SOU 1993:83
Statistik och integritet
Till statsrådet och chefen för Finansdepartmentet
Utredningen (Fi 1993:O3) om frågor kring integritetsskydd för uppgifter i statlig statistik, m.m. tillsattes i februari 1993.
Till särskild utredare förordnades generaldirektören Jan Freese. Utredningen, som påbörjade sitt arbete under mars månad 1993, har antagit namnet Integritetsskyddsutredningen.
I en första etapp av arbetet har utredningen framför allt granskat skyddet för de primäruppgifter som samlas in för framställning av statlig statistik. Vidare har en granskning utförts av vilka risker från integritetsskyddssynpunkt som kan aktualiseras vid en delegering av beställaransvaret för officiell statistik. En analys har också gjorts av vissa rättsliga aspekter kring insamlade primäruppgifter. Utredningen förslår att förutsättningarna för insamling och ADB—behandling av primäruppgifter skall regleras i en lag om statistikregister. Av- slutningsvis lämnas också vissa synpunkter beträffande skyddet av mikrodata som används vid arbete med ekonomiska konsekvensana— lyser i regeringskansliet
Som sakkunniga i det hittillsvarande arbetet har medverkat byrådirektören vid Datainspektionen (DI) Kristina Blomberg, överdirektören vid Riksarkivet Claes Gränström, kammarrättsassessorn i Justitiedepartementet Agneta Lundgren samt chefsjuristen vid Statistiska centralbyrån (SCB) Per Samuelson.
Som experter har deltagit departementssekreteraren i Arbetsmark- nadsdepartementet Bo Barrefeldt och verkställande direktören i Företagens Uppgiftslämnardelegation (FUD) Nils Rydén.
Sekreterare åt utredningen har varit kammarrättsassessorn Rickard Sahlsten.
Under utredningsarbetet har överläggningar och samråd ägt rum med företrädare för olika myndigheter inom landet.
Finansdepartementet har inkommit med en skrivelse som belyser det arbete med ekonomiska konsekvensanalyser som utförs inom rege- ringskansliet med avidentifierade mikrodata, se bilaga 2.
Utredningen fortsätter i den avslutande etappen arbetet med den statistikregisterlag som föreslås i delbetänkandet. Häri ingår bl.a. att granska problematiken kring bevarande och gallring av uppgifter och att presentera ett författningsförslag. Vidare kommer utredningen att behandla, dels vissa frågor kring förutsättningama för att framställa s.k. urvalsregister och dels vissa ytterligare frågor kring regerings— kansliets användning av mikrodata i ekonomiska simuleringsmodeller.
Särskilt yttrande har avgivits av Per Samuelson.
Stockholm den 16 september 1993
Jan Freese
/Rickard Sahlsten
Innehåll Sammanfattning ............................... 9 1 Utredningsuppdraget ....................... l 1 1.1 Direktiv och avgränsningar ................... 11 1.2 Utredningsarbetet ......................... 12 2 Statistik och integritet m.m. ................... 13 2.1 Allmän bakgrund ......................... 13 2.2 Begreppet statistik ......................... 14 2.2.1 Officiell och övrig statistik .............. 15 2.2.2 Driftsstatistik ...................... 16 2.2.3 Den fortsatta användningen av statistikbegreppet .................... 17 2.3 Integritet och integritetsskydd ................. 17 2.3.1 Skydd beträffande juridiska personer ....... 19 2.3.2 Den fortsatta användningen av integritetsskyddsbegreppet .............. 19 2.4 Myndighetsbegreppet ...................... 21 2.4.1 Den fortsatta användningen av myndighetsbegreppet ................. 22 2.5 Statistik och forskning ...................... 22 2.5.1 Forskningens behov och användning av primäruppgifter för statistik ............. 22 3 Skydd för uppgifter vid statistilq'ramställning ........ 25 3.1 Inledning .............................. 25 3.2 Uppgiftsskyddet hos Statistiska centralbyrån (SCB) . . . . 25 3.2.1 Statistiksekretessen .................. 26 3.2.2 Datalagen och Datainspektionen (DI) ....... 30 3.2.3 Lagen om den officiella statistiken ......... 34 3.2.4 Det interna säkerhetsarbetet ............. 34 3.2.5 Etikregler och interna normer ............ 36 3.2.6 Skydd för uppgifter som angår rikets säkerhet ......................... 37 3.2.7 Arkivbestämmelser .................. 37 3.2.8 Ansvarsfrågor ..................... 38 5
3.3
3.4
4.1 4.2
4.3 4.4
5.3
5.4
Skyddet utanför SCB - en jämförelse med skyddet hos andra myndigheter ...................... 39 DI:s allmänna råd beträffande datasäkerhet ......... 41 Delegerat beställaransvarför statlig statistik ........ 45 Allmänna principer ........................ 45 Statistik för skolsektorn ..................... 46 4.2.1 Skolverksavtalet .................... 46 Berörda myndigheter m.m. ................... 48 Riskbild vad avser integritetsskyddet ............. 48 Rättsliga villkor, förfoganderätt m.m. ............. 53 Inledning .............................. 53 Myndigheternas statistikframställning ............. 54 5.2.1 SCB och dess anslagsverksamhet .......... 54 5.2.2 SCB och dess uppdragsverksamhet ......... 54 5.2.3 Statistikframställning utanför SCB ......... 55 Uppgiftsförsörjningen för den statliga statistiken ...... 55 5.3.1 Uppgifter från andra myndigheter ......... 56 5.3.2 Uppgiftsplikt ...................... 57 5.3.3 Frivilligt uppgiftslämnande ............. 57 5.3.4 Summering ....................... 58 Förfoganderätt ........................... 58 5.4.1 Allmänt ......................... 58 5.4.2 Förfogande och förfoganderätt ........... 59 Vissa internationella överenskommelser ........... 65 Europarådets dataskyddskonvention .............. 65 OECD:s rekommendation och riktlinjer om dataskydd . . 66 Förslag till EG-direktiv ..................... 67 Användning av mikrodata vid modellsimuleringar m.m. . . 71 Inledning .............................. 71 Externa krav på skattestatistik m.m. ............. 71 Ekonomiska konsekvensanalyser med mikrodata i regeringskansliet ......................... 72 Överväganden och förslag .................... 75 Integritetsskyddet för uppgifter vid framställning av statistik ............................. 75 8.1.1 Allmänna utgångspunkter .............. 75 8.1.2 Olika modeller för att säkerställa skyddet
för uppgifter ...................... 80
8.1.3 Registerlag och författningsteknisk
lösning .......................... 82 8.2 Rättsfrågor kring statistikframställning ............ 87 8.2.1 Förfoganderätten .................... 88 8.2.2 SCB och dess framtida roll ............. 88 8.3 Reglering beträffande gemensamma data och mikrodata .............................. 88 Särskilt yttrande ............................. 91 Bilagor 1. Kommittédirektiv .......................... 95 2. Skrivelse från Finansdepartementet .............. 105
Sammanfattning
I betänkandets inledande kapitel 1 ges en beskrivning av utrednings— uppdraget och bakgrunden till detta samt en sammanfattning av utredningsarbetet. I kapitel 2 följer en analys av vissa centrala begrepp såsom statistik, integritet och integritetsskydd, vartill kommer en kortare diskussion kring statistik contra forskning. Härav framgår bl .a. att utredaren ansluter sig till det statistikbegrepp som använts av 1990 års statistikutredning och att det inte finns någon klar definition av begreppet personlig integritet. Det finns dock en rad teorier i ämnet som syftar till att dra någon form av gräns kring den enskildes fredade sfär. Utredaren finner att den oenighet som i dag råder kring integritetsskyddets omfattning främst torde röra vilka undantag som skall kunna göras till följd av allmänt övergripande intressen. Det framhålls också att personregister behöver skyddas mot andra faror än obehörig åtkomst, t.ex. vissa allvarliga tekniska fel som kan få långtgående konsekvenser. Härefter redogörs i kapitel 3 bl.a. för hur primäruppgifter till den statliga statistikframställningen skyddas vid SCB. Det ges en bild av det ”dataskydd” som SCB använder som ett samlat begrepp för ett antal regler samt fysiska/tekniska arrangemang och åtgärder som syftar till att skapa och vidmakthålla ett starkt skydd för de uppgifter som används vid centralbyråns statistikframställning. Redogörelsen följs i en senare del av kapitlet av ett försök till jämförelse av skyddet med skyddet för uppgifter vid andra myndig- heter. En bakgrund till riksdagens principbeslut om förändrad ansvars- fördelning beträffande officiell statistik för avgränsade sektorsområden följer i kapitel 4, tillsammans med en presentation av skolverksprojek— tet. Kapitlet avslutas med en analys av vilka risker - med avseende på integritetsskyddet för primäruppgifter - som på olika sätt kan uppstå om särskilt utsedda myndigheter blir huvudansvariga för statistiken. Utredaren har dock från dessa utgångpunkter inte funnit något principiellt hinder mot att genomföra en ändrad ansvarsfördelning i enlighet med principbeslutet. I anslutning till analysen drar dock utredaren vissa slutsatser beträffande mer generella åtgärder som behövs för att - allmänt sett och på sikt - förbättra integritetsskyddet för primäruppgifter. Detta menar utredaren kan ske inom ramen för en statistikregisterlag som föreslås och som i detalj kommer att presenteras i slutbetänkandet. Vissa rättsliga aspekter kring statistik-
framställningen med tyngdpunkt på förfoganderätten granskas i kapitel 5. Utredaren finner härvid att det centrala förfoganderätts- begreppet i detta sammanhang är grundregeln i 2 kap. 3 5 andra stycket tryckfrihetsförordningen (TF). En genomgång av internationel- la överenskommelser på området görs i kapitel 6. Den särskilda problematiken kring användningen av mikrodata vid modellsimulering- ar i regeringskansliet behandlas i kapitel 7. I betänkandets avslutande kapitel 8 presenteras utredarens överväganden och förslag. Utredaren finner att ett beställaransvar för officiell statistik är ett myndig- hetsansvar av sådan dignitet att det måste regleras i myndighetens instruktion eller på motsvarande sätt. Att lägga ett sådant ansvar på en myndighet måste vidare bygga på vissa förutsättningar. En sådan är myndighetens kontroll över de primäruppgifter som utgör underlaget för statistiken. Den ansvariga myndigheten måste förvissa sig om att uppdragstagaren - SCB eller annan - fullgör myndighetens uppgift på ett sådant sätt som det skulle ha ålegat myndigheten att göra. Flera starka skäl talar enligt utredarens mening för att beställarmyndigheten, för att kunna leva upp till sitt ansvar, bör förfoga över uppgifterna. Detta kan lösas genom att uppgifterna samlas in av den beställaransva- riga myndigheten eller för dennas räkning och att myndigheten sedan inte får avhända sig förfogandet över dem. Beträffande äldre primär- uppgifter som i dag finns hos SCB, måste tillgång till uppgifterna ordnas. Enligt utredarens mening bör en myndighet med statistik- ansvar i form av beställaransvar självfallet ha registeransvar enligt gällande datalag och arkivansvar enligt arkivlagen. Myndigheten bör även hantera handlingar enligt TF:s och sekretesslagens regler. Vidare föreslår utredaren, som redan angivits, att en statistikregisterlag inrättas som anger förutsättningarna för att samla in och ADB— behandla uppgifter till den statliga statistiken. Utredaren föreslår avslutningsvis vissa åtgärder för att säkra skyddet av de mikrodata som används för modellsimuleringar i regeringskansliet.
Utredningens fortsatta arbete kommer framför allt att avse den statistikregisterlag som föreslås i delbetänkandet. Häri ingår bl.a. att granska problematiken kring bevarande och gallring av uppgifter och att presentera ett författningsförslag. Vidare kommer utredningen att behandla, dels vissa frågor kring förutsättningarna för att framställa s.k. urvalsregister, dels vissa ytterligare frågor kring regeringskansli- ets användning av mikrodata i ekonomiska simuleringsmodeller.
1. Utredningsuppdraget
1.1. Direktiv och avgränsningar
Utredningens direktiv (dir. 1992: 1 10) innefattar uppdrag för utredaren att granska ett antal frågor med anknytning till integritetsskyddet för uppgifter i den statliga statistiken. Frågorna har aktualiserats på olika sätt, främst i anledning av riksdagens principbeslut om ändrad ansvarsfördelning och finansiering beträffande den officiella statistiken (prop. 1992/93:101, bet. FiU:1992/93z7, rskr. 1992/93zl22).
Två huvudmoment kan urskiljas. Utredaren skall för det första kartlägga vilka regler, rutiner och rekommendationer om integritets- skydd som gäller för myndigheter som får ansvar för viss statistik enligt en decentraliserad ansvarsordning och mot bakgrund härav utreda vilka förstärkningar av olika slag som behövs för att åstadkom- ma en hög skyddsnivå för uppgifter som lämnas för statistikändamål.
För det andra skall utredaren analysera och redovisa rättsläget beträffande förfoganderätten till register i den statliga statistiken, dvs. rätten till insamlade statistiska grunddata och upprättade register. Vid behov skall ändringar föreslås i detta.
Utredaren skall vidare pröva om det är möjligt att skapa en register— lag för SCB:s statistikregister. Den prövningen skall bl.a. omfatta en analys av gallringsfrågorna.
Utredaren skall slutligen föreslå en rättslig reglering som till— fredsställer behovet av dels gemensamma data för inkomst— och förmögenhetsskatter, dels uppgifter i det s.k. fördelningsmodellprojek- tet. Dessa olika frågor har ansetts böra lösas i ett sammanhang för att komplettera den reglering och de principer avseende finansiering och samordning som gäller den statliga statistiken.
Merparten av frågorna påkallar en skyndsam lösning. Uppdraget innefattar därför en tidsmässig prioritering beträffande de rättsliga frågorna och förutsätter en delredovisning i dessa delar.
Utredningens direktiv bifogas i sin helhet som bilaga 2.
1 .2 Utredningsarbetet
Arbetet inleddes i mars 1993 och har, mot bakgrund av vad som anförs i direktiven, indelats i två etapper. Utredaren har biträtts, förutom av sekretariatet, av en grupp bestående av fyra sakunniga och två experter. Utredningen har hittills samrått med Datainspektionen (DI), Forskningsrådsnämnden (FRN) och Socialstyrelsen (805). Synpunkter har inhämtats från Riksskatteverket (RSV), Riksrevisions- verket (RRV) och Konjunkturinstitutet (KI). Vidare har diskussioner förts med företrädare för Arbetsmarknadsstyrelsen (AMS) och 808. Utredningen håller fortlöpande kontakt med Genomförandekommittén (Fi 1993:05).
2. Statistik och integritet m.m.
2.1. Allmän bakgrund
1990 års statistikutredning föreslog i sitt betänkande Effektivare statistikstyrning (SOU 1992:48 s. 127 - 128) att ansvaret för detalj— styrningen av den statliga statistiken så långt det var lämpligt och möjligt skulle delegeras till huvudanvändarna av statistiken. Vidare föreslogs att all statistikproduktion vid SCB skulle uppdragsfinansieras med departement eller myndigheter som beställare. Endast då ingen myndighet befunnes lämplig som beställare borde beställaransvaret läggas på ett departement. För statistik som inte på något entydigt sätt kunde hänföras till ett departementsområde borde beställaransvaret läggas på Finansdepartementet.
I regeringens prop. 1992/93:101 om den statliga statistikens finansiering och samordning anförde föredragande departementschef att hon funnit starka skäl att inte delegera ansvaret för och avgifts- finansiera all statistik. Samtidigt framhöll hon att staten i första hand borde engageras i sådan statistik som är av grundläggande betydelse och där allmänintresset är stort. Departementschefen föreslog mot den bakgrunden att SCB skulle få ansvar för sådan statistik som griper över flera områden, som inte har någon naturlig myndighetsanknyt- ning eller där förtroendet för statistiken påtagligt gagnas av detta. Ansvaret för officiell statistik för avgränsade sektorsområden eller med en huvudanvändare föreslogs fördelat så långt som möjligt till sektorsmyndigheterna med finansiering genom anslag hos berörda myndigheter. Samma ansvarsförhållande föreslogs gälla beträffande övrig statistik och statistiska tjänster som dock skulle finansieras av beställaren. I propositionen betonas nämligen att den officiella statistiken inte skulle komma att omfatta all den statliga statistik som produceras i dag. Användarna förutsätts styra framställningen av statlig statistik som inte klassificeras som officiell statistik och att ordna finansieringen av densamma. En tillämpningsförordning utlova- des under hösten 1992.
Departementschefen framhöll samtidigt vikten av att få de rättsliga grunderna för samhällets statistikverksamhet allsidigt genomlysta och fastställda. I detta sammanhang ansågs särskilt integritetsskyddet böra
beaktas, liksom forskningens behov av statistik. Dessa rättsliga frågor ansåg departementschefen borde utredas i särskild ordning.
Riksdagen har på hemställan av utskottet (bet. FiU:1992/93z7) beslutat godkänna de principer för ansvarsfördelning och finansiering mellan SCB och övriga myndigheter som förordats i propositionen 1992/931101, moment 1, avsnitt 2.2.2 (rskr 1992/93:122).
Kommittén för Genomförande av ändrad ansvarsfördelning för den statliga statistiken (Genomförandekommittén) har fått direktiv (dir. 1993:9) att bl.a. utvärdera vilken statistik som skall styras av sektorsmyndigheter och att precisera omfattningen av sektorsansvaret. En precisering av innehållet i begreppet officiell statistik skall enligt direktiven göras av kommittén.
En första delrapport från kommittén, den 8 april 1993, indikerar att ett antal myndigheter är tänkbara för beställaransvar.
2.2. Begreppet statistik
Användningen av begreppet statistik är inte på något sätt given eller självklar. Åtskilliga diskussioner har under årens lopp förts i doktrinen beträffande vad begreppet egentligen innefattar. Utredningsdirektiven talar om ”den statliga statistiken” och berör inte begreppet närmare.
Det torde dock stå klart att begreppet statistik används i två icke synonyma betydelser. Det första avser att beteckna någon form av kvantitativa sammanställningar av observationer som kan hänföras till ett tillstånd eller skeende. Det andra avser att beteckna den vetenskap och de metoder som används för framställningen.
I 1990 års statistikutrednings betänkande Effektivare statistikstyrning (SOU 1992:48) framhålls särskilt (s. 23) att utredningen använder begreppet statistik i samma betydelse som 1979 års statistikutredning, nämligen som ”beteckning för numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd”. Statistik används också som ”beteckning för vetenskapen avseende metoder och modeller för detta”. Med statistik avser 1990 års statistikutredning även ”data i statistikregister från vilka uttag kan göras”.
2.2.1. Officiell och övrig statistik
En skiljelinje av stor betydelse i den statliga statistiken går dock mellan vad som rubriceras officiell statistik och s.k. övrig statistik. I nyss nämnda prop. 1992/93: 101 hävdar departementschefen (s. 3) att det enligt hennes bedömning är den officiella statistiken som är av särskilt intresse beträffande ansvarsfördelning mellan myndigheter. Hon poängterar därvid att användarna själva styr framställningen av den statliga statistik som inte klassificeras som officiell statistik.
Användarnas inflytande hävdas bli stärkt, dels genom ett ökat ansvar för officiell statistik, dels genom att bara en del av den statistik som tas fram i dag kommer att definieras som officiell statistik.
1990 års statistikutredning gjorde en grundlig analys beträffande avgränsningen av s.k. basstatistik. Departementschefen hävdar för sin del i propositionen (s. 4) att begreppet basstatistik enligt hennes bedömning sammanfaller med officiell statistik enligt lagen (1992:889) om den officiella statistiken.
Diskussionen kring s.k. driftsstatistik (se nedan) är inte heller helt ny. Flera av de remissinstanser som yttrade sig över Statistikregel- utredningens betänkande Förenklad statistikreglering (SOU 1990:43) ansåg att det behövdes en närmare avgränsning av begreppet ”statlig statistikframställning”. Invändningarna motiverades främst med att vissa myndigheter kände sig osäkra på om deras framställning av statistik skulle hamna under den föreslagna lagens tillämpning eller inte. I prop. 1991/92:118 om förenklad statistikreglering beskriver departementschefen (s. 12) driftsstatistik som ”sådan statistik som tas fram genom sammanställning och bearbetning av uppgifter som myndigheterna förfogar över för att följa upp, bedöma och utvärdera sin egen verksamhet”. Vidare konstateras (s. 13) att utredningens lagförslag innebar att lagen skulle bli tillämplig om vissa förut— sättningar var uppfyllda. På så sätt skulle man täcka in en okänd mängd statistikframställning som i sin tur skulle följa vissa bestämda regler. Detta ansågs i och för sig vara en framkomlig väg. En annan väg skulle enligt departementschefen vara att peka ut viss statistik- framställning och inordna den under de föreslagna reglerna. Departe- mentschefen fann, efter att ha vägt de båda metoderna mot varandra och därtill beaktat remissinstansernas synpunkter, att den senare metoden var mer ändamålsenlig. Departementschefen förordade att benämningen skulle vara ”officiell statistik”. Detta framför allt för att betona att det skulle vara fråga om särskild i författning angiven statistik och inte bara ”statlig statistikframställning” som i princip varje statlig myndighet kan sägas ägna sig åt.
Med den lösningen uppstod inte något problem med avgränsning av driftsstatistik.
Ovan nämnda nya lag med grundläggande regler för den officiella statistiken trädde i kraft den 1 januari 1993. I lagens 1 & anges officiell statistik vara sådan statistik för samhällsplanering, forskning, allmän information och internationell rapportering som en myndighet framställer enligt föreskrifter som regeringen meddelar. I förordningen (1992:1668) om den officiella statistiken återfinns tillämpningsföre- skrifter beträffande såväl insamlande av uppgifter som samråd, information och tillgänglighet. Enligt förordningens 2 5 är officiell statistik sådan statistik som förtecknas i bilaga till förordningen. Det är dock sannolikt att omfattningen av den officiella statistiken och därmed förordningens innehåll kan komma att bli delvis förändrat som ett resultat av Genomförandekommitténs inledningsvis omnämnda arbete.
2.2.2. Driftsstatistik
Sådan statistik som framställs vid myndigheter men som inte klassifi- ceras som officiell statistik benämner departementschefen i prop. 1992/93:101 om den statliga statistikens finansiering och samordning (s. 3) ”övrig statistik”. Häri torde i stor omfattning ingå en speciell kategori statistik. Den kan sägas ha till främsta syfte att utgöra del av en informationsprocess för styrning av verksamheter innefattande planering, beslut, uppföljning, analys och värdering. Jämför härvid 1990 års statistikutrednings betänkande Effektivare statistikstyrning (SOU 1992:48 s. 23). Den kallas oftast driftsstatistik men andra beteckningar förekommer såsom uppföljningsstatistik, verksam- hetsstatistik, operativ statistik eller instrumentell statistik. Den tas fram för att ge information av mera internt intresse vid myndigheter och om mera snävt avgränsade verksamheter. Som tidigare nämnts gav departementschefen i prop. 1991/92:118 om förenklad statistikregle- ring (s. 12) en beskrivning av denna statistik. Jag ansluter mig helt till den beskrivningen och kommer fortsättningsvis att använda be— nämningen driftsstatistik.
Statistik av detta slag tas fram vid i stort sett samtliga statliga och kommunala myndigheter. Det förekommer dock, såvitt jag har uppfattat, förhållandevis sällan integritetskänsliga uppgifter i primär- materialet till driftsstatistiken - i vart fall inte känsligare än innehållet i de diarier som vanligtvis utgör grunden.
2.2.3. Den fortsatta användningen av statistikbegreppet
Riksdagens principbeslut om ansvarsfördelning beträffande statlig statistik kretsar i huvudsak kring vad som rubriceras som officiell statistik. Det måste emellertid framhållas att integritetsskyddaspekter kan aktualiseras även vid framställning av s.k. övrig statistik till den del det inte är fråga om s.k. driftsstatistik i ovan angivna betydelse. Jag vill dock redan nu slå fast att jag inte funnit tillräckliga skäl för att skapa något särskilt statistikbegrepp i den registerlag jag före- språkar. Ett sådant skulle möjligen vara motiverat, dels av den ändamålsbestämning som kommer att avgränsa ett statistikregister, dels för att klart utesluta driftsstatistiken från lagens tillämpning.
Olika betydelser av grundläggande kriterier och begrepp i när- besläktade författningar är emellertid ägnade att skapa förvirring och bidra till en försämrad överskådlighet. Härtill kommer att åtskilliga av de register som används för framställning av driftsstatistik ändock kommer att falla utanför den föreslagna lagens tillämpning av det skälet att de saknar personuppgifter och därför inte är personregister i datalagens mening. Jag har därför stannat för att ansluta mig till det statistikbegrepp som tillämpats av 1990 års statistikutredning och som även används i lagen om den officiella statistiken.
2.3. Integritet och integritetsskydd
Någon legaldefinition av begreppet ”personlig integritet” finns inte i svensk rätt. Inte heller finns det någon rättsligt bindande föreskrift som ger ett ”allmänt integritetsskydd”. Det finns dock åtskilliga teorier kring betydelsen av (personlig) integritet, ofta förklarad med ”självständig och oberoende”.
I Data- och offentlighetskommitténs (DOK) delbetänkande In- tegritetsskyddet i informationssamhället 3, Grundlagsfrågor (Ds Ju 1987:3) konstateras (s. 29) att det varken i svensk lagstiftning eller svensk doktrin finns någon enhetlig definition av begreppet personlig integritet, även om de flesta torde vara överens om ”att skyddet av den personliga integriteten i ett rättssamhälle är utomordentligt viktigt”. I DOK:s betänkande ges en ganska utförlig sammanfattning av synpunkter och förklaringar rörande integritetsbegreppets innebörd så som det speglas i olika utredningar m.m. i vårt land under senare tid och i utländsk rättsdoktrin (s. 24 - 35). Kommittén refererar bl.a. till den resolution som antogs av den internationella juristkommissio- nens konferens i Stockholm år 1967, där det sägs att rätten till
privatliv (privacy) i allmänhet innebär en rätt för individen att leva sitt eget liv med ett minimum av inblandning från myndigheter, allmänhet eller andra individer.
DOK framhåller att de flesta försök att bestämma begreppet personlig integritet ”utgår från att den enskilde har rätt till en fredad sektor”. I dagens samhälle har man dock inte ansett det praktiskt möjligt att ”tillämpa ett utpräglat individualistiskt synsätt”, menar kommittén och fortsätter. ”Man kan således knappast hävda att den enskildes privata sektor omfattar alla uppgifter om den enskilde och att han helt disponerar över dessa. Den fredade sektorn måste få begränsas av samhällets krav i olika avseenden”.
I Kunskapens pris diskuterar Göran Hermerén olika tolkningar av begreppet integritet. Det kan t.ex. tolkas som ”rätt till respekt för personers åsikter, önskningar och värderingar (och motsvarande skyldighet för andra att respektera denna rätt)". Detta kan sedan preciseras ytterligare genom att man anger vilka typer av åsikter, önskningar och värderingar som skall respekteras och vems åsikter som skall respekteras. Man kan också precisera genom att ange på vilket sätt de berörda aktörernas åsikter, önskningar och värderingar skall respekteras och vari brist på respekt visar sig.
Hiselius har i SCB:s statistikverksamhet och gällande rätt (IRI— rapport 199017, Stockholm 1990) utvecklat följande (s. 70 - 71): - sfårteorin (att varje individ har en personlig eller privat sfär med information som bör få vara okränkbar emedan individens yttre sfärer är samhällsmedborgarens), — datakategoriteorin (att varje kategori av data kan klassas efter känslighetsgraderingar), - situationsteorin (det finns inte några kategorier av data som är okänsliga utan avgörande är i vilken situation uppgifterna brukas eller missbrukas), - äganderättsteorin (persondata är enskild egendom och därför krävs samtycke för att sådana data skall få användas av annan),
- autonomitetsteorin (rätten att få vara i fred - rätten till självbe- stämmande) och - empiriteorin (en positivistisk teori om att vi inte kan tala om personlig integritet utan att ha utforskat vad den enskilde finner vara personlig integritet).
När man talar om ”kränkning av den personliga integriteten” menar man ofta att gränserna till det privata överskrids på ett sätt som hotar individens självkänsla.
För egen del har jag någon gång indirekt definierat begreppet sålunda, att ”integritetsintrång” sker när någon - fysisk eller juridisk
person - använder personuppgift om mig mot min vilja eller utan min vetskap till något oavsett om det är till min fördel, nackdel eller saknar betydelse för mig.
Ingen av dessa teorier kan anses vara allmänt accepterad. Ytterst bör dock, enligt Hiselius mening, individens subjektiva åsikt vara av avgörande betydelse (närmast empiriteorin). I vart fall bör dessa teorier tjäna som utgångspunkt för de nödvändiga undantagen från vad som bör betraktas som en huvudregel.
2.3.1. Skydd beträffande juridiska personer
Behovet av skydd för juridiska personers ”integritet” aktualiseras emellanåt i den allmänna debatten. Många av de skäl som kan anföras som motiv för att skydda den personliga integriteten gör sig nämligen också gällande beträffande behovet av att skydda företagets integritet. Lika svårt som att generellt bestämma innehållet i begreppet personlig integritet torde det vara att bestämma innehållet i begreppet före- tagsintegritet. För företag är t.ex. credit scoringresultat integri- tetskänslig information men även persondata beträffande företagsled- ningen kan vara av samma karaktär. Det är emellertid väsentligt att hålla i minnet att 1 kap. 2 5 tredje stycket regeringsformen (RF) endast värnar om den enskildes privatliv och familjeliv och att datalagen (1973z289) till skillnad mot vad som gäller i t.ex. Danmark och Norge endast är tillämplig på personuppgifter.
Däremot ger kreditupplysningslagen(1973:1173) och inkassolagen(1974: 182) även juridiska personer visst integritetsskydd.
De i Datastraffrättsutredningens betänkande Information och den nya InformationsTeknologin - straff- och processrättsliga frågor m.m. (SOU 1992: 1 10) föreslagna kompletteringarna av brottsbalken tangerar skyddet av den personliga integriteten men innebär i vissa fall en direkt förstärkning både av detta skydd och skyddet för företagsinteg- riteten.
