att inrätta och föra personregister vars ändamål skulle vara att i publicistisk verksamhet

120 SOU 1993:10

för vissa tidningar ge upplysning om innehållet i tidigare publicerat material. I båda fallen överklagades Datainspektionens beslut till regeringen.

Registren innehåller artiklar i fulltext och sökning kan i princip göras på alla ord i artiklarna, exempelvis på personnamn, titel, bostadsort, organisations- och företagsnamn, liksom på särskilda ämnes- och nyckelord.

Pressens Bild Aktiebolag

Datainspektionens tillstånd var förenat med ett antal föreskrifter för att förebygga risk för otillbörligt intrång i personlig integritet. Fyra av dessa föreskrifter blev aktuella hos regeringen. Den föreskrift som närmast nu är av intresse är nr 5, som hade följande lydelse.

Personuppgifter som avses i 4 å första stycket datalagen får sedan fem år förflutit från publiceringen av uppgifterna inte vara sökbara på annat sätt än genom datum för publiceringen.

Pressens Bild Aktiebolag överklagade Datainspektionens beslut och yrkade att föreskrift nr 5 skulle undanröjas eftersom den innebar en begränsning av tidningarnas möjligheter att tillgodose allmänhetens behov av bred och korrekt information.

Regeringen biföll överklagandet såvitt det avsåg föreskriften nr 5 och undanröjde föreskriften.

Vestmanlands Läns Tidnings Aktiebolag

Även i detta ärende hade Datainspektionen meddelat en föreskrift som innebar att personuppgifter som avses i 4 å första stycket datalagen inte fick sedan fem år förflutit från publiceringen av uppgifterna vara sökbara för berörda tidningar på annat sätt än genom datum för publiceringen. Efter överklagande undanröjde regeringen föreskriften.

I detta ärende var även frågan huruvida allmänheten skulle ha åtkomst till registret uppe. Regeringen medgav att sådan tillgång skulle få finnas under en period av fem år efter publiceringen. I beslutet i denna del anfördes bl.a. följande.

Det får anses vara ett starkt samhälleligt intresse att arkiverat material som varit publicerat i en tidning får vara tillgängligt hos tidningen.. .(E)mellertid (medför) arkiveringen med hjälp av ADB särskilda risker för otillbörligt intrång i den personliga integriteten och att register av förevarande slag kommer att innehålla integri- tetskänsliga uppgifter. Här bryts mot varandra två viktiga intressen. Den intresseavvägning som måste göras är av den generella natur att den bör ske 1 sammanhang med. datalagsutredningens arbete. Resultatet av detta arbete bör nu inte föregripas genom ett sådant

SOU l993:10 121

ställningstagande i detta enskilda förvaltningsärende som skulle få principiell betydelse.

ADB-tekniken utnyttjas också i stor utsträckning inom public service- företagen (Sveriges Radio AB, Sveriges Television AB, Sveriges Utbildningsradio AB och Radiotjänst i Kiruna AB). Datainspektionen har meddelat tillstånd till bl.a olika löne- och personalregister, abonnent- och kundregister samt leverantörsregister. Av andra register som förs inom koncernen är vissa särskilt intressanta i detta samman- hang. Här kan nämnas Sveriges Radios register " Internt sändnings- arkiv, Ekoredaktionen & utlandsprogram" och "Riksradions program- databas" samt Sveriges Televisions register "Nyhetsdatorisering".

Internt sändningsarkiv, Ekoredaktionen & utlandsprogram

Datainspektionen lämnade genom ett beslut den 1 december 1986 till- stånd för Sveriges Riksradio AB att inrätta och föra rubricerade personregister. Ändamålet med registret är enligt beslutet att det skall användas för att få fram uppgifter om inslag i bolagets egna nyhets- sändningar. I beslutet föreskrivs bl.a. att uppgifter som är äldre än två år skall gallras vid årliga genomgångar av registret.

Av ansökningen i tillståndsärendet framgick att sådana utomstående skulle registreras som intervjuas eller medverkar i sändningar. De uppgifter som skulle registreras var namn samt i förekommande fall arbetsgivare, yrke eller organisationstillhörighet eller i vilken annan egenskap personen intervjuades eller medverkade. Ca 60.000 person- uppgifter skulle registreras per år. Vidare skulle namnet på den hos bolaget anställde reporter som svarade för inslaget registreras samt dennes arbetsort. I fråga om denna kategori skulle registret omfatta ca 100 personuppgifter per år. Materialet skulle bearbetas och sorteras för att få fram urval av inslag av visst slag.

Datainspektionen konstaterade i skälen till sitt beslut att registret delvis skulle komma att omfatta personer, som saknade sådan anknyt- ning till bolaget som avses i 3 åå datalagen, nämligen andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som hade annan därmed jämställd anknytning till denne. Datainspektionen konstaterade vidare att registret kunde komma att innehålla sådana uppgifter som anges i 4 å datalagen, dvs. uppgifter om politisk eller religiös uppfattning, brottslig verksamhet m.m, vilka får registreras endast om särskilda eller synnerliga skäl föreligger.

Datainspektionen fann dock med hänsyn till att registret närmast skulle vara att jämföra med ett litteratur- eller biblioteksregister att sådana skäl förelåg att tillstånd kunde meddelas för registret. Datain- spektionen hade då beaktat att uppgifterna i registret även omfattades av annan skyddslagstiftning.

122 SOU l993:10

Justitiekanslern överklagade Datainspektionens beslut och yrkade att tillståndet skulle förenas med på lämpligt sätt utformade villkor om underrättelse till den om vilken en sådan uppgift som anges i 4 å datalagen skulle registreras samt om möjlighet för den som så önskade att få personuppgifter av detta slag förstörda.

Regeringen överlämnade i beslut den 21 maj 1987 till Datainspektio- nen att meddela ett villkor om skyldighet för den registeransvarige att underrätta personer som registreras i personregistret. I skälen till beslutet anförde regeringen bl.a. att regeringen utgick från att registret skulle föras med beaktande av det tryckfrihets— och radiorättsliga anonymitetsskyddet.

Datainspektionen förskrev i beslut den 30 november 1987 att den registeransvarige minst en gång årligen i anslutning till den sändning från Ekoredaktionen som under det valda dygnet beräknades ha flest lyssnare skulle redogöra för registrets innehåll och ändamål. Datain- spektionen fann att den gallringsföreskrift som inspektionen redan meddelat i förening med de ändrade rättelsereglema i datalagen tillgodosåg det behov som regeringen avsett i sitt beslut.

Sveriges Riksradio AB överklagade sistnämnda beslut och yrkade bl.a. att beslutet skulle upphävas i den del det avsåg skyldighet att informera om registret.

Regeringen konstaterade i beslut den 1 juni 1988 att registret ut- gjorde ett personregister i datalagens mening. I beslutet anförde regeringen vidare bl.a. följande.

Av utredningen i ärendet framgår att sådana särskilt känsliga personuppgifter som anges i 4 å datalagen i viss utsträckning ommer att finnas i reglstret. Till ståndet att föra registret bör därför, som regeringen redan uttalat i sitt beslut den 21 maj 1987, kompletteras med en föreskrift om informationsskyldighet. Föreskriften kan för att fylla sitt syfte ges en sådan mer generell utformning som datainspektionen har angett i sitt yttrande i det nu aktuella ärendet. Av informationen om registret ör framgå att sådana känsliga uppgifter som sägs i 4 å datalagen kan komma att registreras.

Regeringen beslutar därför att föreskriften skall ha följande lydelse.

Den registeransvarige skall minst en gång årligen i rikstäckande massmedium redogöra för registrets innehåll och ändamål. Av denna information skall framgå att sådana känsliga uppgifter som anges i 4 å datalagen kan ingå i registret.

Riksradions programdatabas

Datainspektionen beviljade genom ett beslut den 30 augusti 1990 tillstånd för Sveriges Radio AB att inrätta och föra rubricerade personregister. Registret används för att söka fram inspelade och lagrade radioprogram och innehåller bl.a. namn på upphovsmän, namn

SOU 1993:10 123

på personer som omtalats i program och namn på personer som medverkar i program.

Datainspektionen konstaterade i skälen till sitt beslut att registret skulle komma att innehålla uppgifter om politisk eller religiös uppfattning och även uppgifter om brottslig verksamhet m.m., dvs. uppgifter som enligt 4 å datalagen får registreras endast om särskilda respektive synnerliga skäl föreligger. Med hänsyn till att registret är ett sökregister för framtagning av inspelade radioprogram som sänts i riksradion fann Datainspektionen sådana särskilda och synnerliga skäl föreligga. Datainspektionen fäste även stor vikt vid att rundradioverk- samheten regleras av skyddslagstiftning och av etiska normer för radio och TV.

Datainspektionen anförde vidare i skälen att information till dem som kommer att vara registrerade allmänt sett är av stor betydelse för att förebygga otillbörligt intrång i personlig integritet. En föreskrift om information bedöms därför ofta vara behövlig för tillstånd att registrera personer som inte har anledning räkna med registreringen i fråga. För Sveriges Riksradio AB såsom registeransvarig bör gälla att bolaget inom sändningsområdet minst en gång årligen skall informera om registret och redogöra för registrets ändamål och innehåll.

I tillståndsbeslutet meddelade Datainspektionen följande villkor.

Minst en gång årligen skall på lämpligt sätt information spridas om re istrets innehåll och ändamål. Av redogörelsen skall framgå att så ana känsliga uppgifter som anges i 4 å datalagen kan ingå i registret.

Nyhetsdatorisering

Datainspektionen beviljade genom ett beslut den 21 februari 1991 tillstånd för Sveriges Television AB att inrätta och föra personregistret "Nyhetsdatorisering". Registret används för att lagra dels externt inkommande nyhetsmaterial och dels eget nyhetsmaterial, som har sänts. De lagrade uppgifterna används för egen vidaresändning antingen i form av nyhetsprogram eller andra program.

Av Datainspektionens beslut framgår att uppgifterna i registret inhämtas från bl.a. externa källor till bolaget såsom TT, AP, Reuters, CNN och andra nyhetsbyråer. Vidare står registret i direktkontakt med andra databaser av typ Affärsdata.

De registrerade uppgifterna består av dels den text som kommer från de ovan angivna texterna och källorna, dels den text som har lästs upp av nyhetsuppläsaren och dels den ursprungliga manustexten.

I registret finns bl.a. följande uppgifter.

! Företags, myndigheters och organisationers kontaktpersoner samt telefonnummer och adresser till dessa.

124 SOU l993:10

' De personer som omnämns eller intervjuas i inslaget såsom exempelvis idrottsmän, verkställande direktörer i företag, politiker eller personer som misstänks för brott, åtalats eller dömts för brott.

I Annan känslig information som kan röra religiös uppfattning, sjukdom och omdömen.

Bearbetning av de registrerade uppgifterna sker genom s.k. fritext- sökning. Sökning och presentation av resultat sker via terminal.

I tillståndsbeslutet meddelade Datainspektionen bl.a. följande villkor.

Den registeransvarige skall minst en gång årligen, på ett fram- trädande sätt, i rikstäckande massmedium redogöra för registrets innehåll och ändamål. Av denna information skall framgå att sådana känsliga uppgifter som anges i 4 å datalagen och om- dömen eller annan värderande upplysning enligt 6 å datalagen kan ingå i registret.

Av intresse i detta sammanhang är också ett beslut enligt vilket Sveriges Riksradio AB fick tillstånd att föra ett personregister benämnt " Externt telefonregister".

Datainspektionen meddelade sitt tillstånd den 1 december 1986. Registret skulle användas i nyhetsverksamheten för att ta fram uppgifter om vem som lämpligast kunde sökas för en intervju eller bakgrundsinformationi ett visst ämne. I beslutet föreskrevs att bolaget skulle förstöra personuppgifter rörande en registrerad som begärde det.

Justitiekanslern överklagade Datainspektionens beslut och yrkade att tillståndet skulle förenas med en föreskrift om att den som skulle registeras skulle underrättas om själva registreringen och om möjlig— heten att begära att personuppgifter i registret skulle förstöras. Ändamålet med registret var att kunna ringa upp personer som bedöms lämpliga för intervjuer eller bakgrundsinformation i olika ämnen. Det var enligt Justitiekanslerns mening uppenbart att de aktuella personerna kunde ha ett berättigat intresse av att inte vilja bli störda på detta sätt.

Regeringen biföll överklagandet. I skälen till beslutet anförde regeringen bl.a. följande.

Till detta kommer att ------ det tryckfrihets- och radiorättsliga anonymitetsskyddet bör beaktas i sammanhanget. Det finns visserli- gen anledning utgå från att personer, som har velat vara anonyma när de har medverkat vid tillkomsten av program, inte kommer att röjas på grund av registerföringen. För eventuella framtida med- verkande kan emellertid registreringen vara känslig av hänsyn till anonymitetsskyddet. Det är därför angeläget att de ges en reell möjlighet att själva bestämma om de vill vara registrerade eller inte. En sådan möjlighet skapas, om en föreskrift om underrättelses- kyldighet meddelas.

SOU l993:10 125

En föreskrift om skyldighet för bolaget att underrätta dem som registeras i personregistret Externt telefonregister bör därför meddelas.

Vidare bör det i underrättelserna erinras om föreskriften i till— ståndsbeslutet att den registeransvarige skall förstöra person- uppgifter rörande en registrerad som begär det.

Det bör i först hand ankomma på datainspektionen att närmare överväga hur den föreskrift bör vara utformad som nu skall med- delas.

Genom beslut den 21 december 1988 meddelade Datainspektionen följande villkor om underrättelseskyldighet.

Den registeransvarige skall underrätta de registrerade om regist- rets ändamål och innehåll genom att en gång per år sända utdrag ur registret samt även underrätta om de registrerades rätt att på egen begäran bli strukna ur registret.

Sveriges Radio AB har avstått från att inrätta registret "Externt telefon- register" med hänvisning till de praktiska olägenheter som den meddelade föreskriften skulle komma att medföra.

7.4 Utredningens tidigare ställningstaganden

Den fråga som utredningen analyserade under sitt tidigare arbete huruvida de föreskrifter som Datainspektionen har att tillämpa i sin verksamhet och som har tillkommit för att skydda enskilds personliga integritet, dvs. främst föreskrifterna i datalagen men även andra för- fattningar av samma, t.ex. särskilda registerlagar, eller lägre konsti— tutionell valör, kan komma i strid med vissa föreskrifter i TF och YGL. Praktiskt gäller frågan - för att ta ett exempel - huruvida villkor som Datainspektionen meddelar för förandet av ett visst personregister eller inspektionens rätt att få insyn i personregister kan komma i konflikt med TF:s och YGL:s regler om förbud mot censur och andra hindrande åtgärder eller med rätten till anonymitetsskydd. Problemet torde ha störst betydelse hos tidningarna men kan också aktualiseras hos bl.a. radio— och TV—företagen och hos bokförlagen.

Såvitt utredningen har funnit är det främst bestämmelserna om förbud mot censur och andra hindrande åtgärder och om anonymitets- skyddet i TF och YGL som är av intresse.

Vad först gäller tidningarna framgår av redovisningen i avsnitt 7.3 att personregister av ganska skilda slag förs med hjälp av ADB hos tidningarna. En typ av register är sådana som används som ett direkt tekniskt hjälpmedel i själva framställningen av tidningarna. Exempel på detta är artiklar som utgör ett slags register över kända personers deklarerade inkomster, över framstående avlidna personer under ett år

126 SOU 1993: 10

och över medlemmar i en förening. Även familjesidorna kan sägas vara exempel på sådana register. Sådana register som tidningarna använder före eller vid tryckningen kan betecknas som produktions- register. Andra register utnyttjas snarast som källor vid framställningen av en tidning. Ur dessa register, som här kallas för källregister, kan uppgifter hämtas för tillkomsten av en tidning. Ett exempel på källregister är register över personer som har lämnat uppgifter till en tidning och som därmed kan vara intressanta att kontakta i framtiden. Ytterligare exempel är klipparkiven och register över nyligen inkomna telegram. Det är alltså fråga om register som har direkt betydelse för publiceringsverksamheten. Andra register har närmast karaktären av administrativa register. Hit hör t.ex. löneregister över anställda, abonnent— och kundregister, leverantörsregister, register över tidnings- utbärare. Det är vidare inte ovanligt att tidningar inrättar tillfälliga direktreklamregister och andra liknande marknadsföringsregister.

Det finns kanske andra slags personregister hos tidningarna än de nu nämnda och ett register kan användas för olika ändamål. Särskilt intresse tilldrar sig klipparkivregistren, som utgör arkiv över artiklar som varit publicerade i vissa tidningar. Till den del klipparkiven används på tidningsredaktionerna av journalisterna har klipparkiven närmast karaktären av källregister. I den utsträckning som allmänheten kan utnyttja dem är arkiven dock något annat än källregister.

Vid en närmare granskning av de kollisioner som kan uppstå mellan TF, å ena sidan, och datalagstiftningen, å andra sidan, torde kunna hävdas att reglerna i den nuvarande datalagen om tillstånd och villkor för tillstånd ofta kan leda till konflikter med bestämmelserna i 1 kap. 2 å TF. Utredningen har emellertid föreslagit att tillståndsförfarandet skall utmönstras, varför just denna konflikt inte har berörts närmare av utredningen. Kvar står emellertid, såväl enligt den nu gällande som den kommande datalagen, att Datainspektionen kan uppställa olika mer eller mindre ingripande villkor för ett personregister och i undantags- fall förbjuda att registret förs.

Vad först gäller produktionsregistren kan det inte råda någon tvekan om att exempelvis sådana villkor för ett registers förande av Datain— spektionen som tar sikte på registrets innehåll ofta kan verka väsentligt försvårande för tryckningen och utgivningen av en tidning. Visserligen tar inspektionens villkor formellt sikte på registret som sådant, men eftersom registret i princip skall utgöra en del av tidningen rör villkoren i praktiken tidningens innehåll. Sådana villkor kan alltså stå i strid med 1 kap. 2 å TF. Det får emellertid antas att vissa villkor av mindre ingripande slag beträffande ett produktionsregister inte behöver komma i konflikt med TF. Det är dock svårt att närmare ange var denna gräns går. En generös tolkning av TF leder emellertid till att det i tveksamma fall får anses uppstå en kränkning av 1 kap. 2 å TF.

De bestämmelser i datalagen som mer allmänt rör den register- ansvariges skyldigheter - alltså de som avser att registret skall föras för

SOU l993:10 127

ett bestämt ändamål, skyldigheten att föra en förteckning över förekommande personregister, skyldigheten att rätta oriktiga uppgifter, skyldigheten att lämna registerutdrag etc. - torde normalt när det gäller produktionsregistren inte komma i strid med 1 kap. 2 å TF.

Vad därefter gäller sådana källregister som inte avser meddelare torde den tillsyn som Datainspektionen utövar genom bl.a. beslut om olika villkor kunna verka väsentligt försvårande för framställningen av en tidning och därmed komma i konflikt med 1 kap. 2 å TF. Vid en ren bokstavstolkning av 1 kap. 2å TF kan naturligtvis hävdas att villkor rörande ett källregister, som ju på ett annat sätt än produktions- registren har betydelse för en tidnings innehåll, inte kan ge upphov till någon konflikt av nu nämnt slag. Ett sådant synsätt är emellertid enligt utredningen alltför formalistiskt. En lojal tolkning av paragrafen innebär att villkor rörande ett källregister bör ses som preventiva in- gripanden i förhållande till tryckningen som kan komma i konflikt med grunderna för 1 kap. 2 å TF. En förutsättning för detta är dock att det är fråga om källregister som är direkt avsedda som ett stöd för den journalistiska verksamheten. Sådan karaktär har bl.a. klipparkivregi— stren och register över nyligen inkomna telegram. Vad som nu har sagts gäller däremot inte register som närmast kan betecknas som litteratur- eller biblioteksregister. Inte heller hör hit material som en journalist samlar in som underlag för en planerad artikel. Liksom har sagts om produktionsregistren torde dock beträffande källregistren vissa villkor av mindre ingripande karaktär och föreskrifterna som rör den registeransvariges allmänna skyldigheter kunna vara sådana att någon konflikt av nu aktuellt slag inte uppstår.

En speciell typ av register som har hänförts till källregister är klipparkivregistren. Dessa register kan ha olika ändamål. Ett sådant, det viktigaste får man anta, är att arkiven används i tidningarnas publicistiska verksamhet. Journalisterna utnyttjar alltså i det samman- hanget klipparkiv-registren för att skriva nya artiklar. Registren blir därmed ett hjälpmedel och många gånger en nödvändig förutsättning för framställningen av en tidning.

I den utsträckning som klipparkiven används för tidningarnas publicistiska verksamhet utgör de ett slags källregister. Sådana villkor av Datainspektionen som rör förandet av klipparkivregistren kan - med den tolkningen av 1 kap. 2 å TF som utredningen förordat - bli väsentligt försvårande för framställningen av en tidning och därmed komma att stå i strid med TF.

Till källregistren har utredningen även hänfört register över personer som har lämnat meddelanden till en tidning. Sådana personer åtnjuter anonymitetsskydd enligt TF. Föreskrifterna i datalagen, som medger att Datainspektionen i sin tillsynsverksamhet tar del av alla person- register som förs med hjälp av ADB, synes sålunda kunna leda till att av TF skyddade uppgifter röjs för utomstående.

128 SOU l993:10

När det gäller andra register som förs hos tidningar, alltså främst olika administrativa register och marknadsföringsregister, torde datalagens regelsystem normalt inte behöva leda till några konflikter med TF. Det är alltså här fråga om register som är av en mer allmän karaktär och som inte är direkt typiska för en tidning. Problem av ovan diskuterat slag kan dock inte helt uteslutas när det gäller nu nämnda register. Sålunda kan ett löneadministrativt register avseende anställd personal vid en tidning också innehålla uppgifter om utbe— talningar till meddelare. Teoretiskt kan vidare villkor eller bestämmel— ser av Datainspektionen rörande ett abonnent- och kundregister försvåra utgivningen av en tidning på sådant sätt att villkoren eller bestämmelserna kommer i konflikt med TF, om villkoren eller bestämmelserna har tillkommit med hänsyn till tidningens innehåll (exempelvis p.g.a. kränkande och oanständiga artiklar).

Av den hittills gjorda genomgången framgår att konflikter kan uppstå vid tillämpningen av TF och datalagen på personregister hos tidningarna. Dessa konflikter tar sig uttryck på så sätt att datalagens regelsystem kan verka väsentligt försvårande för tryckningen eller utgivningen av en tidning. Vad det i praktiken handlar om är närmast mer ingripande villkor för förandet som meddelas av Datainspektionen rörande främst tidningarnas produktionsregister och källregister. Konflikten visar sig också på så sätt, att tidningarna kan ha person- register som innehåller uppgifter som är skyddade av tystnadsplikt men som Datainspektionen likväl kan komma att få del av.

Kollisioner mellan TF och datalagen kan uppstå inte bara hos tid- ningarna. Även om problemen torde vara något vanligare hos tidningarna, kan de uppstå även hos andra medier som skyddas av TF och YGL.

Av redovisningen ovan rörande förekomsten av personregister som förs med ADB-stöd inom Sveriges Radio-koncernen framgår att Datainspektionen har uppställt olika mer eller mindre ingripande villkor för dessa register.

Det register som Sveriges Television AB för, " Nyhetsdatorisering", har delvis karaktären av ett produktionsregister genom att det består av den text som nyhetsuppläsaren läser upp. Men detta register, liksom de register som beskrivits tidigare och som förs av Sveriges Riksradio AB, används också för tillkomsten av program. De kan således betraktas som vad utredningen har valt att kalla för sådana källregister som är direkt avsedda som ett stöd för programverksamheten.

Det resonemang som utredningen har fört beträffande de konflikter som kan uppstå vid tillämpningen av TF och datalagen på personregis- ter hos tidningarna gäller också enligt utredningen då YGL och data- lagen tillämpas på personregister hos Sveriges Radio-koncernen.

I detta sammanhang kan särskilt framhållas att Sveriges Radio AB har avstått från att inrätta registret " Externt telefonnummer" p.g.a de

SOU 1993:10 129

olägenheter som Datainspektionens villkor om underrättelseskyldighet beträffande registrets ändamål och innehåll innebar.

Konflikter av det slag som nu har beskrivits kan vidare — bara för att ta något exempel - uppstå inom förläggarbranschen. Där före- kommer således produktionsregister, t.ex. vid tryckningen av matriklar samt kataloger och förteckningar av olika slag som innehåller personuppgifter. Andra exempel på produktionsregister är register som används för att framställa olika slags spärrlistor. Villkor som rör dessa register kan alltså stå i strid med 1 kap. 2 å TF. Material som en författare har samlat in och lagrat i en dator kan emellertid inte anses utgöra register som skyddas av TF. Detsamma gäller material som en forskare har registrerat med anledning av ett vetenskapligt projekt.

De konflikter mellan 1 kap. 2 å TF och 1 kap. 3 å YGL samt datalagstiftningen som har beskrivits beror på att olika normer är oförenliga i vissa situationer. Frågan är då vilken norm som skall vinna företräde. Vad som är speciellt för de nu aktuella fallen är att det rör sig om normer av olika konstitutionell dignitet. Å ena sidan är det TF och YGL, som är grundlagar, som är tillämpliga. Å andra sidan gäller det tillämpningen av främst datalagen och föreskrifter som har meddelats med stöd av den lagen, alltså föreskrifter i vanlig lag och myndighetsföreskrifter.

Det normala sättet för en myndighet att lösa normkonflikter mellan dels grundlagar och dels övriga av riksdagen beslutade lagar, rege- ringsförordningar samt föreskrifter utfärdade av förvaltningsmyndig- heter är att använda vanliga lagtolkningsmetoder. Om den vägen inte är framkomlig, gäller den principen att en författning av högre rang äger företräde framför en av lägre konstitutionell dignitet. I de av utredningen beskrivna konfliktsituationerna skall således i princip TF och YGL, som grundlagar, ta över datalagstiftningen. Denna princip brukar kallas för lex superiorprincipen.

En slutsats att normkonflikten mellan å ena sidan TF och YGL och å andra sidan datalagen skall lösas så att de två förstnämnda lagarna skall äga företräde kan möjligen sättas i fråga med hänsyn till bestämmelsen i 2 kap. 3 å andra stycket RF. I denna bestämmelse föreskrivs nämligen att varje medborgare skall, i den utsträckning som anges i lag, skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB.

Bakgrunden till föreskriften i RF, som trädde i kraft den 1 januari 1989, var att ge integritetsskyddet på dataområdet en fastare förankring i RF än det hade genom målsättningsstadgandet i 1 kap. 2 å RF, vari bl.a. sägs att det allmänna skall värna den enskildes privatliv och familjeliv. Genom den nya regeln i RF åläggs lagstiftaren att vara aktiv genom att stifta och vidmakthålla en datalagstiftning. Den nya grundlagsbestämmelsens rättsliga betydelse är, enligt förarbetena, att datalagstiftningen skall utgöra en verklig och allvarligt menad skyddslagstiftning. Däremot ligger det i sakens natur att bestämmelsen

130 SOU 1993:10

inte kommer att kunna tillämpas direkt av myndigheterna (prop. 1987/88:57 s. 11).

En principiell skillnad föreligger således enligt utredningen mellan föreskrifterna om förbudet mot censur och andra hindrande åtgärder i TF och YGL samt den nya bestämmelsen i 2 kap. 3 å RF. De förstnämnda föreskrifterna riktar sig till myndigheter eller andra allmänna organ. Med det sistnämnda uttrycket avses även regeringen och riksdagen. TF och YGL förbjuder således Datainspektionen att vidta någon som helst åtgärd som kan verka hindrande på sätt anges i TF och YGL. Det nya stadgandet i 2 kap. 3 å RF har emellertid lagstiftaren - alltså riksdagen — som adressat. Enligt utredningen måste man mot bakgrund av det sagda utgå från att Datainspektionen, i såväl ett enskilt fall som vid normgivning, måste böja sig för TF och YGL, trots föreskriften i 2 kap. 3 å RF.