2.3.2. Den fortsatta användningen av ' integritetsskyddsbegreppet För att undvika missförstånd måste redan nu framhållas att begreppet
integritetsskydd - nästan uteslutande — används beträffande skydd för personliga uppgifter, dvs uppgifter om fysiska personer.
Regleringen av skyddet för vad som i allmänna ordalag kan rubrice— ras som ”den personliga integriteten” sker genom ett flertal olika bestämmelser av skiftande valör. Den 1 januari 1989 utökades den s.k. fri- och rättighetskatalogen i 2 kap. RF med en grundregel i 3 5 andra stycket om skydd för den enskildes personliga integritet vid registre- ring med hjälp av automatisk databehandling. Grundlagsskyddet är emellertid inte absolut utan gränserna skall närmare anges i lag.
Vid riksdagsbehandlingen av regeringens prop. 1987/88:57 om grundlagsfast integritetsskydd ställde sig Konstitutionsutskottet (KU 1987/88: 19 s. 3) bakom vissa uttalanden i propositionen. Dessa gällde dels att den personliga integriteten inte kunnat ges en närmare definition som ett rättsligt begrepp, dels att den mycket väl kan ha olika innebörd vid skilda tidpunkter och förhållanden. Detsamma ansågs gälla det rekvisit beträffande otillbörligt intrång i personlig integritet som används i datalagen.
En allmän uppfattning om begreppet personlig integritet och integritetsskydd såväl i vårt land som utomlands är att det innefattar en rätt för den enskilde att själv bestämma vilka uppgifter om sig själv och sina personliga förhållanden som han eller hon skall lämna ifrån sig och hur dessa uppgifter skall användas och spridas. Jag vill här hänvisa till redovisningen i DOK:s tidigare refererade delbetänkande Integritetsskyddet i informationssamhället 3, Grundlagsfrågor (Ds Ju 198728 5. 25 ff.).
Den enskildes fredade sfär är av uppenbara skäl inte helt okränkbar. I det moderna samhället måste undantag från huvudregeln om integritetsskydd kunna göras och intrång i den personliga integriteten i viss utsträckning tillåtas om andra och viktigare intressen så påkallar, och det kan också vara i den registrerades eget intresse. Den oenighet som i dag råder om integritetsskyddets omfattning torde främst röra vilka undantag som skall kunna göras till följd av sådana allmänt övergripande intressen. Denna fråga kan i sin tur inte besvaras utan att hänsyn också tas till exempelvis arten och mängden av de uppgifter som skall registreras och i vilka sammanhang de är tänkta att förekomma. Här kan även hänvisas till Datalagsutredningens delbe— tänkande Skärpt tillsyn - huvuddrag i en reformerad datalag (SOU 1990:61 s. 146 ff.).
Det bör inflikas att ett personregister kan behöva skyddas mot andra faror än obehörig åtkomst t.ex. mot avbrott i produktionen, otjänlig datakvalitet, ”virus”, spridning av affarshemligheter eller otillåtna ändringar i bokföring eller andra viktigare dokument osv. Listan kan göras längre. Det faktiska skyddsbehovet kan därför vara större än vad som krävs från enbart integritetssynpunkt. Men det kan också vara så
att de högsta kraven på skyddsåtgärder bestäms av behovet att skydda den personliga integriteten.
2.4. Myndighetsbegreppet
I direktiven talas bl.a. om statliga myndigheter och myndigheter som ansvarar för statistik. Myndighetsbegreppet är inte helt entydigt och bör för klarhetens skull bli föremål för en viss analys.
Förvaltningslagen(1986z223) är i princip tillämplig hos varje offentligt organ som kan karakteriseras som en förvaltningsmyndighet (1 5). Myndighetsbegreppet definieras dock inte i lagen och någon enkel förklaring utifrån allmänna principer går inte att ge. Med tillkomsten av 1974 års RF gavs begreppet förvaltningsmyndighet en organisatorisk innebörd. Vid 1986 års förvaltningsreform angavs uttryckligen i förarbetena att begreppet förvaltningsmyndighet i förvaltningslagen har samma betydelse som i RF.
RF tar i 1 kap. 8 & upp två kategorier av offentliga organ. Den första är de s.k. beslutande församlingarna (riksdagen, kyrkomötet, kommunfullmäktige, landsting, kyrkofullmäktige osv.). Den andra kategorin är myndigheterna (regeringen, domstolarna och förvaltnings- myndigheterna). Termerna myndighet och förvaltningsmyndighet i RF är organisatoriska termer. Myndigheter kan vara statliga och kommu- nala. Det kan också finnas myndigheter som är ett mellanting då de har både statliga och kommunala inslag. Till myndigheterna räknas inte organ som är organiserade i privaträttsliga former, t.ex. statliga aktiebolag och kommunala bostadsstiftelser, oavsett om de anförtrotts viss myndighetsutövning.
Förvaltningsmyndigheterna kan delas upp i tre grupper; de centrala ämbetsverken, de statliga affärsverken och ett antal mindre myndig- heter. Härtill kommer den under senare tid alltmer använda myndig- hetsformen ”uppdragsmyndighet”, som enkelt uttryckt kan ses som ett mellanting mellan ämbetsverk och affärsverk.
Vid tillämpning däremot av TF jämställs i dess 2 kap. 5 & riks- dagen, kyrkomötet och beslutande kommunal församling med myndighet. Offentlighetsprincipen har ansetts tillämplig även på vissa andra samhällsorgan än myndigheter i RF:s mening och beslutande församlingar. I förarbetena till ändringarna i 2 kap. TF (prop. 1975/76: 160 s. 134) nämns som exempel härpå Notarius Publicus och AB Svensk Bilprovning i fråga om den obligatoriska kontrollbe— siktningen. Däremot fick t.ex. de allmänna försäkringskassorna räknas som myndigheter.
Vid tillkomsten av den nya sekretesslagen (1980:100) utformades ] kap. 8 5 så att full överensstämmelse nåddes mellan tillämpningen på olika organ av reglerna om rätt att ta del av allmänna handlingar och av bestämmelserna om sekretess.
Den koppling som lagstiftaren gjort år 1986 mellan grundlagarnas, sekretesslagens och förvaltningslagens myndighetsbegrepp innebär att begreppet förvaltningsmyndighet i förvaltningslagen har samma betydelse som det kommit att tilläggas i RF. Det överensstämmer också med TF:s och sekretesslagens myndighetsbegrepp med den enda skillnaden att regeringen och domstolarna inte hör till förvaltnings- myndigheternas krets.
2.4.1. Den fortsatta användningen av myndighetsbegreppet
När jag i' fortsättningen använder myndighetsbegreppet avser jag myndigheter i den bemärkelse som avses i RF, dvs. regeringen, domstolarna och statliga och kommunala förvaltningsmyndigheter. Detta kan också uttryckas med samtliga statliga och kommunala organ med undantag av de beslutande församlingarna.
2.5. Statistik och forskning
Det ställer sig inte helt enkelt att dra en gräns mellan forskning och statistik. Likhetstecknen är många även om det går vissa skiljelinjer mellan dessa discipliner i fråga om syften och metoder. Statistiken avser oftast sammanställningar av observationer grundade på många individer medan forskningen stundom är inriktad på att dra slutsatser grundade på ett mer begränsat antal individer.
2.5.1. Forskningens behov och användning av primäruppgifter för statistik
Det förekommer vid såväl forskning som insamling av uppgifter för uteslutande statistiska ändamål att information om den enskilde hämtas ur redan befintliga register eller uppgiftssammanställningar. Sådan s.k. registerforskning är vanlig såväl i Sverige som i de övriga nordiska länderna. Detta kan förklaras bl.a. med den jämförelsevis goda tillgången på sådan information hos myndigheter och andra i dessa
länder. Jag vill i detta sammanhang hänvisa bl.a. till Datalagsutred- ningens slutbetänkande En ny datalag, (SOU 1993:10 s. 184 ff.).
I vårt land underlättas forskningen av tryckfrihetsförordningens bestämmelser om handlingsoffentlighet. Den utbredda användningen av personnummer har också kommit att medföra att personuppgifter blivit mer lättillgängliga här. Registerforskningen har som metod nått stora framsteg bl.a. inom cancerforskningen och har även upp- märksammats internationellt.
I DI:s praxis har vissa normer utvecklats som kan sägas särskilt ta sikte på registerforskning. Personregistrering för forskning, liksom för statistik, är inte särreglerat i datalagen. Det krävs därför tillstånd från DI för att få inrätta och föra personregister för sådana ändamål. Uttalanden i förarbetena har lett till att dessa register i praxis kommit att få en privilegierad ställning beträffande möjligheterna att få registrera personer utan naturlig anknytning till den registeransvarige. DI har som regel inte ifrågasatt det behov som angivits för inrättande av ett forskningsregister. Den uppfattningen grundar inspektionen i att forskningsområde och forskningsmetod är frågor som faller utanför inspektionens behörighet. Däremot kräver inspektionen naturligtvis för tillstånd att det är möjligt att inskränka intrånget i den personliga integriteten genom att ställa upp villkor i det enskilda fallet.
Begreppet forskningsregister
Datalagsutredningen tar i sitt slutbetänkande En ny datalag (SOU 1993:10) upp begreppet forskningsregister och hävdar (s. 182) att med sådant register i förevarande sammanhang förstås personregister som innehåller personuppgifter vilka används för vetenskapligt ändamål.
Jag vill i detta sammanhang framhålla vikten av att man söker hålla isär olika slags dataregister, även om gränsdragningen stundom kan bli svår. En förväxling av dem kan lätt leda till missförstånd och därmed felaktiga slutsatser.
Man kan urskilja tre slag av register och jag vill i detta samman- hang hänvisa till Forskningsetiska utredningens betänkande Forsk— ningsetisk prövning (SOU 1989z74 s. 31 f.):
1. Administrativa/beslutsregister. Dessa innehåller data som insamlats av myndigheter för att ligga till grund för beslut eller åtgärder rörande enskilda individer. Sådana register är t.ex. individregister inom sjukvården i form av journaler på vårdcentrals- och klinikni- vå, inkassoregister och register inom socialtjänsten.
2. Statistikregister. Dessa innehåller data som myndigheter - Statistis- ka centralbyrån, Socialstyrelsen, Kriminalvårdsstyrelsen m.fl. -
ofta kontinuerligt samlar in för statistiska ändamål. Avsikten är att genom dessa insamlade data kunna ge en så långt möjligt korrekt överblick och beskrivning av en verksamhet, ett aktuellt läge i samhället liksom att kunna följa utvecklingtrender. Sådana register är t.ex. folk- och bostadsräkningarna, kriminalvårdsregister, och utbildningsregister. . Forskningsregister eller databaser för forskning. Därmed avses
personrelaterade register och databaser för sådan forskning där resultaten redovisas utan att enskilda individers identitet röjs. Många forskningsregister gäller små grupper och är av tillfällig karaktär. I andra fall omfattar de många individer och finns kvar under lång tid för att man skall kunna studera utvecklingen i s.k. longitudinella studier. Dessa register kan betecknas som ”data- baser”.
Jag vill dock betona att gränsen mellan statistikregister och forsknings- register är svår att dra. Register som vanligen benämns forsknings- register kan vid en strikt tolkning komma att falla under rubriceringen statistikregister. Även det motsatta förhållandet är tänkbart.
3. Skydd för uppgifter vid statistikframställning
3.1. Inledning
För att kunna förstå de tekniska begrepp som förekommer i texten och de problem som kan uppstå i olika led vid framställning av statistik ges i det följande en punktvis uppräkning av de steg som föregår den färdiga statistikprodukten.
Följande arbetsmoment kan normalt urskiljas: - initiering (behovsinventering, planering/utveckling), — datainsamling (datafångst), - granskning och kvalitetskontroll, - databearbetning, - redovisning och presentation/pub]icering.
Varje statistikprodukt äger sin särart och själva tillkomstförfarandet varierar av naturliga skäl från myndighet till myndighet. Förfarandet kan dock allmänt sett sägas följa det ovan angivna mönstret.
Generellt förekommer på området för automatisk databehandling (ADB) modeord som stundom kan föranleda förvirring. Detta gäller också delområden som skydd och säkerhet för ADB.
SCB använder benämningen ”dataskydd”, som är ett vitt begrepp. Det täcker både tekniska och legala m.fl. företeelser.
För enkelhetens skull konstateras här att dataskydd är det vidare begrepp som inom sig också rymmer uppgiftsskydd.
3.2. Uppgiftsskyddet hos Statistiska centralbyrån (SCB)
Skyddet hos SCB för primäruppgifter - med detta uttryck avser jag såväl pappershandlingar som ADB—upptagningar - till den statliga statistiken anses i utredningsdirektiven vara mycket gott. Det ligger i utredningsdirektiven att kartlägga hur skyddet är beskaffat.
SCB använder ”dataskyddet” som ett samlat begrepp för ett antal regler samt fysiska/tekniska arrangemang och åtgärder som syftar till
att skapa och vidmakthålla ett starkt skydd för de uppgifter som används vid centralbyråns statistikframställning.
Reglerna består, dels av de lagar som är tillämpliga i SCB:s verksamhet, dels av de interna föreskrifter som berör säkerheten. På lagområdet är främst sekretesslagen (1980: 100), datalagen (1973:289) och lagen (1992:889) om den officiella statistiken av betydelse.
3.2.1. Statistiksekretessen
TF anger med hänsyn till vilka intressen rätten att ta del av allmänna handlingar får begränsas. I sekretesslagen (1980:100) återfinns bestämmelser om tystnadsplikt och om förbud mot att lämna ut allmänna handlingar. Lagen har ett vidsträckt tillämpningsområde och gäller inom all verksamhet som bedrivs av statliga och kommunala myndigheter. Bestämmelserna har utformats för att i möjligaste mån tillgodose de i TF uppräknade intressena. De syftar bl.a. till att ge skydd mot obehörig insyn i förhållanden som bör vara skyddade av hänsyn till allmänna eller enskilda intressen, t.ex. rikets säkerhet resp. personlig integritet. Bestämmelserna skall samtidigt vara utformade så att de så litet som möjligt inskränker allmänhetens berättigade krav på insyn i och kontroll av verksamheten i de statliga och kommunala myndigheterna. Lagstiftaren har med andra ord tvingats till grannlaga avvägningar mellan starkt motstridiga intressen.
Sekretesslagens olika bestämmelser om sekretess gäller inom ett visst verksamhetsområde, hos en viss myndighet eller i en viss ärendetyp. Det innebär att sekretessen också är begränsad till t.ex. verksamhetsområdet eller myndigheten. Sekretessen följer alltså inte automatiskt med uppgifterna om de t.ex. lämnas från en myndighet till en annan. Det kan emellertid finnas sekretessbestämmelser som skall tillämpas också hos den mottagande myndigheten.
Uppgifter som är hemliga enligt sekretesslagen skall skyddas inte bara i förhållande till enskilda fysiska eller juridiska personer utan också i förhållande till andra myndigheter. Bestämmelserna om sekretess mellan olika myndigheter gäller också mellan skilda verksamhetsgrenar inom en och samma myndighet när dessa är att anse som självständiga i förhållande till varandra.
I 9 kap. 4 & sekretesslagen regleras den s.k. Statistiksekretessen. Sekretessen gäller för ”uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde”, i sådan särskild verksamhet hos myndighet som avser framställning av statistik samt, i den utsträckning regeringen föreskriver det, i annan därmed jämförbar undersökning som utförs av myndighet.
Regeringen har med stöd av den senare bestämmelsen meddelat föreskrifter om sekretess i 3 & sekretessförordningen. Sekretess har på denna grund föreskrivits i en rad av myndigheter utförda under- sökningar. Som räckvidden för sekretessen är angiven, gäller sekretess för uppgifterna oavsett varifrån de härrör eller hur de har kommit till myndigheten. Det är således inte ändamålet med uppgifterna utan den verksamhet vari de förekommer som är avgörande. Genom sekretes- sens konstruktion skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild utan även uppgifter som över huvud taget går att hänföra till viss enskild. Sekretessen gäller för uppgifter om enskildas personliga eller ekonomiska förhållanden och utlämnande av dessa uppgifter efter någon form av skadeprövning kan som huvudregel inte ske. Detta har medfört att Statistiksekretessen kommit att benämnas ”absolut sekretess”, trots att huvudregeln är försedd med undantag.
Det finns fem undantag från huvudregeln. Dessa avser 1) uppgifter i företagsregister (enligt motiven avser undantaget
exempelvis uppgifter i det centrala företagsregistret), 2) uppgifter som rör avlidna (enligt motiven skall uttag möjliggöras av uppgifter ur intyg om dödsorsak till enskilda för annat ändamål än forskning), 3) uppgifter som behövs för forskningsändamål (enligt motiven finns det behov av att kunna genombryta sekretessen för vissa särskilda fall såsom för forskning om yrkessjukdomar), 4) uppgifter som avser personal- och lönestatistik (undantaget skall enligt motiven göra det möjligt för personalorganisationer att använda sådana uppgifter vid lokala avtalsförhandlingar) och 5) uppgifter som inte genom namn m.m. är direkt hänförliga till den enskilde (undantaget har enligt motiven tillkommit på grund av behovet av detaljerad statistik).
För nyssnämnda undantag gäller ett omvänt skaderekvisit, dvs. presumtion för sekretess.
Statistiksekretess förutsätter primärt en sådan särskild verksamhet hos myndighet som avser framställning av statistik. I motiven anges (prop. 1979/80:2, Del A, 5. 263) att sekretessen har knutits till främst uppgift i myndighets särskilda verksamhet för att framställa statistik. Statistik kan framställas för att användas som underlag för beslut i ett ärende hos en myndighet. Det är emellertid inte sådan verksamhet som avses. I stället är det fråga om en mera allmänt utredande verksamhet utan anknytning till något särskilt ärende.
Bakgrunden är naturligtvis att skilja hanteringen av statistiska uppgifter från myndighetens handläggning av vanliga ärenden för
vilken redan särskilda sekretessöverväganden gjorts och, i förevarande fall, intagits i sekretesslagen.
Det saknas anvisningar för hur en sådan särskild verksamhet skall se ut eller vara organiserad och en bedömning får göras i varje enskilt fall. I prop. 1981/82:186 med förslag till ändring i sekretesslagen (1980:100), m.m. framhåller föredragande departementschefen (s. 40) att den statistikproduktion som SCB bedriver visserligen är typisk för sådan verksamhet men att motsvarande framställning av statistik också förekommer hos andra myndigheter. Förutsättningarna för Statistiksek- retess, framhåller departementschefen, är att statistikframställningen sker utan anknytning till något särskilt ärende och att verksamheten är organiserad som en egen enhet eller liknande och syftar tillbaka på prop. 1979/80:2, Del A, s. 263). Han anser vidare -i anledning av en särskild framställning i frågan - att Stockholms kommuns utrednings- och statistikkontor torde uppfylla förutsättningarna för en tillämpning av Statistiksekretessen. Detta torde också gälla för kommuner utan egen statistikenhet, men där verksamheten med framställning av statistik ändå är avgränsad från annan verksamhet, i första hand sådan som avser enskilda ärenden.
Departementschefens uttalande torde böra tolkas på så sätt att förekomsten av en särskild verksamhet inte primärt avgörs utifrån sådana faktorer som den fysiska storleken av den aktuella enheten eller avdelningen vid myndigheten eller det antal personer som sysselsätts där, utan fastmer hur statistiken och dess uppgifter hanteras i förhållande till myndighetens verksamhet i övrigt. Detta talar för att avgörande för om bestämmelserna om Statistiksekretess kan tillämpas då blir huruvida myndigheten har en särskild reglering, ordning eller organisation för framställning av statistik.
Det är viktigt att hålla i minnet att reglerna med ”särskild verksam- het” innebär att man har avvikit från myndighetens huvudverksamhet och att de sekretessregler som kan finnas i denna för visst ärende eller viss verksamhet då inte är tillämpliga. Det är i och för sig tänkbart att såväl Statistiksekretess som sekretess på annan grund kan förekomma men i en sådan situation är Statistiksekretessen starkare.
Särskilda regler har utarbetats i 8 kap. 9 & sekretesslagen för uppgifter i uppdrag där enskild är uppdragsgivare.
14 kap. sekretesslagen innehåller en rad sekretessbrytande regler. Först och främst bör regeln i 14 kap. 4 & nämnas. Enligt denna bestämmelse kan den enskilde - i stort sett — helt eller delvis efterge den sekretess som gäller till förmån för honom. Detta innebär att den enskildes samtycke till ett visst uppgiftslämnande ”bryter” sekretes- sen. Samtycket behöver inte vara uttryckligt. Även ett tyst samtycke kan godtas. Det kan t.ex. ibland framgå av den enskildes beteende att
han godtar att en hemlig uppgift lämnas ut i ett visst syfte eller till en viss mottagare. Det finns inte något som hindrar att ett uttryckligt samtycke ges i förväg med tanke på en kommande situation. Ett samtycke kan för övrigt alltid återkallas av den enskilde (jfr prop. 1979/80:2, Del A, 5. 331).
Av 14 kap. 1 5 följer att sekretess inte hindrar att uppgift lämnas till regeringen eller riksdagen. Det anges vidare att sekretess inte heller hindrar att uppgift lämnas till annan myndighet, om upp- giftsskyldighet följer av lag eller förordning. Bestämmelsen är tillämplig när det gäller uppgiftslämnande såväl mellan två myndig- heter som mellan två självständiga verksamhetsgrenar inom en och samma myndighet. En annan sekretessbrytande regel finns i 14 kap. 2 5 första stycket 3. sekretesslagen. Enligt denna bestämmelse hindrar sekretessen inte att en uppgift lämnas över till en myndighet, om uppgiften behövs där för tillsyn över den myndighet där uppgiften förekommer. Av 14 kap. 2 & fjärde stycket sekretesslagen följer att sekretess inte hindrar att t.ex. uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter. För uppgift som omfattas av Statistiksekretessen i 9 kap. 4 & gäller detta dock under förutsättning att för brottet inte är föreskrivet lindrigare straff än två års fängelse. Den s.k. generalklausulen i 14 kap. 3 & sekretesslagen - som innebär att sekretessbelagd uppgift kan lämnas ut till annan myndighet om intresset av detta överväger sekretessintresset - gäller däremot inte för uppgifter som är skyddade av Statistiksekretess i 9 kap. 4 & sekretesslagen. Enligt 14 kap. 9 och 10 åå sekretesslagen kan en myndighet ställa upp förbehåll vid utlämnande av uppgift till enskild. -
En bestämmelse som kan komma att tillämpas för att få tillgång till sekretesskyddade primäruppgifter är 14 kap. 8 5 sekretesslagen. Här ges regeringen vissa möjligheter att dispensera från en bestämmelse om sekretess. Dispensen förutsätter dock synnerliga skäl.
Att rätten att lämna ut uppgifter också är en uppgiftsskyldighet framgår av 15 kap. 5 & sekretesslagen. Av bestämmelsen följer att en myndighet på begäran av en annan myndighet skall lämna ut en uppgift som den förfogar över om det inte föreligger hinder mot uppgiftslämnandet på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång (jfr prop. 1983/84:142 s. 38).
Den som röjer sekretesskyddad uppgift dömes, jämlikt 20 kap. 3 & brottsbalken för brott mot tystnadsplikt till böter eller fängelse i högst ett år.
Det kan vara på sin plats att erinra om att sekretesslagens be- stämmelser inte ger något absolut skydd av den personliga integriteten, eftersom reglerna endast är undantagsbestämmelser från huvudregeln om handlingsoffentlighet. Sekretesslagen ger således inte något direkt skydd mot att det skapas s.k. dataskugga av enskilda personer. Härmed avses den bild man kan få av en person genom att samman- ställa var för sig mer eller mindre harmlösa uppgifter. I detta sammanhang bör man dock inte glömma förbudet mot olovlig identifiering i lagen om den officiella statistiken.
Sekretesstiden för Statistiksekretess är högst 70 år för uppgifter som avser enskildas personliga förhållanden och annars högst 20 år.
3.2.2. Datalagen och Datainspektionen (DI)
I datalagen (1973z289) finns bestämmelser som skall iakttas av den som vill inrätta och föra ett personregister med hjälp av ADB. Syftet med bestämmelserna i datalagen är att hindra att inrättande och förande av personregister medför otillbörligt intrång i den personliga integriteten. DI har till uppgift att se till att datalagens regler efterlevs. Inspektionen prövar också frågor om licens och tillstånd för person-
register.
Enligt 2 å första stycket datalagen får ett ADB-baserat person- register inrättas och föras bara av en registeransvarig som har fått licens av DI. Med registeransvarig avses enligt 1 & datalagen den för vars verksamhet ett personregister förs, om han förfogar över registret. (En analys av förfogandebegreppet görs i kapitel 5.4). För särskilt integritetskänsliga personregister räcker det inte med licens. För att få inrätta och föra sådana register fordras ett särskilt tillstånd av DI. Tillstånd krävs i tre typsituationer, nämligen vid registrering av - särskilt integritetskänsliga uppgifter (någon är misstänkt för eller
har dömts för brott eller har avtjänat straff, har tvångsomhän- dertagits enligt olika skyddslagar, uppgift finns om någons hälso- och sjukdomstillstånd, sexuella beteende, ras, politiska uppfattning etc., uppgifterna utgör omdöme eller annan värderande upplysning om den registrerade)
- uppgifter som hämtas från andra personregister (om inte detta sker med stöd av författning, DI:s beslut eller de registrerades med— givande) - personer som inte har någon speciell anknytning till registret (dvs. inte är medlemmar, anställda, kunder eller liknande).
Registren får inrättas och föras bara om det kan ske utan risk för otillbörligt intrång i enskildas personliga integritet.
Det finns vissa undantag från tillståndsplikten. Bl.a. behövs enligt 2 a & datalagen inte tillstånd för s.k. statsmaktsregister, dvs. register vars inrättande har beslutats av riksdagen eller regeringen.
När tillstånd lämnas för ett register skall DI enligt 5 & datalagen också meddela en föreskrift om för vilket ändamål registret får användas.
Om det behövs för att förebygga risk för otillbörligt intrång i enskilds personliga integritet skall DI också enligt 6 & datalagen meddela föreskrifter om inhämtande av uppgifter, vilka personuppgif- ter som får ingå, utförandet av den automatiska databehandlingen, den tekniska utrustningen, de bearbetningar som får göras, underrättelse till berörda personer, utlämnande och annan användning, bevarande och gallring samt om kontroll och säkerhet.
Den registeransvarige skall enligt 7 & datalagen se till att person- registret inrättas och förs så att inte otillbörligt intrång i de registrera- des personliga integritet uppkommer. Den ansvarige skall särskilt se till att registret förs för ett bestämt ändamål, att inte andra uppgifter registreras än som står i överensstämmelse med registrets ändamål samt att uppgifter inte samlas in, lämnas ut eller används annat än i överensstämelse med registrets ändamål eller vad som gäller enligt författning eller i enlighet med den registrerades medgivande.
Särregler saknas beträffande statistikframställning. SCB har inte någon generell rätt att föra personregister med hjälp av ADB som ett led i sin statistikframställning. SCB:s verksamhet bygger i dag på stöd i olika författningar och på tillstånd av DI och regeringen. Enhetlig reglering saknas. DI har emellertid för SCB:s del utfärdat en för- fattning (DIFS 1989:2) om förenklat ansökningsförfarande för vissa personregister som är avsedda för statistikändamål. Det förenklade ansökningsförfarandet gäller för bl.a. personregister som grundar sig på s.k. informerat samtycke och tillfälliga personregister (sambe- arbetningar) för framställning av statistiska tabeller eller avidentifiera- de register. Villkoren för dessa personregister anges generellt i författningen och DI behöver därför inte utfärda föreskrifter för varje enskilt register.
]Det är väsentligt att framhålla att datalagens regler gäller för samtliga statistikregister som är att anse som personregister enligt datalagen. Enligt 2 & sista stycket datalagen förstås med inrättande av perscnregister även insamling av uppgifter som skall ingå i registret. Detta innebär att en myndighet som skall producera statistik med hjälp av ADB är skyldig att ansöka om tillstånd hos DI och avvakta att sådant tillstånd meddelas innan myndigheten från annan myndighet
börjar samla in de personuppgifter som skall utgöra underlag för statistikframställningen.
DI skall i tillståndsärenden alltid bedöma om risk för otillbörligt intrång i den personliga integriteten kan undvikas genom föreskrifter av olika slag. Om detta inte är möjligt skall tillstånd inte meddelas.
Inom datalagsområdet finns såväl straffrättsliga regler som regler om skadeståndsansvar. En rad brott mot datalagen är försedda med straffsatser upp till ett års fängelse (20 och 21 åå). Likaså är brott mot den tystnadsplikt och det förbud mot obehörigt utlämnande som gäller för sekretessbelagda uppgifter förenade med straffansvar (20 kap. 3 & brottsbalken ).
Datalagsutredningens betänkande
Datalagsutredningen inledde i november 1989 arbetet med en översyn av datalagen såväl från saklig som från lagteknisk synpunkt. I en första etapp i utredningsarbetet övervägde utredningen vissa prin- cipiella utgångspunkter för en framtida datalag. Utredningens överväganden och förslag i denna del redovisades i betänkandet Skärpt tillsyn - huvuddrag i en reformerad datalag (SOU 1990:61) som överlämnades i september 1990. I en andra etapp har utredningen behandlat vissa frågor som rör integritetsskyddet i samband med personregistrering och ADB inom områdena forskning och statistik samt för massmediernas och arbetslivets del. Övervägandena i denna del redovisades i april 1991 i betänkandet Personregistrering inom arbetslivs-, forsknings— och massmedieområdena m.m. (SOU 1991:21). En tredje etapp, redovisades i september 1991 ibetänkandet Vissa särskilda frågor beträffande integritetsskyddet på ADB-området (SOU 1991:62). Här behandlas framför allt begreppen personregister och registeransvarig, liksom frågor om straff och skadestånd samt fullföljd mot DI:s beslut. - Samtliga delbetänkanden har remissbehand- lats. I en avslutande etapp har utredningen, med beaktande av de remissyttranden som avgetts, arbetat fram ett förslag till en ny datalag.
I utredningens slutbetänkande En ny datalag (SOU 1993:10) förslås en ny lagstiftning som även i fortsättningen endast skall reglera sådan informationshantering som sker med hjälp av ADB. Liksom hittills skall lagen gälla såväl för den privata som för den offentliga sektorn. I övrigt innebär den förslagna datalagen betydande förändringar i förhållande till vad som gäller i dag. Sålunda slopas personregister- begreppet som anses ha gett upphov till en hel del tolkningsproblem.
Den föreslagna datalagen blir tillämplig på behandling av person- uppgifter. Det förutsätts bli lättare att avgöra vem som är register-
ansvarig, persondataansvarig enligt utredningens terminologi , i system som används av flera. Vidare avskaffas systemet med licens och tillstånd. De resurser som härigenom frigörs skall användas för en intensifierad tillsyn, särskilt inspektioner ute på fältet. En sådan tillsyn är enligt utredningens uppfattning det bästa sättet att upprätthålla ett gott integritetsskydd. En förutsättning för att man skall kunna övergå till ett renodlat tillsynsförfarande är att datalagen ger en så utförlig reglering som möjligt av de förutsättningar som gäller för ADB- hantering av personuppgifter. Det nuvarande begreppet otillbörligt intrång i personlig integritet, som aldrig har kunnat ges ett någorlunda preciserat innehåll, avskaffas. I stället införs regler för de olika momenten i informationsbehandlingen. I den förslagna nya datalagen finns bestämmelser om bl.a. den nödvändiga anknytningen till ett ändamål, förutsättningarna för behandling av personuppgifter, vilka personuppgifter som får behandlas, formen för samtycke från den enskilde, säkerhet och gallring.
Regleringen i den nya datalagen skall kunna kompletteras med bestämmelser som utfärdas av DI och som avser olika branscher eller sektorer.
Ett system med anmälningsskyldighet för vissa persondataansvariga införs. En anmälan skall göras till DI när vissa känsliga uppgifter behandlas med ADB. Anmälningarna skall ligga till grund för DI:s tillsyn.
Liksom i dag skall personuppgifter få ADB-behandlas bara för bestämda ändamål. Ändamålet skall dock enligt utredningens förslag anges med större precision än enligt nuvarande datalag. Möjligheterna begränsas att använda personuppgifter som samlats in för ett ändamål för andra ändamål.
I den föreslagna lagen anges i sex olika punkter de alternativa grunder som ger rätt att ADB-behandla personuppgifter. En av grunderna är samtycke från dem som berörs av behandlingen. För känsliga personuppgifter t.ex. politisk uppfattning, sjukdom, hälsotill- stånd eller olika slags omdömen, kommer särskilda regler att gälla. Enligt dessa bestämmelser får, när samtycke inte finns, de känsliga uppgifterna ADB-behandlas bara om det finns särskilt stöd i för— fattning för behandlingen. Det kommer, enligt utredningen, att behövas åtskilliga sådana författningar, särskilt i den offentliga sektorn.
Vidare föreslås i den nya datalagen särskilda regler som klargör hur de intressen som följ er av tryckfrihetsförordningen och yttrandefrihets— grundlagen skall avvägas mot integritetsintressena. Vid gallring av personuppgifter som utgör allmän handling hos myndigheter kan integritetsintressena komma i konflikt med intresset att bevara
uppgifterna, t.ex. för framtida användning inom forskningen. En särskild bestämmelse i utredningens förslag till datalag anger hur den avvägningen skall ske.
Beträffande överföring av personuppgifter till utlandet för ADB- behandling av uppgifterna, förslår utredningen att överföring skall kunna ske utan särskilt medgivande till en stat som visserligen inte har anslutit sig till Europarådets konvention men som har ett integritets- skydd som motsvarar det som följer av konventionens regler.
Datalagsutredningens slutbetänkande har under remissbehandlingen erhållet skarp kritik i vissa delar. Det är mot den bakgrunden svårt att när detta skrivs bedöma om och i så fall när regeringen kommer att lägga en proposition.
3.2.3. Lagen om den officiella statistiken
Den tidigare omnämnda lagen (1992: 889) om den officiella statistiken tillämpas när statliga myndigheter under regeringen framställer officiell statistik. Den reglerar också uppgiftsplikten för vissa enskilda (fysiska och juridiska personer) gentemot det allmänna.
Den officiella statistiken skall enligt lagens inledande bestämmelser vara objektiv och tillgänglig (2 5). Den skall framställas och offent- liggöras med beaktande av skyddet för enskilda. l 9 & hänvisas, beträffande sekretess och skydd för den enskildes personliga integritet, till föreskrifter och regler i sekretesslagen och datalagen. Enligt 10 & får uppgifter i den officiella statistiken inte sammanföras med andra uppgifter i syfte att utröna enskildas identitet. Brott mot denna bestämmelse är straffsanktionerati 15 5. För uppsåtligt brott mot 10 5 kan sålunda dömas för olovlig identifiering till böter eller fängelse i högst ett år. En tillämpning av denna specialstraffrättsliga bestämmelse förutsätter emellertid att gärningen inte är belagd med straff enligt bestämmelser i brottsbalken eller datalagen.
3.2.4. Det interna säkerhetsarbetet
Basen i det interna säkerhetsarbetet vid SCB utgörs av säkerhets- skyddsföreskrifter, utfärdade av styrelsen den 1 juli 1978. Säker— hetschefen skall komplettera dessa med tillämpningsföreskrifter. SCB:s säkerhetsnormer innehåller sådana tillämpningsföreskrifter. Särskilda föreskrifter har utfärdats för användning av persondatorer inom SCB. För försvarshemligt och kvalificerat försvarshemligt material gäller säkerhetsskyddsförordningen (1984z421) samt tillämpningsföre—
skrifterna till förordningen (FA SÄK). SCB anger som en grundförut- sättning för säkerhetsarbetet att säkerhetsnivån anpassas till de hot och risker som kan bedömas föreligga mot statistikproduktionen och dess material. Samtidigt måste personalen se säkerhetsfrågorna som en naturlig och viktig del i det dagliga arbetet och med gott omdöme anpassa arbetet till de givna situationerna.
SCB:s säkerhetsnormer består av regler med krav på säkerhetsnivån som är tvingande till sin karaktär, kompletterade med kommentarer. De senare är förklaringar och har formen av förtydliganden, ex- emplifieringar, förslag m.m. Dessa skall betraktas som en vägledning. Det material som normerna gäller för är omfattande och förekommer på många ställen under produktionsprocessen. Reglerna har därför givits en förhållandevis generell utformning. Kommentaren anger däremot förslag till hur regeln lämpligast efterlevs i vissa situationer eller förslag till viss åtgärd.
Säkerhetsnormernas föreskrifter gäller såväl för det material som ingår i SCB:s statistikproduktion (statistiskt material), som för material i den administrativa processen (administrativt material). Statistiskt material innehåller information som är hemlig (eller försvarshemlig inkl. kvalificerat försvarshemlig). Administrativt material innehåller däremot i regel information som inte är sekretesskyddad, även om både hemlig och försvarshemlig information kan förekomma. Föreskrifterna är strukturerade under tre huvudrubriker: — Hemligt statistiskt material, som innehåller regler för arkivering, stordatorbearbetning, förstöring, förvaring, intervjuverksamhet, komplettering, lego, nycklar, studiebesök, systemutveckling, terminalbearbetning, transport, tystnadsplikt och förbud mot utlämnande av handling, - Försvarshemligt statistiskt material, som innehåller allmänna regler om försvarshemligt material och - Administrativt material, som innehåller allmänna regler om admini- strativt material.
Föreskrifterna beträffande användning av persondatorer har tillkommit mot bakgrund av de särskilda risker som bearbetning på persondato- rer, fristående och i nätverk, innebär. Målet är att såsom miniminivå upprätthålla den säkerhetsnivå som centraldatorn ger men ändå utnyttja den flexibilitet som datornäten erbjuder. Föreskrifterna är grupperade efter fem huvudrubriker: — Ansvarsfrågor, som innehåller åliggandena för den som är register- ansvarig (enligt intern definition), datoransvarig, resp. nätansvarig. — Utrustning m.m., som behandlar skalskydd m.m. för persondatorer
- Nätverk, yttre kopplingar m.m., som ger regler för applicering och användning m.m. av persondatorer. — Program, som ger regler för användning av programvara. - Register, som ger regler för register på persondatorer med bl.a. föreskrifter beträffande fastställande av riskklass.
3.2.5. Etikregler och interna normer
Etikregler och interna normer har av SCB ansetts vara av stor betydelse som komplettering till författningsregleringen. Det för- hållningssätt till statistiska primäruppgifter och till uppgiftslämnare, som ingår som en del av den yrkesmässiga kulturen, är numera kodifierad i en etisk deklaration för statistiker som antagits av Internationella statistiska institutet (ISI) 1985. Den etiska deklarationen har också antagits som SCB:s egen deklaration. SCB framhåller som en viktig målsättning att varje anställd kan uppleva skyddet för uppgiftslämnarnas personliga integritet inte bara som något påtvingat genom tekniska och juridiska åtgärder utan som ett levande yrkesetiskt åtagande.
Syftet med deklarationen anges vara att uppnå att den enskilde statistikerns moraliska bedömningar och beslut präglas av värderingar och erfarenheter som delas av yrkeskåren och inte prackas på honom av denna. Deklarationen försöker därför, enligt de inledande orden, visa på allmänt omfattade principer i fråga om statistiskt utrednings- arbete samt fastställa vilka faktorer som verkar hindrande för efterlevnaden av dem.
Texten är indelad i fyra avsnitt: 1) Skyldigheter mot samhället, 2) Förpliktelser gentemot finansiärer och arbetsgivare, 3) Förpliktelser gentemot kollegor och
4) Skyldigheter gentemot undersökningsobjekt.
Samtliga avsnitt innehåller principer eller uppsättningar av principer följda av korta kommentarer om de motsättningar och svårigheter som sammanhänger med tillämpningen av dessa. Principerna har samband inbördes och måste därför beaktas tillsammans.
3.2.6. Skydd för uppgifter som angår rikets säkerhet
Myndighet som har befattning med uppgift som angår totalförsvaret eller rikets säkerhet i övrigt skall enligt säkerhetsskyddsförordningen (19811421) vidta åtgärder för säkerhetsskydd inom sitt verksamhets- område. Detta skydd avser bl.a. att tillförsäkra att innehållet i hemlig handling eller annan uppgift av betydelse för landets säkerhet inte kommer till obehörigs kännedom. Säkerhetsskyddet omfattar sekretess- skydd, tillträdesskydd och infiltrationsskydd. Säkerhetsskyddet vid resp. myndighet skall handhas av en ledande tjänsteman (säker- hetschef). Råd och anvisningar om tekniska skyddsåtgärder lämnas av Rikspolisstyrelsen (RPS). I anslutning till säkerhetsskyddsförordningen har RPS och Överbefälhavaren (ÖB) meddelat FA SÄK.
3.2.7. Arkivbestämmelser
I arkivlagen(1990:782) ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna. Bestämmelser- na reglerar bl.a. arkivbildningen och dess syften, arkivvården, arkivmyndigheterna och deras uppgifter samt gallring.
I lagen anges att en myndighets arkiv bildas av de allmänna hand- lingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap 9 & TF. Upptagningar för ADB som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv hos en av dessa myndigheter. Riksarkivet (för myndigheter under försvarsdepartementet Krigsarkivet) får meddela föreskrifter om hos vilken myndighet en upptagning för automatisk databehandling, som är tillgänglig för flera myndigheter, skall bilda arkiv. Enligt 4 & svarar varje myndighet för vården av sitt arkiv, om inte en arkiv- myndighet har övertagit ansvaret enligt 9 5.
När en arkivmyndighet har övertagit arkivmaterial från en annan myndighet övergår hela ansvaret för det materialet till arkivmyndig- heten. SCB:s arkiv står under tillsyn av Riksarkivet (RA) som är arkivmyndighet för SCB. Arkivmyndigheterna skall enligt 7 5 arkiv- lagen utöva tillsyn över att myndigheterna fullgör sina skyldigheter be- träffande arkivvården i 4 - 6 55. I arkivvården ingår bl.a. (6 5 4.) en skyldighet för myndigheten att avgränsa arkivet genom att fastställa vilka handlingar som skall vara arkivhandlingar. Instruktion för Riksarkivet och landsarkiven har givits i särskild förordning (1991:731). I lagen regleras frågor om arkivbildning och dess syften, arkiwården, arkivmyndigheterna och deras uppgifter samt gallring. Arkivlagen kompletteras med en arkivförordning (1991:446) och kan
ses som en ramlag. Den materiella utfyllnaden om regelverket ges i huvudsak i Riksarkivets föreskrifter och allmänna råd (RA-FS).
3.2.8. Ansvarsfrågor
Ansvarsfrågorna har i realiteten betydelse som en del av dataskyddet. För alla som är anställda vid SCB eller på annat sätt knutna till verket, exempelvis som uppdragstagare, gäller ett individuellt ansvar. Formella utlämnandeärenden enligt reglerna om allmänna handlingar i tryckfrihetsförordningen och enligt sekretesslagens regler får enligt SCB:s arbetsordning beslutas endast av högre chefer vid SCB. Med hänsyn till de många gånger grannlaga frågor som uppstår kring sekretessproblematiken och SCB:s praxis i anslutning till sekretessla- gens regler finns ett särskilt organ inom verket, dataskyddsrådet, som bereder dessa frågor. Förutom chefer för ämnesavdelningarna finns inom rådet juridisk expertis.
I sammanhanget bör översiktligt nämnas de regler som gäller för statligt (och i viss utsträckning även kommunalt) anställda inom ramen för lagen (1976:600) om offentlig anställning. I 10 kap. regleras disciplinpåföljd i form av varning och löneavdrag som kan åläggas arbetstagare för tjänsteförseelse. Med tjänsteförseelse menas att arbetstagare uppsåtligen eller av oaktsamhet sätter åsido vad som åligger honom i hans anställning och felet inte är ringa. I 11 kap. regleras avskedande av arbetstagare på grund av brott, grov tjänsteför- seelse eller upprepade tjänsteförseelser. I 12 kap regleras en skyldighet att anmäla arbetstagare till åtal för vissa brott och i 13 kap. finns bestämmelser om i vilka fall avstängning från arbetet får ske och åläggande om läkarundersökning ges. De nu omnämnda bestämmelser- na gäller endast för statliga anställda och anställda vid allmänna försäkringskassor.
Lagen har nyligen varit föremål för översyn av LOA—utredningen (C 1989:O7). Utredningens huvudbetänkande Enklare regler för statsanställda (SOU 1992:60) innehåller förslag till en förenklad arbetsrättslig reglering för statsanställda. Bl.a. föreslås att en ny lag om offentlig anställning skall ersätta den nuvarande lagen.
3.3. Skyddet utanför SCB - en jämförelse med skyddet hos andra myndigheter
En jämförelse av SCB:s dataskydd med skyddet - beträffande uppgifter för statistik — hos andra myndigheter kan göras på olika nivåer. Samtal har förts med några myndigheter som tar fram s.k. sektorstatistik och som förfogar över stora mängder delvis integritetskänsliga individupp- gifter, liksom med ett antal av de myndigheter som är tänkbara för ett delegerat beställaransvar. En utvärdering av den information som inhämtats visar på skillnader i dataskyddet och dess utformning. Rent allmänt kan sägas att myndigheterna förefaller sätta stor tilltro till interna bestämmelser om ADB-skydd (som oftast inkluderar behörig- hetskrav för tillträde till terminaler) och till bestämmelser i sekretessla- gen och datalagen.
Den bild som utredaren fått vid kontakter med dessa myndigheter får antas vara i stort sett representativ för de myndigheter som i dag framställer statistik.
Ett försök till summering och jämförelse av skyddet ger följande bild.
Den ovannämnda Statistiksekretessen i 9 kap. 4 5 sekretesslagen ger ett starkt skydd för uppgifter som tillhör en sådan avgränsad statistik- verksamhet som fyller sekretesslagens krav. Tolkningen av dessa krav förefaller skifta något. Bestämmelserna om Statistiksekretess förefaller överhuvudtaget inte att tillämpas i särskilt stor utsträckning utanför SCB. En förklaring till detta kan vara att en del av de register som används för statistikframställning vid myndigheter ansetts ha huvud- karaktär av administrativa eller operationella register och att be- stämmelserna om Statistiksekretess därför inte är tillämpliga. En annan förklaring kan vara att det på sina håll råder osäkerhet beträffande avgränsningen av den särskilda verksamheten.
Många uppgifter hos statistikframställande myndigheter skyddas av andra bestämmelser i sekretesslagen som gäller myndighetens ordinarie ärendehandläggning. Här kan som exempel nämnas 7 kap. 16 & sekretesslagen enligt vilken sekretess gäller för personuppgift i personregister som avses i datalagen, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid mot lagen.
Sekretesslagens 7 kap. reglerar sekretess med hänsyn främst till skyddet för enskilds personliga förhållanden. Kapitlet innehåller bestämmelser om sekretess på hälso- och sjukvårdsområdet (1 (j), sekretess på socialtjänstens område (4 och 5 55), sekretess i socialför- säkringsärenden (7 5), sekretess till skydd för enskildas personliga
förhållanden i ärenden om arbetarskydd (8 å), sekretess inom utbildningsväsendet (9 5), sekretess i ärenden rörande offentlig arbetsförmedling m.m. (10 å), sekretess inom myndigheternas personaladministrativa verksamhet (11 å), sekretess i ärenden om uttagning av värnpliktiga för tjänstgöring och ärenden som har samband med sådan uttagning (12 å), sekretess till skydd för utlän- ningar (14 å), folkbokföringssekretess (15 å) och sekretess för uppgifter i kriminal- och polisregister (17 å).
Denna enkla översikt utvisar att det ställer sig'närmast omöjligt att bedöma hur starkt sekretesskyddet är för statistiskt grundmaterial i de fall den statistikframställande myndigheten saknar en särskilt av- gränsad statistikverksamhet. En sådan bedömning skulle förutsätta en noggrann analys myndighet för myndighet. Generellt sett måste därför konstateras att Statistiksekretessen - i de fall myndigheten har en särskilt avgränsad statistikverksamhet — är en väsentlig del av skyddet för statistikens primäruppgifter.
Datalagens regler träder in beträffande sådana register som faller under rubriceringen personregister. Huvudmannaskapet har därför inte någon direkt betydelse för bestämmelsernas tillämplighet.
Lagen om den officiella statistiken omfattar vad som enligt den tillhörande förordningen räknas upp som officiell statistik. Uppgifter för s.k. övrig statistik faller därmed utanför lagens tillämpning. Detta får betydelse bl.a. för straffsanktioneringen av olovlig identifiering. Det måste hållas i minnet att långt ifrån all statistikframställning vid myndigheterna kommer att avse statistik som klassificeras som officiell statistik. Omfattningen av sådan övrig" statistik är emellertid svår att uppskatta, liksom att dra gränsen mot driftsstatistiken.
Härefter kommer de fysiska/tekniska arrangemangen, det interna säkerhetsarbetet och inte minst etikfrågorna i blickfånget.
Säkerhetsproblem löses på olika sätt vid olika myndigheter. Vid varje myndighet finns någon form av regler anpassade efter de risker som kan uppträda i den verksamheten. Som exempel kan tas Skogssty- relsens bestämmelser för ADB—säkerhet som benämns ”Policy och riktlinjer för skogsvårdsorganisationen". De är beslutade den 14 januari 1987 och innehåller först och främst skogsvårdsorganisationens policy för ADB-säkerhet under fyra huvudpunkter:
ADB—säkerhetens mål - Motiv för ADB- säkerheten — ADB-säkerhetens omfattning och — ADB-säkerhetens innebörd.
I sex huvudkapitel ges sedan riktlinjer för ADB-säkerheten inom skogsvårdsorganisationen. Reglerna är för närvarande förmål för revision.
De av Datastraffrättsutredningen i betänkandet Information och den nya InformationsTeknologin — straff— och processrättsliga frågor m.m. (SOU 19921110) föreslagna kompletteringarna i brottsbalken kommer ytterligare att allmänt fokusera behovet av att beakta säkerhetskraven beträffande skydd av information.
3.4. DI:s allmänna råd beträffande datasäkerhet
I detta sammanhang bör framhållas att DI har gett ut en samling allmänna råd ”ADB-säkerhet för personregister” som riktar sig till alla som lagrar personuppgifter på datamedium. Råden är inte bindande utan ger inspektionens syn på hur persondata bör skyddas. De ligger emellertid till grund för inspektionens föreskrifter om ADB- säkerhet som meddelas i samband med att tillstånd ges till nya personregister. De tillämpas också när inspektionen granskar befintliga personregister och kan då ges i form av direkta föreskrifter. Råden ersätter inte föreskrifter som inspektionen tidigare meddelat. Huvuddragen i råden kan sammanfattas enligt följande: Varje personregister bör känslighetsgraderas. Det innebär att det bör göras en bedömning av hur känsligt registret är från integritetssyn- punkt. Den bedömningen bör vara vägledande när det gäller att hänföra registret till någon av tre integritetsklasser. Registrets integritetsklass bör i sin tur vara vägledande när det gäller att bedöma vilken ADB-säkerhetsnivå som bör tillämpas för registret och vilka skyddsåtgärder som bör vidtas. Utgångspunkten för en bedömning av känsligheten hos ett register bör, enligt DI vara hur allvarligt integritetsintrånget blir för de registrerade om uppgifter i registret förstörs, ändras eller sprids på ett otillbörligt sätt. Känsligheten hos ett personregister beror på flera faktorer och måste alltid bedömas för varje personregister särskilt. Ett uttryck för integritetskänsligheten hos vissa personregister är att de är sekretessbelagda enligt sekretesslagen. Uppgifter som inte får lämnas ut ens efter en skadeprövning (jfr Statistiksekretessen) måste skyddas särskilt väl. Det är omständig— heterna kring det enskilda registret som bör avgöra valet av in- tegritetsklass och därmed vilka skyddsåtgärder som bör vidtas. Varje personregister bör hänföras till en bestämd integritetsklass. Undantag bör endast göras för smärre register med normalt harmlösa uppgifter såsom telefonlistor, enkla medlemsregister o.d. Dock bör även
mängden uppgifter beaktas. Exempelvis kan många harmlösa uppgifter sammantaget bilda ett mycket känsligt personregister.
Integritetsklass 3 (grundnivå)
Till denna klass hänförs normalt personregister som inte är till- ståndspliktiga enligt datalagen på den grunden att de bara omfattar personer som har en sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande. För personregister i integritetsklass 3 bör vidtas skyddsåtgärder motsvarande en särskilt angiven grundnivå av ADB- säkerhet.
Integritetsklass 2 (hög nivå)
Till denna klass hänförs känsliga uppgifter som inte av särskilda skäl skall hänföras till integritetklass 1. Till känsliga uppgifter räknas, dels personregister som innehåller sådana uppgifter som sägs i 4 5 andra och tredje styckena datalagen, dels i personregister i det allmännas verksamhet som innehåller uppgifter för vilka sekretess gäller enligt 7, 8 eller 9 kapitlet i sekretesslagen till skydd för enskilds personliga eller ekonomiska förhållanden, dels personregister inom bank- och försäkringsväsendet som innehåller uppgifter om enskilds personliga och ekonomiska förhållanden, dels personregister som förs för kreditupplysnings- eller inkassoverksamhet, dels personregister över anställda om registret innehåller fler uppgifter än som behövs för löneadministration, dels personregister som innehåller uppgifter som utgör omdömen eller andra värderande upplysningar om de registrera- de, såvida inte uppgifterna är att betrakta som mindra känsliga från integritetssynpunkt, dels personregister som omfattar hela eller en stor del av befolkningen i landet eller i en region samt personregister som är att jämställa med ovan nämnda register.
Integritetsklass ] (mycket hög nivå)
Till denna klass hänförs alltid, dels personregister som innehåller sådana uppgifter som sägs i 4 5 första stycket datalagen, nämligen uppgifter om att någon misstänks eller dömts för brott eller har avtjänat straff eller undergått annan påföljd för brott eller har varit
förmål för annat tvångsingripande från samhällets sida och dels personregister som är att jämställa med ovan nämnda register.
De allmänna råden omfattar vidare en sammanställning av skyddsåt— gärder. De är i sina detaljer att se som rekommendationer. I sin helhet beskriver de vilka nivåer av skydd som bör finnas för personregister tillhörande de olika integritetsklasserna. Skyddsåtgärderna är indelade i följande fyra underrubriker: Ledning och ansvar, System och programvara, Registeranvändning och systemförvaltning samt Teknisk utformning och drift. Registrens ändamål, användning och innehåll avgör vilka typer av händelser som kan medföra integritetsintrång och därmed vilka typer av skyddsåtgärder som behöver vidtas. De skyddsåtgärder som anges under rubriken ”grundnivå” av ADB- säkerhet bör tillämpas för personregister som hör till integritetsklass 3. För personregister som hör till integritetsklass 2 bör därutöver vidtas de åtgärder som anges för ”hög nivå”. För personregister som hör till integritetsklass 1 bör ytterligare åtgärder vidtas. De anges under mycket hög nivå.
man» maktbalansen: man imam: trimm iran summw-IMHWW Hu.-Weta. m: 19. Wie, we ;ninllämammng ne smb” tumma nebär Minimus am adlad mrisgl :ranutmbmummlm mum ee m mikaehmlz 313.511]. GP.; ' amn-nådiga» bär-Ah va whirl tumr- eb , mm 11 mammut” mmwmmi stilla she » ' tät! www mhn! WWWUM' W MW
man;
mmmmwamwmmmmwm. _ ., mmm sad Smärtsamma. Hit Mamasteiammq , ', - mus-mumsa?! ."me mI'tmmmmMab »
31513. Wlan billliEquuttiilesil !. rm unusual uppgiften. ränna 'i parametrar:-r som inmhållur situat-_| uppgivit-'s sum mg.-u 4 I. '
och [&ij mmm: datalagen. Jolt Lit-magma: i det verksamhet sam km:-hållts: ”WHIFT för Hits.-4 Meles; mm
72. B eller '? kapitlet i schamanism.-1 till ahlin Ritt: aktien.” p alla skonimislta mmm. se. mastern uma r..—' ' " , : Cummings-.es. under som Misha-s margin" em trial-111113 ». .. " ,,j och samman Flrhwlimdm' mis H.M.-meginmr m 7' .' ' " hmm-Ding? som .inkan—m's'l'mm. tll!!!- [wranw— manus.-um Mistra mum-um www än som t:- . i. ' * lonudmhiistlwåtiim crisis mum. 'mer sot-m Inna—MIM arg...-*?" .' utgöromdtim elin: Milki Manmleupp'lpningerm .... i'll. såvida um umm- år ut betrakta mm mindra. " inna-jul animaliskt. dals samm-ginstam nr.-m hets - 'm , ' ' . uid w Mallnimnllimluu. dim lm man - ' ' är Ja jam-mh mer!» twan Murat-cl..» Mister
limewire-rella" .l' [masker M! HFI-U +. " - . . Tf", ämm! Elim hänförs tillit! till- låtlsnlih'gjl'mr sun-L ' thmi ur'tngilier sum. lägst 4 & .it-rutt. Ingram Magar; » . " uppgifter om att namn tub-simili» eller dm lör beam " swim-eli eller undergått um genitiv.: Mt brott - . "
4. Delegerat beställaransvar för statlig statistik 4.1 Allmänna principer
I prop. 1992/93:101 om den statliga statistikens finansiering och samordning, framhåller departementschefen (s. 7) att förutsättningarna att löpande ompröva statistiken underlättas om kopplingen mellan användare och producent stärks. Det anses dock inte möjligt att på ett enkelt sätt hänföra statistiken till en enda eller ett fåtal användares behov.
Grundläggande för den officiella statistiken är kraven på objektivi- tet, kvalitet och tillgänglighet. Därför delar departementschefen ut- redningens uppfattning att särskilda krav måste ställas på myndigheter med ansvar för officiell statistik. De skall bevaka och samordna även andras statistikbehov, de skall vara och uppfattas som objektiva i sin statistikroll och de skall ha de praktiska och kunskapsmässiga möjligheterna att inneha ansvar för statistiken i form av beställar- ansvar. Det skulle, enligt departementschefen, komma att uppstå betydande svårigheter att uppfylla dessa krav om all officiell statistik decentraliserades och avgiftsfinansierades. Den officiella statistik som annan myndighet än SCB föreslås få beställaransvar för är sådan statistik som har en huvudanvändare och är starkt sektoranknuten. Praktiska förutsättningar att ta ett beställaransvar anser departements— chefen finnas inom ett antal områden som t.ex. arbetsmiljöstatistiken, jordbruksstatistiken, utbildningsstatistiken och viss statistik inom socialsektorn.
Genomförandekommittén har den 8 april 1993 lämnat en Del- rapportl beträffande ”Ändrad ansvarsfördelning för den statliga statistiken”. En stor del av rapporten utgörs av en sammanställning i tabellform av reguljära statistikprodukter vid SCB. Dessa produkter har delats upp i ett antal kategorier för att ge indikation på vilken statistik som i första hand kan komma ifråga för en utläggning av beställaransvaret. Inom respektive kategori har produkter/delprodukter sorterats efter statistikprogram, dvs. efter samma princip som används i SCB:s anslagsframställning.
I rapporten redovisar kommittén några utgångspunkter man beaktar vid bedömningen av delegering och val av sektormyndigheter, nämligen
Statistikens nuvarande användning. Framtida behov och användningssituationer. Statistikens trovärdighet. Sektormyndighetens tyngd i det totala användarperspektivet. Sektormyndighetens kompetens och möjligheter att utveckla nödvändig kompetens.