Utredningen utgår således från att TF och YGL vad gäller censur- förbud och andra hindrande åtgärder tar över datalagstiftningen vid en eventuell normkollision.

Vad beträffar föreskrifterna i TF och YGL om anonymitetsskydd gäller visserligen att även de tar över andra föreskrifter av lägre konstitutionell valör. Någon direkt konflikt mellan TF och YGL, å ena sidan, och datalagens regler, å andra sidan, föreligger emellertid inte i detta fall. Datainspektionens tillsynsverksamhet går inte ut på att efterforska författares, utgivares eller meddelares identitet utan har helt andra syften. Likväl kan inspektionens verksamhet leda till problem i fråga om anonymitetsskyddet. Detta sammanhänger med att det enligt utredningen föreligger en betydande risk för att skyddade uppgifter oavsiktligt kan komma att röjas då Datainspektionen utövar sin tillsyn.

Enligt utredningen är risken för att uppgifter som är skyddade av anonymitet genom TF och YGL skall röjas för obehöriga när Datain- spektionen utövar tillsyn inte försumbar. Erfarenheterna från liknande situationer, nämligen då tvångsmedel används mot en tidning och vid taxeringsrevision av en tidning, visar att anonymitetsskyddet inte är tillfredsställande.

Den slutsats som utredningen drog av sina resonemang är följande. Grundlagsbestämmelserna i TF och YGL skall tillämpas framför datalagstiftningen vid en konflikt dem emellan. Utredningen har också funnit att det vid den vägning som bör göras av olika skyddsintressen är rimligt att de grundlagsskyddade bestämmelserna inom yttrande- frihetsområdet på det sättet tar över datalagen, även om skyddet mot otillbörligt intrång i den personliga integriteten i samband med personregistrering med hjälp av ADB numera också har viss grund- lagsanknytning (se 2 kap. 3 å RF).

Utredningen föreslog därför att någon saklig ändring inte görs i nuvarande ordning. Däremot bör vissa förtydliganden göras i datalagen för att ange vilka slag av personregister som bör tas undan från datalagens tillämpningsområde. Hit hör produktionsregister, dvs.

SOU 1993:10 131

personregister som används som ett direkt tekniskt hjälpmedel före eller vid framställningen av ett grundlagsskyddat yttrande. Vidare bör källregister, dvs. de register som är direkt avsedda som ett stöd för den journalistiska verksamheten, för programverksamheten etc., undantas. Som exempel på sådana register kan nämnas register över meddelare och register, som är personrelaterade, över nyligen inkomna telegram. I den mån datoriserade klipparkiv används i tidningarnas publicistiska verksamhet bör dessa också anses som källregister i nu angiven mening.

Utredningen övervägde även om datalagen i vissa delar skulle kunna göras tillämplig på de register som nu har nämnts, exempelvis i fråga om en registeransvarigs allmänna skyldigheter. Utredningen fann emellertid att olika skäl, framför allt det nödvändiga behovet av att inskränka Datainspektionens tillsynsrätt, talar emot en sådan lösning.

Slutligen behandlade utredningen när det gäller personregistrering på massmediernas område frågan om datoriserade klipparkiv bör undantas från datalagen även i den del som de har andra ändamål än att tjäna tidningarnas publicistiska verksamhet.

Enligt utredningen kommer klipparkiven utan tvekan att bli känsliga från integritetssynpunkt. De kommer med tiden att innehålla en stor mängd personuppgifter, varav inte så få av känslig natur. Uppgifterna kommer att kunna återsökas, bearbetas och sammanställas med stor lätthet. Uppgifterna kommer vidare att bevaras under lång tid.

Det nu sagda talade enligt utredningen med viss styrka för att klipparkivregistren inte bör undantas från datalagen då de används för andra ändamål än att tjäna tidningarnas publicistiska verksamhet, t.ex. att ge allmänheten tillgång till registren.

Vid en samlad bedömning fann utredningen emellertid att den lämpligaste lösningen är att klipparkivregistren helt undantas från datalagens tillämpningsområde. Den nu angivna lösningen innebär att det blir tidningarna själva som får avgöra i vilken utsträckning som allmänheten får tillgång till klipparkiven. Det saknas enligt utredningen anledning att anta att tidningarna inte skulle kunna sköta denna uppgift med tillbörlig hänsyn till integritetsintressena.

Med den lösning som utredningen funnit lämplig för person— registrering för massmediernas del skulle dock framgent personregister som förs för administrativa ändamål, t.ex. löne- och personalregister, alltjämt omfattas av datalagens bestämmelser. Det får ankomma på exempelvis tidningarna att ha sina register ordnade så, att de uppgifter som omfattas av grundlagsskyddet förs skilda från de administrativa registren för att undvika att konflikter uppstår i samband med tillsyn och kontroll. Några särskilda regler härom ansåg utredningen dock inte vara erforderliga.

132 SOU l993:10

7.5 Remissutfallet

Flera remissinstanser är positiva till utredningens förslag hur konflikten mellan grundlagarna och datalagstiftningen bör lösas. Justitiekanslern anser att utredningens slutsats att produktionsregistren helt bör undantas från datalagens föreskrifter om tillsyn är välmotiverad. Inte heller källregistren bör enligt Justitiekanslern omfattas av datalagen. Kammarrätten i Göteborg delar utredningens uppfattning att datalagens regelsystem kan stå i strid med TF. Kammarrätten menar dock att det är vanskligt att bedöma avvägningen mellan offentlighets- och integritetsskyddsintressena med hänsyn till bestämmelsen i 2 kap. 3 å RF. Enligt Universitets- och högskoleämbetet bör produktions— och källregister undantas från datalagen. Lunds universitets juridiska fakultetsstyrelses forskningsnämnd delar utredningens uppfattning att datainspektionen inte bör ha tillgång till register över anonymitetsskyd- dade personer. Enligt nämnden hindrar detta emellertid inte att man i t.ex. datalagen tar in särskilda bestämmelser till skydd för den registrerade som kompletterar det skydd som TF ger. Forskningsnämn- den har samma uppfattning som utredningen när det gäller register som står i ett direkt tekniskt samband med sättnings- och tryckningspro- cessen.

I huvudsak positiva till utredningens förslag är vidare Kungliga Vetenskapsakademien, Humanistisk-samhällsvetenskapliga forsknings- rådet, Statskontoret, Svenska Bokförläggareföreningen och Annonsör- föreningen, Dagligvaruleverantörers Förbund, Direkthandelsföretagens Förening, Swedish Direct Marketing Association, Svenska Postorder- föreningen, Sveriges Marknadsförbund, Sveriges Reklamförbund, Sveriges Telemarketing Förening, Sveriges författarförbund, Sveriges Industriförbund, Svenska Arbetsgivareföreningen, Företagarnas Riksorganisation, Sveriges Akademikers Centralorganisation, Sveriges Psykologförbund och BIK-förbundet. Några remissinstanser är i princip positiva till utredningens förslag men har förordat längre gående undantag från datalagens tillämpningsområde. Juridiska fakultetsstyrel- sen vid Uppsala universitet anser att begreppet källregister inte bör avgränsas så snävt att det inte inkluderar det underlag som en journalist samlar in för en planerad artikel. Liknande ställnings- taganden intas av Sveriges Radio AB, Tjänstemännens Centralorga- nisation, Publicistklubben, Svenska journalistförbundet, Svenska tidningsutgivareföreningen, Pressens samarbetsnämnd och Föreningen Grävande Journalister. Om källregistren undantas från datalagens tillämpningsområde, bör enligt Pressens opinionsnämnd undantaget även omfatta material som en journalist samlar in som underlag för en planerad artikel.

Några remissinstanser framför kritiska synpunkter mot utredningens förslag. Riksdagens ombudsmän (JO Hans Ragnemalm) finner med

SOU 1993:10 133

hänvisning till 2 kap. 3 å RF att utredningen inte tillfredsställande har motiverat sitt förslag att exkludera så många register hos massmedierna från den kommande datalagens tillämpningsområde. Datainspektionen menar att målsättningen även i fortsättningen bör vara att det finns åtminstone grundläggande normer om personregistrering för massmedi- ernas register. Det bör enligt inspektionen vara möjligt att utan hinder av tryckfriheten tillgodose integritetsskyddsintressena i vart fall när det gäller den enskildes insynsrätt och ADB-säkerhet. Inspektionen framhåller också att begreppet källregister och andra begrepp som utredningen använder är svårtolkade. Enligt Lunds universitets juridiska fakultetsstyrelses forskningsnämnd är utredningens resone- mang beträffande register som utgör innehållsliga källor alltför onyanserat. Det rör sig om en konflikt mellan olika intressen. Regeln i 1 kap. 2 å TF besvarar inte på något självklart sätt hur konflikten skall lösas. Enligt nämnden är det snarast så att vart och ett av intressena har grundlagsstöd. Juridiska fakultetsnämnden vid Stock- holms universitet finner det rent begreppsmässigt och terminologiskt osäkert vilka undantag från datalagen som utredningen föreslår. Fakultetsnämnden kan vidare inte utan reservationer godta utred- ningens tolkning av gällande rätt, dvs. att TF och YGL som lex superior tar över datalagstiftningen, inklusive 2 kap. 3 å RF. Kon- flikter på grundlagsnivå bör enligt nämnden lösas mer nyanserat än vad utredningen förordar. Nämnden anser att både produktionsregister och källregister i princip bör kunna föras in under datalagens tillämpnings- område. Konflikterna med informationsfriheten får regleras på varje punkt där de föreligger eller uppkommer. Kritiska synpunkter framförs också av Samhällsvetenskapliga fakulteten vid Umeå universitet.

Flera remissinstanser uttalar sig över utredningens förslag att klipparkivregister bör undantas från datalagen även i den del som de har andra ändamål än att tjäna tidningarnas publicistiska verksamhet. Justitiekanslern anser att utredningens slutsats att klipparkivregistren helt bör undantas från datalagen är väl underbyggd. Enligt Justitie- kanslern kan det knappast uteslutas att villkor för allmänhetens tillgång får återverkningar beträffande registrens användning iden publicistiska verksamheten. Justitiekanslern betonar i sammanhanget att Pressens opinionsnämnd inte bör tas i anspråk för några uppgifter som skulle kunna föra in andra hänsyn än de pressetiska. Universitets- och högskoleämbetet delar utredningens förslag. Juridiska fakultetsstyrelsen vid Uppsala universitet framhåller att det är uppenbart att klipparkiv kan innehålla mycket känsligt material. Detta innebär emellertid inte att offentlig kontroll och lagstiftning måste sättas in. Först om det kommer fram belägg för oacceptabla integritetskränkningar bör lagstiftning övervägas. Positiva till utredningens förslag är också Statskontoret, Sveriges Radio AB, Svenska journalisgförbundet och Svenska tidningsutgivareföreningen.

134 SOU l993:10

Kritiska synpunkter saknas dock inte till utredningens förslag i sistnämnda fråga. Riksdagens ombudsmän säger sig vara särskilt tveksam till att undanta de från integritetsskyddssynpunkt mycket känsliga klipparkiven. Datainspektionen framhåller att de pressetiska reglerna och pressens egen bevakning inte omfattar pressens register— hållning. Denna bevakning utgör därför enligt inspektionen inget värn mot integritetskränkningar, även om de nuvarande massmedieföretagen bedrivs under seriösa former. Lunds universitets juridiska fakultetssty- relsens forskningsnämnd tar upp några frågor som ytterligare bör övervägas när det gäller klipparkiven. Följande frågor menar nämnden är relevanta. Är uppgifterna tidigare publicerade eller ej? Avser uppgifterna offentliga personer eller privatpersoner? Avser uppgifterna barn, ungdomar eller vuxna? Av vilken art är uppgifterna (enskilda levnadsöden, politiska handlingar, åsikter, brott, sjukdomar osv.)? För vilka syften är det illegitimt att använda uppgifterna? Vilken roll bör i sammanhanget tilläggas Pressens opinionsnämnd och Allmänhetens pressombudsman? Kritiska synpunkter när det gäller förslaget att klipparkiven skall ställas utanför datalagen framförs också av Sveriges Industriförbund, Svenska Arbetsgivareföreningen, Företagens Riks- organisation. Tjånsternännens centralorganisation menar att det inte finns någon anledning att begränsa allmänhetens möjligheter att aktivt inhämta samhällsinformation som har varit tryckt. När uppgifter ur klipparkiven används i kommersiellt syfte bör dock datalagen vara tillämplig. Enligt Landsorganisationen i Sverige bör datalagen innehålla grundläggande krav kring hanteringen av klipparkiven.

Pressens opinionsnämnd avvisar tanken att nämnden eller Allmän- hetens pressombudsman medverkar i Datainspektionens tillsyn av tidningar.

7.6 Överväganden

Utredningen har således i sina tidigare ställningstaganden kommit fram till att konflikter kan uppstå vid tillämpningen av TF och YGL samt datalagstiftningen, dels genom att datalagens regelsystem i viss utsträckning kan verka försvårande för framställningen av olika yttranden och dels genom grundlagarnas regler om anonymitetsskydd. Enligt utredningen har man att utgå från att grundlagsbestämmelsema skall tillämpas framför datalagstiftningen vid en konflikt dem emellan. Utredningen har också funnit att det vid den vägning som bör göras av olika skyddsintressen är rimligt att de grundlagsskyddade bestämmel- serna inom yttrandefrihetsområdet på det sättet tar över datalagen, även om skyddet mot otillbörligt intrång i den personliga integriteten i samband med personregistrering med hjälp av ADB numera också har viss grundlagsanknytning (se 2 kap. 3 å RF).

SOU l993:10 135

Utredningen har därför tidigare föreslagit att någon saklig ändring inte görs i nuvarande ordning. Däremot bör vissa förtydliganden göras i datalagen för att ange vilka slag av datasamlingar som bör tas undan från datalagens tillämpningsområde. Hit hör produktionsregister, dvs. personregister som används som ett direkt tekniskt hjälpmedel före eller vid framställningen av ett grundlagsskyddat yttrande. Vidare bör källregister, dvs. de register som är direkt avsedda som ett stöd för den journalistiska verksamheten, för programverksamheten etc., undantas. I den mån datoriserade klipparkiv används i tidningarnas publicistiska verksamhet bör dessa också anses som källregister i nu angiven mening.

Utredningen har även övervägt om datalagen i vissa delar skulle kunna göras tillämplig på de datasamlingar som nu har nämnts, ex— empelvis i fråga om en persondataansvarigs allmänna skyldigheter. Ut- redningen har emellertid funnit att olika skäl, framför allt det nöd- vändiga behovet av att inskränka datainspektionens tillsynsrätt, talar emot en sådan lösning.

Slutligen har utredningen i sina tidigare ställningstaganden när det gäller behandling av personuppgifter på massmediernas område behandlat frågan om datoriserade klipparkiv bör undantas från datalagen även i den del som de har andra ändamål än att tjäna tidningarnas publicistiska verksamhet. Efter att ha gått igenom och utförligt redovisat de argument som talar för och emot en sådan lösning har utredningen slutligt stannat för att klipparkiven helt bör undantas från datalagens tillämpningsområde. Det innebär bl.a. att det blir massmedieföretagen själva som får avgöra i vilken utsträckning som allmänheten får tillgång till klipparkiven med deras många gånger integritetskänsliga material. Enligt utredningens mening saknas det anledning att anta annat än att tidningarna m.fl. skulle kunna sköta denna uppgift med tillbörlig hänsyn till integritetsintressena.

Utredningen tar i den följande framställningen först upp frågan om normkonflikten mellan grundlagarna och datalagstiftningen. Därefter kommer utredningen att behandla frågan om klipparkiven bör undantas från datalagen i den del som de har andra ändamål än att tjäna tidningarnas publicistiska verksamhet.

Normkonflikten mellan grundlagarna och datalagstiftningen

Flertalet remissinstanser synes i och för sig godta utredningens slutsats att datalagstiftningen i viss utsträckning kan verka försvårande för framställningen av olika yttranden. Remissinstanserna har inte heller ifrågasatt utredningens påstående att det finns risk för att konflikter kan uppstå till följd av grundlagarnas regler om anonymitetsskydd. Några remissinstanser har emellertid ändå inte godtagit utredningens slutsats att TF och YGL skall äga företräde framför datalagstiftningen. Dessa remissinstanser har som skäl härför åberopat bestämmelsen i 2

136 SOU 1993:10

kap. 3 å RF. Tanken torde vara den att de konflikter som utredningen har pekat på rätteligen avser normkonflikter på grundlagsnivå.

Utredningen har svårt att ansluta sig till detta synsätt. Bestämmelsen i 2 kap. 3 å RF skall visserligen ses mot den bakgrunden att in- tegritetsfrågorna har en särskild vikt på ADB-området. Förmågan att skydda den personliga integriteten är nämligen av avgörande betydelse för utvecklingen på ADB-området. En grundförutsättning för att ADB- tekniken skall kunna utnyttjas är att människorna inte känner främ- lingskap och upplever tekniken som ett hot mot den personliga in- tegriteten. Genom bestämmelsen i 2 kap. 3 å RF fick integritetsskyddet på dataområdet en fastare förankring än genom målsättningsstadgandet i 1 kap. 2 å RF, som föreskriver att det allmänna skall värna den enskildes privatliv och familjeliv (prop. 1987/88:57, s. 6 och 9).

Även om integritetsskyddet genom 2 kap. 3 å RF således har fått grundlagsförankring, menar utredningen att det föreligger en prin- cipiell skillnad mellan föreskrifterna om förbud mot censur och andra hindrande åtgärder i TF och YGL samt bestämmelsen i 2 kap. 3 å RF. Som utredningen har framhållit i sina tidigare ställningstaganden riktar sig bestämmelserna i TF och YGL till myndigheter eller andra allmänna organ. Med det sistnämnda uttrycket avses även regeringen och riksdagen. TF och YGL förbjuder således Datainspektionen att vidta någon som helst åtgärd som kan verka hindrande på sätt anges i TF och YGL. Det nya stadgandet i 2 kap. 3 å RF har emellertid lagstiftaren - alltså riksdagen — som adressat. Enligt utredningen måste man mot bakgrund av det sagda utgå från att Datainspektionen, i såväl ett enskilt fall som vid normgivning, måste böja sig för TF och YGL, trots föreskriften i 2 kap. 3 å RF.

Utredningen utgår därför alltjämt från att TF och YGL vad gäller censurförbud och andra hindrande åtgärder tar över datalagstiftningen vid en eventuell normkollision.

Det kan naturligtvis sättas i fråga om det är rimligt att datalagen skall vika för TF och YGL med hänsyn till bestämmelsen i 2 kap. 3 å RF. Det finns dock enligt utredningen skäl som talar för att den nuvarande ordningen innebär en lämplig avvägning mellan de olika intressen som här står mot varandra.

De flesta av de här aktuella datasamlingarna torde normalt vara ganska harmlösa. Man kan emellertid inte bortse från att det i en del fall kan röra sig om datasamlingar med känslig information.

Av avgörande betydelse för principfrågan är emellertid enligt ut- redningen att den grundlagsskyddade friheten att yttra sig i skrifter och andra medier inte bör begränsas, om det inte är nödvändigt med hänsyn till motstående intresse. Något så uttalat intresse att en begränsning bör ske finns enligt utredningens mening inte. Man kan inte heller bortse från att de möjligheter som det här är fråga om för en myndighet att ingripa mot t.ex. tidningarna i förlängningen kan innebära ett hot mot den fria åsiktsbildningen. Det är mot denna

SOU 1993:10 137

bakgrund som utredningen menar att den nuvarande ordningen att TF och YGL vid normkonflikt tar över datalagen är den mest lämpliga.

Utredningen har således stannat för att nuvarande ordning enligt vilken TF och YGL i princip tar över datalagen vid konflikter är i huvudsak rimlig. Det är emellertid till undvikande av missförstånd angeläget att det i den blivande datalagen tas in en regel som anger i vilka fall lagen inte är tillämplig.

I det följande kommer utredningen närmare att diskutera de fall då den blivande datalagen inte bör vara tillämplig. Av de hittills förda resonemangen följer att det i princip inte rör sig om några sakliga ändringar som utredningen föreslår. Vad det handlar om är att utredningen försöker precisera när sådana normkonflikter föreligger som innebär att datalagen måste vika. Först behandlar utredningen produktionsregistren och sådana källregister som utgör register över anonymitetsskyddade personer. Därefter tar utredningen upp andra källregister.

Vad först gäller produktionsregistren, dvs. register som står i ett direkt tekniskt samband med sättnings- och tryckningsprocessen, föreslog utredningen under sitt tidigare arbete att de helt skulle undantas från datalagens tillämpningsområde. Dessa register används som ett direkt tekniskt hjälpmedel för att framställa tryckta skrifter och andra yttranden. Härav följer att de uppstår redan när de börjar att sättas upp och att de normalt är ganska kortvariga.

Utredningen fann visserligen att det inte var givet att all till- synsverksamhet av Datainspektionen skulle behöva leda till normkon— flikter. Vidare menade utredningen att den persondataansvariges allmänna skyldigheter enligt datalagstiftningen inte heller skulle behöva få denna konsekvens.

Utredningen fann det emellertid knappast praktiskt när det gäller till- synsverksamheten att låta datalagen få ett så begränsat tillämpningsut- rymme som det här skulle vara fråga om. Vad det i praktiken i så fall handlar om är att Datainspektionen skulle kunna besluta om villkor av mindre ingripande slag. Bortsett från den jämförelsevis ringa betydelse sådana villkor har för integritetsskyddet kan Datainspektionen inte - om dessa mindre ingripande villkor inte efterlevs - skärpa villkoren utan att 1 kap. 2 å TF eller 1 kap. 3 å YGL överträds. Mot bakgrund härav och även med hänsyn till de gränsdragningsproblem som här annars skulle uppstå ansåg utredningen att produktionsregistren helt bör undantas från datalagens regler om tillsynsverksamhet.

Vad därefter gäller datalagens föreskrifter om den persondataansva- riges allmänna skyldigheter kan det naturligtvis inte bestridas att det från integritetssynpunkt skulle ha ett visst värde om dessa föreskrifter gällde för produktionsregistren. Vad som ändå talar mot en lösning som innebär att reglerna om den persondataansvariges allmänna skyldigheter blir tillämpliga på produktionsregistren är att Datainspek- tionen knappast skulle ha några möjligheter att ingripa, om reglerna

138 SOU l993:10

inte efterlevs. Ingripanden från Datainspektionens sida - som i sista hand kan innebära ett förbud att behandla personuppgifterna - skulle nämligen med all sannolikhet komma i konflikt med 1 kap. 2 å TF och 1 kap. 3å YGL. Mot denna bakgrund förordade utredningen att datalagen inte heller i denna del skall kunna tillämpas på produktions- registren.

De allra flesta remissinstanserna har varit positiva till utredningens förslag vad gäller produktionsregistren. Några remissinstanser menar emellertid att det skulle vara av värde från integritetsskyddsynpunkt om datalagen vore tillämplig åtminstone i sådan utsträckning som det inte innebär någon risk för normkonflikt, exempelvis i fråga om en persondataansvarigs allmänna skyldigheter.

Som utredningen tidigare har kommit fram till är det tveksamt vilket värde en sådan begränsad tillämpning skulle ha. Här kan också tilläggas att det från integritetssynpunkt inte torde innebära några allvarligare betänkligheter om datalagen inte är tillämplig på pro- duktionsregistren. De datasamlingar som det här är fråga om torde i allmänhet inte vara speciellt integritetskänsliga, detta särskilt med tanke på att de många gånger är ganska kortlivade, även om ett eller annat kan vara av integritetskänsligt slag. Även uppgifternas karaktär är mestadels ganska harmlösa, t.ex. om det är fråga om datasamlingar som inrättas för tidningarnas familjesidor. Härtill kommer att produk- tionsregistren, vars innehåll normalt flyter in i en tidning, blir föremål för pressens självsanering. Enligt utredningens mening kan man utgå från att pressens egen bevakning när det gäller tillämpningen av god publicistisk sed utgör en tillräcklig garanti för att integritetsintressena så vitt nu är i fråga inte kommer att trädas för när.

Utredningens slutsats beträffande produktionsregistren är således alltjämt att de helt bör undantas från den blivande datalagens till- ämpningsområde.

Även när det gäller sådana källregister som utgör register över anonymitetsskyddade personer föreslog utredningen vid sina tidigare ställningstaganden att de skulle undantas från datalagens tillämpnings- område. Uppgifter om en meddelares identitet är visserligen skyddade enligt TF och YGL. Utredningens förslag i denna del grundade sig emellertid på att det finns en risk för att sådana uppgifter kan komma fram i andra situationer än då uppgifterna direkt efterforskas, t.ex. i samband med tillsyn av Datainspektionen.

De allra flesta remissinstanserna har godtagit utredningens förslag i denna del.

De datasamlingar som det här rör sig om är knappast, såvitt ut- redningen har kunnat komma fram till, speciellt integritetskänsliga. Det rör sig inte om några omfattande datasamlingar och uppgifterna om de enskilda är normalt harmlösa. Det finns således enligt utredningen inget stöd för att anta att de datasamlingar som det här är frågan om medför någon nämnvärd risk för otillbörligt intrång i den personliga

SOU l993:10 139

integriteten, i varje fall inte om man gör en mer allmän integritetsbe- dömning.

Från en synpunkt är dock de nu aktuella datasamlingarna särskilt känsliga, nämligen vad gäller just identiteten på den som har lämnat meddelanden till en tidning. Det är just vikten av att den enskilde meddelarens namn inte röjs som gör det så viktigt att anonymitets- skyddet är effektivt. Saken kan också uttryckas så att anonymitetens betydelse ligger just däri att den stannar exklusivt mellan medieföreta- get och meddelaren. Enligt utredningens mening kan det mot denna bakgrund hävdas att ett fullgott anonymitetsskydd är det i princip kanske viktigare sättet genom vilket integriteten skyddas.

Slutsatsen av det nu förda resonemanget bör enligt utredningen bli att datalagen inte bör vara tillämplig på datasamlingar som innehåller uppgifter som är omfattade av anonymitetsskyddet i TF och YGL.

Teoretiskt skulle man kunna tänka sig att låta datalagen vara tillämplig på nu aktuella datasamlingar utom såvitt gäller möjligheten för Datainspektionen att utöva tillsyn. De argument som utredningen ovan har framfört beträffande produktionsregistren till stöd för att helt undanta dem från datalagen kan emellertid enligt utredningen i allt väsentligt åberopas även beträffande de nu aktuella datasamlingarna. Utredningen har därför kommit till samma slutsats när det gäller de anonymitetsskyddade registren som beträffande produktionsregistren.

Utredningen går nu över och behandlar andra källregister än sådana som innehåller uppgifter om anonymitetsskyddade personer.

Utredningen föreslog under sitt tidigare arbete att även dessa käll- register uttryckligen skulle undantas från datalagens tillämpningsom- råde. Med källregister avsåg utredningen sådana datasamlingar som är direkt avsedda som ett stöd för den journalistiska verksamheten, för programverksamheten etc. Däremot avsåg utredningen inte datasam- lingar som närmast kan betecknas som litteratur- eller biblioteks— register. Till källregister hör inte heller material som en journalist samlar in som underlag för en planerad artikel. Tanken bakom utredningens förslag var att den tillsyn som Datainspektionen utövar kan verka väsentligt försvårande för framställningen av exempelvis en tidning och därmed komma i konflikt med 1 kap. 2 å TF eller 1 kap. 3 å YGL.