953995”!—
Nyssnämnda kategoriindelning (Kategori O - 5) har utförts med hänsyn till hur pass starka skäl som talar för en utflyttning av beställaransva— ret.
Beträffande Kategori 0 ligger ett beställaransvar redan hos en myndighet. Kategori 1 omfattar produkter där starka skäl talar för att flytta ut beställaransvaret. Gruppen omfattar 25 statistikprodukter. Kategori 2 omfattar produkter där utflyttning kan tänkas men där ytterligare utredning av ansvar krävs.
4.2 Statistik för skolsektorn
Den s.k. skolverksmodellen fått tjäna som förebild vid Genomförande- kommitténs arbete med omstruktureringen av beställar-utföraransvaret. Härmed avses omläggningsarbetet avseende lärar- och skolstatistiken. Skolverket har i stort sett övertagit SCB:s budget och förslag till program för lärar- och skolstatistiken. De medel Skolverket fått disponera för statistiken har hittills i form av uppdragsersättning förts över till SCB.
SCB har uppfattat sin roll som en konsult som erbjuder sina tjänster till Skolverket. Det innebär att SCB åtagit sig att samla in och bearbeta material, att bygga upp register och producera statistiska tabeller. En samrådsgrupp har bildats med representanter för Skolver- ket och SCB. Gruppen har funnit att myndigheternas mellanhavanden borde lösas i avtalsform, varefter ett ramavtal, det s.k. Skolverksavta— let, har tecknats den 22 september 1992.
4.2. 1 Skolverksavtalet
Avtalet innefattar 22 avsnitt. Enligt avsnitt 3.1 skall SCB årligen samla in uppgifter från kommuner, landsting och andra skolhuvudmän enligt föreskrifter i Skolverkets författningssamling (SKOLFS). I avsnittet hänvisas till bilaga 1 till ramavtalet. Bilagan är rubricerad ”Årlig löpande statistik” och behandlar insamling av uppgifter från
det offentliga skolväsendet och vissa fristående skolor (regleras i SKOLFS 1992z8) samt från Statens skolor för vuxna. Det framgår att insamlingen sker, dels genom uppgiftsskyldighet för respektive skolhuvudmän (kommuner och landsting m.fl), dels genom uppgiftsin- hämtning från Centrala Studiestödsnämndens (CSN) administrativa system för utbetalning av studiehjälp.
Enligt avsnitt 3.6 i avtalet mellan Skolverket och SCB skall SCB bevaka definitioner, klassificeringar och koder (SUN och ISCED) inom skolområdet gentemot andra politikområden internationellt och inom Sverige.
Enligt avsnitt 3.9 skall SCB svara för samordning och internationell rapportering på skolstatistikens område samt för vissa övriga upp- gifter.
Förhållandet till datalagen behandlas i avsnitt 11. Här anges att Skolverkets uppdrag till SCB kan utföras i enlighet med de tillstånds- beslut som DI redan har meddelat för SCB:s personregister. Om det under avtalstiden, för fullgörande av uppdraget, uppstår behov av tillståndsansökan enligt datalagen skall SCB svara härför. För sambearbetningar som utförs av SCB gäller ett förenklat tillståndsför- farande hos DI (DIFS 1989:2). SCB anges som registeransvarig och skall i denna egenskap fullgöra de skyldigheter som följer av 7 — 14 55 datalagen. SCB ansvarar också för kontakterna med Riksarkivet och handläggningen av arkivfrågor.
Enligt avtalets avsnitt 12 om register, skall SCB för framställningen av skolstatistik enligt avtalet inrätta och föra de personregister samt de övriga register som erfordras. Uppgiftslämnandet till SCB inom ramen för avtalet skall även kunna utnyttjas för att ta fram ytterligare statistik på skolområdet. Skolverket har rätt att efter varje insamlingstillfälle för eget bruk erhålla kopia av registerdata som insamlats av SCB i enlighet med avtalet. Uppgifter om enskilda får dock endast lämnas ut i avidentifierad form i enlighet med reglerna i sekretesslagen.
I avsnittet 13.2 i avtalet behandlas immateriella rättigheter. Här anges att alla rättigheter till programvara, systemlösningar, metoder, register och annat material som SCB framställt som hjälpmedel för uppdragets utförande tillkommer SCB. Beträffande register hänvisas till särskilda bestämmelser i avsnitt 12. Avtalet innebär, när statistiken publicerats enligt andra stycket i 13.1, inga begränsningar av SCB:s rätt att utföra bearbetningar och uppdrag på register eller att till— handahålla och publicera skolstatistik.
Hanteringen av tvister i anledning av avtalet regleras i avsnitt 22. Uppstår tvist i anledning av avtalet skall parterna i första hand söka förlikning. Om förlikning inte kan uppnås skall tvisten avgöras av en skiljeman som utses av Stockholms handelskammare. För skiljeförfa-
randet skall lagen (l929:145) om skiljemän gälla. Skiljeförfarandet skall äga rum i Stockholm.
4.3 Berörda myndigheter m.m.
Genomförandekommittén har - när detta skrivs — inte slutredovisat sitt uppdrag. Det går därför ännu inte att dra några säkra slutsatser i vad avser omfattningen av och strukturen på ett delegerat beställansvar för den officiella statistiken. Det står emellertid klart att mellan åtta och tio myndigheter är fullt tänkbara för att överta beställaransvar.
Regleringen av beställaransvaret är däremot en öppen fråga. I 1990 års statistikutrednings betänkande Effektivare statistikstyrning ( SOU 1992:48 ) anges dock (s. 129) att vilka statistikprodukter eller statistikområden som enligt utredningen skulle hänföras till basstatistik i första hand skulle avgöras i en dialog mellan department och myndigheter. Detta skulle fastställas av regeringen och dokumenteras, förutom i regelverket för officiell statistik, främst genom föreskrifter i myndigheternas instruktioner och i regleringsbrev eller motsvarande för berörda myndigheter.
Ett exempel på hur en myndighets skyldighet beträffande statistik regleras är förordningen (1992:895) med instruktion för Telestyrelsen, vars 5 & stadgar följande. ”Telestyrelsen svarar för att behövlig statistik inom teleområdet fastställs”. De närmare detaljerna i framställning av telestatistik fastställs i myndighetens vanliga be- slutsordning. Det måste dock betonas att denna statistik inte har status av officiell statistik, i vart fall inte ännu.
4.4 Riskbild vad avser integritetsskyddet
Detta kapitel inriktar jag främst på en granskning om det kan finnas några integritetsskyddsaspekter som på ett avgörande sätt talar mot principen om ett delegerat beställaransvar. Ett fullgott skydd för uppgifter hos en myndighet kräver rent allmänt att en riskbild noga analyserats och utvärderats. Riskbilden står — av naturliga skäl - i relation till känslighetsgraden av de lagrade upp- gifterna. Det lättaste sättet att få ut en uppgift från en myndighet - integritetskänslig eller ej - är att begära dess utlämnande i enlighet med TF:s regler om handlingsoffentlighet. Det krävs därför motsatsvis att det sekretesskydd som lagstiftats för att skydda vissa känsliga uppgifter också i realiteten fungerar och efterlevs. Jag har tidigare i
kapitel 3.3 funnit att myndigheternas tillämpning av sekretess och därtill anslutande frågor i viss mån varierar. Det är dock en organisa— tions- och utbildningsfråga. Goda möjligheter att inhämta expert- kunskap finns. Brister i kunskap utgör således inget avgörande hinder mot ett delegerat beställaransvar.
De krav som ställs i datalagen saknar särreglering beträffande myndigheters användning av personregister för statistikframställning. Det innebär att register som innehåller vad som kallas känsliga uppgifter faller under DI:s normgivningsrätt enligt 6 5 datalagen. Som underlag för sådana föreskrifter använder DI tidigare nämnda Allmänna råd beträffande datasäkerhet. Detta innebär bl.a. att registret känslighetsgraderas på angivet sätt. Någon konkret riskbedömning låter sig inte göras utifrån bestämmelser i datalagen. De myndigheter som planerar att inrätta ett statistikregister får förutsättas följa den i lagen föreskrivna anmälningsskyldigheten och de normer som DI kan komma att ställa upp som förutsättning för användning av registret. De föreskrifter om förenklat ansökningsförfarande beträffande vissa personregister som DI ger ut i sin författningssamling (DIFS 1989:2) borde kunna utökas till att omfatta även andra myndigheter som i kraft av beställaransvar väljer att producera statistiken själva.
Åtskilliga riskfaktorer står däremot i fokus vid vad som kan kallas det interna säkerhetsarbetet. Här figurerar olika risker, främst för obehörig åtkomst, såväl av primäruppgifter i pappersform som ADB- lagrade uppgifter. Sådan åtkomst kan förorsakas både av angrepp utifrån som av slarvig eller illojal handläggning av anställda i myndighetsorganisationen. Tekniska störningar och andra oönskade händelser kan vidare medföra att personuppgifter förstörs eller förändras så att de blir felaktiga eller missvisande. Lagring av kvalificerade personuppgifter kräver därför skydd såväl i fysiskt och tekniskt avseende. I nyss angivna Allmänna råd från DI anges vissa grunder för sådant skydd knutet till registrets känslighetsgrad.
Som framgår under kapitel 3.3.4 har SCB för sitt interna säker- hetsarbete skapat en samling av interna säkerhetsskyddsföreskrifter kompletterade av tillämpningsföreskrifter i form av säkerhetsnormer. Särskilda föreskrifter har tillkommit beträffande användningen av persondatorer inom SCB. Regelsamlingen, som sammantaget är betydligt mer detaljerad än DI:s Allmänna råd, bygger på mångårigt utvärderingsarbete och en omfattande analys av de hot och risker som bedömts föreligga mot statistikproduktionen och dess material. En reglering av denna dignitet finns inte hos någon av de myndigheter som utredningen haft kontakt med. Även här är det en fråga om utbildning och organisation där expertkunskap finns att tillgå på olika håll.
Som tidigare angetts har också etikregler och interna normer av SCB ansetts vara av stor betydelse som komplettering till författnings- regleringen. Etikreglerna är i detta fall knutna till en särskild yrkesgrupp, statistikerna och problematiken främst en fråga om uppbyggnad av statistisk kompetens vid myndigheten. Detta är i sin tur en förutsättning för att starta egen statistikproduktion.
Integritetsskyddet har emellertid en annan och mycket viktigare sida som flitigt förekommit i debatten. Den gäller inte bara omfattningen av uppgiftsinsamlingen utan fastmer hur de insamlade uppgifterna senare används. SCB använder vid sin statistikframställning i mycket stor utsträckning tidigare insamlat material, inte minst i sin upp- dragsverksamhet. Härtill kommer en stor mängd uppgifter från andra myndigheter som ursprungligen insamlats för helt andra ändamål. Ju längre bort från källan som informationen fjärmar sig, desto mer torde risken öka för att känslan för informationens skyddsvärde tunnas ut.
Det förefaller troligt att ju större informationsmängd som samlas in och lagras vid myndigheter och ju bredare användningsområde man tillåter för denna information, desto större blir risken för att en personuppgift kommer på avvägar eller uppträder i felaktig form. Allmänt kan konstateras att informationsflödena i samhället ökat dramatiskt under senare decennier som en följd av att myndigheterna åberopat reglerna om utlämnande från annan myndighet i tryckfrihets- förordningen medan dessa regler egentligen reglerar den enskildes rätt till information. Möjligen kan därför ett delegerat statistikansvar på sikt leda till en viss minskning av dessa risker under förutsättning att såväl uppgiftsinsamling som framställning av statistiken sker vid den statistikansvariga myndigheten.
Min första slutsats av resonemanget kring riskbilden blir därför att jag från integritetsskyddssynpunkt inte funnit något avgörande hinder mot att delegera beställaransvaret för viss statlig statistik till ett antal sektormyndigheter. Snarare kan en viss förbättring bli resultatet på sikt. Min slutsats bygger dock på det faktum att de blivande be- ställaransvariga myndigheterna skaffar sig en ingående kännedom om det regelverk som finns till skydd för ADB—uppgifter och tillämpar detta på ett riktigt sätt.
Självfallet inrymmer den centrala hotbilden risken för att persondata skall komma på avvägar eller missbrukas. Ytterst är det en för— troendefråga att medborgarna tryggt skall kunna acceptera vissa behöriga intrång i integriteten genom att en mängd personuppgifter om dem samlas in, lagras och bearbetas. Det gäller dock alltid att finna en balanserad nivå för allt skyddsarbete.
Min andra slutsats av riskbildsanalysen blir att uppgiftsinsamling i stor omfattning och - i stort - oreglerat uppgiftsflöde mellan myndig-
heter innefattar större risker för den enskildes integritet än insamling, lagring och användning av uppgifter vid en enstaka beställarmyndig- het. Analysen bör därför i denna del vändas till en fråga om det inte finns skäl att reglera myndigheternas insamling och användning av uppgifter till den staliga statistiken i lag. Jag återkommer till detta i kapitel 8. De väsentliga delarna i skyddet av primäruppgifter kan således sammanfattas enligt följande: - Sekretesskydd - DI:s normer - Interna säkerhetsnormer - Reglering av uppgiftsinsamling till och uppgiftsflöde mellan myndigheter.
al emaliamafnanitntjasn'nä' ' ' " -' nånsin)” a:.u Mim 413111th u wa |gt .! ' . '” ultimatum naturum tas | ' sinnena mhlodww t': ' 93,3". .” . mys. an'l-wla' Minitema; » " " tl. ' . " .' ' ..;t'n '-[.tl'l.j utlämnad "
|1|_.
' -|| '. f.l|l'_'f|. *" ' | _ :'m Riul'l'tl'ilt'fi' "fn.:mtl Il .nareimm'n ».
.'r ”MW " w |._ en '.H'--!|'ll| it's för hult'
m mun.-.fi www.? »" ' ”I't' i'l'."':t| n.. tant-m Limit?" , |. ."t'f'i'f'i '|.iti_1r|1iatinmr"| ' ..h ;; » hut-dare man ". . "Cain an)-tre blid" |. . . "" nytt...-g... |-.| uppträd ' .nu 'un'-'.. - ||. wflhdunnl. _ ..
'i."- . _ ' . -l'.."|nmnji: fr ||| ".t n'.Fu't 111581"le ' "' ' l'h| ';"; ':glct (engentligen reglar. » ' dlf'l km.-. |.|T|'7..|'r t'tl dille???” _ , & in.-i:et u aln. t'rmnst'ätlnlug 'n' att I "YA-KPI». ',_'. - '.otwmanget kring t'” | npunkt inte tunnil r '_ . närmat _"! for viss sum-i] "-' . |! Lan en viss mant» " . ,f. es ubk l'l" det films!!! * i _. jg- Jim skaffat sig built -
.'"eulr'al' uunthildeneiämu allt-r missbrukas Hm treggt anna_ ' .;-....en genom att mum
| bt. arbetas ' Del-8510".
| skyddsarbete. __|" r. -- '
Öhitl'iildaannlysen M..;
IM '! " uzireglarat uppgl "'I
5. Rättsliga villkor, förfoganderätt m.m. 5.1 Inledning
1990 års statistikutredning berör i sitt betänkande Effektivare statistikstyrning (SOU 1992:48) i mycket korta ordalag ägande— och förfoganderätt till uppgifter. Det framgår av betänkandet (s. 131) att SCB anser sig ha äganderätt till primäruppgifter som centralbyrån samlat in eller lagrat i sina register. Detta såvida inte annat avtalats. Utredaren hävdar därefter att frågan om äganderätten till primärdata kan fordra olika lösningar. Detta beror på växlande förhållanden och problemet torde enligt utredarens mening bäst lösas avtalsvägen.
Några remissinstanser har dock uttryckligen framhållit att frågor om äganderätt o.d. till primärmaterial måste beaktas och utredas noggrant. Bland annat framhåller Sveriges Industriförbund och Svenska arbetsgivareföreningen att det råder en besvärande oklarhet beträffande de rättsliga grunderna för den statliga statistikverksamheten, särskilt vad gäller den kommersiella verksamheten vid SCB. Organisationerna yrkar på att de rättsliga villkoren för all dataservice/uppdragsverksam- het inom den statliga statistikproduktionen samt frågan om äganderät- ten till statistikens primäruppgifter noggrant klargörs i nära anslutning till att de institutionella formerna för den framtida statistikproduktio- nen fastställs.
I direktiven för mitt arbete betonar departementschefen att det är av utomordentligt stor vikt att de rättsliga grunderna för samhällets statistikverksamhet blir allsidigt genomlysta och fastställda.
En meningsfull granskning av statistikproduktionens rättsliga villkor förutsätter en inledande sammanfattning av dagens statistikproduktion och de regler som gäller beträffande insamling och bearbetning av uppgifter.
Det bör inledningsvis anmärkas att praktiskt taget alla myndigheter i dag använder sig av datorer och användningen sprider sig snabbt till allt fler områden inom förvaltningen. Myndigheternas datasystem byggs allt oftare samman till integrerade system i vilka centrala och lokala system är sammankopplade.
Vissa av myndigheternas system har tillkommit genom beslut av riksdagen eller regeringen, medan andra är beslutade på en lägre
konstitutionell nivå. Det finns därför inte någon enhetlig bakgrund vad beträffar beslutsnivå.
Driften av de större statliga ADB—systemen sker dels i myndig- heternas egen regi, dels i uppdragsform vid servicebyråer. Den snabba utvecklingen av datasystemen har medfört att en ökande mängd information lagras i myndigheternas register och att antalet databaser ökar snabbt.
5.2. Myndigheternas statistikframställning
5 .2.1 SCB och dess anslagsverksamhet
SCB är enligt sin instruktion (1988: 137) central förvaltningsmyndighet för den statliga statistikproduktionen. Verket ansvarar för huvuddelen av denna produktion, särskilt sådan som saknar en naturlig verksam- hetsanknytning. SCB har därtill vissa ytterligare uppgifter med nära anknytning till den nationella statistikförsörjningen, framför allt ett samordningsansvar.
Utanför SCB:s statistikproduktion faller sektorsstatistik samt en okänd mängd s.k. driftsstatistik.
5.2.2. SCB och dess uppdragsverksamhet
Med ”uppdragsverksamhet” avses verksamhet som finansieras med direkt ersättning från en uppdragsgivare (beställare) och således inte med anslag.
SCB är enligt sin instruktion skyldig att på uppdrag av myndigheter inom sitt ansvarsområde och i mån av resurser, dels utföra statistiska undersökningar liksom intervju- och enkätundersökningar, dels utföra manuell och maskinell statistisk databehandling samt även bedriva statistisk konsultationsverksamhet. Centralbyrån får även åta sig sådana uppdrag från andra uppdragsgivare. Uppdragen skall utföras mot ersättning.
Uppdragsverksamhetens andel av SCB:s omsättning har under senare år ökat från en femtedel till en fjärdedel och har blivit ett sätt för centralbyrån att öka användningen av sin organisation och kompetens. Det föreligger inte heller någon större skillnad i pro- duktionsprocessen mellan anslags- och uppdragsverksamheten. Inom den senare utgörs den huvudsakliga verksamheten av bearbetningar av befintliga register samt intervju- och enkätundersökningar.
5 .2 .3 Statistikframställning utanför SCB
En stor mängd statlig statistik produceras vid andra myndigheter utanför SCB. Från centraliseringen av statistikproduktionen till SCB i början av 1960-talet undantogs en del s.k. sektorproducerad statistik, främst vid Riksförsäkringsverket, Arbetsmarknadsstyrelsen och Socialstyrelsen. Det torde vidare vid i stort sett alla myndigheter framställas s.k. driftsstatistik, vars innebörd jag sökt förklara tidigare i denna framställning (se kapitel 2.2.2).
5.3. Uppgiftsförsörjningen för den statliga statistiken
Statistiska bearbetningar kan utgå från primäruppgifter eller från aggregerade uppgifter dvs. statistik. I början av den statistiska produktionsprocessen ligger alltid ursprungsuppgifter i någon form. Dessa kan vara uppgifter om fysiska eller juridiska personer, identifierbara eller avidentifierade eller t.ex. observationer av atmosfäriska eller geografiska förhållanden.
De uppgifter som bearbetas statistiskt kan ha samlats in enbart för detta syfte eller för tillsyns- eller andra administrativa ändamål. Myndigheternas totala inhämtande av uppgifter från enskilda avser endast till en mindre del uppgifter för statistiska ändamål. Upp- giftsplikt kan grovt delas in efter följande huvudsyften (jfr Hiselius s. 27): — tillsyn och kontroll,
- tillståndsprövning, - redovisning av skatt, - samhällsplanering och
- statistikproduktion (som i enstaka fall kan användas för andra ändamål, däribland kontroll).
Härtill bör enligt min mening läggas ett ytterligare allmänt ändamål, nämligen forskning. Även sådan sker ju även inom ramen för det myndighetsbegrepp jag utgår från.
Det sistnämnda huvudsyftet avser sådana uppgifter som samlas in endast för statistiska ändamål. Insamling har skett genom intervjuer, enkäter, observationer o.d. Det förekommer även att uppgifter för statistik samlas in tillsammans med uppgifter för andra ändamål.
5 .3.1 Uppgifter från andra myndigheter
En övervägande del av SCB:s statistik produceras av administrativt material, dvs. information som primärt sammanställts för andra myndigheters verksamhet och för annat ändamål än statistik. Mer än fyra femtedelar av SCB:s uppgiftsvolym beräknas vara insamlad via externa register. Endast en femtedel samlas enligt dessa beräkningar in direkt av SCB. Den statliga statistik som framställs i dag baseras med andra ord i stor utsträckning på uppgifter som har lämnats till myndigheter i administrativa ärenden av varierande art såsom ansökningar, tillstånd, påföljder eller verksamhetsresultat.
Formerna för överlämnande av uppgifter varierar. Myndighet kan i vissa fall på begäran av annan myndighet direkt lämna över uppgifter till denna. Detta är reglerat i 15 kap. 5 & sekretesslagen. I lagrummet föreskrivs att myndighet på begäran av annan myndighet skall lämna uppgift som den förfogar över i den mån inte hinder möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Enligt motiven till sekretesslagen ger regeln uttryck för den självklara principen att alla myndigheter skall samarbeta och bistå varandra i den utsträckning som är möjligt. I detta sammanhang kan också erinras om bestämmelsen i 6 & förvaltningslagen (1986z223) att varje myndighet skall lämna andra myndigheter hjälp inom ramen för den egna verksamheten. I det fall de uppgifter som begärs utlämnade är offentliga och utlämnandet inte heller stör myndighetens verksam- het, krävs således inte författningsstöd för att en myndighet skall lämna över uppgifter till annan myndighet.
Statistikregelutredningen föreslog i sitt betänkande Förenklad statistikreglering (SOU l990:43 s. 30 - 32) en författningsreglering av myndigheternas skyldigheter att lämna över uppgifter från sina tillsynsregister och register för andra administrativa ändamål till andra myndigheter för statistiska ändamål. En sådan reglering skulle avse såväl offentliga som sekretessbelagda uppgifter. Regleringen, som föreslogs bli intagen i en ny statistikförordning, skulle ge möjlighet till överlämnande för statistiska ändamål av sekretessbelagda uppgifter och samtidigt garantera ett jämnt och kontinuerligt flöde av alla slags uppgifter.
Någon reglering som motsvarar den föreslagna bestämmelsen kom dock aldrig till stånd i förordningen (1992:1668) om den officiella statistiken. En sannolik förklaring är att en sådan reglering då inte ansågs behövlig.
5.3.2. Uppgiftsplikt
SCB:s tillgång till uppgifter ur andra myndigheters administrativa register regleras, dels genom särskilda författningsbestämmelser, dels genom allmänna bestämmelser om offentlighet och möjligheter för myndighet att inhämta uppgift från annan myndighet. Särskild uppgiftsskyldighet gäller för näringsidkare, fastighetsägare, kommuner och landsting samt för vissa sammanslutningar. Fysiska personer är endast undantagsvis uppgiftsskyldiga för statistik. Skyldigheten stadgas då i lag och enda exemplet härpå för närvarande är folk- och bostadsräkningarna,
Föreskrifterna om de statistikproducerande myndigheternas in- hämtande av statistiska uppgifter fanns tidigare i ett stort antal författningar. En stor del av föreskrifterna för enskilda fysiska och juridiska personer samt kommuner har numera förts samman i lagen om den officiella statistiken.
5.3.3. Frivilligt uppgiftslämnande
En viktig del av den statliga statistiken bygger på frivillig medverkan av uppgiftslämnarna. Många skäl talar för att frivillig medverkan skall grundas på s.k. informerat samtycke. Detta innebär i korthet att en uppgiftslämnare före sitt ställningstagande till att medverka eller inte skall vara informerad om att uppgiftslämnandet är frivilligt och att ändamålet är statistik. Det skall vidare klart framgå på vems uppdrag statistiken framställs, vad den har för syfte och hur det är avsett att den skall offentliggöras. Det skall också framgå att uppgifterna är skyddade av sekretess samt huruvida de kommer att bevaras eller inte.
Principen om informerat samtycke kan ses som ett uttyck för behovet av ett sanningsenligt och respektfullt förhållande mellan statistikproducent och uppgiftslämnare. Synpunkter på och rekommen- dationer beträffande vilken information som skall lämnas för att tillgodose kraven för informerat samtycke finns dokumenterade i olika skrifter. Den mest omfattande sammanställningen finns i den yrkesetis- ka deklaration som den 21 augusti 1985 antogs av Internationella Statistiska Institutet (ISI).
5.3.4. Summering
SCB:s insamling av data kan delas upp enligt följande: 1) Författningsreglerad datafångst från företag och enskilda personer 2) Författningsreglerad datafångst från andra myndigheter
3) Oreglerad datafångst från andra myndigheter 4) Datafångst med frivillig medverkan
5.4. Förfoganderätt 5.4.1 ' Allmänt
Som framgår tidigare i detta kapitel förutsätts i direktiven en analys av förfogande m.fl. rättigheter beträffande uppgifter till den statliga statistiken.
De uppgifter som utgör underlag för statistiken kan i princip alltid på något sätt härledas tillbaka till en enskild. Den fråga som först inställer sig beträffande SCB:s och andra myndigheters rätt att samla in och använda uppgifter blir därför om någon kan åberopa äganderätt till ursprungsinformationen. Det saknas klar författningsreglering i detta avseende.
SCB:s standardavtal ”Allmänna villkor i SCB:s uppdragsverksam- het”, som reviderats senast i januari 1991, reglerar i punkten 4 äganderätten till material som SCB framställt för utförande av ett uppdrag på följande sätt:
Rätten till programvara och andra hjälpmedel. - Alla rättigheter till programvara, systemlösningar, metoder, register och annat material som SCB framställt som hjälpmedel för uppdragets utförande tillkommer SCB.
Rätten till det underlag som uppdragsgivaren tillhandahållit regleras inte i avtalet. En rimlig tolkning är emellertid att material/hjälpmedel enligt återgivna punkten tillkommer SCB medan primäruppgifter från uppdragsgivaren tillkommer denne.
Avtalsvillkoren är emellertid aktuella att tillämpa endast i upp- dragsverksamheten. Vad som gäller beträffande de uppgifter som används i SCB:s anslagsverksamhet är inte underkastat någon särskild författningsreglering utan följer av allmänna rättsregler enligt följande.
”Äganderätt” till själva primärmaterialet såsom uppgifter som lämnats på blankett, ADB-medier m.m. måste ses i förhållande till principen om handlingsoffentlighet i 2 kap. TF och myndigheternas
arkivansvar enligt arkivlagen. En handling är enligt 2 kap. 3 5 TF allmän om den förvaras hos myndighet och är att anse som inkommen till eller upprättad hos myndigheten. En myndighets arkiv bildas enligt 3 & arkivlagen av de allmänna handlingarna från myndighetens verksamhet och vissa ytterligare handlingar som enligt myndighetens beslut skall tas omhand för arkivering. Ansvaret för vård av arkivet ligger, enligt 4 & samma lag, på myndigheten såvitt inte en arkiv— myndighet har övertagit det. I arkivvården ingår, enligt 6 5 4. arkivlagen, bl.a. att myndigheten skall avgränsa arkivet genom att fastställa vilka handlingar som skall vara arkivhandlingar. Enligt 10 & samma lag får allmänna handlingar gallras under vissa förutsättningar.
Det finns med andra ord bara två alternativ för en myndighet — exempelvis SCB - som vill avhända sig en allmän handling. Antingen får myndigheten gallra och förstöra den eller så får handlingen lämnas över till en arkivmyndighet. Handlingen kan - under förutsättning att det inte handlar om en inlånad handling — inte ”ges tillbaka” till uppgiftslämnaren. Nyss angivna regler förutsätter med all tydlighet att en allmän handling hos en myndighet måste finnas till myndighetens fulla disposition.
Vid diskussioner som främst är inriktade på integritetsskyddet fokuseras emellertid intresset på vilka myndigheter som har tillgång till statistikens primäruppgifter och hur de får användas. Här aktualise- ras således en diskussion kring förfogande och förfoganderätt.
5 .4.2 Förfogande och förfoganderätt
En granskning av dessa begrepp och deras betydelse är nödvändig eftersom de används med i viss mån varierande innebörd i olika rättsliga sammanhang. Förfoganderätt brukar i normalt språkbruk beteckna "full möjlighet att utnyttja något” och kan härledas i såväl ägande- som nyttjanderätt. Min analys koncentreras till tre för- fattningar, nämligen TF, arkivlagen och datalagen.