Utredningens förslag i denna del har fått ett blandat mottagande. Några remissinstanser, däribland Justitiekanslern, har tillstyrkt utredningens förslag. Andra remissinstanser, företrädesvis sådana med massmedial anknytning, har framhållit att till källregister bör hänföras också material som en journalist samlar in som underlag för en planerad artikel. Vissa remissinstanser har framfört kritik mot begreppet som sådant. Det är enligt dessa remissinstanser oklart vilken räckvidd ett uttryckligt undantag för källregister skulle få. Några remissinstanser torde mena med hänvisning till bestämmelsen i 2 kap. 3 å RF att det inte är så givet att datalagstiftningen skall vika för TF

140 SOU 1993:10

och YGL med tanke på den extensiva tolkning som utredningen har givit de aktuella bestämmelserna i TF och YGL.

Det förbud mot censur och andra hindrande åtgärder för framställ- ningen av olika yttranden som TF och YGL ställer upp är av funda- mental betydelse för den som vill yttra sig. Man kan utan överdrift hävda att förbudet utgör en förutsättning för det fria samhällsskick som vi värnar om. Det är mot denna bakgrund som utredningen har valt att tolka de aktuella paragraferna i TF och YGL extensivt.

Den av utredningen gjorda tolkningen kan naturligtvis diskuteras. Det skall inte förnekas att den slutsats som utredningen har kommit till med anledning av den gjorda tolkningen kanske kan leda för långt. De datasamlingar som utredningen avser med källregister har inte karaktären av en skrift eller annan framställning av ett yttrande.

Vad som också komplicerar bilden med ett uttryckligt undantag för källregister är, som har framhållits av flera remissinstanser, det något oklara begreppet. Som remissinstanserna framhåller kan tolkningspro- blem uppstå. Dessa problem kan leda till att Datainspektionen begränsas i sin verksamhet på ett sätt som inte är nödvändigt med hänsyn till TF och YGL.

Vad utredningen nu har sagt innebär inte något ifrågasättande av ståndpunkten att TF:s och YGL:s regler om förbudet mot censur och andra hindrande åtgärder skall tillämpas framför datalagstiftningen vid en konflikt dem emellan. Det problem som har aktualiserats genom remisskritiken är däremot om det i datalagen uttryckligen bör anges något undantag för källregistren.

De datasamlingar som utredningen närmast har åsyftat med begreppet källregister är exempelvis register över personer som har lämnat uppgifter till tidningar, alltså i praktiken register över med- delare. Andra exempel är datasamlingar, som är personrelaterade, över nyligen inkomna telegram. I den mån klipparkiven används för tidningarnas publicistiska verksamhet, eller annorlunda uttryckt journalisterna använder arkiven i sin journalistiska verksamhet, får klipparkiven anses utgöra källregister. Flera av de datasamlingar som förs hos Sveriges Radio—koncernen är också källregister i den ovan angivna meningen.

En del av de datasamlingar som här har nämnts kommer redan på grund av utredningens tidigare förslag att vara undantagna från den nya datalagens tillämpningsområde, på grund av att de är register över meddelare eller på grund av att de samtidigt har karaktär av pro- duktionsregister. Det är med andra ord något tveksamt vilken själv— ständig betydelse ett uttryckligt undantag för källregistren får.

Med hänsyn till vad utredningen nu har anfört om tolkningen av 1 kap. 2 å TF och 1 kap. 3 å YGL samt om tolkningen av begreppet källregister som sådant vill utredningen numera närmast förorda att något uttryckligt undantag inte görs i den kommande datalagen för källregister. Det skall understrykas att utredningens förslag givetvis

SOU l993:10 141

inte innebär att Datainspektionen får utöva sin tillsynsverksamhet på sådant sätt att de aktuella bestämmelserna i TF och YGL överträds.

Hittills har alltså utredningen föreslagit att produktionsregister och register över personer som åtnjuter anonymitetsskydd enligt TF och YGL uttryckligen skall undantas från datalagens tillämpningsområde. Förslaget till EG-direktiv innehåller, som har redovisats under avsnitt 7.2, en artikel enligt vilken medlemsstaterna i sin lagstiftning skall göra undantag för bl.a. pressen, radio och TV samt journalister så att yttrandefriheten inte kränks då personuppgifter behandlas i journalistis- ka syften (art. 9). Utredningens förslag att undanta produktionsregister och register över anonymitetsskyddade personer är i huvudsak förenligt med direktivförslaget.

I några avseenden går dock utredningens förslag längre. Utred- ningens undantag är således inte begränsat till pressen, radio och TV samt journalister. Även en författare som upprättar ett produktions- register för framställning av en bok, för att ta ett praktiskt exempel, omfattas av utredningens förslag till undantag. Något motsvarande undantag finns inte i förslaget till EG—direktiv. Inte heller är ut- redningens förslag begränsat till journalistisk verksamhet. Det som är avgörande enligt utredningens förslag är att det rör sig om fram- ställningen av en tryckt skrift eller ett yttrande som avses i YGL.

Klipparkiven

Som utredningen tidigare har redovisat har tidningarna alltmer börjat utnyttja ADB-tekniken för att arkivera artiklar som har varit publicera- de. Tanken med de datoriserade klipparkiven är bl.a. att de kan användas i tidningarnas publicistiska verksamhet. Genom datorise— ringen kan man snabbt och effektivt få fram tidigare publicerat material. De datoriserade klipparkiven har emellertid, som utredningen tidigare har redogjort för, också fått betydelse för annat än tid- ningarnas publicistiska verksamhet. Klipparkiven kan ställas till allmänhetens förfogande. I ett av de ärenden som var aktuellt hos regeringen och som har redovisats ovan gällde just frågan i vilken utsträckning som allmänheten skulle få ha åtkomst till ett datoriserat klipparkiv. Som tidigare har sagts är det inte bara tidningarna som använder ADB—tekniken som ett hjälpmedel vid arkivering. Både Sveri- ges Radio AB och Sveriges Television AB lagrar program med hjälp av ADB (datasamlingarna "Riksradions programdatabas" och "Nyhets— datorisering").

I sina tidigare ställningstaganden hävdade utredningen att klipparki— ven utgjorde källregister i den mån de används för tidningarnas publicistiska verksamhet. De skulle därmed enligt utredningens tidigare förslag vara undantagna från datalagens tillämpningsområde då de användes i den publicistiska verksamheten. Utredningen ansåg emellertid att klipparkiven borde undantas från datalagen även i den

142 SOU l993:10

del som de har andra ändamål. Utredningen framhöll bl.a. att klipparkiven visserligen är känsliga från integritetssynpunkt. Det rör sig emellertid, framhöll utredningen, bl.a. om register som innehåller endast ett återgivande av tryckta skrifter. Enligt utredningen borde allmänhetens frihet att aktivt inhämta samhällsinformation inte begränsas. Utredningen påpekade också att det saknas anledning att anta att tidningarna inte själva skulle kunna avgöra när allmänheten skall få tillgång till klipparkiven med tillbörlig hänsyn till integritetsin- tressena. Utredningens slutsats blev således att klipparkiven helt skulle undantas från datalagens tillämpningsområde. Vad utredningen anförde om klipparkiven var enligt utredningen i allt väsentligt tillämpligt också på motsvarande datasamlingar inom Sveriges Radio-koncernen.

Remissinstanserna synes i huvudsak ha godtagit utredningens förslag att klipparkiven och motsvarande datasamlingar hos radioföretagen skall vara undantagna från datalagens tillämpningsområde då de används av medierna uteslutande för framställning av yttranden. Remissinstansernas inställning till utredningens förslag att nu aktuella arkiv borde undantas från datalagen även i den del som de har andra ändamål var dock inte enbart positiv. Några remissinstanser har ställt sig tveksamma till eller avstyrkt förslaget. De negativa remissinstanser- na har framför allt hänvisat till att arkiven kan vara mycket känsliga från integritetssynpunkt.

I fortsättningen tar utredningen först upp frågan om klipparkiven bör undantas från datalagen i den del som de tjänar tidningarnas publicis- tiska verksamhet. Därefter redovisar utredningen sin uppfattning i frågan om klipparkiven bör undantas från datalagens tillämpningsom— råde även i den del som de har andra ändamål än att användas i tidningarnas publicistiska verksamhet. Vad utredningen i fortsättningen anför beträffande klipparkiven år tillämpligt också på motsvarande datasamlingar hos radioföretagen.

Som sas ovan ansåg utredningen tidigare att klipparkiven till den del de används för den publicistiska verksamheten närmast hade karaktären av källregister. Mot bakgrund härav föreslog således utredningen att klipparkivregistren borde undantas från datalagens tillämpningsområde.

Utredningen har numera, som har utvecklats ovan, kommit till slutsatsen att något uttryckligt undantag inte bör göras i den kommande datalagen för källregister. Skälet till att utredningen nu har denna uppfattningen är bl.a. att ett uttryckligt generellt undantag för alla slags källregister inte kan anses vara helt förenligt med 1 kap 2 å TF.

När det gäller just klipparkiven och dess användning i tidningarnas publicistiska verksamhet är det enligt utredningen uppenbart att dessa många gånger är en nödvändig förutsättning för framställningen av en tidning. Då klipparkiven användes i den nu nämnda verksamheten utgör de således datasamlingar som har betydelse för utövandet av en grundläggande fri- och rättighet, nämligen tryckfriheten.

SOU l993:10 143

Villkor meddelade av Datainspektionen som rör förandet av klipparkiven kan, om de är tillräckligt ingripande, bli väsentligt försvårande för framställningen av en tidning. Även om sådana villkor formellt inte står i direkt strid med 1 kap 2 å TF, utgör villkoren restriktioner från det allmännas sida i fråga om tryckfriheten.

Enligt utredningens uppfattning bör det inte vara möjligt för Datain- spektionen att begränsa tidningars egen tillgång till material som redan har publicerats utan att det finns mycket starka skäl härför. Med tanke bl.a. på de pressetiska reglerna och den höga etiska standard som den svenska pressen i huvudsak har, kan det enligt utredningen inte anses motiverat att av integritetsskäl låta Datainspektionen utöva någon tillsyn över tidningarna. De datoriserade klipparkiven bör därför uttryckligen undantas från datalagens tillämpningsområde i den mån de används i tidningarnas publicistiska verksamhet.

Utredningens förslag i denna del står också i överensstämmelse med förslaget till EG—direktiv. Förslaget innebär, som tidigare har sagts, att undantag från direktivet skall göras när pressen, audiovisuella media och journalister behandlar personuppgifter för journalistiska ändamål. Vid den närmare avvägningen hur undantaget skall bestämmas innebär direktivförslaget att hänsyn bl.a. skall tas till de pressetiska reglerna. Sistnämnda regler är, som utredningen har pekat på, av stor betydelse när det gäller skyddet för den enskildes integritet.

Frågan är då om klipparkiven — som utredningen tidigare har föreslagit - bör undantas från datalagen även i den del som de har andra ändamål än att tjäna tidningarnas publicistiska verksamhet. Som ovan har sagts har flera remissinstanser pekat på att klipparkiven kan bli mycket känsliga från integritetssynpunkt.

Utredningen vill för sin del helt instämma i att klipparkiven kommer att innehålla känsliga uppgifter. De kommer med tiden att bestå av en stor mängd personuppgifter, varav inte så få av känslig natur. Uppgifterna kommer att kunna återsökas, bearbetas och sammanställas med stor lätthet. Uppgifterna kommer vidare att bevaras under lång tid. Som ett exempel på en integritetskänslig bearbetning kan nämnas att alla artiklar som rör en persons brottsliga förehavanden inhämtas. En sådan sammanställning kan i praktiken jämställas med ett kriminal- registerutdrag. Sammanställningen är emellertid betydligt känsligare bl.a. därför att kriminalregistret gallras.

Vad som nu har sagts talar onekligen med viss styrka för att klippar- kiven inte bör undantas från datalagens tillämpning. En sådan ordning stämmer också väl med förslaget till EG-direktiv, som inte medger att något undantag görs från direktivet när det gäller behandling av nu aktuellt slag.

Om datalagen görs tillämplig till den del klipparkiven har andra ändamål än att tjäna tidningarnas publicistiska verksamhet, kommer uppgifter ur klipparkiven i endast ganska begränsad utsträckning att kunna lämnas ut till enskilda. Enligt utredningens förslag, som i allt

144 SOU l993:10

väsentligt grundar sig på förslaget till EG—direktiv, kommer en tidning att kunna lämna ut uppgifter endast i de fall som följer av 11 å förslaget till datalag. Utrymmet för utlämnande enligt den paragrafen är begränsat. Det torde i praktiken innebära att arkiven blir stängda för allmänheten. Ett alternativ är naturligtvis att, om datalagen är till- lämplig, göra ett undantag från bestämmelserna om utlämnande av uppgifter och medge att uppgifter från klipparkiven får lämnas ut. Det är emellertid enligt utredningen en tveksam ordning att avvika från förslaget till EG-direktiv genom att låta datalagen vara fullt ut till— ämplig på klipparkiven utom vad gäller just utlämnande av uppgifter.

Ett annat problem med att låta datalagen vara tillämplig har med den tekniska utveckligen att göra. När det gäller utländska tidskrifter finns det redan i dag hela årgångar på CD-ROM-skivor. Kostnaderna för att föra över informationen på CD-ROM-skivor kan förväntas sjunka kraftigt i framtiden. Frågan är då hur man skall hantera det problemet att man utomlands låter överföra äldre årgångar av svenska tidningar på CD-ROM-skivor, som därefter saluförs i Sverige.

Ytterligare problem med att låta datalagen vara tillämplig samman- hänger med hur reglerna om rättelseskyldighet etc. skall hanteras på datasamlingar som innehåller redan publicerade uppgifter.

En viktig invändning mot att utesluta allmänheten från tillgång till artiklar m.m. som har varit publicerade i tryckta skrifter är att en sådan begränsning i informationsfriheten är svår att godta i ett land där tryckta skrifter alltjämt får anses ha en dominerande betydelse för upp- lysning och åsiktsbildning i samhällsfrågor. När det gäller integritets- riskerna skall också framhållas att de pressetiska reglerna innebär att tidningar skall avstå från publicitet som kan kränka privatlivets helgd, om inte ett oavvisligt allmänintresse kräver offentlig belysning.

En ordning som innebär att datalagen inte är tillämplig på klipparki- ven, då de används i andra syften än i tidningarnas publicistiska verksamhet, står emellertid inte i överensstämmelse med förslaget till EG-direktiv. I direktivet talas det endast om att undantag får göras när det är fråga om behandling i journalistiska syften.

Ett alternativ till att låta tidningarna själva avgöra i vilken ut- sträckning som allmänheten skall få tillgång till klipparkiven är att i datalagen ta in föreskrifter som särskilt reglerar allmänhetens tillgång till klipparkiven. Detta alternativ skulle emellertid föranleda betydande gränsdragningsproblem.

En fråga som inställer sig är vilka begränsningar som skulle kunna göras i allmänhetens tillgång till datasamlingarna. Ett sätt att åstadkom- ma en begränsning är att låta allmänheten få tillgång endast till artiklar som är publicerade under de senaste åren. Ett sådant villkor avser alltså en tidsbegränsning. Ett annat sätt är att begränsa allmänhetens möjligheter att söka i datasamlingarna. En sådan begränsning skulle kunna gå ut på att allmänheten bara fick "bläddra" i datasamlingarna och på så sätt fick del av alla artiklar som var införda i tidningen

SOU 1993210 145

under en viss dag. En begränsning i sökmöjligheterna kan också åstadkommas genom att endast vissa ord är sökbara för allmänheten. Ytterligare ett sätt att begränsa allmänhetens tillgång till klipparkiven är att göra endast sådana uppgifter tillgängliga som rör offentliga personer. Tanken bakom en sådan begränsning skulle vara att offentliga personer i större utsträckning än icke offentliga personer får finna sig i att bli granskade av allmänheten. Andra möjliga begräns- ningar kan vara att allmänheten får tillgång till datasamlingarna endast om ett medgivande finns från den enskilde, om avsikten med utläm- nandet är att uppgifterna skall publiceras eller om uppgifterna behövs för forskning.

Man kan emellertid också peka på praktiska problem med en ordning som innebär att allmänheten får begränsad tillgång till klipparkiven. Det är således förenat med betydande kostnader om allmänhetens sökmöjligheter begränsas i förhållande till tidningarnas egna möjligheter. Det förutsätter stora ingripanden i ADB-systemen. Vidare är det naturligtvis mycket svårt att dra gränsen mellan offentliga och icke offentliga personer. Det är också svårt för tidningarna att bedöma riktigheten av ett påstående om att begärda uppgifter skall publiceras eller användas för forskning. Hur skall vidare gränsen dras mellan forskning och annan utredningsverksamhet? Ett villkor om tidsbegränsning torde däremot kunna hanteras praktiskt av tidningarna. Å andra sidan kan en tidsgräns inte bli annat än ett mycket trubbigt instrument. Man kan fråga sig varför allmänheten inte skulle kunna få tillgång till samhällsinformation som t.ex. är äldre än fem år.

En lösning som innebär att man i datalagen tar in föreskrifter som särskilt reglerar allmänhetens tillgång till klipparkiven skulle inte heller vara förenlig med förslaget till EG- direktiv. Även om vissa be— gränsningar i allmänhetens tillgång görs i enlighet med vad som har sagts ovan, skulle allmänheten få en större tillgång till klipparkiven än 11 å förslaget till datalag medger (jfr art. 7 i direktivförslaget). Möjligheterna att lämna ut uppgifter skulle således bli större än vad som följer av direktivförslaget.

Utredningen har sammanfattningsvis kommit till den slutsatsen att det inte är lämpligt att begränsa allmänhetens tillgång till klipparkiven genom att låta datalagen vara tillämplig. Det avgörande skälet är att datasamlingarna endast innehåller ett återgivande av tryckta skrifter, som allmänheten rimligen bör ha rätt att ta del av. Det är svårt att tänka sig en ordning som innebär att det ytterst skall vara Datainspekti- onen som genom villkor kan bestämma vilken tillgång allmänheten skall ha till tryckta skrifter.

Utredningen förslår således att klipparkiven skall undantas från datalagens tillämpningsområde även i den del som de har andra ändamål än att tjäna tidningarnas publicistiska verksamhet. Utred-

146 SOU l993:10

ningens förslag i denna del innebär, som har sagts ovan, en avvikelse från förslaget till EG—direktiv.

Avslutande synpunkter

Sammanfattningsvis föreslår utredningen alltså i detta kapitel att pro— duktionsregister och register över personer som åtnjuter anonymitets— skydd enligt TF och YGL uttryckligen skall undantas från datalagens tillämpningsområde. Inte heller bör enligt utredningen datalagen vara tillämplig på klipparkiven, vare sig dessa används för den publicistiska verksamheten eller för andra ändamål, eller på motsvarande datasam- lingar hos radioföretagen.

Det kan givetvis inte uteslutas att utredningens förslag leder till att persondataansvariga gör okynnesinvändningar om att datalagen inte är tillämplig, då Datainspektionen avser att utföra tillsyn. Problemet är i sig inte nytt, eftersom det enligt utredningens uppfattning redan idag förhåller sig på det sättet att inspektionen är förhindrad att utöva tillsyn över produktionsregister och register över anonymitetsskyddade personer. Frågan torde normalt få lösas på det sättet att den som uppger att hans personuppgifter är undantagna från datalagens tillämpningsområde måste göra sitt påstående härom antagligt. Ett sådant påstående kan givetvis endast göras antagligt om den personda- taansvarige gör gällande att han för ett produktionsregister eller ett register över personer som åtnjuter anonymitetsskydd och omständig- heterna i övrigt är sådana att man kan anta att sådana personuppgifter behandlas. Så länge han inte kan göra detta är det rimligt att Datain- spektionen får vidta de åtgärder som behövs för tillsynens utförande.

Några remissinstanser har tagit upp en närliggande fråga, nämligen den att någon börjar att ge ut en tidskrift bara för att kunna behandla olika personuppgifter utan Datainspektionens insyn. Enligt utred- ningens mening är dessa farhågor överdrivna. Det finns såvitt utredningen känner till inte i dag anledning att befara sådana illojala förfaringssätt. Det är emellertid viktigt att Datainspektionen är uppmärksam på utvecklingen. Om det i framtiden skulle visa sig att problem av nu aktuellt slag uppstår, får frågan då tas upp till förnyad prövning.

I sina tidigare ställningstaganden diskuterade utredningen möjlig— heten att låta allmänhetens pressombudsman på något sätt delta i Datainspektionens verksamhet. Tanken med en sådan ordning var att de massmediala intressena skulle kunna tillgodoses på ett lämpligt sätt. Några remissinstanser har framhållit att det är tveksamt om det är lämpligt att låta pressombudsmannen delta i Datainspektionens verksamhet. Utredningen, som har förståelse för dessa synpunkter, avstår därför från att föreslå någon sådan medverkan.

SOU l993:10 147

Utredningens förslag torde förutsätta en deklaration enligt art. 3 punkt 2 a) i Europarådets dataskyddskonvention om att konventionen inte tillämpas på vissa kategorier av personuppgifter.

m_- lm '; "Ӏt .

"|" ”'a' I . aj 'l' JMI . ",,,, w ; i. "it;-wti" iw **. .c ' .t- IW || 13% 'I .. " .' aff-:i. -_- _

.A', *.: . HF.-r: [RE.-lpi :|. .I & I' Ill.... "I. '-' '

.. . Witt"? u .. |

"13 *-”'i'h."l" .. nur. 5. .' *". (i'm-1:55? 'n: 1' :' '

i'lu' 1 Å.

.LIFT _.

., .."- - J.. :i.

_ f : att =

SOU 1993:10 149

8 Den materiella regleringen i datalagen; ett allmänt begrepp som obehörigt intrång i personlig integritet eller särskilda regler för de olika momenten i informations- behandlingen ?

8. 1 Gällande rätt

Den allmänna tillståndsregeln i datalagen har alltsedan lagens tillkomst varit utformad med utgångspunkt från begreppet otillbörligt intrång i personlig integritet. Enligt 3 å första stycket datalagen skall Datain— spektionen meddela tillstånd att inrätta och föra personregister om det saknas anledning att anta att det uppkommer otillbörligt intrång i registrerads personliga integritet. Inspektionen skall vid bedömningen ta hänsyn till möjligheten att meddela villkor för registret.

Vid bedömningen av om det föreligger risk för att otillbörligt intrång skall uppkomma skall inspektionen särskilt beakta arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall hämtas samt vilken inställning de som kan komma att registreras har eller kan antas ha till registret. Det måste dessutom särskilt beaktas att inte andra uppgifter eller andra personer registreras än som står i överensstämmelse med ändamålet med registret (3 å andra stycket).

I förarbetena till datalagen (prop 1973:33 s 93) uttalades att viss ledning kunde hämtas i sekretesslagen när det gällde att bedöma vilken information som skulle anses som särskilt ömtålig för den enskilde. Som exempel på information som den enskilde måste uppleva som ett påtagligt intrång nämndes uppgifter om begångna brott, ådömda och verkställda påföljder samt tvångsåtgärder inom barnavård, nykter- hetsvård eller psykiatrisk vård. Även uppgifter om genomgångna sjukdomar, läkarbehandling och mottagen socialhjälp togs upp. Uppgifter om en persons familjeförhållanden eller ekonomiska ställning kunde också enligt departementschefen upplevas som mycket ömtåliga.

En annan form av ömtåliga uppgifter som behandlades 1 förarbetena gällde enskildas åsikter, speciellt' 1politiska eller religiösa frågor Även

150 SOU 1993: 10

när det gällde värdeomdömen som betyg och liknande kunde det diskuteras i vilken utsträckning registrering borde få ske. Av stor betydelse för bedömningen från den enskildes synpunkt är ofta, sades det vidare i förarbetena, frågan om vem som får tillgång till den registrerade informationen. Avgörande är också hur stor mängd information som samlas på ett ställe.

De nu angivna omständigheterna skulle Datainspektionen beakta vid sin tillståndsprövning. De närmare principerna för tillståndsgivningen fick enligt motiven utbildas i praxis.

En kortare redogörelse för Datainspektionens praxis finns under avsnitt 8.2.

8.2 Olika uttalanden om begreppet otillbörligt intrång i personlig integritet

Offentlighets- och sekretesslagstiftningskommittén (OSK) m.m.

Ursprunget till den nuvarande datalagen var ett förslag från offentlig- hets- och sekretesslagstiftningskommittén (OSK) i betänkandet (SOU 1972:47) Data och integritet. Utgångspunkten för förslaget var att den enskilde borde tillförsäkras en sfär, som skyddar mot otillbörligt intrång från myndigheter och andra som kan uppfattas som utom- stående.

När det gäller att mera konkret ange skyddsområdet konstaterade OSK att det förelåg betydande gränsdragningsproblem, eftersom rätten att bli lämnad i fred aldrig kan vara absolut i ett modernt samhälle. En konflikt föreligger mellan å ena sidan den enskildes uppfattning om att viss informationsanvändning är ett hot eller en kränkning, och å andra sidan de allmänna och enskilda intressen som i vissa fall talar för att information av skilda slag måste få samlas in och användas för olika ändamål.

OSK ansåg att integritetsskyddet på ADB-området bäst tillgodosågs genom en tillståndsreglering som syftade till en avvägning mellan behovet av dataregister och riskerna för integritetsintrång. Tillstånds- givningen kunde enligt OSK, i då gällande läge, endast på ett fåtal punkter styras med lagbestämmelser. Tillståndsmyndigheten fick bygga upp en praxis med ledning av de allmänna synpunkter som framfördes i lagstiftningsärendet.

OSK avvisade tanken på att den enskildes samtycke skulle vara ett självständigt kriterium för att registrering skulle få ske. En sådan ordning skulle tvinga registerförarna att ha specialrutiner. Om en större eller mindre del av de personer som berördes av ett visst system motsatte sig registrering, fick det i stället beaktas inom ramen för tillståndsprövningen.

SOU 1993110 151

Remissinstanserna biträdde allmänt OSK:s uppfattning att den före- liggande intresseavvägningen för och emot upprättande av ADB- register inte kunde göras generellt utan bedömningen måste ske från fall till fall. Flera remissinstanser påpekade dock att det varken i den föreslagna lagtexten eller i motiven närmare angavs när "otillbörligt intrång i enskilds personliga integritet" skall anses föreligga utan att frågan överlämnats till praxis. Remissinstanserna hyste betänkligheter mot en sådan ordning och ansåg, att det bl.a. av rättssäkerhetsskäl krävdes att begreppet definierades i lagen. Även om det inte var möjligt att exakt definiera begreppet borde man ändå, ansågs det, ge en omfattande exemplifiering i motiven.

Departementschefen (prop 1973:33) anförde inledningsvis att problemet inte enbart kunde lösas genom generella föreskrifter om när personregister skall få inrättas och föras. I likhet med OSK ansåg departementschefen att frågan om otillbörligt integritetsintrång fick avgöras från fall till fall, dvs. beträffande varje särskilt register för sig. Till ledning för bedömningen borde arten och mängden av personupp- gifter som skall ingå i registret beaktas, liksom den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Uppgifter av särskilt känslig natur, t. ex. uppgifter om brott, tvångsingripande och olika former av vård, borde bara få registreras av myndighet som enligt lag eller annan författning hade att föra förteckning över uppgifterna. Även uppgifter om någons politiska och religiösa uppfattning borde bara få registreras i undan— tagsfall.

Konstitutionsutskottet (KU 1973:19) angav att det primära syftet med datalagen måste vara att tillgodose den enskildes behov av skydd för den personliga integriteten. Samtidigt måste lagstiftningen enligt utskottet värna om offentlighetsprincipens tillämpning också på ADB- området. Målet måste vara att på ett riktigt sätt tillgodose och mot varandra väga dessa olika intressen.

Innebörden av begreppet personlig integritet berördes inte närmare vid riksdagsbehandlingen.

Datalagstiftningskommittén (DALK) m.m.

Våren 1976 tillsattes datalagstiftningskommittén (DALK) som fick i uppgift att se över datalagen.

] direktiven till DALK den 11 mars 1976 konstaterades att förut- sättningarna för när tillstånd skulle ges var ganska obestämt angivna i lagen. Med tanke på att lagstiftningen avsåg ett helt nytt rättsområde stod, enligt departementschefen, någon annan lösning knappast till buds vid datalagens tillkomst. DALK borde pröva om inte de grunder efter vilka tillstånd skall meddelas kan anges med större utförlighet i lagen. Det rörde sig här om avvägningar som rätteligen borde

152 SOU l993:10

ankomma på lagstiftaren och inte på de rättstillämpande myndig— heterna.

DALK redovisade sitt uppdrag i denna del i betänkandet (SOU 1978:54) Personregister - Datorer - Integritet.

DALK förutskickade att önskemålet att åstadkomma en mer exakt definition var, liksom vid datalagens tillkomst, svårt att uppfylla. Många försök till definitioner av begreppet personlig integritet har gjorts, men dessa definitioner har antingen inte kunnat anges i lagtext, så att de ger ett tillfredsställande integritetsskydd, eller också blir definitionerna så snäva att man inte "i vart fall i dagens samhälle med dess krav på kollektivt ansvar kan tillåta dem". Som exempel på svårigheterna nämnde DALK att en del anser att personlig integritet är detsamma som individens kontroll över kunskap om honom. Enligt en liknande definition är det grundläggande kännetecknet på en effektiv rätt till personlig integritet den enskildes förmåga att kontrollera spridningen av information som rör honom. Ett annat försök till definition innebär att rätten till personlig integritet utgörs av den enskildes rätt att själv bestämma hur mycket han vill dela med sig till andra av sina tankar, känslor samt fakta om sin personliga tillvaro. Det är en rättighet som är grundläggande för att tillförsäkra honom värde och rätt till självbestämmande. Enligt ytterligare en definition uppkommer intrång i personlig integritet när det krävs av den enskilde att han skall tillhandahålla personuppgifter utöver den omfattning som de styrandes lagligt grundade behov tillåter och de styrande, när de väl har fått tillgång till personuppgifter, använder dessa för andra ändamål som inte hör samman med det för vilket informationen ursprungligen samlats in samt när användningen innebär att löfte om förtrolighet bryts.

DALK:s slutsats mot bakgrund av den då pågående debatten var att den enskilde medborgaren borde ha rätt och möjlighet att själv vara med och bestämma i vilka sammanhang uppgifter om honom borde få utnyttjas och hur det skulle ske, men att det måste beaktas att motstående intressen från samhällets sida eller från olika grupper ofta måste medföra inskränkningar i denna rätt. Enligt DALK fanns det inte underlag för att i datalagen föra in en generell regel om vad som avses med begreppet personlig integritet och man avstod från något förslag i den delen. I stället skulle övervägandena inriktas på att i lag utförligare ange grunderna för tillståndsprövningen. I det hänseendet ansåg DALK bl.a. att stor vikt borde fästas vid om en viss information användes för ett annat ändamål än den ursprungligen var avsedd för. Det fanns enligt DALK skäl för att bedöma en sådan ändring som otillbörlig, även om det rörde sig om uppgifter som i och för sig var av tämligen banal natur.

Slutsatsen för DALK:s del blev mot denna bakgrund att myndigheter endast borde få inrätta och föra sådana personregister som behövdes för att de skulle kunna utföra sina uppgifter enligt lag eller annan

SOU 1993:10 153

författning. Företag och organisationer borde endast få inrätta sådana personregister som behövdes för deras verksamhet.

Remissinstanserna delade överlag uppfattningen att det knappast gick att åstadkomma en legaldefinition. Flera ansåg dock att det var en brist att man inte kommit längre. Till dessa hörde Datainspektionen, som dock inte själv kunde bidra med en definition. Inspektionen ansåg dock inte att bristen var alltför besvärande, eftersom det i praktiken 1 det stora hela råder enighet om begreppets innebörd. Inspektionen ansåg det därför inte ändamålsenligt att försöka definiera begreppet personligt integritet.

Många instanser ansåg dock att de nya självständiga kriterier för till- ståndsprövningen som DALK föreslagit skulle ge begreppet en något mera preciserad innebörd än vid datalagens tillkomst. Bristen på precisering kunde emellertid medföra att Datainspektionen delvis får överta rollen som lagstiftare. Enighet syntes råda om att det bör vara en uppgift för lagstiftaren och inte en administrativ myndighet att bestämma principerna för integritetsskyddet.

Regeringen (prop 1978/ 79: 109) föreslog utifrån DALK:s betänkande vissa tillägg och förtydliganden till datalagen. Beträffande den närmare innebörden av begreppet personlig integritet uttalade departements- chefen att det givetvis var viktigt att grunden för tillståndsprövningen enligt datalagen angavs så noga som möjligt i lagen. Det mötte emellertid enligt departementschefen stora svårigheter att i lag genom en generell regel ange vad som menas med personlig integritet. Han var inte heller övertygad om det ändamålsenliga i att låsa fast tillämpningen genom en legaldefinition. Det var i stället mera fruktbart att, som DALK föreslagit, undersöka huruvida ytterligare självständiga kriterier kunde införas i lagen i syfte att underlätta den avvägning mellan motstående intressen som tillståndsprövningen innebär. DALKS förslag godtogs således i huvudsak.

Konstitutionsutskottet (KU 1978/79: 37) uppehöll sig inte närmare vid begreppet personlig integritet.

DALK fick genom tilläggsdirektiv i uppgift att föreslå rationalise- ringar i tillståndsprövningen. I promemorian (Ds Ju 1981 : 15) Tillstånd och tillsyn enligt datalagen redovisade DALK ett förslag att man i fortsättningen i datalagen borde definiera och avgränsa vilka person- register som bör vara föremål för tillståndsprövning, i stället för att som dittills diskutera vilka personregister som skulle undantas från ett i princip heltäckande tillståndskrav. I det sammanhanget kunde man utgå från de faktorer som enligt lagen ansågs vara av särskild betydelse vid prövning av risken för otillbörligt intrång. Hit hör arten av uppgifter, dvs. om dessa är att anse som särskilt känsliga, vidare att det saknas naturlig anknytning mellan den registrerade och den registeransvarige såsom ett kund- eller medlemsförhållande, att uppgifterna används i andra sammanhang än som från början varit avsikten samt den registrerades inställning. När det gäller den

154 SOU l993:10

registrerades inställning delade DALK den tidigare uppfattningen att man inte kan ställa krav på medgivande i varje enskilt fall. I stället får man utgå från att den enskilde är beredd att godta sådan registrering som sker i enlighet med beslut av regeringen eller riksdagen. Detsam- ma bör gälla registrering som på annat sätt följer av lag eller annan författning eller som utgör en naturlig del av den enskildes mellan- havanden med den registeransvarige, dvs. i sådana fall där registre- ringen är förutsebar och överblickbar för den enskilde.

Remissinstanserna lämnade i huvudsak DALK:s förslag utan erinran.

Regeringen (prop 1981/82:189) anslöt sig i allt väsentligt till DALKS förslag.

Konstitutionsutskottet (KU 1981/82:33) uppehöll sig inte närmare vid själva begreppet personlig integritet.

Datainspektionens praxis m.m.

Datainspektionens praxis har redovisats i en tioårsskrift år 1983. I den finns uttalanden som kan ge viss ledning om inspektionens syn på begreppet personlig integritet. Dåvarande generaldirektören konstaterar i skriften att någon absolut integritet aldrig har förekommit i ett samhälle. Trots detta är det enligt denne möjligt att definiera en sådan absolut integritet. Man skulle kunna slå fast att ingen människa, grupp av människor eller samhället får samla in, lagra, bearbeta eller använda information om en enskild utan hans eller hennes samtycke i varje enskilt fall, oavsett om sådan informationsbehandling är till fördel, nackdel eller saknar betydelse för den enskilde. Detta skulle ge var och en kontroll över hans eller hennes information. Men samhället skulle inte fungera och den enskilde skulle inte få den service han eller hon begär. Definitionen är därför enligt Datainspektionens dåvarande chef egentligen bara intressant som utgångspunkt för de undantag från integriteten vi anser att vi bör tillåta.

År 1983 presenterades också två vetenskapliga studier av datain- spektionens verksamhet, dels en doktorsavhandling inom statsvetenska- pliga institutionen vid Umeå universitet, betecknad "Datainspektionen och skyddet av den personliga integriteten i ADB-system", dels en licentiatavhandling vid institutet för rättsinforrnatik, Stockholms universitet, betecknad "God personregistersed? En undersökning av datainspektionens styrelsebeslut" (IRI-rapport 1983z4).

I doktorsavhandlingen konstateras sammanfattningsvis att analysen av Datainspektionens praxis inletts i förhoppningen att avslöja myndig- hetens egen definition på personlig integritet och otillbörligt intrång, men att den ambitionsnivån måst överges. Intervjuer med ledning och handläggare erbjöd visserligen vissa hållpunkter för en fortsatt analys men lät sig inte reducera till någon enhetlig definition av otillbörligt intrång i den personliga integriteten.

SOU 1993:10 155

Enlig licentiatavhandlingen är praxis i fråga om tolkningen av begreppet otillbörlig registrering vacklande. Någon stabilitet i de faktorer som påverkar avvägningen har inte kunnat iakttas. Intresset personlig integritet har inte heller preciserats. Begreppet " god person- registersed" formas av följande principer enligt denna undersökning. - Beslut om kontroll av de enskilda medborgarna bör vara politiska

och bygga på en så bred medborgaropinion som möjligt; man bör av hänsyn till det psykologiska klimatet i samhället värna om att kontrollen inte blir alltför effektiv. - Man bör vara mån om god datakvalitet. - Möjligheten att använda data i sammanhang som de inte från början avsetts för aktualiserar en mängd hot mot den personliga integrite- ten; hoten förstärks om den registrerade inte är medveten om användningsändamålen. - Ju effektivare och mera komplext ett ADB-system utformas, desto större blir riskerna för otillbörligt intrång. - Krav på rättsskydd måste uppställas vid beslutsfattande som baserar sig på ADB-registrerade uppgifter; personuppgifter skall vara relevanta för sitt ändamål, riktiga, aktuella och fullständiga. - Krav på säkerhet och kontroll i form av insyn bör ställas. Tillsammans utgör principerna enligt avhandlingen grunden för begreppet god personregistersed, vars innehåll formas genom en avvägning mellan den enskildes psykologiska behov av sekretess och rättsskydd samt intresset av en rationell informationshantering. Ut- slagsgivande för denna avvägning år enligt avhandlingen de politiska beslut som anger vilka allmänna intressen som får inskränka den enskildes rättsskydd. Man kan enligt avhandlingen anse att dessa intressen bör uppfylla ett visst mått av godtagbarhet för att det inte skall ske intrång i den personliga integriteten.

Konstitutionsutskottets granskningsbetänkande

Konstitutionsutskottet redovisade i ett betänkande (KU 1983/84:30) regeringens handläggning av vissa datafrågor. Granskningen torde ha kommit till stånd bl.a. med hänsyn till påståenden om att regeringen ändrat på datainspektionens beslut i en stor omfattning.

Undersökningen avsåg ett 70-tal ärenden under den tid lagen varit i kraft. Ungefär hälften av dessa hade inneburit att Datainspektionens beslut ändrats.

Utskottet konstaterade att många ärenden under handläggningen i regeringen tillförts nytt material varför frågan ofta kommit i ett annat läge och att ansökningar om tillstånd troligen i flera fall skulle ha bifallits av Datainspektionen, om den haft tillgång till materialet. Utskottet konstaterade vidare att regeringen i några fall beslutat om inrättande av personregister utan att först inhämta i datalagen före- skrivet yttrande av Datainspektionen. Utskottet förutsatte att departe—

156 SOU 1993:10

meriten i fortsättningen beaktar datalagens föreskrifter i detta hän- seende.

Utskottet hade vidare vissa erinringar mot användningen av SPAR, dvs. det statliga person- och adressregistret, för direktreklamändamål. Utskottet uttalade sig också om Folksams register för administration av gruppsakförsäkringar och om frågan om tillstånd för försöksverksam- het med personregister. Utöver vad sålunda anförts föranledde granskningen inte något yttrande från utskottet.

I en reservation (m, c, fp) ansågs att utskottet, såvitt gäller registret för administration av gruppsakförsäkringar, borde ha yttrat följande: "I beslutet angående registret för administration av gruppsakför- säkringar har regeringen framfört att särskilda skäl att tillåta registret har förelegat bl.a. på grund av att registret behövdes för en rationell försäkringsadministration. Utskottet kan inte dela regeringens bedömning på denna punkt. Regeringens tolkning innebär enligt utskottet en utvidgning av begreppet särskilda skäl som inte kan anses stå i överensstämmelse med stadgandets syfte. "

Den datapolitiska propositionen

I prop. 1984/85:220 om datapolitik anfördes under rubriken Datateknik och den personliga integriteten bl.a. synpunkter på frågan om risker för integritetskränkning som en följd av datateknikens användning inom den offentliga sektorn.

Den kanske mest diskuterade integritetsfrågan rörde enligt pro- positionen samköming och kontroll. Ekonomiska och rationella skäl talar i många fall för att myndigheterna bör använda datatekniken i sin kontrollverksamhet. Exempel på detta är samkörningar för kontroll av olika bidrag samt räntekontroller med hjälp av olika bankregister. Den debatt det här är fråga om rör i själva verket hur långt man skall acceptera myndigheternas kontroll av medborgare, alltså i stort sett samma debatt som man tidigare har fört. Det är emellertid också en fråga om de uppgifter som används för kontroll är riktiga i sak och därtill rättvisande för de uppgifter som skall kontrolleras.

Det måste enligt propositionen anses vara ett berättigat samhällsin— tresse att försöka hindra att människor tillskansat sig fördelar på andra människors bekostnad genom lögnaktiga uppgifter och skenför- faranden. Här kan datatekniken i många fall vara ett bra och accepta- belt hjälpmedel för kontroll. Samtidigt är det naturligtvis viktigt att se till att kontrollen inte utförs på ett sådant sätt att den otillbörligt kränker den enskildes integritet. Betydelsefullt är också att det finns praktiska rutiner för att korrigera när registeruppgifterna har lett till felaktiga åtgärder.

Vad det handlar om är enligt propositionen först och främst att göra en avvägning mellan samhällets och den enskildes intressen. Å ena sidan är det viktigt att de rättigheter och skyldigheter som har lagts fast

SOU l993:10 157

genom statsmakternas beslut också skall tillkomma var och en i enlighet med dessa beslut. Å andra sidan har vi kravet på skydd för den personliga integriteten. Ett mål för regeringen måste vara att datateknikens användning för samkörning och kontroll utformas med full respekt för den enskildes integritet.

Detta är enligt propositionen ofta en svår avvägning. Intressena kan förefalla motstridiga. Men i grunden borde det här inte vara någon egentlig motsättning mellan samhällets krav och den enskildes intressen. Från båda håll är det ju fråga om att tillgodose de enskilda medborgarnas berättigade anspråk; en rättvis fördelning av rättigheter och ett tillräckligt skydd för privatliv och familjeliv.

Konstitutionsutskottet (KU 1985/8625) avgav yttrande över pro- positionen och konstaterade därvid bl.a. att diskussionen framför allt är koncentrerad till de olika risker för integritetskränkningar som kan uppkomma till följd av datateknikens användning inom den offentliga sektorn, där den mest inträngande och känsliga informationen om den enskilde finns.

I en avvikande mening till konstitutionsutskottets yttrande uttalas att samhällsintressena inte får drivas så långt att den enskilda människans berättigade krav på personlig frihet och okränkbarhet sätts åsido.

Data- och offentlighetskommittén (DOK) m.m.

I maj 1984 tillsattes data- och offentlighetskommittén (DOK). DOK har överlämnat fem delbetänkanden under den gemensamma huvudtiteln Integritetsskyddet i informationssamhället.

I sitt tredje delbetänkande (Ds Ju 1987:8) Grundlagsfrågor konstate- rade DOK att det varken i svensk lagstiftning eller i svensk doktrin finns någon enhetlig definition av vad som menas med personlig integritet. En allmän uppfattning om begreppet personlig integritet och integritetsskyddet, såväl i vårt land som utomlands, torde emellertid enligt kommittén vara att det innefattar en rätt för den enskilde att själv bestämma vilka uppgifter om sig själv och sina personliga förhållanden som han eller hon skall lämna ifrån sig och hur dessa uppgifter skall användas och spridas. Kommittén ansåg det mindre ändamålsenligt med en lagregel som definierar begreppet personlig integritet utan anser att frågan måste avgöras från fall till fall. De om- ständigheter som gör sig gällande för den personliga integritetens del är arten av de personuppgifter som inhämtas och registreras, hur dessa uppgifter används, hur de sprids samt mängden av uppgifter som samlas på ett och samma ställe. Av stor betydelse är också om de insamlade uppgifterna är korrekta och aktuella.

Trots den oklara definitionen av begreppet personlig integritet ansåg DOK fördelarna med ett grundlagsfäst skydd för den personliga integriteten överväga nackdelarna med ett sådant uttalande i grundlag. DOK lade därför i betänkandet fram ett förslag att i den s.k. fri- och

158 SOU 1993:10

rättighetskatalogen i regeringsformens andra kapitel skulle skrivas in ett skydd för den enskildes personliga integritet i datasammanhang.

Remissinstanserna tillstyrkte, med några få undantag, förslaget till grundlagsskydd eller lämnade detta utan erinran.

Departementschefen (prop. 1987/88:57) konstaterade i likhet med DOK att det inte går att ge den personliga integriteten en närmare definition som rättsligt begrepp. I propositionen sades vidare att begreppet dock inte bör uppfattas som något statiskt utan mycket väl kan ha olika innebörd vid skilda tidpunkter och förhållanden.

Konstitutionsutskottet framhöll i sitt av riksdagen godkända betänkande (KU 1987/88: 19 s. 3), att den personliga integriteten inte kunnat ges en närmare definition som ett rättsligt begrepp samt att den mycket väl kan ha olika innebörd vid skilda tidpunkter och för- hållanden samt att detsamma gäller det otillbörlighetsrekvisit som används i datalagen.

Sedan den 1 januari 1989 finns i den s.k. fri- och rättighetskatalogen i 2 kap. regeringsformen en grundregel om skydd för den enskildes personliga integritet vid dataregistrering (3 å andra stycket). Be- stämmelsen har följande lydelse.

Varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databe- handling.

Grundlagsskyddet är inte absolut utan gränserna skall enligt grundlags— bestämmelsema närmare anges i lag. Därmed torde i första hand avses en särskild dataskyddslag.

8.3 Europarådets konvention

Konventionen innehåller grundläggande principer för dataskydd. Uppgifter som undergår automatisk databehandling skall ha erhållits och skall behandlas på ett korrekt och lagligt sätt. Uppgifterna skall också lagras för särskilt angivna och lagliga ändamål och de får inte användas på ett sätt som är oförenligt med dessa ändamål. Vidare föreskrivs att uppgifterna skall vara ändamålsenliga, relevanta och inte onödiga för de ändamål för vilka de lagras. De skall vara riktiga och, om nödvändigt, hållas aktuella. Beträffande gallring gäller att upp- gifterna skall bevaras på ett sådant sätt att de registrerade personerna inte kan identifieras under längre tid än som är nödvändigt med hänsyn till ändamålet med lagringen. (Art. 5.)

Bestämmelser om vissa känsliga typer av personuppgifter finns i art. 6 som innehåller en uppräkning av de slags uppgifter som inte får undergå automatisk databehandling, såvida inte nationell lag ger ett

SOU 1993:10 159

ändamålsenligt skydd. Sådana uppgifter är personuppgifter som avslöjar ras och politiska åsikter, uppgifter om hälsa och sexualliv samt uppgifter som hänför sig till att någon dömts för brott.

Undantag från art. 5 och 6 får göras i nationell lagstiftning endast om det är nödvändigt för att skydda statens säkerhet och liknande eller för att skydda den registrerade personen eller andra personers fri- och rättigheter.

Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgif- ter mot oavsiktlig eller otillåten förstörelse m.m. (art. 7). Vissa ytterligare skyddsåtgärder för registrerade personer finns i art. 8. Bl.a. gäller att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.

8.4 Förslaget till EG-direktiv

Förslaget till EG-direktiv innehåller i kapitel 11 materiella bestämmel- ser som anger hur personuppgifter skall behandlas i olika hänseenden.

Till en början finns i kapitlet bestämmelser om datakvalitet, bl.a. om ändamålsanknytning och om kravet på att personuppgifter som behandlas skall vara riktiga och fullständiga. Därefter anges under vilka förutsättningar som personuppgifter får behandlas, varvid särskilda bestämmelser finns om känsliga uppgifter. De materiella bestämmelserna i kapitel 11 i direktivförslaget innehåller också regler om den enskildes rätt till information om behandling av personuppgif- ter, rätt till insyn och rätt till rättelse och komplettering av personupp— gifter. Slutligen regleras i kapitlet frågor om bl.a. datasäkerhet och underrättelse till datskyddsmyndigheten.

8.5 Utredningens tidigare ställningstaganden

I datalagen anges att vid bedömningen av om otillbörligt intrång kan uppkomma skall särskilt beaktas arten och mängden av de personupp- gifter som skall ingå i registret, hur och från vem uppgifterna skall inhämtas samt den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Vidare skall särskilt beaktas att inte andra uppgifter eller andra personer registreras än som står i överensstämmelse med ändamålet med registret.

En allmän uppfattning om begreppet personlig integritet och in- tegritetsskyddet, såväl i vårt land som utomlands, torde vara att det innefattar en rätt för den enskilde att själv bestämma vilka uppgifter om sig själv och sina personliga förhållanden som han eller hon skall lämna ifrån sig och hur dessa uppgifter skall användas och spridas (jfr redovisningen av DOK:s delbetänkande i avsnitt 8.2).

160 SOU l993:10

Den enskildes fredade sfär är emellertid inte helt okränkbar. Intrång i den personliga integriteten måste få tillåtas, om andra och viktigare intressen påkallar det. Den oenighet som kan finnas om integritetsskyd- dets omfattning rör närmast vilka dessa övergripande intressen kan vara. Denna fråga kan i sin tur inte besvaras utan att hänsyn också tas till exempelvis arten och mängden av de uppgifter om den enskilde som skall registreras och i vilka sammanhang de är avsedda att före- komma.

I datalagen anges också vilka personuppgifter som får bedömas som mer integritetskänsliga än andra, exempelvis rörande brott, hälsotill- stånd, sexualliv, ras, politisk uppfattning eller övertygelse i övrigt.

Medan mängden och slaget av uppgifter om en person, dvs. närmast en såväl kvantitativ som bedömning, kan ge viss ledning när det gäller att avgöra omfattningen av ett intrång i integriteten, krävs alltid en kvalitativ avvägning för att slutligt svara på frågan huruvida intrånget kan anses "otillbörligt", dvs. gå utöver vad den enskilde bör tåla. Oftast innefattar denna vägning huvudsakligen att ta ställning till huruvida det allmännas intresse eller något annat allmänt intresse tar över den enskildes rätt till en fredad sfär.

Detta innebär att ett stort antal registrerade uppgifter om den enskilde inte behöver vara otillbörligt kränkande, om de kan motiveras av ett godtagbart ändamål eller behov. Å andra sidan kan en enstaka uppgift i sig vara av sådant slag att den inte bör få registreras, även om den behövs för ett uppgivet allmänt intresse.

Uppfattningen om hur avvägningen av den enskildes intressen på in- tegritetsområdet närmare skall göras i förhållande till det allmännas intresse kan växla från tid till annan och mellan olika länder. I vårt land reser också den grundlagsreglerade handlingsoffentligheten, dvs. principen om allmänna handlingars offentlighet vissa särskilda frågor på området. En utgångspunkt i Sverige, liksom i jämförbara länder, för avvägningen mellan den enskildes och det allmännas intressen är emellertid att den enskildes intresse inte redan från början skall anses vara underordnat det allmännas intresse.

I frågan om hur den närmare avvägningen skall utfalla kan emellertid meningarna gå isär. Tydligast kan skillnaderna framträda när det gäller att avgöra vilket intresse som skall vika - den enskildes eller det allmännas - om det inte råder bred enighet om vad som väger tyngst. Ett annat sätt att uttrycka detta är att ange vem som skall anses ha "bevisbördan", den enskilde eller det allmänna, för utfallet av denna prövning.

Dessa grundläggande frågor synes inte ha diskuterats i någon nämn- värd omfattning vid det reformarbete som hittills har gällt integritets— skyddet på dataområdet. Enligt utredningens mening bör otillbörlig- hetsrekvisitet i datalagen ytterligare kunna preciseras, så att den nödvändiga avvägning som måste göras mellan intrångets omfattning,

SOU l993:10 161

å ena sidan, och ändamålet eller behovet av personregistreringen, å andra sidan, kommer till klarare uttryck i lagtexten.

8.6 Remissutfallet

Remissinstanserna har ansett det angeläget med en ytterligare precise- ring av begreppen personlig integritet och otillbörligt intrång. I flera yttranden betonas vikten av att det så långt möjligt klargörs hur avvägningen mellan den enskildes intresse och motstående intressen skall göras. Juridiska fakultetsnämnden vid Lunds universitet under- stryker att de grundläggande avvägningarna bör göras av lagstiftaren genom så långt möjligt preciserade regler i själva lagtexten.

8.7 Överväganden

Den debatt som varit under de snart tjugo år som datalagen varit i kraft och de reformförsök som gjorts berättigar till slutsatsen att begreppet "otillbörligt intrång i den personliga integriteten" inte låter sig definiera. Det är beroende av en vägning av motstående intressen. Endast om den enskilde ges en absolut rätt att freda sig mot varje intrång i integriteten, dvs. i sin privata sfär, eller om undantagen går att exakt avgränsa skulle en definition vara möjlig. Något allmänt stöd för uppfattningen att den enskilde skulle ha en absolut rätt till uppgifter om sin person föreligger inte. Fallen där intrång skall vara tillåtet och således inte " otillbörligt" växlar beroende på vilka utgångspunkter som väljs.

Utredningen har i sina hittillsvarande överväganden ansett att intrång i den personliga integriteten måste få tillåtas, om andra och viktigare intressen påkallar det och att den oenighet som kan finnas om integritetsskyddets omfattning rör närmast vilka dessa övergripande intressen kan vara. Denna fråga kan i sin tur inte besvaras utan att hänsyn också tas till exempelvis arten och mängden av de uppgifter om den enskilde som skall behandlas och i vilka sammanhang de är tänkta att förekomma.

Enligt utredningens tidigare ställningstaganden borde otillbörlighets— rekvisitet i datalagen ytterligare kunna preciseras, så att den nöd— vändiga avvägning som måste göras mellan intrångets omfattning, å ena sidan, och ändamålet eller behovet av personregistreringen, å andra sidan, kommer till klarare uttryck i lagtexten.

Den praxis som har redovisats från inspektionens sida under de år datalagen varit i kraft ger inte underlag för några säkra hållpunkter när det gäller att ange hur gränserna för den önskvärda vägningen bör vara utformade. Fallen är många gånger enbart av kasuistisk natur, dvs. har

162 SOU l993:10

en räckvidd som inte går utöver det enskilda fallet. Motsvarande gäller de fall där regeringen efter överklagande träffat det slutgiltiga avgörandet.

De utländska bestämmelserna på området synes över huvud taget inte arbeta med begrepp motsvarande "otillbörligt intrång". I stället anges genom de materiella bestämmelserna var gränserna för in- tegritetsintrång går, låt vara att intrång i den enskildes personliga integritet ytterst kan få förekomma genom uttryckligt stöd i lag eller motsvarande.

Den utgångspunkt förslaget till EG-direktiv har i denna del är att laglig ADB-hantering av personuppgifter förutsätter att den enskilde samtyckt till behandlingen. Denna regel är emellertid inte undantags- lös. Det innebär att någon absolut rätt för den enskilde inte är förut- satt. Direktivet anvisar, i de fall samtycke eller avtal inte föreligger, ytterst att en vägning mellan den persondataansvariges legitima intresse och den enskildes intresse måste göras. För användning inom den offentliga sektorn finns ett krav på att behandlingen skall behövas för att utföra en uppgift i det allmännas intresse eller i myndighetsutöv- nlng.