Den snabba tekniska utvecklingen och det behov av reglering av ADB-frågor som gjorde sig gällande från mitten av 1960-talet, ledde till lagstiftning åren 1973 -1974 (prop. 1973:33, KU 1973:19 och 197418). Särskilda föreskrifter om ADB-upptagningar och andra tekniska upptagningar infördes i 2 kap. TF. Vidare beslöts en särskild datalag (1973z289). ADB—upptagningarna kom i TF inledningsvis inte att behandlas som sidoordnade med handlingar. Avgörande för frågan huruvida en upptagning var allmän blev som regel om upptagningen förvarades hos en statlig eller kommunal myndighet. Det var därvid utan betydelse om myndigheten själv använde upptagningen eller om
den endast lagrade eller bearbetade upptagningen för annans räkning. Begreppet ”förfoga över upptagning” tillkom i 2 kap. 9 5 i ett annat syfte, nämligen att reglera vem som skulle pröva frågan om utläm— nande av upptagning. Prövningen ankom enligt samma lagrum på den myndighet som förfogade över upptagningen. Förfogandebegreppet definierades inte i lagtexten. Enligt motiven skulle frågan få avgöras med ledning bl.a. av det avtal som kunde ha träffats mellan myndig- heterna och myndigheternas rätt att föra över upptagningen till läsbar resp. avlyssningsbar form (jfr prop. 1973:33 s. 76, 119). En över- föring förutsattes kunna ske via en terminal hos myndigheten. Förfoganderätten kom vidare att i ett särskilt fall bestämma var en upptagning skulle anses som en allmän handling. Enligt 2 kap. 2 & tredje stycket TF i dåvarande lydelse skulle nämligen upptagning anses förvarad hos myndighet (och därmed betraktas som allmän) även i det fall då den inkommit till eller upprättats hos annan än myndighet, under förutsättning att myndigheten förfogade över upptagningen. Också i detta fall var det den myndighet som förfogade över upp- tagningen som skulle pröva dess utlämnande. Föredragande departe— mentschefen ansåg dock, till skillnad mot offentlighets- och sekre- tesslagstiftningskommittén (OSK), att det inte behövdes en särskild regel i TF om vad som skulle avses med förfogande.
Efter ett par år kom TF att genomgå stora förändringar i nu berörda avseenden (se prop. 1975/76:160). Bl.a. tillkom nya bestämmelser i 2 kap. TF i syfte att klargöra rättsläget i offentlighetshänseende för de tekniska upptagningarna. Nu ändrades grundkriteriet för att en ADB- upptagning skulle vara allmän handling. Den fysiska förvaringen blev inte längre avgörande utan istället lades förfogandet (ordet taget i allmän bemärkelse, jfr prop. s. 88) över en upptagning till grund för lagstiftningen. En ADB-handling blev med den nya ordningen och med visst undantag för personregister allmän handling hos en myndighet om denna faktiskt disponerar över möjligheten att Överföra upptagningen i läsbar form och inte enbart fullgör en teknisk be- handling. I förarbetena anges (prop. s. 89) att av särskild vikt blir ett avtal som bestämmer om rätt för viss myndighet utan egen dator- eller terminalutrustning att lagra uppgifter på datamedium och erhålla databehandling hos annan myndighet eller hos enskilt företag. Grundregeln i 2 kap. 3 & TF fick det innehållet att en upptagning skall anses förvarad hos en myndighet (och således allmän handling om den inkommit till eller upprättats hos myndigheten) om upptagningen är tillgänglig för myndigheten för överföring till läsbar form. En särskild undantagsbestämmelse tillkom för handling som myndighet har hand om endast för teknisk bearbetning eller teknisk lagring. Enligt motiven till denna bestämmelse (prop. 1975/76:160 s. 137, s 171) tillkom den
på grund av behov hade uppstått av en reglering som medförde att en ADB-handling inte skulle bli allmän hos en myndighet som fick den omhand enbart för teknisk bearbetning eller teknisk lagring för annans räkning. Detsamma borde gälla i fråga om visuellt läsbara handlingar som en bearbetande eller lagrande myndighet hanterar som led i fullgörandet av sin tekniska uppgift. Enligt departementschefens uppfattning är dessa synpunkter lika giltiga såvitt gäller andra slag av handlingar än ADB-upptagningar som förvaras av myndighet endast som led i ett tekniskt förfarande. Också sådana handlingar bör vara allmänt tillgängliga endast hos den handläggande myndigheten, inte dessutom hos en myndighet som bara har tekniska uppgifter i sammanhanget. Regeln utformades därför så att de kom att avse handlingar av alla slag. Till ledning för vad som skall förstås med teknisk bearbetning och teknisk lagring talar departementschefen om att annan för myndighet utför sådana tekniska procedurer som redigering av myndighetens ljudupptagningar på magnetband, överföringar av sådana upptagningar till grammofonskiva samt framkallning av fotografiskt material. Liknande situationer som vid teknisk bearbetning kan uppkomma vid teknisk lagring för myndighets räkning. Härmed förstås enligt departementschefen sådana former av lagring som kräver särskilda tekniska anordningar, t.ex. lagring av information i skivminne eller på magnetband.
I datalagens 1 & definieras begreppet registeransvarig. Med detta avses enligt bestämmelsen den för vars verksamhet personregister förs, om han förfogar över registret. Av förarbetena till datalagen (prop. 1973:33 s. 76, 119) framgår att begreppet givits samma innebörd som de samtidigt föreslagna bestämmelserna i 2 kap. 2 & tredje stycket och 9 5 första stycket TF. De avsåg primärt att reglera avgränsningen av begreppet allmän handling. Avsikten var att utesluta, dels servicebyrå- er och andra som helt osjälvständigt handhar bearbetningen av ett register, dels sådana som använder sig av registret utan att kunna bestämma om dess innehåll.
De tidigare nämnda ändringarna i TF (SFS 1976:954) innebar bl.a. att förfogandebegreppet togs bort ur förordningen. Författnings- ändringarna och motiven till dessa påverkar dock inte tolkningen av själva begreppet, som kommit att användas i andra sammanhang.
Arkivlagens förfogandebegrepp aktualiseras först i samband med definitionen av myndighetsarkiv (jfr kapitel 3.2.7). Definitionen skilj er sig från bestämmelserna i den tidigare allmänna arkivstadgan genom att den knyter an till tryckfrihetsförordningen. Det är enbart de allmänna handlingarna som bildar myndighetsarkiv i lagens be- märkelse. Lagens bestämmelser utgår från att myndighetsarkiv består enbart av allmänna handlingar. TF:s förfogandebegrepp blir således
avgörande för om en ADB-upptagning faller under arkivlagens bestämmelser.
Jag får mot denna bakgrund konstatera att det centrala förfogande- rättsbegreppet i detta sammanhang beträffande ADB-upptagningar är grundregeln i 2 kap. 3 5 andra stycket TF (en upptagning skall anses förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan uppfattas). Det får i sin tur effekter på frågan om registeransvar enligt datalagen och myndighets arkivansvar enligt arkivlagen.
Iillgäng till uppgifter
Att en handling är allmän hos en myndighet innebär att myndigheten har tillgång till den. Härmed avses att åtminstone en företrädare för myndigheten har rätt att ta del av handlingens innehåll. Tidigare i detta kapitel har gjorts en analys av hur uppgifter hämtas in till den statliga statistiken. Uppgifterna kommer alltså in till SCB och andra statistikframställande myndigheter på olika vägar.
Önskan hos en statistikframställande myndighet att få tillgång till primäruppgifter hos en annan sådan myndighet löses på olika sätt. Den vanliga och enklaste vägen är att uppgifter efter begäran lämnas över direkt till myndigheten. Här ställer dock sekretesslagen upp vissa hinder.
Den nu beslutade ordningen för en delegering av beställaransvaret för statlig statistik medför med nödvändighet vissa förändringar, i all synnerhet om myndigheter vill starta egen produktion av statistik. Den senare möjligheten har förutsatts såväl av utredaren i 1990 års statistikutredning som av fördragande departementschef i propositionen om den statliga statistikens finansiering och samordning. Den lösning som tillämpats i pilotprojektet med Skolverket bygger på en i och för sig lagreglerad uppgiftsskydighetpå skolområdet. Skolverket fastställer emellertid inom ramen för sin författningssamling, dels en närmare specifikation av vilka uppgifter som uppgiftskyldigheten omfattar, dels till vem skyldigheten skall fullgöras (f.n. SCB). Den ordningen ger i grunden en möjlighet för Skolverket att längre fram byta uppdrags- tagare för statistikframställning. Härtill kommer dock att verket för sin longitudinella statistik också måste ges tillgång till vissa uppgifter som samlats in under SCB-tiden. Om sekretessbestämmelser härvidlag skulle ställa hinder i vägen kan regeringen under vissa premisser ge dispens från sekretessbestämmelserna enligt 14 kap. 8 5 sekretess— lagen.
I kapitel 5.4.1 har jag funnit att det är SCB som förfogar över de primäruppgifter som blivit allmän handling och arkivhandling hos centralbyrån. Jag återkommer i mina överväganden i kapitel 8 till hur det bör se ut för de beställaransvariga myndigheternas del.
När det gäller den s.k. övriga statistiken måste jag konstatera att något övergripande samhällsintresse inte aktualiseras i samma om- fattning. En stor del av primäruppgifterna till denna statistik hämtas från administrativa register vid den framställande myndigheten, även om vissa kompletterande uppgifter förefaller att hämtas in från andra myndigheter.
Användning av uppgifter
Här finns först och främst en rad regler av allmän beskaffenhet. Den yttre gränsen för SCB:s och andra statistikproducerande myndigheters möjligheter att använda inhämtade uppgifter ställs upp av sekretess- lagen. De uppgifter som skyddas får inte lämnas ut eller på annat sätt röjas för utomstående. Vidare ställer datalagen upp en rad regler för ADB-behandling av uppgifterna, exempelvis när det gäller samkör- mng.
Jag vill vidare peka på den inskränkning för myndighetens del som måste följa av att vissa uppgifter är inhämtade under informerat samtycke. Reglerna om handlingsoffentlighet medför dock att det är svårt att ställa några klara gränser för användning av dessa uppgifter utanför myndighetssfären.
' . " att fåWt 'mgihuhna' 633131 &#mniugaiiggnhm 3.11. .". " -' 111.111] år" .men Han animnsri 111.111; rivild 111.111 13111
” ' ..tt mailwzwåwbawwgtmsm'mmaal. - '. f .. f "" ' ' MWMmmlwew-n .'. ' r:. WIMMMM BMMWM WWE
7—i".' .» maämmwam MWWQ ..
än” -1.|". ' ":"""| "11.113"! KKP-411365
_ _". =I't1" lil-".” ...' ”15”!ij
”11
4.4—'- ' in;," ap,-mira mämniäahwapma -= ' ;. hitta?-]". ©,", .. .- "5” ... 11. .— .2-1' ' '.! WWWWar—MW 1111 31111 . =1 ' 1"'. ". .fr-&: "1 ". " im thuranwilhiEUL WEW" au 131 tl mia-11 Mmmm MWmmwl 1.1— mm WWW'; "' .. ngninbnåmwtä mangla 515111 513311» | ' ” 'är marknade ordningen 4151—1111 damm .. _ " rä." '.'-"14924 Tmii'ik medför 11 31 ru*-11.111. amg-1.91 ".11s1u1 ?ör'l . 1,, mammanmmwlnmtw mmm.. _ ..::-1..1j'11'vhal.e.11 1111: förulsaus ..: 111 av armar,—ar. . , '|'-y' .%1W54m1nhgmnmvtmimgu 1.1-de;- mamma in: 1. .,Äfw »...de Emir—MME ism-laatu 1:11 sa;". ”. 111111; 1 .. "."I.:,EE|;*.'!I$IJELI1J'*T01_1; ut FRU-1 Ski; mbti bygger på ' "-'"" ...11: ,1111_,'.a11um1giits" .:,dqzhdrråt slam.-mader knölar ' rf.,, .'.".U INN” ramen föl" 51. ' t'. ." 'i'”l.'1ghan'i1"T5',, li,-1513 ':",ÄH' li'flfef' ansv, ' 11158 Jamin—Er mr. anmäl-1.111. dingla-19111 .- _ ,"-"" Jh1;"dlgw-m 511311 fun,.-r'f "1...31131.Dmor.1f ' I'll-,. .1|;|H ., 4. 552.111 tm möjlighet för "1111"..- -1uti:1'1 nu längra fena-1 h_- ' ,-:',1"-,-1__i.""-1 .'1'1'111' MMV? install-1111 _, 111.11111 kommer alpina .- ' ' " ' ,,-',-......Är.ciiu 111.113!” 1111111...1.111g351111.1..1.g1.11.1 ”'. ".."' '-".h-'L "J] läder Sf _ki-1353 'N'". ”I'm'utrurl'åå' er- , . ..1', . 531111 kind.-111 någon 1.3.3 vger-cigarr undar lita 3,7 .'1', "f.. från salzrclmabmlmmtlram miig. 111 11151 11'
1,1
6. Vissa internationella överenskommelser 6.1 Europarådets dataskyddskonvention
Europarådets dataskyddskonvention, en konvention till skydd för enskilda vid automatisk databehandling, antogs år 1980 av Europa- rådets ministerkommitté. Konventionen, som har tillträtts av Sverige, trädde i kraft den 1 oktober 1985 . Att stärka dataskyddet, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter, har varit syftet med konventionen. Den gäller för automatiserade personregister och automatisk data— behandling av personregister i allmän och enskild verksamhet. Vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet kan dock göras av varje konventionsstat. I den centrala delen innehåller konventionen bestämmelser om krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling. Bl.a. skall uppgifterna inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Om inte den nationella lagen ger ett ändamålsenligt skydd, får vissa typer av uppgifter således inte undergå automatisk databehandling. Dessa gäller ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. För att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. skall lämpliga säkerhetsåtgär- der vidtas.
Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs i konventionen, bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade. I fråga om kraven på uppgifternas beskaffenhet och dylikt får vissa undantag göras. För detta krävs, dels att avvikelserna har stöd i nationell lagstiftning, dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet e.d. eller för att skydda den registrerade personen eller andra personers fri— och rättigheter. I fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål får också i vissa fall rätten till insyn och rättelse inskränkas.
6.2. OECD:s rekommendation och riktlinjer om dataskydd
Vissa riktlinjer för integritetsskyddet och persondataflödet över gränserna har utarbetats inom OECD, Organisationen för ekonomiskt samarbete och utveckling. Dessa antogs, tillsammans med en rekommendation till medlemsländernas regeringar att beakta riktlin— jerna i nationell lagstiftning, av OECD:s råd år 1980. Sverige och övriga medlemsländer har godtagit rekommendationen och därmed åtagit sig att följa rekommendationen.
Medlemsländerna skall enligt rekommendationen i sin lagstiftning beakta de principer om personlig integritet och individens grund- läggande rättigheter som anges i riktlinjerna. Härifrån kan nämnas åtta grundläggande principer rörande skyddet för den personliga in- tegriteten.
1. Insamlingen av personuppgifter skall vara begränsad, och uppgifter skall inhämtas på lagligt och korrekt sätt samt - när det är skäligt - med den registrerades kännedom eller samtycke.
2. Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och — i den utsträckning det behövs för dessa ändamål - vara riktiga och fullständiga samt hållas aktuella.
3. De ändamål för vilka personuppgifter samlas in skall vara precise- rade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålet och som preciseras vid varje förändring.
4. Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning.
5. Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande.
6. En öppen hållning skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudändamålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns.
7. Den enskilde skall ha rätt att av den registeransvarige, eller annan, få reda på om denne har personuppgifter om honom, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan alltför stor
kostnad, på rimligt sätt och i begriplig form. Vidare skall den enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade.
8. Den registeransvarige skall ha ansvaret för att de lagstiftnings- åtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs.
6.3. Förslag till EG—direktiv
EG-kommissionen antog i september 1990 förslag till direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Sedan förslaget behandlats i EG:s ministerråd och EG-parlamentet har Kommissionen i oktober 1992 överlämnat ett reviderat förslag till direktiv (COM/92/422 final— SYN287) till Ministerrådet. Enligt tidsplanen skall Rådet fatta beslut i ärendet i slutet av år 1993. En viss förskjutning av tidsplanen har dock inträtt och enligt företrädare för Kommissionen kommer Rådet troligen inte att kunna ta ställning till förslaget förrän sommaren 1994. Direktivets implementeringstid är tre år. Syftet med förslaget är att bland medlemsländerna försöka skapa en gemensam hög nivå på integritetsområdet för att därigenom möjliggöra ett fritt utbyte av information mellan medlemsländerna. Direktivet är tillämpligt på automatisk behandling av personuppgif- ter och sådan manuell behandling av personuppgifter som innebär att uppgifterna är eller blir ordnade i ett register så att sökning av personuppgifter underlättas. I direktivet ges undantag för behandling som faller utanför EG-rätten (t.ex. säkerhetspolisens register) och för rent privat behandling. Medlemsländerna åläggs att sörja för att samtliga regler i 2 kap. art. 5 - 21 förs in i resp. lands lagstiftning. Reglerna i fråga får endast preciseras (och alltså inte ändras). De principer som medlemsländerna skall ta in i sin lagstiftning och som det skall åligga de persondata- ansvariga att följa är enligt artikel 6 att personuppgifter skall 1. behandlas ärligt och lagligt 2. samlas in för bestämda, uttryckliga och lagliga ändamål och användas på ett sätt som är förenligt med dessa ändamål,
3. vara lämpliga, relevanta och inte överflödiga i förhållande till de ändamål för vilka de behandlas,
4. vara riktiga och, om nödvändigt, aktuella. Oriktiga eller ofullstän- diga uppgifter skall utplånas eller rättas,
5. bevaras i sådan form som inte gör det möjligt att identifiera den enskilde under längre tid än som behövs för de ändamål för vilka uppgifterna behandlas. Undantag gäller för personuppgifter som lagras på ett säkert sätt för historiska, statistiska och vetenskapliga ändamål.
I sex fall är behandling av personuppgifter tillåten enligt art. 7, nämligen (1) med den enskildes samtycke, (2) om behandlingen är nödvändig för att fullgöra ett avtal med den enskilde eller för att på hans begäran vidta förberedande åtgärder inför ett avtal, (3) om behandlingen är nödvändig för att uppfylla en författningsenlig skyldighet, (4) om behandlingen behövs för att skydda den enskildes vitala intressen, (5) om behandlingen behövs för att utföra en uppgift i det allmännas intresse eller i myndighetsutövning av den personda— taansvarige eller av tredje man till vilken personuppgifter lämnats ut och (6) om - efter en vägning av ett allmänintresse eller de legitima intressen hos den persondataansvarige eller hos tredje man — det står klart att den enskildes intressen inte tar över.
Punkten 4 avser enligt kommentaren fall då någon har ett stort intresse av att få sina personuppgifter behandlade men inte är i stånd att ge sitt samtycke (t.ex. i allvarliga medicinska fall). Punkten 5 torde närmast avse den allmänna sektorn och punkten 6 den privata.
I art.8 finns en uppräkning av olika personuppgifter som anses vara känsliga. Som känsliga uppgifter räknas uppgift om ras eller etniskt ursprung, politisk uppfattning, religiös tro eller filosofisk eller etisk Övertygelse, facklig tillhörighet, hälsotillstånd och sexualliv. I artikeln ges ett generellt förbud mot behandling av känsliga uppgifter. Det finns dock ett antal undantag från förbudsregeln. Dessa undantag är (1) när den enskilde i fråga om behandling har gett sitt samtycke till behandlingen, (2) behandlingen äger rum inom en filosofisk eller politisk sammanslutning, religiöst samfund eller fackförening som ett led i den legitima verksamheten avseende medlemmar under förut- sättning att uppgifterna inte lämnas ut till tredje man och (3) behand- lingen sker på ett sätt som uppenbarligen utesluter kränkning av privatlivet eller grundläggande friheter. Ytterligare undantag kan ges genom lagstiftning eller genom beslut av datatillsynsmyndigheten.
Enligt art. 10 har en enskild rätt att få information om förekomsten av en behandling, dess ändamål, det slags uppgift det gäller, till vilka utomstående uppgifter lämnas ut samt om den persondataansvariges namn och adress.
När uppgifter samlas in från en enskild skall han bli informerad om behandlingens ändamål, huruvida uppgiftslämnandet är obligatoriskt eller frivilligt, konsekvenserna om han vägrar att lämna uppgifter,
mottagare av uppgifter, rätten till tillgång till och rättelse av person— data och den persondataansvariges namn och adress. Detta gäller dock inte om information till den berörde skulle hindra myndighetsutövning eller hota allmän ordning.
När personuppgifter lämnas ut till utomstående, skall den enskilde senast vid det första utlämnandet bli underrättad härom. Denna informationsskyldighet gäller bl.a. inte när utlämnandet krävs i lag, vari stadgas undantag från informationsskyldigheten. Medlemsstaterna är skyldiga att ge den enskilde rätten att motsätta sig på lagliga grunder att hans personuppgifter behandlas (art. 15). Den enskilde skall vidare ha rätt att inte behöva utsättas för ett belastande admi- nistrativt eller privat beslut som grundas uteslutande på en beskrivning av hans person som erhållits genom ADB (art. 16). Bestämmelsen förbjuder inte att ADB används som beslutsstöd utan torde vara avsedd att motverka automatiska processer där utrymme saknas för mänskligt omdöme.
Det föreskrivs vidare ett omfattande anmälningsförfarande till en datatillsynsmyndighet vad avser helt eller delvis automatisk behandling av personuppgifter. Om behandlingen ger upphov till särskilda risker för den enskildes rättigheter och friheter förutsätts att anmälan granskas i särskild ordning eller att behandlingen har stöd i ett särskilt tillståndsbeslut av datatillsynsmyndigheten eller i lag eller annan författning.
.._ " om...-19.1. ... am.—» —- tion-'It” ammar; Mrs-r emm.-ry....
_'.i;)»|)ii tanig |»le avsätts Bibb Hmm äwgf'iweruamömmm
' ' vnlWÖlumh' i ungtrl'itWairi'diluifateliaöulåö'neöiliilmåtten
. _ __- L»rx_.|.|5|..»|||_. "WWQMMRU—mt _ _ befinna man '.ijdz ohnuäaammu liii Iu mmmii "målgrupp-
_.'| mant] ,'mndzii hallä'mbnu ild |» ' ' .'nmi'.i||| ami'jl rsb
».»-' - .gäil 3.5' uttänkt—mumsa mm:s.» Intag, nastan
'-"_ -n.|r'|a|.||;.;a....||..».|--| niiädgtblähåmolmrmnintnaögmstxi
" "fälg”? || git maar Humanist maism' nav .g ,;g- .'
» ”smältas deaf |E”! MIMW—H ätlig mmmymnn'
'- mmm...... av Mimmis.» farm» iimr. matar»
' . __ mi..» WHd-måqu-emg memttlädhyaitiq .. »» _. _ |||-| . .. | Wemrwlmgvmimm' mha» . ". '."
_ al..»mm mmm»m Emån—n. _ ' » .» wwwwga satunhqummw . __ål " »__' |'|' | .A' t'v hqblj'lb-l-g-Ll'lli1nlicIlli"*ln _ __ :| » mamman.» »mwum' anstalten. __ ' ' ' gm M., mammiamt-swnnmnwwnmsdgibn|... »|_ E'W - ' .nhmuaaemwwi'». gnugmtbnwm stäng , ' 'mumai. mr: Mama»- ww»: ||... Maeglin awful . » -' -'--- . . '.'|_"'"" EMw;-th'nugnilhhhi=ilawiatlhgmvutlr Du '. |"._ .. '.'.- ..”_ satanister gunphailsnmmummmmlmw »isl m|
_ ., _ -.'. |._'»_>|'il'.|' mg .'r '_|.'1 :- :-. www fl | ..'..-.»n1"
] ”'|'-|... """r"i""3"""*- Hrm "-'|'-'"|'»1-"' _ |_ __',__ _. | |»_ ||; ("||| ||i||||_ '*'_' *| . (||| "|" |." |_||' -| 'i5[.' ' "Må::- .._._ |" _|_ L___ ___-..I'Iilg li|iii||' |,':'i CJ. l' ".i-J. [li a.m.. (Jul i... [Lilli] 'J - . _|... , |A- .lhrhllt' r'.|n'. ':-"'-. ||| .||' -'| k|.||"||-|. :.») || | '; ... ...i, " ' . ' ' _ | _.JLL'u undantag ||: ! 1.'|i--|_'.|.'e|..|.'|. lierad _ ' '”'I ann-_.'. _._ ""' | . .'.m'ilir ' 'råga || . I|-.' |. |... __f_ har gett s.ii'. "i. _ '- !" _.-' "' H". I _. _' . |E. hamna.» _'»:.| .'.'..'|.|' |.||| inom er. -ii»r_ |?) '.IIHJ."" ' .. .. ',t'uiutn'ng. ni NH'IH ."Hunfl eller (ackföm ' ""' ..'_.'- '. .. ':'. . ' . .'.” '-"_'|.'.*-. Ahlm-| 1 p.. Jin-»| meniltl' mar ',; |:- _ _____ .." ' __ " |'.__ .| Hawaii! '|'.f;| FIIL' '|.1' .||.|.|_ ' u'. lelll. ä'; -.* man |;.1l"l|'_' '|'—'|' .._'-| _ |'-' ' »».i ».1.' »...t .... » ' nu ...en- -v.»='.||»'r k.
g.-..|||_li:|._ Conti | ||| » '. | ä'ttcifigau'. nu..—;».
'l| mg |:'||_'| ya... ||| -. lut ||. Summum .'»'n'm'" _. . .) hur en VIIH'JIÖ. ..... .. l.. .|.|'|,| |l||||.,>|_. nm . - | Jing. duns ändamål. i..; - ||_ . ugpgiii det 5. .. ' .'.'|'=|1T|':.»r Hmm». '|' »... ...-;. ..»'.1 lic'fhf'nd »- |Cu 335. 11.33 .sJ .*Åd'» ||| ff.” .! .| '.'|.' |'.;|.' hJILtI'. jul'
_.1' .|» å||||.|.nåi_ lmm'.|:". »||.||||*.||»l|||'||||ar|.l.|;| Å,. »_ .._[|. L-mseiwenanm... »»: nur» whom att liim »:
7. Användning av mikrodatavid modellsimuleringar m.m.
7.1. Inledning
Enligt direktiven skall en granskning ske av de rättsliga förutsätt- ningarna för olika urvalsregister med för regeringskansliet, RRV m.fl. gemensam tillgänglighet av data avseende inkomst- och förmögenhets- skatter. Om analysen utvisar att rättsliga åtgärder erfordras bör förslag till sådana lämnas.
En analys skall vidare ske av den användning som Finansdeparte- mentet har av s.k. mikrosimuleringsmodeller. Dessa används för att genomföra ekonomiska konsekvensanalyser, främst beträffande änd- ringar inom skatte- och transfereringssystemen.
Frågorna hänger delvis samman genom att - enkelt uttryckt - det underlag som används till mikrosimuleringsmodellerna utgörs av mikrodata som hämtas från olika statistiska undersökningar vid SCB, i dag främst inkomstfördelningsundersökningarna (HINK). Begreppet mikrodata betecknar här observationer avseende enskilda individer, hushåll och företag i avidentifierad form.
7.2. Externa krav på skattestatistik m.m.
I Finansutskottets betänkande (1988/89zFiU 3) Statistik över inkomster och skatter behandlas vissa förslag från riksdagens revisorer be- träffande statistiken Över inkomst- och förmögenhetsskatterna (förs. 1987/88:11). Revisorerna menar bl.a. att en genomgripande översyn av statistiken på inkomst- och förmögenhetsskatteområdet måste göras och att behovet av sådan statistik bör preciseras. Det gäller främst RSV:s, RRst, SCB:s, KI:s och Finansdepartementets behov. Utskottet har tillstyrkt att en översyn görs av innehållet, pro- duktionen och publiceringen av inkomststatistik och hemställt att riksdagen som sin mening ger regeringen tillkänna vad utskottet anfört. Riksdagen har bifallit utskottets hemställan (rskr. 1988/89z2). Som ett resultat av riksdagens beslut initierades inom finansdeparte- mentet det s.k. SUR-projektet. Projektet avrapporterades i början av år 1991 i departementspromemorian Skatte- och inkomststatistik (Ds 1991:15).
Utöver ovanstående riksdagsinitiativ har riksdagen i olika samman- hang framfört önskemål om ett fylligare beslutsunderlag i olika propositioner. Kvaliteten på de analyser och redovisningar som görs i olika förslag från regeringen har hävdats vara direkt avhängiga tillgängligheten av tillfredsställande statistiska material.
7.3. Ekonomiska konsekvensanalyser med mikrodata i regeringskansliet
Sedan ett antal år har Finansdepartementet tillsammans med andra departement och myndigheter arbetat för att förbättra de ekonomiska analyser och prognoser som göra inom skatte— och transfereringsom- rådet. Arbetet har bl.a. föranletts av ett flertal initiativ från riksdagen med önskemål om bättre underlag i olika propositioner.
Målet för utvecklingsarbetet är att åstadkomma analyser och prognoser som mer allsidigt belyser följderna av olika regler, att öka effektiviteten och snabbheten i analyserna och att höja kvaliteten i kalkylerna.
De innebär bl.a. att omfattande och komplexa s.k. mikrosimule— ringsmodeller utvecklats efter förebilder i ett antal andra länder. I modellerna efterbildas skatte-, avgifts-, socialförsäkrings- eller bidragsreglerna med utnyttjande av uppgifterna i dessa modellbe- folkningar. Modellerna gör det möjligt att snabbt beräkna det ekonomiska utfallet av gällande regler respektive simulera alternativa regler och således detaljerat beskriva utgiftsförändringar, fördelnings- effekter osv. Även för mikrosimuleringsmodellerna utgör resultaten endast statistiska tabeller m.m.
För beräkning och simulering av skattereglerna för fysiska personer, inkl. prognoser för statens inkomster och transfereringsutgifter, utvecklas för närvarande gemensamt mellan Finansdepartementet, SCB, RRV och RFV en ”Prognosdatabas” med uppgifter om ca 300 000 individer från olika skatte— och transfereringsregister. Databasen med avidentifierade registerdata skall ersätta RRV:s taxeringsstatistik och ge underlag för RRV:s inkomstberäkningar. Databasen är avsedd att användas för ekonomiska konsekvensanalyser av olika regler m.m. Den ger genom sin storlek möjlighet till säkra statistiska analyser för små delgrupper, ovanliga skatteslag och kommunala beräkningar. Beräkningsunderlagen förbättras avsevärt för pensionärer och företagare.