Förslaget till EG-direktiv innehåller dock en rad materiella be- stämmelser som i sig är gränssättande. Motsvarande uppbyggnad har flera av de utländska dataskyddslagarna (se bilaga 4).

Sammantaget ger således den hittillsvarande nationella och in- ternationella utvecklingen närmast stöd för att de gränser för in- tegritetsskyddet som bör framgå av en datalag inte bör utgå från ett så obestämbart och svårfångat begrepp som "otillbörligt intrång". Istället bör lagen mera direkt ange den vägning mellan motstående intressen som bör ske när integritetsintrång i strid med den enskildes mening skall vara tillåtet på ADB-området.

I enlighet med vad som nu har anförts har i förslaget till ny datalag införts regler för de olika momenten i informationsbehandlingen. Lagen innehåller regler om bl.a. den nödvändiga anknytningen till ett ändamål, förutsättningarna för behandling av personuppgifter, vilka personuppgifter som får behandlas, formen för samtycke från den enskilde och gallring av personuppgifter. I lagen finns också angivet vilken typ av uppgifter som skall anses som känsliga. Känsliga personuppgifter får enligt utredningens förslag behandlas endast om den enskilde samtycker till det på visst sätt eller om behandlingen sker med stöd av lag eller annan författning. Genom en fyllig reglering av villkoren för behandling av olika typer av personuppgifter har utredningen alltså försökt att i lagen ange hur avvägningen mellan skyddet för den enskildes integritet och andra motstående intressen skall göras. De föreslagna bestämmelserna överensstämmer till stora delar i sak med den reglering som finns i förslaget till EG-direktiv. Vissa av de avvikelser som förekommer har behandlats i avsnitt 5 och

SOU l993:10 163

övriga avvikelser tas upp i berörda avsnitt i den allmänna motiveringen och i specialmotiveringen.

SOU 1993:10 165

9 Specialreglering genom s.k. stats- maktsregister

9. l Nuvarande ordning

Personregister om vars inrättande riksdagen eller regeringen beslutar är enligt 2 a å datalagen undantagna från kravet på tillstånd.

Om ett sådant s.k. statsmaktsregister innehåller uppgifter som i annat fall skulle ha medfört tillståndsplikt, skall dock yttrande inhämtas från Datainspektionen innan beslut om att inrätta registret fattas (2 a å första stycket andra meningen). När Datainspektionen avger ett sådant yttrande skall en bedömning av registret ske enligt samma grunder som vid prövning av ett tillståndsärende (11 å dataförordningen).

Datainspektionen kan även meddela beslut om villkor för dessa register, i den män inte regeringen eller riksdagen har meddelat något villkor i samma hänseende (6 a och 18 åå datalagen).

Datalagens bestämmelser om den registeransvariges skyldigheter, om tillsyn samt om straff och skadestånd gäller även för statsmakts- registren. Datainspektionen kan dock beträffande sådana register inte förbjuda fortsatt förande eller återkalla något tillstånd (18å andra stycket).

I de fall ett statsmaktsregister utvidgas, måste det prövas om utvid- gningen är sådan att den kan jämställas med att ett nytt register inrättas. I sådant fall måste ett yttrande från Datainspektionen inhämtas.

I förarbetena till datalagen (prop 1973:33 s 97) anförde departe- mentschefen att det av flera skäl var nödvändigt att särbehandla vissa statliga personregister. För det första borde riksdagen kunna besluta om inrättande av personregister för riksdagens egen verksamhet eller verksamheten hos organ som är underställda riksdagen. Vidare förekommer på den offentliga sektorn personregistrering av sådan vikt från allmän och enskild synpunkt att det är nödvändigt att frågan om registrens inrättande förbehålls statsmakterna själva. Det förutsattes att statsmakterna beslutar om inrättande av ADB—register endast i sådana fall då det är starkt motiverat med hänsyn till registrets betydelse eller med hänsyn till övriga omständigheter. Under remissbehandlingen av OSK:s förslag hade också påpekats att ett tillstånd av Datainspektionen i exempelvis de fall inrättandet av ett register beslutats av regeringen

166 SOU 1993:10

och riksdagen eller av endera av statsmakterna skulle få karaktären av en överprövning av statsmakternas beslut.

Frågan om inrättandet av ett statsmaktsregister kan tas upp i en proposition. Det har ibland varit oklart om ett riksdagsbeslut som inneburit att medel anvisats för bl.a. ett register också inneburit att ett nytt register skulle inrättas. Konstitutionsutskottet (KU 1984/ 85:25) har framhållit vikten av att inrättande av statsmaktsregister kommer till klart uttryck i propositioner och i andra sammanhang.

Det finns ett stort antal personregister som regleras genom särskilda registerförfattningar. Registerlagarnas innehåll varierar beroende på bl.a. vid vilken tidpunkt lagarna kommit till och den uppfattning om vad som borde regleras som då var rådande. En del registerlagar fanns redan när datalagen infördes. Dessa äldre registerlagars primära mål har inte varit att värna om integriteten utan de innehåller främst regler om vad som skall registreras och hur information får spridas. Nyare registerlagar kompletterar eller ersätter delvis datalagens integritets— skydd. De kan innehålla bestämmelser om registerändamål, registeran- svar, registerinnehåll, sökbegrepp (dvs. eventuella begränsningar i sökmöjligheterna), utlämnande av uppgifter och regler om gallring. Ibland kompletteras lagarna med förordningar. Datainspektionen kan också komplettera med föreskrifter eller villkor i den mån riksdagen eller regeringen inte utfärdat sådana. Det finns också ett antal registerförordningar med bestämmelser om register.

Riksdagens revisorer har i en rapport om ADB och integritet (rapport 1991/9228) med utgångspunkt från dels Datainspektionens uppgifter om samtliga yttranden enligt 2 a å datalagen t.o.m. novem- ber 1991 dels SFS-registret upprättat en förteckning över registerför- fattningar. Förteckningen har tagits in som bilaga 6.

Vid datalagens tillkomst ansågs det viktigt att Datainspektionens yttrande alltid inhämtades, innan statsmakterna beslutade om inrättande av ADB-register (prop 1973:33 s 98). Vid en granskning av regering— ens handläggning av ärenden enligt datalagen som KU gjorde 1984 (KU 1983/84:30) uppmärksammades att det hade förekommit att regeringen på grund av förbiseende hade inrättat personregister utan att först hämta in yttrande från Datainspektionen. Inspektionen uppgav också vid utfrågning inför utskottet att utvidgningar av register i några fall hade varit att anse som inrättande av nya sådana, varför in- spektionen borde ha fått yttra sig. Vidare hade inspektionen ibland fått yttra sig på ett allt för sent stadium. Vid en förnyad granskning 1986 konstaterade KU att regeringen i ytterligare några fall hade underlåtit att hämta in yttrande från inspektionen (KU 1985/86:25). KU framhöll i sitt granskningsyttrande på nytt betydelsen av att avsikten att inrätta ett statsmaktsregister kommer till klart uttryck i propositioner och andra sammanhang.

Av de totalt 213 yttranden som Datainspektionen avgivit till riksdag och departement under perioden den 1 juli 1986 - den 31 december

SOU l993:10 167

1989 har inspektionen bedömt endast 32 utgöra verkliga yttranden enligt 2 aå datalagen. För tiden efter den 30 juni 1990 redovisas yttranden enligt 2 a å särskilt i inspektionens diarium. Enligt diariet avgavs fyra sådana yttranden under sista halvåret 1990. Under 1991 avgavs sammanlagt åtta yttranden och under första halvåret 1992 tre yttranden.

Endast en mindre del av registren regleras genom särskild register— författning. I författningar av äldre datum föreskrivs endast att register skall hållas. Däremot anges inte särskilt slag av lagringsmedia.

9.2 Data- och offentlighetskommittén (DOK)

I sitt fjärde delbetänkande (SOU 1987:31) Integritetsskyddet i informationssamhället 4, Personregistrering och användning av personnummer föreslog DOK att ytterligare myndighetsregister med känsliga personuppgifter skulle regleras i särskilda registerlagar. Målsättningen bör, enligt kommittén, vara att alla register med ett stort antal registrerade och ett kvalificerat innehåll skall specialregleras om uppgifterna i registret är föremål för en inte obetydlig extern sprid- ning. I första hand föreslogs att vissa register hos Socialstyrelsen, landstingen, kommunerna (socialtjänst och skolhälsovård) samt Riksförsäkringsverket/försäkringskassorna skulle regleras i registerla- gar. Något förslag om registerlagstiftning beträffande register inom den privata sektorn lades inte fram. Detta berodde bl.a. på att avvägningen mellan enskilda och allmänna intressen inom den privata sektorn ansågs vara lättare att göra och att spridningen från de privata registren kan begränsas i större omfattning. Dessutom menade man att det finns ett större inslag av frivillighet i samband med registrering i privata register.

Den föreslagna registerlagstiftningen syftade till att åstadkomma en ingående prövning och debatt om innehållet i och utformningen av de från integritetssynpunkt mest känsliga registren. Registerlagstiftningen ansågs också kunna bidra till att avlasta Datainspektionen.

9.3 Uttalanden i tidigare lagstiftningsärenden

DOK:s förslag om en reglering av känsliga personuppgifter i vissa myndighetsregister genom särskilda registerlagar (se avsnitt 9.2) tillstyrktes vid remissbehandlingen av i stort sett samtliga remissinstan- ser. I den proposition 1990/91:60, Offentlighet, integritet och ADB som följde på DOK:s förslag anförde departementschefen att hennes bedömning av behovet av särskilda registerlagar överensstämmer med DOK:s förslag. En målsättning bör vara, att i de fall register med ett

168 SOU 1993: 10

stort antal registrerade och ett särskilt känsligt innehåll inrättas, bestämmelser skall meddelas i form av lag. Detta gäller särskilt i de fall uppgifterna i registret sprids externt i inte obetydlig omfattning.

Om uppgifter används för strikt avgränsade ändamål i ett register där de primärt har registrerats, t.ex. inom försvaret eller arbetsmark- nadsutbildningen och i många kommunala sammanhang behövs däremot i regel ingen Specialreglering. I dessa register kan integritets— skyddet tillgodoses genom Datainspektionens tillståndsprövning. Om de uppgifter som ingår i registret i sådana fall inte är sekretesskydda- de, kan det övervägas om en utvidgning av bestämmelserna i sekre- tesslagen är en väg att uppnå ett bättre integritetsskydd.

Vad gäller den privata sektorn uttalades i propositionen att det för närvarande inte finns något uttalat behov av registerlagar inom den sektorn.

Propositionen 1990/91:60 om offentlighet, integritet och ADB behandlades i konstitutionsutskottets betänkande 1990/9lzKU11. Beträffande frågan om behovet av särskilda registerlagar anförde utskottet att det allmänt sett är av stor betydelse att en författnings- reglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerade i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Utskottet delade uppfattningen att register hos Socialstyrelsen, landstingskommunerna, kommunerna och Riksförsäkringsverket bör regleras i särskilda registerlagar. Likaså ansåg utskottet att det krävs ingående överväganden i fråga om vilka register inom dessa områden som bör lagregleras.

Utskottet förutsatte att frågan om vilka övriga register som bör regleras kommer att ägnas en fortlöpande uppmärksamhet från regeringens sida och att åtgärder kommer att vidtas för att få till stånd sådana regleringar. Något särskilt uttalande från riksdagens sida var enligt utskottets mening därmed inte nödvändigt.

Utskottets uttalande godtogs av riksdagen (rskr. 160). Med anledning av en proposition om ändring i sekretesslagen (prop. 1991/92:73 Sekretess inom rättsväsendets informationssystem) har konstitutionsutskottet i sitt av riksdagen godkända betänkande (1991/92zKU 23, rskr. 119) framhållit bl.a. att det är av stor vikt att de ADB-register som innehåller integritetskänsliga uppgifter regleras genom särskilda registerlagar.

9.4 Europarådets konvention

Vissa särskilda slags uppgifter får inte undergå automatisk databehand- ling om inte nationell lag (domestic law) ger ett ändamålsenligt skydd (art. 6). Det gäller personuppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa och sexualliv. Det gäller också

SOU 1993210 169

personuppgifter som hänför sig till att någon dömts för brott. Av kommentaren till bestämmelsen framgår att med uttrycket domestic law avses inte bara lagstiftning utan också annan författningsreglering, så länge den nödvändiga skyddsnivån säkerställs.

9.5 Förslaget till EG—direktiv

Direktivförslaget innehåller särskilda bestämmelser om känsliga uppgifter. Med känsliga uppgifter avses uppgifter om ras eller etniskt ursprung, politisk uppfattning, religiös eller annan filosofisk över- tygelse, facklig tillhörighet eller uppgifter som rör hälsotillstånd eller sexualliv. Utgångspunkten är i förslaget till EG—direktiv att sådana uppgifter inte får behandlas (art. 8.1).

Vissa undantag görs emellertid från den nu nämnda huvudregeln. Den enskildes samtycke konstituerar ett sådant undantag (art. 8.2.a). Vidare får medlemsstaterna, om viktiga allmänna intressen talar för det, tillåta behandling av de aktuella känsliga personuppgifterna genom en särskild reglering i lag eller annan författning eller genom beslut av dataskyddsmyndigheten. En förutsättning är då att man anger vilken typ av uppgifter det gäller, till vem sådana uppgifter får lämnas ut och vem som får vara persondataansvarig. Lämpliga skyddsbestämmelser skall också ställas upp (att. 8.3).

I artikel 8.4 tas som känslig uppgift upp personuppgifter som hänför sig till att någon har dömts för brott och i artikel 8.5 ges föreskrifter om användningen av bl a personnummer.

I artikel 18.4 och 5 ges olika alternativ för regleringen av sådan behandling som innefattar särskilda risker för enskildas rättigheter och friheter. Som exempel nämns i kommentarerna behandling av speciella slag av uppgifter. En möjlighet är att särskilt reglera sådan behandling i lag eller annan författning. Olika slags besked av dataskyddsmyndig- heten i anslutning till sådan behandling godtas emellertid också. Det kan antingen vara fråga om ett regelrätt tillståndsbeslut (art. 18.5) eller ett slags besked (conclusions) med anledning av en granskning från dataskyddsmyndighetens sida av den anmälan som den persondataan- svarige har gett in till myndigheten (art. 18.4). Beskedet skall lämnas inom 15 dagar från det anmälan gjordes.

9.6 Utredningens tidigare ställningstaganden

Utredningen har inte tidigare närmare diskuterat frågan om behovet av registerlagar och andra s.k. statsmaktsregister. Utredningen har dock vid sin behandling av register för forskning och statistik förordat att vissa av principerna för dessa registers förande tas in direkt i datala—

170 SOU 1993:10

gen. Vad som därvid skulle kunna komma i fråga är de grundläggande reglerna om informerat samtycke och de fall då sådant samtycke kan undvaras, inklusive de fall som rör registerforskning. På motsvarande sätt har utredningen förordat att vissa grundläggande bestämmelser för personregistreringen i anställningsförhållanden tas in i datalagen. En regel om att uppgifterna i registren i princip skall samlas in direkt från den anställde och att de i princip inte får lämnas ut utan hans med- givande skulle kunna tas in liksom principiella bestämmelser om registreringen av uppgifter av medicinsk karaktär eller sådana som gäller omdömen såsom prestationsmätning o.d. I övrigt har utred- ningen i sina tidigare ställningstaganden uppehållit sig vid hand— läggningen av statsmaktsregister. I denna del har utredningen uttalat bl.a. följande.

Ett stort antal av de personregister som innehåller integritetskänsliga uppgifter har tillkommit efter beslut om särskilda registerlagar och kompletterande förordningar. Den noggranna beredningen och beslutsprocessen i lagstiftningsärenden har ansetts ge en bättre garanti för ett gott integritetsskydd i fråga om särskilt känsliga register än vad som är möjligt att uppnå vid en tillståndsprövning av Datainspektionen. Till detta synsätt kan också ha bidragit svårigheterna att precisera begreppet personlig integritet och otillbörligt intrång.

Det nuvarande förfarandet, som i allt väsentligt har fungerat bra, bör kunna användas i ett nytt tillsynssystem. Om handläggningen av dessa register bör alltså gälla följande.

I den mån inspektionen i en särskild författning fått bemyndigande härom, bör inspektionen kunna meddela kompletterande verkställig- hetsföreskrifter. Datainspektionen bör vidare liksom i dag kunna meddela villkor för det enskilda registret, om inte riksdagen eller regeringen har meddelat villkor i samma hänseende.

Likaså bör inspektionen ha rätt och skyldighet att yttra sig i samma omfattning som f.n., innan riksdag eller regering fattar beslut om personregistrering.

Det kan därvid enligt utredningens mening inte gärna komma i fråga att ge inspektionens yttrande en annan tyngd än det har i dag, när det gäller beslut av statsmakterna om inrättande av ett visst register. Det innebär att inspektionens yttrande inte är något annat än en del -' må vara en viktig del — av riksdagens eller regeringens beslutsunderlag. Det gäller så mycket mer som såväl regering som riksdag i stor utsträckning redan nu beaktar de synpunkter som inspektionen för fram i sina yttranden över statsmaktsregister. Mot bakgrund av att osäkerhet i en del fall i dag kan råda om när i beredningen av ärendet in- spektionens yttrande skall inhämtas och att inspektionen enligt egen uppgift i några fall kommit in i ett sent skede och därför inte fått erforderlig tid för sin granskning, bör emellertid reglerna härom förtydligas (jfr. KU 1985/86:25).

SOU l993:10 171

9.7 Remissutfallet

Endast några få remissinstanser har i sina yttranden berört frågan om handläggning av statsmaktsregister. De anser att den nuvarande ordningen bör behållas.

9. 8 Överväganden

Redovisningen i det föregående visar att det under årens lopp har tillkommit en lång rad s.k. statsmaktsregister. Uttalanden om prin- ciperna för den fortsatta specialregleringen har gjorts av riksdagen.

Av särskilt intresse för den fortsatta utvecklingen på området är be- stämmelserna i förslaget till EG-direktiv. Enligt artikel 8 får vissa känsliga uppgifter inte bli föremål för automatisk databehandling utan att den enskilde har samtyckt till detta, uttryckligen och skriftligen. Undantag från den nu angivna regeln medges bara om det är påkallat av väsentligt allmänt intresse. Det förutsätts dock att det finns en särskild författningsreglering eller ett tillståndsförfarande. Därvid skall anges vilka uppgifter som får behandlas, vem som får ha tillgång till uppgifterna och vilka som får vara persondataansvariga. Lämpliga skyddsbestämmelser skall också ställas upp. Detta skall jämföras med regleringen i den nuvarande datalagen av känsliga uppgifter. Be- stämmelserna, som finns i 4 å, tillåter registrering men bara om det finns synnerliga eller särskilda skäl. Det förutsätts alltså att en intresseavvägning sker mellan integritetsintresset och andra utom- stående intressen.

Som utredningen utförligt utvecklar i avsnitt 13 bör det nuvarande tillståndsförfarandet i datalagen avskaffas och ersättas med ett renodlat tillsynsförfarande. Skall man följa direktivförslaget återstår därför bara en ordning med författningsreglering såvitt gäller de känsliga uppgifter som tas upp i artikel 8 i förslaget till EG-direktiv.

Vad som talar emot en lösning med författningsreglering är framför allt det betydande behov som den för med sig av en ytterligare framtida reglering genom statsmaktsregister. Särskilt inom den offentliga sektorn behandlas känsliga uppgifter i många olika samman- hang och en konsekvens av den nu diskuterade ordningen skulle bli att dessa uppgifter inte skulle få behandlas i fortsättningen om inte det fanns en reglering i författning av behandlingen av uppgifterna, om man nu bortser från de säkerligen få fall inom den offentliga sektorn där det kan bli aktuellt med samtycke. På den privata sektorn skulle man väl i flertalet fall kunna påräkna samtycke från den enskilde men även här torde det i en del fall komma att krävas författningsstöd.

Enligt utredningens mening talar emellertid övervägande skäl för en reglering i enlighet med det alternativ i förslaget till EG-direktiv som

172 SOU l993:10

innebär författningsstöd. Därigenom kan de mot den enskildes integritet stående intressena, t.ex. statens eller kommunernas kontroll- behov på skilda områden, prövas med den noggrannhet som föregår antagandet av en författning. Någon tveksamhet behöver inte heller uppstå hos den enskilde persondataansvarige om en behandling av känsliga uppgifter är tillåten eller inte. För såväl denne som den vars personuppgifter det gäller ökar förutsebarheten, vilket i sin tur leder till en högre grad av rättssäkerhet. Till detta kommer att Datainspektio- nens tillsyn underlättas, eftersom ett bedömningsmoment som kan innebära svåra avvägningar av skönsmässig karaktär faller bort. En sådan reglering är också i linje med riksdagens uttalanden att det är av stor vikt att de ADB-register som innehåller integritetskänsliga uppgifter regleras genom särskilda registerlagar. Slutligen bör erinras om att kravet på författningsreglering tar sikte enbart på några aspekter av informationsbehandlingen. Några fullständiga registerförfattningar är det alltså inte tal om.

De känsliga uppgifter som nämns i artikel 8 i direktivförslaget har med något undantag sin motsvarighet i bestämmelserna i 4 å och 7 å andra stycket datalagen. I 4 å datalagen tas emellertid upp en rad andra känsliga uppgifter och i 6 å andra stycket nämns som känsliga uppgifter sådana som utgör omdömen eller andra värderande upp- lysningar om den enskilde. Även i en ny datalag bör dessa ytterligare uppgifter bli föremål för särskilda restriktioner. En sådan ordning torde vara helt förenlig med bestämmelserna i artikel 18.4 och 5 i direktivförslaget. Enligt dessa bestämmelser får medlemsstater i lag eller annan författning särskilt reglera viss behandling som utgör särskilda risker för enskildas rättigheter och friheter. Som exempel nämns i kommentaren behandling av speciella slag av uppgifter. Ett alternativ till lag eller annan författning är beslut av dataskyddsmyn- dighet. Enligt bestämmelserna i artikel 18.4 har dataskyddsmyn- digheten inom femton dagar från en anmälan om en behandling som innebär särskilda risker för enskildas rättigheter och friheter att undersöka behandlingen. Som närmare framgår av avsnitt 13 har utredningen valt att inte ge Datainspektionen möjlighet att meddela beslut om tillstånd till behandling av känsliga uppgifter med hänsyn till de betydande fördelar som är förenade med ett renodlat system med tillsyn. Under avsnitt 13 har utredningen vidare avfärdat en ordning med en tidsfrist för Datainspektionens granskning av amnälningar. Skälet härför är att ett system med en tidsfrist i praktiken torde innebära att man via bestämmelserna om anmälningsskyldighet behåller det partiella tillståndsförfarandet till förfång för ett renodlat system med tillsyn. Kvar står således att även för de ytterligare typer av känsliga uppgifter som nu har diskuterats en ordning med författ- ningsreglering bör väljas.

I enlighet med vad som nu har sagts har utredningen tagit upp en bestämmelse om behandling av känsliga uppgifter i 20 å i lagförslaget.

SOU 1993:10 173

Utredningen har också, med stöd av 20 å, föreslagit vissa särskilda bestämmelser om behandling av känsliga uppgifter för forsknings- eller statistikändamål och för anställningsändamål i 30 - 35 åå i förslaget till ny datalag. De angivna bestämmelserna behandlas närmare i avsnitt 10 och 11 samt i specialmotiveringen. I den utsträckning registerlagarna bara reglerar vissa moment av informationsbehandlingen, blir i övrigt de allmänna bestämmelserna i datalagen att tillämpa.

I sammanhanget bör framhållas att i förhållande till ett framtida EG- direktiv, som Sverige blir bundet av genom EES-avtalet eller genom ett medlemskap i EG, de olika speciallagarna givetvis får behandlas på samma sätt som den allmänna datalagen. Det blir alltså inte möjligt att genom särskilda registerlagar införa lösningar som står i strid med de principer som följer av EG-direktivet.

Utredningen har i sina tidigare ställningstaganden utgått från att det nuvarande förfarandet för handläggning av s.k. statsmaktsregister skall användas även i det nya tillsynssystemet. En del förändringar bör dock genomföras.

En förändring sammanhänger med hur Datainspektionens tillsyn avses ske i det nya systemet. Som närmare utvecklas i avsnitt 14 kommer tillsynen att gå ut på att se till att behandlingen av personupp- gifter sker i enlighet med vad som gäller för den ifrågavarande behandlingen. Skulle personuppgifter behandlas i strid med gällande bestämmelser får Datainspektionen meddela villkor. Syftet med villkoret är att åstadkomma rättelse. Några villkor av den typ som enligt nuvarande datalag kan meddelas för ett s k statsmaktsregister blir däremot inte möjliga i det nya systemet.

De materiella bestämmelser som kommer att gälla för behandlingen av personuppgifter blir i första hand datalagen och de särskilda registerlagarna. De allmänna bestämmelserna i datalagen blir, som tidigare har nämnts, att tillämpa i den mån registerlagarna bara reglerar vissa moment i informationsbehandlingen. Till detta kommer de särskilda föreskrifter som regeringen eller Datainspektionen kan meddela med stöd av 36 å i förslaget till datalag eller motsvarande bemyndigande ide särskilda registerlagarna. Dessutom kan regeringen, eller efter bemyndigande Datainspektionen, med stöd av 8 kap 13 å första stycket 2 regeringsformen meddela föreskrifter om behandlingen av personuppgifter inom den statliga förvaltningsorganisationen.

Enligt nuvarande ordning för handläggning av s.k. statsmaktsregister skall yttrande inhämtas från Datainspektionen innan beslut att inrätta registret fattas, om registret avses innehålla uppgifter som i annat fall skulle ha medfört tillståndsplikt. Antalet sådana yttranden har under de senaste åren legat på en ganska jämn nivå. Under det sista halvåret 1990 avgavs fyra yttranden. Antalet yttranden under 1991 uppgick till åtta och under det första halvåret 1992 har tre yttranden avgivits. Med utredningens förslag till datalag skulle det bli aktuellt att besluta om ett stort antal nya registerförfattningar. Enligt Datainspektionens mening

174 SOU l993:10

är i en del fall det knappast nödvändigt med ett särskilt yttrande från myndigheten för den fortsatta handläggningen i regeringskansliet. Ut- redningens förslag till ny datalag innehåller en förhållandevis fyllig reglering av de förutsättningar som skall gälla för behandlingen av personuppgifter. Genomförs förslaget torde det i ytterligare ett antal fall bli onödigt att inhämta yttrande från Datainspektionen. Utred- ningen föreslår att det i det nya systemet inte skall vara obligatoriskt att höra inspektionen. I stället bör man kunna falla tillbaka på den allmänna bestämmelsen i 7 kap 2 å regeringsformen som innebär att regeringen vid beredning av regeringsärenden skall inhämta behövliga upplysningar och yttranden från berörda myndigheter. Detta innebär att remiss till Datainspektionen bara bör ske när Datainspektionens yttrande behövs som underlag för statsmakternas beslut om behandling av personuppgifter.

Den nu förordade ordningen innebär att det inte finns någon anledning att i det nya systemet skilja på yttranden inför blivande s k statsmaktsregister och andra remisser från regeringskansliet. Huruvida inom den offentliga sektorn själva beslutet att behandla personuppgifter fattas av riksdagen, regeringen eller en myndighet får egentligen betydelse bara i ett hänseende. Datainspektionen kan nämligen, enligt 41 å i förslaget till datalag, inte förbjuda fortsatt behandling av personuppgifter, om riksdagen eller regeringen har beslutat att uppgifterna skall behandlas.

Hur utredningens förslag förhåller sig till förslaget till EG—direktiv i nu diskuterade delar har berörts i det föregående.

SOU 1993:10 175

10 Behandling av känsliga personupp- gifter för forsknings- eller statistik— ändamål

10. 1 Gällande rätt

Personregistrering för forskning och statistikändamål är inte särregle- rad i datalagen. I den mån registren inte är hänförliga till s.k. stats- maktsregister, dvs. har tillkommit efter beslut av riksdagen eller rege- ringen, krävs tillstånd av inspektionen för att få inrätta och föra personregister för angivna ändamål.

På grundval av uttalanden i förarbetena har dessa register i praxis kommit att få en privilegierad ställning när det gäller möjligheterna att få registrera personer utan naturlig anknytning till den registeransvari- ge. Enligt en fast praxis ifrågasätter Datainspektionen vid sin prövning som regel inte det behov som anges för inrättande av ett forsknings- register. Denna uppfattning grundar inspektionen i att forskningsom- råde och forskningsmetod är frågor som faller utanför inspektionens behörighet. Däremot kräver inspektionen naturligtvis för tillstånd att det är möjligt att inskränka intrånget i den personliga integriteten genom villkor i det enskilda fallet.

I många fall rör registreringen personuppgifter av känsligt slag, där tillstånd enligt datalagen får beviljas, endast om särskilda eller synnerliga skäl föreligger (4 å). I Datainspektionens praxis anses det förhållandet att uppgifterna skall användas för ett vetenskapligt ända- mål i sig vara tillräckligt för att uppfylla kravet på särskilda eller synnerliga skäl.

Stöd för denna tolkning finns i uttalanden i samband med datalagens tillkomst år 1973. I propositionen (prop. 1973:33 s. 122) anges med hänvisning till ett uttalande av offentlighets- och sekretesslagstiftnings- kommittén, att undantag från kravet på synnerliga skäl borde kunna medges för statistiska bearbetningar och vetenskapliga undersökningar, under förutsättning att enskilda personers namn inte offentliggörs. I direkt anslutning härtill framhålls att även i vissa andra sammanhang undantag bör kunna medges, om det föreligger ett starkt samhälleligt eller annat allmänt intresse att registreringen får ske och det finns säkra garantier för att uppgifterna inte används eller sprids, så att otillbörligt integritetsintrång uppkommer.

176 SOU 1993:10

Vidare görs i praxis åtskillnad mellan sådana register som avses bygga på informerat samtycke från de berörda och register där sådant samtycke inte skall inhämtas.

För vissa personregister för såväl forsknings— som statistikändamål har Datainspektionen meddelat föreskrifter om ett förenklat an- sökningsförfarande (se DIFS 198912 och 199011). För båda ändamålen föreskrivs bl.a. att informerat samtycke i en del fall skall föreligga, dvs. att den som skall registreras i förväg får upplysningar om bl.a. registrets ändamål och innehåll och därefter frivilligt lämnar begärda uppgifter eller medger att dessa inhämtas från någon annan källa.

En förutsättning för det förenklade förfarandet på forskningsområdet är vidare att de som hanterar registren är väl insatta i de regler som gäller. Det gäller både forskare och andra som handhar registren för den registeransvariga myndigheten. Möjligheten att använda det förenklade förfarandet har därför gjorts beroende av Datainspektionens medgivande. De statliga myndigheter som får använda det förenklade förfarandet är universitet, högskolor och andra forskningsinrättningar som efter ansökan fått medgivande att göra det.

Ändamålet med sådana register som omfattas av förfarandet skall vara att framställa statistik i forskningssyfte. Från registret får man en- bart skapa statistiska tabeller eller annan anonym information, där en- skild person inte avslöjas. Vidare får man framställa arbetsmaterial i form av listor för att kontrollera och rätta personuppgifter i samband med statistikproduktionen. För att kunna skicka ut förfrågan om deltagande i undersökningen och för att samla in uppgifterna får man också framställa adressetiketter och listor där de registrerade prickas av. I ändamålet ingår att statistiken skall framställas i forskningssyfte, dvs. syfta till att belysa okända faktorer eller bekräfta hypoteser, t.ex. enligt följande.

Framställning av statistik över mödrar i syfte att studera samband mellan rökning och barns födelsevikt.

Det förenklade ansökningsförfarandet får inte användas för rena registerundersökningar, s.k. registerforskning. Det krävs därför att uppgifterna i registret åtminstone till viss del inhämtas direkt från den registrerade själv genom en enkät eller vid en intervju.

Det förenklade ansökningsförfarandet beträffande vissa person- register för statistikändamål gäller enbart ansökningar från statistiska centralbyrån (SCB) och får avse endast framställning av statistik.

Statistik används vanligen för att beteckna siffermässiga eller annars kvantitativa mått över tillstånd eller samband, inkl. mått framställda med hjälp av diagram, kurvor m.m. Termen betecknar också den vetenskap eller de metoder som används för att framställa statistik.

Bestämmelser i det förenklade ansökningsförfarandet för statistikän- damål finns också om inrättande av tillfälliga personregister genom

SOU 1993:10 177

sambearbetning av två eller flera register, liksom om ändring i registerinnehåll och om tillfälligt förande av personregister som avläm— nats till Riksarkivet för förvaring.

I en promemoria om personregister för vetenskapliga undersök- ningar och i en särskild informationsskrift har inspektionen redovisat sin praxis i frågan om tillstånd för forsknings- och statistikregister utöver det förenklade förfarandet. Praxis är dock inte entydig.

Av redovisningen framgår beträffande informationskravet att in- spektionen anser, att metoder för informationens lämnande i vissa fall kan diskuteras och att kravet på informerat samtycke undantagsvis helt kan efterges. Dessa undantag avser i så gott som samtliga fall uppgiftsinhämtande som sker på annat sätt än genom enkäter eller intervjuer, dvs. närmast i form av s.k. registerforskning. Om in- formation lämnas på annat sätt än vid enkät eller intervju, skall dock rätten att avböja medverkan framgå.

De fall som aktualiserar undantag från informerat samtycke år enligt praxis när

! hälsotillståndet hos dem som skall registreras gör det svårt att informera på vanligt sätt,

I det kan anses oetiskt att ta kontakt med dem som skall registreras, eller

' när informationen skulle förrycka undersökningens resultat.

Vidare anser inspektionen i en del fall, när det inte är fråga om direkt kontakt med dem som skall registreras, att information kan lämnas i annan än individuell form (exempelvis genom anslag eller annonser i pressen), om det står klart att de som avses bli registrerade kan förväntas vara positiva till registreringen och om det gäller mycket stora populationer. Så har t.ex. skett i fråga om det s.k. utbildnings- registret hos SCB, vari uppgifter om de svenska medborgarnas utbildning m.m. finns samlad.

Ett exempel på fall där inspektionen ansett det oetiskt att informera, gällde ett personregister som skulle belysa om intag av läkemedel på- verkade sannolikheten för att få vissa cancersjukdomar. I det fallet hade de flesta personer som skulle ingå i registret uppnått hög ålder och det antogs att de skulle ha oroats, om de informerats om under- sökningens syfte.

Någon generell bestämmelse som i år, månader och dagar anger hur länge personuppgifter i ett forskningsregister får bevaras i identifier- bart skick finns inte. I 12 å datalagen sägs allmänt att personuppgifter- na skall utgå ur registret när de inte längre behövs för registrets ända- mål eller när den registeransvarige upphör att föra registret. Enligt samma lagrum kan dock uppgifter komma att bevaras även därefter,

178 SOU l993:10

om det följer av bestämmelser i lag eller annan författning eller av myndighets beslut som har meddelats med stöd av författning.

Att uppgifterna skall utgå innebär, enligt den information som inspektionen lämnar till forskare, i första hand att namn, personnum- mer och andra rena identitetsuppgifter avlägsnas. Det får emellertid inte heller därefter finnas någon möjlighet att på ett enkelt sätt identifiera en enskild person. Detta kan t.ex. vara fallet om namnet visserligen inte nämns men det förekommer sådana bestämningar av vem vissa uppgifter avser att man lätt kan ta reda på namnet i en matrikel e.d.

När information har lämnats, bl.a. om att registret skall bevaras, i enlighet med Datainspektionens ovan berörda föreskrift (1990: 1) om vissa personregister för forskningsändamål, godtar inspektionen att registret bevaras på datamedium utan att avidentifieras, om Riksarkivet anser att det bör ske och tillika är berett att ta hand om registret.

Om de registrerade däremot är ovetande om registrets existens, blir inspektionens beslut i allmänhet att avidentifiering skall ske. Undantag görs enligt praxis i princip bara om det finns grundad anledning tro att de registrerade inte skulle motsätta sig ett bevarande. Ett beslut om av- identifiering behöver enligt vissa uppfattningar inte utesluta att en utskrift av registret görs på papper som bevaras för framtiden.

Riksdagen antog våren 1992 en lag om den officiella statistiken (prop. 1991/92:118, FiU 23, SFS 1992:889). Lagen bygger på förslag av statistikregelutredningen i dess betänkande (SOU 1990:43) Förenklad statistikreglering. I lagen, som trädde i kraft den 1 januari 1993, regleras skyldigheten att lämna uppgifter för statlig statistik- framställning, liksom frågor om bl.a. uppgiftsskydd, framställnings- metoder och offentliggörande. Lagen är tillämplig på den statistik som behövs för samhällsplanering, forskning, allmän information och internationell rapportering. I 9å erinras om att det finns särskilda regler till skydd för den enskildes personliga integritet när fråga är om sådant personregister som anges i datalagen (1973:289).

10.2 Europarådets rekommendation

Europarådet har antagit en rekommendation år 1983 (Recommendation No. R, 83, 10) rörande skydd för personuppgift som används vid forskning eller för statistik. Sverige har godtagit rekommendationen utan reservation. Innehållet i rekommendationen har redovisats i avsnitt 4.3.2.

SOU l993:10 179

10.3 Förslaget till EG-direktiv

Förslaget till EG-direktiv om skyddet för enskilda vid behandling av personuppgifter finns redovisat i avsnitt 4.5. Direktivets bestämmelser är generellt tillämpliga även på behandlingen av personuppgifter för forsknings- eller statistikändamål. Det innebär att de allmänna reglerna i direktivet om lagligheten av behandling av personuppgifter gäller, bl.a. reglerna i artikel 6 om principer hänförliga till datakvalitet, artikel 7 om principer hänförliga till grunderna för att få behandla personuppgifter och artikel 8 om behandlingen av känsliga uppgifter.

Några bestämmelser i förslaget till EG-direktiv har dock direkt anknytning till forsknings— och statistikområdet. Det är bestämmelserna i artiklarna 2.a andra stycket, 6.1.e och 14.3.

I artikel 2.a andra stycket stadgas att uppgifter som presenteras i statistisk form som är av sådan karaktär att de berörda personerna inte längre rimligen kan identifieras inte räknas som personuppgifter. Bestämmelsen behandlas närmare i specialmotiveringen till 2 å förslaget till datalag.

Artikel 6.1.e föreskriver att personuppgifter inte skall behållas i en form som medger identifikation av enskilda under längre tid än vad som är nödvändigt för de ändamål som föreligger. Medlemsstaterna får dock enligt bestämmelserna i artikeln uppställa lämpliga skyddsregler för personuppgifter som lagras för historisk, statistisk eller vetenska- plig användning. Bestämmelserna behandlas närmare i specialmotive- ringen till 8 och 19 åå förslaget till datalag.

Enligt artikel 14.3 får medlemsstaterna begränsa den enskildes rätt till insyn beträffande uppgifter som bevaras under kort tid i individuell form och som är ämnade att tjäna statistiska syften av sådant slag att de berörda personerna inte längre rimligen kan bli identifierade. Bestämmelsen berörs i specialmotiveringen till 25 å i förslaget till datalagen.

10.4 Utredningens tidigare ställningstaganden

Allmänna utgångspunkter

Datalagen innehåller, som framgått, inte några särbestämmelser vad avser personregister för forskningsändamål. Med forskningsregister brukar i allmänhet avses personregister som inrättas och förs för vetenskapliga ändamål och där syftet inte är att de personuppgifter som ingår i registret skall utgöra underlag för beslut eller administrativa åtgärder. Resultatet av den forskning vari personregistreringen ingår redovisas som regel utan att uppgifterna om den enskilda individen blir kända.

180 SOU 1993:10

Inom ramen för nuvarande ordning krävs alltid tillstånd av Datain— spektionen för att ett personregister för forskningsändamål skall få inrättas.

I sin tillståndsprövning går inte inspektionen närmare in på det vetenskapliga ändamålet i sig. Att pröva behovet av ett visst forsk- ningsprojekt eller användning av en viss metod anser inspektionen faller utanför inspektionens behörighet. Däremot fäster naturligtvis inspektionen stor vikt vid möjligheten att i det enskilda fallet genom villkor begränsa integritetsintrånget. Som framgått av redovisningen ovan spelar därvid förekomsten av informerat samtycke en stor roll.

Datainspektionen har nyligen antagit ett förenklat ansökningsför- farande för tillståndsprövning i de fall sökanden är en statlig forsk- ningsinrättning eller rektorsämbetet vid ett universitet eller en högskola. Förfarandet bygger bl.a. på att uppgifterna inhämtas från den registrerade genom enkät eller intervju först sedan denne in- formerats om vissa förhållanden och därefter frivilligt lämnat upp- gifterna eller medgett att dessa inhämtas från någon annan källa. Enligt förfarandet skall information lämnas om följande: registrets ändamål och innehåll, vilka uppgifter som skall bearbetas med hjälp av ADB, vilka uppgifter som skall inhämtas från andra källor än den regi— strerade och vilka dessa källor är, hur länge myndigheten planerar att föra registret, innebörd och omfattning av sekretesskyddet, den registrerades rätt till utdrag enligt 10 å datalagen och vad Riksarkivet kan ha beslutat i fråga om registrets bevarande hos Riksarkivet samt att registreringen är frivillig.

När det gäller statistikregister har inspektionen, som nämnts, likaledes föreskrivit ett förenklat förfarande som bygger på informerat samtycke. Behörig sökande i de fallen är Statistiska centralbyrån (SCB). Den information som skall lämnas innan uppgifter inhämtas från den registrerade är i stort sett likadan som den som krävs vid forskningsregistrering.

I vilken form samtycket skall lämnas finns inte närmare reglerat i nuvarande bestämmelser. I många fall torde samtycket följa av s.k. konkludent handlande, dvs. att den enskilde medverkar exempelvis genom att lämna de begärda uppgifterna.

Skillnaden mellan de båda slagen av personregister är i de förenkla— de förfarandena beskriven så, att ändamålet med personregistrering för vetenskapliga undersökningar angetts vara framställning av statistik i forskningssyfte, medan ändamålet för statistikregistreringen angivits till enbart framställning av statistik. I båda fallen ingår således fram- ställning av statistik som en väsentlig faktor.

När forskningsregister i det följande behandlas avses också, om inte annat sägs, statistikregister.

Kravet på att personregistrering för vetenskapliga ändamål eller för enbart statistiska syften, när den enskilde lämnar uppgifterna, får ske endast efter informerat samtycke är i full överensstämmelse med den

SOU l993:10 181

rekommendation på området som antagits av Europarådet och som Sverige har ställt sig bakom.

Enligt rekommendationen ges endast ett undantag från kravet på in- formerat samtycke. Det gäller i det fall samtycke har lämnats för in- hämtande av uppgifter för ett visst forskningsändamål och uppgifterna därefter önskas användas för ett forskningsändamål som påtagligt skiljer sig från det ursprungliga projektets syfte eller natur. Enligt rekommendationen får den ursprungligen gjorda registreringen användas också i det senare fallet utan att nytt samtycke inhämtas, om det skulle te sig opraktiskt med hänsyn till tidsåtgång eller det stora antalet personer som berörs att informerat samtycke inhämtas och om skyddsbestämmelser för dessa fall anges i lag. I de kommentarer som gjorts i anslutning till rekommendationen från Europarådets sida anges, att de villkor eller föreskrifter som i lag bör anges för de fall som nu har nämnts bör säkerställa en likvärdig grad av skydd för den enskildes integritet. Som exempel anges det tillstånd som lämnas av en datatill- synsmyndighet eller den prövning som kan göras av särskilda organ som inom forskarsamhället skapats för ändamålet.

Härtill kommer att rekommendationen innehåller en del bestämmel- ser som bl.a. tar sikte på fall då uppgifter inhämtas från annan än den registrerade själv.

Den möjlighet som enligt rekommendationen finns att i vissa fall genom inhemsk lag föreskriva undantag från olika villkor i be- stämmelserna reser frågan vilken författningsform ett sådant undantag bör ha. Användningen av uttrycket lag ("law") i rekommendationen torde inte innebära att ett undantag kan föreskrivas endast direkt genom "lag" i den svenska regeringsformens mening. Den inhemska konstitutionella nivån bör nämligen enligt vad som är brukligt vid tolkningen av internationella åtaganden inte vara avgörande. Det innebär att förskrifter som meddelas av regeringen i en förordning eller av exempelvis Datainspektionen efter bemyndigande i lag också torde uppfylla rekommendationens krav på att vara meddelade i lag ( "law"). Vad som däremot skulle falla utanför "lagkravet" torde vara enskilda beslut, exempelvis villkor i ett enskilt ärende, som meddelas av en myndighet. För att tillgodose kravet på "lag" bör nämligen ett undantag meddelas som en generell norm, varigenom bl.a. vedertagna rättssäkerhetskrav som exempelvis förutsebarhet och likformighet blir tillgodosedda.

En väsentlig utgångspunkt vid personregistrering inom forsknings- och statistikområdet är att integritetsskyddet utformas med beaktande av de behov som forskningen och statistikframställningen kan ha. En sådan avvägning avspeglas i den rekommendation som på området antagits av Europarådet, där den enskilde enligt huvudregeln själv avgör i vilken utsträckning uppgifter om honom eller henne skall lämnas. Endast i fråga om fall där uppgifterna skall användas för ett annat forskningssyfte än det ursprungliga bör avkall på kravet på

182 SOU l993:10

informerat samtycke kunna göras. Enligt rekommendationen bör dessa undantagssituationer, som framgått, kunna prövas av en tillstånds- givande myndighet eller ett särskilt forskningsorgan efter riktlinjer som närmare anges i lag.

Enligt utredningens mening bör kravet på informerat samtycke även framdeles utgöra utgångspunkten för omfattningen av personregistre- ring på forsknings- och statistikområdet. Den närmare regleringen av de villkor som bör uppställas för att informerat samtycke skall anses föreligga bör kunna utformas med utgångspunkt i Europarådets rekommendation och i huvudsak i enlighet med de verkställighetsföre— skrifter som Datainspektionen har antagit på området inom ramen för det nuvarande förenklade ansökningsförfarandet.

De överväganden som datalagsutredningen redovisar för forsknings- register i allmänhet har, som framgått, relevans också för person- register som enbart syftar till framställning av statistik.

Bestämningen av begreppet forskningsregister

Med forskningsregister bör i förevarande sammanhang förstås person- register som innehåller personuppgifter vilka används för vetenskapligt ändamål.

Utanför begreppet forskningsregister faller därför den person- registrering som kan förekomma på forskningsinstitutioner eller i andra forskningssammanhang, men där syftet med registreringen primärt är ett annat än att uppgifterna skall användas för ett vetenskapligt arbete. Hit hör exempelvis de administrativa register som används i arbetet för att handlägga löne- och personalfrågor. De administrativa register som finns hos myndigheter eller institutioner inom social-, hälso- eller sjukvården och som utgör underlag för beslut eller åtgärder som rör enskilda individer faller också utanför bestämningen forskningsregister, eftersom ändamålet också här är ett annat än forskning.

Skulle emellertid i ett vetenskapligt syfte uppgifter hämtas ur sådana administrativa register för vidare elektronisk eller annars automatisk bearbetning, uppstår naturligtvis ett forskningsregister.

Den övergripande frågan huruvida ett register överhuvudtaget har en vetenskaplig koppling får avgöras främst med hänsyn till vem som är registeransvarig, men även andra kriterier kan komma i fråga.

Den verksamhet som bedrivs vid etablerade institutioner såsom de statliga högskoleenhetema och statliga forskningsinstituten hör självfallet hit, liksom den forskning som kan bedrivas inom hälso- och sjukvården i den kommunala sektorn. Å andra sidan bör såsom "forskning" inte anses varje verksamhet som betecknas som sådan av exempelvis samhällsplanerande allmänna organ.

Även privata forskningsinstitutioner bör räknas till dem som anses kvalificerade som forskningsorgan, om det saknas anledning att betvivla den vetenskapliga inriktningen av verksamheten. I tveksamma

SOU l993:10 183

fall kan frågor om finansiering och den vetenskapliga bakgrunden hos den projektansvarige eller annars uppgivne forskaren ha betydelse för en bedömning härvidlag.

Det bör dock understrykas att det inte i första hand är en fråga för Datainspektionen att göra bedömningar av vad som kan räknas till forskning. I ett framtida tillsynssystem är det dock ofrånkomligt att i samband med en granskning av en anmälan eller vid exempelvis en institutions- eller företagskontroll frågan kan komma upp huruvida ett visst register skall anses vara forskningsregister eller inte. Detta får då bedömas med ledning av bl.a. de anknytningsfaktorer som nyss nämnts, dvs. främst institutionstillhörighet, finansiering och den pro- jektansvariges eller enskilde angivne forskarens vetenskapliga meriter.

Datainspektionen bör i tveksamma fall samråda med de etablerade forskningsorgan som finns på området. Förutom fakultets- eller in— stitutitionsstyrelser kan härvid de statliga forskningsråden komma i fråga, dvs. medicinska forskningsrådet, humanistisk-samhällsve- tenskapliga forskningsrådet, naturvetenskapliga forskningsrådet, skogs- och jordbrukets forskningsråd samt det nyligen inrättade socialveten- skapliga forskningsrådet.

Lika lite som f.n. bör det i princip ankomma på Datainspektionen att granska den vetenskapliga inriktningen.

Undantag från kravet på informerat samtycke

Som nämnts bör en utgångspunkt vara att forskningsregister inte får inrättas utan att den registrerades samtycke först har inhämtats. Reglerna för hur information bör ges bör kunna utformas i över- ensstämmelse med vad som nu finns intaget i inspektionens före— skrifter.

Möjligheten att helt ge avkall på informerat samtycke bör enligt Europarådsrekommendationen, som nämnts, finnas i de fall uppgifter som inhämtas för ett forskningsändamål avses användas för ett annat vetenskapligt syfte än det ursprungliga under närmare angivna förhållanden.

Dessa förhållanden bör enligt utredningen preciseras närmare. Datainspektionen upprätthåller i sin nuvarande praxis i tillstånds- ärenden så gott som undantagslöst kravet på att informerat samtycke skall föreligga när det inte gäller registerforskning. Även i de fall den enskilde själv lämnar uppgifterna bör - vid användning av personupp- gifterna för ett nytt forskningsändamål - samtycke enligt utredningens mening kunna avvaras i viss, mycket begränsad omfattning. Ut- redningen avser följande två fall och under villkor som i viss mån knyter an till inspektionens praxis, när undantag har gjorts från huvudregeln om informerat samtycke.

Om det skulle vara kostsamt eller tidsödande att inhämta förnyat samtycke för ett nytt forskningsändamål från dem som lämnat

184 SOU 1993:10

samtycke för en viss registrering, bör samtycke kunna undvaras, under förutsättning att det nya syftet är sådant att man kan anta att de registrerade, om de tillfrågades, inte hade någon invändning mot inrättandet av det nya forskningsregistret.

Det andra fallet där informerat samtycke kan undvaras bör vara, där den registrerades hälsotillstånd eller forskningssyftet är sådant att förnyad information skulle kunna riskera att skada den som inforrnera- des. Ett undantag i detta hänseende bör dock gälla endast, om inte samtycke kan inhämtas från någon som kan anses företräda denne i saken, exempelvis en förvaltare eller god man.

Det åligger den som önskar utnyttja uppgifterna för ett nytt forskningsändamål att se till att villkoren för samtycke är uppfyllda, om denne varit ansvarig för inhämtandet av de ursprungliga upp— gifterna. Genom den anmälningsskyldighet som utredningen har föreslagit skall finnas för uppgifter av mera känsligt slag kommer Datainspektionen att kunna uppmärksammas på förhållandena och ges tillfälle att ingripa.

För att undvika att undantagsfallen aktualiseras bör givetvis de som avses bli registrerade redan vid första tillfället tillfrågas om sin inställning till de forskningssyften som kan förutses komma i fråga.

Registerforskning

Vid såväl forskning som insamling av uppgifter för enbart statistiska ändamål förekommer det att information om den enskilde hämtas ur redan befintliga register eller uppgiftssammanställningar. I vårt land och i de övriga nordiska länderna är sådan s.k. registerforskning vanlig. En förklaring till detta är den jämförelsevis goda tillgången på sådan information hos myndigheter och andra i dessa länder. I Sverige underlättas forskningen också av bestämmelserna om handlingsoffent- lighet för uppgifter hos myndigheter. Vidare bidrar den utbredda an- vändningen av personnummer till att göra personuppgifter mera lätt tillgängliga här. Registerforskningen som metod har lett till goda resultat, bl.a. inom cancerforskningen, och har även rönt internationell uppmärksamhet.

Som redan har nämnts bör utgångspunkten vid en reglering av personregistrering på forsknings- och statistikområdet vara att forskningens och statistikframställningens behov tillgodoses, men att detta bör ske inom ramen för den rekommendation på området som Europarådet antagit och Sverige ställt sig bakom.

Bestämmelserna bör dock inte utformas så, att registerforskningen onödigtvis försvåras. Skulle kravet på informerat samtycke, som diskuterats i föregående avsnitt, undantagslöst upprätthållas, fick de nuvarande rutinerna i stor utsträckning ändras, eftersom det mera sällan förekommer att den som lämnat uppgifter till någon myndighet, ur vars register information för forsknings— eller statistikändamål

SOU 1993:10 185

sedermera hämtas, har lämnat sitt samtycke till uppgiftens vidare an- vändning för angivet ändamål.

I Datainspektionens praxis finns vissa normer utvecklade som kan sägas särskilt ta sikte på registerforskningl den information, som enligt datainspektionens nuvarande föreskrifter på området skall föregå ett beslut av den enskilde att lämna personuppgifter för forsknings- och statistikregistrering, skall regelmässigt lämnas upplysning om vilka uppgifter som skall inhämtas från andra källor än den registrerade och vilka dessa källor år. Även om inspektionen intar den principiella ståndpunkten att information alltid skall ges till dem som registreras och att praktiska olägenheter och kostnader normalt inte bör föranleda att informationskravet efterges ens när uppgifter inhämtas på annat sätt än genom enkät eller intervjuer, anser inspektionen dock att vissa avsteg härifrån i just de fallen kan behöva göras.

Inspektionen medger mot denna bakgrund att samtycke kan undvaras vid registerforskning i följande fall, nämligen när

! hälsotillståndet hos den som skall registreras gör det svårt att informera på vanligt sätt,

I det kan anses oetiskt att ta kontakt med den som skall registreras eller

' när informationen skulle förrycka undersökningens resultat.

I fråga om stora populationer och om det är klart att de som avses bli registrerade kan förväntas vara positiva, anser inspektionen vidare att individuellt samtycke kan ersättas med anslag eller annonser.

I de fall informationskravet har eftergetts beslutar inspektionen, som nämnts, dock regelmässigt om en begränsning i tiden för registrets förande och att avidentifiering eller förstörelse därefter skall ske.

Europarådsrekommendationen innehåller en del bestämmelser som har viss anknytning till de särskilda frågor som registerforskningen ger upphov till, utöver de allmänna villkor i rekommendationen som tidigare har redovisats.