För analyser av nettobudget-, fördelnings- och incitamentseffekter har Finansdepartementet och SCB gemensamt utvecklat en mikrosimu—
leringsmodell som omfattar huvuddelen av alla skatter, socialförsäk- ringar och bidrag som berör hushållen. Den baseras på modellbe- folkningar som framställs från avidentifierade mikrodata i SCB:s urvalsundersökning om hushållens inkomster GJINK). Den nyssnämn- da undersökningen omfattar ca 10 000 hushåll och innehåller dels registeruppgifter från skattemyndigheter, RFV, kommuner och Centrala studiestödsnämnden, dels uppgifter från en enkät om hushållens sammansättning, förvärvsarbete, hyra m.m. Modellen kom till betydande användning första gången i samband med skattereformen åren 1989 - 1991.
I syfte att förbättra analyserna av företagens skatter och avgifter genomförs ett projekt gemensamt mellan Finansdepartementet. RRV, RSV och SCB. Med hjälp av standardiserade räkenskapsutdrag, SRU, planeras en ”Företagsdatabas” om ca 10 000 - 20 000 juridiska personer med avidentifierade uppgifter från RSV och SCB. Med ett mikrosimuleringssystem uppnås betydligt bättre kalkyler och prog- noser av gällande eller alternativa regler.
Möjligheten att med mycket kort varsel genomföra statistiska bearbetningar på representativa modellbefolkningar har ökat tillgången till beslutsunderlag inom regeringskansliet. Mikrosimuleringsmodeller- na medger en snabbhet, noggrannhet och systemtäckning vid skatte— och socialförsäkringsanalyser, som inte kan uppnås på andra sätt. En betydande del av de ekonomiska analyser som använts som be- slutsunderlag under senare år beträffande skatter, pensioner, bostads- stöd, sjukförsäkring, familjepolitik osv. kommer från dessa modellbe- folkningar och regelsimuleringar.
Utvecklingsarbetet med att förbättra användbarheten i de ekonomis- ka underlagen fortgår bl.a. med introduktion av känslighetsanalyser, projektioner och användning av olika ekonomiska scenarier.
Regeringskansliets användning av mikrodata kan jämföras med användningen inom SCB eller annan statistikmyndighet. Med hjälp av statistiska och ekonomiska metoder utformas olika tabeller som beskriver medelvärden, spridning och statistisk säkerhet med olika indelningsgrunder.
En viktig skillnad är att statistikmyndigheter i allmänhet bearbetar data endast några gånger, medan framställning av modellbefolkningar och regelsimuleringar innebär en fortlöpande användning av den information som insamlats för statistiska ändamål. En ytterligare skillnad är att SCB och andra myndigheter endast modifierar mikroda— ta marginellt för att t.ex. korrigera fel och bortfall, medan avidentifie- rade mikrodata i regeringskansliets modellbefolkningar och regelsimu- leringar experimentellt tilldelas nya värden ofta på flertalet ingående variabler.
I takt med att de offentliga finanserna sätts under press och behoven ökar att förändra skatter, socialförsäkringar och andra inkomst- överföringar, kommer efterfrågan på underlag och analyser av olika politiska handlingsalternativ att öka. Utvecklingsarbetet har medfört att kvantitativa analyser och ekonomiska simuleringsmodeller fått ökade användningsområden och givits större betydelse i regerings— kansliets beredningsarbete.
Det är därför angeläget att öka kvaliteten i de kvantitativa och statistiska analyserna genom en lösning där tjänstemän i regerings- kansliet vid behov får ökad tillgång till de avidentifierade mikrodata som ingår i de konstgjorda modellbefolkningarna. På motsvarande sätt bör övriga intressenter i de ovan nämnda databaserna ges tillgång till avidentifierade mikrodata.
Jag återkommer i kapitel 8 till mitt förslag till lösning för att tillgodose de redovisade behoven.
8. Överväganden och förslag 8.1 Integritetsskyddet för uppgifter vid framställning av statistik
8.1.1 Allmänna utgångspunkter
Den statliga statistiken utgör en väsentlig del av det informationsflöde som bildar underlag för medborgarnas, företagens, organisationernas och samhällsorganens bedömningar av samhällsutvecklingen inom olika områden. Statistiken har också en stor betydelse internationellt. Denna betydelse kommer inte minst mot bakgrund av EG att med all sannolikhet öka kraftigt under 1990-talet.
Det är därför av stor vikt att regelverket kring statistiken får en klar och ändamålsenlig utformning och att vissa rättsliga aspekter kring framställningen klargörs. Ett viktigt steg i den riktningen var tillskapandet av lagen (1992:889) om den officiella statistiken. Det fordras klara regler för verksamheten som inger förtroende, inte minst för dem som lämnar uppgifter till statistiken. Skyddet kring de enskilda uppgifterna spelar här en mycket väsentlig roll. Förtroende för verksamheten kring framställning av statistik är viktigt för viljan att medverka i undersökningar och inte minst för att fullständiga och korrekta uppgifter lämnas. Det sistnämnda blir avgörande för statistikens kvalitet och därmed — i förlängningen - verksamhetens existens.
I kapitlet 3.2 ovan har jag granskat uppgiftsskyddet vid SCB. I kapitel 4 presenteras huvudprinciperna i den ändrade ansvarsför- delningen för den statliga statistiken. Kapitlet avslutas med en analys av vilka risker - med avseende på integritetsskyddet för primärupp- gifter - som på olika sätt kan aktualiseras om särskilt utsedda myndigheter blir huvudansvariga för statistiken. Jag har från in- tegritetsskyddssynpunkt inte funnit något principiellt hinder mot att genomföra en ändrad ansvarsfördelning för officiell statistik i enlighet med nyss angivna principbeslut. Jag har emellertid dragit vissa slutsatser beträffande mer generella åtgärder som behövs för att - allmäntsett och på sikt - förbättra integritetsskyddet för primärupp— gifter. Detta kan lösas med författningsreglering inom ramen för den
statistikregisterlag som jag föreslår och i detalj kommer att presentera i mitt slutbetänkande.
Jag vill emellertid inledningsvis särskilt betona ett förhållande som är av väsentlig vikt för integritetsskyddet men som också direkt anknyter till förfoganderätten. Det gäller registeransvaret beträffande statistikregistren. För att klara ut frågeställningarna kring registeran- svaret krävs först och främst en analys av de blivande beställaransvari- ga myndigheternas "ansvar".
I 1990 års statistikutredningsbetänkande Effektivare statistikstyrning (SOU 1992:48) anges i kapitel 6 (Styrningen av den statliga statistik- produktionen) bl.a. följande (5. 87). Utredningens förslag om en långtgående delegering och decentralisering av ansvaret för all statlig statistik innebär att för varje Statistikområde eller statistikprodukt skall en förvaltningsmyndighet eller ett departement utses att ha huvud- ansvaret för statistiken. Det utsedda organet skall ges ett beställaran- svar för statistik som den inte själv producerar, en uppgift jämställd med andra uppgifter som åligger en myndighet enligt dess instruktion eller motsvarande föreskrifter. Riskerna för att basstatistikbehovet inte tillgodoses får bemästras (s. 91) genom att beställarmyndigheternas ansvar för statistik anges bland uppgifterna i deras instruktioner samt att det i regleringsbrevet för dem vid behov också föreskrivs vilka basstatistikprodukter myndigheten skall ha ansvar för. Vid beslut om statistikproduktionens förläggning (s. 92) bör gällande regler för statlig upphandling (förordning 19862366, RRV:s föreskrifter och allmänna råd) samt övriga nämnda faktorer beaktas. Om delegeringen av statistikansvaret leder till att statistikproduktion skall flyttas till myndigheter utanför SCB (s. 95) måste möjlighet öppnas för sådana myndigheter att själva ta in uppgifter eller ta del av primäruppgifter hos SCB, så att dubbelinsamling av uppgifter skall undvikas. I det pågående omläggningsarbetet avseende lärar- och skolstatistiken (s. 101) har SCB uppfattat sin roll som en konsult som erbjuder sina tjänster till Skolverket. Det är ett flertal frågor som bör klarläggas (s. 103) inför en omläggning till ökad andel uppdragsfinansierad statistik. Bland de frågor som behöver diskuteras vidare är bl.a. sekretess, registeransvar, ansvar för kvalitet, ägaransvar, tillgänglighet för andra användare, publicering, förfrågningar och internationell rapportering.
Utredningen tar i kapitel 8 (Utredningens förslag) inte ställning (s. 127) till statistikproduktionens organisation men konstaterar att incitamenten till och möjligheterna att producera statlig statistik utanför SCB ökar.
I regeringens prop. 1992/93:101 om den statliga statistikens finansiering och samordning framläggs principer för att klargöra ansvarsfördelningen mellan SCB och andra myndigheter. Ansvaret för
officiell statistik för avgränsade sektorområden eller med en huvud- användare fördelas enligt dessa principer så långt som möjligt till sektorsmyndigheterna. Detta bygger direkt på det förslag som 1990 års statistikutredning presenterar i ovan angivna betänkande. Departe- mentschefen tar i propositionen inte direkt ställning till hur statistik— produktionen skall organiseras utan detta anges vara en fråga för de som är ansvariga för statistiken. Användarna skall härigenom ges möjlighet att påverka den statistik de själva behöver i sin verksamhet samtidigt som de måste ta ett större ansvar för kostnaderna och väga dessa mot kostnader för andra åtgärder. Kostnaderna kommer därmed att föras till den verksamhet som orsakar dem. Detta förutsätts resultera i att kostnader för statistik i framtiden i högre grad planeras och beräknas i anslutning till den verksamhet statistiken skall utnyttjas för.
Departementschefen tar i likhet med utredaren inte ställning till om de delar av SCB:s statistik som föreslås bli avgiftsfinansierade skall produceras av SCB eller annan statistikproducent. Detta blir en uppgift för ansvariga myndigheter. Hänsyn måste dock tas till de rättsliga förutsättningarna och konsekvenserna av en ny ansvarsfördelning, som föreslås bli utredda i särskild ordning.
Riksdagen har bifallit utskottets hemställan (bet. FiU: 1992/9317) att godkänna de principer för ansvarsfördelning och finansiering mellan SCB och övriga myndigheter som förordas i avsnitt 2.2.2 1 prop. 1992/93:101 (rskr. 1992/93:122).
Det ligger i sakens natur att ett beställaransvar för statistik med skyldighet att samordna användarbehov inom sektorn är ett myndig— hetsansvar av sådan beskaffenhet att det måste regleras i myndighetens instruktion eller på motsvarande sätt. Av detta följer att myndigheten skall fullgöra sitt uppdrag på bästa tänkbara sätt och till lägsta möjliga kostnad. Allmänna regler för myndigheters upphandling bör gälla. Jag har dock noterat att någon reglering i enlighet med det föregående inte gjorts beträffande Skolverket.
Den beställaransvariga myndigheten har inledningsvis, dels att analysera innehållet i och omfattningen av sitt uppdrag, dels att ta ställning till vad som krävs för att åliggandet skall kunna fullgöras. Det naturliga är sedan att myndigheten - såvitt inte någon annan myndighet särskilt anvisas som samarbetsorgan — antingen utnyttjar en befintlig kompetens inom sin verksamhet för att fullgöra uppdraget eller bygger upp en sådan. Detta i all synnerhet om det handlar om ett uppdrag av viss varaktighet. Det kan emellertid också ställa sig lämpligt att inhandla tjänster utifrån. Hela tiden gäller dock att åtgärderna utförs under myndighetens fulla ansvar. En myndighet kan inte på något sätt avtala bort beställaransvaret.
Att ett sådant ansvar för statistik kan åläggas en myndighet bygger dock på vissa förutsättningar. En väsentlig sådan är myndighetens tillgång till de primäruppgifter som utgör underlaget för statistiken. Flera starka skäl talar för att myndigheten måste ha full kontroll över dessa primäruppgifter även då myndigheten anlitar annan för det praktiska arbetet med statistiken. Jag menar då att beställarmyndig- heten bör förfoga över uppgifterna i den mening som framgår av kapitel 5.4.2 ovan.
Det är först och främst den beställaransvariga myndigheten som, efter samråd med andra användarmyndigheter etc., fattar beslut om statistikens omfattning och inriktning. Redan häri ligger att det krävs primäruppgifter av viss omfattning. Vidare skall beställarmyndigheten väga kostnader för statistik mot andra kostnader i verksamheten. En upphandling måste därför kunna ske till bästa villkor. Detta låter sig knappast göras om myndigheten till exempel skall behöva förhandla om tillgång till behövliga primäruppgifter.
Jag har tidigare behandlat frågor kring insamling av uppgifter och därvid redogjort för att primäruppgifterna samlas in på olika sätt. De finns i dag av naturliga skäl i mycket stor utsträckning hos SCB.
De problem som sammanhänger med förfogandet aktualiseras i olika sammanhang. Somliga myndigheter saknar egen statistikkompetens och kan inledningsvis finna det lämpligast att fullgöra sin skyldighet genom att lägga ut statistikframställningen som ett uppdrag till SCB. Andra myndigheter, som kanske i dag förser SCB med primärupp- gifter, kan finna det mer förenligt med sina intressen att anlita en annan producent eller att helt framställa statistiken i egen regi. Det senare torde, åtminstone inledningsvis, ligga närmast till hands för myndigheter som redan nu har statistikproduktion och statistikkompe— tens. Som uppdragstagare torde inte bara SCB m.fl. myndigheter med statistikkompetens komma i fråga utan även aktörer i det privata näringslivet. För övrigt anlitar också SCB "underleverantörer" i sin verksamhet. En beställaransvarig myndighet måste dock alltid vara fri att förhandla sig till bättre produkter och villkor hos andra underleve— rantörer. Det är en helt annan sak att somliga myndigheter av olika orsaker aldrig kommer att finna skäl att söka leverantörer av statistik utanför SCB. Dessa orsaker får dock aldrig bestå i att myndigheten i avtal med SCB eller annan har bundit upp sig beträffande tillgång till primäruppgifter eller rätt till programvara så att alla andra alternativ av den orsaken ställer sig sämre.
Det kan härvid noteras att statliga myndigheters avtal i vad avser befogenheter och avtalstvister m.m. är förmål för översyn av en särskild utredare (dir. 1993z60).
Att beställaransvar för officiell statistik kan resultera i en rik variation beträffande bearbetning och framställning, kan åskådliggöras med följande exempel som är hämtade från dagens statistikproduktion.
Skolverket ansvarar för lärar- och skolstatistiken. Verket utför tillsammans med Statens institut för handikappfrågor analys, presenta- tion och återföring av information till kommunerna medan SCB samlar in och bearbetar material, bygger upp register och producerar statistiska tabeller.
Arbetarskyddsstyrelsen ansvarar för arbetsskadestatistiken. Primä— ruppgifterna som används hämtas från ISA-systemet som till över- vägande del är ett administrativt register. I stora drag utförs planering och uppgiftsbearbetning vid styrelsen, medan SCB anlitas för tekniska delar av framställningen och för publicering av statistiken.
Skogsstyrelsen är ansvarig för statistik över avverkning och skogsvårdsåtgärder och publicerar statistik över skogsnäringen i Skogsstatistisk årsbok som ingår i Sveriges officiella statistik (SOS). Skogsstyrelsen har en mångsidig statistikverksamhet och egen statistikkompetens men har också ett nära samarbete med SCB, främst när det gäller åtgärdsstatistik och sysselsättningsstatistik.
Gemensamt för dessa myndigheter är dock att de, trots olika fram- ställningssätt, gör den grundläggande analysen över vilka produkter som skall tas fram. När det gäller beställarmyndigheter som inte väljer att framställa statistik i egen regi vill jag, oavsett det externa upp- dragets art och omfång, peka på följande.
Den ansvariga myndigheten måste förvissa sig om att uppdragstaga- ren — SCB eller annan - fullgör myndighetens uppgift på ett sådant sätt som det skulle ha ålegat myndigheten att göra det. Detta innebär t.ex. att primäruppgifterna skall samlas in på rätt sätt, att enskilda personers identitet inte röjs och att förpliktelser enligt datalagens bestämmelser fullgörs. Vidare följer av ansvaret att statistiken skall produceras i den ansvariga myndighetens namn och inte i uppdragstagarens.
Enligt min mening bör vidare en myndighet med statistikansvar i form av beställaransvar självfallet ha registeransvar enligt datalagen (1973z289). Enligt 1 & nyssnämnda lag är den registeransvarig för vars verksamhet personregister förs, om han förfogar över registret. Handlingar bör även räknas som allmänna handlingar hos beställar- myndigheten och blir då också arkivhandlingar där enligt arkivlagen. Den oklarhet som förefaller ha rått på området kan kanske delvis tillskrivas det faktum att de beställaransvariga myndigheternas ansvarsroll inte utvärderats tillräckligt. Härtill kommer att det uteslutande varit SCB med sin särskilda myndighetskonstruktion som har agerat på området. Jag har för min del redan angivit hur jag ser på beställarmyndigheternas roll och kan därför inte annat än dra
konsekvenser utfrån mitt tidigare resonemang. Det måste särskilt betonas att Datainspektionen har en klar praxis beträffande registeran- svar och Riksarkivet en motsvarande praxis beträffande arkivansvar. Inspektionen har således endast i särskilda undantagsfall accepterat att någon annan än den för vars verksamhet ett register egentligen förts varit registeransvarig. Det torde också från den rättssökande allmän- hetens synpunkt vara av stort värde med ett enhetligt och klart synsätt beträffande register- och arkivansvaret för statistikregister, inte minst med tanke på den mängd uppgifter som finns i dessa register.
Huruvida ett delegerat statistikansvar med mitt nyss angivna synsätt kommer att leda till ökad arkivmängd och vilka kostnadsmässiga konsekvenser detta rent allmänt kan komma att föranleda, avser jag att återkomma till i mitt slutbetänkande.
8.1.2 Olika modeller för att långsiktigt säkerställa skyddet för uppgifter
Det bör inledningsvis klarläggas vilka olika tänkbara möjligheter som står till buds för att på lång sikt säkerställa skyddet för uppgifter till den statliga statistiken. Jag avser nu främst den officiella statistiken. Enligt min uppfattning står en lösning att finna främst utifrån två skilda modeller. I direktiven för mitt utredningsarbete talas om möjligheterna att överföra de regler och rutiner m.m. som SCB tillämpar på de myndigheter som kommer att förfoga över primärupp- gifter och statistik på samma sätt som SCB.
En lösning kan då vara att utarbeta någon form av instruktion i promemorieform eller "mall" för hur de beställaransvariga myndig- heterna bör hantera sitt ansvar med särskild inriktning på de fall där myndigheten väljer att producera statistiken i egen regi. Inledningsvis bör framställningen av statistik avhandlas och vilka överväganden en myndighet bör göra i detta avseende. Här står ju, som tidigare nämnts, valet mellan att lämna ett uppdrag till SCB eller annan myndighet eller enskild eller att ombesörja framställningen själv. Det sistnämnda alternativet torde, åtminstone övergångsvis vara svårt att genomföra för de flesta av de aktuella myndigheterna. En förebild för vad som bör regleras i ett avtal om uppdrag beträffande framställning av statistik bör därför ingå, särskilt mot bakgrund av vad jag ovan anfört. De myndigheter som planerar att framställa statistiken i egen regi bör uppmärksammas på vad som krävs i sekretesshänseende beträffande organisationen av den verksamhet som avser framställning av statistik. Vidare bör anvisningar ges för hur säkerhetsskyddsföre— skrifter med vidhängande tillämpningsföreskrifter kan tas fram efter
en utvärdering av riskbilden i varje enskilt fall. Det kommer sannolikt att i många fall krävas en revision av myndigheternas nuvarande föreskrifter och rutiner.
Här skulle även myndigheter som med stöd av egna beslut fram— ställer s.k. övrig statistik kunna hämta ledning för uppgiftsskyddet.
En lösning enligt denna "mallmodell" får emellertid karaktären av ett "lapptäcke" och det kan ställa sig svårt att nå klara strukturer i ett sådant arbete.
Jag vill bl.a. med hänsyn härtill inte förspråka en temporär lösning av integritetsskyddet enligt denna "mallmodell".
I direktiven för mitt utredningsarbete ingår även att se över SCB:s samlade registerbestånd och pröva möjligheten till en reglering i form av en registerlag.
Det är enligt min mening av väsentlig vikt att en sådan reglering kommer till stånd. Jag anser det dock inte lämpligt - särskilt mot bakgrund av det delegerade statistikansvaret - med en legal åtskillnad mellan statistikregister inom och utanför SCB. Direktiven ger vad avser de rättsliga frågorna utrymme att lämna förslag till generella åtgärder. Jag vill därför med styrka hävda att man istället bör eftersträva en allmän och enhetlig reglering av villkoren för myndig- heternas statistikregister överhuvudtaget. Man bör med andra ord överväga en registerlag som klart anger ramarna för insamling av uppgifter och användning av sådana för framställning av statistik i offentlig regi.
En enkel utväg hade kunnat vara att komplettera lagen om den officiella statistiken med bestämmelser beträffande statistikregister. En sådan lösning anser jag inte framkomlig. Som jag framhållit på flera ställen i mitt betänkande uppkommer integritetsskyddsproblematiken vid statlig statistikframställning inte bara vid framställning av officiell statistik, utan motsvarande problem uppstår i viss omfattning även vid framställning av s.k. övrig statistik, dock sällan vid driftsstatistik. Att knyta allmänna bestämmelser beträffande statistikregister till lagen om den officiella statistiken är därför omöjligt ur flera aspekter. Det är ofrånkomligt att lagen också kommer att bli tillämplig beträffande vissa register som i dagligt tal benämns forskningsregister. Den skulle i och för sig kunna infogas som en ny del i datalagen men dess utformning är beroende dels av remissutfallet beträffande Datalagsut- redningens förslag, dels av en framtida EG-anpassning.
Datalagsutredningens slutbetänkande har under remissbehandlingen blivit föremål för i vissa delar mycket skarp kritik. Enligt min mening är det bl.a. därför svårt att bedöma hur den slutliga lösningen av ansvarighetsfrågorna kommer att gestalta sig. En ny datalag kan under alla omständigheter inte träda i kraft förrän tidigast den 1 januari 1995
och så länge kan inte en lösning avvakta på de frågor jag fått i uppdrag att finna svaret på.
Mot denna bakgrund menar jag att grundläggande regler för statistikregister bör sammanställas i en särskild författning. Jag väljer emellertid att inte presentera något författningsförslag i mitt delbetänkande. Skälen härtill är flera. Med den begränsade tid som stått till mitt förfogande har jag inte hunnit med någon närmare analys av gallringsfrågan. En väsentlig del av författningsförslaget hade därför ändock måst anstå tills slutbetänkandet. Vidare bör samråd hållas med Socialtjänstkommittén (S 1991:07). Detta mot bakgrund av de tilläggsdirektiv kommittén erhållit och som innebär att kommittén skall lägga fram förslag om författningsreglering av personregister inom socialtjänstens verksamhetsområde.
8.1.3 Registerlag och författningsteknisk lösning
Under senare tid har visats en klar benägenhet att komplettera eller ersätta integritetsskyddet i datalagen med särskilda registerlagar för vissa slag av personregister. Lagstiftningsprocessen har ansetts ge en särskild garanti för integritetsskyddet vad beträffar register med särskilt känsliga uppgifter. Sedan mer än ett decennium har datalagen därför på olika områden kompletterats med särskilda registerlagar och förordningar för vissa register. Således gäller för skattemyndigheternas centrala och regionala skatteregister sedan 1980 skatteregisterlagen (1980:343) och skatteregisterförordningen ( l980:556). För skattemyn- digheternas folkbokföringsregister finns lagen om folkbokföringsregis- ter (1990: 1536) och förordningen om folkbokföringsregister (1991:7- 50). Det finns härutöver ett 25-tal ytterligare registerförfattningar. Slutligen föreslår utredningen om socialförsäkringsregisterlag i sitt slutbetänkande Socialförsäkringsregister (SOU 1993:11) att all registrering på ADB—medium av känsliga personregister som behövs för handläggning av ärenden om socialförsäkringsförmåner m.m. bör regleras i en lag om socialförsäkringsregister. Den lagen syftar bl.a. till att ange de från integritetssynpunkt viktiga gränserna för person- registrering. Slutligen har Kommittén (S 199l:07) för översyn av socialtjänstlagen m.m. (Socialtjänstkommittén) fått som ytterligare uppdrag att utreda och lägga fram förslag om författningsreglering av personregister inom socialtjänstens verksamhetsområde (dir. 1993:72).
Registerlagstiftningen reglerar i olika omfattning bl.a. följande (jfr Kring och Wahlqvist, Datalagen med kommentarer, Stockholm 1989, s. 26):
- registreringsteknik — registerändamål
- registeransvar (registerförare) - vilka personer som skall eller får ingå i registret — inhämtande av uppgifter - vilka personuppgifter som får göras tillgängliga - utlämnande av uppgifter - underrättelse till berörda personer - bevarande och gallring av uppgifter - överlåtelse/upplåtelse av register samt — rapportering av felaktigheter
Omfattningen av specialregleringen av olika register varierar stort. Det är inte heller alltid som specialreglerna beträffande personregistrering- en har tillkommit enbart för att tillgodose integritetsskyddsintresset. I vissa fall bör författningen mera ses som ett led i en administrativ reglering från statsmakterna sida av en viss myndighets arbetsuppgifter och utbyte av information med andra myndigheter.
Datalagen gäller även för statsmaktsregister. En myndighet måste således ha licens för att föra ett sådant personregister och DI har tillsyn över registret. Härtill kommer övriga skyldigheter för registe- ransvarig som anges i datalagen.
Den lag om statistikregister som jag vill föreslå kan inte konstrueras på samma sätt som andra förekommande registerlagar för statsmakts- register. Detta beror främst på att statistikregistrens innehåll och användningsområden kan förutsättas vara så varierande att registerän- damålet inte kan fastställas i lag på ett sätt som motsvarar bestämmel- serna i datalagen. En statistikregisterlag får en mer generell karaktär än de övriga registerlagarna. Det kan därför inte komma i fråga att undanta statistikregistren från gällande anmälnings- och tillståndplikt enligt datalagen.
Vad som emellertid bör behandlas i en registerlag är, förutom regler beträffande ändamålet, registeransvaret för statistikregister samt principerna för gallring av uppgifter. Härtill kommer en reglering av förutsättningar för inhämtande av uppgifter till registret, liksom en reglering av uppgiftsflödet mellan myndigheter. Beträffande användningen av myndighetsbegreppet vill jag först hänvisa till vad jag sagt ovan i kapitel 2.4.1.
En registerlag måste utgå från någon form av grundläggande registerbegrepp för att de register som är aktuella för reglering skall kunna ringas in. Det är härvid givet att knyta an till datalagens personregisterbegrepp.
De personregister som skall falla under lagens tillämpning benämns statistikregister. Benämningen förekommer redan, och då som benämning på register som innehåller data som myndigheter fortlöpan- de samlar in för statistiska ändamål (jfr kapitel 2.5.1).
Vilken statistik en registerlag bör omfatta
Det är av vikt att redan nu framhålla att statistikregisterbegreppet avser att omfatta sådana register som särskilt inrättas för att användas vid framställning av statistik. Utanför begreppet skall således falla olika typer av administrativa register som finns vid alla myndigheter iform av diarium, ärende— och bevakningsregister och liknande. Från administrativa register hämtas dock en stor del av primäruppgifterna till den statliga statistikframställningen. Det är för övrigt inte otänkbart att vissa av dessa register redan i dag kan ha viss statistikframställning inom ramen för sitt huvudändamål. Avsikten är dock som sagt att nyssnämnda registertyper skall falla utanför begreppet statistikregister. Den föreslagna lagen kommer naturligtvis att få sitt främsta till- lämpningsområde beträffande uppgifter till den officiella statistiken. Problem med integritetsskydd kommer dock, som jag redan påpekat, att med stor grad av sannolikhet aktualiseras även vid framställning av s.k. övrig statistik, vari ingår bl.a. driftsstatistik. Den senare arten av statistik kommer för övrigt att i de allra flesta fall direkt uteslutas från lagens tillämpning eftersom den endast i begränsad omfattning är baserad på personuppgifter.
Sekretessfrdgor
Statistiksekretessen regleras i 9 kap 4 & sekretesslagen och förutsätter att myndigheten har en "särskild verksamhet" för framställning av statistik. Jag har i kapitel 3.2.1 gett min syn på hur myndigheters statistikverksamhet i stora drag bör vara organiserad för att kunna svara upp mot de förutsättningar som gäller.
En statistikregisterlag bör reglera vissa grundprinciper vid myndig- heters hantering av primäruppgifter till statistik. Statistiksekretessen ingår, som jag tidigare hävdat, som en väsentlig del av skyddet för uppgifterna. En förutsättning för sekretesskyddet är dock att myndig- heten har sin verksamhet organiserad så att förutsättningarna för Statistiksekretess verkligen är uppfyllda. I annat fall är risken uppenbar att uppgifterna i många fall får ett betydligt sämre sekretesskydd.
Detta är främst en organisationsfråga som torde kunna genomföras utan större svårigheter eller kostnader för de enskilda myndigheterna. En bestämmelse härom bör tas in i regleringen, lämpligen i en till lagen anslutande förordning.
Registerändamdl
Registerändamålet tillhör de centrala bestämmelserna i en registerlag. Genom registerändamålet anges ramen för registrets innehåll och användning. Ändamålet har betydelse för tillämpningen av de centrala bestämmelserna i datalagen. Registret får nämligen endast användas i överensstämmelse med sitt ändamål. Även om man ger utförliga föreskrifter om vad registret får innehålla, har ändamålsbestämningen betydelse för vilka uppgifter som får tillföras registret och vilka möjligheter som finns att bearbeta registerinnehål- let.
Den yttre ramen för ett statistikregister i föreslagen form är fram- ställning av statistik. Framställning av sådan statistik som avses i lagen om den officiella statistiken kommer i centrum eftersom detta är för hela samhället betydelsefulla statistikprodukter där det är särskilt väsentligt, å ena sidan att uppgiftsunderlaget säkras och å andra sidan att förtroendet gentemot de enskilda uppgiftslämnarna hålls högt.