För det första föreskrivs till förmån för forskning ett undantag från den grundläggande principen om förbud mot utlämnande till tredje man av personuppgifter. Personuppgifter får lämnas ut av allmänna eller privata organ för forskningsändamål antingen med den enskildes samtycke eller i enlighet med skyddsbestämmelser som närmare har bestämts i inhemsk lag. Om utlämnade sker, gäller dock det allmänna kravet att personuppgifterna inte får publiceras i identifierbar form, såvida inte de berörda har lämnat sitt samtycke härtill och det skett i enlighet med andra i lag angivna skyddsbestämmelser. Som an- visningar till när utlämnande kan ske utan samtycke av personliga uppgifter nämns i förarbetena till rekommendationen graden av

186 SOU 1993:10

säkerhet i handläggningen, forskningsprojektets betydelse, behovet av identifierbara uppgifter och risken för den berörde, om uppgifterna används för forskningsändamål.

För det andra finns i rekommendationen en föreskrift om att forskares tillgång till allmänna befolkningsregister skall underlättas, så att de kan få underlag för urvalsundersökningar. Om annat inte beslutas av inhemska myndigheter i enskilda fall, bör enligt före- skriften sådana uppgifter få innehålla uppgift om namn, adress, födelsedag, kön och yrke. I förarbetena till denna föreskrift anförs bl.a., att forskningen i ökad utsträckning är beroende av uppgifter som redan finns hos olika statliga institutioner och att föreskriften till— kommit för att inte forskningen ensidigt skall vara beroende av dessa institutioners skönsmässiga bedömning i fråga om utlämnande av uppgifter. I anslutning härtill görs också hänvisning till den lagstiftning om tillgång till allmänna handlingar ("laws on freedom of informa- tion") som finns i många länder. Det understryks att de personuppgif- ter som nämns i föreskriften är den minimi-information som under alla förhållanden måste göras tillgänglig och att det undantag som kan vara föreskrivet i inhemsk lag kan ta sikte på sådana grupper av uppgifter som t.ex. adress- och yrkesuppgifter, om det är av särskild vikt för den enskilde att dessa uppgifter inte lämnas ut.

I det föregående har utredningen ansett att kravet på informerat samtycke bör upprätthållas när det gäller inrättande av personregister för forsknings- eller statistikändamål och att undantag från detta krav bör förekomma endast i de fall det gäller byte av ändamål, dvs. när forskningssyftet är ett annat än det ursprungligen angivna och till vilket samtycket har lämnats. Undantagsfallen bör preciseras i enlighet med Europarådsrekommendationens anvisningar och tas in i föreskrifter.

De uppgifter som hämtas från myndigheter och andra inom ramen för en registerforskning skulle således i de allra flesta fall inte komma att omfattas av denna reglering, eftersom samtycke torde saknas. Endast möjligheten att inrätta registret genom beslut av regeringen eller riksdagen, dvs. som ett statsmaktsregister, skulle då stå till buds. En sådan ordning skulle, å andra sidan, mot bakgrund av vad som redan anförts om registerforskningens betydelse innebära en klart otillfredsställande förändring i förhållande till nuläget.

Frågan är då för registerforskningens del om och i så fall i vilken omfattning rekommendationens bestämmelser medger undantag från kravet på informerat samtycke och därigenom en lösning inom ramen för en allmän reglering av forskningsregister i ett framtida tillsynssys- tem.

Även om en av rekommendationens utgångspunkter, vid sidan av att betona värdet av forskning, är att personregistrering för forsknings- och statistikändamål enligt huvudregeln förutsätter informerat samtycke, framgår det att kravet på sådant samtycke är avsett endast för de fall då den enskilde själv lämnar informationen. De situationer

SOU l993:10 187

då uppgifterna såsom vid registerforskning hämtas från annat håll är inte direkt reglerade i rekommendationens bestämmelser. Den möjlighet till undantag som rekommendationen uttryckligen medger vid utläm- nande av personuppgifter för forskningssyfte utsäger i och för sig ingenting om inrättande av personregister för samma ändamål. En rimlig tolkning av rekommendationens bestämmelser i denna del synes dock vara att även den efterföljande användningen i form av ex- empelvis ett inrättande av personregister omfattas. En sådan tolkning förefaller ha stöd i förarbetena till den aktuella bestämmelsen men även i den ovan nämnda föreskriften i rekommendationen om en tillåten an- vändning utan föregående samtycke av personuppgifter ur befolknings- register för urvalsundersökningar.

Tolkningen ligger också väl i linje med rekommendationens syfte att också beakta forskningens behov.

I den mån samtycke inte föreligger till utlämnande av person- uppgifter för forskningssyfte krävs, som nämnts, enligt uttalanden i förarbetena till rekommendationen i denna del dock att det i inhemsk lag finns intagna bestämmelser, där hänsyn till datasäkerhet och risken för integritetsintrång finns beaktade jämte hänsyn till vikten av forskningsprojektet och behovet av identifierbara data. Den praxis som inspektionen för närvarande tillämpar vid registerforskning, där information inte lämnas i förväg och samtycke således saknas, bör — bl.a. med hänsyn till de strängare kraven på tidsbegränsning och förstörelse som i de fallen föreskrivs - kunna tjäna som underlag för utarbetande av sådana bestämmelser. Det innebär att samtycke kan undvaras där hälsotillståndet hos dem som skall registreras gör det svårt att informera på vanligt sätt eller det kan anses oetiskt att ta kontakt med dessa. Vidare bör information kunna underlåtas om det skulle förrycka undersökningens resultat, i samband med att den enskilde utnyttjade sin strykningsrätt. Slutligen bör man kunna avvara samtycke, om samtycke redan har lämnats och registreringen gäller ett nytt forskningsändamål, allt under förutsättning att det skulle vara kostsamt eller tidsödande att inhämta ett nytt samtycke och man kan anta att de registrerade, om de tillfrågades, inte skulle ha någon invändning mot det nya forskningsregistret.

Med "lag" torde, som redan framgått, också förstås av regeringen meddelade förordningar och de föreskrifter som Datainspektionen efter delegation har rätt att meddela. Rekommendationens krav på lagforrn torde nämligen vara uppfyllt, om det är fråga om i förväg meddelade normer av generell karaktär, till skillnad från myndighetsbeslut i enskilda fall. Den inhemska rättsordningens val av normnivå torde således inte vara avgörande.

Det avsteg från kravet på informerat samtycke som ett bibehållande av registerforskningen i huvudsak i nuvarande omfattning innebär bör därför kunna rymmas inom ramen för en allmän reglering genom förskrifter av forskningsfrågoma i ett framtida tillsynssystem utan att

188 SOU 1993:10

komma i konflikt med Europarådsrekommendationen på Området. Föreskrifterna bör dock innehålla de konkreta materiella skyddsbestäm- melser som är nödvändiga. Frågan om ett forskningsprojekts vikt - vilket vid en registerforskning som görs utan samtycke bör tillmätas särskild betydelse enligt rekommendationens förarbeten - får bedömas mot bakgrund av det allmänna kravet på att syftet med registreringen skall vara personregistrering för forskningsändamål (dvs. att registret är ett forskningsregister), oavsett om det gäller registerforskning eller en verksamhet där uppgifterna inhämtas direkt från den som skall registreras. Vilka krav som bör uppställas i det sammanhanget har ut- redningen diskuterat ovan.

10.5 Remissutfallet

Det stora flertalet remissinstanser ställer sig i huvudsak bakom utredningens överväganden om avvägningen mellan integritets- och forskningsintressena (här och i fortsättningen inbegrips i forskning även statistikframställning). Stor samstämmighet råder om att forsk- ningsverksamhet har stor samhällelig betydelse och att det bör ligga i enskildas intresse att förutsättningar finns för en framgångsrik forskning. Liksom utredningen pekar därför många remissinstanser på att integritetsskyddet på forskningsområdet bör utformas med be— aktande av de behov som forskningen har och att Europarådsrekom- mendationen på området bör utgöra en utgångspunkt för regleringen i en ny datalag. Ingen remissinstans ifrågasätter behovet av att i en ny datalag ta in särskilda bestämmelser om behandlingen av personuppgif- ter för forsknings- eller statistikändamål. Några remissinstanser påpekar dock särskilt att de, även om särskilda bestämmelser förs in i den nya datalagen, förutsätter att vissa forskningsregister blir föremål för särskild lagstiftning genom separata detaljerade registerlagar.

De remissinstanser som uttryckligen delar utredningens uppfattning att s.k. informerat samtycke skall utgöra huvudregel för att få behandla personuppgifter för forsknings— eller statistikändamål är bl.a. Justitie- kanslern, Kammarrätten i Göteborg, Datainspektionen, Socialstyrelsen, Lunds universitets juridiska fakultetsstyrelses forskningsnämnd, Juridiska fakultetsstyrelsen vid Uppsala universitet, Samhällsveten— skapliga fakultetsnämnden vid Umeå universitet, Högskolan i Karlstad, Svenska kommunförbundet, Landstingsförbundet, Socialvetenskapliga forskningsrådet, Universitets- och högskoleämbetet, Humanistisk — samhällsvetenskapliga forskningsrådet, Arbetsmiljöinstitutet, Sveriges Industriförbund, Svenska Arbetsgivareföreningen, Företagarnas Riksorganisation, Sveriges Psykologförbund, Sveriges Universitetslä- rarförbund, Landsorganisationen i Sverige och Sveriges Akademikers Centralorganisation.

SOU 1993:10 189

Datainspektionen påpekar särskilt att i principen om informerat samtycke inbegrips krav på både information och samtycke. Det är därför enligt Datainspektionens mening viktigt att vid utformningen av föreskrifter i en ny datalag hålla i sär dessa begrepp. Information kan, uttalar Datainspektionen, lämnas på olika sätt. Bland annat kan dess utformning enligt Datainspektionen påverkas av i vad mån en viss registrering skall förutsätta de enskildas samtycke.

Flertalet remissinstanser ställer sig i huvudsak bakom utredningens förslag till undantag från kravet på samtycke och många remissinstan- ser pekar på att undantagen ligger i linje med Europarådets rekommen- dation inom området och Datainspektionens hittillsvarande praxis. Datainspektionen framhåller särskilt att inspektionen inte har några invändningar emot de överväganden som utredningen gjort i fråga om tolkningen av rekommendationen eller emot innehållet i redogörelsen för inspektionens nuvarande praxis på området. Datainspektionen har dock påpekat att praxis f.n. inte är entydig.

Vissa remissinstanser såsom Riksdagens ombudsmän (JO Hans Ragnemalm), Sveriges Psykologförbund och Sveriges Universitetslärar- förbund ifrågasätter dock om inte undantagen är för långtgående. Psykologförbundet anser att man bör bortse från kostnads- eller tidsaspekter och att ett nytt samtycke bör inhämtas från den registrera- de om tidigare registrerade uppgifter skall användas i ett nytt forsk— ningsprojekt. Enligt Sveriges Psykologförbunds och Sveriges Universi- tetslärarförbunds mening bör vidare synnerliga skäl föreligga om informerat samtycke skall kunna undvaras.

Andra remissinstanser anser att utredningens förslag till undantag är för snäva. Kungliga Vetenskapsakademien och Medicinska forsknings— rådet hävdar att de motiv som utredningen redovisat för att göra undantag för pressens källregister i allt väsentligt också bör gälla för forskningen. Medicinska forskningsrådet pekar på den framgångsrika medicinska behandling som står till buds i Sverige och att människor som utnyttjar dessa resurser måste förväntas vara positiva till att uppgifter om deras egen sjukvård används. Socialvetenskapliga forskningsrådet hävdar att man i de allra flesta fall har anledning tro att den som en gång samtyckt till att lämna uppgifter för ett visst forskningsändamål inte skulle ha någon erinran mot användning av uppgifterna för ett nytt forskningssyfte. Rådet anser därför att det är onödigt snävt att kombinera kravet på att underlåta ett nytt samtycke med dels att det skulle vara kostsamt eller tidsödande att inhämta förnyat samtycke, dels att man kan anta att de registrerade, om de tillfrågades, inte skulle ha någon invändning mot registrets användning för det nya vetenskapliga syftet.

När det gäller registerforskning anser Medicinska forskningsrådet, Humanistisk - samhällsvetenskapliga forskningsrådet och Arbetar— skyddsverket i princip att individuellt informerat samtycke inte bör krävas vid utnyttjandet av uppgifter från befintliga register. Socialsty-

190 SOU 1993:10

relsen intar en liknande ståndpunkt när det gäller stora forsknings— databaser. Statistiska centralbyrån och Samhällsvetenskapligafakultets- nämnden vid Stockholms universitet ger uttryck för samma inställning när det gäller statistikframställning. Datainspektionen framhåller emellertid att inspektionen för sin del inte kan se någon principiell skillnad mellan det fall att uppgifter samlas in från enskilda och det fall uppgifter hämtas från befintliga register när det gäller att från integritetsskyddssynpunkt bestämma i vad mån samtycke skall få undvaras. Skillnaden ligger snarare enligt Datainspektionen i de olika möjligheterna att inhämta samtycke. Det är ju, uttalar Datainspektio- nen, enklare att begära samtycke om ändå uppgifter måste inhämtas från de enskilda medan begäran om samtycke för registerforskning medför en särskild omgång.

Några remissinstanser framhåller vikten av att precisera begreppet forskningsregister. Justitiekanslern pekar härvid på möjligheten att i författningstext göra den avgränsning av begreppet som följer av ut- redningens överväganden. Enligt Datainspektionens mening bör det klaras ut om de särskilda reglerna i en ny datalag bör omfatta all slags forskning eller endast sådan som bedrivs av vissa offentliga eller privata institutioner. En annan fråga som enligt Datainspektionen bör klaras ut är huruvida samhällsplanerade verksamheter som liknar forskningsverksamhet i någon mån bör omfattas av reglerna. Sam- hällsvetenskapliga fakultetsnämnden vid Stockholms universitet anser att begreppet forskningsregister i enlighet med den forskningsetiska utredningens förslag bör definieras som personrelaterade register och databaser för sådan forskning där resultaten redovisas utan att enskilda individers identitet röjs.

Några remissinstanser framhåller vikten av att så långt möjligt införa preciserade bestämmelser i den nya datalagen om principerna för forskningsregisters inrättande, inklusive regler om informerat samtycke och de undantagsfall när samtycke eller information får undvaras. Universitets- och högskoleämbetet påpekar särskilt att grundregleringen i datalagen först måste få tillräcklig precision innan en delegation av föreskriftsmakten till Datainspektionen kan godtas.

10.6 Överväganden

Inledning

Utredningen vill till en början något beröra vissa skillnader som finns mellan Europarådsrekommendationen och förslaget till EG-direktiv när det gäller behandling av personuppgifter för forsknings- eller statistik- ändamål.

SOU l993:10 191

Europarådsrekommendationen tar sikte på alla personuppgifter som används för forskning eller statistik utan att någon skillnad görs mellan känsliga och mera harmlösa uppgifter. En sådan skillnad görs däremot i direktivförslaget. Enligt artikel 8.3 är behandling av känsliga uppgifter tillåten, förutom vid samtycke, om viktiga allmänna intressen talar härför genom en reglering i lag eller annan författning. För icke känsliga uppgifter som används för forskning eller statistik gäller de allmänna reglerna i direktivförslaget. De innebär bl.a. att behandling av personuppgifter är tillåten, förutom om den enskilde har gett sitt samtycke, om behandlingen är nödvändig för att utföra en uppgift i det allmännas intresse eller i myndighetsutövning av den persondataansva- rige eller någon till vilken uppgifterna lämnas ut (art. 7.e). Vidare är behandling tillåten om behandlingen är nödvändig för att tillgodose ett allmänintresse eller ett intresse hos den persondataansvarige eller någon till vilken uppgifterna lämnas ut, utom då den enskildes intresse tar över (art. 7.f).

Utredningen har valt att följa regleringen i direktivförslaget. Dis— kussionen i det följande gäller alltså bara möjligheterna att för forskning eller statistik behandla känsliga personuppgifter. Behand- lingen av icke känsliga uppgifter följer de allmänna reglerna för personuppgiftsbehandling i 11 å förslaget till datalag, som bygger på artikel 7 i direktivförslaget.

Skillnaderna blir emellertid inte så stora. I allmänhet torde väl någon eller några typer av känsliga uppgifter ingå i underlaget för ett forskningsprojekt och då blir de särskilda bestämmelserna i lag- förslaget tillämpliga, vilka bestämmelser ligger inom ramen för Europarådsrekommendationen. Skulle forskningen endast avse harmlösa uppgifter torde de allmänna reglerna om personuppgiftshante- ring i lagförslaget ge ett fullt tillräckligt skydd.

Informerat samtycke

Värdet av att det här i landet kan bedrivas forskning av hög kvalitet kan inte nog understrykas. Verksamheten utgör ett väsentligt bidrag till kunskapsutvecklingen inom olika områden i samhället. Det är därför ett viktigt samhällsintresse att forskning stimuleras på olika sätt och att inte onödiga regler hindrar eller försvårar en fri forskning.

Men samtidigt står det klart att man i fråga om forskningen måste beakta även andra etiska värderingar som ligger till grund för lagstift- ningen på olika områden i samhället. Detta innebär en begränsning av den fria forskningen. Men enligt utredningens mening är denna begränsning både nödvändig och önskvärd i ett demokratiskt samhälle.

När det gäller forskning som berör människor innebär detta att det måste finnas regler som är till för att värna om rättssäkerheten och skydda privatlivets helgd, som t.ex. reglerna i 2 kap. tryckfrihetsför- ordningen om allmänna handlingars offentlighet, sekretesslagen,

192 SOU l993:10

datalagen och olika internationella konventioner och rekommendatio- ner.

På forskning som berör människor måste ställas kravet att den i största möjliga utsträckning baserar sig på frivilligt deltagande samt att den bedrivs öppet och under former som medger insyn för både deltagare och andra. Härigenom skapar man förtroende för forskarnas verksamhet. När forskning inte kan grunda sig på frivillighet är det enligt utredningens mening nödvändigt att riksdagen i lag tagit ställning till frågan i vilken utsträckning människors integritet måste stå tillbaka för angelägen forskning och under vilka villkor sådan forskning skall få bedrivas. Ingen remissinstans har heller ifrågasatt behovet av att i en ny datalag ta in särskilda bestämmelser om behandlingen av personuppgifter för forsknings- eller statistikändamål, innefattande bestämmelser om informerat samtycke och undantag från kravet på ett sådant samtycke.

Utredningen har i sina tidigare ställningstaganden slagit fast att utgångspunkten för att få behandla personuppgifter för forsknings- eller statistikändamål skall vara att de enskilda som är berörda har lämnat ett informerat samtycke till behandlingen. Utgångspunkten är densam- ma i Europarådets rekommendation inom samma område. Med informerat samtycke förstås som framgått ovan att den enskilde i förväg fått del av tillgänglig information om bl.a. behandlingens ändamål och vilka personuppgifter eller slag av personuppgifter det gäller och därefter frivilligt lämnar begärda uppgifter eller medger att de inhämtas från någon annan källa. Nästan alla remissinstanser delar utredningens uppfattning att informerat samtycke skall utgöra huvud- regel för att få behandla personuppgifter inom forsknings- och statistikområdena.

Datainspektionen har i sitt remissyttrande särskilt påpekat att i principen om informerat samtycke inbegrips krav på både information och samtycke och att det därför är viktigt vid utformningen av föreskrifter i en ny datalag att hålla i sär dessa begrepp. Utredningen delar Datainspektionens uppfattning som också ligger i linje med vad som gäller enligt förslaget till EG-direktiv. Enligt artikel 11 skall medlemsstaterna nämligen föreskriva att en persondataansvarig skall informera en enskild från vilken uppgifter samlas in om åtminstone behandlingens ändamål, om uppgiftslämnandet är obligatoriskt eller frivilligt, konsekvenserna om den enskilde vägrar att lämna uppgifter, mottagare eller kategorier av mottagare av uppgifter, rätten till tillgång till och rättelse av personuppgifter samt den persondataansvariges namn och adress. Utredningen föreslår att en motsvarande särskild bestämmelse förs in i den nya datalagen (16 å förslaget till datalag).

En av regeringen tillsatt utredning, Forskningsetiska utredningen, har diskuterat om samtycke skall kunna lämnas genom en företrädare för en organisation som den berörda personen är ansluten till, dvs. närmast en facklig organisation. Denna form av samtycke är svår att

SOU 1993:10 193

förena med kraven i Europarådets rekommendation och förslaget till EG-direktiv, för såvitt inte ombudets behörighet framgår av lag eller avtal. Några sådana lagbestämmelser finns för närvarande inte förutom de allmänna familjerättsliga bestämmelserna om ställföreträdare (förmyndare, god man och förvaltare). Enligt utredningens mening är det däremot inte lämpligt att generellt lagfästa en rätt för en organisa- tion att i fråga om personligt integritetsskydd företräda den enskilde. Det är dock denne obetaget att genom avtal, exempelvis i en särskild klausul i ett annat anställningsavtal än kollektivavtal, överlåta rätten till samtycke till annan.

När det gäller inhämtande av samtycke från underåriga bör Datain- spektionens praxis kunna vara vägledande. Denna praxis innebär att vårdnadshavaren skall lämna samtycke om barn under tolv år ingår i en undersökning. Om en behandling av personuppgifterna fortfarande äger rum när barnet har fyllt tolv är, bör barnet informeras om be- handlingen. För barn mellan tolv och sexton år skall samtycket enligt Datainspektionens praxis inhämtas från både barnet och vårdnadshava- ren. Barn som fyllt sexton år får själv lämna sitt samtycke. Enligt utredningens mening bör det ankomma på Datainspektionen att genom särskilda föreskrifter närmare utforma de regler som bör gälla när underåriga skall delta i forskningsprojekt.

Undantag från kravet på informerat samtycke

Det stora flertalet remissinstanser ställer sig i huvudsak bakom utredningens tidigare ställningstaganden om undantag från kravet på samtycke. Vissa remissinstanser ifrågasätter dock om inte undantagen är för långtgående medan andra anser att utredningens förslag till undantag är för snäva.

Enligt Europarådets rekommendationen ges endast ett undantag från kravet på informerat samtycke. Det gäller i det fall samtycke har lämnats för inhämtande av uppgifter för ett visst forskningsändamål och uppgifterna därefter önskas användas för ett forskningsändamål som påtagligt skiljer sig från det ursprungliga projektets syfte eller natur. Enligt rekommendationen får den ursprungligen gjorda registreringen användas också i det senare fallet utan att nytt samtycke inhämtas, om det skulle te sig opraktiskt med hänsyn till tidsåtgång eller det stora antalet personer som berörs att informerat samtycke inhämtas och om skyddsbestämmelser för dessa fall anges i lag. Användningen av uttrycket lag ("law") innebär att föreskrifter som meddelas av regeringen i en förordning eller av exempelvis Datain- spektionen efter bemyndigande i lag också uppfyller rekommen- dationens krav på att vara meddelade i lag. I den kommentar som gjorts i anslutning till rekommendationen från Europarådets sida anges, att de villkor eller föreskrifter som bör ställas upp för de fall som nu

194 SOU 1993:10

nämnts bör säkerställa en likvärdig grad av skydd för den enskildes integritet.

I likhet med vad utredningen har kommit fram till i sina tidigare ställningstaganden borde samtycke kunna undvaras inom den ram Europarådsrekommendationen anger vid användning av personupp- gifter för ett nytt forskningsändamål. Förslaget till EG-direktiv innehåller emellertid också en föreskrift som begränsar möjligheten att byta ändamål. Av artikel 6.1.b följer att ett ändamål skall anges innan uppgifter samlas in och att ett byte av ändamål är lagligt endast i den utsträckning det är förenligt med det ursprungligen bestämda ända— målet. Vilka användningsområden som faller inom ramen för ett visst ändamål är en tolkningsfråga. Artikel 6.1.b motsvaras av 9 å i förslaget till datalag. I specialmotiveringen till bestämmelsen i 9å anges exempel på fall då ett nytt ändamål får anses vara förenligt med det ursprungliga.

De förutsättningar som ställs upp i Europarådsrekommendationen för byte av ändamål gäller den situationen att personuppgifterna skall användas för ett nytt forskningsändamål som påtagligt skiljer sig från det ursprungliga projektets syfte eller natur (substantially different in its nature or objects). De begränsningar som rekommendationen vill åstadkomma kan man lika väl uppnå genom en reglering som motsva- rar artikel 6.1.b i direktivförslaget. Byte av ändamål är ju enligt den artikeln tillåtet bara om det nya ändamålet är förenligt med det ursprunliga. Enligt utredningens mening bör därför de allmänna bestämmelserna i förslaget till datalag om byte av ändamål (9 å) gälla även på forskningsområdet.

Det åligger den som önskar utnyttja uppgifterna för ett nytt forskningsändamål att se till att villkoren för samtycke är uppfyllda, om denne varit ansvarig för inhämtandet av de ursprungliga upp- gifterna. För att undvika att undantagsfallet aktualiseras bör givetvis de enskilda som berörs redan vid första tillfället tillfrågas om sin inställning till de forskningssyften som kan förutses komma i fråga.

Vid såväl forskning som insamling av uppgifter för enbart statistiska ändamål förekommer det att information om den enskilde hämtas ur redan befintliga datasamlingar (s.k. registerforskning). Som många remissinstanser påpekat har de framsteg som skett inte minst inom sjukvård och förebyggande folkhälsoarbete till inte oväsentlig del baserats på uppgifter från olika typer av datasamlingar och arkiv. Behovet av sådana uppgifter ökar också kraftigt, beroende både på nya frågeställningar (t.ex. gällande hälso- och sjukvårdens effektivitet) och allt bättre vetenskapliga instrument (t.ex. beträffande epidemiologisk metodik). Kunskapsuppbyggnaden har ägt rum under lång tid i många länder. Den nordiska och kanske särskilt den svenska forskningen har haft en internationellt framträdande position, baserad på en lång tradition av befolkningsregister och åtföljande kompetensuppbyggnad. I Sverige underlättas forskningen också av bestämmelserna om hand-

SOU l993:10 195

lingsoffentlighet för uppgifter hos myndigheter. Vidare bidrar den utbredda användningen av personnummer till att göra personuppgifter mera lätt tillgängliga här.

Några remissinstanser har ansett att individuellt informerat samtycke i princip inte bör krävas vid utnyttjandet av uppgifter från befintliga datasamlingar. Utredningen delar inte denna uppfattning utan anser att informerat samtycke bör gälla som huvudregel också vid registerforsk- ning. I likhet med Datainspektionen kan utredningen inte se någon principiell skillnad mellan det fall att uppgifter samlas in från enskilda och det fall uppgifter hämtas från befintliga datasamlingar när det gäller att från integritetsskyddssynpunkt bestämma' 1 vad mån samtycke skall få undvaras. Även om informerat samtycke således bör gälla som huvudregel bör vissa undantag kunna göras.

Även om en av rekommendationens utgångspunkter, vid sidan av att betona värdet av forskning, är att behandling av personuppgifter för forsknings- och statistikändamål enligt huvudregeln förutsätter informerat samtycke, framgår det att kravet på sådant samtycke är avsett endast för de fall då den enskilde själv lämnar informationen. De situationer då uppgifterna såsom vid registerforskning hämtas från annat håll är inte direkt reglerade i rekommendationens bestämmelser. Den möjlighet till undantag som rekommendationen uttryckligen medger vid utlämnande av personuppgifter för forskningssyfte utsäger i och för sig ingenting om en efterföljande behandling för samma ändamål. I enlighet med sina tidigare ställningstaganden anser dock utredningen att en rimlig tolkning av rekommendationens bestämmelser i denna del synes vara att även den efterföljande användningen i form av en ny behandling av personuppgifterna för forsknings- eller statistikändamål omfattas. En sådan tolkning förfaller ha stöd i förarbetena till den aktuella bestämmelsen men även i en föreskrift i rekommendationen om en tillåten användning utan föregående samtycke av personuppgifter ur befolkningsregister för urvalsundersök- ningar. Ingen remissinstans har heller ifrågasatt denna tolkning, som också ligger väl i linje med rekommendationens syfte att också beakta forskningens behov. Datainspektionen har uttryckligen anfört att inspektionen inte har någon invändning emot de överväganden som utredningen gjort i fråga om tolkningen av rekommendationen.