Registerinnehåll
Bestämmelser om innehållet i ett statistikregister kommer i realiteten att bli begränsningar för vilka uppgifter som samhället skall få använda för den statliga statistiken. Det är här en reglering kan ske av vilken uppgiftsinsamling som skall accepteras. I mitt förslag kommer jag att utgå från tre huvudprinciper beträffande uppgiftsinsamling som inte är författningsreglerad.
Huvudregeln för uppgiftsinsamling bör vara ett informerat samtycke där den enskilde lämnar uppgifter att användas till ett på förhand angivet bestämt ändamål. Samtidigt som uppgiftsinhämtningen sker lämnas också vissa kompletterande upplysningar om registrets planerade livslängd, sekretesskyddet m.m. Att kräva informerat samtycke för alla primäruppgifter till statlig statistik är dock en orimlighet, i vart fall under överskådlig tid framöver. Det krävs därför vissa undantag från denna huvudregel. Min andra huvudprincip är att myndigheter som förfogar över administrativa register måste få utnyttja uppgifter i dessa. Det senare med undantag för sådana
känsliga uppgifter som framgår av 4 & datalagen. För det tredje måste en viss uppgiftsinhämtning få ske från andra myndigheters register på det sätt som sker i dag. Detta uppgiftsflöde, som i dag endast be- gränsas av sekretesslagen och datalagen, bör dock bli föremål för någon form av reglering, lämpligen i en till registerlagen knuten förordning.
Registeransvar
Med registeransvar följer enligt datalagen en rad skyldigheter. Den ansvarige skall främst iaktta att hanteringen av registret inte leder till otillbörligt integritetsintrång.
Datalagsutredningen har föreslagit att ansvaret för behandling av personuppgifter skall ligga på den som bestämmer ändamålet med behandlingen samt vilka personuppgifter som får behandlas och hur de skall behandlas. Som jag tidigare angivit kan den ny datalag dock inte träda i kraft förrän tidigast den 1 januari 1995.
En registerförfattning som den jag förespråkar behöver inte omfatta regler om registeransvar om datalagens regler är tillräckliga. I en registerförfattning kan man emellertid fånga upp andra riktlinjer än de som kommer till uttryck i datalagen. Jag återkommer härvid till den diskussion jag fört ovan i kapitel 8.1.1 och som gäller var register- ansvar m.m. bör ligga för att den beställaransvariga myndigheten skall kunna leva upp till sitt ansvar gentemot statsmakterna. Det är ju inom ramen för den myndighetens verksamhet som registret förs. Registeransvar enligt dagens datalag måste därför enligt min mening undantagslöst ligga hos den beställaransvariga myndigheten.
Utlämnande av uppgifter
Som redan angivits tidigare i betänkandet, föreslog Statistikregelutred- ningen i sitt betänkande Förenklad statistikreglering (SOU 1990:43 s. 30 - 32) en författningsreglering av myndigheternas skyldigheter att lämna över uppgifter från sina tillsynsregister och register för andra administrativa ändamål till andra myndigheter. En sådan reglering skulle avse såväl offentliga som sekretessbelagda uppgifter. Reglering- en, som förslogs bli intagen i en ny statistikförordning, skulle ge möjlighet till överlämnande för statistiska ändamål av sekretessbelagda uppgifter och samtidigt garantera ett jämnt och kontinuerligt flöde av alla slags uppgifter. Jag menar att man bör överväga en reglering
utifrån liknande utgångpunkter i en statistikregisterlag och en därtill anslutande förordning.
Arkivansvar
En myndighets arkiv bildas av de allmänna handlingar som tillkommer i dess verksamhet enligt de förutsättningar som anges i 2 kap. TF. Förhållandet har hittills varit sådant att handlingarna har ansetts vara inkomna till eller upprättade hos SCB. De har också registrerats där enligt 15 kap. sekretesslagen. De utgör alltså en del av SCB:s arkiv.
Vill man ändra detta förhållande, vilket enligt min ovan redovisade grundläggande uppfattning på sikt är nödvändigt, måste den uppdrags— givande myndigheten jämväl vara arkivansvarig myndighet enligt arkivlagen och hantera handlingar enligt TF:s och sekretesslagens regler.
Gallringsfrdgor
Gallringsfrågan är viktig i många avseenden. Jag har emellertid inte med den korta tid som stått till mitt förfogande, haft möjlighet att närmare avväga vilka faktorer som bör bli utslagsgivande beträffande bevarande och gallring av primäruppgifter för statistik. Jag avser att arbeta med denna fråga under hösten och återkomma i mitt slut- betänkande.
Jag mtsu' att onda hösten gm ul nårmhrc gransknihg och utv?- rlng har friande gemensamma baser, liksom de särskildä probl ' kring användningen av lilikmdnta och kommer att m upp de? :| [' i.untt slutbetänkande. !.ll'a 'Vidare nöjer jag mig därför med nu ge några allmänna
er på lippgiflrskydda heh-äffande mlkmdlm' och den: anst .» '. imam re erlagskmlsiiet.
lscrna om smtiatiktnkratess I 9. knä. 4 B sakmaz .'.- efadgar sekretess för uppgifter som smulat: In för hmmm; | 'Wptiii'. Sarri campa! Langes 1 förarbetena" anmäl; av den fm
Särskilt yttrande av sakkunnige Per Samuelson
I regeringens prop. 1992/932101 om den statliga statistikens finan- siering och samordning - enligt vilken också riksdagen fattat beslut - konstaterar föredraganden (s. 3) att det finns starka skäl att inte delegera ansvaret för och avgiftsfinansiera all statistik, något som föreslagits i betänkandet Effektivare statistikstyrning (SOU 1992:48). När det gäller ansvarsfördelning och finansiering (avsnitt 2.2.2, s. 6 ff.) går föredragandens förslag ut på att SCB skall ansvara för och få anslag för - oficiell statistik som griper över flera sektorer, som saknar en entydig huvudanvändare eller där det påtagligt gagnar förtroendet för statistiken och vissa centrala databaser. Verksamhet som sektorsmyndigheter och övriga användare skall ansvara för är: - Officiell statistik för avgränsade sektorsområden. Statistiken skall finansieras genom anslag hos berörda sektorsmyndigheter. - Övrig statistik och statistiska tjänster. Verksamheten skall finan- sieras av beställaren.
Den officiella statistiken skall uppfylla krav på objektivitet, till gång] ig- het och integritetsskydd samt hålla hög kvalitet. Statistiken skall också tillgodose många syften. Den skall kunna användas för forskning och samhällsplanering och företagens analyser och planer och - inte minst - för allmänhetens informationsbehov. Den används också i in- ternationella sammanhang för att ge en bild av Sverige, men också för jämförelser länder emellan (krav från FN, EG m.fl. och behov från olika andra intressenter). Viktigt är också att statistiken kan användas för jämförelser över tiden. Både i planeringssammanhang och för nationell och internationell forskning har den stor betydelse. Det innebär att statistiken måste ha enhetliga definitioner, klassificeringar, standards m.m.
Regering och riksdag ger enligt propositionen och därpå fattat beslut SCB en särskild roll i den statliga statistikverksamheten. Jag anser därför inte att utredaren har stöd för sin syn på SCB som en ren servicebyrå. Enligt min mening finns endast två realistiska alternativ för framställning av den statliga statistiken. Det ena är att ansvarig myndighet själv framställer statistiken och det andra är att SCB gör det. Detta utesluter dock inte myndigheternas möjligheter att utnyttja servicebyråer för tekniska bearbetningar och andra avgränsade moment
i statistikproduktionen. I de flesta andra länder med utvecklad statistikframställning har man en likartad organisation.
Självklart har detta bl.a. sin grund i att man annars inte kan samordna de enskilda statistikprodukterna för att ge de helhetsbilder som behövs för många användare, för statistiksystem som bygger på många statistikprodukter och inte minst för de internationella kraven. Det finns en politisk enighet om att tillgängligheten av de samlade statistiska uppgifterna skall ökas. Det torde inte kunna åstadkommas på annat sätt än genom de alternativ som propositionen anvisar.
Utredningen har utformat sitt förslag med utgångspunkt i en modell där SCB skulle fungera som en ren servicebyrå. Utredaren föreslår att beställarmyndigheten alltid skall ha det totala registeransvaret och förfoganderätten över primärdata oavsett vem som hanterar primärma- terialen. Bl.a. innebär utredarens synsätt att det försvårar möjlig- heterna att åstadkomma den ökade tillgänglighet som eftersträvas, innebär en risk för att uppgiftslämnarbördan ökar och innebär ett hinder för en rationell och kostnadseffektiv hantering av den statliga statistikframställningen.
Min uppfattning är att TF, datalagen och arkivlagen ger ett entydigt besked om rättsläget. Såsom helt riktigt sägs i avsnittet om förfogande och förfoganderätt (5, 4, 2) i detta betänkande är 2 kap. 3 & andra stycket TF själva grundregeln. Detta får i sin tur, enligt betänkandet, effekter på frågan om registeransvar enligt datalagen och myndig- hetsarkiv enligt arkivlagen. Denna utgångspunkt är enligt min mening helt korrekt.
Utredaren bortser sedan i sina överväganden från det faktum att TF:s regel innebär att en upptagning skall anses vara förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten för överföring i läsbar form. I TF sägs vidare att handling som förvaras hos myndigheten endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten (2 kap. 10 5).
De myndigheter som får beställaransvar för den officiella statistiken har som nämnts olika valmöjligheter: en är att själva producera statistiken och en annan är att låta SCB framställa statistiken. I första fallet förvaras upptagningen hos myndigheten och den kan utan att ändra på detta förhållande låta en servicebyrå göra de tekniska bearbetningarna. Får däremot SCB uppdraget att framställa statistiken åt beställaransvarig myndighet blir konsekvensen enligt TF:s regler att SCB kommer att förvara upptagningen eftersom uppdraget inte kan fullgöras utan att SCB är behörig att överföra upptagningen i läsbar form. Uppdragets art gör att SCB i de olika faserna av statistikfram- ställningen förfogar över upptagningen för en rad olika åtgärder som
syftar till att ta fram den statistikprodukt som beställts. Det kan tilläggas att SCB själv inte har en egen datacentral, utan utnyttjar Mittsystem AB som servicebyrå.
I den inledande bestämmelsen i datalagen definieras ”registeransva- rig” som den för vars verksamhet personregister förs, .om han förfogar över registret. Utredaren utgår, enligt min mening felaktigt, från att det är för beställarmyndighetens verksamhet som personregist- ret förs. Emellertid har verksamheten vid SCB ett sådant ändamål som lagstiftaren åsyftar. Det är i enlighet med vad som tidigare sagts uppenbart att SCB förfogar över ett sådant personregister för att framställa och tillhandahålla en beställd statistikprodukt. Ett person- register kan för övrigt föras för att framställa olika produkter till olika beställare. Hittills har SCB ansvar för alla personregister som används i uppdragsverksamheten. Parentetiskt kan tilläggas att detta inte innebär några restriktioner för en beställarmyndighet att kontinuerligt följa och ställa krav på SCB:s arbete med framställning av en beställd produkt.
Ytterligare kan erinras om att jag inledningsvis nämnde att det i propositionen angavs att SCB skall ansvara för och få anslag för vissa centrala databaser - vilka har ännu inte avgjorts. Enligt propositionen är syftet med dessa bl.a. att användarna själva kan finansiera och avgöra vilken statistik som skall tas fram. I dessa fall innebär redan propositionen ett hinder mot utredarens förslag om beställarmyndig- hetens totalansvar.
_'1_ ' n..'1_f.1_|111__l,73lw.fi1115 1.211bn1qqujjgg_mb. WW'W1' -.
"' » __. "14159111'11111111148114991111119119 1111 1n1h119j1111111111s192 1111 >' - _ 1 .. -.1. änkeman/nötte " = " ,,'1'..'." ”mumsar mammhtmmwggwmm ..111: » 11111 mu- m. 111191r'1119111'tt1n 191.i11111311911».11111 .111111 119111 1 ' .1',L'»| ,_ ' damm.-aim .1111111111'11191 nåswrnwbwiil— .nWRMQ': ' "':." f 1' ' -wwfmmmmwauM1wmemmpn ll ', . MW RWMBQFM"momecfmwtfkm'my ' osann-111119 111111111191191111111 11113. omsätta. ' 111 151.119191111111 911111.» 191,19 Qasim. 1119. ' __ '_' " . mgm, _.1411111141'1411111113311-1'11111199194- wally; $&? _. _' ' !._. . .111111,g.'1'11%11111111111111111111—1111111111191119111111.19.1111 -1 ' ". __ ._._,..'_ anlöptmmri inna—mmmmåä ' ' ' 4. L. "_ M: Walk. ”P ui' 55111. TWWQR åHSFM 1' ._,', 1111-1911111-11111111911111911191111111191119 ä.?mimm . _ __ Minna—111111 mmtoamm 191111ng 1111 &. mm 111111; 1, 511.111 ..» » . . c» 11111111'l1uci1 '11'111111111111'1'1-11119 '11r'11ri11g av den- _ &_ 11,1. j_... _.gt1ggtmmg1agr-inlmlni 11111 1111 1111. 31.1111'15 nail email —- 11,| - »» '.__ j.- _ , _ 11.11.1111 wwwormwommwtmammwam _ » maglwagajlm mnazmummdtänw . 591 kwwntui'twuarwmvwm 111.111 Minnen; . .'Ebäi minimi 111911) Summum thämitlmwä .' ' wmmwnwmwmmuem metro nan "r . 1'"=1l".=;' '# "1,_',1:"1 D.:ennau "ånga, .unnär 111115? "1" . - '- .'.1 % "får '11' . 141133! i'uru'us' 119131! 1 ..11'11'11 '1..'1'1.'1.l,1',:.111.ien från det t.:l'J. _ -. " .'l. '- ' 1 . - :'l i|.111-.1'1.—1.r 1111 1:11 upptagm. '.' :-;l".-.' .11...:'-. varu förvarar! ' . 1.311 :1 (1111 upptagningen ih 1111311113115 iof rnyndigh 513 1 lånbar Form 1 Ti .11_'-_;'_1 Vidare att handling :.om ' '_'-'..llghettn radical. $tm- led1 ' tel-111511 bearbetning eller '—_-: '» .. 1211 '1nn11111'. räkning 1.1'111.1ur.=>s :.11111 alln111nl1andli.g -- thee.-n (? hp. 111 111 'i") ndigheter 311111 (111 'itfihiålläj m.».h'al fin den Offiuiclla 1.111: .'.".1 1».1m1'1'1s olika »..1'n1-jl1gl11-1rr' en .'11' att själva p1 .' 1 111111 och en annan .'.r 1111 11:11 5.511" framtill: SlättållkgnJ , "1'1'1721'1.1' uppmgmngen 11111 m;.ndighetcn och den kan 111' 1111 111111 17111111'11111 1111... .-.1.-.1 nar,/11 göra 1.» 1-" " '.'."1_Lmngarna.Fåt dätem it SCP 1' .nu! rug?! 7111 mtäi' 11 ". '1-5 r'. .-_',1iia 11' 191111); 111.1111'1gi'1-11-1i k1)f1..l- isa-1 enlel— _ ""*-10111th 1111 tömma 11pp11g1111'-_11:l' Mars.-rrc upp '1'111ge1 1. ? __"___'."_ ,_- _.___..*.:1 utan "ati 51 H är behörig att 1111- [12114 Hoping-111931 11 1 . . '. '...pndragus att gör 110558. rie (111111. taste 111 11. 11.111... '3'15131311 torftigar över 111111tn13r1.f1p_'r-n | ”' en rad olika ålgu
'.." '._W.' . " ".i
8.2. Rättsfrågor kring statistikframställning
Som ovan nämnts avser en statistikregisterlag inte att befria statistik- registren från anmälningsskyldighet eller tillståndsplikt enligt data- lagen. Allmänt kan dock konstateras att registerlagar gett DI en viss avlastning. En lagstiftning av föreslagen art kan också vara en god framförhållning om och när en ny datalag börjar gälla.
Syftet är att bestämma en yttre ram för samhällets rätt att samla in och bearbeta uppgifter för framställning av statistik. Inom denna ram har DI rätt enligt datalagen att meddela föreskrifter till förebyggande av risk för otillbörligt intrång i den personliga integriteten.
Här finns utrymme för DI att följa upp med föreskrifter i sin författningssamling beträffande förenklat ansökningsförfarande för statistikregister och eventuellt införa ett särkilt förfarande för statistikregister. Föreskrifter finns i dag beträffande SCB:s ansökan
om tillstånd enligt 2 & datalagen beträffande vissa personregister för statistikändamål.
8.2. l Förfoganderätten
Beställarmyndigheten bör ha full kontroll över primärmaterialet, dvs. förfoganderätt beträffande det material som den beslutar att samla in sedan den fått status som beställarmyndighet. Äldre primärmaterial som förvaras hos SCB men som rör beställarmyndighetens ansvarsom- råde måste bli tillgängligt. Här har regeringen möjligheter att under vissa premisser ge dispens från sekretessen med stöd av bestämmelser i 14 kap. sekretesslagen. Ersättning kan utgå motsvarande den kostnad som SCB hittills debiterat för uppdragen.
Särskilda övergångsbestämmelser bör gälla fr.o.m. den 1 januari 1995.
8.2.2. SCB och dess framtida roll
På sikt kommer sannolikt andra statistikproducenter än SCB att uppträda på marknaden. Detta samtidigt som det åligger beställaran- svariga myndigheter att enligt ovan förda resonemang via gängse upphandling köpa bästa möjliga tjänster till lägsta möjliga kostnad.
Under en övergångstid kan SCB bedömas ha ganska svårövervin- nerliga konkurrensfördelar. På sikt kan det därför vara naturligt att överväga om inte uppdragsverksamheten kan bolagiseras.
8.3. Reglering beträffande gemensamma data och mikrodata
Jag avser att under hösten göra en närmare granskning och utvärde— ring beträffande gemensamma baser, liksom de särskilda problemen kring användningen av mikrodata och kommer att ta upp dessa frågor i mitt slutbetänkande. Tills vidare nöjer jag mig därför med att ge några allmänna syn- punkter på uppgiftsskyddet beträffande mikrodata och dess användning inom regeringskansliet.
Bestämmelserna om Statistiksekretess i 9 kap. 4 & sekretesslagen stadgar sekretess för uppgifter som samlats in för framställning av statistik. Som exempel anges i förarbetena statistik av den typ som
framställs av statistiska centralbyrån. Motsvarande framställning av statistik utan samband med något särskilt ärende kan förekomma också hos andra myndigheter.
I paragrafen har vidare öppnats en möjlighet för regeringen att sekretessbelägga uppgifter i annan med statistik jämförbar under- sökning som utförs av myndighet. Regeringen har med stöd av bestämmelsen meddelat föreskrifter om sekretess i 3 & sekretessför- ordningen och förordnat att sekretess gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde, i undersökningar avseende miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier utförda vid sjukvårdsinrättningar, utbildningsanstalter och forskningsin- rättningar. Samma sekretess skall även gälla för kriminologiska undersökningar hos BRÅ samt sociologiska, psykologiska, pedagogis— ka eller andra beteendevetenskapliga eller samhällsvetenskapliga studier vid utbildninganstalter och forskningsinrättningar.
Enligt min mening är detta en framkomlig väg för att säkerställa sekretess beträffande avidentifierade mikrodata som tillhandahålls andra myndigheter via terminal. Det är möjligheterna till s.k. bakvägsidentifiering som utgör riskerna härvidlag. '
Bakvägsidentifiering med hjälp av ADB som innebär att person- register bildas kräver emellertid hantering enligt datalagen för att vara legal. Vad gäller bakvägsidentifiering med hjälp av uppgifter i den officiella statistiken gäller att ett sådant förfarande är särskilt krimina- liserat genom bestämmelser i 15 5 lagen (1992:889) om den officiella statistiken.
Sekretessen för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden gäller i 70 år.
. |..I
.5—31'
vit-' goamm- -Mkwwcmnmm. Mipmrunm lift-hmm mol sbnmöilialz'iöz togfn bem humla-f.: rumuilizimc .wistlg'lbmim mbas wii ns nagniwga iöf militära na mnqqö aminer mil 113151qu | linhai: mmmwi'm finnns i nmigqqu aggäladazalävbl va böta hem mf (lagningen! mdgihmcm w: mir—hu rune. gnida mexnmmmammmw owwwmwwmmmmm non—mm mmmmwm Bellum mmmmmwwm m Wmme-mww
ӌ,-c.. '
mammiagamm den mWioblidm bir ISM shiaislam ns 151 33141 gifmmlmsfl no amb 1! gninam aim alls!-.. ellednhnalfllii [noe slsbmnilm sharehiirwbivs ohns'fiö'usd 33.3me * 31.3 lilir smsåigililhiuii Minimum siv undgibmm PM 1 .grlb'mmt umsniah man: maa Wiimbfagw
cow WML-nallutm Mmmm mammmmMMa withmmlwow tumma-1 , in ' .. mmmmmwauu =. . " .. sum msamwnammm : nerligu konkurrcm fm "delar På sikt kan du därför vm "" ' 'i'.- __ wmmmmaugmummwwmm .. ' If Oi" l ullig mmm dictum-|—
sou l9'93:83
11111 Kommittédirektiv W 11
Dir. 1992:110 Integritetsskydd för uppgifter i statlig statistik, m.m. Dir. 1992:]10
Beslut vid regeringssammanträde 1992—12-17
Chefen för Finansdepartementet, statsrådet Wibble anför.
Mitt förslag
En särskild utredare tillkallas för att utreda frågor om integritetsskyddet för uppgifter i den statliga statistiken. Utredaren skall därvid
— kartlägga vilka regler, rutiner och rekommendationer om integritets- skydd som gäller för myndigheter som ansvarar för statistik, —- mot bakgrund av beslut om decentralisering av statistikansvaret (prop. 1992/93:101, bet. FiU:1992/93z7, rskr. 1992/93:122) över— väga om reglerna, rutinerna och rekommendationema behöver ändras, — redovisa rättsläget beträffande förfoganderätten till register i den statliga statistiken och vid behov föreslå ändringar i det, —- pröva om det är möjligt att skapa en registerlag för Statistiska centralbyråns (SCB ) statistikregister. Denna prövning skall bl.a. omfatta en analys av gallringsfrågoma.
Utredaren skall slutligen föreslå en rättslig reglering som tillfredsställer behovet av dels gemensamma data för inkomst- och förmögenhetsskatter, dels uppgifter i det s.k. fördelningsmodellprojektet.
Bakgrund Integritetsskyddet
I betänkandet Effektivare statistikstyrning (SOU l992:48) påpekas att det för uppgiftslämnarna till statliga myndigheter är viktigt att uppgifter som lämnas för statistikändamål inte kommer till användning för andra syften än just statistik samt att känsliga uppgifter hanteras och statistiken publiceras på ett sådant sätt att enskildas förhållanden inte röjs. Vidare sägs att de regler och rutiner för upprätthållande av integritetsskydd som SCB tillämpar måste tillämpas av andra myndigheter som får tillgång till primäruppgifter vid en delegering av statistikansvaret i enlighet med utredningens förslag (5. 95).
Vid remissbehandlingen av betänkandet tog en del remissinstanser särskilt upp problemen med integritetsskyddet och sekretessen vid ett delegerat statistiksystem. Arbetsmarknadsstyrelsen (AMS) ansåg att det kunde uppstå en konflikt mellan myndigheternas roll som statistikansvarig och myndighetsutövande vad beträffar uppgifter som insamlats för statistiska ändamål. Det är enligt AMS inte orealistiskt att förutsätta att gränsen mellan de två ansvarsområdena i vissa fall kan komma att över- skridas. Statens naturvårdsverk pekar på den potentiella risk för konflikt mellan den sekretess som omgärdar statistikproduktionen och målsätt- ningen med verkets tillsynsroll.
Datainspektionen tog i sitt remissyttrande upp samma fråga, men från en annan synvinkel. Inspektionen pekar på de risker som uppstår med den ansamling av uppgifter som finns hos SCB. Jag återkommer till denna fråga senare.
Problemet som här avses är således den förändring som uppstår när andra myndigheter än SCB skall hantera de regler om sekretess och integritetsskydd som kringgärdar uppgifterna till den statliga statistiken. Hit räknas också lntemationella Statistiska Institutets (ISI) etiska deklara- tion för statistiker. Utgångspunkten för decentraliseringen av ansvaret måste vara att skyddsnivån inte skall försämras. Risken måste elimineras att myndigheter obehörigen använder uppgifter från den statliga stati- stiken i sin myndighetsutövning.
Det finns således enligt min bedömning ett behov av att kartlägga vilka regler, rutiner och rekommendationer som gäller för myndigheter som får ansvar för viss statistik enligt en decentraliserad ansvarsordning och därmed vilka förstärkningar av olika slag som behövs för att åstadkomma en hög skyddsnivå.
I propositionen (1992/931101) om den statliga statistikens finansiering och samordning har jag tagit upp frågan om att ytterligare behandla sekretessen och integritetsskyddet och därvid förordat att så sker (s. 14- 15).
F ö rfoganderätten
[ betänkandet Effektivare statistikstyrning berörs också frågan om förfoganderätten till uppgifter, men mer pragmatiskt. Det konstateras att frågan om äganderätten till primärdata kan fordra olika lösningar beroende på växlande förhållanden och den torde bäst komma att lösas avtalsvägen (s. 131).
Några remissinstanser framhåller uttryckligen att frågor om äganderätt o.d. till statistikmaterial måste beaktas och utredas noggrant. Datainspek- tionen anser att registeransvar, ägaransvar och tillgänglighet av grunddata m.m. bör utredas och lämnar en beskrivning av relevanta regler. Sveriges Industriförbund och Svenska arbetsgivareföreningen framhåller att det råder en besvärande oklarhet beträffande de rättsliga grunderna för den statliga statistikverksamheten och särskilt vad gäller den nuvarande kommersiella verksamheten vid SCB. De yrkar på att de rättsliga villkoren för all dataservice/uppdragsverksamhet inom den statliga statistikproduktionen samt frågan. om äganderätten till statistikens primäruppgifter noggrant klargörs i nära anslutning till att de institutionella formerna för den framtida statistikproduktionen fastställs.
I den nyss nämnda propositionen om den statliga statistikens finansie— ring och samordning har jag konstaterat att det för närvarande råder en betydande oklarhet om vissa rättsliga aspekter kring rätten till insamlade statistiska grunddata och upprättade register. Vidare framgår det att dessa frågor, liksom sekretessen och integritetsskyddet, inte i tillräcklig omfattning har behandlats i det nyss nämnda betänkandet (SOU 1992:48). Jag delar remissinstansernas mening att dessa frågor måste utredas ytterligare. Oavsett hur den statliga statistikens framtida organisation kommer att utformas är det av utomordentligt stor vikt att de rättsliga grunderna för samhällets statistikverksamhet blir allsidigt genomlysta och fastställda.
En analys av rättsläget i denna fråga är således nödvändig. Detta bör ske inom ramen för denna utredning.
Registerfrågor
Av min beskrivning framgår det att det på sina håll finns en uttalad oro för det stora registerbeståndet hos SCB. Datainspektionen har i sitt remissyttrande uppehållit sig en del kring denna fråga. Inspektionen påpekar bl.a. att den i olika sammanhang, senast i ett yttrande till regeringen den 11 november 1991 (Fi dnr 2850/91) pekat på att regle- ringen av flera känsliga register hos SCB med åren blivit mycket svåröverskådlig och framhållit behovet av en författningsreglering av registren.
I den nyss nämnda propositionen sägs också att antalet personregister med mycket integritetskänsliga uppgifter under senare år har ökat starkt. Det kan vara fråga om uppgifter om en persons sociala och ekonomiska förhållanden, hälsotillstånd, brottslighet o.d. Dessa uppgifter har samlats in för användning i en viss speciell verksamhet, t.ex. skatteförvaltning, sjukvård osv. Risken för spridning av sådana känsliga uppgifter upplevs av många som oroande.
Vid SCB finns ett hundratal personregister i datalagens mening. Vissa av dessa register intar en särställning genom att de innehåller taxerings- uppgifter för särskilda statistiska ändamål.
Enligt 13 & skatteregisterlagen (l980:343) får uppgifter i skatteregister som hänför sig till viss beskattningsperiod och som inte skall tas upp i skattelängd bevaras under högst sju år efter utgången av det kalenderår under vilket perioden gick ut. Enligt 13 & tredje stycket får regeringen dock förordna om längre bevarandetid av uppgifter i skatteregister. Av förarbetena till lagen (prop. 1979/80: 136) framgår att syftet med denna bestämmelse är att ge regeringen möjlighet att besluta att vissa uppgifter skall bevaras på ADB-medium för att kunna tillgodose statistik- och forskningsintressena.
Enligt regeringsbeslut den 19 december 1991 har regeringen medgivit ett fortsatt bevarande av vissa taxeringsuppgifter som ingår i den totalräknade inkomst- och förmögenhetsstatistiken (IOF), inkomst- fördelningsundersökningen (HINK), undersökningen om levnadsför- hållandena i samhället (ULF), deklarationsundersökningen för jord— brukare (DU-registret), jordbrukamas taxerade nettointäkter mm. och undersökningen om jordbrukamas tillgångar och skulder ("PSU—registret). Medgivandet gäller längst t.o.m. utgången av år 1992.
Med tanke på att det i dessa fall är fråga om omfattande register med många gånger tämligen känsligt material anser jag det inte tillfreds-
ställande att regeringen från fall till fall skall ta ställning till hur länge uppgifterna skall få bevaras. Framtiden kräver att en helhetslösning av frågan tas fram. Därför bör den utredning som nu föreslås söka finna principiellt riktiga lösningar på längre sikt. Underförstått är att någon typ av registerlag är det alternativ som i första hand bör studeras. Detta ligger också i linje med Datainspektionens uppfattning i frågan enligt det tidigare refererade yttrandet. Även Riksarkivet har i skrivelse till regeringen den 15 oktober 1991 avseende dessa register förordat en författningsreglering av bevarandefrågan.