I den mån samtycke inte föreligger till utlämnande av personuppgif- ter för forskningssyfte krävs enligt uttalanden i förarbetena till rekommendationen i denna del dock att det i inhemsk lag finns intagna bestämmelser, där hänsyn till datasäkerhet och risken för integritetsin- trång finns beaktade jämte hänsyn till vikten av forskningsprojektet och behovet av identifierbara data.

Med lag torde, som redan framgått, också förstås av regeringen meddelade förordningar och de föreskrifter som Datainspektionen efter delegation har rätt att meddela. Rekommendationens krav på lagform torde nämligen vara uppfyllt, om det är fråga om i förväg meddelade

196 SOU 1993:10

normer av generell karaktär, till skillnad från myndighetsbeslut i enskilda fall.

Det avsteg från kravet på informerat samtycke som ett bibehållande av registerforskningen i nuvarande omfattning innebär bör således kunna rymmas inom ramen för en allmän reglering genom föreskrifter av forskningsfrågoma i ett framtida tillsynssystem, utan att komma i konflikt med Europarådsrekommendationen på området. Den be- stämmelse som bör tas in i förslaget till datalag bör knyta an direkt till Europarådets rekommendation och innebära att känsliga personupp- gifter får behandlas för forsknings— eller statistikändamål även utan den enskildes medgivande, om särskilda skäl föreligger med hänsyn till forsknings- eller statistikprojektets vikt, behovet av personuppgifter, säkerheten vid användningen av uppgifterna och den tid som upp— gifterna skall bevaras.

Utöver de förutsättningar för att få behandla personuppgifter utan den enskildes medgivande som följer av Europarådets rekommendation bör, i enlighet med utredningens tidigare ställningstaganden som flertalet remissinstanser ställt sig bakom, bestämmelsen innefatta de begränsningar som i huvudsak följer av Datainspektionens nuvarande praxis. Det innebär att någon av följande situationer måste föreligga, nämligen att 1. det skulle vara synnerligen kostsamt eller tidsödande att inhämta samtycke,

2. den enskildes hälsotillstånd eller forsknings- eller statistikändamålet är sådant att en begäran om samtycke kan antas skada den enskilde, eller

3. en kontakt med den enskilde skulle förrycka undersökningens resultat.

Utredningen har berört Datainspektionens praxis ovan under avsnitt 10.1.

Frågan om ett forskningsprojekts vikt får bedömas mot bakgrund av det allmänna kravet på att syftet med behandlingen skall vara be- handling för forskningsändamål, oavsett om det gäller registerforskning eller en verksamhet där uppgifterna inhämtas direkt från den som skall registreras.

Vid en bedömning av frågan om ett forskningsprojekts vikt måste krävas att projektets vetenskapliga inriktning har ett samhälleligt eller allmänt intresse. Genom detta krav kan alltså inte forskning av perifert slag komma i fråga. Det ankommer i första hand på den som avser att behandla personuppgifter för forsknings— eller statistikändamål att bedöma om projektet har ett samhälleligt eller allmänt intresse. I detta sammanhang torde viss vägledning kunna stå att finna i hur projektet finansieras. Av betydelse är också om projektet har godkänts av en forskningsetisk kommitté. I tveksamma fall bör samråd äga rum med t.ex. företrädare för forskningsråden.

SOU 1993:10 197

Som framgått ifrågasätter Datainspektionen inte enligt gällande praxis vid sin prövning det behov som anges för inrättande av ett forskningsregister. I ett framtida tillsynssystem är det emellertid ofrånkomligt att Datainspektionen i samband med en granskning av en anmälan eller vid en inspektion kan komma att få bedöma ett forsk- ningsprojekts vikt. Detta innebär alltså en förändring i förhållande till vad som gäller i dag. Datainspektionen har att söka motsvarande vägledning vid en bedömning av ett forskningsprojekts vikt som den som avser att behandla personuppgifter för forsknings- eller statistikän- damål. När det gäller frågan om ett forskningsprojekts vikt hänvisas i övrigt till följande avsnitt om behandling av personuppgifter för forskningsändamål.

I de fall som undantag kan göras från kravet på samtycke på grund av att det skulle vara synnerligen kostsamt eller tidsödande att inhämta samtycke, eller att den enskildes hälsotillstånd eller forsknings- eller statistikändamålet är sådant att en begäran om samtycke kan antas skada den enskilde, bör enligt utredningens mening krävas att uppgifterna inte får behandlas förrän information om forsknings- eller statistikprojektet lämnats i en tidning med ett spridningsområde som omfattar dem som berörs av projektet eller på annat liknande sätt, t.ex. genom anslag. När insamling av personuppgifter sker utan samtycke i de fall en kontakt med den enskilde skulle förrycka undersökningens resultat bör, innan fortsatt behandling får ske, den enskilde erhålla i princip samma information som den vars samtycke efterfrågas. Av informationen bör också i alla de här nämnda fallen framgå att den enskilde har rätt att anmäla att han inte vill delta i projektet. Görs en sådan anmälan bör de berörda personuppgifterna utplånas. Den för det tredje fallet förordade informations- och strykningsrätten stämmer överens med vad som sägs i Europarådsrekommendationen. Be- stämmelser om information och strykningsrätt i enlighet med vad som nu har sagts bör tas in i förslaget till datalag. Enligt utredningens mening är det inte utifrån etiska principer acceptabelt att forskning bedrivs under former som ger intryck av hemlighetsmakeri. Genom informationen ges de berörda möjlighet att få vetskap om behandlingen och kan därigenom utnyttja sin rätt till insyn (25 å förslaget till datalag) och i förekommande fall sin rätt att vägra medverkan i forsknings- eller statistikprojektet.

Behandling av personuppgifter för forskningsändamål

Enligt utredningens mening bör med behandling av personuppgifter för forskningsändamål förstås all behandling där personuppgifter används för vetenskapligt ändamål. Utanför begreppet forskningsändamål faller den behandling som kan förekomma på forskningsinstitutioner eller i andra forskningssammanhang, men där ändamålet med behandlingen primärt är ett annat än att uppgifterna skall användas för ett vetenska-

198 SOU l993:10

pligt arbete. Hit hör t.ex. den behandling för administrativa ändamål som görs hos myndigheter eller institutioner inom social-, hälso— eller sjukvården och som utgör underlag för beslut eller åtgärder som rör enskilda individer, eftersom ändamålet här är ett annat än forskning.

Som utredningen också framfört i sina tidigare ställningstaganden får den övergripande frågan huruvida en behandling överhuvudtaget har en vetenskaplig koppling avgöras främst med hänsyn till vem som är persondataansvarig, men även andra kriterier kan komma i fråga. Den verksamhet som bedrivs vid etablerade institutioner såsom de statliga högskoleenheterna och statliga forskningsinstitut hör självfallet hit, liksom den forskning som kan bedrivas inom hälso- och sjukvården i den kommunala sektorn, t.e.x av landsting vid sjukhus, kliniker och andra inrättningar. Även privata forskningsinstitutioner bör räknas till dem som anses kvalificerade som forskningsorgan, om det saknas anledning att betvivla den vetenskapliga inriktningen av verksamheten. I tveksamma fall kan frågor om finansiering och den vetenskapliga bakgrunden hos den projektansvarige eller annars uppgivne forskaren ha betydelse för en bedömning härvidlag. Datainspektionen bör i tveksamma fall, t.ex. i samband med granskning av en anmälan eller vid en inspektion, också samråda med de etablerade forskningsorgan som finns på området.

Några remissinstanser har påtalat vikten av att precisera och avgränsa begreppet forskningsregister. Givetvis skulle det också enligt utredningens mening ha klara fördelar om man en gång för alla kunde definiera vad som avses med behandling för forskningsändamål. Utredningen ser emellertid inte detta som möjligt utan persondataan- svariga och Datainspektionen får i det enskilda fallet göra den avgränsning som följer av utredningens överväganden. I sitt remissytt- rande har Datainspektionen framfört att det bör klaras ut huruvida samhällsplanerade verksamheter som liknar forskningsverksamhet i någon mån bör omfattas av särreglerna i en ny datalag om forskning. Utredningen anser emellertid inte att sådana verksamheter bör omfattas av särreglerna i den nya datalagen om forskning och statistikfram- ställning.

Utlämnande av personuppgifter som används för forsknings- eller statistikändamål

Utlämnande av personuppgifter regleras generellt i en allmän be- stämmelse i förslaget till datalag (11 å). Detta följer av att den föreslagna definitionen av begreppet behandling (3 å förslaget till datalag) även innefattar utlämnande. När det gäller utlämnande av personuppgifter som används för forsknings- eller statistikändamål utgör de bestämmelser som följer av övervägandena i förevarande avsnitt specialbestämmelser i förhållande till den allmänna bestämmel- sen. Det innebär att personuppgifter får lämnas ut, såvida inte

SOU l993:10 199

sekretess föreligger, om den enskilde samtycker eller om särskilda skäl föreligger med hänsyn bl.a. till ett forskningprojekts vikt och behovet av personuppgifter.

En forskningsmyndighet skall givetvis också kunna lämna ut person- uppgifter om myndigheten är skyldig att lämna ut uppgifterna till en enskild på grund av bestämmelserna i tryckfrihetsförordningen om allmänna handlingars offentlighet. Bestämmelsen i 30 å tredje stycket förslaget till datalag avser sådant utlämnande. När det gäller forsk- ningsverksamhet har Forskningsetiska utredningen uttalat att sådan verksamhet har påtagliga likheter med ärende under behandling eller med pågående utredningsarbete. Forskningsetiska utredningen ansåg därför att tryckfrihetsförordningens bestämmelser borde kunna tolkas analogivis så att det förelåg överensstämmelse.

Enligt Datalagsutredningens mening är det inte möjligt att utan vidare göra en sådan analogitolkning. Forskningsverksarnhet skiljer sig i flera hänseenden från traditionell ärendehandläggning. I många fall läggs t.ex. olika typer av delrapporter fram i forskningsprojekt. Givetvis är delrapporterna att anse som upprättade i tryckfrihetsför- ordningens mening och är därmed allmänna handlingar. Dessutom förefaller det orimligt om inte behandlingar i longitudinella forsknings- projekt skulle räknas som upprättade och bli allmänna handlingar förrän projektet har avslutats efter kanske flera decennier.

Förslaget till EG-direktiv

Som framgått ovan föreslår utredningen att vissa undantag från kravet på informerat samtycke skall tas in i den nya datalagen när det gäller behandling av känsliga personuppgifter för forsknings— eller statistikän- damål. Undantagen ligger inom den ram som Europarådsrekommenda- tionen anger. Undantagen avser fall där det föreligger särskilda skål med hänsyn till forsknings- eller statistikprojektets vikt, behovet av personuppgifter, säkerheten vid användningen av uppgifterna och den tid som uppgifterna skall användas.

En fråga som uppkommer är hur dessa undantagsbestämmelser förhåller sig till förslaget till EG-direktiv. Som framgått är en behandling av personuppgifter laglig bara om den sker i överensstäm- melse med de grundläggande reglerna för behandling av personupp- gifter som finns i kapitel 11 (art. 5 första stycket). Vad medlemsstater- na får göra, inom ramen för bestämmelserna i kapitel 11, är att mera precist ange de omständigheter under vilka behandling av personupp- gifter får ske (art. 5 andra stycket). 1 kommentaren framhålls att sådana preciseringar alltid måste ske inom ramen för bestämmelserna i kapitel 11 och att de inte får hindra det fria flödet av information inom EG-området.

Enligt huvudregeln i artikel 8 skall medlemsstaterna förbjuda be— handling av känsliga uppgifter. Medlemsstaterna får dock tillåta sådan

200 SOU l993:10

behandling, förutom vid samtycke, om viktiga allmänna intressen talar härför genom en reglering i lag eller annan författning (art. 8.3.). En sådan reglering skall ange vilka slag av uppgifter som får behandlas, till vem sådana uppgifter får lämnas ut och vem som får vara person- dataansvarig samt lämpligt säkerhetsskydd.

Som utredningen utvecklat ovan utgör forsknings- och statistikverk- samheterna väsentliga bidrag till kunskapsutvecklingen inom olika områden i samhället och är därför av stort allmänt intresse. Detta framhålls också av det stora flertalet remissinstanser. Behandlingen av personuppgifter för forsknings- eller statistikändamål torde därför vara ett sådant viktigt allmänt intresse som det talas om i artikel 8.3. Även i övrigt torde förutsättningarna enligt den berörda artikeln vara uppfyllda. På grund av offentlighetsprincipen är det dock inte möjligt att närmare ange till vem uppgifter får lämnas ut. Kravet på lämpliga skyddsbestämmelser får anses tillgodosett genom de allmänna bestämmelser om säkerhet som finns i 17 och 18 åå förslaget till datalag.

I det föregående har berörts hur utredningens förslag förhåller sig till artikel 6.1.b i direktivförslaget som bl.a. reglerar byte av ändamål.

Av det sagda framgår att utredningens förslag till lagreglerade undantag från kravet på informerat samtycke, när det gäller behandling av känsliga personuppgifter för forsknings- eller statistikändamål, ligger inom ramen för förslaget till EG-direktiv. Myndigheters skyldigheter att lämna ut personuppgifter enligt tryckfrihetsför- ordningen går dock längre än som följer av direktivförslaget och bestämmelsen i 30 å andra stycket förslaget till datalag. Som tidigare nämnts har därför ett särskilt undantag för utlämnande enligt tryck- frihetsförordningen gjorts i 30 å tredje stycket förslaget till datalag.

SOU 1993210 201

11 Behandling av känsliga personupp- gifter för anställningsändamål

11.1 Gällande rätt

11.1.1 Datalagen

Personregistrering i anställningsförhållande är inte särreglerad i datalagen (1973 :289). Merparten av de personregister som arbetsgivare för närvarande för med hjälp av ADB och som innehåller uppgifter om de anställda torde vara sådana som enligt 2 å datalagen får föras utan tillstånd. I vissa fall kan dock registren innehålla sådana uppgifter av känsligt slag, t.ex. värderande omdömen eller uppgifter om en anställds hälsa eller sjukdom som medför att, förutom licens, även tillstånd av Datainspektionen krävs. Tillstånd kan också behövas om personuppgifter skall inhämtas från något annat personregister, s.k. sambearbetning.

Beviljas tillstånd meddelar Datainspektionen enligt 5 å datalagen beslut om ändamålet med registret. I den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet kan även meddelas ett eller flera villkor enligt 6 å datalagen. Föreligger särskilda skäl får tillståndet begränsas till viss tid.

Vid bedömningen av om villkor behövs för att förebygga risk för otillbörligt integritetsintrång skall Datainspektionen enligt 6 å andra stycket datalagen särskilt beakta om registret innehåller uppgift som utgör omdöme eller annan värderande upplysning om den registrerade.

För att underlätta hanteringen av tillståndsärenden har Datainspek- tionen före den 1 juli 1982 tillämpat ett förenklat ansöknings- och tillståndsförfarande i fråga om mindre integritetskänsliga register. Motsvarande register får därefter inrättas utan tillstånd.

Datalagen innehåller inte någon bestämmelse - utöver 10å om rätten till insyn - som direkt tar sikte på information till den registrera- de. Datainspektionen kan dock med stöd av 6 å datalagen besluta om en sådan skyldighet för en arbetsgivare i egenskap av registeransvarig.

Genom en lagändring, som trädde i kraft den 1 juli 1992, behövs det inte längre tillstånd för arbetsgivare att inrätta och föra person- register för löne— och personaladministrativa ändamål, som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrån-

202 SOU 1993: 10

varo (2 a å datalagen, prop 1991/92:126, KU 22). Ändringen är föranledd av de nya bestämmelser om arbetsgivares rehabiliteringsan- svar i lagen (1962z381) om allmän försäkring, som gäller sedan den 1 januari 1992.

11.1.2 Vissa arbetsrättsliga bestämmelser

Vissa bestämmelser i arbetsmiljölagen (1977: 1 160) och i lagen (1976 :580) om medbestämmande i arbetslivet har också betydelse för arbets— tagarnas möjligheter till inflytande över införande och användning av datasystem på arbetsplatserna.

Enligt 2 kap. 1 å arbetsmiljölagen skall arbetsmiljön vara till- fredsställande med hänsyn till arbetets natur och den sociala och tekniska utvecklingen i samhället. Vidare sägs att arbetsförhållandena skall anpassas till människans förutsättningar i fysiskt och psykiskt avseende samt att det skall eftersträvas att arbetet anordnas så, att arbetstagare själva kan påverka sin arbetssituation.

I förarbetena till arbetsmiljölagen (prop. 1976/77:149 s. 227 ff) pekade departementschefen särskilt på de nackdelar som införandet av och användningen i arbetslivet av styrsystem baserade på ADB kunde innebära och framhöll vikten av att representanter för arbetstagarna var med redan från början vid förberedelse av sådana system.

Enligt 6 kap. 4 å arbetsmiljölagen skall skyddsombud delta bl.a. vid planering av nya eller ändrade lokaler, anordningar, arbetsprocesser och arbetsmetoder. Arbetsgivare har även skyldighet att underrätta skyddsombud om förändringar av betydelse för skyddsförhållandena inom ombudets område. Sådana frågor skall enligt 6 kap. 9 å arbetsmiljölagen behandlas i en skyddskommitté, när sådan har inrättats. Skyddskommitténs inflytande inbegriper frågor om införande av ny teknik, förändringar av styr- och kontrollsystem eller andra förändringar av arbetsorganisationen.

Arbetarskyddsstyrelsen har meddelat vissa föreskrifter och allmänna råd som rör frågor om införande av ny teknik i arbetet, vilka publice- rats i arbetarskyddsstyrelsens författningssamling (AFS). Sålunda finns allmänna råd om psykiska och sociala aspekter på arbetsmiljön (AFS 1980: 14) och om datorstöd i arbetet (AFS l986:27), föreskrifter och allmänna råd om arbete iutgångskassa (AFS 1986: 1) samt föreskrifter om arbete vid bildskärm (AFS 1985: 12).

Enligt 11 å medbestämmandelagen skall arbetsgivare på eget initiativ förhandla med arbetstagarorganisation i förhållande till vilken han är bunden av kollektivavtal, innan han beslutar om viktigare förändring av sin verksamhet. Detsamma skall iakttas innan arbets- givare beslutar om viktigare förändring av arbets— och anställningsför— hållandena för arbetstagare som tillhör organisationen. Om synnerliga skäl föranleder det får arbetsgivaren fatta och verkställa beslut innan han fullgjort sin förhandlingsskyldighet.

SOU 1993: 10 203

Finns lokal arbetstagarorganisation skall förhandlingsskyldigheten enligt 14 å medbestämmandelagen fullgöras i första hand genom förhandling med denna. Uppnås inte enighet vid förhandlingen skall arbetsgivaren på begäran förhandla även med central arbetstagarorgani- sation.

Enligt 19 å medbestämmandelagen skall arbetsgivare fortlöpande hålla arbetstagarorganisation i förhållande till vilken han är bunden av kollektivavtal underrättad om hur hans verksamhet utvecklas pro- duktionsmässigt och ekonomiskt liksom om riktlinjerna för personalpo- litiken. Arbetsgivaren skall dessutom bereda arbetstagarorganisationen tillfälle att granska böcker, räkenskaper och andra handlingar som rör arbetsgivarens verksamhet, i den omfattning som organisationen behöver för att tillvarata medlemmarnas gemensamma intressen i förhållande till arbetsgivaren. Informationsskyldigheten gäller enligt 20 å medbestämmandelagen i första hand lokal arbetstagarorganisation samt i förekommande fall även central arbetstagarorganisation.

Mellan parter som träffar kollektivavtal om löner och allmänna anställningsvillkor bör enligt 32 å medbestämmandelagen, om arbetstagarparten begär det, även träffas kollektivavtal om medbe- stämmanderätt för arbetstagarna i frågor som avser ingående och upp- hörande av anställningsavtal, ledningen och fördelningen av arbetet och verksamhetens bedrivande i övrigt.

I anslutning till medbestämmandelagen har träffats olika medbe— stämmande— och utvecklingsavtal som kan få betydelse i samband med införandet av ny teknik. Endast ett fåtal avtal synes emellertid ha slutits som direkt omfattar den datoriserade hanteringen av person- uppgifter på arbetsplatsen.

Genom en ändring i lagen (1962:381) om allmän försäkring (AFL), som trädde i kraft den 1 januari 1992, infördes regler om ansvar för arbetslivsinriktad rehabilitering och om ekonomisk ersättning vid sådan rehabilitering (prop. 1990/91: 141 och 181, SfU 16 och 18, rskr. 303 och 372, SFS 1991: 1040). Ändringarna innebär att arbetsgivaren fått ett ökat ansvar för de anställdas rehabilitering.

Arbetsgivaren svarar för att behovet av rehabiliteringsåtgärder utreds när den anställde på grund av sjukdom har varit borta från arbetet längre än fyra veckor i följd, när den enskilde haft upprepade korta sjukfall eller när den anställde själv begär det. En sådan rehabiliteringsutredning skall ske i samråd med den anställde och utgå från dennes individuella förutsättningar och behov. Utredningen skall genomföras och tillställas försäkringskassan inom viss bestämd tid. Arbetsgivaren svarar vidare för att sådana arbetslivsinriktade rehabili- teringsåtgärder vidtas som kan genomföras inom eller i anslutning till den egna verksamheten. Inriktningen skall därvid vara att den anställde skall beredas fortsatt arbete hos arbetsgivaren och att andra alternativ prövas först när dennes möjligheter är uttömda.

204 SOU 1993: 10

Den anställde skall lämna de upplysningar som behövs för att klarlägga hans behov av rehabilitering och efter bästa förmåga aktivt medverka i rehabiliteringen.

Under rehabiliteringen kan den anställde få rehabiliteringsersättning från försäkringskassan. För att sådan ersättning skall kunna utgå förutsätts att rehabiliteringen ingår i en av försäkringskassan upprättad rehabiliteringsplan, som anger bl.a. vilka åtgärder som aktualiseras, vem som ansvarar för dem och när de skall genomföras. Försäkrings- kassan skall fortlöpande se till att planen följs och vid behov anpassas efter ändrade förhållanden. Som underlag för bedömning och fortsatt rehabiliteringsarbete är den anställde på försäkringskassans begäran skyldig att lämna ett mer ingående läkarutlåtande när en sjukperiod har varat i fyra veckor. Ett sådant utlåtande skall innehålla uppgift om behovet av rehabilitering, pågående och planerad behandling eller rehabiliteringsåtgärd samt, om möjligt, beräknad återstående sjukdoms- tid med nedsatt arbetsförmåga.

Försäkringskassan ges ett övergripande samordningsansvar för rehabiliteringsverksamheten, innefattande ansvar för regionalt och lokalt samarbete mellan olika myndigheter och organ med uppgifter på rehabiliteringsområdet. Försäkringskassan skall samordna och ha tillsyn över de utredande och andra insatser som enligt lagen om allmän försäkring krävs för rehabilitering av enskilda försäkrade. Den skall också när det behövs ta initiativ till sådana insatser. I ansvaret ingår att ge stöd åt den enskilde i kontakter med andra rehabilite— ringsansvariga. Gentemot den försäkrades arbetsgivare får försäkrings- kassan ett tillsynsansvar för att denne fullgör sina rehabiliteringsupp- gifter. I speciella fall skall försäkringskassan överta ansvaret för att rehabiliteringsutredning kommer till stånd.

Enligt ändringar i arbetsmiljölagen (1977:] 160), som trädde i kraft den 1 juli 1991, har arbetsgivaren en skyldighet att systematiskt planera, leda och kontrollera arbetsmiljön, att utreda arbetsskador och vidta de åtgärder som behövs för att följa upp dessa och att upprätta handlingsplaner för de åtgärder som inte kan vidtas genast (prop. 1990/91:140, AU22, rskr. 302, SFS 1991:677). Vidare infördes en skyldighet för arbetsgivaren att se till att en på lämpligt sätt organise— rad arbetsanpassnings- och rehabiliteringsverksamhet finns på arbetsstället.

I förarbetena till ändringarna i arbetsmiljölagen och AFL under- stryks vikten av att arbetsgivaren har en ändamålsenlig organisation för rehabiliteringsarbetet och ett system för att tidigt fånga upp behovet av rehabilitering (se prop. 1990/91:140 s. 49 ff, s. 62 och s. 135 ff samt prop. 1990/91:141 s. 42 och s. 89). I prop. 1990/91:140 s. 50 uttalas följande.

Hur en på lämpligt sätt organiserad anpassnings- och rehabilite- ringsverksamhet 1 detalj bör utformas varierar beroende på

SOU 1993: 10 205

förutsättningarna inom olika verksamheter. Det kan t.ex. innebära att arbetsgivaren ser nu att det finns:

kompetens och kontaktpersoner

ekonomiska resurser avdelade för ändamålet

policy och mål för frågorna organisation av arbetet tydlig ansvarsfördelning rutiner för tidiga kontakter med sjukskrivna

rutiner för undersökning av rehabiliteringsbehov m.m. rutiner för kontakter med myndigheter, företagshälsovård m.fl. rutiner för kontroll, uppföljning och utvärdering samverkan med arbetstagarna Organisation och rutiner skall vara sådana att tidiga varnings- signaler uppmärksammas och att åtgärder mot ohälsa planeras och genomförs.

I prop. 1990/91:141 om rehabilitering och rehabiliteringsersättning m.m. påtalas att arbetsgivarens utredningsansvar inte begränsas till att omfatta åtgärder på arbetsplatsen. Det bör enligt departementschefen också ingå i arbetsgivarens ansvar att göra en bedömning av orsakerna till arbetsoförmågan och utreda behovet av åtgärder även om dessa står att finna utanför arbetsplatsen. Mer omfattande utredningar av förhållanden utanför arbetsplatsen bör dock inte vara en uppgift för arbetsgivaren (s. 45). Beträffande genomförandet av rehabiliteringsut— redningen anförs bl.a. följande (5. 46 ff).

Rehabiliteringsutredningen bör göras i nära samråd med den anställde. Det är en genomgående erfarenhet att individens intresse och medverkan behövs för att en rehabilitering skall ] ckas. Den som är föremål för en rehabiliteringsutredning måste ärför själv på ett aktivt sätt få medverka vid planeringen av rehabiliteringen. Genom att utredningen genomförs i nära samarbete med den anställde bör också på ett smidigt sätt den information som behövs för utrednin en kunna bli tillgänglig.

Information om orsaken till sjuk rånvaron, t.ex. sjukdoms- diagnos, bör arbetsgivaren således kunna få tillgång till enbart med den försäkrades samtycke. Jag utgår från att ett sådant samtycke i normala fall kommer att lämnas av den försäkrade. Jag är inte beredd att föreslå en rätt för arbetsgivaren att få tillgång till de uppgifter om den anställdes s'ukdom som finns i det läkarintyg den försäkrade skall lämna till] försäkringskassan. Jag vill emellertid framhålla möjligheten att genom avtal låta arbetsgivaren få tillgång till läkarintyg i vissa situationer. Denna möjlighet har utnyttjats på det statliga området och i vissa fall när de okala parterna har träffat överenskommelse om hur rehabilite- ringsarbetet på arbetsplatsen skall bedrivas.

Några närmare krav utöver dem jag redan nämnt på en rehabiliteringsutrednings innehåll och utformning vill jag inte föreslå i detta sammanhang. I rehabiliteringsberedningens förslag anges att utredning skall göras om det inte framstår som obehöv- ligt. Jag anser det naturligt att utredningens omfattning och karaktär får avgöras med ut ångspunkt i omständigheterna i de särskilda fallen. En rehabiiteringsutredning kan i vissa fall komma att vara av mycket enkel beskaffenhet medan den i andra