[ detta sammanhang bör ytterligare ett register beröras. Det gäller personregistret "Socialtjänstens individinriktade insatser", vilket enligt Datainspektionens tillstånd förs vid SCB. Syftet med detta register är att framställa statistik som belyser socialnämndemas och länsrättemas beslut om insatser enligt socialtjänstlagen (1980:620), lagen (1990152) med särskilda bestämmelser om vård av unga och lagen (19881870) om vård av missbrukare i vissa fall.
Enligt ett beslut av Datainspektionen den 19 december 1991 skall personuppgifter i registret fortlöpande gallras fem år efter registrering fr.o.m. den 1 juli 1992. Riksarkivet har därefter i en skrivelse den 18 mars 1992 till regeringen hemställt att regeringen vidtar åtgärder för ett bevarande av registret genom en reglering i en lag eller en förordning. Datainspektionen har sedan på grund av en annan skrivelse i ärendet från Riksarkivet till inspektionen den 18 juni 1992 beslutat att gallring av SCB:s register skall påbörjas först den 1 januari 1993.
Med hänsyn till att det också här gäller mycket känsliga uppgifter där kravet på integritetsskydd är mycket starkt är det viktigt att gallringspro- blemen får en allsidig belysning och löses med en ändamålsenlig och tydlig reglering. Det är därmed en fördel att dessa behandlas i detta sammanhang.
Möjligheten till en reglering av SCB:s samlade registerbestånd bör alltså prövas i första hand. Förslag bör lämnas till en långsiktig lösning av gallringsfrågoma utifrån en allsidig analys bl.a. i fråga om ev. tillämpning av de olika urvalsmetoder för bevarande som anges i propo— sitionen (prop. 1989/90:70) om Arkiv m.m.
Gemensamma data för inkomst- och förmögenhetsskattema och uppgifter i fördelningsmodellprojekter
I Finansutskottets betänkande (1988/89zFiU 3) Statistik över inkomster och skatter behandlas vissa förslag från Riksdagens revisorer beträffande statistiken över inkomst- och förmögenhetsskattema (förs. 1987/88:11). Revisorerna menar bl.a. att en genomgripande översyn av statistiken på inkomst- och förmögenhetsskatteområdet måste göras i syfte att bota de brister som framkommit vid revisorernas granskning. Revisorerna bedömer att avsevärda kvalitets- och samordningsfördelar kan uppnås utan att detta behöver medföra större merkostnader eller merarbete, vare sig för statsverket eller uppgiftslämnarna.
Revisorerna anser vidare att behovet av statistik över inkomst— och förmögenhetsskatterna bör preciseras. Det gäller främst Riksskatteverkets (RSV), Riksrevisionsverkets (RRV), Statistiska centralbyråns (SCB), Konjunkturinstitutets och Finansdepartementets behov.
Utskottet har tillstyrkt att en översyn görs av innehållet, produktionen och publiceringen av inkomststatistik och hemställt att riksdagen som sin mening ger regeringen tillkänna vad utskottet anfört. Riksdagen har bifallit utskottets hemställan (rskr. 1988/89t2).
SCB har på regeringens uppdrag påbörjat en sådan översyn. Arbetet med denna översyn är inriktad på att framställa ett urvals- register ur vilket de berörda intressenterna skall kunna hämta de uppgifter som de har behov av. Emellertid förutsätter ett sådant system att de rättsliga förutsättningarna är noga analyserade. Om analysen utvisar att rättsliga åtgärder erfordras böt förslag till sådana lämnas.
Även den användning som Finansdepartementet har av omfattande och komplexa s.k. mikrosimuleringsmodeller bör analyseras rättsligt. Denna modell har utvecklats gemensamt av SCB och regeringskansliet och kom till betydande användning första gången i samband med skattereformen. I modellerna efterbildas systemens regler på en statistiskt representativ modellbefolkning som bygger på avidentifierat material från SCB. Det något komplicerade förfarande som nu används med manuell s.k. röjandegranskning bör kunna ersättas med automatiska kontroller förutsatt att den rättsliga regleringen är till fyllest. Jag finner det lämpligt att de rättsliga frågor som kan dyka upp i samband med såväl SCB:s nyss nämnda uppdrag som Finansdepartemen-
tets användning av mikrosimuleringsmodeller behöver utredas. Efter analys av rättsläget bör vid behov förslag lämnas till en sådan reglering. Detta bör ske inom ramen för denna utredning.
Utredningsuppdraget
Allmänt
Uppdraget innebär att ett antal frågor skall utredas. De har aktualiserats på olika'sätt. Gemensamt för dessa frågor är emellertid att de bör lösas i ett sammanhang för att komplettera den reglering och de principer avseende finansiering och samordning som gäller den statliga statistiken.
Genom detta utredningsuppdrag kommer förutsättningar att ges för att den statliga statistiken har väl genomtänkta villkor i de avseenden som nu blir föremål för översyn.
] den bakgrund som tidigare har tecknats har en tydlig koppling gjorts till frågor av olika slag som kräver en omedelbar lösning. Jag har därvid haft den utgångspunkten att dessa frågor har sådan beröring med varandra att en samlad utredning är värdefull. Det innebär samtidigt att de olika delproblemen inte behöver gås igenom var för sig, utan torde med fördel kunna avhandlas integrerat.
Arbetets uppläggning
Inledningsvis bör utredaren gripa sig än de rent rättsliga frågorna.
Den kommitté för genomförande av förslagen i prop. l992/93:101, som jag avser att senare tillkalla måste i sitt arbete beakta de rättsliga förutsättningarna för och konsekvenserna av en ny ansvarsfördelning. Med hänsyn till tidsplanen för denna kommitté måste utredaren ta de rättsliga frågorna med förtur.
Med de rättsliga frågorna avser jag integritetsskyddet och förfogande— rätten. Utöver vad som framgått vid bakgrundsbeskrivningen av problemen är det viktigt att utredaren genomlyser båda dessa områden utifrån gällande rätt och med beaktande av internationella åtaganden. Utredaren skall alltså redovisa rättsläget och lämna förslag till eventuella generella åtgärder och även till lösningar i enskilda fall. Utgångspunkten skall vara att finna en adekvat avvägning mellan å ena sidan behovet av att bevara uppgifter för framtida forskning och statistiska ändamål och å andra sidan att tillförsäkra den enskilde ett starkt skydd för den person- liga integriteten.
Utredaren skall gå igenom de olika register som finns för statistiska ändamål och lämna förslag till vad som bör bevaras i dessa register. Enligt min uppfattning bör genomgången inte begränsas till de register som innehåller uppgifter från skatteregister och det register som avser individinriktade insatser inom socialtjänsten utan skall i princip omfatta samtliga statistikregister hos SCB.
Utredaren bör pröva möjligheten att reglera SCB:s register i en samlad lagstiftning. Detta skulle öka överskådligheten samtidigt som regler skulle kunna införas i syfte att stärka sekretessen och integritetsskyddet samt ge entydiga regler för gallringen.
Sekretessen och säkerheten hos SCB för uppgifterna till statistiken anses vara mycket god. Därför kan det vara en rimlig målsättning att utredaren kartlägger de rutiner som SCB tillämpar och undersöker möjligheterna att överföra detta till andra myndigheter som kommer att förfoga över uppgifter till statistik på samma sätt som SCB. Härvid måste också belysas i vad mån myndigheternas administrativa informations— system för tillsyn resp. statistik skall hållas åtskilda. Om det finns rättsliga problem med detta bör utredaren lämna förslag till lösning.
Även problemen kring de gemensamma data för inkomst- och för- mögenhetsskattema bör utredas 1 det inledande skedet. Dessa data behövs främst av RSV, RRV, SCB, Konjunkturinstitutet och Finansdepartemen- tet. Såsom framgått ovan pågår en översyn hos SCB med behovs- kartlåggning och vissa innehållsfrågor i fråga om den gemensamma databas som planeras. Därför är det en viss brådska med att ge underlag till detta arbete i form av förslag till en rättslig reglering eller formellt förfarande inom ramen för den rådande regleringen. Utredaren skall således analysera läget och lämna förslag till formell konstruktion av databasen. Med denna fråga sammanhänger användningen av uppgifter inom ramen för fördelningsmodellprojektet, vilken kan behandlas på ett likartat Sätt.
Utredaren skall samråda med Datainspektionen, Riksarkivet, Statistiska centralbyrån och Forskningsrådsnämnden under arbetets gång.
Utredaren skall vidare samråda med Datalagsutredningen (Ju 1989:2) och beakta utredningens kommande förslag samt med kommittén för genomförande av förslagen om den statliga statistikens finansiering och samordning (prop. 1992/93: 101 ).
Utredaren skall beakta direktiv angående utredningsförslagens inrikt— ning (dir. 1984:5) och direktiv angående EG—aspekter i utrednings- verksamheten (dir. 1988143).
Utredningsarbetet beträffande de prioriterade frågorna skall vara avslutat före utgången av juni 1993 och arbetet i sin helhet före utgången av 1993.
Hemställan
Med hänvisning till vad jag anfört och efter samråd med statsråden B. Westerberg, Laurén och Lundgren hemställer jag att regeringen bemyndigar chefen för Finansdepartementet
att tillkalla en särskild utredare —— omfattad av kommittéförordningen (l976:1l9) — med uppdrag att utreda frågor om integritetsskydd för uppgifter i statlig statistik, m.m.,
att besluta om sakkunniga, experter och annat biträde åt utredaren. Vidare hemställer jag att regeringen beslutar att kostnaderna för utredningen skall belasta sjunde huvudtitelns anslag Utredningar m.m.
Beslut
Regeringen ansluter sig till föredragandens överväganden och bifaller hennes hemställan.
(Finansdepartementet)
'1 .. ” .u ..
man malm läger och tm lat-slag lm rian-rull |namn-litium & ' m w'm man ämm mumsar m.- Witt."
l—itllgtmut sym tm printing;—m lf. .c beg-rm: nit till" uma va: som ltutuMller Immer I'ma MNEI'W mm '.!—'I regimer mm A”» i'- 'llllltl'ldinf'illaidn immer until mrdrtwmwm utan aL'JIl'l tmnw
- , _. . i. » »—-.-.' Wild—Mm samma , . i ' ' l
»am; , »» | . ”|?!”
. '"l.t;'1 *” ...nu-Å
m lör tillsyn mp. martini! ski-tl! ntil-u. WHILE rim det ut?!”
tillåten Millwall kmw de gumman dm Rin IWW' . mama-flämtar: madame mimik-rm. Dum-mulm .. ' ”l
IWIEWQ Kammbtutitmltem rich F'muiuu'mmmn » . ”i" mm WU mn påatt m w hn' SCR .it-mi Mw- så .!
kartläggning wii nian lmuimr "t fråga mn den gamut-trimm. ametist rummens. Murar det. en arg-.'.»' lamm.-n m st.: |; Miu-lag .
till detta where 't tat-m iw mm till en rimlig minut; altid—'! dif-natt
förbi-amt? lm mm fill ått! rudmik m.m-ångan. L'Ill'rl'f-im thu
hum men ta: 'Whlmmu. strimma-mun pl. nu Nim sill.—'
Utmwwnmnwhtm Ritinkin. :twuut'a' mm M Imint-nam (IW Weta gm, "
limm- M WMR m Däniagmmönuqm pu 19993; mit h'ulm namram himmla Ming im m namnen lör mmm w Million niin lloft' tuning... statistikeni www: och ”maintain; upnpp 192993: 191)
uma-m mu beakta dinltm astma-' utmaning!-Maggan mum alla tdtr. läst 51 11:11.le mentalt: Ela-annette. l. une-laktas- nuts-mum (W. TMNT:, '
sou 199333
Skrivelse från finansdepartementet, Fördelningspolitiska gruppen, Skatteekonomiska enheten, 1993-08-31
Ekonomiska konsekvensanalyser med avidentifierade mikrodata inom regeringskansliet
Regeringen har uppdragit till Integritetsutredningen att, i samband med att man ser över skyddet för uppgifter i den statliga statistiken, överväga en rättslig reglering av regeringskansliets användning av avidentifierade urvalsregister för skatteberäkningar och mikrosimuleringar av nettobudgeteffekter, fördelningseffekter etc. Som underlag för utredningens överväganden redovisas i det följande en översikt av användningen av mikrodata.
Sedan ett antal år har Finansdepartementet tillsammans med andra departement och myndigheter arbetat för att förbättra de ekonomiska analyser och prognoser som görs inom skatte— och transfereringsområdet. Arbetet har bl.a. föranletts av ett flertal initiativ från riksdagen om önskemål om bättre underlag i olika propositioner.
Målet för utvecklingsarbetet är att åstadkomma analyser och prognoser som mer allsidigt belyser följderna av olika regler, att öka effektiviteten och snabbheten i analyserna och att höja kvaliteten i kalkylerna.
De innebär bl.a. att omfattande och komplexa s.k. mikrosimuleringsmodeller utvecklats efter förebilder i ett antal andra länder. I modellerna efterbildas skatte—, avgifts-, socialförsäkrings- eller bidragsreglema med utnyttjande av uppgifterna i avidentifierade modellbefolkningar, som utformats efter departementens behov. Modellerna gör det möjligt att snabbt beräkna det ekonomiska utfallet av gällande regler resp. simulera alternativa regler och således detaljerat beskriva utgiftsförändringar, fördelningseffekter osv. Bearbetningen sker med gängse statistiska metoder och resulterar i tabeller, medelvärden, makrotal, spridningstal och andra ekonomiska parametrar.
Riksdagen har påpekat behovet av en översyn av statistiken över inkomster och skatter. För beräkning och simulering av skattereglerna för fysiska personer, inkl. prognoser för statens inkomster och transfereringsutgifter, utvecklas för närvarande gemensamt mellan Finansdepartementet, SCB, RRV och RFV en "Prognosdatabas" med uppgifter om ca 300 000 individer från olika skatte- och tranfereringsregister. Databasen med avidentifierade registerdata skall ersätta RRVs taxeringsstatistik och ge underlag för RRVs inkomstberäkningar. Databasen avses användas för ekonomiska konsekvensanalyser av olika regler m.m. Databasen ger genom sin storlek möjlighet till säkra statistiska analyser
för små delgrupper, ovanliga skatteslag och kommunala beräkningar. Beräkningsunderlagen förbättras avsevärt för pensionärer och företagare.
För analyser av nettobudget-, fördelnings- och incitamentsejekrer har Finansdepartementet och SCB gemensamt utvecklat en mikrosimuleringsmodell som omfattar huvuddelen av alla skatter, socialförsäkringar och bidrag som berör hushållen. Den baseras på modellbefolkningar som framställs från avidentifierade mikrodata i SCBs urvalsundersökning om hushållens inkomster (HINK). HINK omfattar ca 10 000 hushåll och innehåller dels registeruppgifter från skattemyndigheter, RFV, kommuner och Centrala studiestödsnämnden, dels uppgifter från en enkät om hushållens sammansättning, förvärvsarbete, hyra m.m. Modellen kom första gången till betydande användning i samband med skattereformen 1990-1991.
I syfte att förbättra analyserna av företagens skatter och avgifter genomförs ett projekt gemensamt mellan Finansdepartementet, RRV, RSV och SCB. Med hjälp av standardiserade räkenskapsutdrag, SRU, planeras en "Företagsdatabas" om ca 10 000 - 20 000 juridiska personer med avidentifierade uppgifter från RSV och SCB. Med ett mikrosimuleringssystem uppnås betydligt bättre kalkyler och prognoser av gällande eller alternativa regler.
Möjligheten att med mycket kort varsel genomföra statistiska bearbetningar på representativa modellbefolkningar har ökat tillgången till beslutsunderlag inom regeringskansliet. Mikrosimulen'ngsmodellema medger en snabbhet, noggrannhet och systemtäckning vid skatte- och socialförsäkringsanalyser som inte kan uppnås på andra sätt. En betydande del av de ekonomiska analyser som använts som beslutsunderlag under senare år beträffande skatter, pensioner, bostadsstöd, sjukförsäkring, familjepolitik osv. kommer från dessa modellbefolkningar och regelsimuleringar.
Utvecklingsarbetet med att förbättra användbarheten i de ekonomiska underlagen fortgår bl.a. med introduktion av känslighetsanalyser, projektioner och användning av olika ekonomiska scenarier.
Grundläggande för alla statistiska analyser som bygger på kvantitativa data är emellertid arbetet med kvalitetskontroll, Den nuvarande lösningen där RKS tjänstemän inte har möjlighet att vid behov ha direkt tillgång till avidentifierade mikrodata fungerar, men medför problem. Vid åtskilliga bearbetningar av urvalsbaserade mikrodata konfronteras man med det s.k. outlayerproblemet. dvs. att olika extremvärden för vissa observationer kraftigt påverkar resultatet. I andra fall förekommer kvarvarande brister i de mikrodata som använts som underlag för modellbefolkningarna. I arbetet med mikrosimuleringar ingår dessutom normalt som ett huvudinslag att på vissa slumpmässigt utvalda enskilda avidentifierade individer kontrollera att efterbildningen av nya regler etc. utförs på ett korrekt sätt. Granskning av mikrodata utförs efter begäran av SCB. Regeringskansliet kan inte begära att SCB utför granskning av egendomliga resultat vid de tider och med den skyndsamhet och frekvens som vore lämpligt. Kvantitativa analyser och modellsimuleringar utförs således med en i vissa avseenden lägre kvalitet än vad som är önskvärt och beräkningar hinner ibland inte utföras i tid då granskningen av sådana observationer fördröjs.
Komplicerade säkerhetslösningar förorsakar dessutom tidsfördröjningar och höga kostnader för datordriften.
Regeringskansliets användning av mikrodata bör kunna jämföras med användningen inom SCB eller annan statistikmyndighet. Med hjälp av statistiska och ekonomiska metoder utformas olika tabeller som beskriver medelvärden, spridning och statistisk säkerhet med olika indelningsgrunder.
En skillnad är att statistikmyndigheter i allmänhet bearbetar data endast några gånger, medan framställning av modellbefolkningar och regelsimuleringar innebär en fortlöpande användning av den information som insamlats för statistiska ändamål. En ytterligare skillnad är att SCB och andra myndigheter endast modifierar mikrodata marginellt för att t.ex. korrigera fel och bortfall, medan avidentifierade mikrodata i regeringskansliets modellbefolkningar och regelsimuleringar experimentellt tilldelas nya värden ofta på flertalet ingående variabler.
I takt med att de offentliga finanserna sätts under press och behoven ökar att förändra skatter, socialförsäkringar och andra inkomstöverföringar, kommer efterfrågan på underlag och analyser av olika politiska handlingsalternativ att öka. Utvecldingsarbetet har medfört att kvantitativa analyser och ekonomiska simuleringsmodeller fått ökade användningsområden och givits större betydelse i regeringskansliets beredningsarbete.
Det är därför angeläget att öka kvaliteten i de kvantitativa och statistiska analyserna genom en lösning där tjänstemän i regeringskansliet vid behov får direkt tillgång till de avidentifierade mikrodata som ingår i de konstgjorda modellbefolkningarna.
Kronologisk förteckning
1.5tyrnings- och samarbetsformer i biståndet. UD 2. Kursplaner för grundskolan. U. 3. Ersättning för kvalitet och effektivitet. — Utformning av ett nytt resurstilldelningssystem för grundläggande högskoleutbildning. U. 4. Statligt stöd till rehabilitering av tortyrskadade flyktingar m. fl. S. 5. Bensodiazepiner — beroendeframkallande psykofar- maka. S. 6. Livsmedelshygien och småskalig livsmedelsproduk- tion. Jo. 7. Löneskillnader och lönediskriminering. Om kvinnor och män på arbetsmarknaden. Ku. 8. Löneskillnader och lönediskriminering. Om kvinnor och män på arbetsmarknaden. Bilagedel. Ku. 9.Postlag. K. 10. En ny datalag. Ju. 1 1 . Socialförsäkringsregister. S. 12. Vårdhögskolor — kvalitet — utveckling — huvudmannaskap. U. 13. Ökad konkurrens på järnvägen. K. 14. EG och våra grundlagar. Ju. 15. Svenska regler för internationell omfördelning av olja vid en oljekris. N. 16. Nya villkor för ekonomi och politik — ekonomi- kommissionens förslag. Fi. 16. Nya villkor för ekonomi och politik — ekonomi- kommissionens förslag. Bilagor. Fi. 17. Ägandet av radio och television i allmänhetens tjänst. Ku. 18. Acceptans Tolerans Delaktighet. M. 19. Kommunerna och miljöarbetet. M. 20. Riksbanken och prisstabiliteten. Fi. 21.Ökat personval. Ju. 22. Vad är ett statsråds arbete värt? Fi. 23. Kunskapens krona. U. 24. Utlänningslagen— en partiell översyn. Ku. 25. Sociala åtgärder för jordbrukare. Jo. 26. Handläggningen av vissa säkerhetsfrågor. Ju. 27.Miljöbalk. Del I och 2. M. 28.Bankstödsnämnden. Fi. 29. Fortsatt reformering av företagsbeskattningen. Del 2. Fi. 30. Rätten till bistånd inom socialtjänsten. S. 31 . Kommunernas roll på alkoholområdet och inom missbrukarvården. S. 32. Ny anställningsskyddslag. A. 33. Åtgärder för att förbereda Sveriges jordbruk och livsmedelsindustri för EG. Jo. 34. Förarprövare. K. 35. Reaktion mot ungdomsbrott. Del A och B. Ju.
36. Lag om totalförsvarsplikt. Fö. 37.1ustitiekanslern. En översyn av IK:s arbetsuppgifter m.m. Ju. 38. Hälso— och sjukvården i framtiden — tre modeller. S. 39. En gräns för fllmcensuren. Ku. 40. Fri— och rättighetsfrågor. Del A och B. Ju. 41 . Folk- och bostadsräkning år 1990 och i framtiden. Fi. 42. Försvarets högskolor. Fö. 43. Politik mot arbetslöshet. A. 44. Översyn av tjänsteinkomstbeskattningen. Fi. 45 .Trosa bryter sig loss. Bytänkande eller demokratms räddning. C. 46. Vissa kyrkofrågor. C. 47. Konsekvenser av valmöjligheter inom skola, barnomsorg, äldreomsorg och primärvård. C. 48. Kommunala verksamheter i egen förvaltning och i kommunala aktiebilag. En jämförande studie. C. 49. Ett år med betalningsansvar. S. 50. Serveringsbestämrnelser. S.
51.Naturupplevelser utan buller — en kvalitet att värna. M.
52. Ersättning vid arbetslöshet. A. 53.Kostnadsutjämning mellan kommuner. Fi. 54. Utvisning på grund av brott. Ku. 55. Det allmännas skadeståndsansvar. Ju. 56. Kontrollen över export av strategiskt känsliga varor. UD. 57. Beskattning av fastigheter, del I — Schablonintäkt eller fastighetsskatt? Fi. 58. Effektivare ledning i statliga myndigheter. Fi. 59. Ny marknadsföringslag. C. 60. Polisens rättsliga befogenheter. Ju. 61.Överföring av HIV-smitta genom läkemedlet Preconativ. S. 62. Rättssäkerheten vid beskattningen. Fi. 63. Person och parti — Studier i anslutning till Personvalskommitténs betänkande Ökat personval (SOU 1993:21). Ju. 64. Frågor för folkbildningen. U. 65 . Handlingsplan mot buller. Handlingsplan mot buller. Bilagedel. M. 66. Lag om införande av miljöbalken. M. 67. Slutförvaring av använt kärnbränsle — KASAMs yttrande över SKBs FUB—program 92. M. 68. Elkonkurrens med nätmonopol. N. 69. Revisorerna och EG. N. 70. Strategi för småföretagsutveckling. N. 71 . Organisationernas bidrag. C. 72. Att inhämta synpunkter från medborgarna — Det kommunala omröstningsinstitutet i tillämpning. C.
Kronologisk förteckning
73. Radikala organisationsförändringar i kommuner och landsting. C. 74.Kvalitetsmätning i kommunal verksamhet. C . 75. Vissa mervärdeskattefrågor II, — offentlig verksamhet m.m. Fi. 76.Verkställighet av fängelsestraff. Ju. 77. Kommunal tjänsteexport och internationellt bistånd.C. 78. Miljöskadeförsäkringen i framtiden. M. 79. Handel och miljö — mot en hållbar spelplan. M. 80. Statsförvaltningen och EG. Ju. 81 . Översyn av arbetsmiljölagen. A. 82. Frivilligt socialarbete. S. 83. Statistik och integritet. del 1 — Skydd för uppgifter till den statliga statistiken m.m. Fi.
Systematisk förteckning
J ustitiedepartementet
En ny datalag. [10] EG och våra grundlagar. [14] Ökat personval. [21] Handläggningen av vissa säkerhetsfrågor. [26] Reaktion mot ungdomsbrott. Del A och B. [35] Justitiekanslern. En översyn av IK:s arbetsuppgifter m.m. [37] Fri— och rättighetsfrågor. Del A och B. [40] Det allmännas skadeståndsansvar. [55] Polisens rättsliga befogenheter. [60]
Person och parti — Studier i anslutning till Personvalskommitténs betänkande
Ökat personval (SOU 1993:21). [63] Verkställighet av fängelsestraff. [76] Statsförvaltningen och EG. [80]
Utrikesdepartementet Styrnings- och samarbetsformer i biståndet. [1] Kontrollen över export av strategiskt känsliga varor. [56]
Försvarsdepartementet
Lag om totalförsvarsplikt. [36] Försvarets högskolor. [42]
Socialdepartementet
Statligt stöd till rehabilitering av tortyrskadade flyktingar m. fl. [4] Bensodiazepiner — beroendeframkallande psykofarmaka. [5]
Socialförsäkringsregister. [11] Rätten till bistånd inom socialtjänsten. [30] Kommunernas roll på alkoholområdet och inom missbrukarvården. [31]
Hälso- och sjukvården i framtiden — tre modeller. [38] Ett år med betalningsansvar. [49] Serveringsbestämmclser. [50] Överföring av HIV-smitta genom läkemedlet Preconativ. [61] Frivilligt socialarbete. [82]
Kommunikationsdepartementet
Postlag. [9] Okad konkurrens på järnvägen. [13] Förarprövare. [34]
Finansdepartementet
Nya villkor för ekonomi och politik — ekonomi- kommisionens förslag. [16] Nya villkor för ekonomi och politik — ekonomi- kommisionens förslag. Bilagor. [16] Riksbanken och prisstabiliteten. [20] Vad är ett statsråds arbete värt? [22] Bankstödsnämnden. [28] Fortsatt reformering av företagsbeskattningen. Del 2. [29] Folk- och bostadsräkning år 1990 och i framtiden. [41] Översyn av tjänsteinkomstbeskattningen. [44] Kostnadsutjämning mellan kommuner. [53] Beskattning av fastigheter, del I — Schablonintäkt eller fastighetsskatt? [57] Effektivare ledning i statliga myndigheter. [58] Rättssäkerheten vid beskattningen. [62] Vissa mervärdeskattefrågor II, — offentlig verksamhet m.m. [75] Statistik och integritet, del 1 — Skydd för uppgifter till den statliga statistiken m.m. [83]
Utbildningsdepartementet
Kursplaner för grundskolan. [2]
Ersättning för kvalitet och effektivitet. — Utformning av ett nytt resurstilldelningssystem för grundläggande högskoleutbildning. [3] Vårdhögskolor
— kvalitet — utveckling - huvudmannaskap. [12] Kunskapens krona. [23]
Frågor för folkbildningen. [64]
J ordbruksdepartementet Livsmedelshygien och småskalig livsmedelsproduktion. [6]
Sociala åtgärder för jordbrukare. [25] Åtgärder för att förbereda Sveriges jordbruk och livsmedelsindustri för EG. [33]
Arbetsmarknadsdepartementet Ny anställningsskyddslag. [32]
Politik mot arbetslöshet. [43] Ersättning vid arbetslöshet. [53] Översyn av arbetsmiljölagen. [81]
Systematisk förteckning
Kulturdepartementet
Löneskillnader och lönediskriminering. Om kvinnor och män på arbetsmarknaden. [7] Löneskillnader och lönediskriminering. Om kvinnor och män på arbetsmarknaden. Bilagedel. [8] Ägandet av radio och television i allmänhetens tjänst. 1171 Utlänningslagen — en partiell översyn. [24] En gräns för filmcensuren. [39] Utvisning på grund av brott. [54]
Näringsdepartementet
Svenska regler för internationell omfördelning av olja vid en oljekris. [15] Elkonkurrens med nätmonopol. [68] Revisorerna och EG. [69] Strategi för småföretagsutveckling. [70]
Civildepartementet
Trosa bryter sig loss. Bytänkande eller demokratins räddning. [45] Vissa kyrkofrågor. [46] Konsekvenser av valmöjligheter inom skola, barnomsorg, äldreomsorg och primärvård. [47] Kommunala verksamheter i egen förvaltning och i kommunala aktiebilag. En jämförande studie. [48] Ny marknadsföringslag. [59] Organisationernas bidrag. [71]
Att inhämta synpunkter från medborgarna — Det kommunala omröstningsinstitutet i tillämpning. [72] Radikala organisationsförändringar i kommuner och landsting. [73] Kvalitetsmätning i kommunal verksamhet. [74] Kommunal tjänsteexport och internationellt bistånd.[77]
Miljö- och naturresursdepartementet
Acceptans Tolerans Delaktighet. [18] Kommunerna och miljöarbetet. [19] Miljöbalk. Del 1 och 2. [27]
Naturupplevelser utan buller — en kvalitet att värna. 1511 Handlingsplan mot buller.
Handlingsplan mot buller. Bilagedel. [65] Lag om införande av miljöbalken. [66] Slutförvaring av använt kärnbränsle — KASAMs yttrande över SKBs FUB-program 92. [67] Miljöskadeförsäkringen i framtiden. [78]
Handel och miljö — mot en hållbar spelplan. [79]